2025/07-08 – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

I když stěžovatel plní roli tzv. společenského hlídacího psa, nesmí ignorovat meze zpracovávání osobních údajů

Judikatura27. 7. 2025

Nejvyšší správní soud se dne 26. června 2025 ve svém rozhodnutí č. j. 6 As 200/2024–82 zabýval otázkou zveřejňování trestních příkazů a posuzováním, zda má daný subjekt postavení tzv. společenského hlídacího psa, který by mohl legitimně zveřejňovat informace o trestních příkazech. Soud se zaměřil na hranice takového zveřejňování a na to, kdo má oprávnění posuzovat, zda je zveřejnění trestního příkazu v daném případě oprávněné. Vymezení věci, řízení před správními orgány a řízení před městským soudem Žalobce umístil na svůj veřejně přístupný profil na sociální síti Facebook příspěvek s kopií částečně anonymizovaného trestního příkazu proti Z. P. obsahující její osobní údaje.[1] Úřad pro ochranu osobních údajů (dále jen Úřad) vyzval žalobce jako správce osobních údajů k nápravě protipr . . .

Silné heslo: Klíč k bezpečnosti v kyberprostoru

27. 7. 2025 Eva Janečková

Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí. Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Implementace zákona bude probíhat v několika fázích NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické […]

V čem obce chybují při oceňování významných životních událostí občanů?

27. 7. 2025 Ivana Řehořová

Novela zákona o obcích z roku 2016, konkrétně § 36a, umožňuje obcím ocenit významné životní události svých občanů. I z toho důvodu, že tato možnost byla dříve upravena nejasně a tradice gratulací k těmto událostem ze strany obcí sahá mnohem dále do minulosti, přetrvávají v mnoha obcích i v dnešní době ohledně gratulování zažité zvyklosti, které se dosud nepřizpůsobily nové legislativě, a to ani po roce 2018, kdy vstoupilo v platnost obecné nařízení GDPR. V praxi se lze setkat s případy, kdy obce při oceňování významných životních událostí postupují v rozporu s právními předpisy nebo překračují jejich rámec. Ačkoliv je nařízení GDPR účinné již od roku 2018, v mnohých obcích přetrvává zažitý postup nastavený v době bez jasnější právní úpravy této problematiky, aniž by doznal úprav podle aktuálně platné legislativy. Co je „významná životní ud . . .

Dozorové úřady a „pravomoc“ nezasahovat

27. 7. 2025 Ludmila Probstová

Od nabytí účinnosti GDPR[1] v roce 2018 panuje u části veřejnosti — a často i v médiích — vžitá představa, že každý přešlap při zpracování osobních údajů automaticky vede k sankci v podobě vysoké pokuty. Tento dojem je živen i několika mediálně výraznými případy (např. pokuty uložené v zahraničí Amazonu, WhatsAppu nebo TikToku anebo i u nás společnosti Avast), které vytvořily obraz GDPR jako přísného „trestního kodexu“ pro oblast ochrany osobních údajů a soukromí. Z odborného pohledu však jde o zjednodušené a zavádějící chápání smyslu a konstrukce GDPR, které je postaveno také na důvěře v odpovědnost správců a zpracovatelů (princip accountability) a preventivním, nikoli čistě represivním působení. Logicky by se měl tento přístup projevit i v praxi úřadů, kterým byl svěřen dozor nad dodržováním GDPR. Primární cíl: zajištění souladu

Technologie rozpoznávání obličeje na letištích 2:

27. 7. 2025 Alexander Kult

Využívání biometrického kamerového systému na ruzyňském letišti je protiprávní, tvrdí odborník V první části tohoto článku zveřejněné v prosincovém čísle časopisu DPO PRO (12/2024) se mimo jiné uvádí, že na Letišti Václava Havla jsou provozovány dva kamerové systémy, vzájemně nepropojené a na sobě nezávislé. Jeden z nich, který zpracování biometrických údajů neprovádí, provozuje Letiště Praha, a. s. Druhý, který disponuje biometrickým rozpoznáváním tváří, provozuje Policie ČR. V tomto druhém případě má autor za to, že jeho využívání na ruzyňském letišti je v současnosti v rozporu se zákonem, neboť zde chybí jasný právní titul pro zpracování biometrických údajů v takovém rozsahu. Při rozboru vycházel z odpovědí, které mu poskytly Letiště Praha a Policie ČR. Systém provozovaný Letištěm Praha neobsahuje žádnou pokročilejší technologii Systém . . .

Potřebujeme změny v GDPR?

27. 7. 2025 Monika Bendová

Když Evropská komise letos 21. května publikovala svůj materiál Omnibus IV Simplification Package[1], jenž má za cíl zejména zjednodušení administrativní zátěže malých a středně velkých podniků (tzv. SME – Small and Medium-sized Enterprises) a nově zavedené kategorie tzv. SMC podniků (Small Mid-Caps)[2] a také modernizaci pravidel v rámci jednotného trhu EU, zahrnula do něj svůj dřívější záměr zjednodušit též obecné nařízení o ochraně osobních údajů, tedy nám všem známé GDPR. Přestože toto zjednodušení se nakonec omezilo prakticky na vynětí některých správců či zpracovatelů osobních údajů z povinnosti vést záznamy o činnostech zpracování, nabízí se otázka, zda přeci jen není čas po sedmi letech od účinnosti GDPR toto nařízení revidovat. A potřebujeme vůbec jeho změnu? Už když obecné nařízení o ochraně osobních údajů vstupovalo v&nbsp . . .