Články zdarma – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Chat Control vs. GDPR: Bezpečnostní paradox a eroze digitální důvěry

29. 3. 2026 Michal Merta

Rozbor rizik a dopadů nařízení CSAR na informační bezpečnost a soukromí Návrh nařízení Evropské unie o prevenci a boji proti sexuálnímu zneužívání dětí online (CSAR), ve veřejné debatě označovaný jako „Chat Control“, představuje jeden z nejzásadnějších střetů mezi ochranou dětí, důvěrností komunikace a architekturou digitální bezpečnosti v Evropě. Ochrana dětí před sexuálním násilím je legitimním a mimořádně silným cílem obecného zájmu. Právě proto však musí být zvolené prostředky nejen politicky přesvědčivé, ale i technicky bezpečné, právně předvídatelné a ústavně přiměřené. To je bod, ve kterém se dosavadní návrhy a varianty CSAR dostávají do vážného napětí s GDPR, ePrivacy rámcem, judikaturou Soudního dvora EU i s novější evropskou regulací umělé inteligence. Nejde přitom jen o klasický spor „soukromí versus bezpečnost“. Ve skutečnosti jde o konflikt dvou regulatorních logik. Na jedné straně EU v GDPR, NIS2 a Cyber Resilience Act systematicky prosazuje principy privacy by design, security by design, minimalizaci zásahů a posilování důvěrnosti systémů. Na straně druhé by široce pojaté detekční povinnosti v soukromé komunikaci mohly vytvářet tlak na zavádění mechanismů, které důvěrnost a integritu komunikační infrastruktury oslabují. Z pohledu informační bezpečnosti je to strukturální paradox: právo, které deklaruje ochranu společnosti, může současně oslabovat technické prostředky, jež společnost chrání. 1. Legislativní […]

Pracovní e-mail po odchodu zaměstnance: jak postupovat v souladu s GDPR?

28. 2. 2026 Ludmila Probstová

Nastavení pravidel pro nakládání s pracovní e-mailovou schránkou po skončení pracovního poměru zaměstnance patří mezi témata, kterým by zaměstnavatelé měli věnovat svoji pozornost. Zvolení nevhodného postupu může být zdrojem sporů a vyústit i v porušení povinností při zpracování osobních údajů zakotvených v GDPR.[1] Základním pravidlem, vycházejícím z ochrany listovního tajemství a ochrany osobních údajů, je, že zaměstnavatel nesmí do soukromé[2] e-mailové schránky bývalého zaměstnance vstupovat a ani jinak se seznamovat s jejím obsahem. Toto pravidlo však není absolutní. Výjimky mohou vyplývat z oprávněného zájmu zaměstnavatele na zajištění kontinuity činností a na ochraně jeho zájmů. Současně nelze opomenout ani právo bývalého zaměstnance na přístup k jeho osobním údajům. Klíčovým faktorem, který významně ovlivňuje zákonnost konkrétního postupu, je existence předem nastavených interních pravidel, transparentní informování zaměstnanců a důsledná dokumentace přístupů uskutečněných po ukončení pracovního poměru. E-mail jako zdroj velkého objemu informací Pracovní e-mailová schránka je již dlouhou dobu jedním ze základních pracovních nástrojů a současně významným zdrojem či nositelem osobních údajů. Obsahuje pestrou škálu informací vztahujících se k zaměstnanci, kterému byla přidělena, i k ostatním účastníkům komunikace – odesílatelům a adresátům, klientům, kolegům či obchodním partnerům. Rozsah informací soukromé povahy se v praxi dále zvětšuje tím, že pracovní e-mail využívá většina zaměstnanců často i jinak […]

