Co rozhoduje o spolupráci s ARROWS při řešení GDPR: Praktické nastavení ochrany dat, které nebrzdí byznys a efektivně eliminuje hrozbu pokut

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
18.5.2026 | ARROWS advokátní kancelář

GDPR je více než jen právní povinnost – je to klíčový obchodní faktor ovlivňující důvěru klientů a finanční stabilitu firmy. Tento článek ukáže, jak nastavit efektivní ochranu dat, aniž by brzdila podnikání. Právníci z ARROWS pomáhají firmám dosáhnout souladu s regulací a zároveň zajistit plynulý provoz.

Na obrázku vidíme odborníka řešícího problematiku soulad s GDPR.

  • GDPR není pouze IT záležitost: Jde o komplexní právní rámec, který se dotýká marketingu, HR, prodeje, zpracování objednávek a řady dalších procesů. Ignorování kterékoli z nich vás může stát vysokou pokutu i reputační újmu.
  • Pokuta až 20 milionů EUR nebo 4 % ročního obratu není teoretická hrozba: Nejzávažnější porušení GDPR se trestají těmito sumami. Realita evropských úřadů, včetně českého Úřadu pro ochranu osobních údajů (ÚOOÚ), za poslední roky ukazuje, že pokuty nejsou výjimkou, ale běžnou součástí dohledu.
  • Praktické nastavení GDPR eliminuje riziko více než papírové dokumenty: Bezpečnostní audit, revize smluv se zpracovateli, správné nástroje pro získání souhlasu a trasování údajů vám zajistí, že když přijde kontrola, nebudete v defenzivě.
  • Právníci z ARROWS znají jednak teorii, jednak reálné chyby podnikatelů: Nebudete si vytvářet ochranu, která vypadá dobře na papíře, ale nefunguje v praxi, nebo která vás váže do bodu, kdy už nemůžete normálně podnikat.

Proč si společnosti pletou GDPR s papírovými postupy

Nejčastěji jsme svědky toho, že firmy si myslí, že jsou na GDPR připraveny, protože mají:

  • Cookie banner na webu (často nastavený nesprávně)
  • Všeobecné smluvní podmínky s odkazem na zpracování dat
  • Nějaký GDPR soubor v interním doku
  • Slova „GDPR" v návštěvnickém řádu

Ve skutečnosti je to jako si myslet, že máte zdravotně pojištěno, protože máte zdravotnickou knížku, ale nechodíte na prevenci a žijete nezdravě.

GDPR v praxi znamená:

Vědomé mapování toho, jaké údaje zpracováváte, od kdy, pro jaký účel a jak dlouho je uchováváte. Firmy často zjistí, že:

  • Mají staré e-maily od klientů v archívech bez právního důvodu je tam držet.
  • Prodejci si vedou tabulky kontaktů přes osobní e-maily bez správné ochrany.
  • HR oddělení zpracovává údaje týkající se zdraví bez viditelného právního základu a dostatečné úrovně ochrany.
  • Weby sledují chování návštěvníků prostředky, které nejsou řádně dokumentovány a pro něž nemají platný souhlas dle zákona o elektronických komunikacích.

Řetězec odpovědnosti. GDPR neváže povinnost jen na firmu. V případě závažného porušení mohou nést odpovědnost i konkrétní fyzické osoby, které o zpracování rozhodovaly, a to například v rámci přestupkového nebo i trestního řízení podle českých právních předpisů (např. Trestní zákoník, § 180a Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí, § 180 Porušení důvěrnosti individuálních údajů).

Reálná bezpečnostní opatření, ne jen papír. Když přijde Úřad pro ochranu osobních údajů (ÚOOÚ) na kontrolu, nezajímají je jen formální dokumenty. Ptají se, jak zajišťujete bezpečnost údajů v praxi, jak se zachází s přístupem k datům, kdo má přístup do systémů, jak dlouho se zálohují a jak jsou tyto zálohy chráněny.

Kde realita GDPR obvykle zviklá neprávnické řešení

Zpracovatel je jiná právnická nebo fyzická osoba, která zpracovává osobní údaje vaším jménem a na základě vašich pokynů (např. poskytovatel cloudu, payroll společnost, email marketingová platforma, účetní firma). Bez platné smlouvy o zpracování osobních údajů (DPA – Data Processing Agreement) jste v rozporu s čl. 28 GDPR. Pokud se kvůli chybějící nebo nedostatečné DPA dostanete do sporu se zpracovatelem (např. poskytovatelem cloudu či payroll společností), může se hodit podpora v oblasti obchodních a soudních sporů. To ale není jen formalita. K praktickým dopadům nedostatečných smluv a interních procesů (včetně komunikace se zákazníky) se vztahuje i článek Papírové obchodní nabídky ve firmách: Kdy může marketingová komunikace představovat právní riziko.

