Probíhající vzdělávací akce v ARIONu: Nabídka ZDE

232 000 330

TEAMVIEWER

HELPDESK

Sdílejte:

Nejčastější chyby firem v oblasti GDPR v roce 2025

Reálné příklady selhání a praktické rady, jak se jim vyhnout

Publikováno: 24. 07. 2025
General,Data,Protection,Regulation.,Text,Gdpr,On,Blue,Keyboard,Button,

Přestože od zavedení nařízení GDPR uplynulo už několik let, firmy v Česku i jinde v EU stále narážejí na opakující se chyby. Často nejde o zlomyslnost nebo snahu pravidla obejít, ale spíš o přehlédnutí povinností nebo podcenění rizik. V tomto článku se podíváme na některé konkrétní přešlapy, které firmy v roce 2025 nejčastěji dělají – a hlavně na to, jak se jim dá poměrně jednoduše předejít. 

1. Špatně nastavené zpracovatelské smlouvy

Reálný příklad: 

Menší e-shop spolupracoval s externí účetní firmou, která zpracovávala faktury a mzdy. Vztah měli podložený pouze obecnou obchodní smlouvou, nikoli řádnou zpracovatelskou smlouvou podle čl. 28 GDPR. Při kontrole ÚOOÚ firma nedokázala doložit, že účetní zpracovává data podle jejich pokynů a že má dostatečné záruky ochrany dat. Výsledkem byla pokuta ve výši 80 000 Kč. 

Jak tomu předejít: 

  • Vždy uzavírejte se zpracovatelem (např. účetní, IT firma, marketingová agentura) zpracovatelskou smlouvu podle čl. 28 GDPR. 
  • Ujistěte se, že smlouva jasně stanoví účel, rozsah a dobu zpracování, typy osobních údajů, kategorie subjektů údajů a zabezpečení dat. 
  • Nezapomeňte, že odpovědnost za výběr vhodného zpracovatele je vždy na vás jako správci dat. 
podpis smlouvy
záznamy

2. Absence záznamů o činnostech zpracování

Reálný příklad: 

Středně velká IT firma, která provozuje několik interních systémů a pracuje s osobními údaji klientů i zaměstnanců, při auditu nebyla schopna předložit žádný ucelený dokument, který by popisoval, jaké osobní údaje zpracovává, za jakým účelem, na jakém právním základě, a kdo k nim má přístup. Tvrdili, že informace mají pouze v hlavě nebo v neformální tabulce. Úřad to neakceptoval. 

Jak tomu předejít: 

  • Vypracujte si přehledný záznam o činnostech zpracování – nejlépe v tabulkové podobě nebo v interním nástroji, který používáte pro správu dokumentace. 
  • V záznamu musí být alespoň: účel zpracování, právní titul, kategorie údajů, kategorie subjektů údajů, příjemci údajů a doba uchování. 
  • Záznam pravidelně aktualizujte – ideálně jednou ročně nebo při každé významnější změně systému. 

3. Nedostatečné školení zaměstnanců

Reálný příklad: 

Zaměstnanec personálního oddělení odeslal omylem citlivé informace o zdravotním stavu uchazeče o práci všem zaměstnancům firmy v hromadném e-mailu. Vysvětlení? „Nevěděl jsem, že je to problém. Bral jsem to jako běžné info.“ Firma nikdy neškolila zaměstnance v ochraně osobních údajů, a to ani po nástupu GDPR. 

