Hranaté výročí aneb 4 roky s GDPR
Zatímco v lednu můžeme slavit mezinárodní den ochrany osobních údajů, koncem května jsme si připomněli výročí vstoupení GDPR v účinnost – letos už počtvrté.
A jak bychom to „hranaté“ výročí, kromě decentního přípitku ze čtyřhranných skleniček, vhodně oslavili? Doporučujeme Vám udělat malý audit vaší praxe.
Před čtyřmi lety vstoupilo v EU v platnost Obecné nařízení o ochraně osobních údajů („GDPR“). Od té doby má GDPR dominový efekt, protože jej mnoho zemí světa použilo jako model pro utváření vlastních pravidel pro nakládání s osobními údaji. Vzhledem k rychlým změnám v legislativě ochrany údajů po celém světě jsou právní a compliance týmy odpovědné za dodržování předpisů nejen nadnárodních organizací pod tlakem, aby držely krok s takovým vývojem.
Pokud jste ve vaší organizaci dělali poslední audit ochrany osobních údajů při implementaci GDPR před čtyřmi roky, nastal nejvyšší čas zkontrolovat, zda máte vše v pořádku, zda vše odpovídá tomu, jak se váš byznys v minulých letech rozvíjel, jak se vyvíjel výklad GDPR i rozhodovací praxe kontrolního úřadu.
Dovolte nám u příležitosti 4. výročí připomenout vám 4 pravidla, která se v každodenní praxi nejčastěji porušují, a upozornit vás na 4 oblasti, na které se bude zaměřovat kontrola dozorového orgánu v nejbližší době.
ČTYŘI PRAVIDLA
Zapomeňte na vzory z internetu, GDPR není formalita. Pokud míníte svůj byznys posouvat v digitálním světě, spíš dříve, než později se setkáte s tím, že budete chtít zpracovávat ve velkém osobní údaje svých zákazníků. Anebo budete nabízet technologie, jež z podstaty věci pracují s údaji týkajícími se fyzických osob. A v takovém případě mít pár vzorových dokumentů nebude stačit k prokázání toho, že plníte compliance povinnosti v oblasti GDPR. Nechte si zpracovat dokumentaci, která odpovídá vašemu podnikání, vašim produktům anebo službám, nevymýšlí si neexistující postupy a budete se o ni moci opřít jako o solidní důkaz plnění GDPR povinností. Oceníte to při kontrole ze strany Úřadu pro ochranu osobních údajů, při dotazech ze strany zákazníků nebo obchodních partnerů či investorů, na jejichž důvěře je vaše podnikání závislé.
Aktivně zapojujte DPO do relevantních procesů. Mít pověřence takříkajíc pro okrasu může být sice z ekonomických důvodů lákavé, ale ve výsledku se může prodražit. Předně nemá jít o obdobu advokáta, kterého si zvolíte, až se objeví problém. V případě pověřence je důležitá již prevence a kontinuální spolupráce s ním má za cíl upozorňovat vás na rizika ještě dřív, než nastanou. Nehledě na to, že i samotný Úřad pro ochranu osobních údajů zdůrazňuje, že je porušením GDPR, pokud organizace nevyužívá potenciálu pověřence, ač jej oficiálně jmenovala a některé dozorové úřady v EU dokonce přikročily i k ukládání pokut v takových případech
Mějte dobře rozmyšleno, proč osobní údaje zpracováváte. Jinak řečeno, právní základ či titul je to první a poslední, co vás postaví buď do role správce, který oprávněně zpracovává osobní údaje, anebo máte data ilegálně a moc šancí, jak s nimi dále pracovat, mít už nebudete. Stále se např. objevují tendence nadhodnocovat význam souhlasu subjektu údajů, který by snad mohl zhojit absenci reálného a právně nezpochybnitelného důvodu, proč byste měli mít možnost zpracovávat osobní údaje – opak je pravdou a dozorové úřady na to často upozorňují (pokutou, zákazem zpracování). Nechte si proto poradit, kdy a za jakých podmínek lze zpracovávat osobní údaje i bez souhlasu.
Myslete na ochranu osobních údajů systematicky, již při plánování rozvoje vašeho podnikání, ušetříte tím čas i peníze. Jde o opomíjený princip privacy by design (záměrná a standardní ochrana osobních údajů), který znamená, že ochrana osobních údajů se neřeší jako dílčí ohraničený problém ex post, ale jako nedílná součást rozhodovacího procesu už při plánování obchodního rozvoje firmy a nastavování vnitřních procesů v organizaci. Pokud se totiž na ochranu osobních údajů nemyslí včas, skončí to v lepším případě interním konfliktem, kdy slibně se vyvíjející projekt kolegů z business intelligence začnou kvůli právním mezerám kritizovat právníci z compliance oddělení (a nalezení zákonného řešení pak může znamenat velký krok zpátky), v horším případě na tyto mezery ukážou zákazníci nebo kontrola Úřadu pro ochranu osobních údajů.