Právníci z ARROWS vidí běžně situace, kdy: firma má smlouvu s cloudovým poskytovatelem, ale DPA vůbec není součástí nebo je zcela nedostatečná.

  • DPA existuje, ale neobsahuje povinnosti zpracovatele zajistit odpovídající technická a organizační bezpečnostní opatření, včetně možnosti provedení bezpečnostního auditu.
  • Mezi společností a zpracovatelem se měnily procesy, ale smlouva o zpracování se neaktualizovala.
  • V DPA chybí jasná pravidla pro případ porušení zabezpečení osobních údajů (tzv. data breach).

Absence nebo neúplná DPA představuje závažné porušení GDPR, za které může být uložena pokuta až do výše 20 milionů EUR nebo 4 % celkového ročního obratu, a to bez ohledu na to, zda došlo k přímému porušení práv subjektů údajů. ÚOOÚ klade na řádnou DPA velký důraz. V praxi se vyplatí nechat si nastavení smluv se zpracovateli a interních pravidel zkontrolovat v rámci služby gdpr.

Právní základy a souhlas – měkké místo

Mnoho firem si myslí, že stačí obecný souhlas („Souhlasím se zpracováním osobních údajů").

GDPR rozlišuje mezi šesti různými právními základy pro zpracování osobních údajů (čl. 6 a 9 GDPR):

  • Souhlas – musí být výslovný, informovaný, konkrétní, svobodný a jednoznačný. Může být kdykoli odvolán.
  • Plnění smlouvy – zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů.
  • Právní povinnost – zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (např. daňové deklarace, pracovněprávní povinnosti).
  • Ochrana životně důležitých zájmů – zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (výjimečné případy, např. nouzové situace).
  • Veřejný zájem nebo výkon veřejné moci – zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen (pouze pro orgány veřejné moci).
  • Oprávněné zájmy – zpracování je nezbytné pro účely oprávněných zájmů správce nebo třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů. Tento základ vyžaduje provedení tzv. balančního testu.

Pokud si zvolíte špatný právní základ, je to porušení – i když máte souhlas, ale ve skutečnosti jste měli použít například základ „plnění smlouvy". Zdá se to jako nuance, ale ÚOOÚ ji hlídá a správná volba právního základu je pro soulad s GDPR klíčová.

Práva subjektů údajů – co když se ozvou vaši klienti?

GDPR dává jednotlivcům řadu práv (čl. 12-22 GDPR), která musí správce údajů být schopen efektivně naplnit:

  • Právo na přístup ke svým osobním údajům a informacím o jejich zpracování.
  • Právo na opravu nepřesných nebo neúplných údajů.
  • Právo na výmaz („právo být zapomenut") za určitých podmínek.
  • Právo na omezení zpracování.
  • Právo na přenositelnost údajů k jinému správci.
  • Právo vznést námitku proti zpracování.
  • Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování, které má právní účinky nebo je významně ovlivňuje.

Firmy, které nejsou připraveny na takový požadavek, se často dostávají do situace, kdy neví, kde všude jsou údaje uloženy (včetně záloh, archívů, externích služeb).

  • Nemohou garantovat, že dodrží zákonnou lhůtu na odpověď (jeden měsíc, prodloužitelná o další dva měsíce v závislosti na složitosti a počtu žádostí, tedy maximálně 90 dní).
  • Nemohou bezpečně vydat údaje bez rizika vyzrazení údajů jiných osob.
  • Odstraní údaje z hlavního systému, ale zapomenou na zálohy, kde údaje stále existují.

Každé prodlení nebo odmítnutí bez řádného důvodu je porušením.

Související dotazy: Právní základy a práva subjektů

1. Musím mít souhlas každého, kdo má e-mail, abych mu mohl poslat obchodní nabídku?
Záleží. Pokud máte osobu jako existujícího klienta a zasíláte jí obchodní informace o podobných produktech nebo službách, může se opírat o právní základ „oprávněného zájmu" dle § 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti, za předpokladu, že se osoba může snadno a bezplatně odhlásit. Nový kontakt bez souvisejícího vztahu však vyžaduje výslovný souhlas. Právníci z ARROWS vám pomohou určit, který právní základ je pro vaši situaci nejrozumnější a v souladu s právními předpisy.

