Skip to content

Odpovědnost podle GDPR: co musí firmy v EU doložit

Odpovědnost podle GDPR znamená soulad doložit, nikoli jen tvrdit. Které záznamy musí firmy v EU mít — ROPA, DPIA, zásady — a jak celou sadu vybudovat.

Roztroušené záznamy o zpracování dat se slévají do jedné úplné, prověřené sady dokumentace odpovědnosti podle GDPR, nad bledou mapou Evropy — námořnická modř a korálová na krémovém podkladu.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Většina firem chápe soulad s GDPR jako stav, kterého se dosáhne — podepíšete směrnici, přidáte cookie lištu, hotovo. Nařízení to ale chápe jako něco, co musíte umět prokázat. To je zásada odpovědnosti správce a je tichým středem celého předpisu: podle čl. 5 odst. 2 firma odpovídá za soulad se zásadami ochrany osobních údajů a musí být schopna jej doložit [1]. V praxi je tím dokladem sada dokumentů — záznamy, posouzení, zásady a postupy, které přesně a soudržně popisují, jak vaše organizace osobní údaje skutečně zpracovává. Pro evropskou firmu bez právního oddělení je vybudování a údržba této sady tím skutečným úkolem v oblasti GDPR. Tento průvodce vysvětluje, co sada obsahuje, proč jednotlivé části existují a jak se povinnost napříč Evropou liší — včetně toho, proč „evropské“ není totéž co „britské“.

Stručná odpověď. Odpovědnost správce podle GDPR (čl. 5 odst. 2) znamená, že firma musí být se zákonem o ochraně osobních údajů nejen v souladu, ale musí jej umět prokázat — dokumentací. Jádro tvoří záznamy o činnostech zpracování, vrstva právního základu a informování subjektů údajů, smlouvy se zpracovateli a DPIA tam, kde je riziko vysoké — vše udržované přesné, na míru firmě a vnitřně soudržné.

Co odpovědnost správce podle GDPR vlastně znamená

Většina povinností podle GDPR je v hrubých rysech známá: mít právní základ, sdělit lidem, co s jejich údaji děláte, zabezpečit je, ctít jejich práva. Odpovědnost správce je zásada, která tyto povinnosti mění z dobrých úmyslů v něco ověřitelného. Čl. 5 odst. 2 činí správce „odpovědným za dodržení“ zásad ochrany osobních údajů a „schopným toto dodržení doložit“, a čl. 24 vyžaduje zavést vhodná opatření a být schopen doložit, že vaše zpracování je v souladu s nařízením [1]. Klíčové je sousloví být schopen doložit. Soulad, který na požádání neumíte černé na bílém ukázat, se nepočítá.

Tím se posouvá to, kde leží důkazní břemeno. Dozorový úřad zahajující šetření, firemní zákazník prověřující dodavatele nebo protistrana vyjednávající smlouvu nevychází z předpokladu, že jste v rozporu — ve chvíli, kdy ale řeknou „ukažte mi to“, je na vás, nikoli na nich, předložit ucelené důkazy. A měřítkem není objem. Pořadač s obecnými zásadami nikoho nepřesvědčí; úřady hledají konkrétnost a vnitřní soudržnost — dokumenty, které popisují vaše skutečné zpracování, jmenují vaše reálné systémy a dodavatele a vzájemně si neprotiřečí. Vlastní metodika Evropské komise pro organizace popisuje tuto povinnost přesně takto: prokazování souladu prostřednictvím záznamů, posouzení vlivu a dokumentace incidentů [2].

To, co se za tím slovem skrývá, není nijak abstraktní. GDPR odpovědnost správce podpírá správními pokutami až do výše 20 milionů EUR nebo 4 % celkového celosvětového ročního obratu — podle toho, která hodnota je vyšší — za nejzávažnější porušení [1]. Pro většinu malých a středních firem je však ostřejším a častějším tlakem spíš obchodní než regulatorní hledisko: nákupní oddělení většího zákazníka nebo jeho proces prověřování dodavatelů si vyžádá vaše ROPA, vaši smlouvu o zpracování osobních údajů a vaši bezpečnostní dokumentaci, než cokoli podepíše — a obchod uvázne v týdnu, kdy je nedokážete předložit. Dokumentace odpovědnosti se tiše stala podmínkou pro prodej do větších organizací a stejná logika se vztahuje i na pojistitele a partnery. Proto firmy tuto sadu stále častěji budují proaktivně, jako obchodní vizitku, díky níž jim protistrana svěří osobní údaje, místo aby čekaly, až se ozve úřad.

