Ohlédnutí za 2025: Stav a statistiky compliance, ochrany dat a kybernetické bezpečnosti
Tým Váš Pověřenec
1. února 2026
Úvod: Rok zlomu a dozrávání regulace
Rok 2025 se do historie compliance a digitální bezpečnosti zapíše jako období, kdy se latentní hrozby a teoretické právní koncepty proměnily v hmatatelnou realitu s přímým dopadem na ekonomickou stabilitu organizací i států. Pokud byla léta bezprostředně po zavedení GDPR (2018–2020) charakterizována spíše administrativní zátěží a nejistotou, a roky následující (2021–2023) postupným zpřísňováním výkladu, pak rok 2025 představuje fázi „tvrdého vymáhání“ a současně počátek radikální revize celého systému.
Tato zpráva předkládá vyčerpávající analýzu událostí roku 2025 v oblasti ochrany osobních údajů, kybernetické bezpečnosti a související legislativy. Zaměřuje se primárně na české prostředí, které je však neoddělitelně spjato s celoevropským kontextem. Vycházíme z detailních dat dozorových orgánů, jako jsou Úřad pro ochranu osobních údajů (ÚOOÚ) a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), a z analytických zpráv renomovaných právních firem a evropských institucí.
Analýza odhaluje několik znepokojivých makroekonomických a bezpečnostních trendů. Především je to exponenciální nárůst hlášených bezpečnostních incidentů, který v roce 2025 prolomil dlouhodobé statistické stropy. Dále sledujeme stabilizaci sankční politiky na historických maximech, kdy se pokuty v řádech stovek milionů eur stávají standardem pro technologické giganty, zatímco v národním měřítku padají rekordní pokuty i pro lokální šampiony. V neposlední řadě rok 2025 přinesl legislativní iniciativu Digital Omnibus, která slibuje přepsat základní definice toho, co považujeme za osobní údaj, a tím reaguje na technologickou realitu umělé inteligence a Big Data.
V následujících kapitolách rozebereme tyto fenomény do hloubky, od statistické analýzy přes právní rozbory klíčových kauz až po predikce pro nadcházející období.
1. Evropský kontext: Makroekonomika sankcí a bezpečnostních incidentů v roce 2025
Abychom pochopili situaci v České republice, musíme nejprve analyzovat celoevropská data, která udávají tón regulatornímu prostředí. Rok 2025 potvrdil, že Evropská unie nehodlá slevit ze svých standardů ochrany dat, a to ani tváří v tvář globální konkurenci a tlaku na inovace.
1.1 Analýza sankční politiky: Stabilizace na vrcholu
Podle komplexního průzkumu společnosti DLA Piper, který mapoval data do ledna 2026, dosáhla celková výše pokut udělených evropskými dozorovými úřady za porušení GDPR v roce 2025 přibližně 1,2 miliardy EUR. Tato částka je pozoruhodná hned z několika důvodů.
Především, tato suma vyrovnává bilanci z roku 2024, což naznačuje, že vysoká míra sankcionování nebyla jednorázovým výkyvem způsobeným několika izolovanými případy, ale stala se novou normou. Po letech, kdy křivka celkového objemu pokut kolísala, rok 2025 potvrdil, že dozorové úřady napříč Evropou nalezly sebevědomí v aplikaci čl. 83 GDPR v plném rozsahu. Kumulativní výše všech pokut udělených od května 2018 do ledna 2026 tak dosáhla astronomických 7,1 miliardy EUR.
Tato data mají hluboký dopad na vnímání rizika ve firmách. Zatímco dříve byla pokuta za GDPR vnímána jako "náklad na podnikání" (cost of doing business), současné částky, které mohou dosahovat až 4 % celosvětového obratu, představují existenciální hrozbu, nebo minimálně zásadní zásah do ziskovosti i pro ty největší korporace.
Geografické rozložení sankcí: Dominantní postavení si i v roce 2025 udrželo Irsko. Irská komise pro ochranu dat (DPC) je vzhledem k umístění evropských centrál technologických gigantů (Meta, Google, Microsoft, TikTok) faktickým "vrchním žalobcem" evropského digitálního prostoru. Z celkové kumulativní částky 7,1 miliardy EUR připadá na irská rozhodnutí 4,04 miliardy EUR.1 To vyvolává dlouhodobou debatu o efektivitě systému "One-Stop-Shop", kdy je vymáhání práva vůči nejmocnějším hráčům koncentrováno v rukou jednoho národního úřadu, což v minulosti vedlo k tenzím mezi DPC a ostatními evropskými regulátory (např. německými nebo francouzskými).
