GDPR kontroly v praxi: jak probíhá šetření od ÚOOÚ

Obáváte se kontroly od Úřadu pro ochranu osobních údajů? V tomto článku se dozvíte přesný postup šetření ÚOOÚ, jaká máte práva jako kontrolovaná osoba a jak se vyhnout pokutám, které mohou dosáhnout až 351 milionů korun. Právníci ARROWS vám pomohou připravit se na kontrolu i úspěšně ji zvládnout.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.

Co je ÚOOÚ a jaké má pravomoci při kontrolách GDPR

Úřad pro ochranu osobních údajů (ÚOOÚ) je ústředním správním orgánem České republiky, který dohlíží na dodržování pravidel ochrany osobních údajů stanovených nařízením GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Disponuje širokými vyšetřovacími a nápravnými pravomocemi, které mu umožňují nejen kontrolovat, ale také efektivně vymáhat dodržování předpisů.

Podle článku 58 GDPR má ÚOOÚ právo nařídit správci i zpracovateli poskytnutí veškerých informací potřebných k plnění svých úkolů, provádět vyšetřování formou auditů ochrany údajů, získat přístup ke všem osobním údajům a vstupovat do všech prostor, kde správce nebo zpracovatel působí. V roce 2024 udělil ÚOOÚ rekordní pokutu ve výši 351 milionů Kč společnosti Avast Software za neoprávněné zpracování osobních údajů přibližně 100 milionů uživatelů.

Právníci ARROWS denně řeší případy spojené s GDPR compliance a zastupují klienty při kontrolách ÚOOÚ. Pro okamžité řešení vaší situace nám napište na office@arws.cz. 

Jakým způsobem ÚOOÚ zahajuje kontrolu

ÚOOÚ může zahájit kontrolu několika způsoby. Nejčastěji dochází k doručení oznámení o zahájení kontroly spolu s pověřením ke kontrole prostřednictvím datové schránky nebo poštou. Alternativně může být kontrola zahájena předložením pověření přímo na místě při zahájení kontrolního úkonu.

Oznámení o zahájení kontroly obsahuje vymezení předmětu kontroly, složení kontrolního týmu a obvykle první soubor otázek a požadavků. Termín ústního jednání a místního šetření se oznamuje zpravidla nejméně 14 dní předem, aby kontrolovaná osoba měla dostatek času na přípravu.

Kontrolu může ÚOOÚ zahájit na základě:

• Stížností a podnětů od subjektů údajů (v roce 2024 obdržel ÚOOÚ celkem 2 288 stížností)
• Vlastních poznatků z monitoringu veřejného prostoru
• Ročního kontrolního plánu, který je veřejně dostupný
• Koordinovaných evropských akcí (tzv. Coordinated Enforcement Framework)

Pozor: Stížnost subjektu údajů automaticky neznamená zahájení kontroly. ÚOOÚ často nejprve zasílá tzv. „varovný dopis" správci s výzvou k nápravě.

Rizika a sankce	Jak pomáhá ARROWS (office@arws.cz)
Neohlášené zahájení kontroly – nepřipravenost na požadavky inspektorů	Příprava interní dokumentace a směrnic GDPR
Nesprávné nebo neúplné odpovědi na dotazy ÚOOÚ	Právní konzultace a zastupování při komunikaci s úřadem
Absence pověřence pro ochranu osobních údajů (DPO)	Poradenství při jmenování DPO nebo zajištění externího pověřence
Nezabezpečené osobní údaje	Revize a návrh technických a organizačních opatření
Porušení práv subjektů údajů	Příprava procesů pro vyřizování žádostí subjektů údajů

Průběh kontroly krok za krokem

Samotná kontrola se řídí zákonem č. 255/2012 Sb., kontrolním řádem, ve spojení s příslušnými ustanoveními GDPR. Kontrolu vykonávají zaměstnanci ÚOOÚ na základě písemného pověření, které musí kontrolované osobě předložit.

Fáze získávání podkladů

Po zahájení kontroly obvykle ÚOOÚ požaduje písemné vyjádření a předložení dokumentů. Kontrolující jsou oprávněni požadovat údaje, dokumenty a věci vztahující se k předmětu kontroly nebo k činnosti kontrolované osoby. Zákon jim umožňuje přístup ke všem informacím nezbytným pro plnění konkrétního úkolu, včetně těch chráněných mlčenlivostí.

Typické časové problémy zahrnují neomluvené zmeškání lhůty nebo absenci jakékoliv komunikace. Řešením je aktivní komunikace s ÚOOÚ – pokud vám termín nevyhovuje, sdělte to kontrolujícím.

