Zákony o ochraně osobních údajů v České republice: GDPR, zákon 110/2019 a přehled ÚOOÚ (2026)

Právo na ochranu osobních údajů v České republice kombinuje přímo použitelné unijní GDPR se zákonem č. 110/2019 Sb. (ZZOOU), který nabyl účinnosti 24. dubna 2019 a doplňuje vnitrostátní pravidla pro veřejnoprávní subjekty, zpracování v trestněprávní oblasti a vymáhání. Úřad pro ochranu osobních údajů (ÚOOÚ) plní funkci nezávislého dozorového orgánu.
Česká republika zaujímá v evropském prostředí ochrany osobních údajů poučnou pozici. Jako členský stát EU uplatňuje GDPR přímo, avšak vnitrostátní prováděcí předpis a praxe vymáhání ze strany ÚOOÚ dávají české ochraně osobních údajů vlastní charakter. Přelomová pokuta uložená společnosti Avast Software, jedna z nejvyšších pokut za porušení GDPR, jaké kdy uložil středoevropský dozorový úřad, signalizuje, že ÚOOÚ je připraven nasadit celý svůj vymáhací arzenál. Proaktivní zásah úřadu proti modelům souhlas nebo platba používaným českými vydavateli médií jej zároveň posunul před řadu dalších členských států EU.
Tento přehled se věnuje celému rozsahu české právní úpravy ochrany osobních údajů: od ústavních kořenů přes zákonný rámec, pravomoci ÚOOÚ, práva subjektů údajů, mezinárodní předávání údajů, přesah s nařízením o umělé inteligenci EU až po priority dodržování předpisů, které jsou nejdůležitější v letech 2025 a 2026.
Rychlá odpověď
Česká úprava ochrany osobních údajů stojí na třech pilířích. Obecné nařízení EU o ochraně osobních údajů (GDPR) se uplatňuje přímo jako unijní právo a stanoví celkový rámec pravidel pro veškeré zpracování osobních údajů. Zákon č. 110/2019 Sb. (ZZOOU) je vnitrostátním prováděcím předpisem, který doplňuje česká specifika pro orgány veřejné moci, zpracování v oblasti vymáhání práva a procesní otázky. Úřad pro ochranu osobních údajů (ÚOOÚ) je nezávislým regulátorem, který vymáhá dodržování obou předpisů.
Pro většinu podniků působících v České republice je operativním standardem dodržování GDPR. ZZOOU je nejdůležitější pro veřejnoprávní subjekty, pro organizace zpracovávající údaje v kontextu vymáhání práva a pro určité situace, kdy GDPR výslovně umožňuje vnitrostátní odchylku.
Ústavní základ: Listina základních práv a svobod
Česká právní úprava ochrany osobních údajů má ústavní základ, který předchází jak GDPR, tak prováděcímu zákonu z roku 2019. Listina základních práv a svobod, přijatá v roce 1991 a mající stejnou právní sílu jako samotná Ústava České republiky, chrání osobní údaje na nejvyšší normativní úrovni.
Čl. 10 odst. 3 Listiny stanoví, že každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Toto ustanovení navazuje na čl. 10 odst. 1, který chrání lidskou důstojnost a osobní integritu, a na čl. 10 odst. 2, který chrání před neoprávněným zasahováním do soukromého a rodinného života.
Ústavní status Listiny znamená, že jakýkoli zákon umožňující zpracování osobních údajů musí být s touto ochranou v souladu. Český Ústavní soud se na čl. 10 odvolával ve věcech týkajících se sledování ze strany státu, sběru biometrických údajů a rozsahu veřejných registrů. Toto ústavní zakotvení je důvodem, proč nelze českou právní úpravu ochrany osobních údajů zjednodušit pouze na dodržování GDPR: GDPR se uplatňuje v rámci ústavního rámce, který samostatně omezuje, co mohou čeští zákonodárci a orgány veřejné moci povolit.
GDPR a zákon č. 110/2019 Sb.: zákonný rámec
Jak spolu oba předpisy souvisejí
GDPR je přímo použitelné unijní nařízení. Nemusí být transponováno do českého práva; vytváří práva a povinnosti, které se automaticky vztahují na všechny fyzické a právnické osoby v České republice. Jakékoli ustanovení ZZOOU, které je s GDPR v rozporu, je nařízením vytlačeno.
ZZOOU (zákon č. 110/2019 Sb. o zpracování osobních údajů) plní tři samostatné funkce. Zaprvé využívá otevírací klauzule GDPR, které členským státům umožňují nebo ukládají stanovit vnitrostátní pravidla v konkrétních oblastech. Zadruhé transponuje směrnici 2016/680 (směrnici o vymáhání práva) pro zpracování údajů v trestněprávním kontextu. Zatřetí upravuje zpracování, které nespadá do oblasti působnosti unijního práva, včetně některých činností v oblasti národní bezpečnosti a zpravodajských služeb.
Zákon nahradil dřívější zákon č. 101/2000 Sb. o ochraně osobních údajů, který provedl směrnici EU o ochraně údajů z roku 1995. Mezera mezi datem použitelnosti GDPR (25. května 2018) a nabytím účinnosti ZZOOU (24. dubna 2019) znamenala, že téměř rok se GDPR v České republice uplatňovalo přímo, aniž by byl dokončen odpovídající vnitrostátní adaptační zákon.
