Zajištění souladu s NIS2: Více informací ZDE

232 000 330

TEAMVIEWER

HELPDESK

Sdílejte:

Nejčastější chyby firem v oblasti GDPR v roce 2025

Reálné příklady selhání a praktické rady, jak se jim vyhnout

Publikováno: 24. 07. 2025
GDPR

Přestože od zavedení nařízení GDPR uplynulo už několik let, firmy v Česku i jinde v EU stále narážejí na opakující se chyby. Často nejde o zlomyslnost nebo snahu pravidla obejít, ale spíš o přehlédnutí povinností nebo podcenění rizik. V tomto článku se podíváme na některé konkrétní přešlapy, které firmy v roce 2025 nejčastěji dělají – a hlavně na to, jak se jim dá poměrně jednoduše předejít. 

1. Špatně nastavené zpracovatelské smlouvy

Reálný příklad: 

Menší e-shop spolupracoval s externí účetní firmou, která zpracovávala faktury a mzdy. Vztah měli podložený pouze obecnou obchodní smlouvou, nikoli řádnou zpracovatelskou smlouvou podle čl. 28 GDPR. Při kontrole ÚOOÚ firma nedokázala doložit, že účetní zpracovává data podle jejich pokynů a že má dostatečné záruky ochrany dat. Výsledkem byla pokuta ze strany úřadu.

Jak tomu předejít: 

  • Vždy uzavírejte se zpracovatelem (např. účetní, IT firma, marketingová agentura) zpracovatelskou smlouvu podle čl. 28 GDPR. 
  • Ujistěte se, že smlouva jasně stanoví účel, rozsah a dobu zpracování, typy osobních údajů, kategorie subjektů údajů a zabezpečení dat. 
  • Nezapomeňte, že odpovědnost za výběr vhodného zpracovatele je vždy na vás jako správci dat. 
podpis smlouvy
záznamy

2. Absence záznamů o činnostech zpracování

Reálný příklad: 

Středně velká IT firma, která provozuje několik interních systémů a pracuje s osobními údaji klientů i zaměstnanců, při auditu nebyla schopna předložit žádný ucelený dokument, který by popisoval, jaké osobní údaje zpracovává, za jakým účelem, na jakém právním základě, a kdo k nim má přístup. Tvrdili, že informace mají pouze v hlavě nebo v neformální tabulce. Úřad to neakceptoval. 

Jak tomu předejít: 

  • Vypracujte si přehledný záznam o činnostech zpracování – nejlépe v tabulkové podobě nebo v interním nástroji, který používáte pro správu dokumentace. 
  • V záznamu musí být alespoň: účel zpracování, právní titul, kategorie údajů, kategorie subjektů údajů, příjemci údajů a doba uchování. 
  • Záznam pravidelně aktualizujte – ideálně jednou ročně nebo při každé významnější změně.

3. Nedostatečné školení zaměstnanců

Reálný příklad: 

Zaměstnanec personálního oddělení odeslal omylem citlivé informace o zdravotním stavu uchazeče o práci všem zaměstnancům firmy v hromadném e-mailu. Vysvětlení? „Nevěděl jsem, že je to problém. Bral jsem to jako běžné info.“ Firma nikdy neškolila zaměstnance v ochraně osobních údajů, a to ani po nástupu GDPR. 

Jak tomu předejít: 

  • Školení nemusí být složité ani drahé – stačí 1–2x ročně krátký e-learning nebo workshop, ideálně přizpůsobený konkrétní roli (jiné téma pro HR, jiné pro IT, jiné pro obchodníky). 
  • Školení by mělo zahrnovat i konkrétní příklady z praxe a doporučené postupy při incidentu. 
  • Uchovávejte záznamy o proškolení zaměstnanců – může se vám to hodit při kontrole. 
učebna
chyby

Další časté chyby, na které se zapomíná:

  • Chybějící nebo neaktuální informace o ochraně osobních údajů na webových stránkách. 
  • Nevyřízené žádosti subjektů údajů (např. o výmaz nebo přístup k údajům) – často z neznalosti nebo zmatku, komu žádost vlastně přišla. 
  • Příliš široká práva k osobním údajům ve firmě – např. všichni zaměstnanci mají přístup ke všem klientským údajům bez omezení. 
  • Slabá technická ochrana dat – např. hesla sdílená v Excelu, žádné šifrování notebooků, otevřený přístup do databází. 

Shrnutí a doporučení

Většina GDPR přešlapů plyne z podcenění pravidel a absence systémového přístupu. Přitom základy se dají zavést i bez složitého právního jazyka a vysokých nákladů: 

  1. Zmapujte si všechny procesy, kde pracujete s osobními údaji. 
  2. Sepište záznamy o činnostech zpracování. 
  3. Uzavřete zpracovatelské smlouvy se všemi externími firmami, které mají k datům přístup. 
  4. Pravidelně školte zaměstnance a udělejte z ochrany dat běžnou součást firemní kultury. 
  5. Nastavte si odpovědnosti – ideálně určete osobu nebo tým, který bude agendu GDPR hlídat. 
 

Neváhejte nás kontaktovat – ať už potřebujete školení, pomoc s přípravou zpracovatelských smluv, mapováním dat nebo tvorbou interních směrnic. Jsme tu pro vás jako partner pro komplexní podporu v oblasti ochrany osobních údajů a compliance. 

