GDPR pre OSVČ 2026: čo musíte splniť
GDPR sa netýka len veľkých korporácií. Ak ako OSVČ vystavujete faktúry, vediete databázu klientov, posielate newslettery alebo prevádzkujete webové stránky, spracúvate osobné údaje — a GDPR sa na vás vzťahuje. Dobrá správa je, že povinnosti živnostníkov sú výrazne jednoduchšie než u veľkých firiem. V tomto sprievodcovi vám vysvetlíme, čo presne musíte splniť, čo naopak riešiť nemusíte a ako si povinnosti splniť s minimom byrokracie.
Čo je GDPR a prečo sa týka aj OSVČ
Všeobecné nariadenie o ochrane osobných údajov (GDPR — General Data Protection Regulation) je nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, ktoré je priamo účinné vo všetkých členských štátoch EÚ od 25. mája 2018. V Českej republike dopĺňa GDPR zákon č. 110/2019 Zb., o spracovaní osobných údajov. Dozorový úrad je Úrad pre ochranu osobných údajov (ÚOOÚ).
Prečo sa GDPR týka živnostníkov?
GDPR sa vzťahuje na každého, kto spracúva osobné údaje — teda akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Ako OSVČ spracúvate osobné údaje prinajmenšom tým, že:
- Vystavujete faktúry obsahujúce meno, adresu a IČO/DIČ zákazníkov.
- Vediete evidenciu klientov — kontaktné údaje, história objednávok.
- Komunikujete e-mailom — e-mailová adresa je osobný údaj.
- Prevádzkujete webové stránky — IP adresy návštevníkov, cookies, kontaktné formuláre.
- Máte zamestnancov — mzdová agenda obsahuje citlivé osobné údaje.
- Posielate newsletter — e-mailové adresy odberateľov.
OSVČ = správca osobných údajov
V terminológii GDPR ste ako OSVČ správcom osobných údajov, pretože sami určujete účely a prostriedky spracúvania. To platí aj vtedy, keď účtovníctvo spracúva váš účtovník — účtovník je v takom prípade spracovateľom, ale zodpovednosť za ochranu údajov zostáva na vás.
Aké osobné údaje OSVČ typicky spracúva
Skôr než sa pustíme do povinností, je dôležité si uvedomiť, s akými údajmi ako živnostník pracujete:
📊Typické osobné údaje spracúvané OSVČ
IČO fyzickej osoby je osobný údaj
Pozor — IČO pridelené fyzickej osobe (OSVČ) sa považuje za osobný údaj, pretože priamo identifikuje konkrétnu fyzickú osobu. To znamená, že aj verejne dostupné údaje zo živnostenského registra podliehajú GDPR, ak ich spracúvate systematicky.
Základné princípy GDPR, ktoré musíte dodržiavať
GDPR stojí na šiestich základných princípoch spracúvania osobných údajov (článok 5 GDPR). Tieto princípy platia pre každého správcu bez ohľadu na jeho veľkosť:
📋6 princípov spracúvania osobných údajov
Právne tituly: na základe čoho smíte údaje spracúvať
Každé spracúvanie osobných údajov musí mať právny základ (právny titul). GDPR ich definuje šesť. Pre OSVČ sú relevantné najmä tieto štyri:
1. Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR)
Toto je najčastejší titul pre OSVČ. Ak s klientom uzatvoríte zmluvu (aj ústnu alebo prostredníctvom objednávky v e-shope), môžete spracúvať údaje potrebné na jej plnenie — meno, adresu na doručenie, kontaktné údaje na komunikáciu o objednávke.
2. Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR)
Mnohé údaje spracúvate preto, lebo vám to ukladá zákon. Napríklad:
- Uchovávanie daňových dokladov (faktúr) po dobu 10 rokov — zákon o DPH, zákon o účtovníctve.
- Mzdová agenda zamestnancov — zákonník práce, zákon o poistnom.
- Evidencia pre ČSSZ a zdravotné poisťovne.
3. Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR)
Tento titul umožňuje spracúvanie, ak máte legitímny záujem, ktorý prevažuje nad záujmami dotknutej osoby. Príklady:
- Zasielanie obchodných oznámení existujúcim zákazníkom (ktorí u vás už nakúpili).
- Ochrana majetku (kamerový systém).
- Vymáhanie pohľadávok.
Pri oprávnenom záujme musíte vykonať balančný test — písomné posúdenie, či váš záujem prevažuje nad právom dotknutej osoby na súkromie.
4. Súhlas (čl. 6 ods. 1 písm. a) GDPR)
Súhlas potrebujete, keď nemáte iný právny titul. Typicky:
- Zasielanie newslettera osobám, ktoré u vás doposiaľ nenakúpili.
- Spracúvanie údajov na marketingové účely nad rámec oprávneného záujmu.
- Analytické a marketingové cookies na webe.