Odpovědnost správce tak celý úkol přerámuje. Otázka už nezní „jsme v souladu?“ v abstraktní rovině, ale „co dokážeme právě teď doložit ke každé jednotlivé věci, kterou s osobními údaji děláme?“ Všechno, co následuje, je odpovědí na tuto otázku.

Sada dokumentace: co musí evropské firmy doložit

Žádný jednotný „certifikát GDPR“ neexistuje. Odpovědnost se místo toho dokládá sadou dokumentů, z nichž každý je navázán na konkrétní povinnost a které společně pokrývají každou činnost, při níž vaše organizace zpracovává osobní údaje. Které části potřebujete, závisí na tom, co děláte — spoléhání na dodavatele si vyžádá smlouvu se zpracovatelem, vysoce rizikové zpracování znamená nutnost posouzení vlivu — ale páteř je u evropských firem stejná.

Řečeno prostě, sada se buduje činnost po činnosti:

  • Záznamy o činnostech zpracování (ROPA), čl. 30. Páteřní dokument: soupis každé činnosti zpracování — jaké údaje, čí, proč, na jakém základě, komu se předávají, jak dlouho se uchovávají, co je chrání. Národní úřady jako francouzský CNIL zveřejňují šablony právě proto, že po tomto nástroji sahají jako po prvním; je to, slovy úřadů, dokument se soupisovým i analytickým účelem, který musí odrážet realitu vašeho zpracování [1][4].
  • Právní základ pro každou činnost, čl. 6 — a posouzení oprávněného zájmu. Každá činnost potřebuje jeden ze šesti právních základů. Opíráte-li se o oprávněný zájem (čl. 6 odst. 1 písm. f), musíte zdokumentovat trojstupňový test vyvážení — účel, nezbytnost a vyvážení vůči právům jednotlivce — disciplínu, kterou Soudní dvůr znovu potvrdil ve svém rozsudku KNLTB z roku 2024 [1][9].
  • Informace poskytované subjektům údajů, čl. 13–14. To, co sdělujete lidem, jejichž údaje zpracováváte, podle toho, zda jste je získali přímo od nich, či nikoli. Sdělení musí odpovídat ROPA; nesoulad mezi tím, co říkáte, a tím, co máte zaznamenáno, je přesně ten typ rozporu, který úřad hledá [1].
  • Smlouvy o zpracování osobních údajů, čl. 28. Kdykoli dodavatel zpracovává osobní údaje vaším jménem — mzdová účtárna, cloudový hosting, e-mailová platforma — vyžaduje čl. 28 smlouvu s vymezeným obsahem. Komise pro přesně tento účel zveřejňuje oficiální standardní smluvní doložky, na nichž může souladná smlouva stavět [1][5].
  • Záruky pro předání, kapitola V. Opouštějí-li osobní údaje Evropský hospodářský prostor, potřebujete platný mechanismus předání — rozhodnutí o odpovídající ochraně, nebo standardní smluvní doložky Komise pro mezinárodní předání [1][6].
  • Posouzení vlivu na ochranu osobních údajů (DPIA), čl. 35. Nutné tam, kde zpracování pravděpodobně povede k vysokému riziku — rozsáhlé zvláštní kategorie údajů, systematické monitorování, rozsáhlé profilování. Evropská metodika stanoví devět kritérií a splnění dvou a více považuje za spouštěč; vlastní seznam povinných DPIA zveřejňuje i každý národní úřad [1][3].
  • Postupy, nejen dokumenty. Kolem sady stojí provozní části: postup pro vyřízení žádostí subjektů údajů ve lhůtě jednoho měsíce (čl. 12–22), postup pro řešení incidentů schopný v případě potřeby ohlásit úřadu porušení do 72 hodin (čl. 33–34) a vnitřní směrnice popisující technická a organizační opatření, jež udržují údaje v bezpečí (čl. 24, 32) [1].

To je anatomie sady. Umění je udělat ji vaší — každé políčko dohledatelné k něčemu pravdivému o vaší firmě — namísto pořadače věrohodně vyhlížejícího obecného textu.

Jedno nařízení, mnoho úřadů — evropský obrázek

Tady se evropské hledisko stává klíčovým a tady se snadno chybuje čtením rad zaměřených na Spojené království. GDPR je nařízení, nikoli směrnice: nařízení (EU) 2016/679 je přímo použitelné v každém členském státě EU i v širším Evropském hospodářském prostoru, k němuž patří Norsko, Island a Lichtenštejnsko [1][2]. Nosné články — odpovědnost správce, právní základ, ROPA, DPIA, práva subjektů údajů — mají identické znění v Německu, Francii, Itálii, Španělsku, Polsku, na Slovensku i všude jinde. Firma působící napříč Evropou buduje unijní jádro jednou.

