Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceVíce
> > 7 praktických tipů z výroční zprávy ÚOOÚ za rok 2024

7 praktických tipů z výroční zprávy ÚOOÚ za rok 2024

  • Datum: 07.04.2025
  • Autor: František Nonnemann

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2024: Shrnutí kontrol, pokut, nových výkladů, judikátů a metodik. A spousta čísel. Co si odnést do praxe?

Úřad pro ochranu osobních údajů, dozorový orgán v oblasti GDPR, zveřejnil svoji výroční zprávu za rok 2024. Jaké jsou klíčové poznatky pro praxi správců a osobních údajů v České republice? 

Zde je mých 7 tipů, na co se ve výroční zprávě zaměřit.

Počet stížností neklesá

ÚOOÚ v roce 2024 obdržel celkem 2.288 podnětů a stížností týkajících se možného porušení pravidel pro zpracování osobních údajů. Jedná se o prakticky stejné číslo jako v předchozích letech. I přes dobu, která již uplynula od účinnosti GDPR, kontroly, vydané metodiky a uložené pokuty stále existují správci osobních údajů, kteří svojí činností, nebo někdy naopak nečinností, dokážou ročně vyburcovat více než dva tisíce lidí k tomu, aby si na ně stěžovali.

Na co jsme si v roce 2024 stěžovali nejčastěji? 

Zpracování osobních údajů pro marketingové účely, nedostatečné plnění informační povinnosti, kamery a neoprávněné zveřejnění osobních údajů. 

Spam je pořád problém

Kromě zpracování osobních údajů vykonává ÚOOÚ dozor v oblasti elektronického marketingu, přesněji řečeno elektronicky zasílaných obchodních sdělení. Tuto kompetenci má úřad již od roku 2004, kdy vznikl zákon č. 480/2004 Sb., o některých službách informační společnosti.

V praxi se řeší především nevyžádaná obchodní sdělení, tedy spam, zasílaný e-maily či prostřednictvím SMS. Stejná úprava ale dopadá i na další elektronické kanály, jimiž lze zaslat do osobní sféry adresáta (schránka v aplikaci, vlastní profil, telefon atd.) adresné marketingové oslovení. 

Typickým prohřeškem je zasílání obchodních sdělení bez právního důvodu, jímž může být buď souhlas adresáta nebo zaslání vlastní nabídky stávajícímu klientovi. Chybuje se ovšem i v (ne)uvádění povinných náležitostí obchodního sdělení (identifikace odesílatele, označení zprávy jako obchodní sdělení) a možnosti se snadno z dalšího zasílání odhlásit. Za porušení pravidel pro obchodní sdělení hrozí pokuta až 10 milionů Kč. ÚOOÚ se už k této horní hranici několikrát velmi přiblížil. 

Stížnost automaticky nespouští kontrolu

Počet kontrol, které ÚOOÚ realizuje během jednoho roku, je víceméně stabilní. Pohybuje se v řádu desítek. Z nich zhruba polovina je zahájena na základě stížností, polovina podle ročního plánu kontrol.

Úřad také pokračuje v praxi tzv. výzev správci k uvedení do souladu. Oč se jedná? V případě jednotlivých stížností směřujících na možné porušení dílčích ustanovení právních předpisů úřad místo zahájení systémové kontroly upozorní správce na možné porušení pravidel, vyzve jej k prověření skutkového stavu a nápravě případných nedostatků. Tímto způsobem úřad přispívá k rychlejšímu a efektivnějšímu zajištění souladu s požadavky regulace.

Z pohledu organizace, která takovýto „varovný dopis“ dostane, je důležité celou situaci nepodcenit. Nesnažit se jen o právnickou diskusi s dozorovým úřadem nebo hledání alibi, ale vzít tento podnět jako impuls ke vnitřní kontrole. Ověření, zda skutečně nedošlo k selhání nastavených procesů, byť třeba lidskou chybou, nebo zda se stěžovatel netrefil do nepokryté oblasti. A přijmout nápravná opatření, aby se tato chyba neopakovala. 

Z uvedených čísel plyne, že v roce 2024 se počet „varovných dopisů“ výrazně snížil. Stížností a podnětů je ale pořád stejně. Znamená to snad, že ÚOOÚ bude častěji rovnou zahajovat kontrolu nebo řízení o uložení pokuty? 

