Novinky v oblasti GDPR pro rok 2025: Co nás čeká a nemine

Rok 2025 přináší v oblasti ochrany osobních údajů (GDPR) několik důležitých změn a trendů, které by neměly uniknout pozornosti žádného správce ani zpracovatele dat. V tomto článku vás čtivou formou provedeme tím nejzásadnějším, co letos vstupuje v platnost nebo se významně posouvá v evropském právním a technologickém prostředí. Pokud jste až dosud GDPR vnímali jako „hotovou věc“, je čas aktualizovat si znalosti.


1. Revize a rozšíření definice biometrických údajů

Evropský sbor pro ochranu osobních údajů (EDPB) v roce 2025 upřesňuje, že biometrické údaje nejsou pouze otisky prstů nebo sken duhovky. Do nově interpretované definice nyní spadají i hlasové otisky, dynamika úhozu na klávesnici, způsob psaní stylusem nebo chůze, pokud jsou použity k jednoznačné identifikaci fyzické osoby.

Stylový tip: Zamyslete se nad tím, jaká zařízení a systémy u vás sbírají data „neviditelně“ – rozpoznání hlasu, smart kamery, nebo behaviorální analytika v aplikacích.


2. Umělá inteligence pod lupou GDPR

Jednou z nejvýznamnějších oblastí je nová regulace využívání AI systémů v souladu s GDPR. S platností od května 2025 se zavádějí nové povinnosti pro firmy, které používají AI při zpracování osobních údajů, například pro automatizované rozhodování nebo profilování. To zahrnuje:

  • povinnost provádět DPIA (posouzení dopadů na ochranu osobních údajů) u každého nového AI systému,
  • důraz na vysvětlitelnost algoritmů – uživatel musí být schopen pochopit, proč systém rozhodl určitým způsobem,
  • omezení plně automatizovaného rozhodování bez lidského zásahu, zejména u citlivých údajů.

3. Přísnější dohled nad přenosem dat mimo EU

V návaznosti na rozhodnutí „Schrems II“ a vývoj v USA došlo v roce 2025 ke sjednocení podmínek pro přenos dat do tzv. třetích zemí. V platnost vstupuje nový rámec EU-US Data Privacy Framework 2.0, který:

  • ukládá americkým firmám více povinností v oblasti transparentnosti a dohledu,
  • vyžaduje od evropských subjektů přesnou dokumentaci přenosu,
  • a klade důraz na předchozí audit důvěryhodnosti příjemce dat.

⚠️ Praktický dopad: Pokud vaše firma využívá cloudové nebo analytické nástroje od poskytovatelů se sídlem mimo EU, zkontrolujte aktuálnost SCC (standardních smluvních doložek) a přehodnoťte své přenosové mechanismy.


4. Zvýšená pozornost dětským uživatelům

Zejména v oblasti digitálních služeb se zvyšuje ochrana osobních údajů dětí a mladistvých. Rok 2025 přináší:

  • zavedení principu “designu vhodného pro děti” – platformy musí být navrženy s ohledem na nízkou úroveň digitální gramotnosti,
  • zákaz cílené reklamy na základě chování dětských uživatelů,
  • povinnost ověřovat věk uživatelů u služeb s limitem 16+.

5. Zvýšení pokut a lepší koordinace dozorových úřadů

Novela GDPR dále zpřesňuje postupy při přeshraničních řízeních. Koordinace mezi národními úřady má být rychlejší a efektivnější, což zkracuje dobu řízení. Také se zvyšují stropy pokut u opakovaných nebo závažných porušení – nově až 5 % z celosvětového obratu společnosti.

Varování: Není už prostor na „papírové“ souhlasy a formální compliance. Důraz se klade na reálnou funkčnost interních procesů a zabezpečení.


Co si z toho odnést?

Rok 2025 ukazuje, že GDPR není statická norma, ale živý rámec reagující na technologický a společenský vývoj. Největší výzvou je schopnost sladit interní procesy s novými požadavky – zejména v oblasti AI, datových přenosů a ochrany zranitelných skupin.

🔒 Pokud vaše organizace zaspí, riskujete nejen pokuty, ale i ztrátu důvěry.