Úřad pro ochranu osobních údajů vydal výroční zprávu za rok 2025. A i letos to bylo nabité. Rekordní počet stížností, nemalé pokuty a několik kauz, které překvapily.
68 %
Úřad loni obdržel celkem 5 284 stížností a podnětů. Hlásí meziroční nárůst o více než 68 %. Nejvyšší číslo od doby, co GDPR vůbec platí.
Proč tak velký skok? Možná se víc zajímáme, víc orientujeme. Roli hraje i AI. A možná nás čím dál víc znepokojuje ztráta soukromí.
Co z toho plyne pro vás? Šance, že na vás někdo stížnost podá, roste. Úřad ale z jedné vlaštovky jaro nedělá.
Ze zprávy a praxe vnímám, že své kapacity věnuje reálným darebačinám. Tedy adeptům, co se ochranou osobních údajů příliš netrápí, případně už mají pár upozornění, že jsou v hledáčku, za sebou a říct si nedají.
Věrnostní programy: zbytečné kolonky
Úřad se loni zaměřil na věrnostní programy. Co zjistil?
Jeden obchodní řetězec ve svém registračním formuláři vyžadoval údaj o tom, zda jste muž či žena. Povinně. Úřad to označil za porušení zásady minimalizace. Logika je jednoduchá: pro fungování věrnostního programu takový údaj nutně netřeba. A co není potřeba, do toho mě tlačit nesmíte.
Navíc máme chaos v tom, kde sbírat souhlasy a kde jsou zkrátka navíc (protože údaje potřebujete pro poskytnutí služby).
Proto prosím neopisujte. Na škole měli pravdu: opíšete to i s chybami.
Projděte si registrační formuláře svých věrnostních programů nebo aplikací. Vyžadujete jen to, co opravdu potřebujete? Každá kolonka navíc je navíc. Pro inspiraci mrkněte sem.
Biometrika na pracovišti: Úřad stále nejásá
Docházkové systémy na otisky prstů nebo skenování obličeje stále nadužíváme. Evidence pracovní doby jde podle úřadu zařídit i míň invazivně.
Vždy si tak položte otázku, jestli to fakt nejde jinak. Biometriky na pracovišti by mělo být jak šafránu.
Naše Achillovy paty: zabezpečení
A to jak po technické, tak zaměstnanecké stránce.
S rozvojem AI narůstá i počet prolamování vašich systémů a požadování výkupného. Odpovědnost za to, že jsou data v bezpečí, jde přitom za vámi.
Stejně tak si dejte pozor na to, kdo může u vás ve firmě do dat koukat. Úřad loni šetřil neoprávněné nahlížení do zdravotnické dokumentace. Shodou okolností i moje osobní údaje jedno zdravotní zařízení dost neprofi způsobem použilo pro marketingové (a šeptandové) účely.
Ať už jste z jakékoliv branže, platí i pro vás: to, že máte databázi plnou dat neznamená, že do ní smí nakukovat kdokoliv z týmu.
A i v uplynulém roce skončily některé osobní údaje místo ve skartovačce na skládce. Přátelé, odpad třiďme. Ale nic se nemá přehánět. #privacyfirst
E-mailing: pokuty šplhají výš
Ani letos se překvapení nekoná. Chyby v marketingových rozesílkách jsou evergreen.
Nejčastější přešlapy?
- rozesílky zákazníkům, se kterými už nebyl kontakt aktuální (třeba e-mailová adresa z pět let starého nákupu)
- zákazník neměl možnost odmítnout rozesílku předem (typicky v nákupním košíku)
- nemáme doložitelné souhlasy
- marketingová sdělení schováváme do „průzkumů trhu”, případně je přihodíme do transakčních zpráv, i když si to zákazník nepřál
Jak na e-mailing, aby se úřadu líbil, můžete mrknout sem. Protože ani v těchto kontrolách úřad polevit nehodlá.
Pár čísel na závěr (protože ta my rádi):
- 5 284 stížností a podnětů
- 392 ohlášení bezpečnostních incidentů
- pokuty celkem 26 780 000 Kč
Na závěr jedno díky směrem k úřadu: za neúnavné popotahování katalogových šmejdů. Takových těch, co vám pošlou podvodnou fakturu, kterou nevědomky zaplatíte a upíšete se tím do katalogu, který pro váš marketing fakt netřeba.
Úřad má za sebou 5 kontrol a udělení pokut ve výši 16 200 000 Kč. Za tuhle iniciativu na ochranu podnikatelů velký dík.
.png)
