10 let s GDPR – stále aktuální a důležité
25. května 2026 uplyne 10 let od přijetí GDPR a 8 let od jeho účinnosti. Deset let, které změnily pohled na osobní údaje!
Za tu dobu se z regulace, kterou řada firem zpočátku vnímala jako administrativní zátěž, stal běžný provozní standard. Ochrana osobních údajů dnes prolíná HR, obchod, marketing, IT i kybernetickou bezpečnost.
K výročí vydal Úřad pro ochranu osobních údajů (ÚOOÚ) společně se Spolkem pro ochranu osobních údajů informační brožuru „10 let s GDPR“ 
, která shrnuje desetiletou praxi, vývoj výkladu a nejčastější chyby.
REKORDNÍ NÁRŮST STÍŽNOSTÍ: SIGNÁL ZMĚNY
Nejvýraznějším signálem z výroční zprávy ÚOOÚ je prudký nárůst podání. Úřad loni přijal 2 514 stížností a 1 340 podnětů, což představuje meziroční nárůst o více než 68 % a nejvyšší hodnotu od účinnosti GDPR.
Není to jen číslo. Je to signál změny společenského klimatu: lidé si více uvědomují svá práva a častěji se obrací na ÚOOÚ v širší škále situací — blokace účtů na sociálních sítích, zpracování dat zaměstnavateli při získávání referencí, vedení údajů v registrech dlužníků nebo zveřejňování údajů influencery. Pro správce to znamená jediné: nižší tolerance vůči nejasnostem a vyšší pravděpodobnost, že se podání ÚOOÚ skutečně dotkne i vaší organizace.
Česká republika není výjimkou. V celé EU je meziroční růst hlášení vyčíslen na 22 %. Regulační orgány tak denně řešily více než 440 podnětů .
ZVLÁŠTNÍ KATEGORIE ÚDAJŮ POD DROBNOHLEDEM
Brožura ÚOOÚ připomíná, že zvláštní kategorie osobních údajů mají zvláštní právní režim podle čl. 9 GDPR. Patří mezi ně údaje vypovídající o:
rasovém či etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení, členství v odborech, zdravotním stavu, sexuálním životě nebo orientaci, genetické a biometrické údaje, pokud slouží k jedinečné identifikaci osoby.
Zpracování těchto údajů je v zásadě zakázáno a je možné jen na základě některé z výslovně uvedených výjimek (souhlas, plnění právních povinností, ochrana životně důležitých zájmů aj.). Praktický dopad: u biometrie, kamerových systémů s rozpoznáváním obličejů nebo zpracování zdravotních údajů musí být právní základ výslovný a přesný — nestačí obecná dovoditelnost. Případ kontroly biometrického systému na letišti Václava Havla z roku 2025 to potvrdil v plné šíři.
KDE SE NEJVÍC CHYBUJE
Zastaralé nebo formální záznamy o činnostech, které neodpovídají skutečnému stavu. Neprokazatelné souhlasy v marketingu a v e-shopech. Chybějící nebo neaktualizované zpracovatelské smlouvy — zejména po změnách dodavatelů cloudových služeb. Podceňované napojení GDPR na kybernetickou bezpečnost — incident s daty je dnes téměř vždy i incident podle GDPR.
PLÁN KONTROL ÚOOÚ NA ROK 2026
Z výroční zprávy ÚOOÚ vyplývá, že kontroly v roce 2026 se zaměří mimo jiné na:
zpracování osobních údajů ve veřejném sektoru a samosprávě, biometrické údaje a kamerové systémy, bezpečnostní incidenty a jejich ohlašování, přeshraniční přenosy dat.
Úřad zároveň otevřeně přiznává vyčerpané personální kapacity. Praktický dopad: kontrol nebude mnoho, o to ale budou cílenější, hlubší a důslednější — typicky tam, kde se nahromadily stížnosti nebo proběhl bezpečnostní incident.
GDPR A KYBERNETICKÁ BEZPEČNOST JDOU RUKU V RUCE
S nástupem nové úpravy kybernetické bezpečnosti (NIS2 / český zákon o kybernetické bezpečnosti) se obě oblasti silně překrývají. Bezpečnostní incident dnes znamená nejen technický problém, ale i ohlašovací povinnost vůči ÚOOÚ a komunikaci se subjekty údajů.
JAK VÁM MŮŽE Q-COM POMOCI
Provádíme:
rychlý audit souladu s GDPR a navazující dokumentace , revizi zpracovatelských smluv a souhlasů , nastavení postupů pro bezpečnostní incidenty (GDPR + ZoKB) , školení zaměstnanců a podporu DPO .
Pokud si nejste jisti, zda jste na rok 2026 připraveni, ozvěte se nám. Domluvíme krátkou nezávaznou konzultaci a doporučíme konkrétní kroky.
