DSA, AI Act a digitální legislativa 2026 | co každý český e-shop musí splnit.

TL;DR: V roce 2026 se na české e-shopy a digitální podnikání aplikují tři velké regulace | Digital Services Act (DSA), AI Act, novela ePrivacy směrnice. Pokuty jdou od 10 000 Kč po 6 % ročního obratu. Většina českých e-shopů ještě není 100 % compliant. Checklist 14 bodů, podle kterého se obvykle daří dostat klienta do souladu za 6 až 10 týdnů. Plus konkrétní časové milníky, případové pokuty a roadmap nasazení.

Co je Digital Services Act (DSA)

DSA platí v EU od února 2024 a od února 2026 i pro malé a střední platformy (dříve jen pro Very Large Online Platforms). Týká se každého e-shopu, marketplace, fóra nebo platformy, kde uživatelé sdílí obsah nebo nabízí zboží. To znamená prakticky každý online byznys s user-generated content (recenze, fotky uživatelů, fóra, komentáře).

Klíčové požadavky DSA na e-shopy

• Transparentnost ohledně reklamy. U sponzorovaného obsahu uvádět "reklama", kdo platí, jaké parametry cílí. Týká se i affiliate odkazů a influencer collaborations.
• Mechanismus oznamování protiprávního obsahu. Musí být vidět a snadno přístupný (notice and action). Maximálně 2 kliky od domovské stránky.
• Trusted flaggers. Spolupráce s ověřenými organizacemi (např. spotřebitelské organizace), které mají právo flagovat obsah s prioritou.
• Pravidelný reporting. Veřejně zveřejnit transparency report o moderaci obsahu (jednou ročně). Obsahuje: počet notice, počet akcí, typy obsahu, response times.
• Ochrana nezletilých. Žádná cílená reklama na základě profilování nezletilých. Plus age verification pro služby s 18+ obsahem.
• Recommender systems transparency. Vysvětlit, jak fungují doporučení produktů, dát uživateli možnost vypnout personalization.
• Bann politika. Jasná pravidla pro zákaz účtů, právo na odvolání.

Co je AI Act

AI Act je první komplexní regulace AI na světě, platí od srpna 2024, plné vynucování od srpna 2026. Klasifikuje AI systémy podle rizika (unacceptable, high, limited, minimal) a stanovuje requirements podle úrovně.

Pro e-shopy a marketing se aplikuje, pokud používáte:

• AI generovaný content (texty, obrázky, video, hlas) v marketingu
• Personalizační algoritmy (doporučení produktů, dynamické ceny)
• Chatboty se zákazníky
• Biometrii (face recognition při placení, atd.)
• Lending decisions (BNPL providers)

Klíčové požadavky AI Act na běžný e-shop

• Transparentnost AI obsahu. AI generované obrázky a video musí mít watermark nebo metadata označení (pro deepfake content i v marketingu).
• Chatbot disclosure. Když uživatel komunikuje s AI, musí to vědět ("Toto je AI asistent, ne lidský operátor").
• Vysvětlitelnost automatizovaných rozhodnutí. Pokud AI rozhoduje o cenách, dostupnosti, schválení, zákazník má právo na vysvětlení.
• Lidská kontrola. Důležitá rozhodnutí (zamítnutí, ban) musí mít možnost lidského review.
• Data governance pro AI. Dokumentace, odkud pochází tréninková data, jaká je struktura, jaké jsou limitace modelu.

ePrivacy a cookies | další update

ePrivacy směrnice (sister GDPR pro elektronickou komunikaci) má v 2026 update zaměřený na:

• Striktnější consent pro cookies (nejen analytics, ale i pro tracking pixely)
• Reject all musí být na stejné vrstvě jako Accept all (žádné skryté linky)
• Granularní volba (analytics ano, marketing ne) musí být snadno dostupná
• Trvání souhlasu max. 13 měsíců, pak nový opt-in
• Žádné dark patterns v cookie banners (vyvolání pocitu naléhavosti, matoucí volby)

Checklist 14 bodů pro český e-shop

DSA compliance

• Vyznačit sponzorovaný / placený obsah (label "Reklama")
• Formulář pro nahlášení protiprávního obsahu (nejméně 2 kliknutí od domovské stránky)
• SLA odpovědi na notice (24 h u urgentního, 7 dní obecně)
• Roční transparency report (počty notice, akcí, statistiky)
• Žádná behavioral reklama na uživatele pod 18 let
• Vysvětlení doporučovacího algoritmu (one-pager v patičce)

AI Act compliance

• Watermark / disclaimer u AI generovaných obrázků v marketingových materiálech
• Chatbot úvod "Pozor, hovoříte s AI asistentem"
• Vysvětlitelnost automatizovaných rozhodnutí (např. proč doporučení produktu)
• Možnost požádat o lidskou revizi rozhodnutí (zamítnutí, ban, omezení)
• Dokumentace AI systémů (interní, ne nutně veřejná)

ePrivacy / cookies

• Cookie banner s "Accept all" a "Reject all" na stejné vrstvě
• Granularní volba kategorií (necessary, analytics, marketing, social)
• Možnost změnit consent kdykoli (link v patičce)
• Žádné cookies před souhlasem (analytics, marketing, fingerprinting)
• Reaudit souhlasu po 13 měsících

Pokuty | reálné částky 2026

• DSA | až 6 % ročního obratu (pro nejtěžší porušení). Pro typický e-shop s obratem 50M Kč to znamená pokutu až 3M Kč. Menší porušení (chybějící notice mechanismus) | typicky 50 000 až 200 000 Kč.
• AI Act | až 35M EUR nebo 7 % obratu pro nejtěžší porušení (zakázaný AI systém). Pro běžný marketing AI obsah typicky 10 000 až 200 000 Kč.
• ePrivacy / GDPR | až 20M EUR nebo 4 % obratu. ÚOOÚ v ČR v 2025 udělil 19 pokut za špatné cookies, průměr 145 000 Kč.

