Rok 2025 byl pro Úřadu pro ochranu osobních údajů (ÚOOÚ) symbolický i prakticky přelomový. Úřad si připomněl 25 let od zahájení své činnosti, zároveň ale vstoupil do období, které je charakteristické prudkým růstem agendy, vyšší složitostí případů a nástupem nových evropských digitálních regulací. Výroční zpráva ukazuje, že ochrana osobních údajů už dávno není izolovanou právní disciplínou. Stále více se propojuje s kybernetickou bezpečností, regulací digitálních platforem, využíváním biometrie, umělou inteligencí, datovou ekonomikou i fungováním veřejné správy.
Co se dozvíte v článku
Nejvýraznějším signálem z celé zprávy je prudký nárůst podání. Úřad loni obdržel 2 514 stížností a 1 340 podnětů. Oproti roku 2024 jde o meziroční nárůst o více než 68 procent, což je nejvyšší hodnota od účinnosti GDPR. Ukazuje se, že ochrana osobních údajů se stala podstatně viditelnějším tématem pro veřejnost, firmy i instituce. Zároveň ale potvrzuje, že ÚOOÚ se dostává pod mimořádný provozní tlak, který se promítá do délky řízení, kapacit pro kontroly i schopnosti reagovat na nové povinnosti.
Zpráva sama připouští, že vedle rostoucího povědomí veřejnosti může na nárůstu podání mít vliv i širší využívání nástrojů umělé inteligence. Jinými slovy, podání je více, jsou často delší, někdy lépe formulovaná, ale zároveň tím rostou nároky na jejich vyhodnocení, právní rozbor i procesní postup.
Biometrie na letišti
Jedním z hlavních témat roku 2025 byly biometrické technologie. Úřad dokončil kontrolu zpracování osobních údajů v souvislosti s provozem kamerového systému na letišti Václava Havla Praha, kde Policie ČR využívala technologii automatického biometrického rozpoznávání obličejů. Šlo o systém, v němž byly obličeje osob zachycených kamerami porovnávány s referenční databází takzvaných zájmových osob. Úřad dospěl k závěru, že předmětné zpracování biometrických údajů bylo v rozporu s čl. 10 trestněprávní směrnice, protože žádné z ustanovení zákona o Policii ČR, na která policie odkazovala, výslovně nestanovilo oprávnění zpracovávat biometrické údaje za účelem jedinečné identifikace fyzické osoby.
V českém prostředí se často vede debata o tom, zda je určitá technologie užitečná, efektivní nebo bezpečnostně přínosná. Výroční zpráva ale připomíná, že z pohledu regulace to nestačí. Pokud jde o zvláštní kategorii osobních údajů a vysoce invazivní zpracování, musí být právní základ nejen obecně dovoditelný, ale výslovný a přesný. Po skončení kontroly Policie ČR informovala Úřad, že k 1. srpnu 2025 byl systém automatického rozpoznávání obličejů na letišti deaktivován a veškeré biometrické údaje smazány. Zpráva současně uvádí, že Vrchní soud v Praze na základě žádosti Policie ČR provoz systému následně usnesením datovaným 30. prosince 2025 povolil. I to je důležitý moment: oblast biometrie se bude dál vyvíjet a nelze očekávat, že půjde o jednorázovou debatu. Jinými slovy, jakékoli nasazení biometrie bude vyžadovat mimořádně pečlivé právní, technické i procesní posouzení.
Stejně výrazně se Úřad věnoval využívání biometrie v docházkových systémech. Kontroly ukázaly, že zaměstnavatelé stále sahají po otiscích prstů nebo snímcích obličeje i tam, kde pro to nemají dostatečně silný důvod. V jednom případě Úřad konstatoval porušení zákona o GDPR, protože zaměstnavatel nedoložil odpovídající právní základ pro zpracování hashů otisků prstů. Argumentace hygienickými podmínkami a požadavkem na přesnou evidenci docházky neobstála, protože stejného účelu bylo možné dosáhnout i méně invazivními prostředky. V dalším případě Úřad konstatoval porušení zásady minimalizace, protože zaměstnavatel vedle biometrického systému zároveň využíval i čipové karty a evidenci na recepci, takže biometrické údaje evidentně nebyly nezbytné.
