csen

Výroční zpráva ÚOOÚ 2024: Digitální soukromí na rozcestí

23. 4. 2025

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil svou výroční zprávu za rok 2024. Z výroční zprávy je patrné, že ochrana soukromí je dnes jedním z nejcitlivějších a nejvíce proměnlivých právních témat. 

Zpráva upozorňuje nejen na rostoucí počet stížností a kontrol, ale i na nové trendy, jako je model „Consent or Pay“, případy týkající se biometrických údajů, přístup bank k datům ze státních registrů, či rekordní sankce za neoprávněné zpracování dat. Kromě toho se věnuje i právně významným rozsudkům, například v souvislosti s aplikací Karanténa.

Trend: Consent or Pay: Opravdu dobrovolný souhlas?

Jedním z nejdiskutovanějších trendů v oblasti ochrany soukromí je model „Consent or Pay“, který využívají některé velké online platformy. Uživatel je při návštěvě stránek postaven před volbu: buď souhlasí se zpracováním svých osobních údajů, typicky pro účely cílené reklamy (na základě sledování chování, IP adresy, cookies apod.), nebo zaplatí poplatek za přístup bez reklamy.

GDPR požaduje, aby souhlas byl „svobodný, konkrétní, informovaný a jednoznačný“. Pokud je uživatel postaven do situace, kdy bez souhlasu nemá k obsahu přístup (nebo musí platit), vzniká otázka: Je souhlas ještě svobodný?

Úřad pro ochranu osobních údajů se opírá o stanovisko Evropského sboru pro ochranu osobních údajů (EDPB), který jasně uvádí, že osobní údaje nesmí být předmětem transakce, tedy že nemohou být vyměňovány za přístup ke službě. Právo na ochranu soukromí je základním právem – a nelze z něj dělat „prémiovou službu“.

Zpráva zároveň varuje, že modely postavené na „souhlas, nebo plať“ nemohou ve většině případů splnit požadavky na informovaný a svobodný souhlas, zejména když neexistují alternativy (např. anonymní přístup, méně invazivní varianta).

Je reálné očekávat, že se praxe Consent or Pay brzy promítne jak do soudní praxe, tak do úvah o legislativních úpravách.

Největší kauza? Pokuta pro AVAST

Největší kauzou roku 2024 bylo rozhodnutí ÚOOÚ ve věci české technologické společnosti Avast, které byla za neoprávněné zpracování osobních údajů udělena rekordní pokuta ve výši 351 milionů Kč.

Avast jako poskytovatel antivirového softwaru shromažďoval údaje o internetovém chování svých uživatelů, konkrétně historii navštívených stránek, včetně časových údajů. Tyto informace předával své sesterské společnosti působící v oblasti datové analytiky a marketingu.

Společnost tvrdila, že šlo o anonymizovaná data, nicméně Úřad konstatoval, že šlo o pseudonymizaci – tedy údaje, které i přes odstranění přímých identifikátorů bylo možné propojit zpět s konkrétní osobou. Rozdíl mezi anonymizací a pseudonymizací je zásadní. Pseudonymizace znamená, že identifikátory jako jména, e-maily nebo telefonní čísla jsou odstraněny, ale existují dodatečné informace, které umožňují tyto osoby znovu identifikovat. Pokud existuje jakákoli možnost znovu identifikovat osobu (třeba i kombinací s jinými údaji), pak se stále jedná o osobní údaj a vztahují se na něj veškerá pravidla GDPR – včetně informační povinnosti, právního titulu, možnosti odvolat souhlas atd. Anonymizace naopak znamená, že identita není zjistitelná žádným způsobem. A právě anonymizovaná data už GDPR nechrání. Proto je zásadní umět rozlišovat mezi těmito pojmy – v praxi se totiž zaměňují velmi často, a mnohdy záměrně.

V tomto případě zůstaly v datech zachovány identifikátory instalace a unikátní řetězce URL adres, což znamenalo, že bylo možné zpětně vystopovat, jaký uživatel navštívil, jakou stránku, jaké články četl, videa sledoval, produkty vyhledával apod.

Navíc uživatelé nebyli o tomto zpracování informováni pravdivě – Avast deklaroval, že údaje anonymizuje a že nesdílí žádné osobní informace. To Úřad vyhodnotil jako závažné klamání uživatelů a zároveň jako porušení zásad GDPR.