Ústní jednání a místní šetření

Ústní jednání slouží k jednodušší komunikaci a kontaktu s osobami provádějícími zpracování osobních údajů. Místní šetření pak umožňuje ověřování informací, kontrolu uložení údajů a přijatých opatření či přístup do informačních systémů.

Při místním šetření jsou typicky přítomni 2–4 kontrolující a jednání trvá řádově několik hodin. Kontrolovaná osoba by měla zajistit přítomnost oprávněné osoby a dostatečného počtu znalých pracovníků.

V advokátní kanceláři ARROWS máme bohaté zkušenosti s přípravou klientů na ústní jednání a místní šetření. Díky našemu portfoliu více než 150 akciových společností a 250 s.r.o. přesně víme, jaké dokumenty a odpovědi ÚOOÚ vyžaduje. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Tato problematika souvisí s naší službou, o které se dočtete více ZDE.

FAQ – Právní tipy k průběhu kontroly ÚOOÚ

1. Mohu odmítnout vstup kontrolujících do prostor firmy?
Nikoliv. Kontrolující mají ze zákona právo vstupovat do staveb, dopravních prostředků a dalších prostor souvisejících s předmětem kontroly. Odmítnutí může být kvalifikováno jako nesplnění povinnosti součinnosti a sankcionováno pokutou až 500 000 Kč. Pokud řešíte podobnou situaci, kontaktujte nás na office@arws.cz. 

2. Jak dlouho trvá kontrola ÚOOÚ?
Délka kontroly se odvíjí od složitosti případu. Může trvat od několika týdnů až po mnoho měsíců. Zásadní vliv má kvalita a rychlost součinnosti kontrolované osoby. Pro urychlení procesu doporučujeme konzultaci s právníky ARROWS – napište na office@arws.cz. 

Jaká máte práva a povinnosti jako kontrolovaná osoba

Práva a povinnosti kontrolované osoby jsou definována kontrolním řádem a jsou vzájemně provázána s právy a povinnostmi kontrolujících.

Základní povinnosti

Kontrolovaná osoba je povinna poskytnout kontrolujícím potřebnou součinnost, vytvořit podmínky pro výkon kontroly a umožnit kontrolujícím výkon jejich oprávnění. Mezi konkrétní povinnosti patří:

• Umožnit vstup do prostor a přístup k dokumentům
• Podat pravdivá a úplná vysvětlení
• Předložit požadované dokumenty ve stanovené lhůtě
• Zajistit podmínky pro výkon kontroly (vhodný prostor, technické prostředky)

Za nesplnění povinností součinnosti lze uložit pokutu až do 500 000 Kč. Důležité je, že zaplacením pokuty povinnost součinit nezaniká.

Základní práva

Kontrolovaná osoba má právo namítat podjatost kontrolujícího, požadovat předložení pověření ke kontrole, seznámit se s obsahem protokolu o kontrole a podávat námitky proti kontrolním zjištěním.

Protokol o kontrole a možnost podání námitek

Výsledkem kontroly je vždy protokol o kontrole, který musí být vyhotoven do 30 dnů od posledního kontrolního úkonu, ve složitých případech do 60 dnů. Protokol obsahuje kontrolní zjištění a je zasílán kontrolované osobě.

Proti kontrolním zjištěním uvedeným v protokolu může kontrolovaná osoba podat písemné námitky do 15 dnů od doručení protokolu. Námitky musí jasně uvádět, proti jakému kontrolnímu zjištění směřují, a musí obsahovat odůvodnění nesouhlasu.

Námitky vyřizuje nadřízená osoba kontrolujícího, přičemž lhůta pro vyřízení může být v případě složitých případů prodloužena o 30 dnů. Vyřízením námitek nebo marným uplynutím lhůty pro jejich podání kontrola končí.

Příprava námitek vyžaduje hlubokou znalost procesních pravidel i věcné problematiky GDPR. Právníci ARROWS jsou připraveni vám pomoci – napište na office@arws.cz. 

Rizika a sankce	Jak pomáhá ARROWS (office@arws.cz)
Promeškání lhůty pro podání námitek	Právní zastoupení a sledování lhůt
Nedostatečně odůvodněné námitky	Příprava právně kvalifikovaných námitek s odkazy na judikaturu
Nezohlednění všech relevantních skutečností	Komplexní právní analýza kontrolních zjištění

Co následuje po ukončení kontroly

Pokud kontrola nezjistí žádná porušení, kontrolovaná osoba obdrží protokol bez negativních zjištění. Pokud jsou zjištěna porušení, může ÚOOÚ:

1. Vyzvat k nápravě – správce dostane možnost sám odstranit zjištěné nedostatky
2. Zahájit správní řízení o uložení opatření k nápravě – ÚOOÚ může nařídit správci uvést zpracování do souladu s GDPR ve stanovené lhůtě
3. Zahájit přestupkové řízení – s možností uložení pokuty

Mezi nápravné pravomoci ÚOOÚ patří mimo jiné udělení napomenutí, nařízení vyhovění žádostem subjektů údajů, uložení dočasného nebo trvalého omezení zpracování včetně jeho zákazu, nebo nařízení výmazu osobních údajů.

