GDPR pro fotografky a OSVČ: praktický průvodce 2026 (česky, bez paniky)

GDPR ti nesmí komplikovat byznys. Má tě jen ochránit (i tvoje klientky) před zneužitím dat. Většina fotografek a malých OSVČ má panický strach z GDPR — a přitom stačí dodržet pár jednoduchých pravidel a máš klid.

V tomto článku ti jako fotografka 25+ let praxe v Brně dám praktický návod — co musíš mít, jak to zorganizovat, a jak nedostat pokutu. Bez právního žargonu. Z mojí reálné praxe.

GDPR není o pokutách. Je o důvěře — klientka ti dá své fotky, ty ji ochráníš. To je celé.

Co je GDPR, jednou větou

GDPR (General Data Protection Regulation) = evropský zákon, který říká, jak zacházet s osobními údaji lidí. Platí od května 2018. V Česku ho dohlíží ÚOOÚ (Úřad pro ochranu osobních údajů).

Když fotíš lidi a máš jejich e-maily, telefony, fotky nebo cokoliv, co je „identifikuje" — GDPR se tě týká. Bez ohledu na to, jestli jsi velká firma nebo OSVČ s 5 zakázkami měsíčně.

Co všechno je „osobní údaj"

Osobní údaj = cokoliv, podle čeho lze identifikovat konkrétního člověka. Příklady ze tvojí praxe fotografky:

• ✅ Jméno a příjmení
• ✅ E-mail, telefon, adresa
• ✅ Fotka obličeje (i bez jména)
• ✅ IP adresa (z formuláře na webu)
• ✅ Cookies z webu
• ✅ Datum narození, věk
• ✅ Bankovní účet
• ✅ RČ, IČO (pokud spojené s konkrétním člověkem)
• ✅ Zdravotní info (zvlášť citlivá kategorie)

Každá z těchto věcí je osobní údaj. Když je máš v adresáři klientů, v Lightroomu (metadata fotek), v Excelu nebo kdekoli — patří pod GDPR.

Práva tvojí klientky — co může chtít

Tohle je důležité. Tvoje klientka má podle GDPR 6 hlavních práv:

1. Právo na informace

Klientka má vědět, jaká data o ní máš a co s nimi děláš. Splníš tím, že máš Zásady ochrany osobních údajů na webu.

2. Právo na přístup

Klientka může chtít kopii všeho, co o ní máš. Musíš odpovědět do 30 dnů.

3. Právo na opravu

Pokud jsou data špatně (chybný e-mail, jiný telefon), musíš opravit.

4. Právo na výmaz („právo být zapomenut")

Klientka může chtít, abys všechno o ní smazala — fotky, e-maily, kontakt, všechno. Musíš do 30 dnů. Výjimka: co máš ze zákona archivovat (faktury 5+ let), to nemažeš.

5. Právo na omezení zpracování

Klientka může požádat, abys data dočasně nezpracovávala (např. dokud nevyřešíš spor).

6. Právo vznést námitku

Pokud zpracováváš data na základě „oprávněného zájmu" (typicky marketing), klientka může říct ne. Musíš přestat.

8 dokumentů, které musíš mít

1. Zásady ochrany osobních údajů (na webu)

Stránka /ochrana-osobnich-udaju nebo /zasady-zpracovani-udaju. Říká, jaká data sbíráš, proč, jak dlouho je držíš, komu je předáváš.

2. Souhlas se zveřejněním fotky (pro klientky, které chceš ukázat na webu / Instagramu)

Pokud chceš dát fotku klientky na svůj web nebo Instagram, potřebuješ souhlas. Nestačí mlčení. Musí ti ho dát explicitně.

Můj postup: při focení mám tištěný formulář „Souhlasím / Nesouhlasím se zveřejněním vybraných fotek pro marketingové účely Marcely Kramářové, fotoateliér v Čechyni." Klientka zaškrtne, podepíše. Skenuji a archivuji.

3. Smlouva o focení (objednávka služby)

Říká, co bude fotit, kdy, za kolik, jaké jsou storno podmínky. Současně může obsahovat GDPR ustanovení (podle čeho data zpracováváš).