Klíčové vnitrostátní volby podle ZZOOU
Několik aspektů ZZOOU odráží záměrné politické volby České republiky, které se liší od přístupů jiných členských států.
Nejvýznamnější je úplné vynětí orgánů veřejné moci z pokut podle GDPR. Český zákonodárce využil možnosti dané článkem 83 odst. 7 GDPR a vyloučil orgány veřejné moci z pravomoci ÚOOÚ ukládat pokuty za porušení GDPR. Česká ministerstva, obce, kraje, státní agentury a další orgány veřejné moci nemohou být ÚOOÚ za porušení GDPR pokutovány, bez ohledu na závažnost porušení. Úřad si zachovává pravomoc vydávat nápravná opatření, avšak absence finančních sankcí čelí kritice ze strany odborníků na ochranu osobních údajů, kteří argumentují, že snižuje motivaci veřejného sektoru k dodržování předpisů.
Pro zpracování podle části zákona provádějící směrnici o vymáhání práva mohou být orgány veřejné moci pokutovány, avšak horní hranice je omezena na 10 milionů Kč (přibližně 400 000 eur), tedy podstatně méně než standardní rámec GDPR.
Věk digitálního souhlasu je stanoven na 15 let. Děti od 15 let mohou samostatně udělit souhlas se službami informační společnosti. Děti mladší 15 let potřebují souhlas rodiče nebo zákonného zástupce.
ZZOOU rovněž stanoví, že správci mohou omezit nebo odložit oznámení o porušení zabezpečení osobních údajů ÚOOÚ, pokud by oznámení ohrozilo obranné nebo bezpečnostní zájmy České republiky, což je odchylka dostupná orgánům národní bezpečnosti a zpravodajským službám.
ÚOOÚ: český úřad pro ochranu osobních údajů

Úřad pro ochranu osobních údajů (ÚOOÚ) je nezávislým dozorovým orgánem České republiky pro ochranu osobních údajů. Byl zřízen podle předchozího zákona z roku 2000 a znovu ustanoven podle ZZOOU jako jediný orgán odpovědný za vymáhání GDPR, směrnice o vymáhání práva a dalších předpisů o ochraně osobních údajů v České republice.
Struktura a zdroje
ÚOOÚ zaměstnává přibližně 100 zaměstnanců, všichni sídlí v Praze. Roční rozpočet úřadu činí přibližně 7,5 milionu eur. V čele úřadu stojí předseda jmenovaný prezidentem republiky na pětileté funkční období. Předseda ÚOOÚ rozhoduje o odvoláních proti prvoinstančním rozhodnutím vydaným inspektory ÚOOÚ a je vnější tváří úřadu.
Hlava V ZZOOU zřizuje ÚOOÚ jako ústřední správní úřad nezávislý na vládních pokynech v jednotlivých případech. Tato nezávislost je posílena pravidly, která brání odvolání předsedy ÚOOÚ s výjimkou závažného pochybení nebo neschopnosti vykonávat funkci.
Dozorové pravomoci
ÚOOÚ disponuje plnou škálou vyšetřovacích a nápravných pravomocí, které mu svěřuje GDPR. Může provádět kontroly z vlastního podnětu nebo na základě stížností. Může vstupovat do obchodních prostor, získávat dokumenty a vyslýchat zaměstnance. Může vydávat upozornění a napomenutí, ukládat správcům a zpracovatelům povinnost uvést zpracování do souladu s předpisy, ukládat dočasné nebo trvalé zákazy zpracování, nařizovat pozastavení předávání údajů do třetích zemí a ukládat správní pokuty.
Kromě vymáhání GDPR dohlíží ÚOOÚ také na dodržování zákona o elektronických komunikacích (č. 127/2005 Sb.) v oblasti souhlasu s cookies a zpracování provozních údajů, a zákona č. 480/2004 Sb. v oblasti nevyžádaných obchodních sdělení. V kontextu umělé inteligence byl ÚOOÚ určen jako orgán odpovědný za dohled nad základními právy v souvislosti s vysoce rizikovými systémy umělé inteligence uvedenými v příloze III nařízení o umělé inteligenci EU, pokud jsou nasazeny v České republice.
Poradní a metodická činnost
ÚOOÚ zveřejňuje metodické materiály na témata od kamerových systémů po požadavky na jmenování pověřence pro ochranu osobních údajů. Vydává stanoviska k návrhům právních předpisů, které mohou ovlivnit zpracování osobních údajů, a účastní se práce Evropského sboru pro ochranu osobních údajů společně s dozorovými úřady dalších členských států. Úřad vede veřejný registr jmenovaných pověřenců a poskytuje úřední formuláře pro oznamování porušení zabezpečení údajů.
Právní základy zpracování
Zpracování osobních údajů v České republice musí spočívat na jednom ze šesti právních základů uvedených v článku 6 GDPR.
Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Musí zahrnovat aktivní úkon, nikoli mlčení, předem zaškrtnutá políčka nebo nečinnost. Správci musí být schopni prokázat, že souhlas byl udělen, a musí umožnit jeho odvolání stejně snadno, jako byl udělen. Zásah ÚOOÚ proti modelům souhlas nebo platba dokládá přísný přístup úřadu k požadavku svobodnosti souhlasu: souhlas udělený pod finančním tlakem, aby se předešlo placené verzi, nemusí splňovat test svobodně uděleného souhlasu.
Nezbytnost pro splnění smlouvy umožňuje zpracování potřebné k plnění smlouvy, jejíž je subjekt údajů stranou, nebo k provedení opatření před uzavřením smlouvy na žádost subjektu údajů.
Splnění právní povinnosti pokrývá zpracování vyžadované českým nebo unijním právem.
Ochrana životně důležitých zájmů umožňuje zpracování k ochraně života tam, kde subjekt údajů nemůže udělit souhlas.
Splnění úkolu prováděného ve veřejném zájmu nebo výkon veřejné moci pokrývá zpracování orgány veřejné moci a organizacemi vykonávajícími přenesené veřejné funkce.
Oprávněný zájem umožňuje soukromým organizacím zpracovávat údaje pro skutečný účel, který nepřevažují zájmy subjektu údajů. Jde o nejsložitější právní základ, který vyžaduje doložený třífázový test poměřování.
U zvláštních kategorií údajů (zdravotní, genetické, biometrické údaje, rasový či etnický původ, politické názory, náboženské vyznání, členství v odborech, sexuální život nebo sexuální orientace, případně trestní odsouzení) musí být splněn i další z důvodů uvedených v článku 9 GDPR. České právo nedoplňuje pro zvláštní kategorie údajů žádné další právní základy nad rámec samotného GDPR.
Práva subjektů údajů
Obyvatelé České republiky požívají plného rozsahu práv subjektů údajů podle článků 12 až 22 GDPR. Správci musí na žádosti reagovat bez zbytečného odkladu a do jednoho kalendářního měsíce. V případě složitosti nebo velkého počtu žádostí lze lhůtu prodloužit o další dva měsíce, pokud správce subjekt údajů o prodloužení a jeho důvodech informuje v rámci původní jednoměsíční lhůty.
Právo na přístup opravňuje jednotlivce k potvrzení, zda jsou jejich údaje zpracovávány, a pokud ano, k získání kopie údajů spolu s informacemi o účelech, kategoriích, příjemcích, dobách uchovávání a existenci dalších práv.
Právo na opravu vyžaduje opravu nepřesných osobních údajů a doplnění neúplných údajů s ohledem na účely zpracování.
Právo na výmaz (právo být zapomenut) se uplatní za stanovených okolností, například pokud údaje již nejsou nutné pro původní účel, pokud byl odvolán souhlas a neexistuje jiný právní základ, nebo pokud byly údaje zpracovávány protiprávně.
Právo na omezení zpracování umožňuje subjektům údajů pozastavit zpracování, dokud probíhá námitkové řízení nebo dokud se ověřuje přesnost údajů.
Právo na přenositelnost údajů opravňuje jednotlivce získat údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci, pokud je zpracování založeno na souhlasu nebo smlouvě a probíhá automatizovaně.
Právo vznést námitku se uplatní u zpracování založeného na oprávněném zájmu nebo veřejném úkolu, včetně profilování na tomto základě. Správci musí zpracování ukončit, pokud neprokáží závažné oprávněné důvody, které převažují nad zájmy subjektu údajů. Právo vznést námitku proti přímému marketingu je absolutní a musí být vždy respektováno.
Ochrana před automatizovaným rozhodováním opravňuje jednotlivce k lidskému přezkumu rozhodnutí založených výhradně na automatizovaném zpracování, včetně profilování, které má právní nebo obdobně významné účinky.
ÚOOÚ vyřizuje stížnosti jednotlivců, kteří se domnívají, že jejich práva nebyla respektována. V roce 2024 úřad zaznamenal 336 nahlášených porušení zabezpečení údajů, což odráží pokračující objem práce spojené s porušeními vedle vyřizování stížností.
Pověřenci pro ochranu osobních údajů
Požadavky na jmenování pověřence pro ochranu osobních údajů v České republice odpovídají článkům 37 až 39 GDPR bez věcné úpravy ze strany ZZOOU.
Pověřence musí jmenovat každý orgán veřejné moci či veřejnoprávní subjekt (s výjimkou soudů jednajících v rámci soudní pravomoci). V soukromém sektoru je pověřenec povinný pro organizace, jejichž hlavní činnosti vyžadují rozsáhlé, pravidelné a systematické monitorování jednotlivců, nebo jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů či údajů o trestních odsouzeních.
Pověřencem může být zaměstnanec nebo externí smluvní partner. Jmenovaná osoba musí mít odborné znalosti práva a praxe v oblasti ochrany osobních údajů dostatečné pro výkon této funkce. ÚOOÚ zveřejnil metodiku zdůrazňující, že pověřenci vyžadují skutečnou provozní nezávislost: nesmí dostávat pokyny ohledně výkonu svých úkolů, nesmí být sankcionováni za výkon své funkce a musí mít přímý přístup k vrcholovému vedení.
