Od 1. januára 2026 by mal vstúpiť do platnosti nový zákon o ochrane osobných údajov (Návrhy zákonov LP/2025/305 a LP/2025/306 sú momentálne v legislatívnom procese). Máme pred sebou niekoľko mesiacov na prípravu. Tento článok vám poskytne komplexný časový plán a konkrétne kroky, aby ste boli pripravení načas.
Prečo je príprava kritická?
Nestihnúť prípravu môže znamenať:
- ❌ Pokuty až do výšky 20 miliónov EUR alebo 4 % obratu
- ❌ Nútené zastavenie činnosti
- ❌ Strata dôvery zákazníkov
- ❌ Poškodenie reputácie
- ❌ Právne spory
- ❌ Strata konkurenčných kontraktov (mnohí vyžadujú GDPR compliance)
Na druhej strane, včasná príprava prináša:
- ✅ Pokoj a istota
- ✅ Konkurenčná výhoda
- ✅ Dôvera zákazníkov
- ✅ Lepšie procesy
- ✅ Minimálne riziko pokút
Timeline prípravy: Mesiac po mesiaci
AUGUST 2025: Zhodnotenie a plánovanie
Týždeň 1-2: Úvodné zhodnotenie
Akcie:
- Vytvorte projektový tím
- Určite project leadera (môže byť DPO, ak ho máte)
- Zapojte: IT, právnik/ov, HR, marketing, top management
- Stanovte zodpovednosti
- Oboznámte sa s novým zákonom
- Prečítajte si návrh zákona
- Identifikujte kľúčové zmeny oproti súčasnému stavu
- Zoznam relevantných zmien pre vašu organizáciu
- Úvodný audit
- Aké osobné údaje spracovávame?
- Kde sú uložené?
- Kto k nim má prístup?
- Máme potrebné zmluvy a dokumentáciu?
Deliverable: Úvodná správa o stave + zoznam medzier
Týždeň 3-4: Detailný plán
Akcie:
- Prioritizácia rizík
- Červená zóna: Kritické nedostatky (riešiť okamžite)
- Oranžová zóna: Významné medzery (riešiť do októbra)
- Žltá zóna: Menšie nedostatky (riešiť do decembra)
- Rozpočet
- Odhad nákladov na compliance
- Schválenie rozpočtu s vedením
- Alokácia zdrojov
- Akčný plán
- Konkrétne úlohy
- Zodpovedné osoby
- Termíny
- Míľniky
Deliverable: Detailný akčný plán so schváleným rozpočtom
SEPTEMBER 2025: Dokumentácia a procesy
Týždeň 1-2: Register spracovateľských činností
Akcie:
- Vytvorte/aktualizujte Register
- Zmapujte všetky spracovateľské činnosti
- Pre každú definujte: účel, právny základ, kategórie údajov, príjemcov, lehoty
- Elektronický formát (Excel/špecializovaný softvér)
- Identifikujte rizikové spracovávania
- Ktoré vyžadujú DPIA?
- Ktoré zahŕňajú citlivé údaje?
- Ktoré používajú nové technológie (AI)?
Deliverable: Kompletný Register spracovateľských činností
Týždeň 3-4: DPIA pre rizikové spracovávania
Akcie:
- Vypracujte DPIA pre identifikované rizikové činnosti
- Systematický opis spracovania
- Hodnotenie nevyhnutnosti a proporcionality
- Identifikácia rizík
- Návrh opatrení
- Konzultácia s DPO (ak ho máte)
- Pripomienky k DPIA
- Schválenie
Deliverable: DPIA dokumenty pre všetky rizikové spracovávania
OKTÓBER 2025: Technická implementácia
Týždeň 1-2: Bezpečnostné opatrenia
Akcie:
- Šifrovanie
- Identifikujte citlivé dáta vyžadujúce šifrovanie
- Implementujte disk encryption
- Šifrujte databázy s citlivými údajmi
- Šifrujte zálohy
- Prístupové kontroly
- Audit existujúcich prístupov
- Implementácia princípu najmenších privilégií
- Nastavenie Role-Based Access Control
- Viacfaktorová autentifikácia pre kritické systémy
- Monitoring a logovanie
- Nastavte centrálne logovanie
- Definujte, čo sa loguje
- Retention policy (minimálne 90 dní)
Deliverable: Implementované technické bezpečnostné opatrenia
Týždeň 3-4: Zálohovanie a incident response
Akcie:
- Zálohovací systém
- Implementujte pravidlo 3-2-1
- Automatizácia záloh
- Test obnovy dát
- Incident Response Plan
- Vytvorte písomný plán
- Kontakty (IT, DPO, právnik, PR)
- Proces notifikácie úradu (do 72 hodín)
- Komunikačné šablóny
- Penetračné testovanie (voliteľné, ale odporúčané)
- Hire external security audit
- Identifikácia zraniteľností
- Nápravné opatrenia
Deliverable: Funkčný zálohovací systém + Incident Response Plan
NOVEMBER 2025: Dokumentácia a zmluvy
