A zase to GDPR! Tentokrát poznatky z praxe a auditů aneb nejčastější chyby a jak jim předejít - část I.
Ochrana osobních údajů a soukromí fyzických osob, zejména dětí, je v dnešním světě plném nových technologií velmi důležitá. Obrovská vlna hysterie kolem Obecného nařízení o ochraně osobních údajů (GDPR), která se Českem prohnala a která je dle našeho názoru nedůvodná, však způsobila, že se velká část společností, které se dosud této problematice spíše vyhýbaly, či v lepším případě ji měly někde vzadu v povědomí, začala pod hrozbou vysokých pokut ochranou osobních údajů cíleně zabývat.
Zdálo by se, že tím, jak tato hysterie utichá, můžete tuto problematiku opět odsunout. Opak je ale pravdou. Právě teď je totiž vhodná doba se s ochranou osobních údajů v klidu popasovat. K tomu Vám může napomoci i tento článek, ve kterém bychom se s Vámi rádi podělili o naše zkušenosti z provedených právních auditů ochrany osobních údajů a upozornili na nejčastější chyby, na které při nich naše advokátní kancelář naráží. Současně poradíme, jak těmto chybám předejít.
Nadbytečné užívání souhlasu
Začněme, jak jinak, nadbytečným užíváním souhlasu. Asi klasickým příkladem je ustanovení pracovní smlouvy či poslední věta pracovního dotazníku, kde zaměstnanec dává souhlas se zpracováním svých osobních údajů pro, například, mzdové účely. Podnikatelé se často vůbec nezabývají hledáním jiného právního titulu ke zpracování a volí souhlas jako zdánlivě správné a snadné řešení. Souhlas je však v tomto případě nesprávným právním titulem. Dle stanoviska Úřadu pro ochranu osobních údajů (dále „ÚOOÚ“) č. 3/2014 je vyžadování souhlasu se zpracováním osobních údajů protiprávní v případě, kdy správce tento souhlas nepotřebuje (a nepotřebuje jej v drtivé většině běžných případů). Podle názoru ÚOOÚ totiž takový postup fakticky znamená, že správce subjekt údajů nesprávně informuje. A my dodáváme, že to taktéž fakticky znamená, že daná společnost nemá vůbec přehled o právních titulech pro svá zpracování.
Doporučujeme tedy všem správcům, aby si rozdělili jednotlivé činnosti zpracování, které provádí, a k nim si přiřadili odpovídající právní titul dle GDPR (jednotlivé tituly najdete v článku 6 GDPR, v případě „citlivých“ osobních údajů v článku 9 GDPR). A přestože je souhlas jako právní důvod pro zpracování v GDPR uveden hned na prvním místě, používejte jej (nejen) v pracovněprávních vztazích, co nejméně. K důvodům blíže v části týkající se otisků prstů.
Porušení zásady minimalizace
Zásada minimalizace je jednou z hlavních zásad zpracování osobních údajů a je výslovně zakotvena v čl. 25 GDPR. Rozsah zpracovávaných osobních údajů musí být přiměřený, relevantní a omezený ve vztahu k účelům, pro které jsou zpracovávány. Z kontrolní činnosti ÚOOÚ vychází, že zaměstnavatelé nadbytečně zpracovávají informace například o tom, že je zaměstnanec voják, údaje manželky, přestože se nejedná o vyživovanou osobu, údaje o členství v odborech (pokud zaměstnavatel nesráží příspěvky pro odborovou organizaci), údaje kontaktní osoby bývalého zaměstnance apod. Projděte si tedy své dotazníky pro zaměstnance a ptejte se, zda všechny požadované údaje skutečně potřebujete. Dotazníky poté upravte tak, abyste od zaměstnance získali skutečně pouze nezbytné údaje. Náš tip: např. u kolonky “Údaje o manželce” přidejte poznámku – Vyplňte, pokud uplatňujete daňové zvýhodnění.
