EDPB přijal společnou šablonu pro oznamování porušení bezpečnosti dat a jednal s komisařem McGrathem
Evropský sbor pro ochranu osobních údajů schválil na červnovém plenárním zasedání standardizovaný formulář pro notifikace podle článku 33 GDPR a probral s Komisí kontroverzní body balíčku Digital Omnibus.
Na červnovém plenárním zasedání Evropského sboru pro ochranu osobních údajů (EDPB) se sešla dvě témata, která mají přímý praktický dopad na organizace zpracovávající osobní data v EU. Prvním byl rozhovor s komisařem Michaelem McGrathem zodpovědným za demokracii, spravedlnost, právní stát a ochranu spotřebitele; druhým bylo přijetí společné šablony pro oznamování porušení bezpečnosti osobních údajů dozorových úřadům podle článku 33 GDPR.
Šablona, jejíž verze 1.0 je nyní otevřena k veřejné konzultaci do 5. srpna 2026, obsahuje 126 polí rozdělených do sedmi sekcí. Každé pole je popsáno pěti atributy: názvem, výběrem předdefinovaných hodnot, vysvětlujícím tooltipen, příznakem povinnosti a – z technického hlediska pozoruhodně – sloupcem s byznysovou logikou definující podmínky zobrazení a validace. To znamená, že formulář bude fungovat jako inteligentní nástroj s podmíněnou logikou, která omezí sběr dat jen na to, co je pro konkrétní případ nezbytné, a průvodními pokyny usnadní vyplnění i organizacím bez DPO nebo interního právního zázemí.
Strukturou šablona odpovídá zákonným požadavkům: pokrývá typy oznámení (nové, navazující, úplné, neúplné, odvolání) s odkazem na článek 33 odst. 4 GDPR, identifikaci správce, zástupce EHP, pověřence pro ochranu osobních údajů, zpracovatelů a společných správců, počáteční časové informace a povahu porušení z hlediska důvěrnosti, integrity a dostupnosti, kategorie a počet dotčených subjektů a záznamů, přijatá opatření a komunikaci vůči subjektům údajů i přeshraniční aspekty. Iniciativa navazuje na Helsinské prohlášení EDPB a jejím cílem je snížit čas i náklady spojené s oznámením – dosavadní praxe, kdy každý dozorový úřad požadoval mírně odlišné informace v odlišném formátu, byla pro organizace působící ve více členských státech administrativně nepřehledná.
Veřejná konzultace trvá do 5. srpna 2026. Pro správce a DPO je toto okno příležitostí promítnout praktické zkušenosti z interních procesů reakce na incidenty přímo do podoby budoucího standardu. Zvláště stojí za pozornost byznysová logika podmíněných polí: ta část šablony bude rozhodovat o tom, které informace systém vyžaduje a jak validuje vstupy – a tedy přímo ovlivní, kolik práce bude s vyplněním každého konkrétního oznámení.
Druhé téma zasedání – setkání s komisařem McGrathem – se týkalo balíčku Digital Omnibus, souboru legislativních změn, jehož součástí je i návrh na zjednodušení GDPR pro malé a střední podniky. EDPB a EDPS vydaly ke kBalíčku společné stanovisko. Uvítaly sice některé zjednodušovací kroky, ale zároveň vyslovily výhradu vůči jednomu ze zásadních záměrů: navrženému přeformulování pojmu osobní údaj. Podle sboru by tato změna mohla oslabit ochranu subjektů údajů tím, že by z věcného rozsahu GDPR vyřadila data, která jsou dnes považována za osobní. Na jednání se probíraly i přeshraniční předávání dat, ochrana nezletilých a otázka dostatečného financování dozorových úřadů – témata, která jsou dlouhodobě sporná právě v kontextu toho, jak rozdílné jsou kapacity a zdroje jednotlivých národních DPA.
Sbor na témže zasedání rovněž oznámil, že do rámce koordinovaného dohledu byl s účinností od 12. června 2026 zařazen systém Eurodac – centrální databáze otisků prstů žadatelů o azyl a nelegálních migrantů. Výbor pro koordinovaný dohled nyní zastřešuje spolupráci mezi národními dozorčími úřady (dohled na úrovni členských států) a EDPS (dohled nad centrální jednotkou). Zařazení Eurodacu signalizuje, že EDPB přistupuje k dohledu nad velkými přeshraničními databázemi veřejného sektoru stále systematičtěji.
Pro praktický provoz organizací jsou z červnového plenárního zasedání relevantní dva kroky: zapojit se do konzultace k šabloně oznámení (pokud organizace pravidelně řeší notifikace porušení) a sledovat vývoj Digital Omnibus, jehož finální podoba bude určovat rozsah povinností zejména pro menší správce osobních údajů.
Další články
Meta pozastavila sledování stisků kláves zaměstnanců po úniku dat z monitorovacího systému
CRA: od září 2026 začínají první povinnosti pro výrobce produktů s digitálními prvky