Jak tomu předejít: 

  • Školení nemusí být složité ani drahé – stačí 1–2x ročně krátký e-learning nebo workshop, ideálně přizpůsobený konkrétní roli (jiné téma pro HR, jiné pro IT, jiné pro obchodníky). 
  • Školení by mělo zahrnovat i konkrétní příklady z praxe a doporučené postupy při incidentu. 
  • Uchovávejte záznamy o proškolení zaměstnanců – může se vám to hodit při kontrole. 
učebna
chyby

Další časté chyby, na které se zapomíná:

  • Chybějící nebo neaktuální informace o ochraně osobních údajů na webových stránkách. 
  • Nevyřízené žádosti subjektů údajů (např. o výmaz nebo přístup k údajům) – často z neznalosti nebo zmatku, komu žádost vlastně přišla. 
  • Příliš široká práva k osobním údajům ve firmě – např. všichni zaměstnanci mají přístup ke všem klientským údajům bez omezení. 
  • Slabá technická ochrana dat – např. hesla sdílená v Excelu, žádné šifrování notebooků, otevřený přístup do databází. 

Shrnutí a doporučení

Většina GDPR přešlapů plyne z podcenění pravidel a absence systémového přístupu. Přitom základy se dají zavést i bez složitého právního jazyka a vysokých nákladů: 

  1. Zmapujte si všechny procesy, kde pracujete s osobními údaji. 
  2. Sepište záznamy o činnostech zpracování. 
  3. Uzavřete zpracovatelské smlouvy se všemi externími firmami, které mají k datům přístup. 
  4. Pravidelně školte zaměstnance a udělejte z ochrany dat běžnou součást firemní kultury. 
  5. Nastavte si odpovědnosti – ideálně určete osobu nebo tým, který bude agendu GDPR hlídat. 
 

Neváhejte nás kontaktovat – ať už potřebujete školení, pomoc s přípravou zpracovatelských smluv, mapováním dat nebo tvorbou interních směrnic. Jsme tu pro vás jako partner pro komplexní podporu v oblasti ochrany osobních údajů a compliance. 

Starší příspěvky:

Arion_2025_Nahled-newsletter-web_fortinet

Kybernetická bezpečnost pro firmy

Každý den čelí firmy, jako ta vaše, novým kybernetickým hrozbám – od ransomwaru přes phishing až po útoky na cloudové

Číst více
Zero,Trust,Security,Concept,Is,Shown,Using,A,Text

Zero Trust model

V posledních letech jsme svědky dramatických změn v tom, jak firmy i jednotlivci přistupují k zabezpečení svých IT systémů. Rychlý nástup cloudových služeb,

Číst více
Person,Using,A,Laptop,Computer,And,Light,Bulbs,-,Collage

Windows 365

Windows 365 je služba od Microsoftu, která umožňuje streamovat celé prostředí operačního systému Windows, a to včetně aplikací, nastavení a souborů –

Číst více

Nejčastější chyby firem v oblasti GDPR v roce 2025

General,Data,Protection,Regulation.,Text,Gdpr,On,Blue,Keyboard,Button,

Přestože od zavedení nařízení GDPR uplynulo už několik let, firmy v Česku i jinde v EU stále narážejí na opakující se chyby. Často nejde o zlomyslnost nebo snahu pravidla obejít, ale spíš o přehlédnutí povinností nebo podcenění rizik. V tomto článku se podíváme na některé konkrétní přešlapy, které firmy v roce 2025 nejčastěji dělají – a hlavně na to, jak se jim dá poměrně jednoduše předejít. 

1. Špatně nastavené zpracovatelské smlouvy

Reálný příklad: 

Menší e-shop spolupracoval s externí účetní firmou, která zpracovávala faktury a mzdy. Vztah měli podložený pouze obecnou obchodní smlouvou, nikoli řádnou zpracovatelskou smlouvou podle čl. 28 GDPR. Při kontrole ÚOOÚ firma nedokázala doložit, že účetní zpracovává data podle jejich pokynů a že má dostatečné záruky ochrany dat. Výsledkem byla pokuta ve výši 80 000 Kč. 

