Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Kontrolní plán ÚOOÚ pro rok 2025

Kontrolní plán ÚOOÚ pro rok 2025

  • Datum: 24.03.2025
  • Autor: Kristýna Gembalová

Na které oblasti zpracování osobních údajů se letos zaměří Úřad pro ochranu osobních údajů? Jak se na kontrolu ÚOOÚ nejlépe připravit?

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil svůj kontrolní plán na rok 2025. Pod drobnohledem budou například věrnostní programy obchodních řetězců, využívání dat z registrů a informačních systémů veřejné správy, kamery v dopravních prostředcích či rozesílání obchodních sdělení internetovými srovnávači.

Na jaké oblasti zpracování osobních údajů se ÚOOÚ při kontrole zaměří a jak se na kontrolu připravit?

Jaké sektory má ÚOOÚ na starosti?

ÚOOÚ je ústředním správním úřadem pro takřka celou oblast ochrany osobních údajů. Má na starosti zejména kontrolu zpracování osobních údajů v souladu s obecným nařízením o ochraně osobních údajů (GDPR), zákonem č. 110/2019 Sb., o zpracování osobních údajů, a zvláštními právními předpisy (ty se týkají např. činnosti Policie ČR, Vězeňské služby ČR nebo schengenské spolupráce). Kromě několika specifických oblastí (např. zpracování osobních údajů v justici či tajných službách) ÚOOÚ vykonává dozor nad všemi sektory a druhy zpracování. Kontrolovat může stejně tak ministerstvo, jako banku, telekomunikačního operátora, výrobní podnik, nemocnice, školu, obec nebo malý e-shop.

Značnou část agendy ÚOOÚ tvoří dohled nad šířením obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. ÚOOÚ dále dohlíží nad poskytováním informací úřady a veřejnými subjekty dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

Jak může dojít ke kontrole vaší organizace?

ÚOOÚ může kontrolu zahájit buď na základě svého kontrolního plánu, nebo v reakci na stížnosti a podněty, které obdrží. Průběh kontroly se řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád), a zákonem č. 500/2004 Sb., správní řád. Pokud úřad při kontrole zjistí, že organizace porušila své povinnosti, zahájí správní řízení, v rámci kterého může organizaci uložit nápravná opatření nebo pokutu. Případně obojí.

Na co se ÚOOÚ zaměří v roce 2025?

Soukromý sektor

ÚOOÚ bude věnovat pozornost věrnostním programům vybraných obchodních řetězců. Bude kontrolovat, zda souhlasy se zpracováním osobních údajů, které řetězce pro účast ve věrnostním programu vyžadují, odpovídají požadavkům GDPR. Souhlas musí být udělen jednoznačně, svobodně (bez jakéhokoliv nátlaku), ke konkrétnímu účelu a až poté, kdy je uživatel jasně a srozumitelně informován o zpracování svých osobních údajů.

Kontrole se nevyhnou ani soukromoprávní subjekty, které využívají údaje z veřejných registrů a informačních systémů veřejné správy, jako jsou banky nebo pojišťovny. ÚOOÚ bude zjišťovat, zda tyto subjekty pracují s daty z registrů (např. registru osob nebo obyvatel) pouze v nezbytném rozsahu a výhradně pro stanovené účely, například k identifikaci klienta při uzavření smlouvy. Důraz bude kladen na to, zda a jakým způsobem jsou lidé, jejichž údaje jsou využívány, o zpracování svých osobních údajů informováni.

ÚOOÚ také dohlédne na internetové srovnávače (např. pojištění nebo půjček) a způsob, jakým zasílají obchodní sdělení svým uživatelům. Bude kontrolovat, zda mají platný souhlas, nebo zda mohou obchodní sdělení posílat i bez souhlasu na základě tzv. zákaznické výjimky. ÚOOÚ dále prověří obsah obchodních sdělení a zaměří se zejména na to, zda jsou správně označeny, zda jasně identifikují odesílatele a obsahují platný odkaz k odhlášení z jejich odběru.

Soukromý i veřejný sektor

ÚOOÚ si posvítí i na to, jak soukromí i veřejní dopravci používají kamerové systémy uvnitř dopravních prostředků.  Bude prověřovat, zda je použití kamer skutečně důvodné, zda jsou záznamy uchovávány pouze po nezbytnou dobu a jakým způsobem mohou cestující uplatnit svá práva na ochranu osobních údajů.

V této části kontrolního plánu ÚOOÚ odkazuje na metodiku k používání kamerových systémů, kterou vydal v roce 2024. Lze proto očekávat, že bude kontrolovat, zda dopravci postupují v souladu s doporučeními uvedenými v této metodice.

Veřejný sektor

ÚOOÚ bude dále kontrolovat subjekty povinné poskytovat informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. To se týká například úřadů, územně samosprávných celků a právnických osob vlastněných státem, pokud jde o informace o jejich činnosti. Úřad upozorňuje, že v praxi se liší rozsah poskytovaných osobních údajů i míra jejich anonymizace. Tato kontrolní akce by tedy mohla přispět ke sjednocení přístupu povinných subjektů a objasnění problematických situací, kdy si subjekty nejsou jisté, zda a v jakém rozsahu mohou osobní údaje na základě zákona č. 106/1999 Sb. zpřístupnit.

ÚOOÚ se i letos zapojí do koordinované kontroly v rámci unijního projektu Coordinated Enforcement Framework. Evropské dozorové úřady včetně českého ÚOOÚ se zaměří na to, jak povinné subjekty vyřizují žádosti o výmaz osobních údajů.

Jak se na kontrolu připravit?

ÚOOÚ může jednoho rána zazvonit i u vašich dveří.  Ujistěte se, že zpracováváte osobní údaje v souladu s GDPR a pokuste se odstranit případná pochybení, pokud všechno tak úplně v souladu není.

Pokud u vás ÚOOÚ zahájí kontrolu, spolupracujte s ním a napravte co nejdříve všechny zjištěné chyby. Vaše aktivní spolupráce může pozitivně ovlivnit výši případné pokuty, kterou vám ÚOOÚ může uložit. Výše pokuty bude záviset nejen na míře vaší spolupráce, ale třeba i na závažnosti porušení, počtu dotčených osob a na tom, zda jde o vaše první porušení pravidel na ochranu osobních údajů a zda pracujete na jeho odstranění. Pravidelná revize vašich interních procesů, nástrojů ke zpracování osobních dat i související dokumentace je tak v zájmu opravdu každé organizace.

Článek je publikován také na doméně GDPR.cz.

Štítky
GDPRComplianceOsobní údaje

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (59)Data (24)Diia (1)BPMN (1)Program Manager (4)Compliance (87)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (47)Axelos (6)AI (23)ISO (16)IT Security (5)Marketing (11)ESG (6)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (136)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (15)Whistleblowing Officer (9)DORA (16)AI (3)ISO 27002 (1)PeopleCert (6)eIDAS (4)ArchiMate (5)Audit (1)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (22)Tisková zpráva (4)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (31)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (15)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (45)Pokuta (20)Hospodářská soutěž (1)eGovernment (1)Regulace (32)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play