Bezpečnost a compliance 26. dubna 2026 · Milan Cák · 9 min čítania

DPIA pro ERP a CRM systémy: praktický průvodce

Jak provést DPIA (posouzení dopadu na ochranu osobních údajů) pro ERP a CRM systémy — 8kroková šablona, kdy je povinná, praktický příklad pro HR modul a nejčastější chyby.

DPIA je jedním z nejdůležitějších nástrojů GDPR compliance, ale zároveň jedním z nejčastěji přeskakovaných. Firmy nasazují nové ERP moduly bez DPIA, nasazují AI hodnocení zaměstnanců bez DPIA, rozšiřují zpracování zákaznických dat bez DPIA. Přitom GDPR čl. 35 říká jasně: pro “vysoce rizikové” zpracování je DPIA povinná před spuštěním zpracování.

Tento článek poskytuje praktický průvodce — kdy DPIA dělat, jak ji provést a čeho se vyvarovat.

Co je DPIA

DPIA (Data Protection Impact Assessment) — v češtině posouzení dopadu na ochranu osobních údajů — je strukturovaný proces hodnocení:

Jaká osobní data zpracovávám?
Proč je zpracovávám (účel)?
Jaká jsou rizika pro práva a svobody subjektů?
Jak tato rizika eliminuji nebo zmírňuji?

DPIA není jednorázový dokument — musí se aktualizovat při zásadní změně zpracování.

Kdy je DPIA povinná

GDPR čl. 35 definuje tři explicitní kategorie vyžadující DPIA:

Kategorie 1: Automatizované rozhodování s právními nebo podobně závažnými dopady

AI skórování klientů pro úvěrové rozhodování
AI hodnocení kandidátů při náboru
AI predikce propuštění nebo povýšení zaměstnanců
Profilování zákazníků s personalizací cen

Kategorie 2: Rozsáhlé zpracování citlivých kategorií

Zdravotní záznamy zaměstnanců v HR modulu
Biometrická identifikace (docházkový systém s otisky prstů)
Odborová příslušnost zaměstnanců
Trestní záznamy při prověřování zaměstnanců

Kategorie 3: Systematické monitorování

Sledování pohybu zaměstnanců (GPS v pracovních autech)
Monitorování komunikace zaměstnanců
Záznamy kamer v pracovním prostředí s analýzou

Doporučení pro quick screening: Pro každý nový ERP modul zodpovězte:

Zpracovává modul citlivé kategorie dat?
Zahrnuje automatizované rozhodování s dopadem na fyzické osoby?
Je zpracování “rozsáhlé” (velký počet subjektů, velký rozsah dat)?
Jde o novou technologii nebo neznámé zpracování?

Pokud “Ano” na 2+ otázky → plná DPIA.

8kroková šablona DPIA

Krok 1: Popis zpracování

Zdokumentujte:

Název zpracování
Účel — proč data zpracováváme
Kategorie dat — jaká osobní data jsou dotčena
Subjekty údajů — kdo jsou zpracovávané osoby (zaměstnanci, zákazníci, dodavatelé)
Příjemci — kdo má k datům přístup (interní, zpracovatelé, třetí strany)
Přenosy — jsou data předávána do třetí země?
Retenční doba — jak dlouho data uchováváme

Krok 2: Hodnocení nezbytnosti a přiměřenosti

Odpovězte na:

Je účel zpracování legitimní a jasně definovaný?
Je zpracování nezbytné pro dosažení účelu (princip minimalizace dat)?
Existuje méně invazivní způsob dosažení téhož účelu?
Jsou splněny zákonné podmínky pro zpracování (souhlas, smlouva, zákonná povinnost, oprávněný zájem)?

Krok 3: Identifikace rizik

Pro každou kategorii dat identifikujte rizika:

Riziko	Pravděpodobnost	Závažnost	Celkové riziko
Neoprávněný přístup k datům	Střední	Vysoká	Vysoké
Únik dat na veřejnost	Nízká	Velmi vysoká	Vysoké
Nesprávnost dat (chyby v hodnocení)	Střední	Střední	Střední
Nadměrné uchování dat	Vysoká	Nízká	Střední
Diskriminace na základě AI hodnocení	Nízká	Velmi vysoká	Vysoké

Krok 4: Identifikace opatření

Pro každé identifikované riziko definujte opatření:

Technická opatření: šifrování, přístupová kontrola (RBAC), anonymizace, pseudonymizace, audit log
Organizační opatření: školení zaměstnanců, politiky přístupu, pravidelné přezkumy
Smluvní opatření: zpracovatelské smlouvy s dodavateli (DPA), smluvní záruky

Krok 5: Zbytkové riziko

Po aplikaci opatření: jaké riziko zůstává? Je toto přijatelné?