ÚOOÚ vede veřejný registr pověřenců. Správci povinní jmenovat pověřence musí kontaktní údaje pověřence sdělit ÚOOÚ a zveřejnit je.
Oznamování porušení zabezpečení osobních údajů

Správci musí oznámit ÚOOÚ bez zbytečného odkladu, a je-li to možné, do 72 hodin od okamžiku, kdy se o porušení zabezpečení osobních údajů dozvěděli, pokud toto porušení může představovat riziko pro práva a svobody fyzických osob. Pokud oznámení není učiněno do 72 hodin, musí správce zpoždění odůvodnit.
Pokud porušení může představovat vysoké riziko pro práva a svobody jednotlivců, musí správce bez zbytečného odkladu informovat i dotčené subjekty údajů přímo. Oznámení musí popsat povahu porušení, uvést kontaktní údaje pověřence nebo jiné příslušné kontaktní osoby, popsat pravděpodobné důsledky a uvést přijatá nebo navrhovaná opatření.
ÚOOÚ poskytuje na svém webu úřední oznamovací formuláře a metodické pokyny. Ve výroční zprávě za rok 2024 úřad zaznamenal 336 oznámení o porušení, přičemž nejčastější příčinou byly kybernetické útoky. Toto číslo odráží setrvalý nárůst hlášení porušení, jak se oznamovací povinnosti podle GDPR staly součástí postupů organizací pro reakci na incidenty.
ZZOOU obsahuje výjimku pro oblast národní bezpečnosti: správci zpracovávající údaje pro účely obrany nebo národní bezpečnosti mohou omezit nebo odložit oznámení v rozsahu nezbytném a přiměřeném k ochraně těchto zájmů.
Mezinárodní předávání údajů
Česká republika uplatňuje rámec kapitoly V GDPR pro předávání osobních údajů do zemí mimo Evropský hospodářský prostor bez věcných vnitrostátních odchylek.
Standardní mechanismy předávání
Předávání do zemí, na které se vztahuje rozhodnutí Evropské komise o odpovídající ochraně, nevyžaduje žádná další zajištění. Aktuální seznam zemí s odpovídající ochranou zahrnuje Spojené království, Švýcarsko, Kanadu (komerční organizace), Izrael, Japonsko, Nový Zéland, Jižní Koreu, Uruguay a Spojené státy podle rámce EU-USA pro ochranu osobních údajů (přijatého v roce 2023). Singapur získal status odpovídající ochrany koncem roku 2024.
Pokud rozhodnutí o odpovídající ochraně neexistuje, musí správci zavést vhodná zajištění. Nejčastěji používaným nástrojem jsou standardní smluvní doložky Evropské komise, aktualizované v roce 2021. Správci používající standardní smluvní doložky musí rovněž provést posouzení dopadu předání a vyhodnotit, zda právo a praxe v přijímající zemi neoslabuje ochranu poskytovanou těmito doložkami.
Pro předávání v rámci nadnárodních podnikatelských skupin jsou k dispozici závazná podniková pravidla. Mezi další mechanismy patří schválené kodexy chování a certifikační schémata.
Výjimky podle článku 49 GDPR jsou k dispozici pro konkrétní situace zahrnující výslovný souhlas, nezbytnost pro plnění smlouvy, veřejný zájem, právní nároky a životně důležité zájmy, jde však o úzké výjimky, které nelze používat jako běžný mechanismus předávání.
Poučení z kauzy Avast ohledně předávání údajů
Vymáhací opatření ÚOOÚ proti společnosti Avast Software ilustruje přístup úřadu k požadavkům na předávání údajů. Avast považoval údaje o prohlížení za anonymizované s odůvodněním, že byly před předáním dceřiné společnosti Jumpshot pseudonymizovány. Úřad shledal, že pseudonymizované údaje spojené s jedinečným identifikátorem zůstávají osobními údaji, protože reidentifikace alespoň některých uživatelů byla technicky proveditelná. Absence zákonného základu pro předání těchto osobních údajů byla jedním ze dvou porušení GDPR potvrzených v odvolacím rozhodnutí z dubna 2024. Organizace spoléhající se na pseudonymizaci jako náhradu za řádné zajištění předávání čelí stejnému riziku.
Přesah s nařízením o umělé inteligenci EU
Nařízení o umělé inteligenci EU (nařízení 2024/1689) vstoupilo v platnost 1. srpna 2024 a v EU, včetně České republiky, se uplatňuje postupně. Vzájemný vztah mezi nařízením o umělé inteligenci a GDPR je významný, protože mnoho vysoce rizikových systémů umělé inteligence zpracovává osobní údaje, což znamená, že se současně uplatňují oba regulační režimy.
Role ÚOOÚ podle nařízení o umělé inteligenci
ÚOOÚ byl určen jako jeden z příslušných orgánů pro dohled nad základními právy v souvislosti s vysoce rizikovými systémy umělé inteligence uvedenými v příloze III nařízení o umělé inteligenci EU. To znamená, že jsou-li vysoce rizikové systémy umělé inteligence nasazeny v oblastech, jako je biometrická identifikace, zaměstnávání, vzdělávání, základní služby nebo vymáhání práva, dohled ÚOOÚ nad zpracováním osobních údajů se prolíná s požadavky nařízení o umělé inteligenci.