2. Co dělat, když nás kontaktuje osoba a chce své údaje?
Musíte odpovědět do jednoho měsíce od obdržení žádosti. V odůvodněných případech (složitost, počet žádostí) lze tuto lhůtu prodloužit o další dva měsíce, ale musíte o tom subjekt údajů informovat do jednoho měsíce spolu s důvody prodloužení. Pokud údaje máte v řadě systémů, měli byste to vědět předem a mít proces, jak to zvládat. Právníci z ARROWS mohou připravit interní postup a zajistit, aby lhůty byly dodrženy.

3. Je bezpečnější prostě poslat všem mailem „Kdo si nepřeje dostávat nabídky, ať se odhlásí"?
Ne. Tím porušujete zákon č. 480/2004 Sb. a GDPR. Takovým přístupem jste pravděpodobně předpokládali základ „oprávněných zájmů" nebo „souhlas" bez řádné předchozí informace nebo získání souhlasu. Direktní marketing je povolen pouze na základě předchozího souhlasu příjemce nebo existence předchozího obchodního vztahu za přísně definovaných podmínek. Důsledky mohou být značné.

Bezpečnostní opatření a pracovníci – kde mohou věci jít špatně

Jedním z nejčastějších porušení je nedostatečné řízení přístupu k údajům uvnitř firmy, což spadá pod princip integrity a důvěrnosti dle čl. 5 odst. 1 písm. f) GDPR.

Typická situace:

  • Recepční má přístup do systému se všemi údaji klientů, ale potřebuje znát jen ty z konkrétní objednávky.
  • HR pracovnice má přístup do cloudu s daty mezd všech zaměstnanců jen proto, aby si tam uložila osobní soubory.
  • Bývalí zaměstnanci, kteří odešli z firmy, mají stále aktivní přístupy do některých systémů.
  • Účetní má přístup přes heslo, které sdílí s asistentkou.

GDPR požaduje (čl. 32 GDPR) minimalizaci dat a přístupu, auditování a udržování, a šifrování citlivých údajů.

  • Minimalizaci dat – zpracovávejte jen ty osobní údaje, které jsou nezbytné pro daný účel.
  • Minimalizaci přístupu – každý uživatel má mít přístup jen k těm datům a systémům, které nezbytně potřebuje pro výkon své pracovní činnosti (princip „need-to-know“).
  • Auditovat a udržovat – vést záznamy o tom, kdo má k čemu přístup, a tyto přístupy pravidelně kontrolovat a aktualizovat (zejména při odchodu zaměstnanců).
  • Zašifrovat citlivé údaje – zajistit odpovídající šifrování citlivých osobních údajů (např. údajů o zdraví) a pseudonymizaci či anonymizaci dalších údajů, zvláště při přenosu či archivaci, kde je to vhodné a technicky proveditelné.

Bez těchto opatření je společnost zranitelná vůči:

  • Vnitřní neopatrnosti (někdo si omylem odnese údaje mimo firmu nebo je zveřejní).
  • Zaměstnancům s nečestným záměrem.
  • Kybernetickým útokům – pokud útočníci najdou nedostatečné bezpečnostní opatření, odpovídáte za porušení GDPR stejně, jako by to udělal nečestný zaměstnanec.
Související dotazy: Bezpečnost a přístup

1. Pokud nás napadne hacker a ukradne si údaje, jsme my viníky vůči klientům?
Záleží. GDPR klade důraz na přiměřenost technických a organizačních opatření. Pokud jste měli zavedena odpovídající bezpečnostní opatření dle čl. 32 GDPR a i tak došlo k úniku, můžete se bránit. Pokud ne (např. žádné šifrování, slabá hesla, nedostatečný firewall, chybějící pravidelné aktualizace systémů), odpovídáte za porušení GDPR a navíc často také za porušení povinnosti chránit osobní údaje. ÚOOÚ při posuzování bere v úvahu, zda jste udělali vše, co bylo rozumně možné. Právníci z ARROWS vám pomohou zajistit, aby vaše opatření byla dokumentovaná a věrohodná.

2. Jaké údaje jsou nejčastěji ohroženy kybernetickými útoky? Měl bych je šifrovat speciálně?
Nejčastěji ohroženy jsou údaje, které mají vysokou hodnotu na černém trhu: e-maily, telefonní čísla, přihlašovací údaje, finanční údaje, zdravotnické údaje a údaje o dětech. Všechny osobní údaje by měly být chráněny odpovídajícími bezpečnostními opatřeními. Zvláštní kategorie osobních údajů (např. o zdraví, rasovém původu, politických názorech apod.) vyžadují vyšší úroveň ochrany dle čl. 9 GDPR. Právníci z ARROWS vám pomohou provést bezpečnostní audit a identifikovat, kde je nutné soustředit největší úsilí.