Kromě sankčních pravomocí dozorových úřadů, které by na Vás mohly dolehnout za zmíněná nejčastější porušení, se v oblasti ochrany osobních údajů začala objevovat nezanedbatelná skupina soukromých hlídačů. Jak zejména ukazuje oblast mezinárodních transferů či nově pravidel při zpracování dat z cookies, získali správci a zpracovatelé osobních údajů významnou opozici v samotných subjektech údajů či v uskupeních zastupujících subjekty údajů.
A jak naznačuje rozhodovací praxe Soudního dvora EU, může být oblast ochrany osobních údajů brzy vynucována stejně jako oblast ochrany spotřebitele, neboť ve svém důsledku jde o stejný princip ochrany. Nejen technologie zrychlují svět – vedle stávajícího rámce dozorových úřadů tak stále častěji spotřebitelé alias subjekty údajů nalézají vedlejší a případně i rychlejší cestu v uplatňování svých práv.
ČTYŘI OKRUHY PLÁNOVANÝCH KONTROL
Vyšší zájem samotných subjektů údajů o ochranu svých práv činí méně předvídatelným, na co se dozorový úřad může v nejbližším období zaměřovat, protože podněty mohou přijít odkudkoliv na cokoliv. Nicméně konkrétní oblasti zájmu dozorového úřadu lze vysledovat ze zveřejněného kontrolního plánu Úřadu pro ochranu osobních údajů – vybíráme pro vás čtyři okruhy:
Cookies – nedávnou novelizací zákona o elektronických komunikacích dohnala Česká republika více než desetiletý dluh vůči povinnostem vyplývajícím z unijních předpisů. Je tedy zřejmé, že dosavadní opatrný přístup dozorového úřadu se může rázem změnit, přičemž vymáhání harmonizovaných pravidel pro práci s cookies má jedno specifikum: většinu důkazního materiálu si úřad dokáže posbírat sám a během pár minut ještě před zahájením řízení prostou návštěvou vašich webových stránek.
Obchodní sdělení – toto téma zasílání především e-mailových anebo SMS nabídek dozorový úřad sleduje dlouhodobě a výše ukládaných pokut i incidence porušení naznačují, že přísnost pokut možná ještě nedosáhla maxima.
Nahrávání telefonů či kamerové systémy – obliba těchto technologií v posledních letech stoupá a ač mohou usnadňovat spoustu činností, nakládání s nimi by mělo podléhat přísným pravidlům z důvodu jejich snadného zneužití. Dozorový úřad taktéž zkoumá jejich nadbytečné používání – např. délku uchování či kombinaci s novými technologiemi (biometrické analýzy).
Telefonický přímý marketing – poslední okruh je spojen se stejnou zákonnou novelou jako cookies, která mj. zakázala volání na náhodně generovaná telefonní čísla. Kontrola ale spadá do kompetence jiného dozorového úřadu, a to Českého telekomunikačního úřadu. Bude zajímavé sledovat toto prolínání ochrany osobních údajů a regulace elektronických komunikací, obdobně jako inspektoráty práce posuzují ochranu soukromí na pracovištích a do jisté míry tím narušují určitý „monopol“ Úřadu pro ochranu osobních údajů.
Další články
Způsobilost nezletilého právně jednat
Pokud položíme otázku, zda si nezletilý může bez zastoupení rodičem koupit zmrzlinu, bude nejspíše obvyklá odpověď ano. Při otázce za uzavření smlouvy o úvěru na milion korun bude naopak obvyklá odpověď ne. Je však celá řada různých právních jednání a velké rozmezí nezletilosti, kde bude již odpověď složitější. Může nezletilý ve věku 16 let uzavřít smlouvu s psychoterapeutem nebo advokátem? Může nezletilý ve věku 14 let sám oslovit neziskovou organizaci pro pomoc a uzavřít s ní smlouvu o sociální službě?
ESGRR: praktický návod pro poskytovatele ESG ratingů
Již 2. července 2026 nabylo plné účinnosti nové evropské nařízení o transparentnosti a integritě činností v oblasti ESG ratingů (ESGRR)[1], jehož cílem je zvýšit důvěryhodnost, transparentnost a srovnatelnost ESG ratingů, které jsou stále častěji využívány investory, finančními institucemi i emitenty při investičním a finančním rozhodování.
Rozhodnutí valné hromady o rozdělení zisku v rozporu s dohodou společníků
Nejvyšší soud potvrdil, že rozhodnutí valné hromady o rozdělení zisku podle společenské smlouvy nelze prohlásit za neplatné jen proto, že odporuje ústní dohodě společníků.
Právní AI objektivně I. — Motivace a metodika
Kvalita právní práce byla po celá desetiletí posuzována především intuitivně, na základě zkušeností seniorních právníků v rámci jejich dohledu nad výstupy juniorních kolegů.
Reklamace dovolené: Manuál úspěšného uplatnění práv z vadného plnění
Je tu léto, nastaly prázdniny a doba přející cestování, jímž mnozí vyplňují své volné dny věnované, namísto povinnostem, zaslouženému odpočinku. Jednoduše je obvyklé vyrážet v tomto období „na dovolenou“. Co když ale služby poskytované v průběhu cestování subjektem, u něhož si je za tímto účelem sjednáme, neodpovídají našim představám?




