Kdy ÚOOÚ zahajuje kontrolu?
Úřad pro ochranu osobních údajů (ÚOOÚ) může zahájit kontrolu buď na základě stížnosti, nebo ze svého vlastního rozhodnutí.
Kontrol zahájených na základě stížnosti dotčeného subjektu údajů je většina, často se ale jedná o kontrolu či porušení dílčí povinnosti podle GDPR či dalších předpisů. Pokud však ÚOOÚ má indicie nasvědčující systematického porušování GDPR nebo větším problémům například kvůli nejasnému výkladu různých právních předpisů, může zahájit kontrolu i bez stížnosti. Na každý rok si pak ÚOOÚ připravuje kontrolní plán, ve kterém vymezí oblasti a činnosti, do kterých část své kontrolní kapacity zaměří.
V obou případech, kontrola na základě stížnosti i na základě kontrolního plánu, jsou průběh a pravidla stejná. Uplatní se základní procesní předpisy (kontrolní řád, správní řád), kontrolovaný je povinen doložit podklady, vyjasnit sporné otázky a dokumentovat, jak plní povinnosti plynoucí z GDPR. Pokud se mu to nepodaří, výsledkem kontroly je kontrolní protokol konstatující nesoulad s právními požadavky. A na takový výsledek obvykle navazuje správní řízení o uložení pokuty nebo nápravného opatření.
Kontrolní priority ÚOOÚ pro rok 2026
Na úvod si řekněme, že letošní kontrolní plán je v porovnání s předchozími roky výrazně kratší. Oblastí a sektorů, které hodlá ÚOOÚ kontrolovat je v něm méně. Sám úřad to přiznává a odůvodňuje to nižší kapacitou související s jeho novými agendami z dalších datových regulací.
Co se tedy do kontrolního plánu na rok 2026 vešlo?
1. Postavení pověřenců na ochranu osobních údajů ve veřejném sektoru
ÚOOÚ se opakovaně vyjadřoval k často nedostatečným kapacitám, zdrojům a kompetencím pověřenců ve veřejném sektoru. Protože jeho apely nezabraly, ověří situace u konkrétních správců kontrolou. Výsledkem může být například uložení povinnosti změny zařazení pověřence v organizační struktuře, zvýšení jeho kapacit atd.
Tip: Ověřte si, jestli váš pověřenec odpovídá požadavkům GDPR. Je skutečně nezávislý, má dostatečný čas a další zdroje k tomu, aby plnil veškeré své povinnosti, není ve střetu zájmů?
2. Zpracování osobních údajů v dlužnických registrech
ÚOOÚ hodlá zkontrolovat zpracování osobních údajů v největších dlužnických registrech v ČR, tzn. V Bankovním registru klientských informací (BRKI), Nebankovním registru klientských informací (NRKI) a registru SOLUS. Zaměří se přitom na dobu, po kterou jsou údaje v registrech uloženy, na profilování dotčených subjektů údajů a na předávání dat mezi účastníky registrů.
Tip: Jste účastníky některého z dlužnických registrů? Ověřte si, zda data z registru získáváte jen tehdy, pokud je to nezbytné pro poskytování vašich produktů, neuchováváte je déle, než je nutné, a dostatečně je chráníte proti zpracování za dalšími nesouvisejícími účely. A pro jistotu si zkontrolujte, že své klienty a zájemce o produkty o využívání dat z registrů v odpovídajícím rozsahu informujete.
3. Rozesílání obchodních sdělení ve formě hodnotících dotazníků
Hodnotící dotazníky, které elektronicky zasílá řada obchodů, poskytovatelů služeb či dalších subjektů, odpovídají pojmu obchodní sdělení ve smyslu zákona č. 480/2004 Sb. ÚOOÚ se proto zaměří na kontrolu toho, zda tyto hodnotící dotazníky odpovídají požadavkům zákona.
Tip: Posíláte svým klientům dotazníky spokojenosti, například e-mailem nebo SMS? Ověřte si, zda plníte základní požadavky podle zákona, tedy zda k tomu máte souhlas, dotazníky jsou označeny jako obchodní sdělení, klient se od jejich zasílání může kdykoliv odhlásit atd.
4. Transparentnost zpracování podle GDPR
ÚOOÚ se i v letošním roce bude podílet na celounijní koordinované kontrolní akci. Jejím tématem letos bude plnění informační povinnosti o zpracování osobních údajů podle čl. 13 (údaje získávány přímo od subjektu údajů) a čl. 14 (osobní údaje získávané z dalších zdrojů) GDPR.
Tip: Máte přesně a aktuálně zmapováno, jaké osobní údaje zpracováváte a z jakých zdrojů je získáváte? Plníte dostatečně informační povinnost nejen vůči klientům, ale i zaměstnancům, uchazečům o zaměstnání či vašim dodavatelům?
5. Využívání údajů z rejstříku osob vyloučených z hazardní hry
Ministerstvo financí vede rejstřík osob vyloučených z hazardních her, do které se mohou nechat dobrovolně zapsat ti, kteří mají s hazardem problém. A provozovatelé hazardních her pak nesmějí těmto osobám umožnit se hazardní hry zúčastnit. ÚOOÚ hodlá prověřit jak vedení rejstříku, tak využívání dat zapsaných osob.
Tip: Pokud využíváte údaje z tohoto rejstříku, ověřte si celkové nastavení pravidel a procesu pro získání, uchování a využití dat.
Další plánované kontroly už jsou poměrně specifické a zaměřují se například na zpracování osobních údajů v rámci Schengenského informačního systému či Vízového informačního systému, nebo v rámci sdílení dat o cestujících v letecké dopravě.
