Evropský sbor pro ochranu osobních údajů (EDPB) opět určil zaměření koordinované kontrolní akce národních dozorových úřadů. V roce 2026 to bude transparentnost, konkrétně poskytování informací o zpracování osobních údajů podle čl. 12, 13 a 14 GDPR.
Co dozorové úřady kontrolovaly v minulých letech?
Evropské dozorové úřady v minulých letech společně kontrolovaly plnění povinností při zpracování osobních údajů se zaměřením na:
Využívání cloudových služeb veřejnoprávními subjekty (2023)
Postavení a kompetence pověřenců pro ochranu osobních údajů (2024)
Uplatnění práva na přístup k osobním údajům podle čl. 15 GDPR (2025)
Každý dozorový úřad, včetně českého Úřadu pro ochranu osobních údajů (ÚOOÚ), ke koordinovaným kontrolám přistupuje jinak. Některý si vytipuje několik správců a u nich provede detailní ověření stavu, včetně kontroly na místě. Jiné, například i ÚOOÚ, využívají spíše plošnější přístup, kdy určitému okruhu či kategorii subjektů pošlou konkrétní otázky zaměřené na plnění dané povinnosti. V letošním roce tak český ÚOOÚ kontrolovat právo na přístup u většiny bank působících v České republice.
Výstupy z kontrol pak často představují cenný zdroj informací o tom, jaké postupy dozorové úřady považují za dostatečné k plnění GDPR a jaké už ne. Na co se tedy připravit v roce 2026?
Informace poskytujte srozumitelně a transparentně
Postupy, pravidla a zásady pro poskytování informací o zpracování informací upravuje čl. 12 GDPR. Hlavním principem je, že informace mají být poskytovány smysluplně, tak, aby byly subjektu údajů dostupné včas, v dostatečném rozsahu a ve srozumitelné formě. Další ze zásad upravených v čl. 12 je, že informace mají být poskytovány bezplatně.
Co bude nutné doložit ÚOOÚ, pokud si vás ke kontrolu vybere?
Pro dodržení povinností dle čl. 12 je vhodné mít nastaven a popsán proces, jak jsou informace poskytovány. Včetně toho, kdo odpovídá za jejich obsah, srozumitelnost a faktické zpřístupnění subjektu údajů, např. na internetu nebo na vývěsce na pracovišti. Neméně důležitý však bude faktický stav, tzn. schopnost doložit, jak jsou fakticky informace poskytovány, zda jsou subjektům údajů jednoduše a bezplatně dostupné a zda je jejich obsah srozumitelný běžnému (průměrnému) příjemci, subjektu údajů.
Osobní údaje jsou získávány přímo od subjektu údajů
GDPR v dalších článcích 13 a 14 rozlišuje dvě situace: Správce osobní údaje získává přímo od subjektu údajů (osobní interakcí, prostřednictvím kamer, monitorováním jeho chování atd.), nebo je získává nepřímo, od dalšího správce. Pro obě situace pak GDPR upravuje částečně odlišný rozsah informací o zpracování a odlišná pravidla pro okamžik, kdy mají být informace subjektu údajů poskytnuty.
Začněme situací, kdy správce osobní údaje získává přímo od subjektu údajů. V takovém případě mu musí poskytnout tyto informace:
totožnost a kontaktní údaje správce a jeho případného zástupce
kontaktní údaje pověřence pro ochranu osobních údajů, pokud ho správce jmenoval
účely zpracování, pro které jsou osobní údaje shromažďovány, a právní základ (titul) pro zpracování
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno právě na právním základu oprávněného zájmu
případné příjemce nebo kategorie příjemců osobních údajů
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k ochraně dat subjektu údajů
Tyto informace musí správce subjektu poskytnout vždy. Podle okolností, rozsahu a rizikovosti zpracování by měl správce subjekt údajů informovat rovněž o:
doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá pro stanovení této doby
existence a proces pro uplatnění práv subjektu údajů, konkrétně práva na přístup, práva na opravu, výmaz, případně omezení zpracování, právo na přenositelnost a právo na námitku tam, kde GDPR subjektu údajů toto právo přiznává
pokud je zpracování založeno na souhlase, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním
existence práva podat stížnost u dozorového úřadu, v případě České republiky u ÚOOÚ
skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Správce by měl být schopen doložit a odůvodnit, proč některé z druhé kategorie informací v konkrétní situaci poskytuje a proč jindy ne. Nebo se nabízí ještě jednodušší postup - informace poskytovat vždy v plném rozsahu. Je to pro správce jednodušší a pro subjekt údajů transparentnější.
