Právní

GDPR pro OSVČ 2026: co musíte splnit

Tým DokladBot14 min čtení
GDPR pro OSVČ 2026: co musíte splnit

GDPR se netýká jen velkých korporací. Pokud jako OSVČ vystavujete faktury, vedete databázi klientů, posíláte newslettery nebo provozujete webové stránky, zpracováváte osobní údaje - a GDPR se na vás vztahuje. Dobrá zpráva je, že povinnosti živnostníků jsou výrazně jednodušší než u velkých firem. V tomto průvodci vám vysvětlíme, co přesně musíte splnit, co naopak řešit nemusíte a jak si povinnosti splnit s minimem byrokracie.

Co je GDPR a proč se týká i OSVČ

Obecné nařízení o ochraně osobních údajů (GDPR - General Data Protection Regulation) je nařízení Evropského parlamentu a Rady (EU) 2016/679, které je přímo účinné ve všech členských státech EU od 25. května 2018. V České republice doplňuje GDPR zákon č. 110/2019 Sb., o zpracování osobních údajů. Dozorový úřad je Úřad pro ochranu osobních údajů (ÚOOÚ).

Proč se GDPR týká živnostníků?

GDPR se vztahuje na každého, kdo zpracovává osobní údaje - tedy jakékoliv informace vztahující se k identifikované nebo identifikovatelné fyzické osobě. Jako OSVČ zpracováváte osobní údaje přinejmenším tím, že:

  • Vystavujete faktury obsahující jméno, adresu a IČO/DIČ zákazníků.
  • Vedete evidenci klientů - kontaktní údaje, historie objednávek.
  • Komunikujete e-mailem - e-mailová adresa je osobní údaj.
  • Provozujete webové stránky - IP adresy návštěvníků, cookies, kontaktní formuláře.
  • Máte zaměstnance - mzdová agenda obsahuje citlivé osobní údaje.
  • Posíláte newsletter - e-mailové adresy odběratelů.
ℹ️

OSVČ = správce osobních údajů

V terminologii GDPR jste jako OSVČ správcem osobních údajů, protože sami určujete účely a prostředky zpracování. To platí i tehdy, když účetnictví zpracovává váš účetní - účetní je v takovém případě zpracovatelem, ale odpovědnost za ochranu údajů zůstává na vás.

Jaké osobní údaje OSVČ typicky zpracovává

Než se pustíme do povinností, je důležité si uvědomit, s jakými údaji jako živnostník pracujete:

📊Typické osobní údaje zpracovávané OSVČ

⚠️

IČO fyzické osoby je osobní údaj

Pozor - IČO přidělené fyzické osobě (OSVČ) je považováno za osobní údaj, protože přímo identifikuje konkrétní fyzickou osobu. To znamená, že i veřejně dostupné údaje z živnostenského rejstříku podléhají GDPR, pokud je zpracováváte systematicky.

Základní principy GDPR, které musíte dodržovat

GDPR stojí na šesti základních principech zpracování osobních údajů (článek 5 GDPR). Tyto principy platí pro každého správce bez ohledu na jeho velikost:

📋6 principů zpracování osobních údajů

Právní tituly: na základě čeho smíte údaje zpracovávat

Každé zpracování osobních údajů musí mít právní základ (právní titul). GDPR jich definuje šest. Pro OSVČ jsou relevantní zejména tyto čtyři:

1. Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR)

Toto je nejčastější titul pro OSVČ. Pokud s klientem uzavřete smlouvu (i ústní nebo prostřednictvím objednávky v e-shopu), můžete zpracovávat údaje potřebné k jejímu plnění - jméno, adresu pro doručení, kontaktní údaje pro komunikaci o objednávce.

2. Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR)

Mnoho údajů zpracováváte proto, že vám to ukládá zákon. Například:

  • Uchovávání daňových dokladů (faktur) po dobu 10 let - zákon o DPH, zákon o účetnictví.
  • Mzdová agenda zaměstnanců - zákoník práce, zákon o pojistném.
  • Evidence pro ČSSZ a zdravotní pojišťovny.

3. Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)

Tento titul umožňuje zpracování, pokud máte legitimní zájem, který převažuje nad zájmy subjektu údajů. Příklady:

  • Zasílání obchodních sdělení stávajícím zákazníkům (kteří u vás již nakoupili).
  • Ochrana majetku (kamerový systém).
  • Vymáhání pohledávek.

U oprávněného zájmu musíte provést balanční test - písemné posouzení, zda váš zájem převažuje nad právem subjektu na soukromí.

