Ochrana osobních údajů patří k hlavním oblastem odbornosti naší advokátní kanceláře, a proto pečlivě sledujeme aktuální trendy a nařízení v této oblasti. Jedním z nich je kontrolní plán Úřadu pro ochranu osobních údajů (dále také jen „ÚOOÚ“ nebo „Úřad“) pro rok 2025, který nedávno vyšel. Možná uvedené téma na první pohled zní technicky nebo nezáživně, přesto byste mu měli věnovat pozornost. Kontrolní plán totiž signalizuje, na co se mají správci a zpracovatelé osobních údajů v daném období připravit. Jinými slovy, ÚOOÚ tím dává předem najevo, na jaké oblasti a problémy se při kontrolách v roce 2025 zaměří. Pro firmy, obce i další organizace to znamená jasný signál, kde si dát pozor a případně posílit svou ochranu dat, jelikož prevence je vždy lepší než čelit následkům. Ačkoliv se na první pohled může zdát, že jde o úzce odborné téma, ve skutečnosti se týká běžných situací jako jsou marketingové e-maily, věrnostní kartičky v obchodech nebo kamerové systémy v autobusech.
Co je kontrolní plán ÚOOÚ?
Kontrolní plán ÚOOÚ je oficiální dokument, který každoročně vydává Úřad pro ochranu osobních údajů (tj. český státní dozorový orgán pro oblast GDPR a souvisejících zákonů). Smyslem tohoto plánu je stanovit priority kontrol na daný rok a informovat veřejnost o tom, na jaké okruhy se ÚOOÚ hodlá zaměřit. Pro Úřad jde o způsob, jak reagovat na aktuální problémy v ochraně dat a nasměrovat své kapacity tam, kde jsou nejvíce potřeba. Pro firmy a instituce je to užitečná pomůcka, jelikož se mohou dopředu připravit a zkontrolovat si, zda v daných oblastech plní své povinnosti. Kontrolní plán je zveřejňován v anonymizované podobě (neobsahuje jména konkrétních kontrolovaných subjektů), ale jasně popisuje hlavní témata a sektor (soukromý vs. veřejný), kterých se kontroly budou týkat. V roce 2025 cílí ÚOOÚ jednoznačně na několik klíčových oblastí, kde se střetává nedostatek právní jistoty s technologickým pokrokem a které mají výrazný společenský dopad. Jinak řečeno, kontroloři se zaměří tam, kde pravidla nejsou zcela jasná či jsou nové výzvy, a zároveň kde případné chyby mohou zasáhnout velké množství lidí.
Jaké oblasti budou v roce 2025 pod kontrolou?
Kontrolní plán pro rok 2025 vyjmenovává několik hlavních okruhů, kterým bude ÚOOÚ věnovat zvýšenou pozornost. Pojďme si je srozumitelně představit a vysvětlit, oč v nich jde:
1) Využívání údajů z veřejných registrů soukromými subjekty
Úřad se zaměří na situace, kdy soukromé firmy (například banky či pojišťovny) čerpají osobní údaje ze státních registrů a informačních systémů veřejné správy. Mnoho zákonů umožňuje firmám získávat určité údaje z veřejných registrů (typicky např. ze základního registru obyvatel), ale otázkou je, zda objem takto využívaných dat nepřekračuje nezbytnou míru a odpovídá legitimnímu účelu. Kontroly se proto zaměří na principy minimalizace údajů a „privacy by design/default“, tedy zda firmy využívají jen data, která skutečně potřebují, a zda mají nastavené procesy tak, aby chránily soukromí už od návrhu systému. Dále bude ÚOOÚ zjišťovat, jestli dotčené firmy plní informační povinnostvůči subjektům údajů, tj. zda lidem transparentně sdělují, že o nich sbírají data z registrů. Pro velké datové hráče to možná není překvapení, už delší dobu platí, že subjekty s rozsáhlými databázemi jsou pod drobnohledem. Kdo už investoval do ochrany soukromí a nastavení vnitřních procesů, patrně nebude muset nic zásadního měnit. Ostatní by však měli zpozornět.