Týždeň 1: Zásady ochrany osobných údajov
Akcie:
- Aktualizujte Privacy Policy na webe
- Zrozumiteľný jazyk (nie legal jargon)
- Detailné informácie o spracovaní
- Jasné vysvetlenie práv dotknutých osôb
- Kontaktné údaje (DPO, GDPR kontakt)
- Informačné letáky pre zákazníkov
- Krátke zhrnutie práv
- Ako uplatniť práva
- FAQ
Deliverable: Aktualizované Zásady ochrany osobných údajov
Týždeň 2: Súhlasy a formuláre
Akcie:
- Prepracujte všetky súhlasné formuláre
- Samostatné zaškrtávacie políčka (NEPREDVYPLNENÉ)
- Konkrétne a jasné znenie
- Informácia o práve odvolať súhlas
- Webové formuláre
- GDPR-compliant design
- Jasné označenie povinných/voliteľných polí
- Link na Privacy Policy
- Systém dokumentovania súhlasov
- Timestamp
- IP adresa
- Znenie súhlasu
- Možnosť exportu pre audit
Deliverable: GDPR-compliant formuláre a súhlasy
Týždeň 3: Zmluvy so sprostredkovateľmi
Akcie:
- Zoznam všetkých sprostredkovateľov
- IT dodávatelia
- Cloud služby
- Marketing tools
- Účtovníctvo
- HR systémy
- Data Processing Agreements (DPA)
- Požiadajte o DPA od každého sprostredkovateľa
- Overte GDPR compliance dodávateľov
- Podpíšte DPA
- Sub-processors
- Identifikujte, či sprostredkovatelia používajú sub-processors
- Overte ich GDPR compliance
Deliverable: Podpísané DPA zmluvy so všetkými sprostredkovateľmi
Týždeň 4: Interné politiky
Akcie:
- Vytvorte/aktualizujte interné politiky
- Politika hesiel
- Politika pre BYOD (Bring Your Own Device)
- Politika pre prácu z domu
- Politika reakcie na incidenty
- Politika uchovávania údajov
- Pracovné zmluvy a dodatky
- Aktualizujte zmluvné podmienky ohľadom ochrany údajov
- Dohody o mlčanlivosti
Deliverable: Kompletný balík interných politík
NOVEMBER 2025 (Špeciálne): Marketing a elektronická komunikácia
12. november 2025: DÔLEŽITÝ TERMÍN
POZOR: Od 12. novembra 2025 platia nové pravidlá pre priamu marketingovú komunikáciu!
Kritické akcie DO 12. novembra:
- Audit marketingovej databázy
- Ako ste získali kontakty?
- Máte platný súhlas?
- Soft opt-in aplikovateľný?
- Re-permission kampaň (ak potrebné)
- Email s prosbou o potvrdenie záujmu
- Jasné a jednoduché
- Deadline pre odpoveď
- Aktualizácia formulárov
- Samostatný súhlas s marketingom
- Oddelené súhlasy pre email/SMS/telefón
- Technická implementácia
- Double opt-in
- Jednoduchý unsubscribe
- Automatické spracovanie odhlásení
Deliverable: GDPR-compliant marketingové procesy a databáza
DECEMBER 2025: Školenia a finalizácia
Týždeň 1-2: Školenia zamestnancov
Akcie:
- Všeobecné GDPR školenie pre všetkých zamestnancov
- Čo je GDPR a prečo je dôležitý
- Aké údaje spracovávame
- Bezpečné praktiky
- Čo robiť pri incidente
- Kam hlásiť problémy
- Špecializované školenia
- IT tím: technická bezpečnosť, incident response
- HR: spracovanie zamestneckých údajov
- Marketing: nové pravidlá marketingu, súhlasy
- Zákaznícka podpora: vybavovanie práv dotknutých osôb
- Management: zodpovednosť, rozhodovanie
- Testovanie znalostí
- Krátky kvíz po školení
- Certifikát o absolvovaní
Deliverable: Preškolení zamestnanci + dokumentácia školení
Týždeň 3: Procesy pre práva dotknutých osôb
Akcie:
- Vytvorte procesy pre vybavovanie žiadostí
- Právo na prístup
- Právo na opravu
- Právo na vymazanie
- Právo na obmedzenie
- Právo na prenosnosť
- Právo namietať
- Vzory odpovedí
- Štandardizované šablóny
- Kladné odpovede
- Odmietnutia (s odôvodnením)
- Ticketing systém (alebo jednoduchý Excel)
- Evidencia žiadostí
- Sledovanie lehôt
- Upozornenia na blížiace sa deadliny
Deliverable: Funkčný systém na vybavovanie práv dotknutých osôb
Týždeň 4: Finálna kontrola
Akcie:
- Checklist compliance
- Prejdite si všetky povinnosti
- Zaškrtnite splnené
- Identifikujte zostávajúce medzery
- Mock audit
- Simulujte kontrolu úradu
- Pripravte si dokumentáciu