Jak a o čem subjekt údajů informovat, když správce informace získává nepřímo?
Správce může osobní údaje získat také z jiných zdrojů než přímo od subjektu údajů. Například od jiného správce (člena stejné skupiny, obchodního partnera, subjekt, který údaje poskytuje na základě právní povinnosti), z veřejných zdrojů atd. I v takových případech má subjekt údajů právo být o zpracování informován, aby neztratil kontrolu nad svými daty a mohl uplatnit i svá další práva.
Rozsah informací upravuje čl. 14 GDPR takto:
totožnost a kontaktní údaje správce a případně jeho zástupce
kontaktní údaje pověřence pro ochranu osobních údajů, pokud byl jmenován
účely zpracování, pro které jsou osobní údaje určeny, a právní základ (titul) pro zpracování
kategorie dotčených osobních údajů
případné příjemce nebo kategorie příjemců osobních údajů
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k ochraně dat subjektu údajů
I při nepřímém získávání údajů GDPR správci ukládá, aby podle okolností a rizikovosti zpracování doplnil i další informace. Konkrétně:
doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá pro stanovení této doby
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na tomto právním důvodu
existence a proces pro uplatnění práv subjektu údajů, konkrétně práva na přístup, práva na opravu, výmaz, případně omezení zpracování, právo na přenositelnost a právo na námitku tam, kde GDPR subjektu údajů toto právo přiznává
pokud je zpracování založeno na souhlase, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním
existence práva podat stížnost u dozorového úřadu, v případě České republiky u ÚOOÚ
zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Jako v předchozím případě, i zde lze doporučit, aby správce podle okolností situace poskytl maximum informací a tím se vyhnul nutnosti vysvětlovat nebo odůvodňovat, proč některé informace poskytuje a některé ne.
Kdy informace poskytovat?
V případě, kdy správce údajů získává osobní údaje přímo od subjektu údajů, musí informace o zpracování poskytovat v okamžiku získání dat. Pokud jsou získávány při osobní interakci (vyplňování dotazníku, objednávky, přihlašování k newsletteru), musí být informace poskytnuty v rámci téhož procesu. V případě, kdy jsou údaje získávány např. prostřednictvím kamer, musí být subjekt informován nejpozději v okamžiku, kdy do prostoru snímaném kamerami vstupuje.
Situace je odlišná tehdy, pokud správce osobní údaje získává jinak, ne přímo od subjektu údajů. Z pochopitelného důvodu mu nemůže informace poskytnout přímo tehdy, když údaje získává. GDPR mu proto ukládá, aby informace poskytl v některém z těchto okamžiků:
v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány
nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace
nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
V obou případech platí, že správce nemusí informace o zpracování poskytovat, pokud je již subjekt údajů má k dispozici. Tuto skutečnost však musí být správce schopen doložit.
Před pokutou uchrání jasně popsaný proces
Transparentnost zpracování je jedním z klíčových principů, které se prolínají celým GDPR. Praktických a konkrétních povinností, které jsou s tímto principem spojeny, není tolik. Přesto řadě organizaci hrozí riziko, že informace bude poskytovat v nedostatečném rozsahu, neaktuální nebo nesrozumitelné. Případně že je bude fakticky poskytovat tak, že se k nim subjekt údajů reálně nebude mít možnost jednoduše dostat.
Proto, aby organizace zajistila dodržení principu transparentnosti ve svojí každodenní činnosti, je vhodné související postupy stručně shrnout, zdokumentovat. Ujasnit si, kdo je odpovědný za obsah poskytovaných informací, jejich úplnost a aktuálnost, a kdo za způsob jejích zpřístupnění subjektům údajům. Pokud budou tyto klíčové body nastaveny správně a organizace podle definovaného procesu bude také postupovat, není důvodu se bát. Ani auditu, ani stížností, ani kontroly ze strany Úřadu pro ochranu osobních údajů.
