Výroční zpráva ÚOOÚ za rok 2025

Výročí zpráva je klasicky dělena podle různých oblastí, které má ÚOOÚ v gesci (zpracován osobních údajů, nevyžádaná obchodní sdělení atd.), tak i podle druhů a oblastí aktivit úřadu (konzultace, kontrola, správní řízení).

Ovšem ještě před čísly, daty a případovými studiemi se výroční zpráva ohlíží za 25 lety, které loni uplynuly od zřízení ÚOOÚ. Ke zřízení samostatného dozorového úřadu pro oblast ochrany osobních údajů došlo na základě zákona č. 101/2000 Sb., o ochraně osobních údajů, ke dni 1. června 2000. Ve výroční zprávě na důležité milníky v historii úřadu vzpomínají všichni jeho dosavadní předsedové.

Kontroly v roce 2025

V části věnované kontrolní činnosti výroční zpráva nejprve shrnuje postup a právní mantinely kontroly, kterou ÚOOÚ provádí, a následně blíže popisuje některé významnější kontroly z roku 2025. Jedná se například o kamerový systém na letišti Václava Havla Praha, přístup k záznamům osobních kamer příslušníků Policie ČR, docházkové systémy využívající biometrické osobní údaje nebo zpracování údajů v souvislosti s poskytováním realitních služeb.

Celkově ÚOOÚ v roce 2025 zahájil 27 a ukončil 13 kontrol. Ve 2 případech byl kontrolní protokol napaden námitkami k předsedovi ÚOOÚ.

Za co ÚOOÚ dává pokuty?

ÚOOÚ ve správním řízení ukládá buď nápravné opatření (zákaz provádět zpracování osobních údajů nebo závazný pokyn zpracování upravit, změnit, poskytnout subjektu údajů požadované informace atd.) nebo pokuty.

ÚOOÚ popsal i některé delikty, které v roce 2025 potrestal. Jednalo se například o dvě realitní společnosti, které předaly osobní údaje svých klientů dalšími subjektu, jenž jim následně nabízel finanční produkty. Obě realitní společnosti argumentovaly tím, že k danému zpracování (předání) osobních údajů mají souhlas dotčených osob, tento souhlas ale nebyly schopny doložit. ÚOOÚ jim za to uložil pokuty ve výši 3.194.000 Kč a 99.000 Kč.

Předseda ÚOOÚ v roce 2025 svým rozhodnutím také potvrdil předchozí rozhodnutí úřadu navazující na závěry kontroly, jímž byla Ministerstvu vnitra uložena pokuta ve výši 3.740.000Kč. Skutkové podstaty uvedených přestupků naplnila Policie České republiky, která nepřijala závazný interní akt řízení, jímž by byla stanovena jasná kritéria postupu při přezkumu dodržování lhůt pro výmaz osobních údajů ze záznamů odposlechů. Stejně tak nepřijala žádná jiná dostatečně konkrétní systémová pravidla či metodické pokyny pro uvedené případy, navíc nepoužívala evidenci či nástroje umožňující úplný dohled nad plněním zákonných povinností výmazu.

Celkem v roce 2025 úřad zahájil 23 a pravomocně ukončil 19 správních řízení o přestupku. Celkově 10 z nich bylo napadeno rozkladem, o kterém rozhoduje opět předseda ÚOOÚ.

Podněty a stížností

V další části výroční zprávy úřad shrnuje vývoj v počtu a tématu podnětů a stížností, které v roce 2025 obdržel. Konstatuje především, že rok 2025 byl v oblasti agendy podnětů a stížností zcela mimořádný a znamenal bezprecedentní nárůst počtu došlých podání. Úřad v tomto roce obdržel celkem  3.854 podnětů a stížností, což představuje meziroční nárůst o více než 68 % oproti roku 2024 a zároveň nejvyšší hodnotu od účinnosti GDPR. Kromě toho vzrostl i počet oznámených případů porušení zabezpečení osobních údajů (data breaches): V roce 2024 ÚOOÚ obdržel 336 oznámení, zatímco v roce 2025 již 392, což je opět nejvyšší počet od účinnosti GDPR.

‍
Výroční zpráva letos bohužel neobsahuje přehled oblastí zpracování, do kterých směřuje nejvíce stížností či podnětů. Úřad vypichuje několik oblastí, ve kterých zaznamenal zvyšující se počet podnětů. Jedná se například o zpracování osobních údajů ve školství, v rámci tzv. dlužnických registrů, v pracovněprávních vztazích nebo zpracování údajů v rámci zdravotnické dokumentace.

Nevyžádaná obchodní sdělení jsou stále aktuální

ÚOOÚ již řadu let vykonává rovněž dohled nad zasíláním nevyžádaných obchodních sdělení. Výroční zpráva se této agendě pochopitelně i letos věnuje. V roce 2025 ÚOOÚ obdržel celkem 1.430 stížností týkající se elektronicky zasílaných nevyžádaných obchodních sdělení. Toto číslo je srovnatelné se stavem za předchozí dva roky.

Za porušení pravidel pro elektronický přímý marketing úřad v roce 2025 uložil pokuty v souhrnné výši 12.109.000 Kč. A k tomu pořádkové pokuty celkem za více než 1 milion korun těm subjektům, které mu neposkytly dostatečnou součinnost, požadované informace atd. ÚOOÚ zdůrazňuje několik stále problematických oblastí, mezi které patří zejména zasílání nevyžádaných obchodních sdělení pod záminkou tzv. hodnotících dotazníků, obchodní sdělení v rámci zasílání tzv. technických či servisních zpráv nebo povinnost umožnit klientovi předem odmítnout zasílání obchodních sdělení na jeho elektronický kontakt.

Nové digitální agendy

Úřadu jsou novými předpisy z oblasti tzv. Datové regulace přidělovány další a další kompetence. Jak výroční zpráva dodává, často bez posilování personálních a dalších kapacit…

Podle kterých digitálních předpisů ÚOOÚ také vykonává dozor či které jinak významně ovlivní jeho činnost? Jedná se o:

• Akt o digitálních službách (DSA)
• Akt o digitálních trzích (DMA)
• Akt o umělé inteligenci
• Nařízení o správě dat (DGA)
• Nařízení o datech (Data Act)
• Nařízení o transparentnosti a cílení politické reklamy
  

A co dál?

Výroční zpráva ÚOOÚ za rok 2025 obsahuje i další zajímavé informace, data a čísla. Například o činnosti úřadu v oblasti svobodného přístupu k informacím, dozoru nad cookies nebo o jeho personálním složení a rozpočtu. Pro odborníky z oboru je to jistě důležité a zajímavé čtení.

‍