Starší příspěvky:

Hexagon,Grid,With,Social,Engineering,Keywords,Like,Phishing,And,Tailgating

Kybernetické útoky typu social engineering

Když se řekne kybernetický útok, většina lidí si představí hackera, který prolomí složité zabezpečení nebo využije neznámou zranitelnost. Realita je

Číst více
Chat,With,Ai,Or,Artificial,Intelligence.,Young,Businesswoman,Chatting,With

Microsoft 365 E7

Umělá inteligence byla do doby využívání AI agentů vnímána jako inteligentní našeptávač – Copilot však pomáhá s automatizací rutinních úkolů –

Číst více
Ai,Act,Regulation,Symbol.,Concept,Words,Ai,Artificial,Intelligence,Act

EU AI Act

Využití umělé inteligence je potřeba korigovat. Evropská unie jako první na světě zavedla komplexní pravidla hry – EU AI Act.

Číst více

Nejčastější chyby firem v oblasti GDPR v roce 2025

GDPR

Přestože od zavedení nařízení GDPR uplynulo už několik let, firmy v Česku i jinde v EU stále narážejí na opakující se chyby. Často nejde o zlomyslnost nebo snahu pravidla obejít, ale spíš o přehlédnutí povinností nebo podcenění rizik. V tomto článku se podíváme na některé konkrétní přešlapy, které firmy v roce 2025 nejčastěji dělají – a hlavně na to, jak se jim dá poměrně jednoduše předejít. 

1. Špatně nastavené zpracovatelské smlouvy

Reálný příklad: 

Menší e-shop spolupracoval s externí účetní firmou, která zpracovávala faktury a mzdy. Vztah měli podložený pouze obecnou obchodní smlouvou, nikoli řádnou zpracovatelskou smlouvou podle čl. 28 GDPR. Při kontrole ÚOOÚ firma nedokázala doložit, že účetní zpracovává data podle jejich pokynů a že má dostatečné záruky ochrany dat. Výsledkem byla pokuta ze strany úřadu.

Jak tomu předejít: 

  • Vždy uzavírejte se zpracovatelem (např. účetní, IT firma, marketingová agentura) zpracovatelskou smlouvu podle čl. 28 GDPR. 
  • Ujistěte se, že smlouva jasně stanoví účel, rozsah a dobu zpracování, typy osobních údajů, kategorie subjektů údajů a zabezpečení dat. 
  • Nezapomeňte, že odpovědnost za výběr vhodného zpracovatele je vždy na vás jako správci dat. 
podpis smlouvy
záznamy

2. Absence záznamů o činnostech zpracování

Reálný příklad: 

Středně velká IT firma, která provozuje několik interních systémů a pracuje s osobními údaji klientů i zaměstnanců, při auditu nebyla schopna předložit žádný ucelený dokument, který by popisoval, jaké osobní údaje zpracovává, za jakým účelem, na jakém právním základě, a kdo k nim má přístup. Tvrdili, že informace mají pouze v hlavě nebo v neformální tabulce. Úřad to neakceptoval. 

Jak tomu předejít: 

  • Vypracujte si přehledný záznam o činnostech zpracování – nejlépe v tabulkové podobě nebo v interním nástroji, který používáte pro správu dokumentace. 
  • V záznamu musí být alespoň: účel zpracování, právní titul, kategorie údajů, kategorie subjektů údajů, příjemci údajů a doba uchování. 
  • Záznam pravidelně aktualizujte – ideálně jednou ročně nebo při každé významnější změně.

3. Nedostatečné školení zaměstnanců

Reálný příklad: 

Zaměstnanec personálního oddělení odeslal omylem citlivé informace o zdravotním stavu uchazeče o práci všem zaměstnancům firmy v hromadném e-mailu. Vysvětlení? „Nevěděl jsem, že je to problém. Bral jsem to jako běžné info.“ Firma nikdy neškolila zaměstnance v ochraně osobních údajů, a to ani po nástupu GDPR. 

Jak tomu předejít: 

  • Školení nemusí být složité ani drahé – stačí 1–2x ročně krátký e-learning nebo workshop, ideálně přizpůsobený konkrétní roli (jiné téma pro HR, jiné pro IT, jiné pro obchodníky). 
  • Školení by mělo zahrnovat i konkrétní příklady z praxe a doporučené postupy při incidentu. 
  • Uchovávejte záznamy o proškolení zaměstnanců – může se vám to hodit při kontrole. 
učebna
chyby

Další časté chyby, na které se zapomíná:

  • Chybějící nebo neaktuální informace o ochraně osobních údajů na webových stránkách. 
  • Nevyřízené žádosti subjektů údajů (např. o výmaz nebo přístup k údajům) – často z neznalosti nebo zmatku, komu žádost vlastně přišla. 
  • Příliš široká práva k osobním údajům ve firmě – např. všichni zaměstnanci mají přístup ke všem klientským údajům bez omezení. 
  • Slabá technická ochrana dat – např. hesla sdílená v Excelu, žádné šifrování notebooků, otevřený přístup do databází. 

Shrnutí a doporučení

Většina GDPR přešlapů plyne z podcenění pravidel a absence systémového přístupu. Přitom základy se dají zavést i bez složitého právního jazyka a vysokých nákladů: 

  1. Zmapujte si všechny procesy, kde pracujete s osobními údaji. 
  2. Sepište záznamy o činnostech zpracování. 
  3. Uzavřete zpracovatelské smlouvy se všemi externími firmami, které mají k datům přístup. 
  4. Pravidelně školte zaměstnance a udělejte z ochrany dat běžnou součást firemní kultury. 
  5. Nastavte si odpovědnosti – ideálně určete osobu nebo tým, který bude agendu GDPR hlídat. 
 

Neváhejte nás kontaktovat – ať už potřebujete školení, pomoc s přípravou zpracovatelských smluv, mapováním dat nebo tvorbou interních směrnic. Jsme tu pro vás jako partner pro komplexní podporu v oblasti ochrany osobních údajů a compliance. 

Sdílet aktualitu:

Nejnovější příspěvky

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.
REGISTROVAT NEWSLETTER