Aplikace Karanténa: Sběr dat bez právního titulu

V závěru se zaměřme na významný případ z oblasti veřejné správy, který ukazuje limity veřejné moci v ochraně soukromí. Městský soud v Praze pravomocným rozsudkem ze dne 20. června 2024 potvrdil předchozí rozhodnutí Úřadu pro ochranu osobních údajů ve věci vedené pod sp. zn. UOOU-02569/22, týkající se provozu mobilní aplikace Karanténa. Tato aplikace byla využívána Policií ČR při namátkových kontrolách dodržování izolace v období od 1. dubna 2021 do 8. března 2022.

Podle zjištění ÚOOÚ aplikace bez zákonného oprávnění shromažďovala osobní údaje celkem 2 110 084 osob, kterým byla v rámci opatření proti šíření onemocnění COVID-19 nařízena izolace. Soud v souladu s názorem ÚOOÚ potvrdil, že šlo o zpracování osobních údajů, které podléhá dozoru Úřadu pro ochranu osobních údajů, včetně možnosti uložení sankce. Zároveň zdůraznil, že vzhledem k rozsahu sbíraných dat – šlo o více než dva miliony osob – se jednalo o plošné shromažďování údajů. Tím bylo vyloučeno, že by šlo o jejich použití při šetření konkrétních trestných činů či přestupků. Naopak, data byla využívána při namátkových kontrolách, které svou povahou nesměřují k odhalování konkrétního protiprávního jednání. Policie ČR se tedy nemohla opírat o výjimku pro zpracování údajů za účelem dokazování, a její postup tak nespadal mimo rámec obecné úpravy ochrany osobních údajů.

Za tento zásah byla Ministerstvu vnitra, které v právním smyslu neslo odpovědnost za Policii ČR jako správce údajů, uložena pokuta ve výši 975 000 Kč. Ačkoliv finančně nešlo o mimořádně vysokou částku, případ představuje významný precedent: potvrzuje, že ani stát není zproštěn povinnosti dodržovat pravidla ochrany osobních údajů a že i ve jménu veřejného zájmu, jako je ochrana veřejného zdraví, musí být dodržena zákonnost a proporcionalita zpracování dat.

GDPR není jednorázová aktivita

ÚOOÚ potvrzuje, že ochrana osobních údajů je oblastí, která se neustále vyvíjí a zároveň vyžaduje vysokou míru odbornosti a právní obezřetnosti. Komplexita témat, jako je model „Consent or Pay“, využívání biometrických dat, nebo odpovědnost státu při zpracování údajů, ukazuje, že dosažení souladu s GDPR není jednorázovým úkolem, ale dlouhodobým procesem. Právě proto nabízíme v rámci našich služeb komplexní poradenství v oblasti ochrany osobních údajů – od průběžného monitoringu souladu s právními předpisy, přes provádění posouzení vlivu, až po zajištění služeb pověřence pro ochranu osobních údajů. 

Potřebujete s GDPR pomoct?

Rádi vám pomůžeme nejen s implementací GDPR, ale i s revizí a optimalizací stávajících procesů a politik ve vaší organizaci. V dnešním prostředí je správné nastavení ochrany dat nejen zákonnou povinností, ale také klíčovým prvkem důvěry vůči vašim klientům a partnerům. Kontaktujte nás zde

Autor: Martin Soukup, Paralegal, PKF APOGEO Advisory 

Více na toto téma

Najdete nás v Česku i na Slovensku

  • Praha
    Rohanské nábřeží 671/15, Praha 8
  • Brno
    Pražákova 1008/69, Brno - Štýřice
  • Bratislava
    Hurbanovo námestie 6907/3, Slovensko

Mohlo by vás zajímat

Buďte s námi v kontaktu

info@pkfapogeo.cz

+420 267 997 700

PKF Family Office SMART Companies

Proudly part of the PKF global family

PKF APOGEO Group, SE je členem PKF Global, sítě členských firem PKF International Limited, z nichž každá je samostatným a nezávislým právním subjektem a nenese žádnou odpovědnost za jednání nebo nečinnost jednotlivých členů nebo korespondenčních firem.

© 2025 Všechna práva vyhrazena PKF APOGEO GROUP
Top Rating Created by

Kontaktujte nás

Odesláním souhlasíte se .

Cookies

Náš web používá cookies. Díky tomu vám můžeme nabídnout uživatelský zážitek více efektivní. Souhlas k ukládání cookies udělíte kliknutím na políčko „Souhlasím".
Souhlas můžete odmítnout zde.