Vzor zásad ochrany osobních údajů (Privacy Policy) zdarma — Česká republika
Zásady ochrany osobních údajů sestavené podle GDPR a zákona č. 110/2019 Sb. — povinný informační dokument pro každý web, e-shop, mobilní aplikaci nebo službu, která zpracovává osobní údaje uživatelů v České republice. Vyplňte údaje správce, určete účely zpracování, doplňte cookies, marketing a stáhněte si profesionální PDF připravené k publikaci na webu během několika minut.
Zpracování probíhá v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR") a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
TechGarden s.r.o., IČO: 12345678, se sídlem Vinohradská 100, 130 00 Praha 3, e-mail: gdpr@techgarden.cz, tel.: +420 222 333 444 (dále jen „Správce").
Pověřenec pro ochranu osobních údajů (DPO):
Správce ustanovil pověřence pro ochranu osobních údajů dle čl. 37 GDPR:
Mgr. Hana Veselá, advokátka, ev. č. ČAK 12345, e-mail: dpo@techgarden.cz.
Subjekty údajů se mohou ve všech otázkách zpracování osobních údajů obracet přímo na DPO.
· Identifikační: jméno, příjmení, IČO/DIČ (u podnikatelů), datum narození
· Kontaktní: e-mail, telefon, fakturační/doručovací adresa
· Údaje o objednávkách: historie nákupů, čísla faktur, platební metody (přes platební bránu Stripe)
· Účetní: čísla faktur, DIČ
· Webová data: IP adresa, log files, cookies, údaje o zařízení a prohlížeči
· Komunikační: obsah e-mailů, dotazy, recenze
· Marketingové: preference, segmentace na základě nákupů (s vyloučením citlivých údajů)
Zvláštní kategorie osobních údajů (čl. 9 GDPR — citlivé údaje) nejsou zpracovávány, není-li v Zásadách výslovně uvedeno jinak.
Účely:
· Plnění smlouvy o koupi zboží a poskytování služeb
· Vystavení faktur a vedení účetnictví
· Vyřízení reklamací a uplatnění práv ze smlouvy
· Komunikace s klientem ohledně objednávky
· Newsletter a marketingová sdělení (na základě souhlasu)
· Analytika webu a optimalizace UX
· Vymáhání pohledávek
· Prevence podvodů
Právní základy:
· Plnění smlouvy (čl. 6 odst. 1 b) GDPR) — objednávky, dodání, fakturace
· Plnění právní povinnosti (čl. 6 odst. 1 c) GDPR) — účetnictví zák. č. 563/1991 Sb., DPH zák. č. 235/2004 Sb.
· Oprávněný zájem (čl. 6 odst. 1 f) GDPR) — vymáhání pohledávek, anti-fraud, přímý marketing existujícím zákazníkům dle § 7 zák. č. 480/2004 Sb.
· Souhlas subjektu (čl. 6 odst. 1 a) GDPR) — newsletter, marketingové cookies, profilování
· Hostingové a IT služby: AWS (Frankfurt — EU region), Cloudflare (DPA dle čl. 28)
· Platební brána: Stripe Payments Europe Ltd. (Irsko — EU)
· E-mailové služby: Mailgun Technologies, ZenDesk
· Účetní kancelář: Kalkul s.r.o., IČO 87654321
· Dopravci: PPL CZ, Česká pošta, Zásilkovna
· Analytika: Google Analytics 4 (s anonymizací IP)
· Orgány veřejné moci: FÚ, ČSSZ — pouze v rozsahu zákonné povinnosti
Správce uzavírá se zpracovateli smlouvy o zpracování osobních údajů (DPA) podle čl. 28 GDPR, které stanoví předmět, dobu, povahu a účel zpracování, kategorie údajů, povinnosti zpracovatele a další náležitosti.
· Údaje pro plnění smlouvy: po dobu trvání smluvního vztahu + 10 let po jeho skončení (kvůli daňovým archivacím)
· Účetní doklady: 5 let dle § 31 zák. č. 563/1991 Sb.
· Daňové doklady (DPH): 10 let dle § 35 zák. č. 235/2004 Sb.