Řízení vztahů se zpracovateli v obcích a školách

27. 1. 2026 Zuzana Krausová

aneb Jak uklidit smluvní guláš a udržet soulad s GDPR Iluze je nejčastější kořenící přípravek do smluvního guláše. Iluze, že zpracovatel „to má přece smluvně podchycené“. Iluze, že když je objednávka v e-mailu, tak to nějak platí. Iluze, že si to někdo jiný přece pamatuje. Ve veřejné správě se uzavírá tolik smluv, dodatků a objednávek, že se snad ztratí přehled o tom, co je ještě platné, co se fakticky nepoužívá a co nikdo nikdy neukončil. Zvlášť v oblasti čistě digitálních řešení bývají ujednání se zpracovatelem roztroušená v e-mailech nebo ukrytá za odkazy na proměnlivé webové podmínky. Pokud správce přikoupí nový modul a zpracovatel při té příležitosti jednostranně změní podmínky, oznámením v e-mailu, málokdy někdo zkoumá, co tím bylo ve skutečnosti nahrazeno a zda správce se změnou vůbec souhlasil. Zůstává iluze, že smluvní vztah je v pořádku. Ale co všechno a jak služba skutečně zpracovává, kdo má k údajům přístup a kde všude končí jejich kopie, to často nikdo neví. Některé nesrovnalosti jsou viditelné na první pohled, například když v evidenci figuruje pouze rámcová smlouva z roku 2018, a přitom správce už dávno využívá jiné funkce nebo rozšířené služby. Jindy pověřenec během rozhovoru zjistí, že se zpracováním dané agendy fakticky pomáhá […]

Transparentnost a informační povinnost v GDPR: příprava na kontrolu v roce 2026

28. 12. 2025 Eva Janečková

Evropský sbor pro ochranu osobních údajů vybral pro rok 2026 téma koordinovaných kontrol podle obecného nařízení (GDPR). Zaměří se na plnění informační povinnosti podle článků 12 až 14 GDPR, tedy na transparentní poskytování informací o zpracování osobních údajů národními dozorovými úřady. Co bude nutné doložit? Dodržení povinností podle článku 12 vyžaduje, aby měla organizace nastavený a zdokumentovaný proces, jak jsou informace poskytovány, včetně toho, kdo odpovídá za jejich obsah, srozumitelnost a faktické zpřístupnění subjektu údajů, např. na internetu nebo na vývěsce na pracovišti. Neméně důležitý však bude faktický stav, tzn. schopnost doložit, jak jsou fakticky informace poskytovány, zda jsou subjektům údajů jednoduše a bezplatně dostupné a zda je jejich obsah srozumitelný běžnému (průměrnému) příjemci, subjektu údajů.[1] Neméně důležité je však prokázat i faktickou stránku: zda jsou informace skutečně poskytovány, dostupné zdarma a srozumitelné běžnému příjemci. Transparentní poskytování informací je klíčové: jen tehdy může subjekt údajů plně porozumět zpracování svých dat a uplatnit svá práva. Poskytnutí informací, neboli transparentnost, je jednou z klíčových oblastí při zpracování osobních údajů, které se prolínají plněním všech ostatních povinností. Teprve ve chvíli, kdy má subjekt údajů dostatek informací, je schopen plně vyhodnotit prováděné zpracování a uplatnit svá práva. Pojďme si proto zrekapitulovat, jak má být informační […]

Dva světy, jedna choreografie

29. 11. 2025 Zuzana Krausová

aneb Kde končí pověřenectví a začíná kyberbezpečnost Hranice mezi jednotlivými rolemi se v každodenním provozu obcí a škol často rozplývají. Ne vždy je jasné, zda konkrétní otázku řeší ještě pověřenec pro ochranu osobních údajů, nebo už spadá do oblasti IT a kyberbezpečnosti. Právě ve chvílích, kdy je potřeba opora a jistota, mohou následující řádky nabídnout přehledné vymezení rolí i doporučení, jak si úkoly efektivně předávat. Pod pojmem „choreografie“ je zde myšlena praktická koordinace a vzájemný respekt mezi oběma rolemi. A je dobré mít na paměti, že skutečným choreografem je v konečném důsledku správce, tedy vedení obce nebo školy, které určuje pravidla hry a zadání. Pověřenec hlídá soulad s právem a kyber tým převádí požadavky do technického provedení. Kdo je pověřenec a v čem spočívá jeho pohled Na jedné straně stojí pověřenec pro ochranu osobních údajů. Jeho prostředím jsou právní předpisy, zásady zpracování, práva subjektů údajů, dokumentace a vysvětlování. Dbá na to, aby se s osobními údaji zacházelo zákonně, přiměřeně a s respektem k člověku. Pověřenec se dívá na procesy očima občana nebo žáka a ptá se, zda je daný zásah do soukromí opodstatněný a zda je pro něj právní opora. Kdo stojí na technické straně: kyberbezpečnostní role Na druhé straně […]