4. Souhlas (čl. 6 odst. 1 písm. a) GDPR)

Souhlas potřebujete, když nemáte jiný právní titul. Typicky:

  • Zasílání newsletteru osobám, které u vás dosud nenakoupily.
  • Zpracování údajů pro marketingové účely nad rámec oprávněného zájmu.
  • Analytické a marketingové cookies na webu.
⚠️

Souhlas musí být svobodný a konkrétní

Souhlas se zpracováním osobních údajů musí být:

  • Svobodný - nesmí být podmínkou poskytnutí služby.
  • Konkrétní - musí se vztahovat ke konkrétnímu účelu.
  • Informovaný - subjekt musí vědět, k čemu souhlas dává.
  • Jednoznačný - vyžaduje aktivní zaškrtnutí (předem zaškrtnuté políčko nestačí).
  • Odvolatelný - subjekt musí mít možnost souhlas kdykoliv odvolat stejně snadno, jako ho udělil.

Záznamy o činnostech zpracování

Jednou z klíčových povinností je vedení záznamů o činnostech zpracování (článek 30 GDPR). Jde o interní dokument, který popisuje, jaké osobní údaje zpracováváte, proč, jak dlouho a jak je chráníte.

Musí OSVČ vést záznamy?

GDPR obsahuje výjimku pro organizace s méně než 250 zaměstnanci - nemusí vést záznamy, pokud zpracování:

  • je pouze příležitostné,
  • nepředstavuje riziko pro práva a svobody subjektů údajů,
  • nezahrnuje zvláštní kategorie údajů (citlivé údaje).
⚠️

Výjimka se v praxi neuplatní téměř nikdy

Ačkoliv jste OSVČ s 0 zaměstnanci, výjimka se na vás s největší pravděpodobností nevztahuje. Jakmile zpracováváte údaje klientů pro fakturaci nebo vedete databázi kontaktů, jedná se o soustavné, nikoliv příležitostné zpracování. Proto doporučujeme záznamy o činnostech zpracování vést - i kdyby měly mít jen jednu stránku.

Co musí záznamy obsahovat

📋Povinné náležitosti záznamu o činnostech zpracování

🧮

Příklad záznamu o zpracování pro typickou OSVČ

Účel zpracování č. 1: Fakturace a vedení daňové evidence

  • Subjekty údajů: Klienti (fyzické osoby)
  • Kategorie údajů: Jméno, adresa, IČO, DIČ, e-mail
  • Právní titul: Plnění smlouvy + plnění právní povinnosti
  • Příjemci: Účetní (zpracovatel), finanční úřad
  • Doba uchování: 10 let od konce zdaňovacího období
  • Zabezpečení: Heslem chráněný počítač, zálohování, zamykání kanceláře

Účel zpracování č. 2: Zasílání newsletteru

  • Subjekty údajů: Odběratelé newsletteru
  • Kategorie údajů: E-mail, jméno
  • Právní titul: Souhlas / oprávněný zájem (stávající zákazníci)
  • Příjemci: Mailingový nástroj (zpracovatel)
  • Doba uchování: Do odvolání souhlasu
  • Zabezpečení: Šifrovaný přenos, přístup pod heslem

Informační povinnost: co musíte sdělit klientům

Jako správce osobních údajů máte povinnost informovat subjekty údajů o tom, jak jejich data zpracováváte (články 13 a 14 GDPR). V praxi to znamená mít na webu nebo v obchodních podmínkách informace o zpracování osobních údajů (často nazývané "zásady ochrany osobních údajů" nebo "privacy policy").

Co musí informace obsahovat

| Náležitost | Příklad | |------------|---------| | Totožnost správce | Jan Novák, IČO: 12345678, adresa, e-mail | | Účely zpracování | Fakturace, plnění smlouvy, marketing | | Právní základ | Plnění smlouvy, oprávněný zájem, souhlas | | Příjemci údajů | Účetní, poskytovatel hostingu, mailingový nástroj | | Doba uchování | Faktury 10 let, newsletter do odvolání souhlasu | | Práva subjektů údajů | Právo na přístup, opravu, výmaz, omezení, přenositelnost, námitku | | Kontakt pro výkon práv | E-mail, telefon | | Možnost podat stížnost | Úřad pro ochranu osobních údajů (uoou.gov.cz) |

Musí mít OSVČ pověřence pro ochranu osobních údajů (DPO)?

Ve většině případů ne. Pověřence (DPO - Data Protection Officer) musí mít pouze:

  1. Orgány veřejné moci a veřejné subjekty.
  2. Správci, jejichž hlavní činností je rozsáhlé pravidelné a systematické monitorování subjektů údajů.
  3. Správci, jejichž hlavní činností je rozsáhlé zpracování zvláštních kategorií údajů (zdravotní údaje, biometrické údaje, údaje o trestních deliktech).