· Newsletter (souhlas): do odvolání souhlasu, max. 5 let od posledního aktivního kontaktu
· Cookies: 6–24 měsíců dle typu
· Údaje o reklamacích: 3 roky po vyřízení
· Promlčecí lhůty pro vymáhání nároků: 3–10 let dle § 629 a násl. OZ
Po uplynutí doby uchovávání jsou osobní údaje nevratně vymazány nebo anonymizovány.
• Právo na přístup (čl. 15 GDPR) — získat od Správce potvrzení o zpracování svých údajů a kopii těchto údajů;
• Právo na opravu (čl. 16 GDPR) — nepřesné údaje opravit nebo doplnit;
• Právo na výmaz / „právo být zapomenut" (čl. 17 GDPR) — když údaje již nejsou potřebné, byl odvolán souhlas, byly zpracovány protiprávně apod.;
• Právo na omezení zpracování (čl. 18 GDPR) — pozastavení zpracování v určitých případech;
• Právo na přenositelnost údajů (čl. 20 GDPR) — získat údaje ve strukturovaném, běžně používaném formátu (např. JSON, CSV) a předat jinému správci;
• Právo vznést námitku (čl. 21 GDPR) — proti zpracování na základě oprávněného zájmu nebo pro účely přímého marketingu;
• Právo nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR) — pokud existuje;
• Právo odvolat souhlas (čl. 7 odst. 3 GDPR) — kdykoliv, bez vlivu na zákonnost předchozího zpracování;
• Právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, web: uoou.gov.cz, dle čl. 77 GDPR.
Žádosti o uplatnění práv lze zaslat na e-mail Správce uvedený v čl. 1. Správce odpoví do 1 měsíce od přijetí žádosti (čl. 12 odst. 3 GDPR), nejpozději s prodloužením o 2 měsíce (z důvodu složitosti).
· Nezbytné (bez souhlasu): session ID, jazyk, košík, autentizace — 30 dní
· Analytické (souhlas): Google Analytics 4 (s anonymizací IP, _ga, _gid) — 14 měsíců, Plausible — 30 dní
· Marketingové (souhlas): Facebook Pixel, Google Ads — 6–24 měsíců
· Funkční (souhlas): preferovaný design, nedávno prohlížené produkty — 12 měsíců
Souhlas s použitím cookies lze udělit, odmítnout a kdykoliv odvolat prostřednictvím cookie banneru umístěného na webu (čl. 7 GDPR — princip stejné jednoduchosti odvolání jako udělení).
• šifrování komunikace pomocí HTTPS (TLS 1.2+) a šifrování citlivých údajů v klidu;
• přístupová oprávnění založená na principu minimálních oprávnění (need-to-know);
• záložní kopie a procesy obnovy dat (kontinuita služby);
• pravidelné testování a hodnocení účinnosti přijatých opatření;
• fyzické zabezpečení serverů a kanceláří (zámky, přístupový systém).
V případě porušení zabezpečení osobních údajů (data breach) Správce postupuje podle čl. 33 GDPR (ohlášení ÚOOÚ do 72 hodin) a čl. 34 GDPR (informování dotčených subjektů, je-li riziko vysoké).
· USA — Cloudflare, Mailgun: na základě SCCs (Standardních smluvních doložek) Komise (modul 1 — controller-to-processor) a doplňkových opatření (šifrování v klidu i při přenosu)
· USA — Google Analytics: SCCs + Data Privacy Framework (rozhodnutí Komise o přiměřenosti pro DPF-certifikované organizace, čl. 45)
· Subjekty údajů mají právo získat kopii uplatněných záruk na vyžádání u Správce
Konkrétní seznam příjemců a aplikované záruky lze získat na vyžádání u Správce.
Účely profilování:
• personalizace obsahu webu a doporučení produktů na základě historie nákupů;
• vyhodnocení rizika podvodu při platebních transakcích (anti-fraud);
• segmentace zákazníků pro marketingové účely.