Klíčová sankce roku 2025: Nejvyšší individuální pokutou uloženou v roce 2025 se stala sankce ve výši 530 milionů EUR, kterou irský regulátor udělil v dubnu jedné ze sociálních sítí (v kontextu zpráv často spojováno s TikTokem či Metou, v závislosti na specifické kauze transferů dat) za porušení pravidel pro mezinárodní přenosy dat.1 Tento případ znovu otevřel "Pandřinu skříňku" problematiky Schrems II a transferů do třetích zemí, což je téma, které i v roce 2025 zůstává právně nejisté navzdory existenci Rámce pro ochranu osobních údajů mezi EU a USA (Data Privacy Framework).
1.2 "Exploze" porušení zabezpečení: Statistika, která by měla budit ze sna
Možná ještě alarmujícím údajem než výše pokut je statistika ohlášených porušení zabezpečení osobních údajů (data breaches). Zpráva DLA Piper za rok 2025 uvádí meziroční nárůst počtu oznámení o 22 %.
Průměrný denní počet oznámení v Evropě dosáhl v roce 2025 hodnoty 443. To znamená, že každou hodinu evropské úřady přijaly v průměru 18 hlášení o úniku dat. Jedná se o prolomení psychologické i statistické hranice 400 oznámení denně, což se nestalo od roku 2018, kdy GDPR vstoupilo v platnost. Po několika letech stagnace, kdy se zdálo, že počty incidentů dosáhly plata, přišel v roce 2025 strmý nárůst.
Analýza příčin tohoto nárůstu: Experti identifikují tři hlavní faktory, které vedly k této eskalaci:
1. Geopolitická nestabilita a hybridní válka: Konflikty na východě Evropy a na Blízkém východě se přelévají do kyberprostoru. Státem sponzorované skupiny i "hacktivisté" zintenzivnili útoky na evropskou infrastrukturu, což vedlo k vyššímu počtu kompromitací systémů.
2. Technologická sofistikovanost útočníků (AI): Útočníci začali masivně využívat generativní umělou inteligenci k tvorbě přesvědčivějších phishingových kampaní a k automatizaci vyhledávání zranitelností. Tím se snížila "bariéra vstupu" pro kyberzločince a zvýšila se úspěšnost útoků.
3. Zpřísněná regulatorní kultura: Paradoxně, část nárůstu může být připsána "pozitivnímu" jevu – lepší detekci. Firmy pod tlakem směrnice NIS2 a nařízení DORA investovaly do detekčních nástrojů (SIEM, SOC), které odhalí incidenty, jež by dříve zůstaly nepovšimnuty. Zároveň se zvyšuje právní povědomí, a firmy raději incident nahlásí ("over-reporting"), než aby riskovaly pokutu za zatajení.
1.3 Nový trend: Odpovědnost zpracovatelů a "Security Principle"
Významným kvalitativním posunem v roce 2025 bylo zaměření dozorových úřadů na bezpečnost zpracování (čl. 32 GDPR) a přímou odpovědnost zpracovatelů. Zatímco v prvních letech GDPR se pokuty týkaly primárně právních základů (chybějící souhlas, neoprávněný marketing), v roce 2025 vidíme vlnu pokut za technická selhání.
Příkladem je Finsko, kde tamní úřad v listopadu 2025 uložil pokutu 1,8 milionu EUR bance S-Bank za zranitelnost v mobilní aplikaci, která umožnila neoprávněný přístup k účtům cizích osob. Ještě zajímavější je případ Aktia Bank (pokuta 865 tis. EUR), kde úřad sankcionoval nedostatečné testování při změně IT systému, což vedlo k záměně identit klientů.
Tento trend vysílá jasný signál IT oddělením a dodavatelům softwaru: "Security by Design" již není jen teoretický koncept, ale vymahatelná povinnost. Selhání v testování softwaru nebo ignorování známé zranitelnosti je nyní přímou cestou k vysoké pokutě, a regulátoři se nebojí jít do technických detailů (např. auditovat procesy change managementu).
2. Česká republika: Od dozvuků "pokuty století" k nové realitě kybernetické bezpečnosti
Česká republika v roce 2025 plně absorbovala evropské trendy a v některých aspektech, zejména v oblasti kybernetických útoků na veřejný sektor, se stala laboratoří nových hrozeb.