Mateřské školy mají základním školám nově předávat osobní údaje ve větším rozsahu než doposud

27. 10. 2025 Eva Janečková

Od školního roku 2025/2026 mají mateřské školy nově povinnost předávat základním školám osobní údaje ve větším rozsahu než doposud, včetně údajů zvláštní kategorie, aby se zajistilo propojení dat mezi mateřskými a základními školami v rámci celého vzdělávacího systému. Tento nový účel zpracování by se měl propsat do tzv. záznamů o činnostech. Je vhodné, aby o tom školy informovaly rodiče ještě mimo běžné informační memorandum. S účinností od 1. 9. letošního roku nabyly účinnosti dvě zásadní novely školského zákona[1], které počítaly také se změnami prováděcích právních předpisů. Novela školského zákona z 25. srpna a s účinností od 1. září upřesňuje nové povinnosti, které vznikají především mateřským, ale návazně i základním školám v důsledku změn, jež se týkají odkladů. Školský zákon Podle nového § 36a školského zákona je ředitel základní školy, který v rámci zápisu k povinné školní docházce rozhodl o přijetí dítěte, povinen do 31. března nebo do 14 dnů od vydání rozhodnutí o přijetí dítěte požádat školu, z níž dítě přichází (§ 36 odst. 4), o předání výsledků pedagogického diagnostikování. Ředitel školy podle § 36 odst. 4 školského zákona předává údaje řediteli základní školy do 30 dnů od doručení žádosti, v případě individuálně vzdělávaného dítěte formou zápisu z ověření úrovně jeho osvojení očekávaných výstupů. […]

První vlaštovka k (ne)oprávněnosti finanční satisfakce za fotografii bez souhlasu?

29. 9. 2025 Alice Frýbová

Základní umělecká škola pořídila v roce 2012 fotografii nezletilého žáka, jak hraje na trombón. Fotografii následně využila na plakátech akce „Hudební maraton pražských ZUŠ“ v letech 2012, 2014, 2016 a 2018, kterou pořádal Magistrát hlavního města Prahy. Žák vyobrazený na fotografii podal v roce 2018 proti ZUŠ (a následně i proti Magistrátu hl. m. Prahy) soukromoprávní žalobu na ochranu osobnosti. V ní tvrdil, že souhlas k pořízení a dalšímu šíření jeho podobizny nikdy neexistoval, a požadoval finanční zadostiučinění ve výši 200 000 Kč. Soud prvního stupně dal opakovaně žalobci za pravdu, odvolací soud však nikoliv. Jak situaci posoudil odvolací soud Odvolací soud se zabýval tím, jaké jsou podmínky pro vznik povinnosti nahradit nemajetkovou újmu a zda tyto podmínky byly v daném případě splněny. Pro vznik povinnosti nahradit újmu přitom platí čtyři základní předpoklady, a to 1) protiprávní čin škůdce, 2) vznik újmy, 3) existence příčinné souvislosti mezi protiprávním konáním škůdce a újmou způsobenou poškozenému a 4) zavinění v některé z jeho forem. Pokud není splněn byť jen jediný z těchto obecných předpokladů, povinnost nahradit nemajetkovou újmu nevzniká. Žalobce nepředložil žádné konkrétní důkazy o tom, že by zveřejnění fotografie mělo nějaký vliv na jeho život. Proto městský soud žalobu, která zněla výhradně na peněžité plnění, zamítl. Odvolací […]

Silné heslo: Klíč k bezpečnosti v kyberprostoru

27. 7. 2025 Eva Janečková

Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí. Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Implementace zákona bude probíhat v několika fázích NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické […]

AKTUALIZACE GDPR NA OBZORU: PROMARNĚNÁ PŘÍLEŽITOST NEBO ZAČÁTEK KONCE GDPR JAK HO ZNÁME?