Práva subjektu při automatizovaném rozhodování:
• právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování (čl. 22 odst. 1);
• právo na lidský zásah a možnost vyjádření vlastního stanoviska (čl. 22 odst. 3);
• právo napadnout rozhodnutí a obrátit se na Správce.
Automatizovaná rozhodnutí jsou prováděna na základě článků 22 odst. 2 písm. a) GDPR (smluvní nezbytnost) nebo písm. c) GDPR (souhlas subjektu).
Správce není společným správcem ve smyslu čl. 26 GDPR — určuje účely a prostředky zpracování samostatně.
Posouzení vlivu na ochranu osobních údajů (DPIA — čl. 35 GDPR):
Pro aktuální zpracování není povinné provedení posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 GDPR — zpracování nepředstavuje vysoké riziko pro práva a svobody fyzických osob. Pokud Správce zavede nové druhy zpracování s vyšším rizikem, DPIA bude provedeno před zahájením zpracování.
Konzultace s ÚOOÚ (čl. 36 GDPR): Pokud DPIA prokáže reziduální vysoké riziko, Správce konzultuje s ÚOOÚ před zahájením zpracování.
(b) Účinnost: Tyto Zásady nabývají účinnosti dnem 15. března 2026.
(c) Rozhodné právo: Tyto Zásady se řídí právem České republiky a přímo aplikovatelnými předpisy EU (zejména GDPR).
(d) Kontakt: Veškeré dotazy ohledně zpracování osobních údajů zasílejte na e-mail Správce uvedený v čl. 1, nebo přímo pověřenci pro ochranu osobních údajů (DPO).
(e) Stížnost u ÚOOÚ: Pokud máte za to, že Správce zpracovává Vaše osobní údaje v rozporu s GDPR nebo zákonem č. 110/2019 Sb., máte právo podat stížnost u Úřadu pro ochranu osobních údajů, web: uoou.gov.cz.
Co jsou zásady ochrany osobních údajů?
Zásady ochrany osobních údajů (anglicky "Privacy Policy") jsou veřejný informační dokument, kterým správce osobních údajů plní svou informační povinnost podle čl. 13 a čl. 14 GDPR vůči fyzickým osobám, jejichž údaje zpracovává. V kontextu webu, e-shopu nebo mobilní aplikace se zásady zpravidla zveřejňují v patičce stránek (footer) jako odkaz "Ochrana osobních údajů" či "Zásady zpracování" a musí být dostupné každému návštěvníkovi před tím, než poskytne jakékoli osobní údaje. V České republice je publikace zásad povinná pro každého správce — ať už jde o velkou banku, středně velký e-shop, malého OSVČ provozujícího blog, ordinaci praktického lékaře nebo neziskovou organizaci.
Smyslem zásad je zajistit transparentnost zpracování (jeden ze základních principů čl. 5 odst. 1 písm. a GDPR) — subjekt údajů musí předem vědět, kdo s jeho údaji zachází, k čemu, na jakém právním základě, jak dlouho, komu se údaje předávají a jaká má práva. Bez správně publikovaných zásad nemůže správce plnit informační povinnost a Úřad pro ochranu osobních údajů (ÚOOÚ) — sídlo Pplk. Sochora 27, 170 00 Praha 7 — pravidelně provádí v České republice kontroly zaměřené právě na obsah, srozumitelnost a aktuálnost zásad zveřejněných na webech českých správců. Pokuty za porušení informační povinnosti mohou dosáhnout podle čl. 83 odst. 5 písm. b) GDPR až 20 milionů EUR nebo 4 % celosvětového ročního obratu.
Právní rámec zásad ochrany osobních údajů v České republice tvoří přímo aplikovatelné Nařízení (EU) 2016/679 (GDPR) — zejména čl. 5 (zásady zpracování), čl. 6 (právní základy), čl. 7 (souhlas), čl. 13–14 (informační povinnost) a čl. 15–22 (práva subjektu) — doplněné národním zákonem č. 110/2019 Sb., o zpracování osobních údajů, který implementuje GDPR a stanoví specifika české jurisdikce. U cookies a marketingových sdělení se uplatňuje rovněž zákon č. 480/2004 Sb., o některých službách informační společnosti — § 7 (souhlas s elektronickou reklamou) a navazující úprava § 89 zákona č. 127/2005 Sb. o elektronických komunikacích pro cookies a podobné technologie. Vzor Doxuno kombinuje všechny tyto požadavky do jednoho srozumitelného dokumentu.