Pokud zbytkové riziko je stále “vysoké” → povinná konzultace s ÚOOÚ (čl. 36 GDPR).

Krok 6: Konzultace se subjekty nebo zástupci

Doporučeno (ne vždy povinné): konzultujte s:

Zástupci zaměstnanců (pokud jde o zpracování dat zaměstnanců)
DPO (Data Protection Officer) — pokud ho máte
Externím GDPR poradcem

Krok 7: Dokumentace a schválení

DPIA musí být zdokumentována a schválena:

Vedením firmy (nejčastěji jednatel / CEO)
DPO (pokud existuje)
Datem schválení a plánovaným přezkumem

Krok 8: Implementace a monitorování

Implementujte identifikovaná opatření
Naplánujte pravidelný přezkum DPIA (alespoň ročně nebo při změně zpracování)
Zaznamenejte DPIA do záznamu o zpracovatelských činnostech (čl. 30 GDPR)

Praktický příklad: DPIA pro HR modul s docházkovým systémem (NFC čip)

Krok 1: Popis

Účel: evidování pracovní doby zaměstnanců
Data: jméno, příjmení, časy přichodů/odchodů, celkové hodiny, absence
Subjekty: zaměstnanci (80 osob)
Příjemci: HR, manažeři, mzdová účetní, případně kontrolní orgány
Přenosy: ne (vše v EU ERP)
Retence: 3 roky (zákoník práce) + 10 let (mzdové záznamy)

Krok 2: Nezbytnost

Zpracování nezbytné pro plnění pracovní smlouvy a zákonných povinností ✓
Právní základ: plnění smlouvy (čl. 6 odst. 1 písm. b) + zákonná povinnost (čl. 6 odst. 1 písm. c)
NFC čip je méně invazivní než biometrie (otisk prstu) ✓

Krok 3: Rizika

Přesné pracovní doby odhalí zdravotní absenci → citlivé data → STŘEDNÍ riziko
Přesné pohybové vzorce zaměstnanců → STŘEDNÍ riziko
Únik dat k třetím stranám → STŘEDNÍ riziko

Krok 4: Opatření

RBAC — záznamy docházky vidí jen HR a přímý nadřízený ✓
Šifrování v databázi (AES-256) ✓
Audit log přístupů ✓
Retenční politika (automatická anonymizace po 3 letech) ✓
Zpracovatelská smlouva s Modulario ✓

Krok 5: Zbytkové riziko — NÍZKÉ → DPIA schválena bez konzultace s ÚOOÚ

Nejčastější chyby při DPIA

Chyba 1: DPIA dělají “formálně”

DPIA se vyplní za 30 minut jako checkbox. Bez skutečné analýzy rizik. Při incidentu je DPIA k ničemu a ÚOOÚ to pozná.

Chyba 2: DPIA se neaktualizuje

DPIA pro HR modul vytvořená při nasazení systému v 2022. V 2025 se přidalo AI hodnocení výkonu zaměstnanců — bez aktualizace DPIA. Přitom každá zásadní změna zpracování vyžaduje novou nebo aktualizovanou DPIA.

Chyba 3: Chybí opatření pro high-risk

DPIA identifikuje vysoká rizika, ale opatření jsou vágní (“zajistíme bezpečnost”). Opatření musí být konkrétní, měřitelná a implementovaná.

Chyba 4: Neprobíhá konzultace s DPO

Pokud firma má DPO, musí být zapojen do DPIA. Bez DPO konzultace je DPIA formálně neúplná.

Chyba 5: Chybí dokumentace v záznamu o zpracování

Záznamy o zpracovatelských činnostech (čl. 30 GDPR) musí odkazovat na DPIA pro relevantní zpracování.

Modulario a DPIA podpora

Modulario pro zákazníky poskytuje:

DPIA šablona pro každý ERP modul (HR, CRM, Financie, Sklad) — ke stažení v zákaznickém portálu
Zpracovatelská smlouva (DPA) dle čl. 28 GDPR — standardní součást každé smlouvy
Seznam subprocesorů (AWS Frankfurt, SendGrid, Twilio) — pravidelně aktualizovaný
Audit log exportovatelný — pro potřeby DPIA a ÚOOÚ auditu
GDPR modul v ERP — vedení záznamu o zpracovatelských činnostech přímo v systému

Pro DPIA konzultaci kontaktujte privacy@modulario.com nebo viz /cs/bezpecnost.

