GDPRimplementacechybyÚOOÚkontrolyosobní údaje

Nejčastější chyby při zavádění GDPR a jak se jim vyhnout

Tým Váš Pověřenec

4. srpna 2025

Nejčastější chyby při zavádění GDPR a jak se jim vyhnout

Praktické příklady z kontrol a doporučení ÚOOÚ

Zavedení GDPR (Obecného nařízení o ochraně osobních údajů) se od května 2018 stalo povinností pro firmy, školy, obce i živnostníky, kteří jakkoli pracují s osobními údaji. Přesto i po letech patří správná implementace k častým slabým místům – a Úřad pro ochranu osobních údajů (ÚVOÚ) každoročně nachází při kontrolách stejné chyby.

Tento článek vám ukáže nejčastější pochybení při zavádění GDPR a nabídne praktická doporučení, jak jim předcházet a vyhnout se pokutám.

1. Chybějící nebo formální záznamy o zpracování

Chyba: Subjekt nemá zpracované nebo pravidelně aktualizované záznamy o činnostech zpracování osobních údajů. V některých případech jsou záznamy nedostatečně podrobné nebo zcela chybí.

Důsledek: Při kontrole nelze prokázat, jaké údaje subjekt zpracovává, na jakém právním základě, za jakým účelem, kdo k nim má přístup a jak dlouho je uchovává.

Doporučení:

  • Vytvořte si jednoduchou tabulku, kde přehledně uvedete všechny činnosti zpracování (např. evidence zaměstnanců, vedení agendy klientů, kamerový systém atd.)
  • U každé položky zaznamenejte právní titul, dobu uchování a kategorie subjektů
  • Pravidelně záznamy aktualizujte, minimálně 1× ročně nebo při změnách

2. Nedostatečně informovaní zaměstnanci

Chyba: Zaměstnanci neví, jak se chovat k osobním údajům, nebo nedokáží vysvětlit, jaké mají povinnosti. Interní směrnice existuje, ale nikdo ji nečte.

Důsledek: Zaměstnanec neúmyslně poruší pravidla (např. zašle osobní údaje omylem jinému klientovi, nechá otevřenou dokumentaci na stole) a dojde k bezpečnostnímu incidentu.

Doporučení:

  • Proškolte zaměstnance srozumitelně a prakticky – ideálně interaktivní formou
  • Vysvětlete konkrétní příklady z jejich pracovního prostředí
  • Každé školení dokumentujte (datum, účastníci, obsah)

3. Nevyřešené nebo podceněné zpracování dat třetími stranami

Chyba: Společnost předává osobní údaje dodavatelům (např. účetní firmě, poskytovateli IT), aniž by měla uzavřené zpracovatelské smlouvy.

Důsledek: Při kontrole nelze doložit, že zpracování probíhá v souladu s GDPR. Firma ztrácí kontrolu nad tím, co se s údaji děje.

Doporučení:

  • Ujistěte se, že máte s každým dodavatelem, který zpracovává osobní údaje, podepsanou smlouvu o zpracování osobních údajů
  • Smlouva by měla obsahovat rozsah, účel, způsob zpracování a bezpečnostní opatření
  • U externích IT správců trvejte na doložení odpovídajících technických a organizačních opatření

4. Chybějící nebo zastaralé informace pro subjekty údajů

Chyba: Na webu, v žádostech nebo smlouvách chybí aktuální informace o zpracování údajů. Často bývají příliš obecné, neúplné nebo zavádějící.

Důsledek: Subjekt údajů (např. klient, zaměstnanec, žadatel) není řádně informován o svých právech, což je základní povinnost dle GDPR.

Doporučení:

  • Zkontrolujte, že máte na webu aktuální informační memorandum
  • Všechny formuláře a komunikace obsahující sběr osobních údajů by měly odkazovat na konkrétní informace (kdo údaje zpracovává, proč, jak dlouho, jaká práva má subjekt)
  • Jazyk má být srozumitelný, ne právnický

5. Podcenění zabezpečení dat

Chyba: Zaměstnanci pracují s nezabezpečenými zařízeními, používají slabá hesla, nešifrují přenos dat nebo dokumenty nejsou chráněné proti neoprávněnému přístupu.

Důsledek: Zvyšuje se riziko úniku nebo zneužití osobních údajů, což může vést ke hlášení bezpečnostního incidentu.