2.1 Kauza Avast: Definice nové éry vymáhání v ČR
Ačkoliv formálně bylo rozhodnutí vydáno dříve, rok 2025 v českém compliance prostředí rezonoval především analýzou dopadů rekordní pokuty 351 milionů Kč udělené Úřadem pro ochranu osobních údajů (ÚOOÚ) společnosti Avast Software s.r.o..
Tato sankce je bezprecedentní nejen svou výší (která řádově převyšuje dosavadní maxima v řádech jednotek milionů), ale především svou podstatou. Úřad zde napadl samotný obchodní model založený na monetizaci uživatelských dat.
Hloubková analýza pochybení: Jádrem sporu bylo předávání historie prohlížení uživatelů antivirového programu dceřiné společnosti Jumpshot, která tato data dále komercializovala. Avast argumentoval, že data byla anonymizovaná. ÚOOÚ však na základě expertních posudků dospěl k závěru, že proces anonymizace byl nedostatečný. Unikátní identifikátory uživatelů v kombinaci s detailní historií navštívených stránek umožňovaly tzv. reidentifikaci. Stačilo, aby uživatel v historii navštívil specifickou URL (např. stránku s unikátním tokenem objednávky nebo profil na sociální síti), a jeho identita mohla být odhalena.
Tento případ má pro rok 2025 a další léta zásadní implikace pro všechny české firmy pracující s Big Data a AI:
● Anonymizace je křehká: To, co firmy považují za anonymní data, regulátor často vidí jako pseudonymizovaná (a tedy osobní) data.
● Transparentnost je klíčová: Uživatelé byli mylně informováni, že data slouží k bezpečnosti, nikoliv k prodeji trendů. Klamavá informace o účelu zpracování je přitěžující okolností.
● Ekonomická realita sankcí: Pokuta 351 milionů Kč ukázala, že ÚOOÚ se nebojí sáhnout k citelným zásahům do hospodaření firem, pokud jde o systematické porušování práv milionů subjektů.
2.2 Kontrolní a sankční aktivita ÚOOÚ v roce 2025
Kromě této mega-kauzy pokračoval ÚOOÚ v roce 2025 v rutinní, ale intenzivní kontrolní činnosti. Zveřejněná data o poskytnutých informacích a kontrolní plány odhalují priority úřadu:
1. Boj s telemarketingem: Úřad v roce 2025 pokračoval v tažení proti tzv. "šmejdům" v telekomunikacích. Za nevyžádaná obchodní sdělení padaly pokuty v souhrnné výši milionů korun. Úřad se zaměřil na technické aspekty získávání souhlasů a na praxi nákupu databází od pochybných zprostředkovatelů.
2. Scraping a veřejné rejstříky: Novým fenoménem roku 2025 byly kontroly zaměřené na firmy, které automatizovaně vytěžují (scraping) data z veřejných registrů (obchodní rejstřík, registr živnostenského podnikání, katastr) a vytvářejí z nich komerční databáze. ÚOOÚ zdůraznil, že zveřejnění údaje ve veřejném rejstříku neznamená "volnou licenci" k jeho dalšímu neomezenému zpracování (zásada účelového omezení).
3. Kamerové systémy a biometrie ve školách: V reakci na bezpečnostní obavy začaly školy v roce 2025 masivněji instalovat kamerové systémy. ÚOOÚ vydal metodické doporučení č. 1/2025, které krotí nadšení pro plošné sledování a zdůrazňuje ochranu soukromí dětí.
4. Limity sankcí ve veřejném sektoru: Zajímavým trendem roku 2025 byla soudní korekce pokut udělených státním orgánům. Například v případě Ministerstva vnitra (pokuta za data v registru obyvatel) musel úřad respektovat judikaturu Nejvyššího správního soudu, která v některých případech omezuje možnost sankcionovat stát za výkon veřejné moci, resp. koriguje výši sankce s ohledem na povahu přestupku.
2.3 Kybernetická bezpečnost: Zpráva o stavu bojiště (NÚKIB)
Zatímco ÚOOÚ řeší právní aspekty dat, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v roce 2025 čelil technické realitě kybernetické války. Data NÚKIB za rok 2025 ukazují, že Česká republika je pod konstantním tlakem.
Statistická analýza incidentů NÚKIB (2025)
Rok 2025 navázal na rekordní rok 2024 (268 incidentů) a v některých měsících jej překonal intenzitou. Následující tabulka shrnuje měsíční vývoj a klíčové události reportované NÚKIB:
Interpretace trendů NÚKIB
Z dat vyplývají tři zásadní vektory hrozeb, které formovaly rok 2025 v ČR:
1. Politicky motivovaný DDoS: Útoky na dostupnost (Availability) zůstávají nejčastější zbraní proruských skupin (NoName057, Server Killers). Tyto útoky mají jasnou korelaci s geopolitickým děním – každý úspěch české diplomacie nebo policie (viz operace Eastwood v srpnu) vyvolává okamžitou odvetu v kyberprostoru. Pro státní instituce to znamená nutnost robustní anti-DDoS ochrany.