Vedle ÚOOÚ byl pro tuto dohledovou úlohu v oblasti základních práv určen i veřejný ochránce práv (ombudsman). Očekává se, že oba orgány budou koordinovat svou činnost tam, kde systémy umělé inteligence vyvolávají otázky týkající se jak ochrany osobních údajů, tak širších práv.
Český vnitrostátní zákon o umělé inteligenci
Česká republika připravuje vnitrostátní zákon o umělé inteligenci, který má doplnit rámec nařízení o umělé inteligenci EU o vnitrostátní prováděcí opatření. Ministerstvo průmyslu a obchodu bylo pověřeno přípravou návrhu do 31. října 2025, přičemž přijetí se očekává v roce 2026. Česká vláda vyčlenila ze státního rozpočtu 232 milionů Kč na provádění nařízení o umělé inteligenci v letech 2026 až 2028 a vytvořila nové pozice u příslušných orgánů na podporu této činnosti.
Podle navrhované struktury se Český telekomunikační úřad stane hlavním orgánem dohledu nad trhem a jediným vnitrostátním kontaktním místem pro nařízení o umělé inteligenci EU. ÚOOÚ bude nadále plnit svou úlohu v oblasti dohledu nad základními právy. Organizace nasazující v České republice vysoce rizikové systémy umělé inteligence by měly sledovat postup návrhu zákona, který upřesní inspekční pravomoci, úrovně sankcí a přesný rozsah pravomocí jednotlivých orgánů.
Praktický přesah pro podniky
Organizace používající systémy umělé inteligence ke zpracování osobních údajů obyvatel České republiky čelí povinnostem podle obou režimů. Systém umělé inteligence, který činí automatizovaná rozhodnutí ovlivňující jednotlivce, se dotýká jak ochrany podle článku 22 GDPR, tak, pokud je podle přílohy III nařízení o umělé inteligenci klasifikován jako vysoce rizikový, požadavků nařízení na transparentnost, lidský dohled a technickou dokumentaci. Posouzení dopadu na ochranu osobních údajů a posouzení shody podle nařízení o umělé inteligenci bude stále častěji nutné provádět souběžně.
Sankce a vymáhání ze strany ÚOOÚ
Standardní rámec pokut
Dvouúrovňová struktura správních pokut podle GDPR se v České republice uplatňuje na správce a zpracovatele v soukromém sektoru. Nižší úroveň, pokrývající porušení jako nedostatky v bezpečnostních opatřeních, oznamování porušení, jmenování pověřence a zásady záměrné a standardní ochrany osobních údajů, má horní hranici 10 milionů eur nebo 2 % celosvětového ročního obratu, podle toho, která částka je vyšší. Vyšší úroveň, pokrývající porušení základních zásad, jako je právní základ zpracování, práva subjektů údajů a omezení mezinárodního předávání, má horní hranici 20 milionů eur nebo 4 % celosvětového ročního obratu, podle toho, která částka je vyšší.
Od roku 2018 do roku 2024 uložil ÚOOÚ v rámci všech vymáhacích opatření pokuty v celkové výši přibližně 16 milionů eur, přičemž pokuta uložená společnosti Avast ve výši přibližně 13,9 milionu eur tvoří naprostou většinu této částky.
Kauza Avast Software (duben 2024)

Nejvýznamnějším vymáhacím opatřením ÚOOÚ je řízení proti společnosti Avast Software s.r.o. a její mateřské společnosti Avast Limited, které vyústilo v pokutu ve výši 351 milionů Kč (přibližně 13,9 milionu eur). Rozhodnutí se stalo pravomocným a závazným rozhodnutím předsedy ÚOOÚ dne 10. dubna 2024.
Pozadí případu. Avast provozoval sadu antivirového softwaru a rozšíření prohlížečů používaných stovkami milionů lidí po celém světě. Prostřednictvím těchto nástrojů společnost shromažďovala historii prohlížení internetu spojenou s jedinečným identifikátorem přiděleným každému zařízení. Tyto údaje byly předány společnosti Jumpshot, Inc., dceřiné společnosti, která prodávala analytické produkty popisující chování a preference spotřebitelů marketingovým klientům.
Zjištěná porušení. ÚOOÚ zjistil porušení článku 6 (zákonnost zpracování) a čl. 13 odst. 1 (informace poskytované při shromažďování údajů) GDPR. Avast popisoval předávání údajů jako předávání anonymizovaných údajů použitých pro analýzu trendů. Úřad zjistil, že historie prohlížení, ačkoli byla pseudonymizována, představovala osobní údaje, protože reidentifikace alespoň některých dotčených jednotlivců byla možná prostřednictvím jedinečného identifikátoru. Pro předání společnosti Jumpshot neexistoval odpovídající zákonný základ. Uživatelé byli mylně informováni o povaze a účelu zpracování.
Procesní historie. Český dozorový úřad působil jako vedoucí dozorový úřad podle mechanismu spolupráce jednoho kontaktního místa podle GDPR, vzhledem k tomu, že Avast má v České republice sídlo v EU. Prvoinstanční rozhodnutí bylo vydáno 14. března 2022. Avast podal správní odvolání a předseda ÚOOÚ vydal odvolací rozhodnutí potvrzující pokutu dne 10. dubna 2024. Evropský sbor pro ochranu osobních údajů byl do řízení zapojen v rámci mechanismu spolupráce.