Co tento vzor obsahuje
Vzor zásad ochrany osobních údajů Doxuno splňuje veškeré požadavky GDPR čl. 13–14 a obsahuje navíc Expert sekce pro e-shopy, mobilní aplikace, cookies a sociální sítě používané v České republice.
Identifikace správce
Název, IČO, sídlo, kontaktní e-mail v ČR
Pověřenec pro ochranu údajů (DPO)
Jméno a kontakt — pokud je vyžadován čl. 37 GDPR
Účely zpracování
Plnění smlouvy, marketing, plnění zákonné povinnosti
Právní základy dle čl. 6 GDPR
Souhlas, smlouva, právní povinnost, oprávněný zájem
Kategorie osobních údajů
Identifikační, kontaktní, transakční, lokalizační
Doba uchování
Konkrétní lhůty pro každou kategorii údajů
Příjemci a sub-zpracovatelé
Cloud, účetní, kurýři, marketingové platformy
Cookies a sledovací technologie
Soulad s § 89 zák. 127/2005 Sb. a ePrivacy
Mezinárodní přenosy
Standardní smluvní doložky 2021/914/EU
Práva subjektu (čl. 15–22 GDPR)
Přístup, oprava, výmaz, omezení, přenositelnost, námitka
Stížnost u ÚOOÚ
Adresa Pplk. Sochora 27, 170 00 Praha 7
Změny zásad a kontaktní údaje
Datum účinnosti, archivace předchozích verzí
Jak vytvořit zásady ochrany osobních údajů
Sestavení zásad ochrany osobních údajů vyžaduje pochopení toho, jak vaše firma osobní údaje zpracovává. Generátor Doxuno vás provede jednotlivými oddíly a během několika minut vám vystaví profesionální PDF, které lze v České republice umístit na web nebo do e-shopu.
- 1
Identifikujte sebe jako správce
V zásadách musí být uvedena úplná identifikace správce — u právnické osoby v České republice obchodní firma zapsaná v obchodním rejstříku, IČO, sídlo a kontaktní e-mail; u OSVČ jméno, IČO a místo podnikání. Pokud máte povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR — orgány veřejné moci, organizace systematicky monitorující velké počty subjektů, nebo zpracovatelé velkého objemu zvláštních kategorií údajů (zdravotnická zařízení, banky, pojišťovny) — uveďte také jeho jméno a samostatný kontaktní e-mail. ÚOOÚ v ČR vyžaduje, aby DPO byl skutečně dosažitelný subjektům údajů a aby kontakt nebyl skryt za obecným podnikovým e-mailem.
- 2
Definujte účely a právní základy zpracování
Pro každý účel zpracování (např. "doručení objednávky", "fakturace", "zasílání newsletteru", "remarketing", "personalizace obsahu") určete konkrétní právní základ podle čl. 6 odst. 1 GDPR: (a) souhlas — typicky pro marketing a remarketing, (b) plnění smlouvy — typicky pro doručení objednávky, vyřízení reklamace, (c) plnění právní povinnosti — typicky pro účetní a daňové doklady (zák. č. 235/2004 Sb. o DPH a zák. č. 586/1992 Sb. o daních z příjmů vyžadují uchování faktur 10 let), (d) životně důležitý zájem (vzácně), (e) veřejný zájem (orgány veřejné moci) a (f) oprávněný zájem — typicky pro provoz webu, bezpečnost, prevenci podvodů. Záměna právních základů je v České republice častou chybou ÚOOÚ kontroluje zejména správné označení marketingových účelů.