28. 6. 2025 Sylvie Milerová

V září 2024 publikovaná Draghiho zpráva o konkurenceschopnosti Evropy identifikovala jako jednu z příčin zaostávajícího hospodářského růstu, resp. inovativnosti v EU, přeregulovanost zdejšího podnikatelského prostředí. Samozřejmě, že v tomto kontextu bylo analyzováno i GDPR, kde vyšly najevo jako hlavní identifikované problémy nejednotnost vnitrostátních dohledových orgánů pro ochranu osobních údajů ve vymáhání GDPR a nejednotnost pravidel v jednotlivých členských státech – ať už jako následek gold-platingu, nebo skutečnosti, že GDPR svěřuje členským státům EU možnost si pravidla ochrany osobních údajů přizpůsobit v 15 různých oblastech. Po nástupu Donalda Trumpa do funkce prezidenta USA, který z deregulace udělal jeden z hlavních slibů svého druhého funkčního období, přičemž tento slib velmi dobře funguje v rámci politického marketingu, se na této vlně začala vozit i řada unijních a předních národních politiků z EU. Jednou z oblastí, na kterou se měly deregulační snahy upřít, pak přirozeně měla být i oblast ochrany osobních údajů, a to zejména v kontextu s v podstatě paralelně probíhajícím boomem umělé inteligence, ve které si EU nechce nechat ujet vlak. Po měsících spekulací koncem května Evropská komise v rámci balíčku Omnibus IV představila konkrétní podobu návrhu na aktualizaci GDPR. Na první pohled je pro praxi nejzajímavějším bodem tohoto návrhu zmírnění povinnosti vést záznamy o zpracování osobních údajů podle čl. 30 GDPR. Nově by se výjimka […]

Úskalí a rizika digitálních komunikačních kanálů

28. 5. 2025 Kateřina Mitlöhnerová

V dnešní době už bychom asi těžko našli školu nebo obec či jakoukoliv firmu, kde by se nevyužívaly digitální komunikační kanály. Patří sem e-mailové schránky, webové stránky obcí a škol, elektronické úřední desky, informační systémy (Bakaláři, Edookit, Edupage, elektronická spisová služba), telefon a SMS, sociální sítě (Facebook, Instagram, školní Whatsapp skupiny), videohovory a online výuka či online přednášky – například prostřednictvím Teams, Meet, Zoom. Prakticky běžné je dnes i používání internetových účtů, pomocí nichž získává uživatel přístup k různým službám a produktům. Jedná se například o místo na disku pro ukládání dokumentů, e-mailovou schránku, kalendář, nástroje pro vytváření dokumentů nebo pro online komunikaci atd. Tyto digitální komunikační kanály přijímají a předávají informace, zpracovávají agendy v elektronické podobě, shromažďují, třídí a ukládají data, zkrátka zpracovávají osobní údaje. Není pochyb o tom, že jejich využívání usnadňuje práci, nicméně je třeba pamatovat na to, že se uživatel se ocitá ve virtuálním prostoru. V prostoru, který na rozdíl od klasické papírové korespondence a listinných dokumentů uložených v uzamčených skříních může být pro běžného zaměstnance ne až tak dobře uchopitelný a mnohdy ani ne moc srozumitelný. Navíc v dnešní době, kdy se téma kyberbezpečnosti skloňuje ve všech pádech a nezřídka se objeví zpráva o úniku či […]