Kamerové záznamy, logování a auditní stopa
Další důležitou oblastí byly kamerové systémy a záznamová technika ve veřejném sektoru. Úřad provedl kontrolu zpracování osobních údajů v souvislosti s využíváním osobních kamer nošených příslušníky Policie ČR. Kontrola odhalila, že nebylo zajištěno striktní dodržování automatizovaného pořizování záznamů o přístupu, tedy logování, u všech organizačních článků a útvarů ve vztahu k nahrávkám pořízeným prostřednictvím osobních kamer. Prakticky to znamenalo, že mohlo docházet ke zpřístupnění nahrávek bez toho, aby existovaly záznamy o tom, kdo a proč tak činil. To už není jen technická vada. Je to zásadní problém správy přístupů, auditní stopy a schopnosti doložit, že s citlivými daty je nakládáno kontrolovaně a transparentně.
Z pohledu dozorové praxe je čím dál jasnější, že pokud organizace nemá technickou schopnost doložit, kdo k datům přistupoval, proč a na základě jakého oprávnění, vystavuje se zásadnímu riziku.
Chcete dostávat do mailu týdenní přehled článků z CIOtrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Velkou pozornost si zaslouží i případy týkající se zásady minimalizace. ÚOOÚ v roce 2025 ukončil kontrolu obchodního řetězce provozujícího věrnostní program, v jehož registračním formuláři bylo povinné uvádět údaj o pohlaví. Zájemce navíc neměl možnost zvolit neutrální variantu typu „nechci uvádět“ a byl nucen vybírat mezi možnostmi „muž“ a „žena“. Úřad konstatoval porušení zásady minimalizace a současně upozornil, že společnost nevhodně zvolila právní titul zpracování, když se opírala o souhlas, zatímco vztah mezi zákazníkem a provozovatelem věrnostního programu měl ve skutečnosti povahu smluvního vztahu.
To je taková připomínka, byste si uvědomili, že data, která jste si historicky zvykli sbírat „pro jistotu“, nemusí v novém regulatorním prostředí obstát.
Problémy v realitách
Podobně významná byla kontrola v oblasti realitních služeb. Zde Úřad konstatoval porušení zásady minimalizace při shromažďování údajů od zájemců o pronájem nebo koupi nemovitostí. Kontrolovaná osoba požadovala například číslo bankovního účtu, adresu trvalého bydliště, místo narození, rodinný stav nebo kopii občanského průkazu i v situacích, kdy tyto údaje nebyly pro konkrétní účel nezbytné. V jednom z důležitých závěrů Úřad zdůraznil, že příliš obecně nastavené procesy pro zpracování osobních údajů, které nedostatečně rozlišují jednotlivé situace, mohou samy o sobě vést k porušení pravidel.
To je důležité i pro podnikové systémy. Mnoho organizací dnes funguje tak, že si jednou navrhnou univerzální onboardingový nebo registrační proces a ten pak používají plošně pro všechny scénáře. Jenže právě tento „one-size-fits-all“ přístup se z pohledu GDPR stále častěji ukazuje jako problematický. Organizace musí být schopné doložit, proč konkrétní údaj sbírají právě v konkrétním kontextu.
Pokuty, pokuty, pokuty
Výroční zpráva přinesla i několik výrazných rozhodnutí ve správních řízeních. V roce 2025 Úřad zahájil 23 správních řízení a pravomocně ukončil 15 řízení o přestupku. Pravomocně uložil 7 pokut v celkové výši 14 671 000 korun. Z pohledu závažnosti a dopadu vyčnívá několik případů.