2. Ransomware jako "Double Extortion": Útoky na HZS ČR a obce ukazují bezohlednost útočníků. Nejde jen o zašifrování dat, ale o hrozbu jejich zveřejněním (double extortion). Pro veřejný sektor, který často disponuje citlivými daty občanů, ale zastaralým IT, je toto kritické riziko.
3. Technologický dluh a "Edge" zařízení: Opakovaná varování NÚKIB před zranitelnostmi v zařízeních na okraji sítě (VPN koncentrátory Ivanti, Microsoft SharePoint) ukazují, že "patch management" (správa aktualizací) je v českých firmách stále podceňována. Útočníci nehledají složité cesty, ale vcházejí "otevřenými okny" neaktualizovaného softwaru.
2.4 Legislativní smršť: Implementace NIS2 a nový ZKB
Rok 2025 byl v ČR rokem legislativních příprav na "novou éru". V parlamentu finišoval proces schvalování nového zákona o kybernetické bezpečnosti (ZKB), který implementuje evropskou směrnici NIS2.
Tento zákon, jehož ostrá účinnost se očekává na přelomu let 2025/2026, přinese revoluci:
● Rozšíření povinných subjektů: Počet regulovaných entit vzroste z cca 400 na více než 6 000. Do regulace spadnou vodárny, potravinářství, chemický průmysl či odpadové hospodářství.
● Prověřování dodavatelů: V reakci na globální incidenty (jako CrowdStrike v roce 2024) zavádí zákon mechanismus pro prověřování bezpečnosti dodavatelského řetězce. Stát bude moci vyloučit rizikové dodavatele z kritické infrastruktury.
● Odpovědnost managementu: Nový zákon klade přímou odpovědnost za kyberbezpečnost na statutární orgány, včetně možností pozastavení výkonu funkce v případě hrubého zanedbání povinností.
3. Revoluce v legislativě EU: Digital Omnibus a AI Act
Zatímco statistiky ukazují "stav v terénu", na úrovni Evropské komise došlo v roce 2025 k představení legislativy, která má ambici přepsat pravidla hry pro další dekádu.
3.1 Digital Omnibus: Konec dogmatu o absolutních osobních údajích
V listopadu 2025 představila Evropská komise návrh nařízení Digital Omnibus Regulation.18 Tento návrh je přímou reakcí na zprávu Maria Draghiho o konkurenceschopnosti EU a má za cíl odstranit právní nejistotu, která brzdí inovace.
Klíčová změna: Relativní pojetí osobních údajů Návrh kodifikuje přelomovou judikaturu SDEU ve věci SRB v. EDPS (C-413/23 P). Dosud převládal (zejména u dozorových úřadů) výklad, že pokud data může reidentifikovat kdokoliv na světě, jsou osobním údajem pro všechny. Digital Omnibus tento "absolutní" přístup odmítá.
● Nově má platit relativní přístup: Údaj je osobním pouze pro toho, kdo má prostředky k identifikaci osoby. Pokud firma A předá pseudonymizovaná data firmě B a firma B nemá "klíč" a nemůže jej legálně získat, pro firmu B se nejedná o osobní údaje.
● Dopad: Toto uvolní ruce vývojářům AI, výzkumníkům a analytikům, kteří budou moci pracovat s daty bez drastické zátěže GDPR, pokud zajistí, že technicky nedokáží data zpětně přiřadit k lidem.
Reforma Cookies: Návrh rovněž cílí na nenáviděné cookie lišty. Zavádí povinnost respektovat automatizované signály z prohlížeče (např. nastavení "odmítnout vše"). Pokud uživatel tento signál vysílá, web se nesmí znovu ptát. Cílem je odstranit "consent fatigue". Pro český e-commerce to bude znamenat nutnost technické přestavby webů.
Oprávněný zájem pro AI: Třetí bombou návrhu je explicitní uznání, že trénování modelů umělé inteligence může být založeno na právním titulu oprávněného zájmu (legitimate interest). To by vyřešilo současnou patovou situaci, kdy získat souhlas od milionů autorů dat pro trénování LLM je nemožné.