2) Věrnostní programy a podmiňování slev souhlasem
Další velkou oblastí je praxe obchodních řetězců a e-shopů, kdy zákazník získá slevu nebo výhody pouze pokud souhlasí se zpracováním osobních údajů, typicky v rámci nějakého věrnostního programu. ÚOOÚ zaznamenal, že v roce 2024 takových případů přibylo. Asi to znáte z praxe: chcete slevovou kartičku, ale musíte vyplnit formulář a dát souhlas s používáním svých údajů k marketingu. Kontroly se zaměří hlavně na to, jaký právní základ zpracování podniky používají a zda je souhlas zákazníka v těchto situacích skutečně svobodný. Obecné nařízení GDPR totiž vyžaduje, aby souhlas byl dobrovolný a nebyl vynucen pod hrozbou, že bez něj nedostanete stejnou službu nebo výhodu. Pokud je sleva podmíněna souhlasem, stojí za to zvažovat, zda nejde o nepřiměřený nátlak na zákazníka. Toto téma se v odborných kruzích a médiích živě diskutuje už delší dobu a zásah ÚOOÚ by mohl přinést jasno v tom, co si firmy ještě mohou dovolit a kde už hranice svobodného souhlasu končí. Dokonce se v této souvislosti mluví i o tzv. digitálním vyloučení, tedy zda by například senior nebo člověk bez chytrého telefonu neměl mít možnost získat obdobnou slevu i bez nutnosti se registrovat online. To jsou otázky, které možná ÚOOÚ svou kontrolní akcí pomůže zodpovědět.
3) Poskytování informací podle zákona č. 106/1999 Sb. (svobodný přístup k informacím)
Tato část kontrolního plánu se týká veřejného sektoru, tzv. povinných subjektů, kam patří různé úřady, obce, veřejné školy apod. Podle „stošestky“ má každý občan právo žádat informace od veřejných institucí, ty však zároveň musí chránit osobní údaje. ÚOOÚ zjistil, že praxe jednotlivých úřadů se liší, a to zejména v míře anonymizace osobních údajů, případně v posuzování, zda je vůbec nutné určité osobní údaje žadateli poskytovat. Jinak řečeno, někde možná úřady zveřejňují víc osobních dat, než by musely (a tím mohou zasahovat do soukromí dotčených osob), jinde naopak možná informace tají až příliš s odkazem na GDPR. Kontroly proto prověří postupy, metodiky, vnitřní předpisy i reálnou praxi při vyřizování žádostí podle zákona 106/1999 Sb. a jejich soulad s GDPR. Cílem je nastavit jednotný standard, tedy aby povinné subjekty poskytovaly maximum požadovaných informací, ale současně neprozrazovaly více osobních údajů, než je nezbytné a zákonné. Pro obce, školy či státní úřady je to připomínka, že musí mít jasná pravidla, jak při žádostech o informace postupovat (například které údaje ve zveřejňovaných dokumentech anonymizovat).
4) Kamerové systémy v dopravě
Různí dopravci (od městských dopravních podniků až po soukromé přepravce) stále častěji vybavují vozidla kamerami pro bezpečnost, dohled nad řidiči, prevenci černých pasažérů apod. ÚOOÚ plánuje kontroly zaměřené na využívání kamerových systémů ve vozidlech hromadné dopravy. Vychází přitom i z toho, že sám Úřad nedávno vydal metodické pokyny ke kamerovým systémům, takže teď bude ověřovat, jak se dodržují v praxi. Inspektoři budou posuzovat nezbytnost instalace kamer a zda je vůbec nutné cestující snímat, v jakém rozsahu a jakým způsobem. Dále je v hledáčku doba uchování záznamů (zda se záznamy nemažou pozdě nebo zbytečně dlouho nearchivují) a také plnění povinností vůči subjektům údajů. Sem patří například povinnost dopravce cestující informovat, že jsou snímáni (typicky nálepkami nebo piktogramy v autobuse), nebo povinnost umožnit lidem uplatnit jejich práva podle kapitoly III GDPR (právo na přístup k záznamu, výmaz apod.). Praxe totiž ukazuje, že ne všichni dopravci tyto požadavky plní na 100 %, někde chybí dostatečné označení, jinde se uchovávají záběry déle, než je nutné. S rozvojem technologií a klesající cenou kamer navíc roste riziko, že sledování pronikne i tam, kde to dříve nebylo běžné, a tím může docházet k nadměrným zásahům do soukromí cestujících. ÚOOÚ chce tímto směrem vyslat jasný signál, že technologie nesmí předběhnout právo na soukromí.