Jedním z nich byla pokuta 3 194 000 a 99 000 korun pro dvě společnosti v případu neoprávněného zpřístupnění osobních údajů klientů realitní společnosti jiné společnosti, která jim následně nabízela finanční produkty. Úřad konstatoval, že společnosti nebyly schopny doložit platné souhlasy se zpracováním osobních údajů a neprokázaly splnění informační povinnosti. Tento případ dobře ukazuje, že princip odpovědnosti správce není formální fráze. Správce musí být schopen kdykoli doložit, že zpracování bylo zákonné.
Dalším významným případem byla pokuta 3 740 000 korun uložená Ministerstvu vnitra za opožděnou likvidaci záznamů odposlechů. Úřad dospěl k závěru, že Policie ČR nepřijala dostatečná technická a organizační opatření, která by zajistila včasný přezkum a výmaz záznamů odposlechů v případech, kdy nebyly pro trestní řízení dále relevantní. Jde o mimořádně citlivou oblast, protože odposlech telekomunikačního provozu sám o sobě představuje jeden z nejhrubších zásahů do soukromí. Pokud navíc nefungují kontrolní a výmazové mechanismy, zásah do práv subjektů údajů se dále prohlubuje.
Velmi výrazná byla také pokuta 7 500 000 za neoprávněné nakládání s rodnými čísly. Společnost využívala 427 300 rodných čísel vlastníků nemovitých věcí, aniž by pro to měla některý z právních titulů uvedených v zákoně o evidenci obyvatel a rodných číslech.
Stížností a podnětů přibývá
Zcela zásadní kapitolou výroční zprávy jsou stížnosti a podněty. Jejich rekordní množství není jen číslo, ale i signál změny společenského klimatu. Lidé si více uvědomují svá práva, častěji je uplatňují a zároveň se obracejí na ÚOOÚ v širší škále situací. To zahrnuje například blokace účtů na sociálních sítích, zpracování osobních údajů školami v rámci případových konferencí, využívání dat zaměstnavateli při získávání referencí, spory v rámci bytových družstev a SVJ, vedení údajů v registrech dlužníků nebo zveřejňování osobních údajů influencery, bloggery a dalšími neprofesionálními tvůrci obsahu.
Právě tato rozmanitost ukazuje, že ochrana osobních údajů se stala skutečně průřezovým tématem digitální společnosti. Pro CIO to znamená jediné: už nejde jen o interní bezpečnost databází nebo splnění několika formálních povinností. Organizace musí být připraveny reagovat na žádosti subjektů údajů, umět vysvětlit své procesy, doložit právní tituly, řešit opravy, výmazy, přístupová práva i retenční logiku. A to vše ve chvíli, kdy uživatelé a zákazníci mají stále nižší toleranci vůči nejasnostem.
Zpráva potvrzuje i to, že stále větším tématem je právo na výmaz. V rámci evropské koordinované dozorové akce Coordinated Enforcement Framework 2025 se ÚOOÚ zapojil do dotazníkového šetření zaměřeného na postupy správců při vyřizování žádostí o výmaz osobních údajů. Osloveno bylo dvacet středních a velkých podniků provozujících internetové obchody. Výsledky ukázaly opakující se problémy: nedostatečnou transparentnost vůči subjektům údajů, omezené způsoby podání žádosti, špatnou dohledatelnost informací o postupu při výmazu i nedostatečné školení zaměstnanců, kteří tyto žádosti vyřizují.
Za zvlášť důležité lze považovat zjištění, že největší praktickou výzvou je pro správce samotná technická realizace výmazu ve složitých informačních systémech, zejména ve starších systémech nebo cloudových prostředích. Složitá je i otázka výmazu ve vztahu k zálohám a následné obnově dat. To je přesně oblast, kde se odpovědnost právních týmů a DPO přelévá do odpovědnosti IT architektů, správců aplikací a bezpečnostních specialistů. Právo na výmaz totiž nelze zvládnout jen interní směrnicí. Musí mít reálnou oporu v datové architektuře a provozních postupech.
