GDPR vstoupilo v platnost v roce 2018, ale vymáhání v České republice se výrazně zpřísnilo až v posledních dvou letech. Úřad pro ochranu osobních údajů (ÚOOÚ) aktivněji udílí pokuty a přijímá stížnosti. Firmy se nejčastěji ptají na výši sankcí, povinnost hlásit porušení a práva svých zákazníků. Vitreon Legal odpovídá s přesnou citací z nařízení GDPR a české judikatury.
Upozornění: Tento článek slouží jako obecný přehled a nenáhrazuje právní poradenství. Pro konkrétní compliance audit doporučujeme konzultaci s advokátem nebo využití Vitreon Legal pro podrobný právní výzkum s citacemi.
Jak ÚOOÚ vymáhá GDPR v České republice a jaké jsou jeho pravomoci?
Úřad pro ochranu osobních údajů (ÚOOÚ) je dozorový orgán dle čl. 51–59 GDPR. Disponuje pravomocemi vyšetřovacími (přístup k prostorám, žádost o informace), nápravnými (varování, příkazy, záruky, pozastavení zpracování) a sankčními (správní pokuty až do výše 20 mil. EUR nebo 4 % ročního globálního obratu). ÚOOÚ spolupracuje s evropskými dozorovými orgány v rámci mechanismu konzistentnosti.
Jaké jsou maximální pokuty za porušení GDPR v ČR?
GDPR stanoví dvoustupňový systém sankcí: (1) až 10 mil. EUR nebo 2 % globálního obratu za porušení povinností správce, zpracovatele, certifikačního orgánu nebo monitorovacího orgánu; (2) až 20 mil. EUR nebo 4 % globálního obratu za porušení základních zásad zpracování, práv subjektů údajů nebo podmínek přenosu do třetích zemí (čl. 83 GDPR). ÚOOÚ zohledňuje závažnost, úmysl a míru spolupráce.
Do kdy je povinnost hlásit porušení zabezpečení osobních údajů ÚOOÚ?
Správce je povinen oznámit porušení zabezpečení osobních údajů ÚOOÚ bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o porušení dozvěděl (čl. 33 GDPR). Pokud oznámení přesáhne 72 hodin, musí být doložen důvod prodlení. Porušení, které pravděpodobně nepovede k riziku pro práva a svobody fyzických osob, nemusí být hlášeno — rozhodnutí musí být zdokumentováno.
Kdy musí správce informovat přímo subjekty údajů o porušení?
Pokud porušení zabezpečení pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, je správce povinen informovat dotčené subjekty bez zbytečného odkladu (čl. 34 GDPR). Informace musí zahrnovat popis povahy porušení, kontaktní údaje pověřence pro ochranu údajů, pravděpodobné důsledky a opatření přijatá nebo navrhovaná k nápravě. Výjimka platí, pokud správce přijal vhodná technická a organizační opatření.
Jaká jsou práva subjektů údajů, která nejčastěji uplatňují v ČR?
Subjekty údajů mají dle GDPR tato klíčová práva: právo na přístup (čl. 15), právo na opravu (čl. 16), právo na výmaz — právo být zapomenut (čl. 17), právo na omezení zpracování (čl. 18), právo na přenositelnost údajů (čl. 20) a právo vznést námitku (čl. 21). ÚOOÚ eviduje stížnosti zejména v oblasti e-mailového marketingu, kamerových systémů a zpracování údajů zaměstnanců.
Musí každá firma v ČR jmenovat pověřence pro ochranu osobních údajů (DPO)?
Povinnost jmenovat DPO vzniká v těchto případech (čl. 37 GDPR): (1) orgány nebo subjekty veřejné moci, (2) správci nebo zpracovatelé, jejichž hlavní činnost spočívá v rozsáhlém monitorování fyzických osob, (3) správci nebo zpracovatelé zpracovávající rozsáhle zvláštní kategorie osobních údajů. Menší firmy bez těchto charakteristik DPO jmenovat nemusí, ale je doporučováno z hlediska compliance.
Jak správně nastavit souhlas se zpracováním osobních údajů na webu?
Souhlas dle čl. 7 GDPR musí být svobodný, konkrétní, informovaný a jednoznačný. Na webových stránkách to znamená: opt-in mechanismus (ne předem zaškrtnutá políčka), jasné sdělení účelu před udělením souhlasu, možnost souhlas kdykoli odvolat stejně snadno jako ho udělit a zdokumentování souhlasu. Cookies marketingové a analytické povahy vyžadují souhlas — funkční cookies nikoli.
Vyzkoušejte Vitreon Legal pro GDPR compliance
Místo manuálního procházení nařízení GDPR a rozhodnutí ÚOOÚ se zeptejte Vitreon Legal přímo. Systém prohledá GDPR, zákon č. 110/2019 Sb. a judikaturu a vrátí přesnou citaci s odkazem na zdrojový dokument.
✓ 4. místo ARLC 2026 z 80 týmů · ✓ +36 % nad SOTA · ✓ 3 dotazy denně zdarma
Zeptat se Vitreon Legal →