5) Rozesílání obchodních sdělení a marketing z internetových srovnávačů
Pod pojmem obchodní sdělení si můžeme představit všudypřítomné newslettery, reklamní e-maily či SMS, zkrátka zprávy, které firma posílá za účelem propagace svých služeb nebo produktů. ÚOOÚ se dlouhodobě věnuje boji proti spamu a v roce 2025 si posvítí zejména na provozovatele internetových srovnávačů (typicky srovnávače pojištění, půjček, cen zboží apod.). Důvodem je, že tyto služby často shromažďují kontakty uživatelů, kteří si u nich jednorázově porovnali nabídky, a následně jim začnou rozesílat reklamní e-maily. Dosud žádná větší kontrolní akce na tyto srovnávače neproběhla, takže se dá očekávat, že zde Úřad najde nejednu nejasnost. Kontroly se zaměří na to, zda rozesílání obchodních sdělení splňuje podmínky zákona č. 480/2004 Sb. (o elektronických komunikacích). Ten vyžaduje například buď předchozí souhlas adresáta, nebo to, že jde o stávajícího zákazníka. ÚOOÚ pravděpodobně bude zkoumat, jestli srovnávače neoznačují uživatele mylně za „zákazníky” jen proto, že využili jednorázovou službu, a neobcházejí tak povinnost získat souhlas. Také se zaměří na to, zda každá taková zpráva splňuje náležitosti (možnost jednoduchého odhlášení odběru, pravdivé údaje o odesílateli atd.), jak požaduje zákon. Už v minulosti se přitom ukázalo, že porušování pravidel pro rozesílání obchodních sdělení může vyústit v milionové sankce. ÚOOÚ například udělil rekordní pokutu 6 milionů Kč společnosti, která opakovaně rozesílala nevyžádaný marketing, a v roce 2023 sankcionoval šíření reklamních e-mailů ve prospěch jiné firmy částkou 7,7 milionu Kč. Je tedy zřejmé, že tuto oblast bere Úřad velmi vážně.
6) Další plánované kontroly
Kromě výše uvedených pěti hlavních oblastí obsahuje kontrolní plán 2025 ještě několik specifických akcí. ÚOOÚ bude například pokračovat v kontrolách zpracování osobních údajů ve vízovém procesu na vybraných zastupitelských úřadech (ve spolupráci s Ministerstvem zahraničí). Do této oblasti spadá například kontrola dodržování pravidel ve Vízovém informačním systému (VIS) na českých ambasádách. Dále se Úřad zaměří na nakládání s osobními údaji v Schengenském informačním systému (SIS) u obecních úřadů, které zajišťují registrace vozidel. U obcí bude kontrolovat například to, zda úředníci, kteří mají přístup do SIS, jsou řádně proškoleni a zda systémově fungují opatření bránící zneužití těchto citlivých dat. A v neposlední řadě se Česká republika zapojí do celoevropské koordinované kontrolní akce v rámci tzv. Coordinated Enforcement Framework 2025 se všechny evropské dozorové úřady společně zaměří na prověřování implementace práva na výmaz (práva být zapomenut). To znamená, že i čeští správci údajů mohou očekávat, že se kontroloři budou ptát, jak umožňují lidem mazat jejich osobní údaje a jestli to dělají správně.