Typická OSVČ pověřence nepotřebuje

Pokud jste grafik, programátor, účetní, řemeslník, konzultant nebo provozovatel malého e-shopu, pověřence pro ochranu osobních údajů nepotřebujete. Vaší hlavní činností není zpracování osobních údajů, ale poskytování služeb nebo prodej zboží. Pověřence byste potřebovali například jako provozovatel věrnostního programu s miliony zákazníků nebo jako detektivní kancelář.

Zabezpečení osobních údajů v praxi

GDPR vyžaduje, abyste zavedli přiměřená technická a organizační opatření k ochraně osobních údajů. "Přiměřená" znamená úměrná rizikům a povaze údajů - od OSVČ se neočekává stejná úroveň zabezpečení jako od banky.

Praktický checklist zabezpečení pro OSVČ

📋Minimální zabezpečení osobních údajů pro OSVČ

Cookies na webových stránkách

Pokud provozujete webové stránky, pravděpodobně používáte cookies. Od 1. ledna 2022 platí v ČR novela zákona o elektronických komunikacích, která vyžaduje předchozí aktivní souhlas (opt-in) s cookies, které nejsou nezbytně nutné pro fungování webu.

Které cookies vyžadují souhlas

📊Kategorie cookies a potřeba souhlasu

ℹ️

Cookie lišta musí umožnit odmítnutí

Cookie lišta (cookie banner) musí návštěvníkovi umožnit aktivně souhlasit nebo odmítnout nepovinné cookies. Předem zaškrtnutá políčka nejsou platným souhlasem. Návštěvník musí mít možnost web používat i bez souhlasu s analytickými a marketingovými cookies. Tlačítko "Odmítnout" musí být stejně snadno dostupné jako "Přijmout".

Co dělat při porušení zabezpečení (data breach)

Pokud dojde k porušení zabezpečení osobních údajů (ztráta dat, hacknutí, krádež notebooku s nešifrovaným diskem), máte povinnost:

📋Postup při porušení zabezpečení

⚠️

72hodinová lhůta běží od zjištění

Lhůta 72 hodin pro ohlášení porušení zabezpečení ÚOOÚ začíná běžet od momentu, kdy se o porušení dozvíte - nikoliv od momentu, kdy k němu došlo. Pokud nestihnete ohlášení v 72 hodinách, musíte uvést důvody prodlení.

Práva subjektů údajů: jak reagovat na žádosti

Osoby, jejichž údaje zpracováváte, mají řadu práv. Nejčastěji se setkáte s těmito:

| Právo | Co znamená | Vaše reakce | |-------|-----------|-------------| | Právo na přístup | Subjekt chce vědět, jaké jeho údaje máte | Poskytnete kopii údajů do 1 měsíce | | Právo na opravu | Subjekt chce opravit nepřesné údaje | Opravíte bez zbytečného odkladu | | Právo na výmaz | Subjekt chce smazat své údaje | Vymažete, pokud nebrání právní povinnost (např. archivace faktur) | | Právo na omezení zpracování | Subjekt chce dočasně zastavit zpracování | Údaje označíte a nezpracováváte do vyřešení | | Právo na přenositelnost | Subjekt chce údaje v strojově čitelném formátu | Poskytnete údaje v běžném formátu (CSV, JSON) | | Právo vznést námitku | Subjekt nesouhlasí se zpracováním na základě oprávněného zájmu | Přehodnotíte oprávněný zájem nebo zpracování ukončíte |

Na žádost musíte reagovat do 1 měsíce. Ve složitých případech lze lhůtu prodloužit o další 2 měsíce, ale musíte o tom subjekt informovat.

Zpracovatelské smlouvy

Pokud k zpracování osobních údajů využíváte třetí strany (účetní, poskytovatel hostingu, mailingový nástroj), jste povinni s nimi uzavřít zpracovatelskou smlouvu podle článku 28 GDPR.

S kým uzavřít zpracovatelskou smlouvu

  • Účetní/daňový poradce - zpracovává údaje z faktur a mzdové agendy.
  • Poskytovatel webhostingu - na jeho serverech jsou data z vašeho webu.
  • Mailingový nástroj (Mailchimp, Ecomail atd.) - zpracovává e-mailové adresy odběratelů.
  • Cloudové úložiště (Google Drive, OneDrive) - pokud tam ukládáte dokumenty s osobními údaji.
  • Mzdový software / mzdová firma - zpracovává údaje zaměstnanců.
💡

Velké platformy mají smlouvu hotovou

Většina velkých poskytovatelů služeb (Google, Microsoft, Mailchimp, Shopify atd.) má zpracovatelskou smlouvu (Data Processing Agreement/Addendum) připravenou jako součást svých podmínek služby. Nemusíte vyjednávat individuální smlouvu - stačí přijmout jejich DPA, obvykle v nastavení účtu. S účetní nebo menší firmou doporučujeme uzavřít samostatnou zpracovatelskou smlouvu.