Význam případu. Případ je nejvyšší pokutou za porušení GDPR, jakou ÚOOÚ kdy uložil, a jednou z nejvyšších ve střední a východní Evropě. Potvrzuje, že samotná pseudonymizace nezbavuje údaje charakteru osobních údajů, pokud reidentifikace zůstává technicky proveditelná. Dokládá ochotu ÚOOÚ působit jako vedoucí orgán ve složitých přeshraničních případech a vést vymáhací řízení i přes víceleté odvolací řízení.
Zásah proti modelu souhlas nebo platba
V rámci významné vymáhací iniciativy v roce 2024 se ÚOOÚ stal jedním z prvních dozorových úřadů EU, který zpochybnil model souhlas nebo platba používaný online vydavateli. Několik velkých českých mediálních skupin, včetně Czech News Center, Mafra, Economia a Seznam, zavedlo cookie stěny vyžadující od uživatelů buď souhlas se sledováním chování, nebo platbu za verzi služby bez reklam. ÚOOÚ zahájil šetření, zda je souhlas udělený za těchto podmínek skutečně svobodný ve smyslu GDPR.
Tento krok byl v souladu se širším evropským zkoumáním praktik souhlas nebo platba. Evropský sbor pro ochranu osobních údajů vydal stanovisko 08/2024 k platnosti souhlasu v kontextu modelů souhlas nebo platba používaných velkými online platformami a Evropská komise v červenci 2024 shledala, že obdobný model společnosti Meta nesplňuje požadavky unijního nařízení o digitálních trzích.
Další významná vymáhací opatření
Spamová kampaň. ÚOOÚ uložil pokutu přesahující 230 000 eur za hromadnou marketingovou kampaň, která rozeslala nevyžádané obchodní e-maily téměř 500 000 příjemcům bez odpovídajícího souhlasu. Tento případ dokládá dosah úřadu ve vymáhání předpisů v oblasti elektronického marketingu.
Případy kamerových systémů. ÚOOÚ vedl více vymáhacích řízení týkajících se kamerového sledování, včetně nesprávného použití kamer v bytových domech, na pracovištích a v komerčních prostorách přístupných veřejnosti. Úřad vypracoval podrobnou metodiku ke kamerovým systémům, která jde nad rámec pouhého rámce GDPR.
Výjimka pro orgány veřejné moci
České orgány veřejné moci jsou zcela vyňaty z pokut podle GDPR. Orgány veřejné moci, které poruší povinnosti podle GDPR, čelí ze strany ÚOOÚ nápravným opatřením, nikoli finančním sankcím. Tato volba, učiněná na základě článku 83 odst. 7 GDPR, čelí kritice ze strany organizací občanské společnosti a odborníků na ochranu osobních údajů, kteří argumentují, že absence finančních důsledků oslabuje motivaci veřejného sektoru k dodržování předpisů.
Priority a vývoj vymáhání v letech 2025 a 2026
ÚOOÚ zveřejnil kontrolní plán pro rok 2025, který určuje tři hlavní oblasti aktivního auditu a šetření.
Zpracování údajů v rámci věrnostních programů. Úřad zkoumá, zda maloobchodníci, kteří podmiňují cenové slevy účastí zákazníků ve věrnostních programech, dodržují požadavky GDPR. Tato oblast zahrnuje otázky, zda je souhlas skutečně dobrovolný v situaci, kdy alternativou je placení vyšší ceny, zda je objem shromažďovaných údajů přiměřený uvedenému účelu a zda jsou doby uchovávání odůvodněné.
Kamerové systémy ve veřejné dopravě. ÚOOÚ prověřuje kamerové sledovací systémy provozované poskytovateli veřejné dopravy s použitím aktualizované metodiky ke kamerovým systémům, aby vyhodnotil dodržování zásady účelového omezení, omezení doby uchovávání, požadavků na označení a práv subjektů údajů.
Marketing srovnávacích online služeb. Úřad vyšetřuje praktiky poskytovatelů srovnávacích služeb v oblasti pojištění, půjček a podobných produktů, kteří zasílají obchodní sdělení jednotlivcům, kteří dříve použili jejich platformu. Toto odvětví dosud nebylo předmětem komplexního auditu ÚOOÚ.
S výhledem na rok 2026 se očekává, že se činnost ÚOOÚ rozšíří o dohled nad umělou inteligencí, jak bude postupovat legislativní proces vnitrostátního zákona o umělé inteligenci. Dohledová úloha úřadu v oblasti základních práv podle nařízení o umělé inteligenci EU bude stále více generovat vymáhací činnost, jak organizace nasazují vysoce rizikové systémy umělé inteligence.
Zákon o digitální ekonomice. Připravuje se návrh zákona o digitální ekonomice. Pokud bude přijat, vyžadoval by obnovení marketingového souhlasu zákazníků každé dva roky a povinné možnosti opt-out jak v okamžiku shromažďování údajů, tak v každém následném marketingovém sdělení. Parlamentní harmonogram může ovlivnit časový plán, směr vývoje však jasně míří k přísnějším pravidlům elektronického marketingu.
