Přeskočit na obsah

Ochrana dat

Verze: 1.0 | Efektivní od: 1. ledna 2026

1. Účel

Tato směrnice definuje pravidla pro zpracování osobních údajů v souladu s GDPR (EU 2016/679) a zákonem č. 110/2019 Sb.

2. Základní principy

Princip	Popis	Implementace
Zákonnost	Mít právní základ	Legal basis check před zpracováním
Účelové omezení	Pouze pro definovaný účel	Dokumentace účelů v ROPA
Minimalizace	Pouze nezbytná data	Data audit, smazání nepotřebných
Přesnost	Data musí být správná	Validace, aktualizace, opravy
Omezení uložení	Ne déle než nutné	Retention policy, auto-delete
Integrita	Bezpečnost dat	Encryption, access control
Odpovědnost	Prokázat compliance	Dokumentace, audit trail

3. Právní základy zpracování

3.1 Přehled právních základů

Právní základ	Kdy použít	Příklad
Souhlas	Dobrovolné, konkrétní, informované	Marketing, cookies
Smlouva	Nezbytné pro plnění smlouvy	Dodání produktu
Právní povinnost	Zákon vyžaduje	Daně, účetnictví
Oprávněný zájem	Váš zájem > práva subjektu	Fraud prevention
Životně důležitý zájem	Ochrana života	Zdravotní nouze
Veřejný úkol	Výkon veřejné moci	Státní správa

3.2 Souhlas – požadavky

Platný souhlas musí být:

Svobodný - bez nátlaku, není podmínkou služby
Konkrétní - pro jasně definovaný účel
Informovaný - subjekt ví co souhlasí
Jednoznačný - aktivní akce, ne předvyplněný checkbox
Odvolatelný - kdykoliv, stejně snadně jako udělení

3.3 Oprávněný zájem – LIA

Před použitím oprávněného zájmu proveďte Legitimate Interest Assessment:

Purpose test: Jaký je legitimní zájem?
Necessity test: Je zpracování nezbytné?
Balancing test: Převažuje zájem nad právy subjektu?

4. Práva subjektů údajů (DSAR)

4.1 Přehled práv

Právo	Článek	SLA	Popis
Informace	Art. 13/14	Při sběru	Co zpracováváme
Přístup	Art. 15	30 dní	Kopie dat
Oprava	Art. 16	30 dní	Oprava chyb
Výmaz	Art. 17	30 dní	Smazání dat
Omezení	Art. 18	30 dní	Pozastavení zpracování
Přenositelnost	Art. 20	30 dní	Export dat
Námitka	Art. 21	30 dní	Námitka proti zpracování
Automatizované rozhodování	Art. 22	30 dní	Human review

4.2 DSAR Workflow

5. Data Breach Management

5.1 Definice breach

Typ	Příklad	Je breach?
Confidentiality	Data unikla třetí straně	✅ Ano
Integrity	Data byla změněna	✅ Ano
Availability	Data ztracena bez backup	✅ Ano
Encrypted data stolen	Útočník má šifrovaná data	⚠️ Závisí na kontextu

5.2 Notification Timeline

5.3 Kdy nenotifikovat ÚOOÚ

Data byla šifrovaná a klíč nebyl kompromitován
Breach nemá pravděpodobně dopad na práva subjektů
Dokumentujte rozhodnutí!

6. Vendor Management (DPA)

6.1 Před onboardingem vendor

Due diligence (security questionnaire)
DPA (Data Processing Agreement)
Sub-processor list
Data location (EU preferred)

6.2 DPA povinný obsah

Položka	Popis
Předmět zpracování	Co vendor zpracovává
Doba zpracování	Jak dlouho
Povaha a účel	Proč
Typy dat	Jaká data
Kategorie subjektů	O kom
Práva a povinnosti	Controller vs. Processor
Sub-processors	Seznam + schvalovací proces
Security measures	Technical + organizational
Breach notification	SLA pro hlášení
Audit rights	Právo auditu
Deletion	Po ukončení smlouvy

7. Privacy by Design

7.1 Principy

Princip	Implementace
Proactive	Privacy od začátku, ne dodatečně
Default	Privacy jako default setting
Embedded	Součást architektury
Full functionality	Privacy + functionality
End-to-end	Celý lifecycle
Visibility	Transparentnost
User-centric	Respekt k subjektům

7.2 Checklist pro nový projekt

Data minimization: Sbíráme pouze nutná data?
Purpose limitation: Máme jasný účel?
Legal basis: Jaký je právní základ?
Retention: Jak dlouho uchováváme?
Security: Encryption, access control?
Third parties: Kdo má přístup?
Subject rights: Jak vyřídíme DSAR?

8. DPIA (Data Protection Impact Assessment)

8.1 Kdy je DPIA povinná

Automatizované rozhodování s právními účinky
Rozsáhlé zpracování special category data
Systematické monitorování veřejných prostor
Nové technologie s vysokým rizikem
Profilování s významnými účinky

8.2 DPIA Process

Popis zpracování - Co, proč, jak
Necessity assessment - Je to nezbytné?
Risk identification - Jaká rizika?
Risk mitigation - Jak minimalizovat?
DPO consultation - Review
Approval - Sign-off
ÚOOÚ consultation - Pokud vysoké reziduální riziko

9. Retention & Deletion

9.1 Retention Schedule

Kategorie dat	Retention	Základ
Customer data	Trvání smlouvy + 3 roky	Business need
Employee data	Trvání zaměstnání + 10 let	Zákon
Financial records	10 let	Účetní předpisy
Marketing data	Do odvolání souhlasu	Consent
Log data	1 rok	Security
Backup data	30 dní po deletion	Technical

9.2 Deletion Process

10. Training & Awareness

Role	Školení	Frekvence
All employees	GDPR basics	Ročně
Customer support	DSAR handling	Pololetně
Engineering	Privacy by design	Pololetně
Marketing	Consent, direct marketing	Ročně
HR	Employee data	Ročně

11. Policy Review

Čtvrtletně: Review DSAR log, incidents
Pololetně: Update dle regulatory guidance
Ročně: Full policy review + DPO approval

Příští revize: Q2 2026