Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Dva světy, jedna choreografie

29. 11. 2025

aneb Kde končí pověřenectví a začíná kyberbezpečnost Hranice mezi jednotlivými rolemi se v každodenním provozu obcí a škol často rozplývají. Ne vždy je jasné, zda konkrétní otázku řeší ještě pověřenec pro ochranu osobních údajů, nebo už spadá do oblasti IT a kyberbezpečnosti. Právě ve chvílích, kdy je potřeba opora a jistota, mohou následující řádky nabídnout přehledné vymezení rolí i doporučení, jak si úkoly efektivně předávat. Pod pojmem „choreografie“ je zde myšlena praktická koordinace a vzájemný respekt mezi oběma rolemi. A je dobré mít na paměti, že skutečným choreografem je v konečném důsledku správce, tedy vedení obce nebo školy, které určuje pravidla hry a zadání. Pověřenec hlídá soulad s právem a kyber tým převádí požadavky do technického provedení. Kdo je pověřenec a v čem spočívá jeho pohled Na jedné straně stojí pověřenec pro ochranu osobních údajů. Jeho prostředím jsou právní předpisy, zásady zpracování, práva subjektů údajů, dokumentace a vysvětlování. Dbá na to, aby se s osobními údaji zacházelo zákonně, přiměřeně a s respektem k člověku. Pověřenec se dívá na procesy očima občana nebo žáka a ptá se, zda je daný zásah do soukromí opodstatněný a zda je pro něj právní opora. Kdo stojí na technické straně: kyberbezpečnostní role Na druhé straně […]

Mateřské školy mají základním školám nově předávat osobní údaje ve větším rozsahu než doposud

27. 10. 2025

Od školního roku 2025/2026 mají mateřské školy nově povinnost předávat základním školám osobní údaje ve větším rozsahu než doposud, včetně údajů zvláštní kategorie, aby se zajistilo propojení dat mezi mateřskými a základními školami v rámci celého vzdělávacího systému. Tento nový účel zpracování by se měl propsat do tzv. záznamů o činnostech. Je vhodné, aby o tom školy informovaly rodiče ještě mimo běžné informační memorandum. S účinností od 1. 9. letošního roku nabyly účinnosti dvě zásadní novely školského zákona[1], které počítaly také se změnami prováděcích právních předpisů. Novela školského zákona z 25. srpna a s účinností od 1. září upřesňuje nové povinnosti, které vznikají především mateřským, ale návazně i základním školám v důsledku změn, jež se týkají odkladů. Školský zákon Podle nového § 36a školského zákona je ředitel základní školy, který v rámci zápisu k povinné školní docházce rozhodl o přijetí dítěte, povinen do 31. března nebo do 14 dnů od vydání rozhodnutí o přijetí dítěte požádat školu, z níž dítě přichází (§ 36 odst. 4), o předání výsledků pedagogického diagnostikování. Ředitel školy podle § 36 odst. 4 školského zákona předává údaje řediteli základní školy do 30 dnů od doručení žádosti, v případě individuálně vzdělávaného dítěte formou zápisu z ověření úrovně jeho osvojení očekávaných výstupů. […]

První vlaštovka k (ne)oprávněnosti finanční satisfakce za fotografii bez souhlasu?

29. 9. 2025

Základní umělecká škola pořídila v roce 2012 fotografii nezletilého žáka, jak hraje na trombón. Fotografii následně využila na plakátech akce „Hudební maraton pražských ZUŠ“ v letech 2012, 2014, 2016 a 2018, kterou pořádal Magistrát hlavního města Prahy. Žák vyobrazený na fotografii podal v roce 2018 proti ZUŠ (a následně i proti Magistrátu hl. m. Prahy) soukromoprávní žalobu na ochranu osobnosti. V ní tvrdil, že souhlas k pořízení a dalšímu šíření jeho podobizny nikdy neexistoval, a požadoval finanční zadostiučinění ve výši 200 000 Kč. Soud prvního stupně dal opakovaně žalobci za pravdu, odvolací soud však nikoliv. Jak situaci posoudil odvolací soud Odvolací soud se zabýval tím, jaké jsou podmínky pro vznik povinnosti nahradit nemajetkovou újmu a zda tyto podmínky byly v daném případě splněny. Pro vznik povinnosti nahradit újmu přitom platí čtyři základní předpoklady, a to 1) protiprávní čin škůdce, 2) vznik újmy, 3) existence příčinné souvislosti mezi protiprávním konáním škůdce a újmou způsobenou poškozenému a 4) zavinění v některé z jeho forem. Pokud není splněn byť jen jediný z těchto obecných předpokladů, povinnost nahradit nemajetkovou újmu nevzniká. Žalobce nepředložil žádné konkrétní důkazy o tom, že by zveřejnění fotografie mělo nějaký vliv na jeho život. Proto městský soud žalobu, která zněla výhradně na peněžité plnění, zamítl. Odvolací […]

Silné heslo: Klíč k bezpečnosti v kyberprostoru

27. 7. 2025

Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí. Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Implementace zákona bude probíhat v několika fázích NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické […]

AKTUALIZACE GDPR NA OBZORU: PROMARNĚNÁ PŘÍLEŽITOST NEBO ZAČÁTEK KONCE GDPR JAK HO ZNÁME?

28. 6. 2025

V září 2024 publikovaná Draghiho zpráva o konkurenceschopnosti Evropy identifikovala jako jednu z příčin zaostávajícího hospodářského růstu, resp. inovativnosti v EU, přeregulovanost zdejšího podnikatelského prostředí. Samozřejmě, že v tomto kontextu bylo analyzováno i GDPR, kde vyšly najevo jako hlavní identifikované problémy nejednotnost vnitrostátních dohledových orgánů pro ochranu osobních údajů ve vymáhání GDPR a nejednotnost pravidel v jednotlivých členských státech – ať už jako následek gold-platingu, nebo skutečnosti, že GDPR svěřuje členským státům EU možnost si pravidla ochrany osobních údajů přizpůsobit v 15 různých oblastech.    Po nástupu Donalda Trumpa do funkce prezidenta USA, který z deregulace udělal jeden z hlavních slibů svého druhého funkčního období, přičemž tento slib velmi dobře funguje v rámci politického marketingu, se na této vlně začala vozit i řada unijních a předních národních politiků z EU. Jednou z oblastí, na kterou se měly deregulační snahy upřít, pak přirozeně měla být i oblast ochrany osobních údajů, a to zejména v kontextu s v podstatě paralelně probíhajícím boomem umělé inteligence, ve které si EU nechce nechat ujet vlak. Po měsících spekulací koncem května Evropská komise v rámci balíčku Omnibus IV představila konkrétní podobu návrhu na aktualizaci GDPR. Na první pohled je pro praxi nejzajímavějším bodem tohoto návrhu zmírnění povinnosti vést záznamy o zpracování osobních údajů podle čl. 30 GDPR. Nově by se výjimka […]

Úskalí a rizika digitálních komunikačních kanálů

28. 5. 2025

V dnešní době už bychom asi těžko našli školu nebo obec či jakoukoliv firmu, kde by se nevyužívaly digitální komunikační kanály. Patří sem e-mailové schránky, webové stránky obcí a škol, elektronické úřední desky, informační systémy (Bakaláři, Edookit, Edupage, elektronická spisová služba), telefon a SMS, sociální sítě (Facebook, Instagram, školní Whatsapp skupiny), videohovory a online výuka či online přednášky – například prostřednictvím Teams, Meet, Zoom. Prakticky běžné je dnes i používání internetových účtů, pomocí nichž získává uživatel přístup k různým službám a produktům. Jedná se například o místo na disku pro ukládání dokumentů, e-mailovou schránku, kalendář, nástroje pro vytváření dokumentů nebo pro online komunikaci atd. Tyto digitální komunikační kanály přijímají a předávají informace, zpracovávají agendy v elektronické podobě, shromažďují, třídí a ukládají data, zkrátka zpracovávají osobní údaje. Není pochyb o tom, že jejich využívání usnadňuje práci, nicméně je třeba pamatovat na to, že se uživatel se ocitá ve virtuálním prostoru. V prostoru, který na rozdíl od klasické papírové korespondence a listinných dokumentů uložených v uzamčených skříních může být pro běžného zaměstnance ne až tak dobře uchopitelný a mnohdy ani ne moc srozumitelný. Navíc v dnešní době, kdy se téma kyberbezpečnosti skloňuje ve všech pádech a nezřídka se objeví zpráva o úniku či […]

Informování o úvěruschopnosti: registry dlužníků

28. 4. 2025

Řádné plnění závazků patří mezi základní principy společenského a právního řádu, které nám jsou vštěpovány od útlého věku. A stejně tak brzy se učíme, jak předcházet situacím, kdy k očekávánému včasnému nebo řádnému plnění nedojde. Základy věřitelské obezřetnosti lze ilustrovat již na příkladu z dětství: pověst notorického „dlužníka“ hraček v mateřské škole či na hřišti vede k tomu, že „věřitelé“ (vlastníci hraček a jiných žádaných komodit) si další výpůjčky více rozmyslí, případně odmítnou. V dospělém světě zůstává princip v zásadě stejný, pouze metody jsou komplexnější a jsou založeny na podrobném zpracování osobních údajů. Zájem věřitelů na ochraně jejich majetku je základním předpokladem pro stabilitu finančního systému a obchodních vztahů. Informace o bonitě, platební historii a platební morálce dlužníků jsou v tomto ohledu jednou ze základních vstupních informací. A vzhledem k tomu, že finanční prostředky lze v současné době získat z mnoha zdrojů, bankovních i nebankovních, je zcela logický a pochopitelný i zájem věřitelů na sdílení těchto informací. Chránit je nicméně nutno i zájmy a práva dlužníků před zpracováním, které by již představovalo neúměrný zásah do jejich práv na ochranu soukromí, např. v důsledku excesivního rozsahu dat, doby uchování, způsobu zveřejnění či zpřístupnění nebo zneužití k jiným účelům. K tomu slouží v první řadě zvláštní zákony upravující legislativní rámec registrů dlužníků a v případě fyzických osob také […]