Audit a implementace – kde se rozhoduje o skutečné ochraně

Mnoho firem potkáme v situaci, kdy jim právě začala kontrola ÚOOÚ.

V tu chvíli zjišťují, že nemají přehled o tom, kde všude jsou jejich osobní údaje uloženy.

  • Nemohou prokázat zavedení odpovídajících technických a organizačních bezpečnostních opatření.
  • Nemohou najít právní oporu pro to, co dělají (chybí právní základ pro zpracování).
  • Jejich smlouvy se třetími stranami (zpracovateli) nejsou v souladu s GDPR.

Správný postup pro dosažení a udržení souladu s GDPR zahrnuje:

  • Mapování – důkladná inventarizace a mapování všech procesů zpracování osobních údajů (jaké údaje máte, kde jsou, jak dlouho je uchováváte, pro co je používáte).
  • Právní analýza – určení správných právních základů pro každý typ zpracování a posouzení souladu s ostatními principy GDPR.
  • Smlouvání – revize a úprava smluv se zpracovateli a třetími stranami tak, aby odpovídaly požadavkům čl. 28 GDPR.
  • Bezpečnost – audit stávajících technických a organizačních bezpečnostních opatření, identifikace slabých míst a implementace doporučených změn, včetně řádné dokumentace.
  • Procesy – nastavení interních procesů pro práci s požadavky subjektů údajů, hlášení porušení zabezpečení osobních údajů (data breach), a interní audit.
  • Školení – pravidelné a cílené školení zaměstnanců, aby věděli, co dělat, jaké jsou jejich povinnosti a jak správně s osobními údaji nakládat.

Právníci z ARROWS provádějí tuto práci metodicky, na základě nejnovějších poznatků z praxe ÚOOÚ a Evropského sboru pro ochranu osobních údajů (EDPB). Rozdíl mezi „papírovým" GDPR a skutečně funkčním GDPR se projeví právě při kontrole.

Možné problémy

Jak pomáhá ARROWS (office@arws.cz)

Absence smluv se zpracovateli (DPA) – Porušení čl. 28 GDPR, riziko vysoké pokuty (až 20 mil. EUR nebo 4 % ročního obratu), podlomená legitimita zpracování, riziko zablokování služby.

Revize všech vztahů s poskytovateli služeb, příprava a vyjednání DPA dle čl. 28 GDPR, zajištění, aby smlouva obsahovala všechny zákonné náležitosti, včetně bezpečnostních povinností a práva na audit.

Nejasné právní základy – Zpracování bez jasného důvodu vede k porušení čl. 6 nebo čl. 9 GDPR, potenciální vysoké pokutě a nemožnosti se bránit při kontrole.

Právní audit všech procesů zpracování, mapování dat, určení správného právního základu pro každý typ zpracování, návrh nových postupů a dokumentace k doložení souladu.

Nedostatečná bezpečnostní opatření – Porušení čl. 32 GDPR, chyba v zabezpečení vede k úniku dat, který si všimnou klienti i regulátor; hrozí vysoká pokuta za porušení bezpečnosti navíc k reputační újmě.

Bezpečnostní audit z právního hlediska, doporučení konkrétních technických a organizačních opatření, pomoc s dokumentací těchto opatření, školení zaměstnanců, příprava plánu pro případ porušení zabezpečení (data breach).

Neschopnost splnit požadavky subjektů – Porušení čl. 12-22 GDPR, zpoždění či nezpracování požadavku na výmaz, přístup nebo přenositelnost vede k pokutě a reputační újmě.

Nastavení interních procesů a formulářů pro příjem a zpracování žádostí subjektů údajů, školení týmu, příprava procedur pro včasnou a řádnou reakci na požadavky, zajištění, aby údaje byly dohledatelné a přístupné pro účely plnění těchto práv.

Absence politiky a dokumentace – Porušení principu odpovědnosti (čl. 5 odst. 2 GDPR), během inspekce nelze prokázat soulad; regulátor vnímá jako ignorování GDPR.

Příprava komplexní privacy politiky, GDPR manuálu, evidence činností zpracování (dle čl. 30 GDPR), záznamů o souhlasu a dalších interních dokumentů, které prokáží řádné a transparentní zpracování osobních údajů.