Co se mění, je národní vrstva nesená nad tímto jádrem. Každá země má vlastní dozorový úřad — CNIL ve Francii, Garante v Itálii, AEPD ve Španělsku, BfDI a zemské úřady v Německu a tak dále — a každý může vydat národní specifika: věk, od kterého může dítě udělit souhlas s online službami (napříč blokem stanovený kdekoli mezi 13 a 16 lety), pravidla pro zpracování zaměstnaneckých údajů a vlastní seznam operací, které vždy vyžadují DPIA. Soudržnost mezi těmito úřady drží pohromadě Evropský sbor pro ochranu osobních údajů (EDPB) a mechanismus jednoho správního místa, takže se jádro netříští [8]. Pro sadu dokumentace to znamená, že struktura je jednotná a odchylky jsou ohraničené: zmapujte unijní jádro a pak přidejte hrstku národních specifik pro každou zemi, v níž působíte.

A přesně proto evropské není totéž co britské. Od brexitu stojí Spojené království mimo unijní GDPR. Provozuje vlastní UK GDPR vedle Data Protection Act 2018, pod dohledem ICO, a domácí reformou se začalo od unijního textu odchylovat. Švýcarsko, které v EU nikdy nebylo, má vlastní revidovaný spolkový zákon o ochraně osobních údajů. Firma zaměřená na EU by proto měla Spojené království a Švýcarsko vnímat jako samostatné, paralelní režimy — odlišné jurisdikce, které je třeba dokumentovat samostatně — nikoli jako místní varianty unijního nařízení [2]. Mnoho široce sdílených rad ke „GDPR“ jsou ve skutečnosti rady k britské úpravě; pro zpracování soustředěné na EU a EHP jsou nařízení, úřady i referenční texty, které citujete, ty evropské.

Kde se odpovědnost komplikuje: AI a automatizovaná rozhodnutí

Nasazení AI nevytváří samostatný vesmír souladu, ale sadě dokumentace přidává na váze. Záleží na třech bodech. Zaprvé, automatizované rozhodování a profilování s právními či obdobně významnými účinky na lidi má zvláštní záruky podle čl. 22 — v mnoha případech včetně práva na lidský zásah [1]. Zadruhé, AI, která zpracovává osobní údaje ve velkém rozsahu nebo profiluje jednotlivce, často splňuje kritéria čl. 35, a tím spouští DPIA [1][3]. Zatřetí, pro jakékoli trénování nebo odvozování nad osobními údaji stále potřebujete jasný, zdokumentovaný právní základ.

Nad rámec GDPR zavádí akt o umělé inteligenci (nařízení (EU) 2024/1689) samostatnou vrstvu povinností založenou na riziku, namířenou na samotné systémy AI [7]. Oba režimy běží souběžně: akt o UI upravuje systém, GDPR upravuje osobní údaje, jichž se systém dotýká — a odpovědnost podle GDPR platí už ve chvíli, kdy systém AI zpracuje osobní údaje, bez ohledu na to, jak jej akt o UI klasifikuje. Praktickým důsledkem je, že organizace přesouvající práci do AI zdědí více věcí k dokumentaci, nikoli méně. Širší regulatorní konvergenci rozebíráme v našem průvodci správou AI a pravidly, která se uplatní, a provozní model, díky němuž tyto důkazy vznikají jako vedlejší produkt běžné práce, v textu o AI-native firměEN.

Upřímná výhrada: dokumentace je nutná, nikoli postačující

Bylo by pohodlné říct, že jakmile sada existuje, jste v souladu. Nejste — a tvrdit opak je klasický způsob, jak odpovědnost selhává. Tři upřímné meze.

Zaprvé, dokumenty musí odpovídat realitě a musíte je skutečně uvádět do praxe. Směrnice popisující řízení přístupu, které vaše systémy nevynucují, nebo ROPA, jež opomíjí kamery na recepci, není neutrální — je dokladem nesouladu. Sada dokládá odpovědnost jen tehdy, je-li konkrétní, vnitřně soudržná a skutečně žitá. Zadruhé, sada dokumentace není právní poradenství ani certifikace. Vytvoření záznamů, které zákon vyžaduje, je strukturované sepsání dokumentů, nikoli právní stanovisko k vaší konkrétní situaci; a dobrá administrativa vám neuděluje žádný status „certifikováno podle GDPR“ — formální cesta k certifikaci podle čl. 42 je samostatný, akreditovaný mechanismus. Zatřetí, některé situace vyžadují odborníka. Vskutku složité DPIA, sporné přeshraniční uspořádání nebo živé regulatorní šetření nejsou územím šablon; správným krokem je tam obrátit se na kvalifikovaného poradce — a dobrý proces zajištění odpovědnosti vám napoví, kdy.