Jak tomu předejít: 

  • Vždy uzavírejte se zpracovatelem (např. účetní, IT firma, marketingová agentura) zpracovatelskou smlouvu podle čl. 28 GDPR. 
  • Ujistěte se, že smlouva jasně stanoví účel, rozsah a dobu zpracování, typy osobních údajů, kategorie subjektů údajů a zabezpečení dat. 
  • Nezapomeňte, že odpovědnost za výběr vhodného zpracovatele je vždy na vás jako správci dat. 
podpis smlouvy
záznamy

2. Absence záznamů o činnostech zpracování

Reálný příklad: 

Středně velká IT firma, která provozuje několik interních systémů a pracuje s osobními údaji klientů i zaměstnanců, při auditu nebyla schopna předložit žádný ucelený dokument, který by popisoval, jaké osobní údaje zpracovává, za jakým účelem, na jakém právním základě, a kdo k nim má přístup. Tvrdili, že informace mají pouze v hlavě nebo v neformální tabulce. Úřad to neakceptoval. 

Jak tomu předejít: 

  • Vypracujte si přehledný záznam o činnostech zpracování – nejlépe v tabulkové podobě nebo v interním nástroji, který používáte pro správu dokumentace. 
  • V záznamu musí být alespoň: účel zpracování, právní titul, kategorie údajů, kategorie subjektů údajů, příjemci údajů a doba uchování. 
  • Záznam pravidelně aktualizujte – ideálně jednou ročně nebo při každé významnější změně systému. 

3. Nedostatečné školení zaměstnanců

Reálný příklad: 

Zaměstnanec personálního oddělení odeslal omylem citlivé informace o zdravotním stavu uchazeče o práci všem zaměstnancům firmy v hromadném e-mailu. Vysvětlení? „Nevěděl jsem, že je to problém. Bral jsem to jako běžné info.“ Firma nikdy neškolila zaměstnance v ochraně osobních údajů, a to ani po nástupu GDPR. 

Jak tomu předejít: 

  • Školení nemusí být složité ani drahé – stačí 1–2x ročně krátký e-learning nebo workshop, ideálně přizpůsobený konkrétní roli (jiné téma pro HR, jiné pro IT, jiné pro obchodníky). 
  • Školení by mělo zahrnovat i konkrétní příklady z praxe a doporučené postupy při incidentu. 
  • Uchovávejte záznamy o proškolení zaměstnanců – může se vám to hodit při kontrole. 
učebna
chyby

Další časté chyby, na které se zapomíná:

  • Chybějící nebo neaktuální informace o ochraně osobních údajů na webových stránkách. 
  • Nevyřízené žádosti subjektů údajů (např. o výmaz nebo přístup k údajům) – často z neznalosti nebo zmatku, komu žádost vlastně přišla. 
  • Příliš široká práva k osobním údajům ve firmě – např. všichni zaměstnanci mají přístup ke všem klientským údajům bez omezení. 
  • Slabá technická ochrana dat – např. hesla sdílená v Excelu, žádné šifrování notebooků, otevřený přístup do databází. 

Shrnutí a doporučení

Většina GDPR přešlapů plyne z podcenění pravidel a absence systémového přístupu. Přitom základy se dají zavést i bez složitého právního jazyka a vysokých nákladů: 

  1. Zmapujte si všechny procesy, kde pracujete s osobními údaji. 
  2. Sepište záznamy o činnostech zpracování. 
  3. Uzavřete zpracovatelské smlouvy se všemi externími firmami, které mají k datům přístup. 
  4. Pravidelně školte zaměstnance a udělejte z ochrany dat běžnou součást firemní kultury. 
  5. Nastavte si odpovědnosti – ideálně určete osobu nebo tým, který bude agendu GDPR hlídat. 
 

Neváhejte nás kontaktovat – ať už potřebujete školení, pomoc s přípravou zpracovatelských smluv, mapováním dat nebo tvorbou interních směrnic. Jsme tu pro vás jako partner pro komplexní podporu v oblasti ochrany osobních údajů a compliance. 

Sdílet aktualitu:

Nejnovější příspěvky

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.
REGISTROVAT NEWSLETTER

Copyright 2025 © ARION spol. s r.o.     |     Líbí se vám náš web? Můžeme vytvořit web i Vám