Pokuty za porušení GDPR

GDPR stanoví maximální pokuty až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu. V praxi však ÚOOÚ ukládá českým OSVČ a malým firmám pokuty výrazně nižší - v řádu tisíců až desítek tisíc korun.

ÚOOÚ přistupuje k OSVČ přiměřeně

Český Úřad pro ochranu osobních údajů deklaroval, že nebude likvidovat drobné živnostníky. Pokuty pro OSVČ jsou násobně nižší než pro velké firmy. Přesto se pokutám vyplatí předcházet - i pokuta 10 000 Kč je nepříjemná a k ní se přidává povinnost zjednat nápravu.

Často kladené otázky (FAQ)

Musím mít na webu GDPR prohlášení, i když web nesbírá žádné údaje?

Pokud váš web nesbírá žádná data (žádný kontaktní formulář, žádné cookies, žádná analytika), teoreticky informační povinnost nemáte. V praxi však téměř každý web používá alespoň základní analytiku nebo kontaktní formulář, takže prohlášení o ochraně osobních údajů doporučujeme mít vždy.

Mohu posílat obchodní e-maily stávajícím zákazníkům bez souhlasu?

Ano, zákon o některých službách informační společnosti (č. 480/2004 Sb.) umožňuje zasílat obchodní sdělení stávajícím zákazníkům bez předchozího souhlasu, pokud se sdělení týká obdobných výrobků nebo služeb a zákazník má možnost odhlásit se z každého sdělení. Toto je implementace oprávněného zájmu.

Jak dlouho mohu uchovávat údaje z faktur?

Daňové doklady (faktury) musíte dle zákona o DPH uchovávat 10 let od konce zdaňovacího období. Účetní doklady dle zákona o účetnictví 5 let (fyzická osoba vedoucí daňovou evidenci). Po uplynutí těchto lhůt byste měli údaje vymazat nebo anonymizovat.

Potřebuji souhlas se zpracováním osobních údajů od každého klienta?

Ne vždy. Pokud zpracováváte údaje klienta pro plnění smlouvy (vystavení faktury, dodání zboží) nebo pro plnění právní povinnosti (archivace dokladů), souhlas nepotřebujete. Souhlas potřebujete typicky pro marketingové účely u osob, které u vás dosud nenakoupily.

Co když mi klient napíše, ať smažu všechna jeho data?

Právo na výmaz není absolutní. Nemůžete vymazat údaje, které musíte uchovávat ze zákona (faktury po dobu 10 let). Můžete však vymazat údaje, pro které nemáte jiný právní titul - například odebrat klienta z marketingové databáze nebo smazat jeho kontaktní údaje z CRM po uplynutí doby potřebné pro fakturaci.

Mějte své doklady v pořádku s DokladBotem

GDPR vyžaduje pořádek v datech - a to začíná pořádkem v dokladech. DokladBot vám pomůže udržet přehled o fakturách, platbách a termínech. Stačí vyfotit doklad přes WhatsApp a DokladBot ho automaticky zpracuje. Žádné ztracené papíry, žádné prošlé lhůty.

Zkuste DokladBot na dokladbot.cz - účetní asistent, který je vždy po ruce.

Oficiální zdroje

Tento článek slouží jako obecný informační průvodce a nepředstavuje právní poradenství. Informace vycházejí z GDPR (nařízení EU 2016/679) a zákona č. 110/2019 Sb. ve znění platném k únoru 2026. Pro řešení konkrétní situace doporučujeme konzultaci s odborníkem na ochranu osobních údajů nebo advokátem.

Nechcete to řešit sami?

Napište Marušce přes WhatsApp a o účetnictví se postaráme my.

Vyzkoušet zdarma

Další články na toto téma

Datová schránka OSVČ: povinnosti a jak používat
Právní11 min

Datová schránka OSVČ: povinnosti a jak používat

Datová schránka je od roku 2023 povinná pro všechny OSVČ. Zjistěte, jak ji aktivovat, jaké povinnosti z ní plynou a jak ji efektivně využívat v každodenním podnikání.

Číst
DPP a DPČ 2026: rozdíly, limity a novinky
Právní12 min

DPP a DPČ 2026: rozdíly, limity a novinky

Dohody o pracích konaných mimo pracovní poměr prošly v roce 2026 dalšími změnami. Přečtěte si, jaké jsou aktuální limity, odvody a pravidla pro DPP a DPČ.

Číst
Elektronický podpis: jak ho získat a kdy se vyplatí
Právní16 min

Elektronický podpis: jak ho získat a kdy se vyplatí

Elektronický podpis dnes potřebuje prakticky každá OSVČ - ať už pro komunikaci s úřady, podepisování smluv nebo podávání daňového přiznání. Přinášíme kompletní návod, jak kvalifikovaný certifikát získat, kolik stojí a kdy se vám vyplatí.

Číst