Závěrečné shrnutí

GDPR není právním cvičením – je to hmatatelná a denně platná povinnost, kterou musíte splňovat a kterou si regulátor skutečně ověřuje. Firmy, které si myslí, že je GDPR jen o web banneru a papírech, si to obvykle uvědomují, až když dostanou výzvu k inspekci nebo když dojde k porušení zabezpečení.

Skutečná ochrana dat znamená vědomě zmapovat, co zpracováváte a proč, mít právní oporu pro každou činnost zpracování a zajistit bezpečnost v praxi, nikoli jen na papíře.

Není to složité – ale není to ani triviální. Rozdíl mezi firmou, která si řekne „koupíme si GDPR šablonu" a mezi firmou, která si nechá GDPR prakticky nastavit právníkem, se projeví právě při kontrole. Jedna bude v defenzivě, druhá bude moct s klidným svědomím říci, že je připravena.

Pokud si nejste jisti, zda je vaše příprava dostatečná, nebo pokud nechcete riskovat pokuty, přesun dat, reputační újmu nebo právní spor s vašimi klienty, je nejbezpečnější řešení svěřit GDPR právníkům z ARROWS advokátní kanceláře. Rádi vám pomohou otevřít oči na to, co opravdu dělat musíte – a co už je v pořádku. Kontaktujte nás na office@arws.cz a domluvme si vstupní analýzu.

FAQ: GDPR a ochrana dat

1. Jaký je reálný důsledek, když něco v GDPR porušíme?
Záleží na závažnosti, rozsahu a dopadu porušení. Pokuty podle GDPR mohou dosáhnout až 20 milionů EUR nebo 4 % celkového ročního obratu celosvětově, a to podle toho, která hodnota je vyšší. Dále hrozí reputační újma (ztráta důvěry klientů a obchodních partnerů), soudní spory od postižených subjektů údajů (právo na náhradu újmy) a případně další správní či trestní sankce dle národních předpisů. Právníci z ARROWS vám pomohou určit vaši pozici a jak ji posílit na office@arws.cz.

2. Jak často máme být připraveni na kontrolu?
ÚOOÚ provádí kontroly cyklicky, ale také reaguje na podněty od fyzických osob, stížnosti nebo se zaměřuje na cílená témata. Nelze přesně předvídat, kdy kontrola přijde, proto by firmy, které zpracovávají osobní údaje, měly být připraveny kdykoli. Správný přístup: připravte se jednou pořádně, poté udržujte pořádek a soulad pravidelnou revizí. To je mnohem levnější a efektivnější než řešení krizových situací během inspekce.

3. Musíme si kupovat speciální software na správu GDPR?
Ne vždy. Záleží na vaší velikosti, složitosti zpracování a množství dat. Velká korporace s desítkami tisíc osobních údajů a složitými procesy může mít ze specializovaného softwaru prospěch. Pro menší firmu však často postačí správně nastavené interní procesy, dokumentace a využití standardních nástrojů. Právníci z ARROWS vám pomohou určit, co je pro vás optimální, aby vám implementace softwaru nepřinášela zbytečné náklady.

4. Co když jsem obchodní společnost a mám klienty mimo EU?
GDPR má extrateritoriální působnost. Pokud poskytujete služby osobám nacházejícím se v Evropské unii nebo sledujete jejich chování v EU (např. prostřednictvím webových stránek), pak se na vás GDPR vztahuje, a to bez ohledu na to, kde má vaše společnost sídlo. Naopak, pokud máte pobočku v EU a zpracováváte údaje EU rezidentů, GDPR vám platí. Pokud máte zahraniční klienty mimo EU a vůbec je nesledujete ani jim nenabízíte služby v EU, GDPR se jich netýká, nicméně se na vás vztahuje pro vaše vlastní zaměstnance a EU klienty. Právníci z ARROWS vám pomohou zmapovat, co je vaše odpovědnost; pokud je situace komplexní, využijeme síť ARROWS International pro globální poradenství.

5. Jak dlouho musíme uchovávat údaje?
Osobní údaje smíte uchovávat jen tak dlouho, jak je to nezbytné pro účel, pro který byly shromážděny, a po splnění účelu by měly být vymazány nebo anonymizovány (čl. 5 odst. 1 písm. e) GDPR – princip omezení uložení). Neexistuje univerzální lhůta – záleží na konkrétním účelu zpracování (např. plnění smlouvy, zákonné povinnosti, oprávněný zájem, marketing atp.) a příslušných právních předpisech (např. daňové a účetní předpisy, zákoník práce). Mnoho firem si mylně myslí, že mají právo archivovat vše „pro jistotu" – nemají. Právníci z ARROWS vám pomohou nastavit správné retenční lhůty pro jednotlivé typy údajů.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také