Transparentnost a informační povinnost v GDPR: příprava na kontrolu v roce 2026

28. 12. 2025 2025/12, Články zdarma

Evropský sbor pro ochranu osobních údajů vybral pro rok 2026 téma koordinovaných kontrol podle obecného nařízení (GDPR). Zaměří se na plnění informační povinnosti podle článků 12 až 14 GDPR, tedy na transparentní poskytování informací o zpracování osobních údajů národními dozorovými úřady.

Co bude nutné doložit?

Dodržení povinností podle článku 12 vyžaduje, aby měla organizace nastavený a zdokumentovaný proces, jak jsou informace poskytovány, včetně toho, kdo odpovídá za jejich obsah, srozumitelnost a faktické zpřístupnění subjektu údajů, např. na internetu nebo na vývěsce na pracovišti. Neméně důležitý však bude faktický stav, tzn. schopnost doložit, jak jsou fakticky informace poskytovány, zda jsou subjektům údajů jednoduše a bezplatně dostupné a zda je jejich obsah srozumitelný běžnému (průměrnému) příjemci, subjektu údajů.[1]

Neméně důležité je však prokázat i faktickou stránku: zda jsou informace skutečně poskytovány, dostupné zdarma a srozumitelné běžnému příjemci. Transparentní poskytování informací je klíčové: jen tehdy může subjekt údajů plně porozumět zpracování svých dat a uplatnit svá práva.

Poskytnutí informací, neboli transparentnost, je jednou z klíčových oblastí při zpracování osobních údajů, které se prolínají plněním všech ostatních povinností. Teprve ve chvíli, kdy má subjekt údajů dostatek informací, je schopen plně vyhodnotit prováděné zpracování a uplatnit svá práva.

Pojďme si proto zrekapitulovat, jak má být informační povinnost splněna.

Jak informovat?

Obecné nařízení v článku 12 stanoví parametry způsobu splnění informační povinnosti, když říká, že správce má přijmout vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě.

Povinnost informace poskytnout zahrnuje i parametry, jak mají být informace předávány, aby byly srozumitelné a dostupné.

Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby. Je tedy nejen stanovena povinnost informace poskytnout, zároveň jsou uvedeny parametry poskytnutí informací.

Kdy informovat?

Pro určení okamžiku, kdy musí být splněna informační povinnost, je nutní rozlišit několik situací:

  1. Údaje jsou získávány přímo od subjektu údajů – informace o zpracování musí být poskytnuty v okamžiku získání dat. Pokud jsou získávány při osobním jednání, musí být informace poskytnuty v rámci téhož procesu nebo těsně před ním.
  2. Údaje jsou získávány jinak než od subjektu údajů – správce v tomto případě poskytne informace:

a) v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b) nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo

c) nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

Obecné nařízení (GDPR) obsahuje z této povinnosti čtyři výjimky:

a) subjekt údajů již uvedené informace má;

b) ukáže se, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí;

c) získávání nebo zpřístupnění je výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo

d) osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.

V jakém rozsahu?

I při odpovědi na tuto otázku je nutné rozlišit dvě situace, které již byly uvedeny výše:

  1. Údaje jsou získávány přímo od subjektu údajů:
  2. údaje, které musí být poskytnuty vždy – čl. 13 odst. 1 obecného nařízení (GDPR),
  3. další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování – čl. 13 odst. 2 obecného nařízení (GDPR).
  4. Údaje jsou získávány jinak než od subjektu údajů:
  5. údaje, které musí být poskytnuty vždy – čl. 14 odst. 1 obecného nařízení (GDPR),
  6. další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování – čl. 14 odst. 2 obecného nařízení (GDPR).

Informace o zpracování osobních údajů musí být stručné, srozumitelné, transparentní a snadno dostupné, poskytované zdarma a v časově aktuální podobě, přizpůsobené cílové skupině a v souladu s články 12–14 obecného nařízení (GDPR).

Výše uvedené lze shrnout do následujících pravidel:

  • Informační oznámení musí být „stručné, transparentní, srozumitelné a snadno přístupné“. Aby byly informace poskytované subjektům údajů, jež se týkají zpracování jejich osobních údajů, v souladu s obecným nařízení (GDPR), musí být jasně odlišeny od ostatních informací.
  • Jazyk informačního sdělení musí být jasný a srozumitelný. Je proto vhodné používat krátké věty a jednoduché a obvyklé výrazy. Formulace textu by měla být upravena ve vztahu k cílové skupině.
  • Informace musí být poskytovány písemně nebo jiným způsobem. Pokud je to možné, doporučuje se používat elektronické vrstvené oznámení o ochraně osobních údajů. Lze využít i další elektronické prostředky. Zvolená metoda musí být vhodná pro cílového uživatele.
  • Informace mohou být poskytnuty i ústně. Lze využít i ústní informování, pokud je jasná totožnost subjektu údajů. Tato možnost se ale nevztahuje na poskytování obecných informací o ochraně osobních údajů potenciálním zákazníkům nebo uživatelům, jejichž totožnost nelze (prozatím) ověřit.
  • Informace musí být poskytovány zdarma. Je zakázáno účtovat subjektům údajů poplatky za poskytování informací o zpracování jejich osobních údajů. Poskytování informací nesmí být podmíněno vstupem do finanční transakce.
  • Obsah oznámení. Pokud jde o obsah informací, které mají být poskytovány subjektům údajů, je třeba řídit se články 13 a 14 obecného nařízení (GDPR).
  • Změny v upozornění. Transparentnost musí být dodržena v celém životním cyklu zpracovávání osobních údajů. Jakékoli změny musí být subjektu údajů včas oznámeny a vysvětleny.[2]

Eva Janečková

Autorka je pověřenec pro ochranu osobních údajů

[1] Nonnemann, F. Úřady pro ochranu osobních dat se v roce 2026 zaměří na plnění informační povinnosti! https://www.gdpr.cz/edpb-kontrolni-akce-2026-transparentnost-gdpr

[2] Janečková, E. GDPR – Řešení problémů v praxi obcí. Grada 2019, ISBN 978-80-247-2925-1.

Přihlášení k odběru aktualit