4. Souhlas s newsletterem (pokud máš)

Pokud klientka přijme do newsletteru, musíš mít jasný souhlas + datum. „Mlčící souhlas" (přihlásila se na slevu, dostává newsletter) NESTAČÍ.

5. Smlouva s SmartEmailing / Mailchimp / podobnými

Pokud používáš e-mailovací nástroj, předáváš tam data klientů. Musíš mít s providerem smlouvu (typicky DPA — Data Processing Agreement). U českého SmartEmailing je default.

6. Evidence zpracování (interní)

Tvůj interní dokument, kde si vedeš:

• Jaká data zpracováváš (jména, e-maily, fotky, telefony)
• Proč (focení, marketing, fakturace)
• Jak dlouho je držíš (např. fotky 5 let, kontakty 3 roky po posledním focení)
• Komu je předáváš (SmartEmailing, banka, daňová poradkyně)

Musíš mít při kontrole ÚOOÚ. Není ho třeba zveřejňovat.

7. Smlouva s daňovou poradkyní / účetní

Pokud někomu dáváš účetní data klientek (faktury), musíš mít smlouvu o zpracování. Daňová poradkyně se stává „zpracovatelem" tvých dat.

8. Politika incidentů

Co děláš, když se něco stane (únik dat, ztracený mobil, hacknutý účet). Stačí 1-2 stránky textu pro tebe — kontaktuj klientky, oznam ÚOOÚ do 72 hodin.

Kam ukládat fotky a klientská data

✅ Doporučuju

• Vlastní externí disk + zálohy (NAS doma)
• Cloud s evropskými servery — Tresorit (Švýcarsko), pCloud (Švýcarsko), MEGA (Nový Zéland s evropskými servery)
• iCloud — Apple má servery v Evropě, GDPR friendly (s podmínkami)
• Klientská galerie PIXIN — česká firma, GDPR by default

⚠️ Pozor na

• Google Drive / Dropbox — americké firmy. Data prochází USA. Pro citlivá klientská data NEDOPORUČUJU jako primární uložiště. Pro krátkodobé sdílení ok.
• WeTransfer — pro jednorázové předání ok (data se po 7 dnech mažou). NE jako uložiště.
• Facebook Messenger — předávat klientkám fotky NE. Meta má přístup k všemu.

❌ Vůbec ne

• USB flashky bez šifrování — ztratíš a celá databáze venku
• E-mail attachment — historie e-mailů zůstane navždy. Po smazání u tebe pořád u klientky.

5 nejčastějších chyb fotografek

1. Žádné Zásady ochrany osobních údajů na webu

Důsledek: Při kontrole ÚOOÚ je to jedna z prvních věcí, na které sahají. Pokuta začíná na desítkách tisíc.
Náprava: Šablonu Zásad si můžeš stáhnout zdarma (např. na uoou.gov.cz). Upravit do hodiny.

2. Zveřejnění fotky bez souhlasu

Důsledek: Klientka tě může žalovat. Pokuta až do 4 % obratu (u OSVČ ne moc), ale kompenzace klientce může být v tisícech.
Náprava: Vždy souhlas písemně před zveřejněním. Tištěný formulář při focení.

3. Marketing klientkám bez explicitního souhlasu

Důsledek: „Newsletter všem klientkám automaticky" je nelegální. Musí ho explicitně odsouhlasit.
Náprava: Při zápisu do CRM se ptej: „Smím vám posílat e-mailem novinky a slevy?" Pokud ne — nezapisuj do newsletteru.

4. Sdílení dat s americkými službami bez DPA

Důsledek: Data v USA bez smlouvy = porušení GDPR.
Náprava: Použij české / evropské alternativy (SmartEmailing, PIXIN, Tresorit). Pro Google / Dropbox aspoň jejich evropské tarify s DPA.

5. Žádná evidence souhlasů

Důsledek: Když klientka řekne „nedala jsem souhlas", musíš dokázat, že dala. Bez evidence prohraješ.
Náprava: Skenuj všechny souhlasy. Ulož s datem. Cloud s evropskými servery.

AI a GDPR — důležité 2026

S AI nástroji vznikla nová úroveň GDPR rizik. Pokud do AI dáš jméno klientky, předáváš její data třetí straně.