Hlavní body výroční zprávy za rok 2024. Výroční zpráva ÚOOÚ za rok 2024 zdokumentovala 336 nahlášených porušení zabezpečení údajů, přičemž hlavní příčinou byly kybernetické útoky. Úřad rovněž upozornil na nové výzvy spojené s umělou inteligencí a digitálními marketingovými technologiemi a potvrdil své určení pro oblast základních práv podle nařízení o umělé inteligenci EU.
Elektronický marketing a cookies
Česká republika provádí směrnici o soukromí a elektronických komunikacích prostřednictvím zákona č. 480/2004 Sb. o některých službách informační společnosti a zákona č. 127/2005 Sb. o elektronických komunikacích.
Pro marketingové e-maily, SMS zprávy a další elektronická obchodní sdělení je vyžadován předchozí souhlas (opt-in). Omezená výjimka platí pro stávající zákazníky ve vztahu k jejich vlastním obdobným produktům nebo službám, pokud byla zákazníkovi poskytnuta jasná možnost odmítnout zasílání (opt-out) při shromažďování údajů i v každém následném sdělení.
Od 1. ledna 2022 je opt-in souhlas vyžadován také pro nezbytné cookies a podobné sledovací technologie mimo nezbytně nutné. Dodržování pravidel týkajících se cookies dohlíží vedle ÚOOÚ i Český telekomunikační úřad.
Doporučení pro dodržování předpisů podniky
Organizace působící v České republice by měly považovat dodržování GDPR za základní požadavek, doplněný povědomím o konkrétních českých vnitrostátních volbách.
Pro správce spoléhající se na pseudonymizaci je kauza Avast přímým varováním. Pseudonymizované údaje zůstávají osobními údaji, pokud je reidentifikace technicky proveditelná. Spoléhání se na pseudonymizaci jako základ pro předání třetí straně nebo jako náhradu za zákonný mechanismus předávání vytváří vážné riziko odpovědnosti.
Pro maloobchodníky a věrnostní programy by mělo zaměření vymáhání ÚOOÚ pro rok 2025 podnítit přezkum toho, jak je získáván souhlas s účastí ve věrnostním programu, jaké údaje jsou shromažďovány v poměru k nabízené slevě, jak dlouho jsou tyto údaje uchovávány a zda jsou požadavky na účast přiměřené.
Pro provozovatele veřejné dopravy a uživatele kamerových systémů obecně by měla být na všechny stávající sledovací systémy uplatněna aktualizovaná metodika úřadu ke kamerovým systémům. Klíčové otázky zahrnují, zda bylo provedeno a zdokumentováno posouzení oprávněného zájmu, zda je označení v souladu s předpisy a zda doby uchovávání odpovídají skutečné provozní potřebě.
Pro organizace nasazující systémy umělé inteligence znamená přesah GDPR a nařízení o umělé inteligenci EU, že posouzení dopadu na ochranu osobních údajů by mělo být integrováno s jakýmkoli posouzením shody nebo rizika vyžadovaným rámcem nařízení o umělé inteligenci. Určení ÚOOÚ jako orgánu pro základní práva podle nařízení o umělé inteligenci znamená, že se úřad bude aktivně podílet na vymáhání týkajícím se vysoce rizikové umělé inteligence.
Pro orgány veřejné moci výjimka z pokut neodstraňuje riziko nedodržení předpisů. ÚOOÚ si zachovává pravomoc vydávat nápravná opatření a reputační důsledky veřejného vymáhacího opatření jsou významné bez ohledu na to, zda je s ním spojena pokuta.
Věk digitálního souhlasu (15 let) je nižší než v několika jiných členských státech EU, které stanovily věkovou hranici na 16 let. Organizace nabízející služby informační společnosti českým uživatelům musí zavést mechanismy ověřování věku nebo souhlasu rodičů v souladu s hranicí 15 let.
Upozornění: Tento článek poskytuje obecné informace o ochraně osobních údajů v České republice a nepředstavuje právní poradenství. Právní úprava ochrany osobních údajů se často mění. V konkrétní situaci se poraďte s kvalifikovaným advokátem oprávněným poskytovat právní služby v České republice. Podívejte se také na naše související stránky o českých zákonech o nahrávání a zákonech EU o ochraně osobních údajů.
Frequently Asked Questions
Jaký je hlavní zákon o ochraně osobních údajů v České republice?
Česká ochrana osobních údajů stojí na dvou předpisech. Unijní GDPR se uplatňuje přímo jako unijní právo a stanoví celkové standardy. Zákon č. 110/2019 Sb. o zpracování osobních údajů (ZZOOU), účinný od 24. dubna 2019, doplňuje GDPR o vnitrostátní ustanovení týkající se orgánů veřejné moci, zpracování údajů v oblasti vymáhání práva a procesních otázek. Ústavním základem je čl. 10 odst. 3 Listiny základních práv a svobod.
Kdo vymáhá právo na ochranu osobních údajů v České republice?