Pojmenovat tyto meze není vytáčka. Je to rozdíl mezi sadou, která obstojí při kontrole, a pořadačem, který se zhroutí, jakmile si jej někdo poprvé pozorně přečte.

Jak vybudovat svou sadu dokumentace odpovědnosti

Sadu lze reálně vytvořit třemi způsoby. Advokátní kancelář nebo konzultant v roli pověřence (DPO) vám dá přesnost a úsudek, ale pomalu a za cenu, která menší firmu zatíží. Obecné šablony jsou rychlé a levné, neobstojí však v testu konkrétnosti a soudržnosti, který úřady skutečně uplatňují — a rozporuplná či prázdná sada je horší než poctivá mezera. Třetí cestou je generovaná sada koncipovaná jako produkt: odpovíte na strukturované otázky o své firmě a jejích činnostech zpracování a z knihovny ustanovení postavené na nařízení a oficiální metodice se sestaví sada na míru, vnitřně soudržná — rychle jako šablony, ale konkrétní k vám jako od právníka.

Vybudujte sadu bez harmonogramu advokátní kanceláře. Produkt GDPR Accountability Documentation od easyAI promění krátký řízený dotazník o vaší firmě a o tom, jak nakládá s osobními údaji, v sadu odpovědnosti na míru a vnitřně soudržnou — záznamy o činnostech zpracování, vnitřní směrnici, informace pro subjekty údajů, smlouvy se zpracovateli, posouzení oprávněného zájmu tam, kde je potřeba, a předběžné posouzení potřeby DPIA — vytvořenou v řádu dnů, v angličtině a navíc ve vašem národním jazyce, za zlomek nákladů zakázky na míru. Jde o podporu při tvorbě dokumentace, nikoli o právní poradenství či certifikaci, a předpokládá, že to, co popisuje, i provozujete. Je-li vaším dalším krokem spíš AI než dokumentace, AI Foundation AuditEN seřadí, kde se automatizace vyplatí; začněte ukázkovou zprávouEN. Oba produkty žijí na platformě easyAI na aiprioritymap.com.

Postup na vaší straně je přímočarý: zinventarizujte každou činnost, která se dotýká osobních údajů, určete pro každou právní základ, sepište záznamy a informace, které je popisují, ošetřete dodavatele smlouvami, posuďte vysoce rizikové případy a postavte postupy pro práva a pro incidenty — a pak celek udržujte aktuální, jak se vaše zpracování mění. Odpovědnost není projekt, který dokončíte; je to stav, který udržujete. Ale prvních, nejtěžších 80 % — úplná, soudržná sada na míru firmě, kterou můžete předložit komukoli, kdo o ni požádá — je přesně ta část, kterou lze nyní vygenerovat, místo aby se sestavovala ručně.

Často kladené otázky

Shrnutí

GDPR accountability — prove it, don't just claim it
│
├─ The principle (Art 5(2), 24)
│   ├─ Compliance must be demonstrable, not asserted
│   ├─ The burden of proof sits with you, the controller
│   └─ Authorities test specificity + consistency, not volume
│
├─ What you must be able to show
│   ├─ ROPA — every processing activity (Art 30)
│   ├─ Lawful basis + LIA for legitimate interest (Art 6)
│   ├─ Notices · vendor DPAs · transfers (Art 13/14, 28, Ch V)
│   └─ DPIA where risk is high · rights + breach procedures
│
└─ One regulation, many regulators
    ├─ EU + EEA share one core — map it once
    ├─ National DPAs add specifics — CNIL, Garante, AEPD…
    └─ Not the UK — UK GDPR + Swiss FADP are separate

Související články

Připravované navazující články v tomto clusteru: jak postavit záznamy o činnostech zpracování, kdy a jak provést DPIA, volba právního základu, postupy pro práva subjektů údajů, smlouva o zpracování osobních údajů podle čl. 28 a GDPR pro AI a automatizovaná rozhodnutí.


Naposledy aktualizováno: červen 2026. Verze 1.0.

Frequently Asked Questions

Co je zásada odpovědnosti správce v GDPR?
Odpovědnost správce je zakotvena v čl. 5 odst. 2 GDPR: správce odpovídá za soulad se zásadami ochrany osobních údajů a musí být schopen tento soulad doložit. Přesouvá důkazní břemeno na firmu. Nestačí jen zpracovávat osobní údaje zákonně — musíte umět dokumentací prokázat, jak a proč to děláte. A právě tyto doklady chce vidět dozorový úřad, zákazník nebo obchodní partner.
Které dokumenty GDPR ve skutečnosti vyžaduje?
Jádro tvoří záznamy o činnostech zpracování (čl. 30), právní základ pro každou činnost s posouzením oprávněného zájmu tam, kde se o tento základ opíráte (čl. 6), informace poskytované subjektům údajů (čl. 13–14), smlouvy o zpracování osobních údajů s dodavateli (čl. 28) a posouzení vlivu na ochranu osobních údajů tam, kde je zpracování pravděpodobně vysoce rizikové (čl. 35). Kolem toho stojí postupy pro práva subjektů údajů a pro řešení incidentů a vnitřní směrnice popisující vaše technická a organizační opatření.
Platí GDPR v celé Evropě stejně?
Jádro ano. Nařízení (EU) 2016/679 je přímo použitelné v celé EU i v širším Evropském hospodářském prostoru — stejné články platí v Německu, Francii, Itálii, na Slovensku i v každém dalším členském státě, a navíc v Norsku, na Islandu a v Lichtenštejnsku. Liší se národní vrstva: každá země má vlastní dozorový úřad a několik národních specifik, například věk, od kterého může dítě udělit souhlas s online službami, pravidla pro zpracování zaměstnaneckých údajů a vlastní seznam operací, které vždy vyžadují DPIA.
Vztahuje se na Spojené království unijní GDPR?
Už ne. Po brexitu provozuje Spojené království vlastní UK GDPR vedle Data Protection Act 2018, pod dohledem ICO, a domácí reformou se začalo od unijního textu odchylovat. Obdobně má Švýcarsko vlastní revidovaný spolkový zákon o ochraně osobních údajů. „Evropská“ ochrana dat tedy není jeden režim: EU a EHP sdílejí společné jádro, kdežto Spojené království a Švýcarsko jsou samostatné, paralelní systémy, které firma zaměřená na EU vnímá jako odlišné jurisdikce, nikoli jako místní varianty.
Musí malé firmy vést záznamy o činnostech zpracování?
Zpravidla ano. Čl. 30 odst. 5 sice patrně vyjímá organizace do 250 zaměstnanců, výjimka však padá, pokud zpracování není jen příležitostné, pravděpodobně představuje riziko pro lidi nebo zahrnuje zvláštní kategorie údajů — což platí téměř pro každou firmu, která zpracovává mzdy, vede záznamy o zákaznících nebo provozuje kamerový systém. V praxi většina malých firem výjimce nepodléhá a evropské dozorové úřady důrazně doporučují vést ROPA tak jako tak: je to nejužitečnější nástroj k doložení odpovědnosti.
Kdy firma potřebuje posouzení vlivu na ochranu osobních údajů (DPIA)?
DPIA je podle čl. 35 nutné, když určitý druh zpracování pravděpodobně povede k vysokému riziku pro práva a svobody lidí — zejména rozsáhlé zpracování zvláštních kategorií údajů, systematické monitorování veřejných prostor nebo systematické a rozsáhlé profilování s právními či obdobně významnými účinky. Evropská metodika stanoví devět kritérií rizika a splnění dvou a více považuje za silný signál, že je DPIA potřeba. Vlastní seznam operací, které je vždy vyžadují, navíc zveřejňuje každý národní úřad.
Stačí použít obecné šablony dokumentů ke GDPR?
Šablony mohou být výchozím bodem, ale neobstojí v testu, který úřady skutečně uplatňují — v testu konkrétnosti a vnitřní soudržnosti. Směrnice popisující bezpečnostní opatření, která vaše systémy nemají, nebo záznam, jenž opomíjí kamery na recepci, je dokladem nesouladu, nikoli souladu. Dokumenty musí popisovat skutečné zpracování ve vaší organizaci, jmenovat vaše reálné systémy a dodavatele, vzájemně si neprotiřečit — a to, co popisují, pak musíte i provozovat.
Mění používání AI naše povinnosti podle GDPR?
Spíše zostřuje nároky, než aby pravidla nahrazovalo. Automatizované rozhodování a profilování má zvláštní záruky podle čl. 22, AI zpracovávající osobní údaje ve velkém rozsahu často spouští DPIA a stále potřebujete jasný právní základ pro trénování i odvozování nad osobními údaji. Akt o umělé inteligenci přidává samostatnou vrstvu povinností založenou na riziku, odpovědnost podle GDPR ale platí už ve chvíli, kdy se systém AI dotkne osobních údajů — dokumentace jen pokrývá víc.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.