Evropský sbor pro ochranu osobních údajů na plenárním zasedání 10. června schválil společnou šablonu pro oznámení porušení zabezpečení osobních údajů podle článku 33 GDPR. Jde o jeden z nejkonkrétnějších operačních výsledků Helsinského prohlášení z roku 2025 a o krok k reálnému sjednocení toho, jak správci komunikují s dozorovými úřady napříč Evropskou unií.

Šablona obsahuje sedm sekcí a celkem 126 polí, která pokrývají veškeré informace vyžadované GDPR při hlášení incidentu: popis povahy porušení, kategorie a přibližný počet dotčených subjektů a kategorií osobních údajů, jméno a kontaktní údaje pověřence pro ochranu osobních údajů, pravděpodobné důsledky porušení a přijatá nebo navrhovaná nápravná opatření. Cílem je standardizovat formát oznámení tak, aby byl přijatelný pro všechny národní dozorové úřady, a zároveň zajistit, že správci nebudou muset podávat strukturálně odlišná hlášení v každém členském státě, ve kterém působí.

Šablona se dostane do praxe ve fázi implementace, která teprve začíná. Právě v té bude zřejmé, kolik prostoru pro národní adaptaci zůstane. EDPB deklaroval záměr standardizovat notifikační tok mezi správci a úřady; jak striktně bude tato standardizace prosazena, ukáže přístup jednotlivých dozorových orgánů v průběhu druhého pololetí 2026.

Pro správce osobních údajů, zejména ty, kteří působí přeshraničně, má přijetí šablony praktické dopady. Formuláře, interní procesy a plány reakce na incidenty (Incident Response Plans) by měly být přizpůsobeny nové struktuře. V případě, že organizace dosud pracuje s vlastními interními šablonami pro přípravu oznámení, je vhodné ověřit, zda jejich struktura nové šabloně EDPB odpovídá. Veřejná konzultace k šabloně byla otevřena s termínem do 5. srpna 2026.