Na 28. leden již tradičně připadá Den ochrany osobních údajů. Pojďme si připomenout témata, která rozhýbala stojaté vody GDPR v České republice. 

SBĚR DAT

Že není radno brát GDPR na lehkou váhu dokládá rekordní sankce 351 milionů Kč , kterou v roce 2024 udělil Úřad pro ochranu osobních údajů (ÚOOÚ) společnosti Avast Software s.r.o. Společnost v rámci poskytování služeb antivirového software – rozšíření pro internetové prohlížeče – sledovala, na jaké stránky uživatelé chodí. Tyto informace, které nebyly dostatečně anonymizovány, předávala dál. Mohlo tak dojít k opětovné identifikaci části uživatelů, což ÚOOÚ vadilo. Navíc uživatelé nebyli dostatečně a srozumitelně informováni, k čemu jejich data slouží. 

Případ však dosud nebyl uzavřen, jelikož se firma proti rozhodnutí ohradila. Městský soud v Praze ji sice obvinění nezprostil, ale rozporoval způsob, kterým ÚOOÚ odhadl počet osob, kterých se měl sběr dat týkat (100 milionů). Pokutu zrušil a úřadu uložil, aby její výši stanovil znovu . 

Se sběrem dat souvisí i téma cookie lišt , které je stále živé. ÚOOÚ upozorňuje na nutnost získávání souhlasů v případě, že na svých webových prezentacích využíváte jiné než technické cookies. 

Doporučení Q – COM: Zkontrolujte, jaká data skutečně sbíráte (nejen to, co máte napsáno v dokumentaci). Prověřte, kam data odcházejí – dodavatelé, cloud, analytika, marketing. Ujistěte se, že souhlasy odpovídají realitě zpracování.
Cookie lišta je důkazním prostředkem při kontrole ÚOOÚ. Zkontrolujte správnou kategorizaci cookies (technické x analytické x marketingové). Odstraňte přednastavené souhlasy (předem zaškrtnuté volby). Pravidelně revidujte nástroje třetích stran, které používáte pro analytiku, marketing, chaty atd. 

KAMERY

ÚOOÚ aktualizoval metodiku ke kamerovým systémům . Nejde o kosmetickou úpravu. Metodika, která byla vydána v roce 2024, výrazně zpřesňuje výklad GDPR a dává firmám jasný signál: kamerové systémy patří mezi nejrizikovější zpracování osobních údajů a zároveň mezi nejčastější předměty stížností.

Citlivost tématu potvrzuje i dění týkající se provozu kamerového systému s automatickou detekcí obličejů na Letišti Václava Havla (od roku 2019), který je dlouhodobě trnem v oku nejen odborné veřejnosti, ale i občanské společnosti. Biometrické funkce kamer (rozpoznávání obličejů) a automatické vyhodnocování patří mezi nejrizikovější formy zpracování. 

Provoz systému byl nakonec vloni přerušen poté, co vstoupilo v platnost Nařízení EU AI Act .
Návrat kamerového systému je podmíněn přijetím a implementací konkrétních pravidel v českém právním systému a soudním schválením opětovného provozu.

ÚOOÚ se kamerami opravdu velice zabývá. V lednu 2025 zveřejnil Doporučení č. 1/2025 ke kamerovým systémům ve školách , které na metodiku navazuje a zpřesňuje pravidla pro školní prostředí. Úřad si uvědomuje vysokou citlivost školního prostředí, kde kamerový dohled může představovat výrazný zásah do soukromí žáků, studentů i zaměstnanců. 

Doporučení Q-COM:
Proveďte revizi kamerového systému (odpovídá-li technické nastavení právnímu rámci). Aktualizujte posouzení vlivu na ochranu osobních údajů (DPIA), posouzení oprávněného zájmu, informační texty a interní směrnice, protože ÚOOÚ se při kontrolách stále více zaměřuje právě na kvalitu a aktuálnost dokumentace, nikoli jen na samotnou technologii.