Doporučení:

  • Zaveďte silná hesla, dvoufaktové ověřování a pravidelné zálohování
  • Šifrujte přenos citlivých údajů (např. e-mailem)
  • Fyzické dokumenty uzamykejte a omezte přístup jen na oprávněné osoby
  • Vytvořte plán reakce na incident – kdo co dělá, pokud k úniku dojde

6. Nevyužití služeb pověřence pro ochranu osobních údajů (DPO)

Chyba: Subjekty, které mají mít pověřence (např. školy, obce, svazky obcí), ho buď vůbec nemají, nebo funkci vykonává někdo bez znalosti problematiky.

Důsledek: Chybí odborný dohled, systém stagnuje a firma neví, jak reagovat na dotazy, stížnosti nebo incidenty.

Doporučení:

  • Zvažte externího pověřence – zpravidla levnější a odborně zdatnější než interní řešení
  • Pověřenec má mít znalosti práva i IT bezpečnosti a musí být nestranný
  • Využijte ho i jako konzultanta při školeních nebo auditu

7. Neplnění práv subjektů údajů

Chyba: Organizace neví, jak má reagovat na žádosti typu: „chci vědět, jaké údaje o mně máte", „chci údaje opravit/smazat", „chci přenositelnost údajů".

Důsledek: Nereagování v zákonné lhůtě (30 dní) = porušení GDPR = hrozba sankce.

Doporučení:

  • Mějte jasně nastavený proces: kdo žádost přijímá, kdo zpracovává, jak kontroluje identitu žadatele
  • Vytvořte si vzory odpovědí a proškolte zaměstnance
  • Dokumentujte každou žádost (datum přijetí, odpověď, splnění požadavku)

Shrnutí: Jak se vyhnout problémům?

✅ Checklist nejčastějších chyb a jejich řešení:

1. Chybí záznamy o zpracování
Vytvořit a aktualizovat přehledné záznamy

2. Zaměstnanci neproškoleni
Provést pravidelná školení s dokumentací

3. Není smlouva se zpracovateli
Uzavřít GDPR zpracovatelské smlouvy

4. Neinformovaní klienti
Zveřejnit přehledné informace o zpracování

5. Slabé zabezpečení
Zlepšit technická a organizační opatření

6. Chybí pověřenec
Sjednat službu odborného externího DPO

7. Neřeší se žádosti subjektů
Mít nastavený proces pro jejich vyřízení

Závěr

GDPR není jednorázová tabulka ani směrnice v šuplíku – je to živý systém, který je potřeba udržovat v chodu. Pokud se na ochranu osobních údajů podíváte jako na součást důvěry ve firmu nebo úřad, uvidíte v něm spíš příležitost než zbytečnou administrativu.

Základem je vědět, co děláte, proč to děláte, jak to chráníte – a umět to doložit. A pokud si nevíte rady, neváhejte oslovit odborníky – i ÚOOÚ doporučuje konzultaci s odborně způsobilou osobou.

Potřebujete pomoc s implementací GDPR nebo audit současného stavu? Kontaktujte nás a my vám pomůžeme nastavit systém ochrany osobních údajů, který bude skutečně fungovat.

Související články

Whistleblowing: Co znamená ochrana oznamovatelů v ČR
whistleblowingoznamovatel
Whistleblowing: Co znamená ochrana oznamovatelů v ČR

Whistleblowing znamená ochranu lidí, kteří upozorní na protiprávní či neetické jednání. Zjistěte, co přináší zákon o ochraně oznamovatelů, kdo má povinnosti a jak nastavit funkční systém.

Tým Váš Pověřenec · 8. července 2025

Registrace OSVČ a podnikatelů k poplatkům ČT a ČRo: Kompletní průvodce
OSVČpodnikatelé
Registrace OSVČ a podnikatelů k poplatkům ČT a ČRo: Kompletní průvodce

Zjistěte, kdy a jak se musí OSVČ a podnikatelé registrovat k poplatkům České televizi a Českému rozhlasu. Kompletní návod včetně lhůt, výší poplatků a praktických tipů.

Tým Váš Pověřenec · 30. června 2025

Kdo je pověřenec pro ochranu osobních údajů a proč ho potřebujete
DPOpověřenec
Kdo je pověřenec pro ochranu osobních údajů a proč ho potřebujete

Ochrana osobních údajů je v dnešní digitální době zásadní téma. Zjistěte, kdo je pověřenec pro ochranu osobních údajů, jaké má povinnosti a proč je jeho jmenování často zákonem povinné.

Tým Váš Pověřenec · 18. června 2025