Súhlas musí byť slobodný a konkrétny
Súhlas so spracúvaním osobných údajov musí byť:
- Slobodný — nesmie byť podmienkou poskytnutia služby.
- Konkrétny — musí sa vzťahovať na konkrétny účel.
- Informovaný — dotknutá osoba musí vedieť, na čo súhlas dáva.
- Jednoznačný — vyžaduje aktívne zaškrtnutie (vopred zaškrtnuté políčko nestačí).
- Odvolateľný — dotknutá osoba musí mať možnosť súhlas kedykoľvek odvolať rovnako jednoducho, ako ho udelila.
Záznamy o spracovateľských činnostiach
Jednou z kľúčových povinností je vedenie záznamov o spracovateľských činnostiach (článok 30 GDPR). Ide o interný dokument, ktorý popisuje, aké osobné údaje spracúvate, prečo, ako dlho a ako ich chránite.
Musí OSVČ viesť záznamy?
GDPR obsahuje výnimku pre organizácie s menej ako 250 zamestnancami — nemusia viesť záznamy, ak spracúvanie:
- je iba príležitostné,
- nepredstavuje riziko pre práva a slobody dotknutých osôb,
- nezahŕňa osobitné kategórie údajov (citlivé údaje).
Výnimka sa v praxi takmer nikdy neuplatní
Hoci ste OSVČ s 0 zamestnancami, výnimka sa na vás s najväčšou pravdepodobnosťou nevzťahuje. Akonáhle spracúvate údaje klientov na fakturáciu alebo vediete databázu kontaktov, ide o sústavné, nie príležitostné spracúvanie. Preto odporúčame záznamy o spracovateľských činnostiach viesť — aj keby mali mať len jednu stranu.
Čo musia záznamy obsahovať
📋Povinné náležitosti záznamu o spracovateľských činnostiach
Príklad záznamu o spracúvaní pre typickú OSVČ
Účel spracúvania č. 1: Fakturácia a vedenie daňovej evidencie
- Dotknuté osoby: Klienti (fyzické osoby)
- Kategórie údajov: Meno, adresa, IČO, DIČ, e-mail
- Právny titul: Plnenie zmluvy + plnenie zákonnej povinnosti
- Príjemcovia: Účtovník (spracovateľ), daňový úrad
- Doba uchovávania: 10 rokov od konca zdaňovacieho obdobia
- Zabezpečenie: Heslom chránený počítač, zálohovanie, zamykanie kancelárie
Účel spracúvania č. 2: Zasielanie newslettera
- Dotknuté osoby: Odberatelia newslettera
- Kategórie údajov: E-mail, meno
- Právny titul: Súhlas / oprávnený záujem (existujúci zákazníci)
- Príjemcovia: Mailingový nástroj (spracovateľ)
- Doba uchovávania: Do odvolania súhlasu
- Zabezpečenie: Šifrovaný prenos, prístup pod heslom
Informačná povinnosť: čo musíte oznámiť klientom
Ako správca osobných údajov ste povinní informovať dotknuté osoby o tom, ako ich dáta spracúvate (články 13 a 14 GDPR). V praxi to znamená mať na webe alebo v obchodných podmienkach informácie o spracúvaní osobných údajov (často nazývané „zásady ochrany osobných údajov" alebo „privacy policy").
Čo musia informácie obsahovať
| Náležitosť | Príklad | |------------|---------| | Totožnosť správcu | Ján Novák, IČO: 12345678, adresa, e-mail | | Účely spracúvania | Fakturácia, plnenie zmluvy, marketing | | Právny základ | Plnenie zmluvy, oprávnený záujem, súhlas | | Príjemcovia údajov | Účtovník, poskytovateľ hostingu, mailingový nástroj | | Doba uchovávania | Faktúry 10 rokov, newsletter do odvolania súhlasu | | Práva dotknutých osôb | Právo na prístup, opravu, vymazanie, obmedzenie, prenosnosť, námietku | | Kontakt na uplatnenie práv | E-mail, telefón | | Možnosť podať sťažnosť | Úrad pre ochranu osobných údajov (uoou.gov.cz) |
Musí mať OSVČ poverenca pre ochranu osobných údajov (DPO)?
Vo väčšine prípadov nie. Poverenca (DPO — Data Protection Officer) musia mať iba:
- Orgány verejnej moci a verejné subjekty.
- Správcovia, ktorých hlavnou činnosťou je rozsiahle pravidelné a systematické monitorovanie dotknutých osôb.
- Správcovia, ktorých hlavnou činnosťou je rozsiahle spracúvanie osobitných kategórií údajov (zdravotné údaje, biometrické údaje, údaje o trestných deliktoch).