KYBERNETICKÁ BEZPEČNOST A OCHRANA OSOBNÍCH ÚDAJŮ SE SBLIŽUJÍ

Nesmíme zapomenout na novelu zákona o zpracování osobních údajů č. 110/2019 Sb.  (účinnost k 1. 8. 2025) jakož i na otevření významných politicko-legislativních debat směřujících ke zjednodušení GDPR typicky v oblasti záznamů o činnostech zpracování (čl. 30 GDPR), kde mají organizace s méně jak 250 zaměstnanci výjimku z povinnosti záznamy vést, pokud neprovádí zpracování s vysokým rizikem pro práva a svobody osob. Nově by se mohla výjimka rozšířit na organizace do 750 zaměstnanců.  

A za zmínku stojí i nový zákon o kybernetické bezpečnosti č. 264/2025 Sb.  (účinnost k 1. 11. 2025), který má přímý dopad na osobní údaje: řízení rizik, incidenty, dodavatelé, logování, evidence aktiv, požadavky na bezpečnostní opatření…

Na konci roku 2025 se na úrovni EU otevřela debata o balíku návrhů Digital Omnibus , který má zjednodušit klíčová digitální pravidla týkající se NIS 2, GDPR, AI Act a dalších předpisů. Zatím nejde o hotové změny, ale cíl je jasný: méně formalit, snížení administrativní zátěže, více důrazu na skutečné řízení rizik. 

Rok 2026 bude z pohledu organizací klíčový pro dokončení příprav správy a řízení AI (mapování případů užití, řízení rizik, dokumentace, dohled nad dodavateli) a pro sladění AI compliance s GDPR (zejména DPIA/rizikové posouzení, transparentnost vůči subjektům údajů, práce s daty pro trénink a inference, bezpečnost).
Dozorové orgány pro ochranu osobních údajů budou hrát významnou roli i v rámci prosazování AI Act v případech, kdy budou AI využívány pro zpracování osobních údajů.

Doporučení Q – COM: Vyplatí se mít GDPR uchopené jako systém řízení procesů. Organizace, které vedou přehlednou evidenci zpracování, mají jasně definované odpovědnosti, ošetřené dodavatelské vztahy a funkční řízení incidentů, budou do budoucna schopny reagovat na změny rychle a s minimálními náklady.  

PRIORITY ÚOOÚ PRO NÁSLEDUJÍCÍ OBDOBÍ

Úřad udělil v poslední době několik pokut. Poučit bychom se měli z těchto případů:

pokuta 3 194 000 Kč – správce nebyl schopen doložit udělení souhlasu pro zpřístupnění osobních údajů klientů dalším subjektům za účelem nabídky finančních/investičních produktů; zároveň byl problém s doložením plnění informační povinnosti.

pokuta 96 000 Kč – zpracování jména, příjmení a telefonního čísla nejméně dvou subjektů údajů bez zákonného důvodu zpracování; impulzem byly stížnosti na nevyžádané telemarketingové hovory.

pokuta 32 000 Kč – správce nevyřídil žádost o výmaz osobních údajů (jméno/příjmení a fotografie/videozáznamy) z příspěvků na profilu na sociálních sítích.

Byť kontrolní plán pro rok 2026 nebyl dosud vydán, z toho loňského je jasné, nač se  úřad (kromě stížností) zaměřuje:
Využívání dat z registrů informačních systémů veřejné správy.
Podmiňování slev obchodních řetězců udělením souhlasu se zpracováním osobních údajů (otázka dobrovolnosti souhlasu).
Kamerové systémy v dopravních prostředcích (přiměřenost, účelové omezení, doby uchování záznamů).
Rozesílání nevyžádaných obchodních sdělení (spam).  

Že si nevíte se všemi těmi doporučeními rady? Od toho jsme přeci tady! 

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.