DORA ochrana dat

autor: Monika Škubalová | Pro 5, 2025

Evropské dozorové orgány EBA, EIOPA a ESMA zveřejnily 10. října 2025 společné prohlášení k ochraně osobních údajů v rámci dohledu nad kritickými ICT třetími stranami (CTPP) podle nařízení DORA. Článek vysvětluje, jak je osobní data spravována, kdo je zodpovědný, jaká jsou práva subjektů a praktické dopady na subjekty finančního sektoru.

Správa dat a zodpovědnost

Klíčové osobní údaje jsou zpracovávány v rámci DORA dohledu, aby se zajistila digitální operační odolnost finančního sektoru EU. To zahrnuje jmenování kritických ICT poskytovatelů, hodnocení rizik, plánování šetření a následnou implementaci doporučení. Osobní data se využívají pro koordinaci mezi ESAs, národními orgány, experty a třetími zeměmi, čímž se snižuje riziko ICT výpadků, kybernetických útoků a dalších operačních hrozeb.

Každá z dozorových institucí je samostatným správcem dat, pokud definuje účely a prostředky zpracování samostatně. V případě společně definovaných činností (např. Oversight Forum, Joint Oversight Network, Joint Examination Teams) se uplatňuje společné správcovství, přičemž jakýkoli z ESA může řešit žádosti subjektů údajů s podporou ostatních.

Adresy a kontakty DPO jsou k dispozici:

EBA: info@eba.europa.eu, dpo@eba.europa.eu
EIOPA: fausto.parente@eiopa.europa.eu, dpo@eiopa.europa.eu
ESMA: DP.ED@esma.europa.eu, dpo@esma.europa.eu

Kategorie a typy dat

Zpracovávají se údaje účastníků dohledu, nezávislých expertů, zaměstnanců třetích stran, orgánů dohledu a dalších jednotlivců. Typy dat zahrnují:

Identifikační údaje: jméno, pozice, kontakt
Doplňkové údaje: životopisy, bankovní účty, konflikty zájmů, výkonové hodnocení
Technická data: logy, uživatelská jména, IP adresy, přístupová práva

Data mohou být sdílena s dalšími ESAs, národními orgány, CTPP, IT poskytovateli (Microsoft Azure, Brainloop, Telekom Deutschland) výhradně pro účely dohledu.

Doba uchování a přenosy do třetích zemí

Osobní údaje se uchovávají až 10 let, poté bezpečně vymazány nebo archivovány. Přenosy mimo EU/EEA jsou možné pouze s odpovídajícími zárukami, např. koordinace s neevropskými dozorovými orgány či společné inspekce.

Práva subjektů údajů

Každý subjekt má právo:

Přístup k údajům a kopii v čitelném formátu
Opravu, aktualizaci nebo vymazání dat
Omezení nebo námitku proti zpracování

Před poskytnutím těchto práv je prověřena totožnost, aby byla zajištěna ochrana dat. Omezení práv může být stanoveno podle čl. 25 EUDPR. Žádosti se podávají přímo DPO příslušné ESA.

Praktický dopad pro finanční subjekty a poskytovatele ICT služeb

Pro banky, pojišťovny a penzijní fondy, které využívají kritické ICT poskytovatele, znamená DORA zvýšenou odpovědnost za monitorování a reporting incidentů, pravidelné testování odolnosti systémů a řízení ICT rizik. Praktickým doporučením je:

Vytvořit interní auditní protokoly zahrnující CTPP kontakty
Zajistit pravidelnou kontrolu dodržování smluvních SLA
Implementovat nástroje pro sledování přístupu a logů
Školit zaměstnance o právech subjektů údajů

Tyto kroky minimalizují riziko sankcí a podporují důvěru klientů, což je klíčové pro privátní investiční poradenství.

Zajímavosti:

Data subjektů mohou být uchovávána až 10 let – extrémně dlouhá doba ve srovnání s běžnou praxí.
Přenosy do třetích zemí vyžadují formální záruky – nejedná se pouze o technickou záležitost, ale o právní odpovědnost.
Všechny dozorové aktivity jsou bez automatizovaného rozhodování, tedy žádné profily ani predikce na základě dat.

The views expressed in this article are not to be construed as personal advice. Therefore, you should contact a qualified, and ideally, regulated adviser in order to obtain up-to-date personal advice with regard to your own personal circumstances. Consequently, if you do not, then you are acting under your own authority and deemed “execution only”. The author does not accept any liability for people acting without personalised advice, who base a decision on views expressed in this generic article. Importantly, where this article is dated then it is based on legislation as of the date. Legislation changes but articles are rarely updated, although sometimes a new article is written; so, please check for later articles or changes in legislation on official government websites, as this article should not be relied on in isolation.

Vyjádřené názory v tomto článku nelze považovat za osobní poradenství. Vždy se proto obraťte na kvalifikovaného, ideálně regulovaného poradce, který vám poskytne aktuální, osobní doporučení šitá na míru vaší konkrétní situaci. Pokud se rozhodnete jednat bez takového poradenství, činíte tak na vlastní odpovědnost a vaše jednání spadá pod režim „execution only“ (pouhá realizace pokynu bez poradenství). Autor nepřijímá žádnou odpovědnost za rozhodnutí osob, které se spoléhají na názory uvedené v tomto obecném článku bez personalizovaného poradenství. Je důležité si uvědomit, že pokud je článek datován, vychází z právních předpisů platných k uvedenému datu. Právní předpisy se mohou měnit a články jsou aktualizovány jen zřídka. Doporučujeme proto vždy ověřit případné novější články nebo změny legislativy na oficiálních vládních stránkách, protože na tento článek nelze spoléhat izolovaně.

Follow us on Social Media

Post written by:
Autorem článku je:

Monika Škubalová

Monika působí v oblasti compliance a prevence finanční kriminality, kde se specializuje na nastavování vnitřních pravidel a kontrolních mechanismů chránících firmu před finančními a regulatorními riziky. Má zkušenosti s poskytováním odborného poradenství a zaváděním procesů v souladu s legislativou. Aktivně se podílí na vzdělávání interního týmu a podporuje firemní kulturu odpovědnosti a transparentnosti.

← Banky pod cizí značkou Nová pravidla investic →

Aisa International is the only financial advice service company specialising in advice for expats that is regulated as a Securities Trader in the Czech Republic, USA, and UK.

Get in touch today