PravoidVygenerovat zdarma

Zásady ochrany osobních údajů (Privacy Policy) — kompletní průvodce 2026

12 min čtení

Provozujete web? Pak zpracováváte osobní údaje. A kdokoli zpracovává osobní údaje, musí mít Privacy Policy — dokument, který návštěvníkům webu říká, co s jejich daty děláte. Není to volitelné. Není to formalita. Je to zákonná povinnost plynoucí přímo z GDPR.

Přesto nemá velká část českých webů Privacy Policy vůbec, nebo má dokument, který byl zkopírován z jiného webu, napsán v angličtině, nebo naposledy aktualizován v roce 2018. Každá z těchto situací je porušení zákona.

V tomto průvodci vám vysvětlíme, co Privacy Policy je, kdo ji musí mít, co v ní nesmí chybět podle GDPR a jak si ji jednoduše vytvořit — bez právníka a bez zbytečně složitého textu.

Co je Privacy Policy — jednoduše, bez žargonu

Privacy Policy (česky Zásady ochrany osobních údajů) je dokument zveřejněný na vašem webu, ve kterém vysvětlujete návštěvníkům:

  • jaká jejich osobní data sbíráte
  • proč je sbíráte a k čemu je používáte
  • komu je případně předáváte
  • jak dlouho je uchováváte
  • jaká mají práva a jak je mohou uplatnit

Nemusí být psaná jako právní text. Naopak — dobrá Privacy Policy je srozumitelná pro běžného člověka, který právník není. GDPR výslovně požaduje, aby informace byly podávány jasně, srozumitelně a snadno přístupně.

Právní základ pro povinnost mít Privacy Policy jsou články 13 a 14 nařízení GDPR (EU) 2016/679 a zákon č. 110/2019 Sb. o zpracování osobních údajů. Čl. 13 se vztahuje na data sbíraná přímo od uživatelů (formulář, objednávka), čl. 14 na data získaná nepřímo (nákup databáze, sociální sítě).

Kdo musí mít Privacy Policy

Krátká odpověď: prakticky každý web.

Dlouhá odpověď: každý, kdo zpracovává osobní údaje. A osobní údaje zpracovává skoro každý web — i ten nejjednodušší blog. Proč?

  • Google Analytics nebo jiná analytika — ukládá cookies vázané na unikátního uživatele, přenáší IP adresu do USA
  • Kontaktní formulář — sbíráte jméno a e-mail
  • Newsletter — zpracováváte e-mailové adresy
  • Serverové logy — zaznamenávají IP adresy návštěvníků
  • Facebook Pixel, Google Ads — marketingové sledování napříč weby
  • Komentáře — Disqus, WordPress komentáře sbírají jméno a e-mail
  • Přihlašování — uživatelské účty jsou osobní údaje

IP adresa je podle GDPR osobní údaj. Cookie, která identifikuje unikátního uživatele, je osobní údaj. To znamená, že i blog bez jakéhokoli formuláře — pokud má Google Analytics — zpracovává osobní údaje a Privacy Policy potřebuje.

Více o tom, které dokumenty přesně váš web potřebuje, najdete v našem přehledovém článku Jaké dokumenty potřebuje váš web v roce 2026.

Co musí obsahovat podle GDPR čl. 13

GDPR v článku 13 přesně definuje, co musí správce údajů sdělit v okamžiku, kdy od uživatele sbírá data. Tady je přehled povinných náležitostí — a co to v praxi znamená:

1. Identifikace správce údajů

Kdo jste — obchodní jméno nebo jméno a příjmení, IČO, adresa sídla a kontaktní údaje. Nestačí jen název webu — musí být jasné, kdo za webem stojí a jak vás kontaktovat.

2. Kontakt na pověřence pro ochranu osobních údajů (DPO)

Pokud máte pověřence (DPO — Data Protection Officer), musíte uvést jeho kontaktní údaje. DPO je povinný pro veřejné orgány a organizace, které ve velkém rozsahu sledují lidi nebo zpracovávají citlivé kategorie dat. Většina malých webů a e-shopů DPO povinně jmenovat nemusí.