Případové pokuty 2024 až 2025

• Heureka (CZ) | 2024, 400 000 Kč | nesprávné označení placených pozic ve srovnání zboží (DSA porušení)
• Booking.com (EU) | 2024, 3,5M EUR | nedostatečná transparentnost recommendation algoritmu
• X / Twitter | 2025, 250M EUR | DSA porušení (nedostatečné moderace, chybějící Mobilní transparency)
• České e-shopy | 2025, průměr 100 000 Kč | cookie banner dark patterns (ÚOOÚ)

Co děláme s klienty

Audit (týden 1)

Projdeme web krok za krokem proti checklistu. Identifikujeme gaps a prioritizujeme. Výstup: tabulka s 14 body, status (compliant / partial / missing), priority (high / medium / low), odhad času k řešení.

Quick wins (týden 2 až 3)

Cookie banner update, AI watermarking, chatbot disclosure. Tato část je 70 % compliance s minimálním vývojem. Většinou stačí change v CMS nebo přidat 3 až 5 řádek HTML.

Process work (týden 4 až 6)

Notice mechanismus, SLA odpovědi, transparency reporting, dokumentace AI rozhodovacích algoritmů. Vyžaduje koordinaci s legal a customer support. Většinou 2 až 4 týdny práce.

Documentation (týden 6 až 8)

Interní dokumentace pro audit trail. Co kde běží, jaké jsou rozhodovací procesy, jak se reaguje na incidenty. Důležité pro případnou kontrolu.

Annual review (každý rok)

Regulace se mění. Klienti mají roční review compliance, kde aktualizujeme proti nejnovějším výkladům a precedentům.

Konkrétní příklady, jak to udělat

AI generované obrázky v marketingu

Pokud generujete obrázky přes Midjourney nebo DALL-E pro reklamní bannery, social posts, atd., musíte podle AI Act označit. Praktická implementace:

• Watermark v rohu obrázku ("AI generated" nebo logo s AI tag)
• Alt text obsahuje "AI generated"
• Disclosure v popisu social postu (#aigenerated nebo "obrázek vygenerovala AI")

Chatbot disclosure

První zpráva chatbota musí být: "Dobrý den, jsem AI asistent agentury XYZ. Pomůžu vám s [téma]. Pokud potřebujete mluvit s člověkem, napište 'lidský support'."

Doporučovací algoritmus

One-pager v patičce s vysvětlením: "Naše doporučení vychází z (1) vaší historie nákupů, (2) podobných uživatelů, (3) trendů. Personalizaci můžete vypnout v nastavení."

Časté otázky

Týká se mě DSA, když mám malý e-shop s 200 produkty?Ano. Od února 2026 platí DSA pro všechny online platformy, ne jen velké. Velikost nehraje roli, jen typ služby.

Musím mít vlastního DPO?Pro většinu e-shopů ne. Vlastní DPO je povinný pro public authorities, large-scale processing of sensitive data, nebo regular monitoring. Pro typický e-shop stačí externí DPO (cca 5 000 až 15 000 Kč/měsíc).

Jak často se mám re-auditovat?Doporučujeme jednou ročně, plus po každém významnějším změně (nový marketing tool, AI integration, change v právních předpisech).

Co když nás kontroluje ÚOOÚ?Mít připravený compliance dossier (audit log, dokumentace procesů, evidence o tréninkové data, response time logs). Kontakt s vaší legal nebo agenturou ihned. Nezatajovat informace.

Můžu používat ChatGPT pro psaní marketing textů?Ano, ale generated content by měl mít disclosure. Pro krátké social posty stačí hashtag. Pro delší články doporučujeme zmínku v authoring section. Pro plně automatizovaný content (např. produktové popisy generované AI) je třeba dokumentace pro audit trail.

Kolik stojí compliance konzultace?Audit a roadmap: 30 000 až 80 000 Kč jednorázově. Implementace (cookie banner, chatbot disclosure, notice mechanism): 20 000 až 100 000 Kč podle scale. Roční retainer (review, updates, monitoring): 5 000 až 30 000 Kč/měsíc.

Závěr

Digitální legislativa v 2026 přestává být nice-to-have nebo zaškrtávací položkou. DSA, AI Act a ePrivacy mají reálné pokuty a aktivně se vynucují (ÚOOÚ v ČR, evropský DSC). Pro střední e-shop je compliance projekt na 6 až 10 týdnů, který je třeba udělat dříve, než přijde první stížnost. Začněte u cookies a chatbotů (rychlé), pak DSA notice (process), pak AI act (audit a dokumentace). Lépe utratit 200 000 Kč za compliance než 2M Kč za pokutu plus reputační poškození.