Zásadní změny v GDPR v roce 2026

Zásadní změny v GDPR v roce 2026

Rok 2026 přináší do oblasti ochrany osobních údajů zásadní posuny, které potvrzují dlouhodobý trend: GDPR už nelze vnímat jako izolovaný právní předpis, ale jako součást širšího regulatorního ekosystému. Nové zákony, evropské regulace i přísnější výklad stávajících pravidel významně dopadají na marketing, HR procesy i kybernetickou bezpečnost.

Jednou znejvýraznějších změn je transformace pravidel pro elektronický marketing. Zrušení zákona č. 480/2004 Sb., o některých službách informační společnosti, a jeho nahrazení novým zákonem o digitální ekonomice znamená zásadní změnu přístupu k zasílání obchodních sdělení. Nová právní úprava více reflektuje evropský vývoj a zpřísňuje požadavky na právní titul zpracování. Dosavadní praxe, kdy firmy často spoléhaly na oprávněný zájem nebo tzv. měkký opt-in, se dostává pod větší tlak. Správci budou muset být schopni jednoznačně prokázat, že zákazník měl reálnou možnost volby a že komunikace odpovídá jeho očekávání. V praxi se přitom stále objevují chyby, například když je souhlas se zasíláním obchodních sdělení „schován“ v obchodních podmínkách nebo není dostatečně oddělen od jiných souhlasů.

Zásadní vývoj lze sledovat také v oblasti pracovního práva a ochrany osobních údajů zaměstnanců, a to zejména v návaznosti na nový zákon o kybernetické bezpečnosti implementující směrnici NIS 2. Právě tato regulace zvyšuje nároky na řízení bezpečnostních rizik, což se promítá i do požadavků na důkladnější screening zaměstnanců, ať už před vznikem pracovního poměru, nebo v jeho průběhu. Zaměstnavatelé tak častěji přistupují k ověřování bezúhonnosti, monitorování aktivit či dalším kontrolním mechanismům, které mají snížit riziko bezpečnostních incidentů. Tento trend však naráží na limity GDPR, protože i bezpečnostní opatření musí být přiměřená, transparentní a respektovat zásadu minimalizace údajů. V praxi tak vzniká napětí mezi požadavky na detailní kontrolu a ochranou soukromí zaměstnanců. Typickým příkladem je nejen samotný screening, ale i rozsah logování přístupů či doba uchovávání bezpečnostních záznamů. Zatímco kybernetická legislativa často vyžaduje podrobné a dlouhodobé uchovávání dat, GDPR naopak klade důraz na jejich omezení. Firmy proto musí pečlivě hledat rovnováhu, například prostřednictvím pseudonymizace, jasně definovaných účelů zpracování a přesně nastavených retenčních politik, přičemž zásadní roli hraje také kvalitní informování zaměstnanců o tom, jaká data jsou o nich zpracovávána a proč.

Další významnou oblastí jsou změny v odměňování zaměstnanců a rostoucí tlak na transparentnost. Nové povinnosti reportingu mezd a platů, inspirované evropskou legislativou, nutí zaměstnavatele zveřejňovat více informací o mzdové struktuře. To však otevírá citlivé otázky ochrany osobních údajů. Zejména v menších organizacích může i zdánlivě anonymizovaný údaj vést k identifikaci konkrétní osoby. Praxe ukazuje, že zaměstnavatelé často podceňují riziko nepřímé identifikace a zveřejňují příliš detailní informace. Situaci dále komplikuje novela zákona o inspekci práce účinná od 1. ledna 2025, která posiluje kontrolní pravomoci a zvyšuje sankce za porušení povinností.

Každodenní realita kontrol přitom ukazuje, že největší problémy nevznikají u složitých právních konstrukcí, ale u běžných provozních nastavení. Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2025 konkrétně upozorňuje na případy kontrol zaměřených například na kamerové systémy, docházkové systémy využívající biometrické údaje nebo zpracování údajů v pracovněprávních vztazích, přičemž opakujícím se problémem je nepřiměřený rozsah zpracovávaných dat. V praxi tak organizace často shromažďují více osobních údajů, než je nezbytné pro daný účel, případně je uchovávají déle, než odpovídá principům GDPR. Typickým příkladem jsou kamerové systémy instalované bez jasného vymezení účelu nebo s příliš širokým záběrem, stejně jako docházkové systémy sbírající citlivé údaje bez dostatečného odůvodnění. ÚOOÚ ve své kontrolní činnosti opakovaně zdůrazňuje, že klíčovým principem zůstává minimalizace osobních údajů, tedy zpracovávat pouze to, co je skutečně nezbytné. Nedostatky se přitom objevují i v oblasti informování zaměstnanců a nastavení interních pravidel, což v kombinaci s nepřiměřeným rozsahem dat představuje jeden z nejčastějších důvodů pro uložení nápravných opatření či sankcí.

Zcela zásadní je i širší evropský kontext. GDPR je dnes úzce provázáno s dalšími předpisy, které zásadně mění pravidla hry. Nařízení DORA zavádí povinnosti v oblasti digitální odolnosti, zejména pro finanční instituce, a klade důraz na schopnost organizací odolávat kybernetickým incidentům. Data Act přináší nový rámec pro přístup a sdílení dat, čímž otevírá otázky, jak zajistit jejich dostupnost a zároveň zachovat ochranu osobních údajů. Regulace umělé inteligence prostřednictvím AI Act pak zavádí požadavky na transparentnost, vysvětlitelnost a odpovědnost při využívání algoritmů, které často pracují právě s osobními údaji.

Rok 2026 tak potvrzuje, že ochrana osobních údajů se posouvá od formální compliance k reálnému řízení rizik. Nestačí mít připravenou dokumentaci – klíčová je schopnost pravidla skutečně aplikovat v praxi, průběžně je vyhodnocovat a přizpůsobovat novým požadavkům. Organizace, které dokážou propojit právní, technologické a bezpečnostní aspekty, budou nejen lépe připraveny na kontroly, ale zároveň získají konkurenční výhodu v prostředí, kde důvěra a ochrana dat hrají stále významnější roli.

‍

JUDr. Ing. Magda Janotová, LL.M.