V roce 2026 už by mělo být GDPR staré známé. Přesto Česká republika dlouhodobě patří mezi země s nejvyšším počtem pokut za porušení ochrany osobních údajů. Proč? Protože většina firem dělá stejné chyby. A ČOI na to dlouhodobě doplácí.
Tento článek neberte jako další suchý výklad legislativy. Berte ho jako kontrolní seznam, se kterým můžete svou firmu prověřit hned teď.
Proč je GDPR stále problém?
Od roku 2018, kdy GDPR začalo platit, jsme jako advokátní kancelář provedli desítky auditů pro firmy všech velikostí. A co jsme zjistili?
– 70 % firem nemá úplný soupis zpracování osobních údajů
– 60 % firem nemá řádně nastaveny souhlasy
– 50 % firem nedokáže včas reagovat na žádosti subjektů (tzv. DSR – žádosti o výkon práv subjektu)
– 40 % firem nemá vůbec pověřence pro ochranu osobních údajů (DPO), ačkoli ho mít musí
A to jsme mluvili hlavně o středních firmách. U malých firem je situace ještě horší.
10 bodů, které vám pravděpodobně unikly
#
1. Nemáte soupis zpracování (Records of Processing Activities)
Co to je: Seznam všech činností, při kterých zpracováváte osobní údaje.
Proč to vadí: GDPR vyžaduje tento dokument jako základní. Bez něj ani nevíte, co máte chránit.
Co s tím: Sepište tabulku s touto strukturou:
Činnost Účel Právní titul Kategorie dat Příjemci Doba uložení
Evidenc zákazníků Plnění smlouvy Smluvní Jméno, e-mail, adresa Účetní 5 let po skončení smlouvy
#
2. Souhlasy nejsou “freedom of consent”
Co to je: Souhlas musí být dobrovolný, konkrétní, informovaný a jednoznačný.
Proč to vadí: Předvyplněná zaškrtávátka, smazaná negativa, chybějící informace – to vše dělá souhlas neplatným.
Co s tím: Zkontrolujte všechny formuláře. U každého souhlasu musí být jasné:
– Kdo souhlasí (vaše firma)
– S čím souhlasíte (účel)
– Jak můžete souhlas odvolat
#
3. Neuplatňujete právo na výmaz (Right to be Forgotten)
Co to je: Každý, kdo o to požádá, má právo na smazání svých údajů.
Proč to vadí: Pokud vám někdo pošle e-mail s žádostí o smazání, máte na to 30 dní. Většina firem na to buď zapomene, nebo neví, že tato povinnost existuje.
Co s tím: Nastavte proces pro příjem a vyřízení DSR žádostí. Ideálně přes e-mailovou adresu jako gdpr@vasefirma.cz.
#
4. Chybí vám pověřenec pro ochranu osobních údajů (DPO)
Co to je: DPO je osoba, která dohlíží na ochranu údajů ve vaší firmě.
Kdy ho musíte mít:
– Vaše firma zpracovává údaje ve velkém rozsahu
– Vaše hlavní činnost je zpracování citlivých údajů
– Jste veřejný subjekt
Co s tím: Pokud DPO potřebujete a nemáte ho, jste v rozporu s GDPR. Zkontrolujte, jestli vám povinnost vzniká, a pokud ano, jmenujte ho.
#
5. Nemáte posouzení vlivu na ochranu údajů (DPIA)
Co to je: Dokument, který popisuje rizika vašeho zpracování a opatření, která jste přijali.
Kdy ho potřebujete:
– Zpracování je rizikové
– Zpracováváte data o velkém počtu lidí
– Vaše činnost zahrnuje profilování nebo automatizovaná rozhodnutí
Co s tím: Pokud nevíte, zda DPIA potřebujete, zeptejte se odborníka. Absence DPIA tam, kde je povinná, je sama o sobě porušením.
#
6. Nesledujete bezpečnostní incidenty
Co to je: Máte povinnost hlásit ÚOOÚ (Úřad pro ochranu osobních údajů) každé narušení bezpečnosti do 72 hodin.
Proč to vadí: Většina firem incidenty vůbec nesleduje. Když už incident nastane, neví, že mají hlásit.
Co s tím: Nastavte systém pro hlášení a sledování incidentů. Tým, který ví, co dělat, když se něco stane.
#
7. Máte údaje, které už nepotřebujete
Co to je: GDPR vyžaduje, abyste uchovávali pouze údaje, které skutečně potřebujete.
Proč to vadí: Staré zákaznické databáze, zapomenuté e-mailové seznamy, archivy – to vše jsou zbytečná rizika.
Co s tím: Proved’te pravidelnou “úklidovou akci”. Smažte, co nepotřebujete. Archivujte, co musíte zůstat.
#
8. Nemáte smlouvy o zpracování údajů (DPAs)
Co to je: Smlouva mezi správcem a zpracovatelem (např. vámi a vaším IT dodavatelem).
Proč to vadí: Když zpracovává vaše data třetí strana, musíte mít s ní uzavřenou DPÁ. Většina firem to nemá.
Co s tím: Zkontrolujte všechny dodavatele, kteří pracují s vašimi daty (Cloud, e-mailing, účetní, IT správce).
#
9. Neučili jste zaměstnance
Co to je: Vaši zaměstnanci jsou nejslabším článkem. Phishing e-maily, sdílení hesel, nepozornost – to vše jsou reálná rizika.
Proč to vadí: Technické zabezpečení je zbytečné, pokud vaši lidé dělají chyby.
Co s tím: Proved’te školení. Ideálně jednou ročně, formou, která je nudná co nejméně.
#
10. Nemáte dokumenty na jednom místě
Co to je: GDPR vyžaduje, abyste na požádání ÚOOÚ nebo subjektu prokázali, že máte věci v pořádku.
Proč to vadí: Pokud přijde kontrola a vy musíte něco složitě hledat, budíte podezření.
Co s tím: Vytvořte “GDPR složku” (fyzickou nebo digitální), kde máte všechny dokumenty pohromadě.
Co vám hrozí, když to neopravíte?
Porušení Pokuta
Základní porušení (čl. 5, 6, 9…) Až 10 milionů EUR nebo 2 % celosvětového obratu
V praxi jsme viděli pokuty od 5 000 Kč do 5 milionů Kč. Ale tendence je jasná – pokuty rostou.
Co můžete udělat hned teď?
#
Možnost 1: Proveďte si audit sami
Stáhněte si náš kontrolní seznam a projděte ho bod po bodu. Zaber vám to 2–3 hodiny.
#
Možnost 2: Nechte si udělat audit od nás
My jsme za vás prošli desítky firem. Víme, kde jsou nejčastější chyby. A co víc – když něco najdeme, pomůžeme vám to opravit.
Nabízíme:
– Kompletní GDPR audit: 9 900 Kč
– Pokud nenajdeme alespoň 3 závažné problémy, neplatíte
– Součástí auditu je i zpráva s doporučeními a prioritami
Chcete vědět, jak na tom vaše firma je?
Napište nám. Provedeme vás tím, co je potřeba udělat, a vy budete mít jasný plán, co opravit.
Potřebujete pomoc s GDPR? Jsme tu pro vás.
*Autor: Mgr. Petr Uklein, vedoucí advokát advokátní kanceláře ModerniPravnik.cz*
Všechny tyto služby a produkty vám pomohou snadno zvládnout. Neváhejte nás kontaktovat a objednejte si naše služby, smlouvy či produkty přímo na webu.