Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Digitální omnibus mění pojetí osobních údajů i pravidla pro AI

27. 5. 2026

Evropská datová regulace prochází zásadní proměnou. Návrh tzv. digitálního omnibusu z listopadu 2025 (dále jen „návrh“) přináší v článku 3 novelizaci nařízení GDPR. Neomezuje se pouze na dílčí úpravy, ale zasahuje i do samotných základů zpracování osobních údajů, včetně definice osobního údaje, pravidel pro další zpracování pro účely vědeckého výzkumu, využití osobních údajů při vývoji a provozu systémů umělé inteligence, informačních povinností správce, režimu ohlašování porušení zabezpečení i zpracování údajů v koncových zařízeních fyzických osob. Nové pojetí osobního údaje Za nejzásadnější změnu lze považovat navržené upřesnění definice osobního údaje. Návrh vychází z principu, že určitá informace nemá být považována za osobní údaj ve vztahu ke konkrétnímu subjektu, pokud tento subjekt nedisponuje prostředky, u nichž lze rozumně předpokládat, že je použije k identifikaci fyzické osoby. Sou . . .

Omlouvání dětí z výuky musí splňovat pravidla ochrany osobních údajů

27. 5. 2026

Omlouvání dětí z výuky se může jevit jako banální administrativní úkon, ve skutečnosti se však jedná o zpracování osobních údajů, které musí splňovat požadavky GDPR. Některé školy však praktické řešení omlouvání dětí stále podceňují. Jaké způsoby omlouvání jsou vhodné a zároveň v souladu s platnou legislativou a jaké naopak vhodné nejsou? Hromadné skupiny na WhatsAppu jsou nevhodné Stále se lze setkat s tím, že rodiče omlouvají děti prostřednictvím hromadných skupin na WhatsAppu. Tento způsob je z pohledu ochrany osobních údajů problematický hned z několika důvodů. Především dochází ke zpřístupnění informací o docházce dítěte dalším rodičům. Zprávy typu „Adam Chvojka dnes nepřijde, je nemocný.“ nebo „Eliška Svobodová ve čtvrtek nedorazí, jdeme do nefrologické poradny.“ obsahují osobní údaje (jméno, příjmení) a často i údaje o zdravotním stavu, které patří mezi zvláštní kategorie osobních údajů. Školy navíc často nedbají na aktualizaci účastníků konverzace, a tak se osobní údaje mohou dostat i k učitelům, kteří již na škole nepracují, nebo k zákonným zástupcům, jejichž dítě školu již nenavštěvuje. Využití WhatsAppu jako komunikačního kanálu znamená i zapojení dalšího subjektu do zpracování osobních údajů, aniž by škola měla uzavřenou odpovídající smlouvu podle GDPR. Proto ani omluvenka zaslaná v soukromé zprávě nepředstavuje ideální řešení. Rizikové jsou i […]

Role pověřence pro ochranu osobních údajů v kontextu kybernetické bezpečnosti

27. 5. 2026

II. část Zatímco kybernetická bezpečnost chrání aktiva organizace, GDPR chrání soukromí jednotlivců. Tyto dva světy se však v praxi neustále protínají. Ve druhé části našeho seriálu se zaměříme na to, jak efektivně nastavit spolupráci mezi pověřencem a bezpečnostními týmy, jak sladit řízení rizik a jak postupovat, když se kybernetický incident stane zároveň únikem osobních údajů. V dubnovém čísle jsme se zaměřili na vymezení vztahu mezi kybernetickou bezpečností regulovanou nově zákonem č. 264/2025 Sb., o kybernetické bezpečnosti („ZoKB“)[1], a ochranou osobních údajů podle GDPR.[2] Z první části seriálu vyplynulo, že ačkoli pověřenec pro ochranu osobních údajů není součástí formální struktury kybernetické bezpečnosti a kvůli střetu zájmů nemůže vykonávat bezpečnostní role, jeho zapojení do této oblasti je v určitém rozsahu nejen možné, ale i žádoucí.  Dále byly identifikovány oblasti, v . . .

Kdy pseudonymizované údaje přestávají být osobními?

27. 5. 2026

Soudní dvůr EU ve svém aktuálním rozhodnutí upřesnil hranici mezi osobními a anonymními údaji. Nezbytným faktorem pro určení ochrany pseudonymizovaných dat je nyní schopnost konkrétního příjemce identifikovat dotčené osoby. Pokud příjemce nedisponuje prostředky k reidentifikaci, na údaje se v jeho případě nepohlíží jako na osobní. Soudní dvůr Evropské unie vydal dne 4. září 2025 rozhodnutí ve věci C‑413/23 P, v němž řešil, zda pseudonymizované údaje zůstávají osobními, zda je či není rozhodující, zda příjemce má prostředky k reidentifikaci osob. Evropský inspektor ochrany údajů (EDPS) by neměl automaticky považovat pseudonymizované údaje za osobní údaje, ale měl by zkoumat, zda má příjemce údajů prostředky k identifikaci dotčených osob. Pokud příjemce takovými prostředky nedisponuje a zároveň je pseudonymizace dostatečně robustní a bezpečná, neměly by být tyto údaje nadále považovány za osobní. Soud však není vázán stanoviskem generálního advok . . .

Pověřenci ve veřejném sektoru: Strategičtí partneři, nebo jen formální postavičky?

27. 5. 2026

Dosavadní poznatky Úřadu pro ochranu osobních údajů (ÚOOÚ) nesvědčí o tom, že by se postavení pověřenců (DPO) ve veřejném sektoru zlepšovalo. Naopak – tito experti se stále potýkají s nedostatečným zapojením do veškerých záležitostí souvisejících s ochranou osobních údajů a často i s nedostatkem zdrojů. Úřad proto plánuje kontroly vybraných orgánů veřejné moci, které se zaměří primárně na tyto oblasti. Záměrem přitom není pouze represe, ale především snaha o zvýšení informovanosti ohledně toho, jakou roli by měl pověřenec podle obecného nařízení (GDPR) skutečně zastávat. Cílem této kontrolní akce je zajistit, aby postavení pověřenců pro ochranu osobních údajů v praxi odpovídalo významu, který jim přisuzuje a zaručuje nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízen . . .