Články zdarma – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Omlouvání dětí z výuky musí splňovat pravidla ochrany osobních údajů

27. 5. 2026 Ivana Řehořová

Omlouvání dětí z výuky se může jevit jako banální administrativní úkon, ve skutečnosti se však jedná o zpracování osobních údajů, které musí splňovat požadavky GDPR. Některé školy však praktické řešení omlouvání dětí stále podceňují. Jaké způsoby omlouvání jsou vhodné a zároveň v souladu s platnou legislativou a jaké naopak vhodné nejsou? Hromadné skupiny na WhatsAppu jsou nevhodné Stále se lze setkat s tím, že rodiče omlouvají děti prostřednictvím hromadných skupin na WhatsAppu. Tento způsob je z pohledu ochrany osobních údajů problematický hned z několika důvodů. Především dochází ke zpřístupnění informací o docházce dítěte dalším rodičům. Zprávy typu „Adam Chvojka dnes nepřijde, je nemocný.“ nebo „Eliška Svobodová ve čtvrtek nedorazí, jdeme do nefrologické poradny.“ obsahují osobní údaje (jméno, příjmení) a často i údaje o zdravotním stavu, které patří mezi zvláštní kategorie osobních údajů. Školy navíc často nedbají na aktualizaci účastníků konverzace, a tak se osobní údaje mohou dostat i k učitelům, kteří již na škole nepracují, nebo k zákonným zástupcům, jejichž dítě školu již nenavštěvuje. Využití WhatsAppu jako komunikačního kanálu znamená i zapojení dalšího subjektu do zpracování osobních údajů, aniž by škola měla uzavřenou odpovídající smlouvu podle GDPR. Proto ani omluvenka zaslaná v soukromé zprávě nepředstavuje ideální řešení. Rizikové jsou i […]

Role pověřence pro ochranu osobních údajů v kontextu kybernetické bezpečnosti

28. 4. 2026 Ludmila Probstová

Nová legislativa v podobě zákona č. 264/2025 Sb., o kybernetické bezpečnosti, nahrazuje dosavadní právní úpravu a do českého prostředí přenáší přísné požadavky evropské směrnice NIS2. Pro tisíce organizací, které v závěru roku 2025 prošly povinnou registrací u NÚKIB, nyní běží jednoroční lhůta pro zavedení všech nezbytných bezpečnostních opatření. Tato moderní regulace se staví po bok stávajícího rámce GDPR, se kterým sdílí řadu požadavků na technické a organizační zabezpečení dat. Vznikající synergie mezi oběma oblastmi otevírají zásadní otázku, jakou roli má při budování systému kybernetické bezpečnosti hrát pověřenec pro ochranu osobních údajů a jak může jeho zapojení přispět k efektivní implementaci nových zákonných povinností. Cesta k souladu s novým zákonem o kybernetické bezpečnosti Regulace kybernetické bezpečnosti v evropském prostoru v posledních letech výrazně posiluje. Konkrétním projevem bylo přijetí tzv. směrnice NIS2,[1] která zásadně rozšiřuje rozsah regulovaných subjektů i požadavky na řízení kybernetických rizik. Do českého právní řádu byla tato směrnice transponována zákonem č. 264/2025 Sb., o kybernetické bezpečnosti („ZoKB“), jenž nahradil dosavadní právní úpravu obsaženou v zákoně č. 181/2014 Sb. Obsah bezpečnostních opatření a způsob jejich zavádění dále podrobněji upravují vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost („NÚKIB“). Pro velké množství organizací[2] byl proto rok 2025 ve znamení posuzování charakteru činností a poskytovaných […]

Chat Control vs. GDPR: Bezpečnostní paradox a eroze digitální důvěry

29. 3. 2026 Michal Merta

Rozbor rizik a dopadů nařízení CSAR na informační bezpečnost a soukromí Návrh nařízení Evropské unie o prevenci a boji proti sexuálnímu zneužívání dětí online (CSAR), ve veřejné debatě označovaný jako „Chat Control“, představuje jeden z nejzásadnějších střetů mezi ochranou dětí, důvěrností komunikace a architekturou digitální bezpečnosti v Evropě. Ochrana dětí před sexuálním násilím je legitimním a mimořádně silným cílem obecného zájmu. Právě proto však musí být zvolené prostředky nejen politicky přesvědčivé, ale i technicky bezpečné, právně předvídatelné a ústavně přiměřené. To je bod, ve kterém se dosavadní návrhy a varianty CSAR dostávají do vážného napětí s GDPR, ePrivacy rámcem, judikaturou Soudního dvora EU i s novější evropskou regulací umělé inteligence. Nejde přitom jen o klasický spor „soukromí versus bezpečnost“. Ve skutečnosti jde o konflikt dvou regulatorních logik. Na jedné straně EU v GDPR, NIS2 a Cyber Resilience Act systematicky prosazuje principy privacy by design, security by design, minimalizaci zásahů a posilování důvěrnosti systémů. Na straně druhé by široce pojaté detekční povinnosti v soukromé komunikaci mohly vytvářet tlak na zavádění mechanismů, které důvěrnost a integritu komunikační infrastruktury oslabují. Z pohledu informační bezpečnosti je to strukturální paradox: právo, které deklaruje ochranu společnosti, může současně oslabovat technické prostředky, jež společnost chrání. 1. Legislativní […]

Pracovní e-mail po odchodu zaměstnance: jak postupovat v souladu s GDPR?

28. 2. 2026 Ludmila Probstová

Nastavení pravidel pro nakládání s pracovní e-mailovou schránkou po skončení pracovního poměru zaměstnance patří mezi témata, kterým by zaměstnavatelé měli věnovat svoji pozornost. Zvolení nevhodného postupu může být zdrojem sporů a vyústit i v porušení povinností při zpracování osobních údajů zakotvených v GDPR.[1] Základním pravidlem, vycházejícím z ochrany listovního tajemství a ochrany osobních údajů, je, že zaměstnavatel nesmí do soukromé[2] e-mailové schránky bývalého zaměstnance vstupovat a ani jinak se seznamovat s jejím obsahem. Toto pravidlo však není absolutní. Výjimky mohou vyplývat z oprávněného zájmu zaměstnavatele na zajištění kontinuity činností a na ochraně jeho zájmů. Současně nelze opomenout ani právo bývalého zaměstnance na přístup k jeho osobním údajům. Klíčovým faktorem, který významně ovlivňuje zákonnost konkrétního postupu, je existence předem nastavených interních pravidel, transparentní informování zaměstnanců a důsledná dokumentace přístupů uskutečněných po ukončení pracovního poměru. E-mail jako zdroj velkého objemu informací Pracovní e-mailová schránka je již dlouhou dobu jedním ze základních pracovních nástrojů a současně významným zdrojem či nositelem osobních údajů. Obsahuje pestrou škálu informací vztahujících se k zaměstnanci, kterému byla přidělena, i k ostatním účastníkům komunikace – odesílatelům a adresátům, klientům, kolegům či obchodním partnerům. Rozsah informací soukromé povahy se v praxi dále zvětšuje tím, že pracovní e-mail využívá většina zaměstnanců často i jinak […]

Řízení vztahů se zpracovateli v obcích a školách

27. 1. 2026 Zuzana Krausová

aneb Jak uklidit smluvní guláš a udržet soulad s GDPR Iluze je nejčastější kořenící přípravek do smluvního guláše. Iluze, že zpracovatel „to má přece smluvně podchycené“. Iluze, že když je objednávka v e-mailu, tak to nějak platí. Iluze, že si to někdo jiný přece pamatuje. Ve veřejné správě se uzavírá tolik smluv, dodatků a objednávek, že se snad ztratí přehled o tom, co je ještě platné, co se fakticky nepoužívá a co nikdo nikdy neukončil. Zvlášť v oblasti čistě digitálních řešení bývají ujednání se zpracovatelem roztroušená v e-mailech nebo ukrytá za odkazy na proměnlivé webové podmínky. Pokud správce přikoupí nový modul a zpracovatel při té příležitosti jednostranně změní podmínky, oznámením v e-mailu, málokdy někdo zkoumá, co tím bylo ve skutečnosti nahrazeno a zda správce se změnou vůbec souhlasil. Zůstává iluze, že smluvní vztah je v pořádku. Ale co všechno a jak služba skutečně zpracovává, kdo má k údajům přístup a kde všude končí jejich kopie, to často nikdo neví. Některé nesrovnalosti jsou viditelné na první pohled, například když v evidenci figuruje pouze rámcová smlouva z roku 2018, a přitom správce už dávno využívá jiné funkce nebo rozšířené služby. Jindy pověřenec během rozhovoru zjistí, že se zpracováním dané agendy fakticky pomáhá […]

Transparentnost a informační povinnost v GDPR: příprava na kontrolu v roce 2026

28. 12. 2025 Eva Janečková

Evropský sbor pro ochranu osobních údajů vybral pro rok 2026 téma koordinovaných kontrol podle obecného nařízení (GDPR). Zaměří se na plnění informační povinnosti podle článků 12 až 14 GDPR, tedy na transparentní poskytování informací o zpracování osobních údajů národními dozorovými úřady. Co bude nutné doložit? Dodržení povinností podle článku 12 vyžaduje, aby měla organizace nastavený a zdokumentovaný proces, jak jsou informace poskytovány, včetně toho, kdo odpovídá za jejich obsah, srozumitelnost a faktické zpřístupnění subjektu údajů, např. na internetu nebo na vývěsce na pracovišti. Neméně důležitý však bude faktický stav, tzn. schopnost doložit, jak jsou fakticky informace poskytovány, zda jsou subjektům údajů jednoduše a bezplatně dostupné a zda je jejich obsah srozumitelný běžnému (průměrnému) příjemci, subjektu údajů.[1] Neméně důležité je však prokázat i faktickou stránku: zda jsou informace skutečně poskytovány, dostupné zdarma a srozumitelné běžnému příjemci. Transparentní poskytování informací je klíčové: jen tehdy může subjekt údajů plně porozumět zpracování svých dat a uplatnit svá práva. Poskytnutí informací, neboli transparentnost, je jednou z klíčových oblastí při zpracování osobních údajů, které se prolínají plněním všech ostatních povinností. Teprve ve chvíli, kdy má subjekt údajů dostatek informací, je schopen plně vyhodnotit prováděné zpracování a uplatnit svá práva. Pojďme si proto zrekapitulovat, jak má být informační […]

Dva světy, jedna choreografie

29. 11. 2025 Zuzana Krausová

aneb Kde končí pověřenectví a začíná kyberbezpečnost Hranice mezi jednotlivými rolemi se v každodenním provozu obcí a škol často rozplývají. Ne vždy je jasné, zda konkrétní otázku řeší ještě pověřenec pro ochranu osobních údajů, nebo už spadá do oblasti IT a kyberbezpečnosti. Právě ve chvílích, kdy je potřeba opora a jistota, mohou následující řádky nabídnout přehledné vymezení rolí i doporučení, jak si úkoly efektivně předávat. Pod pojmem „choreografie“ je zde myšlena praktická koordinace a vzájemný respekt mezi oběma rolemi. A je dobré mít na paměti, že skutečným choreografem je v konečném důsledku správce, tedy vedení obce nebo školy, které určuje pravidla hry a zadání. Pověřenec hlídá soulad s právem a kyber tým převádí požadavky do technického provedení. Kdo je pověřenec a v čem spočívá jeho pohled Na jedné straně stojí pověřenec pro ochranu osobních údajů. Jeho prostředím jsou právní předpisy, zásady zpracování, práva subjektů údajů, dokumentace a vysvětlování. Dbá na to, aby se s osobními údaji zacházelo zákonně, přiměřeně a s respektem k člověku. Pověřenec se dívá na procesy očima občana nebo žáka a ptá se, zda je daný zásah do soukromí opodstatněný a zda je pro něj právní opora. Kdo stojí na technické straně: kyberbezpečnostní role Na druhé straně […]