Typická OSVČ poverenca nepotrebuje
Ak ste grafik, programátor, účtovník, remeselník, konzultant alebo prevádzkovateľ malého e-shopu, poverenca pre ochranu osobných údajov nepotrebujete. Vašou hlavnou činnosťou nie je spracúvanie osobných údajov, ale poskytovanie služieb alebo predaj tovaru. Poverenca by ste potrebovali napríklad ako prevádzkovateľ vernostného programu s miliónmi zákazníkov alebo ako detektívna kancelária.
Zabezpečenie osobných údajov v praxi
GDPR vyžaduje, aby ste zaviedli primerané technické a organizačné opatrenia na ochranu osobných údajov. „Primerané" znamená úmerné rizikám a povahe údajov — od OSVČ sa neočakáva rovnaká úroveň zabezpečenia ako od banky.
Praktický checklist zabezpečenia pre OSVČ
📋Minimálne zabezpečenie osobných údajov pre OSVČ
Cookies na webových stránkach
Ak prevádzkujete webové stránky, pravdepodobne používate cookies. Od 1. januára 2022 platí v ČR novela zákona o elektronických komunikáciách, ktorá vyžaduje predchádzajúci aktívny súhlas (opt-in) s cookies, ktoré nie sú nevyhnutne potrebné na fungovanie webu.
Ktoré cookies vyžadujú súhlas
📊Kategórie cookies a potreba súhlasu
Cookie lišta musí umožniť odmietnutie
Cookie lišta (cookie banner) musí návštevníkovi umožniť aktívne súhlasiť alebo odmietnuť nepovinné cookies. Vopred zaškrtnuté políčka nie sú platným súhlasom. Návštevník musí mať možnosť web používať aj bez súhlasu s analytickými a marketingovými cookies. Tlačidlo „Odmietnuť" musí byť rovnako ľahko dostupné ako „Prijať".
Čo robiť pri porušení zabezpečenia (data breach)
Ak dôjde k porušeniu zabezpečenia osobných údajov (strata dát, hacknutie, krádež notebooku s nešifrovaným diskom), ste povinní:
📋Postup pri porušení zabezpečenia
72-hodinová lehota beží od zistenia
Lehota 72 hodín na nahlásenie porušenia zabezpečenia ÚOOÚ začína plynúť od momentu, keď sa o porušení dozviete — nie od momentu, keď k nemu došlo. Ak nestihnete nahlásenie v 72 hodinách, musíte uviesť dôvody meškania.
Práva dotknutých osôb: ako reagovať na žiadosti
Osoby, ktorých údaje spracúvate, majú rad práv. Najčastejšie sa stretnete s týmito:
| Právo | Čo znamená | Vaša reakcia | |-------|-----------|-------------| | Právo na prístup | Dotknutá osoba chce vedieť, aké jej údaje máte | Poskytnete kópiu údajov do 1 mesiaca | | Právo na opravu | Dotknutá osoba chce opraviť nepresné údaje | Opravíte bez zbytočného odkladu | | Právo na vymazanie | Dotknutá osoba chce vymazať svoje údaje | Vymažete, ak nebráni zákonná povinnosť (napr. archivácia faktúr) | | Právo na obmedzenie spracúvania | Dotknutá osoba chce dočasne zastaviť spracúvanie | Údaje označíte a nespracúvate do vyriešenia | | Právo na prenosnosť | Dotknutá osoba chce údaje v strojovo čitateľnom formáte | Poskytnete údaje v bežnom formáte (CSV, JSON) | | Právo namietať | Dotknutá osoba nesúhlasí so spracúvaním na základe oprávneného záujmu | Prehodnotíte oprávnený záujem alebo spracúvanie ukončíte |
Na žiadosť musíte reagovať do 1 mesiaca. V zložitých prípadoch možno lehotu predĺžiť o ďalšie 2 mesiace, ale musíte o tom dotknutú osobu informovať.
Spracovateľské zmluvy
Ak na spracúvanie osobných údajov využívate tretie strany (účtovník, poskytovateľ hostingu, mailingový nástroj), ste povinní s nimi uzatvoriť spracovateľskú zmluvu podľa článku 28 GDPR.
S kým uzatvoriť spracovateľskú zmluvu
- Účtovník/daňový poradca — spracúva údaje z faktúr a mzdovej agendy.
- Poskytovateľ webhostingu — na jeho serveroch sú dáta z vášho webu.
- Mailingový nástroj (Mailchimp, Ecomail atď.) — spracúva e-mailové adresy odberateľov.
- Cloudové úložisko (Google Drive, OneDrive) — ak tam ukladáte dokumenty s osobnými údajmi.
- Mzdový softvér / mzdová firma — spracúva údaje zamestnancov.