3.2 AI Act: Rok přechodu a příprav
V roce 2025 vstoupily v platnost klíčové části Aktu o umělé inteligenci (AI Act).
● Únor 2025: Začaly platit zákazy nepřijatelných praktik (sociální skórování, biometrická kategorizace dle rasy/víry).
● Srpen 2025: Vstoupila v platnost pravidla pro modely pro obecné účely (GPAI).
● Dopad na české firmy: Průzkumy (Seyfor, Deloitte) ukazují, že ačkoliv polovina českých firem s AI experimentuje, na regulaci je připraven zlomek z nich. Firmy v roce 2025 horečně řešily kategorizaci svých systémů a zavádění AI governance.
4. Sektorová analýza dopadů
Dopady roku 2025 nejsou plošné, ale liší se dle odvětví:
E-commerce a Marketing: Tento sektor je pod největším tlakem. Kombinace pokut za telemarketing (ÚOOÚ), konce cookies třetích stran a blížícího se Digital Omnibus (signály prohlížeče) nutí marketéry hledat nové cesty (kontextová reklama, first-party data). Kauza Avast navíc ukázala, že prodej dat o chování uživatelů je minové pole.
Bankovnictví a Finance: Zde dominuje příprava na nařízení DORA (Digitální provozní odolnost), které se překrývá s NIS2. Pokuty finským bankám (S-Bank, Aktia) za technické chyby v aplikacích jsou varováním, že regulátor bude trestat i "neúmyslné" bugy, pokud vedou k úniku dat.
Veřejná správa: Obce a úřady jsou pod dvojím ohněm – na jedné straně jsou terčem ransomwaru a DDoS útoků (viz HZS ČR), na druhé straně čelí tlaku na digitalizaci a sdílení dat. Legislativa (Digital Omnibus) by jim měla ulehčit sdílení dat, ale kybernetická obrana zůstává podfinancovaná.
Zdravotnictví: Útoky na zdravotnická zařízení pokračují. Digitalizace zdravotních záznamů (EHDS - European Health Data Space) naráží na nutnost zajistit extrémní bezpečnost, což incidenty z roku 2025 (úniky dat pacientů) jen potvrzují.
5. Závěry a strategická doporučení pro rok 2026
Rok 2025 nebyl jen "dalším rokem s GDPR". Byl to rok, kdy se kvantita (incidentů, dat, regulací) změnila v kvalitu. Kybernetická bezpečnost a ochrana dat se staly prvořadým strategickým tématem, které přímo ovlivňuje hodnotu a přežití organizace.
Shrnutí klíčových zjištění:
1. Enforcement je reálný: Pokuty v řádech miliard korun (Avast, Meta, Uber) nejsou strašákem, ale realitou.
2. Útočníci jsou rychlejší: Nárůst incidentů o 22 % a prolomení hranice 400 úniků denně ukazuje, že obrana zaostává. AI dává útočníkům náskok.
3. Data se redefinují: Digital Omnibus nabízí světlo na konci tunelu pro inovace, ale vyžaduje precizní právní a technické nastavení pseudonymizace.
Doporučení pro české organizace:
Investujte do "Security by Design": Nečekejte na incident. Pokuty za technické zranitelnosti (i bez úniku dat, jen za riziko) budou růst.
Revidujte práci s daty: Ve světle kauzy Avast a nového Digital Omnibus proveďte audit toho, co považujete za "anonymní data". Možná zjistíte, že porušujete GDPR, nebo naopak, že můžete data využívat více, než si myslíte, pokud zlepšíte technickou pseudonymizaci.
Připravte se na automatizaci souhlasů: E-shopy musí začít testovat kompatibilitu s automatizovanými signály prohlížečů. Éra "agresivních bannerů" končí.
Nepodceňujte NIS2: Zákon o kybernetické bezpečnosti dopadne na tisíce firem. Začněte s analýzou aktiv a rizik ihned, kapacity konzultantů na trhu jsou vyčerpané.
Rok 2025 ukázal, že v digitálním světě neexistuje status quo. Jedinou konstantou je zrychlující se změna hrozeb i pravidel. Ti, kteří se adaptují (např. využitím výjimek v Digital Omnibus), získají konkurenční výhodu. Ti, kteří zaspí, riskují, že se stanou další statistickou položkou ve zprávách NÚKIB nebo ÚOOÚ.
Zpráva byla sestavena na základě analýzy dat dostupných k únoru 2026, čerpajících z veřejných zdrojů ÚOOÚ, NÚKIB, EDPB, SDEU a mezinárodních právních analýz.