Časté otázky

Kdy je DPIA povinná? GDPR čl. 35 definuje tři kategorie: systematické hodnocení fyzických osob na základě automatizovaného zpracování (AI skórování), rozsáhlé zpracování citlivých dat (zdravotní záznamy, biometrika), systematické monitorování (GPS, kamery). Pro každý nový ERP modul doporučujeme quick screening.

Jak dlouho trvá zpracování DPIA? Quick screening: 2–4 hodiny. Základní DPIA pro standardní ERP modul: 3–5 pracovních dnů. Komplexní DPIA pro high-risk zpracování: 2–4 týdny. Konzultace s ÚOOÚ: přičtěte 8 týdnů.

Co se stane, když DPIA neudělám? Pokuta až 10 mil. EUR nebo 2 % ročního obratu. Při incidentu je chybějící DPIA pro high-risk zpracování přitěžující okolností při rozhodování o výši sankce.

Milan Cák

Modulario

Často kladené otázky

Kdy je DPIA povinná?

GDPR čl. 35 definuje tři kategorie, kdy je DPIA povinná: (1) systematické a rozsáhlé hodnocení fyzických osob na základě automatizovaného zpracování (profilování) — sem patří AI skórování klientů nebo zaměstnanců; (2) rozsáhlé zpracování citlivých kategorií dat (zdravotní záznamy, biometrika, odborová příslušnost, trestní záznamy, sexuální orientace, náboženství); (3) systematické monitorování veřejně přístupné oblasti. ÚOOÚ vydal seznam operací vyžadujících DPIA — viz https://www.uoou.cz/. Doporučení: pro každý nový ERP modul zpracovávající osobní data proveďte quick screening (< 2 hodiny) a rozhodněte, zda plná DPIA nutná.

Jak dlouho trvá zpracování DPIA?

Quick screening: 2–4 hodiny (rozhodnutí, zda plná DPIA nutná). Základní DPIA pro standardní ERP modul (HR, CRM): 3–5 pracovních dnů. Komplexní DPIA pro high-risk zpracování (AI hodnocení zaměstnanců, rozsáhlé profilování): 2–4 týdny. Pokud konzultujete s ÚOOÚ (dobrovolná konzultace nebo povinná předběžná konzultace dle čl. 36): přičtěte 8 týdnů (zákonná lhůta pro odpověď). Doporučení: mějte připravenou šablonu DPIA a vyplňte ji pro každý nový ERP modul nebo zásadní změnu zpracování.

Co se stane, když DPIA neudělám?

GDPR čl. 83 odst. 4: za nesplnění povinnosti DPIA hrozí pokuta až 10 mil. EUR nebo 2 % ročního světového obratu (vyšší z obou). V praxi ÚOOÚ může uložit nápravné opatření s termínem a při neplnění escalovat sankce. Důležitější než pokuta: bez DPIA nevíte o rizicích zpracování, a pokud dojde k bezpečnostnímu incidentu s osobními daty, ÚOOÚ posoudí vaší péči — chybějící DPIA u high-risk zpracování je přitěžující okolnost.

Související články

Bezpečnost a compliance

Bezpečnost a compliance cloudového ERP v 2026

Komplexní průvodce bezpečností a compliance pro cloudové ERP — GDPR, NIS2, DORA, AI Act, ISO 27001, CLOUD Act/Schrems II, šifrování, audit log, BCP/DRP. Pro CZ/SK SMB firmy.

22 min čítania

Bezpečnost a compliance

DORA: co musí vědět finanční sektor a uživatelé ERP

Praktický průvodce nařízením DORA (EU 2022/2554) pro finanční instituce a jejich ERP systémy — 5 pilířů, ICT třetí strany, reportovací povinnosti a implementační checklist.

10 min čítania

Bezpečnost

NIS2 směrnice v praxi: koho se týká a jaké jsou povinnosti firmy

NIS2 směrnice EU pro SMB v CZ a SK: koho se týká, klíčové povinnosti, sankce až 10 mil. EUR, postup přípravy a vztah k ERP/CRM systémům.

10 min čítania