Úřad pro ochranu osobních údajů (ÚOOÚ) je jediným dozorovým orgánem pro ochranu osobních údajů v České republice. Jde o nezávislý úřad s přibližně 100 zaměstnanci se sídlem v Praze. Vymáhá GDPR, ZZOOU a související předpisy, včetně pravidel pro elektronické komunikace a nevyžádaná obchodní sdělení. Stížnosti lze podat na uoou.gov.cz.
Jaká byla nejvyšší pokuta za porušení GDPR v České republice?
ÚOOÚ uložil pokutu ve výši 351 milionů Kč (přibližně 13,9 milionu eur) společnosti Avast Software s.r.o. a její mateřské společnosti Avast Limited. Odvolací rozhodnutí nabylo právní moci 10. dubna 2024. ÚOOÚ zjistil, že Avast protiprávně předal pseudonymizovanou historii prohlížení přibližně 100 milionů uživatelů antivirového softwaru své dceřiné společnosti Jumpshot bez platného právního základu a při současném mylném informování uživatelů o povaze předávání.
Mohou být české orgány veřejné moci pokutovány za porušení GDPR?
Ne. Česká republika využila článek 83 odst. 7 GDPR k úplnému vynětí orgánů veřejné moci z pokut podle GDPR. Česká ministerstva, obce, státní agentury a další orgány veřejné moci nemohou být ÚOOÚ pokutovány podle GDPR. ÚOOÚ může vůči orgánům veřejné moci nadále vydávat nápravná opatření. Podle části ZZOOU provádějící směrnici o vymáhání práva jsou pokuty pro orgány veřejné moci omezeny na 10 milionů Kč (přibližně 400 000 eur).
Jaký je věk digitálního souhlasu v České republice?
Česká republika stanovila věk digitálního souhlasu na 15 let. Děti od 15 let mohou samostatně udělit souhlas se službami informační společnosti, jako jsou sociální sítě. Děti mladší 15 let potřebují souhlas rodiče nebo zákonného zástupce. Tato hranice je nižší než v několika dalších členských státech EU.
Jaké jsou priority vymáhání ÚOOÚ pro roky 2025 a 2026?
Kontrolní plán ÚOOÚ pro rok 2025 se zaměřuje na tři oblasti: zpracování osobních údajů maloobchodníky, kteří podmiňují slevy účastí ve věrnostním programu, kamerové systémy ve veřejné dopravě a marketingové praktiky poskytovatelů online srovnávacích služeb. S výhledem na rok 2026 je novou prioritou úřadu dohled nad základními právy u vysoce rizikových systémů umělé inteligence podle nařízení o umělé inteligenci EU, jelikož se v roce 2026 očekává přijetí českého vnitrostátního zákona o umělé inteligenci.
Ovlivňuje nařízení o umělé inteligenci EU povinnosti v oblasti ochrany osobních údajů v České republice?
Ano. Nařízení o umělé inteligenci EU (nařízení 2024/1689) se v celé EU přímo uplatňuje od srpna 2024. V České republice byl ÚOOÚ určen jako příslušný orgán pro dohled nad základními právy u vysoce rizikových systémů umělé inteligence. Organizace nasazující vysoce rizikovou umělou inteligenci, která zpracovává osobní údaje, čelí souběžným povinnostem podle nařízení o umělé inteligenci i podle GDPR, což vyžaduje koordinovaná posouzení ochrany osobních údajů a shody.
Jaká pravidla platí pro mezinárodní předávání údajů z České republiky?
Česká republika uplatňuje rámec kapitoly V GDPR pro předávání údajů bez vnitrostátních odchylek. Předávání do zemí s rozhodnutím Evropské komise o odpovídající ochraně (včetně Spojeného království, USA podle rámce EU-USA pro ochranu osobních údajů, Japonska a dalších) může probíhat bez dalších zajištění. Předávání do zemí bez odpovídající ochrany vyžaduje vhodná zajištění, nejčastěji standardní smluvní doložky EU. Kauza Avast potvrdila, že pseudonymizace není náhradou za platný mechanismus předávání.
Sources and References
- Oficiální webové stránky ÚOOÚ(uoou.gov.cz).gov
- ÚOOÚ, informace o českém dozorovém úřadu(uoou.gov.cz).gov
- Oznámení ÚOOÚ o pokutě uložené společnosti Avast(uoou.gov.cz).gov
- Zákon č. 110/2019 Sb., anglický překlad(uoou.gov.cz).gov
- Oznámení EDPB o pokutě uložené společnosti Avast(edpb.europa.eu).gov
- Listina základních práv a svobod České republiky(usoud.cz).gov
- Odborný přehled CMS pro Českou republiku(cms.law)
- Přehled vymáhání GDPR CMS pro Českou republiku(cms.law)
- DLA Piper, ochrana osobních údajů v České republice(dlapiperdataprotection.com)
- Linklaters, Data Protected, Česká republika(linklaters.com)
- CMS, přehled zákonů o umělé inteligenci pro Českou republiku(cms.law)
- Stanovisko EDPB 08/2024 k souhlasu v modelu souhlas nebo platba(edpb.europa.eu).gov
- Harmonogram provádění nařízení o umělé inteligenci EU(ai-act-service-desk.ec.europa.eu).gov