Mateřské školy mají základním školám nově předávat osobní údaje ve větším rozsahu než doposud

27. 10. 2025 Eva Janečková

Od školního roku 2025/2026 mají mateřské školy nově povinnost předávat základním školám osobní údaje ve větším rozsahu než doposud, včetně údajů zvláštní kategorie, aby se zajistilo propojení dat mezi mateřskými a základními školami v rámci celého vzdělávacího systému. Tento nový účel zpracování by se měl propsat do tzv. záznamů o činnostech. Je vhodné, aby o tom školy informovaly rodiče ještě mimo běžné informační memorandum. S účinností od 1. 9. letošního roku nabyly účinnosti dvě zásadní novely školského zákona[1], které počítaly také se změnami prováděcích právních předpisů. Novela školského zákona z 25. srpna a s účinností od 1. září upřesňuje nové povinnosti, které vznikají především mateřským, ale návazně i základním školám v důsledku změn, jež se týkají odkladů. Školský zákon Podle nového § 36a školského zákona je ředitel základní školy, který v rámci zápisu k povinné školní docházce rozhodl o přijetí dítěte, povinen do 31. března nebo do 14 dnů od vydání rozhodnutí o přijetí dítěte požádat školu, z níž dítě přichází (§ 36 odst. 4), o předání výsledků pedagogického diagnostikování. Ředitel školy podle § 36 odst. 4 školského zákona předává údaje řediteli základní školy do 30 dnů od doručení žádosti, v případě individuálně vzdělávaného dítěte formou zápisu z ověření úrovně jeho osvojení očekávaných výstupů. […]

První vlaštovka k (ne)oprávněnosti finanční satisfakce za fotografii bez souhlasu?

29. 9. 2025 Alice Frýbová

Základní umělecká škola pořídila v roce 2012 fotografii nezletilého žáka, jak hraje na trombón. Fotografii následně využila na plakátech akce „Hudební maraton pražských ZUŠ“ v letech 2012, 2014, 2016 a 2018, kterou pořádal Magistrát hlavního města Prahy. Žák vyobrazený na fotografii podal v roce 2018 proti ZUŠ (a následně i proti Magistrátu hl. m. Prahy) soukromoprávní žalobu na ochranu osobnosti. V ní tvrdil, že souhlas k pořízení a dalšímu šíření jeho podobizny nikdy neexistoval, a požadoval finanční zadostiučinění ve výši 200 000 Kč. Soud prvního stupně dal opakovaně žalobci za pravdu, odvolací soud však nikoliv. Jak situaci posoudil odvolací soud Odvolací soud se zabýval tím, jaké jsou podmínky pro vznik povinnosti nahradit nemajetkovou újmu a zda tyto podmínky byly v daném případě splněny. Pro vznik povinnosti nahradit újmu přitom platí čtyři základní předpoklady, a to 1) protiprávní čin škůdce, 2) vznik újmy, 3) existence příčinné souvislosti mezi protiprávním konáním škůdce a újmou způsobenou poškozenému a 4) zavinění v některé z jeho forem. Pokud není splněn byť jen jediný z těchto obecných předpokladů, povinnost nahradit nemajetkovou újmu nevzniká. Žalobce nepředložil žádné konkrétní důkazy o tom, že by zveřejnění fotografie mělo nějaký vliv na jeho život. Proto městský soud žalobu, která zněla výhradně na peněžité plnění, zamítl. Odvolací […]

Silné heslo: Klíč k bezpečnosti v kyberprostoru

27. 7. 2025 Eva Janečková

Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí. Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Implementace zákona bude probíhat v několika fázích NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické […]