EDPB spouští koordinovanou enforcement akci pro rok 2026: 25 dozorových úřadů prověří informační povinnosti správců
Evropský sbor pro ochranu osobních údajů (EDPB) dnes formálně zahájil letošní koordinovanou enforcement akci – 25 dozorových úřadů z celé EU se v nadcházejících měsících zaměří na to, jak organizace plní svou povinnost informovat subjekty údajů o zpracování jejich osobních dat.
Coordinated Enforcement Framework (CEF) je mechanismus, jehož prostřednictvím EDPB koordinuje každoroční tematické prošetřování prováděné dozorové orgány jednotlivých členských států. Výsledky národních šetření jsou poté agregovány a analyzovány na evropské úrovni, kde slouží jako podklad pro případná následná opatření – doporučení, výklady nebo navazující enforcement. Letošní akce navazuje na CEF 2024, která se zaměřila na funkci pověřence pro ochranu osobních údajů, a CEF 2025 věnovanou implementaci práva na výmaz.
Téma pro rok 2026 – transparentnost a informační povinnosti – bylo vybráno v listopadu 2025. Konkrétně jde o povinnosti vyplývající z článků 12, 13 a 14 nařízení GDPR. Tyto články ukládají správcům povinnost informovat subjekty údajů: čl. 13 se vztahuje na situaci, kdy jsou osobní data získávána přímo od subjektu údajů, čl. 14 na situaci, kdy jsou data získávána z jiného zdroje. Čl. 12 stanoví formální požadavky na způsob, jakým musí být informace předávány – srozumitelně, stručně, transparentně a v přístupné formě.
V praxi jde o obsah a strukturu dokumentů, které organizace označují jako zásady ochrany osobních údajů, informace pro zákazníky, cookie lišty nebo informační sdělení pro zaměstnance. Dozorové úřady budou posuzovat, zda jsou v těchto dokumentech uvedeny všechny zákonem vyžadované informace: účely zpracování, právní základ pro každý účel, kategorie příjemců nebo konkrétní příjemci, doby uchování, existence automatizovaného rozhodování včetně profilování, přenosy do třetích zemí a informace o právech subjektů údajů včetně způsobu jejich uplatnění.
Proces šetření probíhá ve dvou fázích. V první fázi dozorové úřady rozesílají organizacím standardizované dotazníky zjišťující, jak plní informační povinnosti. Podle nastavení konkrétního národního úřadu může pak následovat buď plošná kontrola vycházející z odpovědí na dotazník, nebo zahájení formálního šetření s vybranými správci. Účast DPA na CEF je dobrovolná; letošní akce počítá s 25 účastnickými úřady. ÚOOÚ jako český dozorový orgán svou účast na letošní akci dosud explicitně neoznámil, lze ji však na základě historické participace v předchozích CEF akcích očekávat.
Pro organizace je spuštění CEF 2026 jasnou výzvou k revizi stávajících informačních dokumentů dříve, než je osloví dozorový úřad. Časté problémové oblasti v dosavadní praxi zahrnují příliš obecně formulované účely zpracování bez vazby na konkrétní operace, chybějící nebo nepřesné doby uchování, neurčité označení příjemců údajů ("obchodní partneři", "třetí strany") bez bližší specifikace, neaktuální nebo neúplné informace o přenosech do třetích zemí a absence informací o automatizovaném rozhodování i v případech, kde k němu prokazatelně dochází. Zvláštní pozornost si zaslouží také čitelnost a srozumitelnost – GDPR výslovně požaduje, aby informace byly podávány jasně a jednoduše, nikoli v hustém právním textu.
Zdroj
Další články
EDPB spouští koordinovanou enforcement akci pro rok 2026: 25 dozorových úřadů prověří informační povinnosti správců
DarkSword: nová sada exploitů pro iPhone zneužívaná státními aktéry i komerčními prodejci spywaru