Pořizování skrytých záznamů při činnosti orgánů inspekce práce

28. 3. 2025

V první den letošního roku nabyla účinnosti novela zákona o inspekci práce[1], která nově zavedla oprávnění inspektora při provádění kontroly nebo v rámci úkonů předcházejících kontrole pořizovat zvukové, obrazové a zvukově-obrazové záznamy bez vědomí kontrolovaných osob, pokud nelze účelu kontroly dosáhnout jinak. Právo fyzických osob na ochranu jejich soukromého a osobního života tím není dotčeno[2]. Jedním z hlavních cílů novelizace byl přitom postih nelegální práce, včetně jeho procesních aspektů. Argumenty pro zavedení tohoto oprávnění lze podle důvodové zprávy shrnout následovně: Z hlediska povinností stanovených v GDPR[6] se důvodová zpráva věnuje právnímu základu shromažďování[7] takovýchto materiálů, kterým je čl. 6 odst. 1 písm. e) GDPR[8], tedy zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Dále se zabývá omezením uložení[9] (k výmazu shromážděných údajů dojde na základě skartačních lhůt) a integritou a důvěrností[10] (shromážděné údaje se stanou součástí kontrolního spisu a popřípadě následně spisu přestupkového a nebudou veřejně přístupné). Spousta otazníků v teoretické rovině Na tomto místě je třeba zdůraznit, že v případech, kdy zákonodárce schválením příslušného právního předpisu už rozhodl, že konkrétní zpracování osobních údajů je povolené, případně dokonce povinné, je relevance jeho dalšího hodnocení například v takovémto článku poněkud omezená. Teoreticky se lze samozřejmě zabývat tím, zda […]

Lze zveřejnit služební označení státních zaměstnanců?

28. 2. 2025

Dne 1. ledna 2025 nabyla účinnosti novela zákona o státní službě[1], která přináší nový systém služebního označení státních zaměstnanců s výjimkou představených, který není odvozen primárně pouze od dosaženého vzdělání a platové třídy, do níž je zařazeno služební místo, na němž státní zaměstnanec vykonává službu, ale i od náročnosti vykonávaných činností a od toho, na jaké úrovni státní zaměstnanec tyto činnosti vykonává. Pro zachování transparentnosti je přiznání mimořádného služebního označení odvozeno také od výsledků služebního hodnocení, z něhož by mělo být patrné, proč k přiznání mimořádného služebního označení dochází[2]. Zákon o státní službě[3] a příslušný služební předpis[4] nově rozlišují tzv. základní a mimořádná služební označení. Cílem kariérního řádu má být zvýšení atraktivity státní služby. Nový systém služebního označení nabídne aktivním a nadstandardně kvalitním státním zaměstnancům příležitost k profesnímu rozvoji a seberealizaci, což napomůže zvýšení motivace státních zaměstnanců.[5] Státnímu zaměstnanci, který byl přijat do služebního poměru přede dnem 1. ledna 2025, přísluší uvedeným dnem a) základní služební označení, pokud dosud nebylo provedeno jeho služební hodnocení, nebo pokud podle jeho posledního služebního hodnocení dosahoval ve službě dobrých, dostačujících nebo nevyhovujících výsledků, nebo pokud dosud nevykonal úřednickou zkoušku, b) mimořádné služební označení podle § 7 odst. 2 nebo odst. 3 písm. a) zákona o státní […]

Jaké jsou novinky u směrnice o soukromí a elektronických komunikacích ePrivacy?

28. 1. 2025

Směrnice o soukromí a elektronických komunikacích ePrivacy upravuje pravidla pro ochranu soukromí a důvěrnosti v rámci elektronických komunikací, využití cookies a marketingu. Diskuse k aktuální revizi této směrnice z přelomu milénia jsou ale zdlouhavé a situace kolem předpisu není ani jednoduchá, ani přehledná. I z tohoto důvodu vydal vloni v říjnu Evropský sbor pro ochranu osobních údajů novou verzi Pokynů EDPB 2/2023 k technickému rozsahu článku 5 odst. 3 ePrivacy. Aktuální směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích, ePrivacy) je součástí legislativního rámce Evropské unie zaměřeného na ochranu soukromí a důvěrnosti v oblasti elektronických komunikací. Byla přijata v roce 2002, od té doby se několikrát aktualizovala. Směrnice je silně provázána[1] s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR), zaměřuje se ale na specifické aspekty. Zaprvé se jedná o ochranu soukromí při elektronické komunikaci – směrnice upravuje způsob, jakým mohou poskytovatelé služeb zpracovávat data, jako jsou e-maily, SMS nebo internetová aktivita. Dále se věnuje cookies a sledovacím technologiím – reguluje ukládání a přístup k informacím na koncových […]