Veľké platformy majú zmluvu pripravenú
Väčšina veľkých poskytovateľov služieb (Google, Microsoft, Mailchimp, Shopify atď.) má spracovateľskú zmluvu (Data Processing Agreement/Addendum) pripravenú ako súčasť svojich podmienok služby. Nemusíte vyjednávať individuálnu zmluvu — stačí prijať ich DPA, zvyčajne v nastavení účtu. S účtovníkom alebo menšou firmou odporúčame uzatvoriť samostatnú spracovateľskú zmluvu.
Pokuty za porušenie GDPR
GDPR stanovuje maximálne pokuty až do výšky 20 miliónov EUR alebo 4 % celosvetového ročného obratu. V praxi však ÚOOÚ ukladá českým OSVČ a malým firmám pokuty výrazne nižšie — v rádoch tisícov až desiatok tisíc Kč.
ÚOOÚ pristupuje k OSVČ primerane
Český Úrad pre ochranu osobných údajov deklaroval, že nebude likvidovať drobných živnostníkov. Pokuty pre OSVČ sú násobne nižšie ako pre veľké firmy. Napriek tomu sa oplatí pokutám predchádzať — aj pokuta 10 000 Kč je nepríjemná a k nej sa pridáva povinnosť zjednať nápravu.
Často kladené otázky (FAQ)
Musím mať na webe GDPR vyhlásenie, aj keď web nezbiera žiadne údaje?
Ak váš web nezbiera žiadne dáta (žiadny kontaktný formulár, žiadne cookies, žiadna analytika), teoreticky informačnú povinnosť nemáte. V praxi však takmer každý web používa aspoň základnú analytiku alebo kontaktný formulár, takže vyhlásenie o ochrane osobných údajov odporúčame mať vždy.
Môžem posielať obchodné e-maily existujúcim zákazníkom bez súhlasu?
Áno, zákon o niektorých službách informačnej spoločnosti (č. 480/2004 Zb.) umožňuje zasielať obchodné oznámenia existujúcim zákazníkom bez predchádzajúceho súhlasu, ak sa oznámenia týkajú podobných výrobkov alebo služieb a zákazník má možnosť odhlásiť sa z každého oznámenia. Toto je implementácia oprávneného záujmu.
Ako dlho môžem uchovávať údaje z faktúr?
Daňové doklady (faktúry) musíte podľa zákona o DPH uchovávať 10 rokov od konca zdaňovacieho obdobia. Účtovné doklady podľa zákona o účtovníctve 5 rokov (fyzická osoba vedúca daňovú evidenciu). Po uplynutí týchto lehôt by ste mali údaje vymazať alebo anonymizovať.
Potrebujem súhlas so spracúvaním osobných údajov od každého klienta?
Nie vždy. Ak spracúvate údaje klienta na plnenie zmluvy (vystavenie faktúry, dodanie tovaru) alebo na plnenie zákonnej povinnosti (archivácia dokladov), súhlas nepotrebujete. Súhlas potrebujete typicky na marketingové účely u osôb, ktoré u vás doposiaľ nenakúpili.
Čo ak mi klient napíše, aby som vymazal všetky jeho dáta?
Právo na vymazanie nie je absolútne. Nemôžete vymazať údaje, ktoré musíte uchovávať zo zákona (faktúry po dobu 10 rokov). Môžete však vymazať údaje, pre ktoré nemáte iný právny titul — napríklad odstrániť klienta z marketingovej databázy alebo vymazať jeho kontaktné údaje z CRM po uplynutí doby potrebnej na fakturáciu.
Majte svoje doklady v poriadku s DokladBotom
GDPR vyžaduje poriadok v dátach — a to začína poriadkom v dokladoch. DokladBot vám pomôže udržať prehľad o faktúrach, platbách a termínoch. Stačí odfotiť doklad cez WhatsApp a DokladBot ho automaticky spracuje. Žiadne stratené papiere, žiadne premeškané lehoty.
**Vysk
Nechcete ztrácet čas s papírováním?
Vyzkoušejte DokladBot - účetnictví přes WhatsApp. První týden zdarma.
Súvisiace články
Dátová schránka OSVČ: povinnosti a ako ju používať
Dátová schránka je od roku 2023 povinná pre všetkých OSVČ. Zistite, ako ju aktivovať, aké povinnosti z nej vyplývajú a ako ju efektívne využívať v každodennom podnikaní.
DPP a DPČ 2026: rozdiely, limity a novinky
Dohody o prácach vykonávaných mimo pracovného pomeru prešli v roku 2026 ďalšími zmenami. Prečítajte si, aké sú aktuálne limity, odvody a pravidlá pre DPP a DPČ.
Elektronický podpis: ako ho získať a kedy sa oplatí
Elektronický podpis dnes potrebuje prakticky každá OSVČ – či už pre komunikáciu s úradmi, podpisovanie zmlúv alebo podávanie daňového priznania. Prinášame kompletný návod, ako kvalifikovaný certifikát získať, koľko stojí a kedy sa vám oplatí.