Proč je důležité těmto oblastem věnovat pozornost?
Proč by vás jako správce či zpracovatele mělo zajímat, že ÚOOÚ vybral zrovna tato témata? Důvod je jednoduchý: ve všech uvedených oblastech hrozí při pochybení právní postihy a zároveň mohou negativně ovlivnit pověst vaší organizace. Kontrolní plán nám napovídá, že ÚOOÚ očekává právě zde časté chyby a hodlá je aktivně vyhledávat a sankcionovat, případně dávat nápravná opatření.
Z pohledu GDPR a zákonů o ochraně soukromí jde navíc o oblasti pokrývající základní principy ochrany dat. Například využívání údajů z registrů se přímo dotýká principu minimalizace údajů a účelového omezení (smíte si vzít jen ta data, která opravdu potřebujete k definovanému účelu) a také transparentnosti vůči subjektům údajů. Pokud firma tato pravidla ignoruje a „těží“ z veřejných databází víc, než by měla, může tím porušit GDPR a vystavuje se riziku sankcí. U věrnostních programů je zase klíčové, že souhlas musí být svobodný – pokud zákazník nemá reálnou volbu a souhlas je vynucen jako podmínka slevy, takový souhlas nemusí být platný podle GDPR. To by znamenalo, že veškeré zpracování osobních údajů na základě takto získaného „souhlasu“ je protiprávní. Firma by mohla být donucena s takovou praktikou přestat, smazat takto získaná data a potenciálně čelit i pokutě. Zároveň hrozí poškození důvěry zákazníků, jelikož mnoho lidí citlivě vnímá, pokud jsou nuceni platit svými údaji za slevu, a může je to odradit.
Ve veřejném sektoru (poskytování informací dle zákona 106/1999 Sb.) jde o balancování mezi transparentností a ochranou soukromí. Pokud úřad nezveřejní, co má, riskuje postih za porušení zákona o svobodném přístupu k informacím. Když naopak prozradí příliš mnoho osobních údajů, může porušit GDPR a zasáhnout do práv jednotlivců. ÚOOÚ poukázal na velké rozdíly v praxi různých subjektů, což znamená, že některé instituce budou muset své postupy upravit. Pro veřejné instituce je to důležité i z hlediska důvěry občanů – nesmí vzniknout dojem, že úřad něco tají neoprávněně, ani že lehkomyslně zveřejňuje osobní data (třeba jména žadatelů, adresy, rodná čísla apod.).
V případě kamer v dopravě hraje roli především právo na soukromí. Cestující by měli mít jistotu, že nejsou sledováni víc, než je nutné, a že záběry nejsou zneužitelné. Pokud dopravce tyto zásady podcení, např. nechá kamerový záznam ukládat celé měsíce nebo neinformuje cestující o tom, že jsou natáčeni, porušuje tím právní předpisy. Kromě možných pokut to pro něj znamená i riziko negativní publicity.
U rozesílání obchodních sdělení je význam dodržování právních povinností zřejmý – zaprvé je zde přímé riziko sankcí, protože ÚOOÚ v této oblasti již opakovaně uděloval vysoké pokuty (jak jsme zmínili, až v řádu milionů korun). Zadruhé je zde i obchodní hledisko – spamování zákazníků (nebo dokonce osob, kteří ani zákazníky nejsou) zpravidla vede k „otrávenosti“ veřejnosti. Místo získání nových klientů tak firma spíš naštve ty potenciální. Navíc každý obchodní e-mail musí ze zákona obsahovat možnost jednoduchého odhlášení a pokud to firma nedodrží, příjemci si často stěžují přímo ÚOOÚ. Ostatně jen za rok 2024 obdržel ÚOOÚ přes tisíc stížností na nevyžádaná obchodní sdělení, takže pravděpodobnost, že prohřešek nezůstane bez povšimnutí, je poměrně vysoká.