3. Účely a právní základ zpracování

Pro každý účel zpracování musíte uvést, proč data sbíráte a na jakém právním základě. GDPR rozlišuje šest právních základů:

  • Souhlas (čl. 6 odst. 1 písm. a) — newsletter, marketingové cookies
  • Plnění smlouvy (čl. 6 odst. 1 písm. b) — zpracování objednávky, doručení
  • Právní povinnost (čl. 6 odst. 1 písm. c) — účetní záznamy, daňové doklady
  • Oprávněný zájem (čl. 6 odst. 1 písm. f) — analytika webu, prevence podvodů
  • Ochrana životně důležitých zájmů — výjimečné situace
  • Výkon veřejné moci — pro veřejné orgány

Musíte uvést správný právní základ pro každý účel — nestačí napsat „zpracováváme vaše data" bez dalšího.

4. Příjemci nebo kategorie příjemců osobních údajů

Komu data předáváte? Google (Analytics, Ads), Meta (Facebook Pixel), platební brána (Stripe, GoPay, Comgate), e-mailový nástroj (Mailchimp, Ecomail), hostingová společnost. Každou třetí stranu, které data zpřístupňujete, musíte jmenovat nebo alespoň popsat kategorii příjemce.

5. Předávání dat mimo EU (třetí země)

Pokud data putují mimo Evropský hospodářský prostor (typicky do USA — Google, Meta, Stripe), musíte to uvést a vysvětlit, jaké záruky jsou zavedeny (standardní smluvní doložky, rozhodnutí o odpovídající ochraně).

6. Doba uchovávání

Jak dlouho data uchováváte? Nestačí napsat „po dobu nezbytně nutnou". GDPR vyžaduje konkrétní lhůty nebo kritéria pro jejich stanovení. Například: „objednávkové údaje uchováváme 10 let pro daňové účely", „analytická data 26 měsíců", „marketingové souhlasy do odvolání".

7. Práva subjektů údajů

Uživatelé mají ze zákona tato práva, která musíte v Privacy Policy popsat:

  • Právo na přístup — zjistit, jaká data o sobě máte uložená
  • Právo na opravu — opravit nepřesné údaje
  • Právo na výmaz (právo být zapomenut) — smazat data za určitých podmínek
  • Právo na omezení zpracování — pozastavit zpracování
  • Právo na přenositelnost — dostat data ve strojově čitelném formátu
  • Právo vznést námitku — proti zpracování na základě oprávněného zájmu
  • Právo odvolat souhlas — kdykoli, bez negativních důsledků

8. Právo podat stížnost u dozorového orgánu

V Privacy Policy musíte explicitně uvést, že uživatelé mají právo podat stížnost u Úřadu pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, web: uoou.gov.cz.

Všechny tyto náležitosti automaticky pokryje Pravoid
Vyplníte formulář o svém webu — Pravoid vygeneruje kompletní Privacy Policy s právním základem pro každý účel zpracování, konkrétními příjemci a dobami uchovávání.
Vygenerovat Privacy Policy zdarma →

Tohle je zdroj nejčastějšího zmatení. Privacy Policy a Cookie Policy jsou dva různé dokumenty, přestože se tématy částečně překrývají.

Privacy Policy pokrývá veškeré zpracování osobních údajů na vašem webu — e-mailové adresy z formulářů, objednávkové údaje, uživatelské účty, analytická data, cookies. Je to obecný zastřešující dokument o zacházení s daty.

Cookie Policy je specializovaný dokument výhradně o cookies a podobných sledovacích technologiích. Obsahuje detailní přehled každé konkrétní cookie — název, poskytovatele, účel, dobu platnosti. Na Cookie Policy odkazuje cookie lišta (consent banner).

Oba dokumenty potřebujete — vzájemně se doplňují a nevylučují. Privacy Policy může na Cookie Policy odkazovat, ale nenahrazuje ji.

Podrobný průvodce Cookie Policy najdete v článku Cookie Policy — co to je, proč ji potřebujete a jak ji vytvořit.

Nejčastější chyby v Privacy Policy

Při analýze desítek českých webů narážíme stále na stejné problémy. Pokud se v něčem z toho poznáte, je čas Privacy Policy aktualizovat.

Zkopírovaná Privacy Policy z jiného webu

Nejhorší a nejčastější chyba. Výsledkem je dokument s cizím IČO nebo názvem firmy, odkazující na služby, které nepoužíváte (nebo naopak nezmiňující ty, které používáte). Právní základ je buď chybný, nebo zcela chybí. ÚOOÚ to pozná okamžitě.