Výše pokut za porušení GDPR

Za porušení GDPR může ÚOOÚ uložit pokuty ve dvou kategoriích:

• Až 10 000 000 EUR nebo 2% celkového ročního obratu – za méně závažná porušení
• Až 20 000 000 EUR nebo 4% celkového ročního obratu – za závažná porušení

Podle českého zákona o zpracování osobních údajů lze za některé přestupky uložit pokuty až do 10 000 000 Kč, respektive do 5 000 000 Kč u kvalifikovaných skutkových podstat.

Při stanovení výše pokuty ÚOOÚ zohledňuje kritéria uvedená v článku 83 GDPR, včetně povahy, závažnosti a délky trvání porušení, počtu dotčených subjektů údajů, míry škody či kroků podniknutých ke zmírnění následků.

FAQ – Právní tipy k následkům kontroly

1. Může ÚOOÚ zakázat zpracování osobních údajů?
Ano. ÚOOÚ má pravomoc uložit dočasné nebo trvalé omezení zpracování, včetně jeho úplného zákazu. Jedná se o krajní opatření využívané při závažných porušeních. Pokud vám hrozí takové opatření, neváhejte kontaktovat naši kancelář – office@arws.cz. 

2. Musím po kontrole podat zprávu o nápravě?
Ano, pokud o to kontrolující požádá. Lhůta pro podání zprávy o odstranění nebo prevenci nedostatků je obvykle 60 dnů od ukončení kontroly. Zpráva může obsahovat i popis opatření, která jsou stále ve fázi přípravy. Potřebujete pomoc s přípravou zprávy? Napište na office@arws.cz. 

Na co se ÚOOÚ zaměřuje v roce 2025

ÚOOÚ každoročně zveřejňuje kontrolní plán, který naznačuje priority dozorové činnosti. Pro rok 2025 se ÚOOÚ zaměří zejména na:

Věrnostní programy obchodních řetězců – kontrola, zda souhlasy se zpracováním osobních údajů získané v rámci věrnostních programů splňují požadavky GDPR, zejména zda jsou skutečně svobodné.

Využívání dat z veřejných registrů – banky, pojišťovny a další soukromoprávní uživatelé budou kontrolováni z hlediska nezbytnosti a účelnosti zpracování údajů ze základního registru obyvatel.

Kamerové systémy v dopravních prostředcích – posouzení nezbytnosti kamerového systému, doby uložení záznamů a naplňování práv subjektů údajů.

Rozesílání obchodních sdělení internetovými srovnávači – prověření právních titulů pro zasílání marketingových sdělení.

Právo na výmaz (právo být zapomenut) – v rámci koordinované evropské akce se ÚOOÚ zaměří na implementaci tohoto práva ze strany správců.

Jak se na kontrolu ÚOOÚ připravit

Příprava na kontrolu ÚOOÚ by měla být průběžná, nikoliv reaktivní. Klíčové oblasti, které by měl každý správce pravidelně kontrolovat, zahrnují:

• Záznamy o činnostech zpracování – aktuální přehled všech zpracování osobních údajů dle článku 30 GDPR
• Právní tituly zpracování – pro každou kategorii zpracování musí existovat legitimní právní základ
• Informační povinnost – zda jsou subjekty údajů řádně informovány dle článků 13 a 14 GDPR
• Zpracovatelské smlouvy – písemné smlouvy se všemi zpracovateli osobních údajů
• Bezpečnostní opatření – technická a organizační opatření k ochraně osobních údajů
• Proces vyřizování žádostí subjektů údajů – postupy pro právo na přístup, výmaz, opravu apod.

Advokátní kancelář ARROWS provádí komplexní GDPR audity a připravuje klienty na potenciální kontroly. Díky tomu, že řešíme tuto agendu denně, dokážeme klientům výrazně zkrátit čas přípravy a minimalizovat riziko chyb. Navíc je ARROWS pojištěna na škodu až do 500 000 000 Kč, což pro klienta znamená maximální bezpečnost. Neváhejte se obrátit na naši kancelář – office@arws.cz. 

