Den ochrany osobních údajů
Na 28. leden již tradičně připadá Den ochrany osobních údajů. Pojďme si připomenout témata, která rozhýbala stojaté vody GDPR v České republice.
SBĚR DAT
Že není radno brát GDPR na lehkou váhu dokládá rekordní sankce 351 milionů Kč 
, kterou v roce 2024 udělil Úřad pro ochranu osobních údajů (ÚOOÚ) společnosti Avast Software s.r.o. Společnost v rámci poskytování služeb antivirového software – rozšíření pro internetové prohlížeče – sledovala, na jaké stránky uživatelé chodí. Tyto informace, které nebyly dostatečně anonymizovány, předávala dál. Mohlo tak dojít k opětovné identifikaci části uživatelů, což ÚOOÚ vadilo. Navíc uživatelé nebyli dostatečně a srozumitelně informováni, k čemu jejich data slouží.
Případ však dosud nebyl uzavřen, jelikož se firma proti rozhodnutí ohradila. Městský soud v Praze ji sice obvinění nezprostil, ale rozporoval způsob, kterým ÚOOÚ odhadl počet osob, kterých se měl sběr dat týkat (100 milionů). Pokutu zrušil a úřadu uložil, aby její výši stanovil znovu .
Se sběrem dat souvisí i téma cookie lišt , které je stále živé. ÚOOÚ upozorňuje na nutnost získávání souhlasů v případě, že na svých webových prezentacích využíváte jiné než technické cookies.
Doporučení Q – COM: Zkontrolujte, jaká data skutečně sbíráte (nejen to, co máte napsáno v dokumentaci). Prověřte, kam data odcházejí – dodavatelé, cloud, analytika, marketing. Ujistěte se, že souhlasy odpovídají realitě zpracování.
Cookie lišta je důkazním prostředkem při kontrole ÚOOÚ. Zkontrolujte správnou kategorizaci cookies (technické x analytické x marketingové). Odstraňte přednastavené souhlasy (předem zaškrtnuté volby). Pravidelně revidujte nástroje třetích stran, které používáte pro analytiku, marketing, chaty atd.
KAMERY
ÚOOÚ aktualizoval metodiku ke kamerovým systémům . Nejde o kosmetickou úpravu. Metodika, která byla vydána v roce 2024, výrazně zpřesňuje výklad GDPR a dává firmám jasný signál: kamerové systémy patří mezi nejrizikovější zpracování osobních údajů a zároveň mezi nejčastější předměty stížností.
Citlivost tématu potvrzuje i dění týkající se provozu kamerového systému s automatickou detekcí obličejů na Letišti Václava Havla (od roku 2019), který je dlouhodobě trnem v oku nejen odborné veřejnosti, ale i občanské společnosti. Biometrické funkce kamer (rozpoznávání obličejů) a automatické vyhodnocování patří mezi nejrizikovější formy zpracování.
Provoz systému byl nakonec vloni přerušen poté, co vstoupilo v platnost Nařízení EU AI Act .
Návrat kamerového systému je podmíněn přijetím a implementací konkrétních pravidel v českém právním systému a soudním schválením opětovného provozu.
ÚOOÚ se kamerami opravdu velice zabývá. V lednu 2025 zveřejnil Doporučení č. 1/2025 ke kamerovým systémům ve školách , které na metodiku navazuje a zpřesňuje pravidla pro školní prostředí. Úřad si uvědomuje vysokou citlivost školního prostředí, kde kamerový dohled může představovat výrazný zásah do soukromí žáků, studentů i zaměstnanců.
Doporučení Q-COM:
Proveďte revizi kamerového systému (odpovídá-li technické nastavení právnímu rámci). Aktualizujte posouzení vlivu na ochranu osobních údajů (DPIA), posouzení oprávněného zájmu, informační texty a interní směrnice, protože ÚOOÚ se při kontrolách stále více zaměřuje právě na kvalitu a aktuálnost dokumentace, nikoli jen na samotnou technologii.