Celkově vzato, všechny zmíněné oblasti spadají pod zásadní povinnosti dle GDPR či navazujících zákonů a jejich porušení může vést k pokutám až v desítkách milionů korun a k nápravným opatřením. Ignorovat je by se proto nevyplatilo.
Praktické tipy pro přípravu na kontrolu
Na co byste se tedy měli zaměřit, abyste případnou kontrolou ÚOOÚ prošli bez úhony? Níže uvádíme několik praktických doporučení pro různé typy organizací od firem přes e-shopy až po obce a školy.
1) Projděte si využití údajů z veřejných registrů
Pokud vaše firma čerpá data například z registru obyvatel, katastru nemovitostí nebo jiných státních databází, zkontrolujte interní procesy. Ujistěte se, že berete jen nezbytné údaje pro konkrétní účel. Zdůvodněte si, proč tyto informace potřebujete, a mějte to ideálně písemně podloženo (např. v záznamech o činnostech zpracování nebo v interní směrnici). Také zrevidujte informační povinnost – informujete osoby, o nichž data získáváte, že je čerpáte z daného registru? Máte to uvedeno v zásadách ochrany osobních údajů? Transparentnost je klíčová.
2) Zkontrolujte nastavení věrnostních programů
Projděte si podmínky svých zákaznických klubů, slevových kartiček a podobných programů. Zrevidujte právní tituly zpracování osobních údajů v rámci těchto programů. Pokud spoléháte na souhlas, ujistěte se, že není vynucený, například zvažte, zda zákazníkům nenabídnout alespoň základní verzi výhody i bez poskytnutí souhlasu. Alternativně zvažte jiný právní základ (např. plnění smlouvy pro čistě zákaznické programy bez marketingového přesahu). U každého osobního údaje, který v programu sbíráte, si položte otázku: „Potřebujeme to skutečně vědět k poskytování slevy?“ Pokud ne, raději ho bez konzultace s odborníkem nevyžadujte. A nezapomeňte ani na zabezpečení těchto dat a omezení přístupu k nim v rámci firmy.
3) Prověřte postupy při vyřizování žádostí o informace (pro veřejné instituce)
Jestli spadáte mezi povinné subjekty dle zákona č. 106/1999 Sb. (např. obecní úřad, škola zřízená krajem apod.), připravte svůj tým na správné zacházení s osobními údaji v rámci poskytování informací. Aktualizujte nebo vypracujte vnitřní směrnici, která jasně stanoví, jaké osobní údaje je potřeba v dokumentech anonymizovat (odstranit či začernit), a jak posuzovat nezbytnost poskytnutí daných údajů. Udělejte si modelové situace, např. když někdo žádá o platy zaměstnanců úřadu, jak odpovíte a které údaje zveřejníte a které ne. Ujistěte se také, že vaši pracovníci vědí o povinnosti poskytnout informace v zákonných lhůtách a zároveň o nutnosti chránit soukromí dotčených osob. Jednotný postup a proškolení zaměstnanců jsou zde klíčové, aby váš úřad nebyl tím, na kterém ÚOOÚ objeví nesrovnalosti.
4) Projděte si používání kamer a záznamů
Pokud provozujete kamerové systémy, ať už ve vozidlech, v budovách nebo areálu školy, zkontrolujte jejich nastavení a dokumentaci. U dopravců zejména ověřte, že kamery jsou jen tam, kde je to nutné (např. prostor řidiče, dveře kvůli bezpečnosti), a že nesnímáte více, než je třeba. Zkontrolujte dobu uchování záznamů – je zdůvodněná a nepřehnaně dlouhá? Dále se podívejte, jestli řádně informujete subjekty údajů. U kamer musí být viditelné piktogramy či oznámení, plus dostupné podrobné informace (např. na webu nebo na vyžádání). Také mějte připravený postup pro případ, že by někdo žádal o přístup ke svým záznamům (i když v praxi to není běžné, zákon tu možnost dává). Pro školy to může znamenat třeba kontrolu, zda školní kamerový systém monitoruje jen potřebné prostory (a ne např. toalety či šatny, kde by to bylo nepřípustné) a že rodiče a studenti o kamerách vědí.