Chybějící konkrétní třetí strany

„Můžeme data sdílet s partnery" nestačí. GDPR požaduje jmenovat konkrétní příjemce nebo alespoň kategorie. Pokud používáte Google Analytics 4, Meta Pixel, Mailchimp, Stripe nebo GoPay, musí to být v Privacy Policy explicitně uvedeno včetně toho, co tato zpracování znamenají pro uživatele.

Chybějící nebo nesprávný právní základ

Privacy Policy musí pro každý účel zpracování uvádět konkrétní právní základ z čl. 6 GDPR. „Zpracováváme vaše data pro zlepšení služeb" bez odkazu na konkrétní právní základ je nedostačující. Oprávněný zájem nelze používat automaticky na vše — musí být zdůvodněn tzv. testem balancování zájmů.

Neaktuální informace

Privacy Policy z roku 2018 nebo 2020, přestože web mezitím přidal Google Analytics 4 (a odstranil Universal Analytics), spustil newsletter, přidal Facebook Pixel nebo změnil platební bránu. Každá taková změna vyžaduje aktualizaci dokumentu.

Anglická nebo strojově přeložená Privacy Policy

Pokud cílíte na české uživatele, musí být Privacy Policy v češtině. Strojové překlady anglických šablon navíc nerespektují specifika české legislativy — zákon č. 110/2019 Sb. nebo judikaturu ÚOOÚ.

Nesprávné doby uchovávání

„Uchováváme data po dobu nezbytně nutnou" je typický příklad — právně prázdná fráze. GDPR vyžaduje konkrétnost. Daňové doklady 10 let, záruční záznamy 3 roky po uplynutí záruky, analytická data typicky 14–26 měsíců. Bez konkrétních lhůt Privacy Policy nesplňuje požadavky čl. 13 odst. 2 písm. a).

Detailní přehled GDPR povinností pro e-shopy najdete v článku GDPR pro e-shopy: Co musíte splnit a jak na to.

Jak vytvořit Privacy Policy

Existují dva základní přístupy: napsat ji ručně (s pomocí vzoru nebo právníka) nebo použít generátor. Každý má své místo.

Přístup 1: Ručně s pomocí vzoru

Pokud se chcete do Privacy Policy ponořit, potřebujete vědět toto:

Krok 1 — Zmapujte zpracování dat. Projděte celý web a identifikujte každé místo, kde sbíráte nebo zpracováváte data: formuláře, analytické skripty, platební systémy, e-mailové nástroje, komentáře, přihlašování. Každé zpracování musí mít svůj řádek v Privacy Policy.

Krok 2 — Přiřaďte právní základ. Pro každý účel zpracování určete správný právní základ z čl. 6 GDPR. Objednávka → plnění smlouvy. Newsletter → souhlas. Účetnictví → právní povinnost. Google Analytics → oprávněný zájem (nebo souhlas, pokud si zvolíte přísnější přístup).

Krok 3 — Vypište příjemce. Pro každé zpracování identifikujte, kdo ještě k datům přistupuje: Google, Meta, váš hosting, platební brána, e-mailový nástroj. Zkontrolujte, zda mají standardní smluvní doložky pro přenos mimo EU.

Krok 4 — Stanovte doby uchovávání. Konzultujte účetní legislativu (zákon č. 563/1991 Sb. vyžaduje 5 let pro účetní záznamy, zákon č. 235/2004 Sb. o DPH 10 let pro daňové doklady), záruční legislativu a specifika vašeho odvětví.

Krok 5 — Napište dokument srozumitelně. Použijte jednoduché věty, strukturujte do sekcí, vyhněte se právnickému žargonu. GDPR výslovně vyžaduje srozumitelnost.

Ruční přístup dává smysl, pokud zpracování dat na vašem webu je nestandardní nebo velmi rozsáhlé, a chcete mít plnou kontrolu nad každou formulací.

Přístup 2: Generátor Pravoid (60 sekund)

Pro drtivou většinu českých webů a e-shopů je nejrychlejší a nejspolehlivější cesta použít generátor. Nemusíte znát právní základ pro každý účel zpracování — generátor se vás zeptá na konkrétní věci (jaké nástroje používáte, jaká data sbíráte, kde provozujete web) a správně vyplněný právní základ přiřadí automaticky.