Pravidla pro AI

1. Nikdy nepiš plná jména klientek do žádné AI (ChatGPT, Everbot, kdekoli)
2. Anonymizuj — místo „Jana Nováková" piš „klientka X"
3. Pro fotky používej lokální nástroje (Evoto, Photoshop) — fotky neopouštějí tvůj disk
4. České AI — když potřebuješ cloud AI, vyber českou (Everbot). Data zůstanou v Evropě.

Detailně píšu v Bezpečné prompty s AI.

Co dělat při kontrole ÚOOÚ

ÚOOÚ může přijít na kontrolu (typicky po stížnosti od klientky nebo plošně v rámci kontrolní akce). Postup:

1. Zachovej klid. Není to konec světa.
2. Vyžádej si průkaz kontrolora a zápis o zahájení kontroly.
3. Doprovázej je v ateliéru, neopouštěj místnost.
4. Ukaž jim:
   • Zásady ochrany osobních údajů (na webu)
   • Souhlasy klientek (v šanonu nebo v cloudu)
   • Evidenci zpracování
   • Smlouvy s providery (SmartEmailing, daňová poradkyně)
5. Po kontrole dostaneš zápis. Pokud nesouhlasíš, do 5 dnů můžeš podat námitky.
6. Pokud uložili pokutu, do 30 dnů odvolat.

V 95 % případů, pokud máš základní 8 dokumentů, kontrola skončí dobře. Maximálně dostaneš upozornění s lhůtou na nápravu.

Výjimky, které se ti budou hodit

Fotografování v městě

Pokud fotíš veřejné prostranství (rušné náměstí, ulice), nepotřebuješ souhlas každého kolemjdoucího. Ale pokud uděláš portrét konkrétního člověka, ano.

Děti

Pro fotky dětí potřebuješ souhlas obou rodičů. U rozvedených párů obojí. Do 15 let dítě samo nemůže souhlas dát.

Na akci / firemní akci

Když tě objedná pořadatel akce (firemní event, oslava, vícegenerační rodinné setkání), platí jeho souhlas. Ale jednotlivé hosty na fotce zveřejnit bez jejich souhlasu nesmíš (např. na svém Instagramu). Můžeš je dát jen do galerie pro pořadatele.

Marcelin checklist — krátká verze

Časté otázky

Musím mít DPO (Data Protection Officer)?

OSVČ a malé firmy ne. DPO je povinný jen pro velké firmy a státní instituce.

Co když klientka chce smazat všechny fotky?

Smažeš všechny její fotky, kontakt, e-maily. Výjimka: faktury (musíš archivovat 5 let podle daňového zákona). Faktury anonymizuj (nahraď jméno za „klientka X").

Můžu si nechat fotky pro vlastní portfolio?

Pokud máš souhlas se zveřejněním (formulář s ano), ano. Pokud ne, ne. Souhlas se může kdykoli odvolat — pak musíš stáhnout.

Kolik je pokuta?

Maximálně 4 % obratu nebo 20 milionů eur (co je víc). U OSVČ realisticky 5 000-50 000 Kč za běžnou chybu. Při opakovaném porušení nebo úniku citlivých dat víc.

Stačí mi šablona z internetu?

Pro Zásady ano (dobré šablony jsou). Pro souhlasy radši konzultuj jednou s právníkem (1500 Kč) — uděláš si pak vlastní pro celou praxi.

Marcelina rada na konec

GDPR není o tom, že se ti někdo bude snažit udělat ze života peklo. Je o tom, že tvoje klientky ti svěřují citlivé věci — fotky obličejů, e-maily, někdy intimní okamžiky — a chtějí mít jistotu, že se jim to nedostane do nepovolaných rukou.

To je věc, která je v souladu s tím, jak chceš dělat byznys. Klientka, která ti důvěřuje, se vrací. Klientka, která zjistí, že její fotka bez souhlasu visí na tvém Instagramu, se nevrátí — a ještě o tobě poví známým.

Investice 1 dne do GDPR setupu = klid na 5+ let.

GDPR je ochrana důvěry. A důvěra je v byznysu fotografky to nejcennější, co máš.

Související články

• 📖 Bezpečné používání AI (pillar)
• 📖 2FA krok za krokem
• 📖 Bezpečné prompty s AI
• 📖 Silné heslo a správce hesel