GDPR a správní právo — pokuty od ÚOOÚ

Úřad pro ochranu osobních údajů (ÚOOÚ) patří k nejaktivnějším regulátorům v ČR. V roce 2024 uložil rekordní pokutu 351 milionů Kč za neoprávněné zpracování osobních údajů. Pro firmy všech velikostí platí: GDPR není administrativní formalita — je to vymahatelný zákon s reálnými sankcemi.

Právní rámec

GDPR reguluje zpracování osobních údajů dvěma základními předpisy:

• Nařízení (EU) 2016/679 (GDPR) — Přímý účinek v celé EU od 25. 5. 2018
• Zákon č. 110/2019 Sb. o zpracování osobních údajů — Česká prováděcí legislativa

ÚOOÚ je nezávislý správní orgán s pravomocí kontrolovat dodržování GDPR a zákona č. 110/2019 Sb. a ukládat sankce.

Kontrolní plán ÚOOÚ pro rok 2025

Na rok 2025 ÚOOÚ oznámil zaměření kontrol na právo na výmaz osobních dat — firmy budou kontrolovány, zda mají nastaveny funkční procesy pro vymazání osobních údajů na žádost subjektu údajů.

Kontrolní plán každoročně reflektuje evropské priority (koordinace EDPB — Evropský sbor pro ochranu osobních údajů). Firmy, které nesledují tyto priority, jsou vystaveny zvýšenému riziku.

Nejčastější pochybení firem

• Chybějící nebo neúplné záznamy o činnostech zpracování (čl. 30 GDPR)
• Nedostatečné právní tituly pro zpracování — zejména nesprávné použití souhlasu tam, kde existuje jiný titul
• Porušení zabezpečení a pozdní hlášení incidentu — Incident musí být ÚOOÚ hlášen do 72 hodin od zjištění
• Neposkytnutí informací subjektům údajů — Neúplné nebo chybějící informační povinnosti (čl. 13 a 14 GDPR)
• Nereagování na žádosti subjektů o přístup, opravu nebo výmaz — Lhůta 1 měsíc (prodloužitelná na 3 měsíce u složitých žádostí)
• Předávání dat do třetích zemí bez odpovídajících záruk (zejm. USA bez platného mechanismu — po invalidaci Privacy Shield)
• Nedostatečná smlouva se zpracovatelem (čl. 28 GDPR)

Průběh řízení před ÚOOÚ

1. Podnět nebo vlastní iniciativa — Řízení může zahájit ÚOOÚ na základě stížnosti (podnětu) subjektu údajů nebo z vlastní iniciativy
2. Zahájení kontroly — ÚOOÚ zašle oznámení o zahájení kontroly a vyzve firmu k předložení dokumentace
3. Kontrola na místě — Inspektoři mohou navštívit provozovnu, nahlédnout do systémů, vzít vzorky
4. Kontrolní protokol — Firma dostane protokol a může podat námitky
5. Správní řízení — Pokud ÚOOÚ shledá porušení, zahájí správní řízení a uloží opatření k nápravě nebo pokutu
6. Rozhodnutí a odvolání — Firma může podat rozklad (odvolání k vedení ÚOOÚ) nebo správní žalobu

Výše sankcí

Nařízení GDPR rozlišuje dvě pásma pokut:

• Méně závažná porušení — Až 10 000 000 EUR nebo 2% celosvětového ročního obratu (vyšší z obou)
• Závažná porušení (čl. 83 odst. 5 GDPR) — Až 20 000 000 EUR nebo 4% celosvětového ročního obratu

Zákon č. 110/2019 Sb. stanovuje pro fyzické osoby snížené limity — až 10 000 000 Kč nebo 5 000 000 Kč dle závažnosti.

Pokud vás zajímají správní sankce obecně, doporučujeme náš článek pokuta od živnostenského úřadu nebo ČOI, který se zabývá správními sankcemi a možnostmi jak se bránit.

Jak se připravit na kontrolu ÚOOÚ?

• Záznamy o zpracování — Aktualizujte a udržujte záznamy dle čl. 30 GDPR
• Reakce na žádosti — Nastavte interní proces pro vyřizování žádostí subjektů údajů do 1 měsíce
• Smluvní dokumentace — Zkontrolujte smlouvy se zpracovateli (čl. 28 GDPR)
• Bezpečnostní incidenty — Máte nastavený proces pro hlášení do 72 hodin?
• Pravidelné audity — Provádějte interní kontroly souladu s GDPR

Přečtěte si také náš článek povinné údaje na webu společnosti, který se zabývá informačními povinnostmi webů z pohledu GDPR.

FAQ — Často kladené otázky

1. Vztahuje se GDPR i na malé firmy a živnostníky?

Ano. GDPR se vztahuje na všechny správce osobních údajů bez ohledu na velikost, pokud zpracovávají osobní údaje fyzických osob. Malé firmy mohou být osvobozeny pouze od povinnosti vést záznamy o zpracování (čl. 30 odst. 5 GDPR), ale ostatní povinnosti se na ně vztahují.

2. Co se stane, pokud ohlásím porušení ÚOOÚ dobrovolně?

Dobrovolné a včasné ohlášení je přihlédnuto jako polehčující okolnost při stanovení výše pokuty. Naopak zatajení závažného porušení může výrazně přitížit.

3. Musím mít jmenovaného pověřence pro ochranu osobních údajů (DPO)?

DPO je povinný pouze tehdy, pokud: (a) jste orgán veřejné moci, (b) vaše hlavní činnosti zahrnují rozsáhlé zpracování citlivých dat, nebo (c) provádíte systematické monitorování subjektů ve velkém měřítku. Pro většinu malých a středních firem DPO povinný není, ale jmenování je doporučeno.

4. Co je záznam o činnostech zpracování a jak ho správně vést?

Jde o interní dokument (čl. 30 GDPR) popisující, jaké osobní údaje firma zpracovává, za jakým účelem, kdo k nim má přístup, jak dlouho jsou uchovávány a jak jsou zabezpečeny. Musí být aktuální a dostupný pro ÚOOÚ na vyžádání.

5. Jaký je bezpečný postup při hlášení úniku dat?

Ihned po zjištění úniku proveďte: (1) interní šetření rozsahu úniku, (2) zabezpečení — zamezení dalšímu úniku, (3) do 72 hodin od zjištění podejte hlášení ÚOOÚ přes portál ÚOOÚ, (4) pokud hrozí vysoké riziko pro subjekty údajů, informujte i je osobně.

6. Jaká je lhůta pro vyřízení žádosti subjektu údajů?

Základní lhůta je 1 měsíc od podání žádosti. U složitých žádostí nebo velkého počtu žádostí lze lhůtu prodloužit na 3 měsíce, ale subjekt musí být o prodloužení informován do 1 měsíce.

7. Mohu pokutu od ÚOOÚ rozporovat?

Ano. Proti rozhodnutí ÚOOÚ lze podat rozklad k vedení úřadu. Po vyčerpání správní cesty můžete podat správní žalobu u krajského soudu.

Výzva k akci

Čelíte kontrole od ÚOOÚ nebo potřebujete GDPR audit vaší firmy? Moderní Právník zajistí kompletní GDPR compliance, přípravu dokumentace a zastoupení v řízení před ÚOOÚ.

📩 Kontaktujte nás na modernipravnik.cz/kontakt nebo e-mailem na info@modernipravnik.cz. Úvodní konzultace (5–10 min) je zdarma.

📞 +420 732 394 849

Autor: Petr Uklein, advokát | Aktualizace: červen 2026