- 3
Uveďte kategorie údajů, dobu uchování a příjemce
Pro každou kategorii osobních údajů — identifikační (jméno, příjmení), kontaktní (e-mail, telefon, adresa), transakční (objednávky, platby), lokalizační (IP adresa, GPS), profilové (chování na webu) — uveďte konkrétní dobu uchování a příjemce. Doba musí být co nejkratší pro daný účel (princip omezení uchování dle čl. 5 odst. 1 písm. e GDPR) — typicky: registrační údaje po dobu trvání účtu plus 3 roky pro promlčení, faktury 10 let dle daňových předpisů ČR, marketingový souhlas do odvolání. Příjemci jsou typicky cloud (AWS, Microsoft Azure, Google Cloud, Hetzner), kurýři (Česká pošta, Zásilkovna, PPL), platební brány (Stripe, GoPay, ComGate), účetní firma a marketingové platformy. Každý uveďte konkrétně.
- 4
Vyřešte cookies a marketing
Cookies a podobné sledovací technologie podléhají v České republice § 89 zákona č. 127/2005 Sb. o elektronických komunikacích — vyžaduje se předchozí souhlas uživatele před uložením non-essential cookies (analytické, marketingové, personalizační). Esenciální (technicky nutné) cookies pro fungování webu — košík, přihlášení, preference jazyka — jsou z požadavku souhlasu vyňaty. V zásadách uveďte konkrétní seznam cookies (název, účel, doba), poskytovatele (Google Analytics 4, Meta Pixel, Microsoft Clarity, Hotjar) a způsob, jakým uživatel může souhlas odvolat. ÚOOÚ v ČR společně s ČTÚ a ÚOHS v posledních letech kontrolují cookie lišty na českých webech — povinný je tlačítko "Odmítnout vše" rovnocenné s "Přijmout vše".
- 5
Doplňte práva subjektu a stáhněte PDF
Zásady musí obsahovat všechna práva subjektu údajů podle čl. 15–22 GDPR: právo na přístup (čl. 15), opravu (čl. 16), výmaz / "právo být zapomenut" (čl. 17), omezení zpracování (čl. 18), přenositelnost (čl. 20), námitku (čl. 21 — zejména proti přímému marketingu), nepodléhat automatizovanému rozhodování (čl. 22) a u zpracování na základě souhlasu právo souhlas kdykoli odvolat (čl. 7 odst. 3). Připojte rovněž informaci o právu podat stížnost u dozorového úřadu — v České republice je to Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz. Po vyplnění Doxuno vygeneruje profesionální PDF i HTML, které lze umístit na web v sekci "Ochrana osobních údajů" nebo "Privacy Policy".
Právní úvahy v České republice
Zásady ochrany osobních údajů musí být přesné, srozumitelné a aktuální. ÚOOÚ v České republice provádí pravidelné kontroly zveřejněných zásad a pokutuje zejména obecné, vágní nebo chybně právními základy uváděné dokumenty. Před publikací zvažte následující aspekty českého a evropského práva.
Tento vzor je poskytován pouze pro informační účely a nepředstavuje právní poradenství. Pokud zpracováváte zvláštní kategorie osobních údajů (čl. 9 GDPR — zdravotní stav, biometrie, politické názory, sexuální orientace), provádíte profilování ve velkém měřítku, používáte automatizované rozhodování nebo zpracováváte údaje dětí mladších 15 let (limit pro souhlas v ČR podle § 7 zák. č. 110/2019 Sb.), obraťte se na advokáta zapsaného v České advokátní komoře nebo na pověřence pro ochranu osobních údajů (DPO).
Posouzeno právními profesionály. Obsah této stránky a ujednání vzoru zásad ochrany osobních údajů byly posouzeny v souladu s GDPR, zákonem č. 110/2019 Sb. České republiky a zákonem č. 480/2004 Sb. o některých službách informační společnosti, což zajišťuje právní jistotu pro běžné weby, e-shopy a mobilní aplikace v ČR.