5) Auditujte své rozesílání obchodních sdělení
Ať už jste e-shop, poradenská firma nebo provozovatel zmíněného srovnávače, udělejte si pořádek v databázích kontaktů pro marketing. Rozdělte si adresáty na ty, kteří jsou vašimi zákazníky, a ty, kteří vámi zákazníky nejsou. U každého adresáta mějte evidováno, proč mu můžete obchodní sdělení poslat – zda máte jeho souhlas, nebo se opíráte o výjimku, že už u vás nakoupil a vy propagujete podobné produkty/služby, což zákon za určitých podmínek dovoluje. Revidujte udělené souhlasy – jsou stále platné, věděli lidé, s čím přesně souhlasí? Pokud využíváte právní důvod „oprávněného zájmu“, buďte velmi opatrní a raději věc konzultujte s odborníkem, protože ÚOOÚ tento výklad posuzuje přísně. U samotné rozesílky zkontrolujte proces odhlášení – funguje odkaz „unsubscribe” v e-mailech spolehlivě a okamžitě? Nezasíláte někomu zprávy i poté, co se odhlásil? Také nezapomeňte, že odpovědnost nesete i za třetí strany. Pokud si najímáte externí marketingovou firmu nebo naopak rozesíláte e-maily za jiný subjekt, odpovědnost je na obou stranách. Raději si tedy smluvně ošetřete, kdo co má na starosti, a průběžně kontrolujte, jak rozesílka probíhá.
6) Nezapomeňte na práva subjektů údajů obecně
Kromě výše uvedených specifických oblastí se ujistěte, že plníte všechny základní povinnosti dle GDPR, zejména že dokážete reagovat na žádosti osob o výkon jejich práv. V roce 2025 se bude v celé EU koordinovaně kontrolovat třeba právo na výmaz (právo být zapomenut), tudíž prověřte své postupy pro výmaz osobních údajů. Máte jasně definováno, kdy musí být data smazána? Víte, jak postupovat, když vám klient napíše, že chce “vymazat všechny své údaje”? Existuje na to interní proces a jsou o něm zaměstnanci poučeni? Podobně si zkontrolujte i další práva (přístup k údajům, oprava nepřesných údajů, omezení zpracování atd.). Jejich opomíjení sice není přímo v kontrolním plánu zmíněno, ale ÚOOÚ je může prověřit v rámci výše uvedených akcí (např. u kamer v dopravě pravděpodobně ověří i připravenost dopravce reagovat na žádosti subjektů údajů). Buďte zkrátka o krok napřed a mějte v pořádku veškerou agendu ochrany dat.
Závěr
Kontrolní plán ÚOOÚ pro rok 2025 jasně ukazuje, že dozorový úřad hodlá být aktivní tam, kde dochází k velkému zpracování osobních údajů a kde jsou pravidla buď nová, nebo je subjekty často chybně chápou. Doporučujeme nepodcenit prevenci. Projděte si výše uvedené tipy, udělejte si interní audit souladu s GDPR v těchto rizikových oblastech a případně podnikněte nápravná opatření dříve, než u vás zaklepe kontrola. Ušetříte si tím spoustu starostí, času i peněz, protože řešit problémy až po zásahu úřadů bývá mnohem nákladnější, a to finančně i reputačně.
Potřebujete poradit nebo provést nezávislou kontrolu? Náš tým zkušených právníků v oblasti ochrany osobních údajů je vám k dispozici. Rádi vám pomůžeme s revizí dokumentů, nastavením procesů nebo školením zaměstnanců, abyste měli jistotu, že i v oblastech zvýšeného dohledu ze strany ÚOOÚ budete v naprostém pořádku. Neváhejte se na nás obrátit pro konzultaci. Prevence a kvalitní příprava je v ochraně dat zásadní a my jsme tu od toho, abychom vám s tím pomohli.
Autor: Mgr. Lucie Pařízková