ÚOOÚ odhalil kontrolní plán na rok 2025: Pozor na kamerové systémy, věrnostní programy i obchodní sdělení
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil kontrolní plán na rok 2025 a podnikatelé by měli zbystřit. V hledáčku kontrol se ocitnou především kamerové systémy v dopravních prostředcích, věrnostní programy obchodních řetězců, rozesílání obchodních sdělení internetovými srovnávači, ale i banky, pojišťovny a orgány veřejné správy.
Plánované kontroly ÚOOÚ se zaměřují na dodržování pravidel ochrany osobních údajů dle GDPR a mají zásadní dopad na subjekty ve veřejném i soukromém sektoru. Přehledně vám ukážeme, na co si dát v roce 2025 pozor.
Klíčové oblasti kontrol v roce 2025
1. Kamerové systémy v MHD a dopravních prostředcích
ÚOOÚ se v roce 2025 zaměří na kamerové systémy v hromadné dopravě. Kontroly se budou týkat především:
- nezbytnosti použití kamer v dopravních prostředcích,
- doby uchovávání záznamů,
- naplňování práv subjektů údajů (např. právo na přístup ke záznamu nebo jeho výmaz).
Zpracování záznamů z kamerových systémů musí být v souladu s principy minimalizace a účelového omezení dle GDPR.
2. Věrnostní programy a slevy podmíněné souhlasem se zpracováním osobních údajů
Obchodní řetězce běžně nabízejí slevy výměnou za registraci do věrnostního programu, který vyžaduje souhlas se zpracováním osobních údajů. ÚOOÚ bude kontrolovat, zda:
- je souhlas skutečně dobrovolný a informovaný,
- neprobíhá nepřímý nátlak,
- odpovídá právní titul požadavkům čl. 4 odst. 11 GDPR.
Firmy by si měly dát pozor na automatizované zpracování dat o chování zákazníků bez odpovídajícího právního základu.
3. Rozesílání obchodních sdělení internetovými srovnávači
V kontrolním plánu nechybí ani internetové srovnávače, které rozesílají obchodní sdělení (např. nabídky pojištění či půjček). ÚOOÚ se zaměří na:
- existenci právního titulu k rozesílání e-mailů (§ 7 zákona o některých službách informační společnosti),
- souhlas adresátů a možnost odhlášení,
- relevantnost a transparentnost sdělení.
To je důležité pro všechny firmy provozující e-mail marketing nebo newslettery.
4. Zpracování údajů z registrů veřejné správy
Banky, pojišťovny a další soukromé subjekty s přístupem k registrům veřejné správy budou pod drobnohledem. ÚOOÚ zkontroluje:
- oprávněnost přístupu ke konkrétním údajům,
- soulad s principy privacy by design a privacy by default,
- účelnost zpracování osobních údajů.
Subjekty musí prokázat, že data z registrů využívají jen tehdy, pokud je to nezbytné a přiměřené účelu.
5. Ochrana osobních údajů při vyřizování žádostí podle zákona o svobodném přístupu k informacím
Úřady a další povinné subjekty musí při poskytování informací zajistit správné anonymizování osobních údajů. ÚOOÚ se zaměří na:
- postupy anonymizace,
- vnitřní metodiky a předpisy,
- posouzení nezbytnosti zveřejnění osobních údajů.
Mezinárodní a evropské kontrolní akce
ÚOOÚ se v roce 2025 zapojí také do evropských koordinovaných kontrol, které se zaměří na právo na výmaz údajů („právo být zapomenut“). Správci by si měli připravit:
- interní postupy pro výmaz osobních údajů,
- mechanismy pro ověření identity subjektu údajů,
- evidenci žádostí o výmaz a jejich vyřízení v zákonné lhůtě.
Kontroly v oblasti víz, cel a Schengenského systému
ÚOOÚ plánuje také kontroly:
- zastupitelských úřadů, které zpracovávají osobní údaje při vyřizování víz,
- obecních úřadů, které mají přístup k údajům v Schengenském informačním systému (SIS).
Zvláštní pozornost bude věnována odborné přípravě úředníků, kteří s těmito údaji pracují.
Jak se na kontrolu ÚOOÚ v roce 2025 připravit?
✔️ Proveďte interní audit zpracování osobních údajů
✔️ Aktualizujte zásady ochrany osobních údajů
✔️ Zkontrolujte právní tituly ke zpracování dat v marketingu a věrnostních programech
✔️ Ověřte funkčnost kamerových systémů a jejich soulad s GDPR
✔️ Připravte se na možné žádosti o výmaz nebo přístup k údajům
Shrnutí: Kdo bude v roce 2025 pod drobnohledem ÚOOÚ?
- Provozovatelé kamerových systémů v dopravě
- Banky a pojišťovny s přístupem k registrům
- Obchodní řetězce s věrnostními programy
- Internetové srovnávače rozesílající obchodní sdělení
- Veřejné instituce poskytující informace dle zákona 106/1999 Sb.