Dalším velmi častým pochybením je, že v pracovní smlouvě jsou kromě jména, data narození a bydliště, uvedeny i jiné údaje (např. kontakty, číslo občanského průkazu, rodné číslo apod.) a tyto jsou dále kopírovány do dotazníku, dohody o mzdě, dohody o srážkách ze mzdy a jiných dokumentů, které zaměstnavatel se zaměstnanci uzavírá. Dochází tak k nadbytečné duplicitě zpracování a zvýšení rizika jejich zneužití.
Tuto zásadu neprolomíte ani tím, že budete mít vše podloženo souhlasy. Není-li dané zpracování účelné, pak ani platný souhlas nezhojí porušení této zásady (narážíme zde na souhlasy, se kterými jsme se v praxi setkali, a které připomínají spíše známou hru „bingo“ než kvalifikovaný právní dokument, kde subjekt má zaškrtnout k čemu uděluje souhlas a má jej udělit ke všemu, co už reálně správce nadbytečně shromažďuje).
Porušení zásady minimalizace – kopírování dokladů
Porušení zásady minimalizace spočívá také v tom, že zaměstnavatelé často kopírují osobní doklady zaměstnanců. Přitom zákaz pořizování kopií občanských průkazů a cestovních dokladů je dán výslovně zákonem.[1] U řidičských průkazů se doporučuje tyto nekopírovat, případně kopírovat jen tam, kde je to nezbytné, např. u řidičů z povolání. Vhodné opatření je také udělat jen částečnou kopii tak, aby nemohlo dojít ke zneužití dokladu.
Ve smyslu § 316 zákoníku práce platí, že zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem jeho práce. Dejte tedy pozor, kdy například vyžadujete a ukládáte originály či kopie výpisů z Rejstříku trestů (nejde paušálně u všech), případně dokladů o vzdělání (je-li někdo zaměstnán například na pozici vrátný, není nezbytné o něm uchovávat kopii maturitního vysvědčení. My se domníváme, že v takovém případě nemusíte tento údaj vůbec evidovat).
Neplnění informační povinnosti
Článek 13 GDPR stanoví právo subjektu údajů na informace. Tomuto právu odpovídá povinnost správce mu tuto informaci poskytnout, a to v okamžiku, kdy osobní údaje získá. Zde by měl správce promyslet, jak s co nejmenší administrativní zátěží informovat všechny subjekty údajů o všech činnostech zpracování, které provádí. Přestože tato povinnosti byla dána i předchozí právní úpravou, v praxi je velmi časté, že správci tuto povinnost neplní.
Z našeho pohledu se jedná o povinnost porušovanou v nejvyšší míře zejména vůči zaměstnancům, kteří nebývají buďto informováni vůbec nebo zcela nesprávně. Velmi velký význam má informační povinnost např. při jakémkoliv monitoringu zaměstnanců (nejčastěji v případě kamerových systémů, GPS systémů apod.), kdy nesplněním této povinnosti se zaměstnavatel dopouští nejen porušení pravidel GDPR, ale rovněž i pravidel zákoníku práce, za něž mu hrozí nemalé pokuty od Státního úřadu inspekce práce.
Neexistence skartačních lhůt
Každá činnost zpracování má své „datum spotřeby“. Jinými slovy, osobní údaje mohu zpracovávat pouze tehdy, pokud mi trvá účel, pro který tak činím a pokud mám k tomuto účelu právem aprobovaný důvod (právní titul). Je třeba projít jednotlivé činnosti zpracování a stanovit si u nich skartační lhůty s ohledem na účel, pro který osobní údaje zpracovávám. Zpracovávám-li osobní údaje na základě titulu plnění smlouvy, pak trvá po dobu smlouvy. Zpracovávám-li osobní údaje na základě titulu plnění právní povinnosti, pak musím hledat v právním předpisu, jak dlouho mám tyto osobní údaje zpracovávat. Zpracovávám-li osobní údaje na základě oprávněného zájmu, pak musím s ohledem na trvání mého oprávněného zájmu stanovit přiměřenou dobu (tuto je vhodné stanovit s trochou zdravého rozumu a s ohledem na praktické potřeby).
Druhou část článku si můžete přečíst zde.
-c439d44d.jpg)
[1] v §15a odst. 2 zákona o občanských průkazech, § 2 odst. 3 zákona o cestovních dokladech.
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