Čl. 13 a 14 GDPR — informační povinnost správce
Čl. 13 GDPR upravuje informační povinnost při získání údajů přímo od subjektu (nejčastější případ — registrace na webu, vytvoření účtu, objednávka v e-shopu) a čl. 14 GDPR situaci, kdy správce získává údaje od jiného zdroje (např. nákup databáze, předání od partnera). V obou případech musí zásady obsahovat: totožnost a kontakt správce, kontakt DPO (pokud je jmenován), účely zpracování a právní základ, oprávněné zájmy správce (pokud základ je čl. 6 odst. 1 písm. f GDPR), příjemce nebo kategorie příjemců, případně mezinárodní přenosy se zárukami, dobu uchování (nebo kritéria), všechna práva subjektu včetně práva podat stížnost u ÚOOÚ. Vágní formulace jako "vaše údaje zpracováváme v souladu s GDPR" v České republice neobstojí — ÚOOÚ vyžaduje konkrétní odkazy na účely a doby uchování pro každou kategorii dat.
Cookies a § 89 zákona č. 127/2005 Sb.
Cookies (a podobné sledovací technologie — local storage, fingerprinting, tracking pixely) podléhají v České republice dvojitému režimu: GDPR pro osobní údaje obsažené v cookies a § 89 zákona č. 127/2005 Sb. o elektronických komunikacích pro samotné ukládání informací do koncového zařízení uživatele. Od 1. 1. 2022 platí v ČR režim opt-in — non-essential cookies (analytické, marketingové, personalizační) lze ukládat až po výslovném souhlasu uživatele. Tlačítko "Odmítnout vše" musí být v cookie liště rovnocenné tlačítku "Přijmout vše" (stejná velikost, barva, viditelnost) — toto je výsledek rozhodnutí ÚOOÚ z roku 2022, které sleduje výkladovou praxi EDPB. Esenciální cookies (košík, přihlášení, technické) souhlas nevyžadují. Zásady musí obsahovat konkrétní seznam cookies: název, účel, dobu, poskytovatele (typicky Google Analytics, Meta Pixel, HubSpot).
Marketingová sdělení a zákon č. 480/2004 Sb.
Zasílání e-mailových newsletterů, SMS marketingu nebo push-notifikací upravuje v České republice § 7 zákona č. 480/2004 Sb. o některých službách informační společnosti. Pravidlo: marketingová sdělení lze zasílat pouze (a) na základě výslovného souhlasu adresáta nebo (b) v rámci tzv. "soft opt-in" — stávajícímu zákazníkovi v souvislosti s vlastními obdobnými produkty, pokud byl při získání e-mailu informován a má v každé zprávě snadnou možnost se odhlásit. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný (čl. 4 odst. 11 GDPR) — předem zaškrtnuté checkboxy ÚOOÚ v ČR neuznává. Každý newsletter musí obsahovat unsubscribe odkaz a ten musí být funkční. Kontrolu marketingu provádí ÚOOÚ a v některých aspektech (zejména telemarketing) i Český telekomunikační úřad (ČTÚ).
Práva subjektu a stížnost u ÚOOÚ
Čl. 15–22 GDPR garantují každému subjektu údajů sedm konkrétních práv: přístup k údajům (kopie zdarma, do 1 měsíce — čl. 15), oprava nepřesných údajů (čl. 16), výmaz / "právo být zapomenut" v zákonných případech (čl. 17), omezení zpracování (čl. 18), přenositelnost ve strojově čitelném formátu (čl. 20 — typicky JSON/CSV), námitka proti zpracování na základě oprávněného zájmu nebo přímému marketingu (čl. 21), nepodléhat automatizovanému rozhodování s právními účinky (čl. 22). Správce musí žádost vyřídit do 1 měsíce (čl. 12 odst. 3 GDPR) — možnost prodloužení o 2 měsíce u složitých případů. Pokud subjekt není spokojen, může v České republice podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, případně se obrátit na soud (čl. 79 GDPR) — žaloba se podává u krajského soudu příslušného podle § 88 OSŘ.
Často kladené otázky
Připraveni splnit informační povinnost dle GDPR?
Vyplňte údaje během několika minut a získejte profesionální zásady ochrany osobních údajů v souladu s GDPR a českou legislativou. Zdarma, bez nutnosti zakládat účet pro základní verzi.
Free · Instant PDF · No account required