Rizika a sankce	Jak pomáhá ARROWS (office@arws.cz)
Pokuta až 20 milionů EUR za závažná porušení GDPR	Komplexní GDPR audit a nastavení souladu
Neohlášení data breach ve lhůtě 72 hodin	Příprava procesů pro řešení bezpečnostních incidentů
Absence zpracovatelských smluv	Příprava a revize smluv se zpracovateli osobních údajů
Nedostatečná bezpečnostní opatření	Návrh technických a organizačních opatření k ochraně údajů
Soudní spory se subjekty údajů o náhradu újmy	Zastupování v soudních sporech

Mezinárodní aspekt kontrol a spolupráce dozorových úřadů

V případě přeshraničního zpracování osobních údajů spolupracuje ÚOOÚ s dozorovými úřady ostatních členských států EU prostřednictvím mechanismů stanovených GDPR. Advokátní kancelář ARROWS zajišťuje právní služby i v mezinárodním kontextu díky deset let budované síti ARROWS International a prakticky denně řešíme případy s mezinárodním prvkem.

Pro nadnárodní společnosti je klíčové pochopit, který dozorový úřad je v jejich případě „vedoucím dozorovým úřadem" a jak koordinovat compliance napříč jednotlivými jurisdikcemi. Právníci ARROWS vám pomohou zorientovat se v těchto složitých otázkách. Spojte se s námi na office@arws.cz. 

Proč svěřit přípravu na kontrolu ÚOOÚ odborníkům

Problematika GDPR kontrol je v praxi mnohem složitější, než se na první pohled zdá. Jednotlivé kroky, které vypadají jednoduše, mají skryté výjimky, procesní detaily, návaznosti na další předpisy a rizika, která laik často nevidí. Například:

• Formulace odpovědí na dotazy ÚOOÚ vyžaduje precizní právní argumentaci
• Příprava námitek proti kontrolním zjištěním musí respektovat formální i obsahové požadavky
• Posouzení, zda konkrétní zpracování vyžaduje posouzení vlivu na ochranu osobních údajů (DPIA), je odborně náročné
• Správné nastavení právních titulů zpracování vyžaduje hlubokou znalost judikatury

Advokátní kancelář ARROWS řeší tuto agendu denně a je i partnerem firemních právníků pro řešení specializovaných záležitostí. V našem portfoliu je více než 150 akciových společností, 250 s.r.o. a 50 obcí a krajů. Zakládáme si na rychlosti a vysoké kvalitě.

Pokud nechcete riskovat chyby, škody nebo pokuty v řádech milionů korun, můžete celou věc bezpečně přenechat ARROWS. Stačí kontaktovat naši kancelář na office@arws.cz. 

FAQ – Nejčastější právní dotazy ke kontrolám ÚOOÚ

1. Může ÚOOÚ zahájit kontrolu bez předchozího upozornění?
Ano, kontrola může být zahájena i předložením pověření přímo na místě. Častěji však ÚOOÚ zasílá oznámení o zahájení kontroly předem, aby měla kontrolovaná osoba čas na přípravu podkladů. Pokud jste obdrželi oznámení o kontrole, kontaktujte nás neprodleně na office@arws.cz. 

2. Co dělat, když nesouhlasím se závěry kontroly?
Proti kontrolním zjištěním uvedeným v protokolu o kontrole můžete do 15 dnů od jeho doručení podat písemné námitky. Námitky musí obsahovat jasné vymezení, proti kterému zjištění směřují, a odůvodnění vašeho nesouhlasu. Příprava kvalitních námitek vyžaduje právní expertízu – obraťte se na office@arws.cz. 

3. Mohou být za GDPR porušení pokutováni i jednatelé nebo zaměstnanci?
Ano. ÚOOÚ v minulosti udělil pokutu 1 500 000 Kč fyzické osobě, která jako jediný jednatel společnosti určovala účely a prostředky zpracování osobních údajů a byla tak kvalifikována jako správce. Pokud řešíte otázku osobní odpovědnosti, napište na office@arws.cz. 

4. Jak často ÚOOÚ provádí kontroly?
ÚOOÚ ročně realizuje desítky kontrol, přičemž zhruba polovina je zahájena na základě stížností a polovina podle kontrolního plánu. Počet stížností a podnětů se dlouhodobě pohybuje kolem 2 200–2 300 ročně. Pro preventivní konzultaci nás kontaktujte na office@arws.cz. 

5. Musím mít pověřence pro ochranu osobních údajů (DPO)?
Povinnost jmenovat DPO mají orgány veřejné moci, subjekty provádějící rozsáhlé systematické monitorování osob a subjekty zpracovávající ve velkém rozsahu citlivé údaje. Ostatní subjekty mohou DPO jmenovat dobrovolně. Nejste si jisti, zda se vás povinnost týká? Kontaktujte nás na office@arws.cz. 

6. Do kdy musím ohlásit porušení zabezpečení osobních údajů (data breach)?
Správce musí ohlásit porušení zabezpečení ÚOOÚ bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud jste zaznamenali bezpečnostní incident, neváhejte a kontaktujte nás okamžitě na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.