Pořád to GDRP
Rok 2025 byl silný také v oblasti porušení zabezpečení osobních údajů. Úřad zaznamenal 392 ohlášení podle čl. 33 GDPR. Nejčastější příčinou byla nedbalost, konkrétně 190 případů. Šlo o běžná, ale stále opakující se selhání: zaslání údajů na nesprávnou e-mailovou adresu, chybné založení spisu, ponechání dokumentů ve vozidle, nedostatečnou anonymizaci nebo neodebrání přístupových práv bývalým zaměstnancům. Druhou nejčastější příčinou byly kybernetické útoky, kterých bylo 120. Šlo zejména o phishing, neoprávněné přístupy do systémů a v části případů také ransomware.
Tyto údaje velmi přesně odpovídají tomu, co dnes vidíme v praxi. Největší riziko často nevzniká kvůli exotickým technologiím, ale kvůli kombinaci lidské chyby, slabých procesů a podceněné správy přístupů. Zpráva navíc upozorňuje, že kybernetické útoky jsou stále sofistikovanější, například při manipulaci s údaji na fakturách a QR kódech. Ochrana osobních údajů se tak čím dál zřetelněji propojuje s kyberbezpečností, provozní bezpečností i bezpečnostní kulturou organizací.
Vedle klasické GDPR agendy je pro CIOtrends mimořádně důležitá část výroční zprávy věnovaná novým digitálním agendám. ÚOOÚ se v roce 2025 intenzivně připravoval na kompetence vyplývající z evropských digitálních regulací. Patří sem akt o digitálních službách, akt o digitálních trzích, akt o umělé inteligenci, nařízení o správě dat, nařízení o datech a nařízení o transparentnosti a cílení politické reklamy. Zpráva ukazuje, že Úřad už dnes tuto agendu vnímá jako nedílnou součást své budoucí role, přestože česká implementační legislativa nebyla do konce roku 2025 ve všech případech dokončena.
To je důležité z několika důvodů. Firmy by neměly čekat, až bude přijata poslední národní novela. Trend je zřejmý už nyní. Ochrana osobních údajů se bude stále více prolínat s regulací online platforem, digitální reklamy, sdílení dat, interoperabilitou služeb a umělou inteligencí. Jinými slovy, organizace budou muset řešit compliance ne po jednotlivých „silo“ předpisech, ale ve vzájemně propojeném regulatorním rámci.
Významnou část výroční zprávy tvoří také legislativní aktivity. Úřad v roce 2025 obdržel 219 žádostí o stanovisko a uplatnil 168 souhrnů připomínek. Z hlediska ochrany soukromí byla významná například novelizace občanského soudního řádu, podle níž se od 1. ledna 2026 do sbírky listin katastru nemovitostí místo rozsudků a usnesení nově vkládají pouze výpisy obsahující jen údaje relevantní pro zápis do katastru. Jde o relativně technickou změnu, ale s důležitým dopadem na ochranu soukromí.
Zajímavý je i vývoj v oblasti umělé inteligence. Zákon č. 230/2025 Sb. zahrnul do zákona o zpracování osobních údajů právní úpravu umělé inteligence pro oblast zpracování podle hlavy III. Součástí změn je i právní úprava takzvaného izolovaného systému, tedy systému umělé inteligence pro vzdálenou biometrickou identifikaci fyzických osob v reálném čase. Použití bylo omezeno na šest mezinárodních letišť v ČR. Už samotný fakt, že takto detailní úprava vznikla, ukazuje, jak zásadním tématem se biometrie a AI stávají.