Výsledkem je Privacy Policy:

  • v češtině, přizpůsobená vašemu webu
  • s konkrétními třetími stranami (Google Analytics, Meta Pixel, Stripe…)
  • se správnými právními základy pro každý účel
  • s konkrétními dobami uchovávání
  • v souladu s GDPR čl. 13 a zákonem č. 110/2019 Sb.

Generátor je vhodný pro blogy, e-shopy, portfolia, SaaS aplikace — pro každý typ webu, který nechce investovat čas do studování legislativy a přesto chce mít dokumenty v pořádku.

Privacy Policy za 60 sekund — bez právníka, bez žargonu
Vyplňte formulář o svém webu a Pravoid vygeneruje Privacy Policy přizpůsobenou přesně vašim nástrojům a datům. Zdarma k vyzkoušení.
Vygenerovat Privacy Policy zdarma →

Závěr

Privacy Policy není zbytečný kus textu ve footeru. Je to zákonná povinnost každého webu, který zpracovává osobní údaje — a to je prakticky každý web na světě.

Dobrá Privacy Policy je stručná, srozumitelná a konkrétní. Jmenuje skutečné nástroje, které používáte. Uvádí správný právní základ pro každý účel. Říká přesně, jak dlouho data uchováváte a kde je uživatel může nechat smazat.

Špatná Privacy Policy — zkopírovaná, zastaralá nebo v angličtině — vás před ÚOOÚ neochrání. A pokuta může být bolestivá.

Potřebujete ještě více kontextu o právních povinnostech vašeho webu? Přečtěte si také Jaké dokumenty potřebuje váš web v roce 2026 — komplexní checklist pro e-shopy, blogy i SaaS projekty.

Vygenerujte Privacy Policy přizpůsobenou vašemu webu
V češtině, s konkrétními nástroji a správnými právními základy. Za 60 sekund a zdarma k vyzkoušení.
Vygenerovat Privacy Policy zdarma →

Vygenerujte právní dokumenty pro svůj web za 60 sekund

Privacy Policy, Cookie Policy a obchodní podmínky — v češtině, v souladu s GDPR. Zdarma k vyzkoušení.

Vygenerovat zdarma →

Časté otázky

Musím mít Privacy Policy i když mám jen blog?
Ano. Pokud váš blog používá Google Analytics, komentáře, kontaktní formulář nebo i jen serverové logy s IP adresami, zpracováváte osobní údaje. A kdokoli osobní údaje zpracovává, musí mít Privacy Policy — bez výjimky. IP adresa je podle GDPR osobní údaj.
Jak často musím Privacy Policy aktualizovat?
Pokaždé, když se změní způsob zpracování dat — přidáte nový analytický nástroj (Google Analytics 4, Hotjar), zapojíte nový platební systém, začnete posílat newsletter, nebo se změní legislativa. Doporučujeme kontrolu minimálně jednou ročně. Zastaralá Privacy Policy je pro ÚOOÚ stejný problém jako chybějící.
Co mi hrozí bez Privacy Policy?
Úřad pro ochranu osobních údajů (ÚOOÚ) může uložit pokutu až 20 milionů EUR nebo 4 % celosvětového ročního obratu — podle toho, co je vyšší. V praxi české pokuty dosahují řádově desítek až stovek tisíc korun. Kromě pokuty hrozí i povinnost okamžitě nápravu zjednat a potenciální ztráta důvěry zákazníků.
Mohu použít Privacy Policy z jiného webu nebo anglickou šablonu?
Nedoporučujeme to. Zkopírovaná Privacy Policy typicky obsahuje cizí IČO nebo název firmy, odkazuje na jiné služby než používáte, chybí správné právní základy pro každý účel zpracování a neodpovídá české legislativě. Anglické šablony (TermsFeed, Iubenda) navíc ignorují specifika českého práva. Dokument musí odpovídat přesně vašemu webu.

Další články

25. března 2026

Jaké dokumenty potřebuje váš web v roce 2026

27. března 2026

GDPR pro e-shopy: Co musíte splnit a jak na to

27. března 2026

Obchodní podmínky e-shopu: Vzor a kompletní návod 2026

30. března 2026

Cookie Policy — co to je, proč ji potřebujete a jak ji vytvořit