Klíčové oblasti: Biometrika, řízení dodavatelů, zabezpečení dat a cookies

Dozorový úřad ve výroční zprávě informoval o závěrech některých kontrol a šetření provedených v roce 2024. Nejedná se sice o úplný výčet, ale z toho, že ÚOOÚ tato témata do výroční zprávy zahrnul, lze usoudit, že je považuje za důležitá. A že se jim bude věnovat i v dalších letech.

Kterými klíčovými činnostmi zpracování se ÚOOÚ v roce 2024 zabýval? Jednalo se zejména o: 

  • Zabezpečení klientských dat online platformami

  • Docházkové systémy využívající biometrické údaje

  • Smlouvy mezi správci a zpracovateli osobních údajů

  • Právo na přístup k osobním údajům podle čl. 15 GDPR

  • Zpracování osobních údajů v rámci souborů cookies a modelů Pay or OK

Judikatura a metodika

GDPR je obecným předpisem. Dopadá na velkou většinu zpracování osobních údajů, ať už ho provádí ministerstvo, banka, telekomunikační operátor, poskytovatel zdravotnických služeb, velký online hráč nebo naopak malá obec, škola či střední výrobní podnik. Pro výklad GDPR jsou proto v praxi důležitá rovněž rozhodnutí unijních a českých soudů a metodické dokumenty.

ÚOOÚ ve své výroční zprávě komentuje jak pokyny a stanoviska Evropského sboru pro ochranu osobních údajů vydaná v roce 2024 (působnosti ePrivacy směrnice, facial recognition, Pay or OK princip, určení hlavní provozovny správce atd.), tak důležitou judikaturu. Soudy řešily například otázky možného zveřejňování trestněprávních rozsudků, ohlašovací povinností v případě porušení zabezpečení osobních údajů (data breach) či náhradou nemajetkové újmy způsobené protiprávním zpracováním nebo nedostatečným zabezpečením osobních údajů.

Úřad se připravuje na nové digitální agendy

DMA, DSA, Akt o datech, AI Act… Evropská unie v posledních letech skutečně nešetřila s novými předpisy, které mají upravit nějaký aspekt využití dat nebo moderních technologií. Tyto předpisy často mají přesah do oblasti ochrany osobních údajů. V některých případech dokonce ÚOOÚ ukládají nové úkoly a kompetence.

Typickým případem je nařízení o digitálních službách (DSA), v jehož rámci bude ÚOOÚ vykonávat dozor nad některými povinnostmi ve zveřejňování online reklam, řešit zákaz profilování pro personalizaci marketingových nabídek a spolupracovat s dalšími dozorovými úřady. Proto není divu, že ÚOOÚ se nové digitální regulaci ve výroční zprávě věnuje a mapuje její dopady do pravidel pro ochranu osobních údajů.

Personální kapacity

I v souvislosti s novými kompetencemi Úřad pro ochranu osobních údajů konstatuje, že nedisponuje dostatečnou personální kapacitou. K 31. prosinci 2024 byl celkový počet systemizovaných míst na ÚOOÚ 116. Podle názoru úřadu je však nezbytné, aby v roce 2025 došlo k personálnímu posílení o dalších 14 systematizovaných míst. 

Osobně pochybuji, že k takto velkému personálnímu posílení ÚOOÚ ve volebním roce 2025 dojde. To ovšem neznamená, že úřad je či bude bezzubý. Jak ostatně vyplývá i z výše uvedených čísel, dozor v oblasti zpracování osobních údajů i nevyžádaných obchodních sdělení ÚOOÚ vykonává již řadu let, své postupy se snaží automatizovat a činit stále více efektivními. Rozhodně se nevyplatí ho podcenit.

Článek je publikován také na doméně GDPR.cz

Štítky
GDPRSoukromíOsobní údaje

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (61)Data (24)Diia (1)BPMN (1)Program Manager (4)Compliance (89)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (52)Axelos (6)AI (23)ISO (16)IT Security (5)Marketing (11)ESG (6)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (141)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (6)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (16)Whistleblowing Officer (9)DORA (16)AI (4)ISO 27002 (1)PeopleCert (6)eIDAS (4)ArchiMate (5)Audit (1)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (22)Tisková zpráva (4)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (32)NIS2 (19)Kritická infrastruktura (4)IT (8)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (18)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (45)Pokuta (20)Hospodářská soutěž (1)eGovernment (1)Regulace (32)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Portfolio

Hlavní nabídka

Certifikace

TAYLLORCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play