Když se od regulace vrátíme ke kapacitám Úřadu, dostáváme se k jednomu z nejvýraznějších motivů celé zprávy. ÚOOÚ opakovaně upozorňuje, že jeho rezervy jsou vyčerpány ještě před vznikem nových úkolů v oblasti digitální ekonomiky. To není jen interní stesk úřadu. Potvrzuje to i schengenská evaluace, která výslovně uvedla, že nedostatek lidských zdrojů ohrožuje bezpečnost údajů v rozsáhlých evropských informačních systémech. Pro české organizace je to podstatná zpráva. Znamená totiž, že na jedné straně sílí regulatorní očekávání, ale na druhé straně roste tlak na prioritizaci, délku řízení a kapacitní možnosti dozorového orgánu. Výsledkem může být ještě větší důraz na dobře připravenou dokumentaci, samostatnou nápravu, kvalitní interní governance a prevenci.
Výroční zpráva nabízí i zajímavý pohled na provoz Informačního systému ORG, který Úřad provozuje jako součást systému základních registrů. V roce 2025 dosáhl počet operací v IS ORG 2 495 463 570, což představuje meziroční nárůst o 48,37 procenta. Systém úspěšně prošel auditem podle normy ČSN EN ISO/IEC 27001:2023 a nebyl zaznamenán žádný bezpečnostní incident. Přestože jde na první pohled o technickou kapitolu mimo hlavní mediální pozornost, právě ona připomíná, jak klíčová je robustní identitní a referenční infrastruktura státu pro bezpečné fungování digitálních služeb.
Za zmínku stojí také agenda nevyžádaných obchodních sdělení, kterou Úřad v roce 2025 stále vykonával. Obdržel 1 430 stížností a pravomocně ukončil 27 správních řízení s pokutami v celkové výši 12 109 000 Kč. Zvláštní pozornost věnoval e-mailům obsahujícím zálohové faktury za neobjednané služby, často za zápisy do různých katalogových seznamů. I tato část zprávy ukazuje, že digitální prostředí se rychle mění, ale základní problém zůstává stejný: pokud chybí transparentnost, legitimní právní základ a férový vztah k adresátovi, bude regulatorní zásah tvrdý.
Co si z celé výroční zprávy odnést v prostředí enterprise IT a digitálního managementu? Především to, že ochrana osobních údajů už není jen vrstvou nad byznysem a technologiemi. Je přímo uvnitř nich. Týká se návrhu formulářů, architektury systémů, přístupových práv, datových toků, retention politik, zákaznických programů, marketingu, AI modelů, videoanalytiky i interních provozních nástrojů. Rok 2025 ukázal, že ÚOOÚ se dívá nejen na to, zda správce nějakou povinnost formálně splnil, ale jestli je schopen obhájit celý životní cyklus dat a přiměřenost svého přístupu.
Druhá zásadní lekce je, že invazivnější technologie budou pod stále přísnějším dohledem. Biometrie, rozsáhlé kamerové systémy, automatizované rozhodování, profilování nebo využívání AI v citlivých kontextech už nelze nasazovat s tím, že právní zdůvodnění se doplní později. Naopak: regulace očekává, že právě nejrizikovější systémy budou od začátku navrženy s důsledným ohledem na proporcionalitu, minimalizaci, auditovatelnost a jasnou odpovědnost.
A třetí lekce je organizační. V prostředí rostoucí regulatorní složitosti nestačí spoléhat na to, že ochranu osobních údajů „ohlídá právní oddělení“ nebo externí DPO. Správa dat, bezpečnost, compliance, architektura a byznys musí být propojené. Firmy, které tuto spolupráci zvládnou, budou mít výhodu nejen ve vztahu k regulaci, ale i v důvěře zákazníků a partnerů.
CIOtrends si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
Chcete si článek přečíst celý?
Tento článek je součástí exkluzivního obsahu pouze pro odběratele našeho newsletteru.
Přihlaste se k odběru newsletteru a my vám do mailu pošleme odkaz na celý článek.
PŘEDPLATNÉ
ČLÁNKY DO MAILU