KYBERNETICKÁ BEZPEČNOST A OCHRANA OSOBNÍCH ÚDAJŮ SE SBLIŽUJÍ
Nesmíme zapomenout na novelu zákona o zpracování osobních údajů č. 110/2019 Sb. (účinnost k 1. 8. 2025) jakož i na otevření významných politicko-legislativních debat směřujících ke zjednodušení GDPR typicky v oblasti záznamů o činnostech zpracování (čl. 30 GDPR), kde mají organizace s méně jak 250 zaměstnanci výjimku z povinnosti záznamy vést, pokud neprovádí zpracování s vysokým rizikem pro práva a svobody osob. Nově by se mohla výjimka rozšířit na organizace do 750 zaměstnanců.
A za zmínku stojí i nový zákon o kybernetické bezpečnosti č. 264/2025 Sb. (účinnost k 1. 11. 2025), který má přímý dopad na osobní údaje: řízení rizik, incidenty, dodavatelé, logování, evidence aktiv, požadavky na bezpečnostní opatření…
Na konci roku 2025 se na úrovni EU otevřela debata o balíku návrhů Digital Omnibus , který má zjednodušit klíčová digitální pravidla týkající se NIS 2, GDPR, AI Act a dalších předpisů. Zatím nejde o hotové změny, ale cíl je jasný: méně formalit, snížení administrativní zátěže, více důrazu na skutečné řízení rizik.
Rok 2026 bude z pohledu organizací klíčový pro dokončení příprav správy a řízení AI (mapování případů užití, řízení rizik, dokumentace, dohled nad dodavateli) a pro sladění AI compliance s GDPR (zejména DPIA/rizikové posouzení, transparentnost vůči subjektům údajů, práce s daty pro trénink a inference, bezpečnost).
Dozorové orgány pro ochranu osobních údajů budou hrát významnou roli i v rámci prosazování AI Act v případech, kdy budou AI využívány pro zpracování osobních údajů.
Doporučení Q – COM: Vyplatí se mít GDPR uchopené jako systém řízení procesů. Organizace, které vedou přehlednou evidenci zpracování, mají jasně definované odpovědnosti, ošetřené dodavatelské vztahy a funkční řízení incidentů, budou do budoucna schopny reagovat na změny rychle a s minimálními náklady.
PRIORITY ÚOOÚ PRO NÁSLEDUJÍCÍ OBDOBÍ
Úřad udělil v poslední době několik pokut. Poučit bychom se měli z těchto případů:
pokuta 3 194 000 Kč – správce nebyl schopen doložit udělení souhlasu pro zpřístupnění osobních údajů klientů dalším subjektům za účelem nabídky finančních/investičních produktů; zároveň byl problém s doložením plnění informační povinnosti. pokuta 96 000 Kč – zpracování jména, příjmení a telefonního čísla nejméně dvou subjektů údajů bez zákonného důvodu zpracování; impulzem byly stížnosti na nevyžádané telemarketingové hovory. pokuta 32 000 Kč – správce nevyřídil žádost o výmaz osobních údajů (jméno/příjmení a fotografie/videozáznamy) z příspěvků na profilu na sociálních sítích.
Byť kontrolní plán pro rok 2026 nebyl dosud vydán, z toho loňského je jasné, nač se úřad (kromě stížností) zaměřuje: Využívání dat z registrů informačních systémů veřejné správy. Podmiňování slev obchodních řetězců udělením souhlasu se zpracováním osobních údajů (otázka dobrovolnosti souhlasu). Kamerové systémy v dopravních prostředcích (přiměřenost, účelové omezení, doby uchování záznamů). Rozesílání nevyžádaných obchodních sdělení (spam).
Že si nevíte se všemi těmi doporučeními rady? Od toho jsme přeci tady!