- Otestujte procesy
- Management review
- Prezentácia stavu vedeniu
- Identifikované riziká
- Plán na 2026
Deliverable: Finálna správa o pripravenosti
JANUÁR 2026: Spustenie a monitorovanie
1. január 2026: Nový zákon vstupuje do platnosti
Akcie v januári:
- Komunikácia
- Oznámenie zákazníkom o nových pravidlách
- Interná komunikácia zamestnancom
- Potenciálne FAQ na webe
- Monitoring
- Sledujte, či procesy fungujú
- Identifikujte problémy
- Rýchle nápravy
- Dokumentácia
- Zaznamenávajte všetko
- Evidencia incidentov
- Evidencia žiadostí
Deliverable: Hladký prechod na nový zákon
Rozpočet a zdroje
Malá firma (do 50 zamestnancov)
Minimálny rozpočet: 3 000 – 8 000 EUR
| Položka | Cena |
| Úvodný audit | 500 – 1500 EUR |
| Dokumentácia | 500 – 1000 EUR |
| Technické zabezpečenie | 500 – 2000 EUR |
| Školenia | 500 – 1000 EUR |
| Externí konzultant/DPO | 1000 – 2500 EUR |
Časový odhad: 100-200 hodín internej práce
Stredná firma (50-250 zamestnancov)
Stredný rozpočet: 10 000 – 30 000 EUR
| Položka | Cena |
| Compliance audit | 2000 – 5000 EUR |
| DPIA a dokumentácia | 2000 – 5000 EUR |
| Technická implementácia | 3000 – 10000 EUR |
| Školenia | 1500 – 3000 EUR |
| Externí DPO (ročne) | 6000 – 12000 EUR |
Časový odhad: 300-500 hodín internej práce
Veľká firma (250+ zamestnancov)
Väčší rozpočet: 50 000 – 200 000+ EUR
Závisí od zložitosti operácií, počtu lokácií, typov spracovávania.
Kľúčové míľniky – Quick Reference
✅ AUGUST 2025
→ Úvodný audit
→ Akčný plán
✅ SEPTEMBER 2025
→ Register spracovateľských činností
→ DPIA pre rizikové činnosti
✅ OKTÓBER 2025
→ Technické bezpečnostné opatrenia
→ Incident Response Plan
✅ 12. NOVEMBER 2025 ⚠️
→ Nové pravidlá marketingovej komunikácie
→ Re-permission kampaň dokončená
✅ NOVEMBER 2025
→ Aktualizovaná Privacy Policy
→ GDPR-compliant formuláre
→ DPA zmluvy podpísané
✅ DECEMBER 2025
→ Školenia zamestnancov
→ Procesy pre práva dotknutých osôb
→ Finálna kontrola
✅ 1. JANUÁR 2026 🎯
→ Nový zákon v platnosti
→ Monitorovanie a optimalizácia
Checklist: Ste pripravení?
Dokumentácia
- [ ] Register spracovateľských činností
- [ ] DPIA pre rizikové spracovávania
- [ ] Aktualizované Zásady ochrany osobných údajov
- [ ] Interné politiky a postupy
- [ ] Incident Response Plan
- [ ] DPA zmluvy so sprostredkovateľmi
Technológie
- [ ] Šifrovanie citlivých údajov
- [ ] Prístupové kontroly nastavené
- [ ] Monitoring a logovanie funkčné
- [ ] Zálohovanie podľa 3-2-1 pravidla
- [ ] Bezpečnostné opatrenia implementované
Procesy
- [ ] Proces pre vybavovanie práv dotknutých osôb
- [ ] Systém dokumentovania súhlasov
- [ ] Postup pri incidentoch
- [ ] Proces pre DPIA
Ľudia
- [ ] Zamestnanci preškolení
- [ ] DPO ustanovená (ak potrebná)
- [ ] Zodpovednosti jasne pridelené
- [ ] Kontaktné body definované
Marketing
- [ ] Marketingová databáza vyčistená
- [ ] Platné súhlasy
- [ ] GDPR-compliant formuláre
- [ ] Jednoduchý unsubscribe
Časté otázky
Čo ak to nestihneme?
- Pokračujte v práci aj po 1. januári
- Dokumentujte progres
- Pri kontrole preukážte úsilie o nápravu
- Úrad často najprv upozorní, než pokutuje
Môžeme to urobiť sami alebo potrebujeme externú pomoc?
Môžete sami, ak:
- Máte interné právne/IT know-how
- Malá organizácia s jednoduchým spracovaním
- Máte čas venovať sa tomu
Odporúčame externú pomoc, ak:
- Zložité spracovanie (veľa rôznych činností)
- Citlivé údaje (zdravotné, biometrické)
- Používate AI alebo iné pokročilé technológie
- Nemáte interné zdroje
Čo je najdôležitejšie?
Top 3 priority:
- Dokumentácia – musíte preukázať, čo robíte
- Bezpečnosť – chráňte údaje technicky
- Transparentnosť – informujte ľudí jasne
Ako udržať compliance po januári 2026?
- Pravidelné audity (min. ročne)
- Aktualizácia dokumentácie pri zmenách
- Priebežné školenia
- Monitoring nových usmernení úradu
- Priebežné zlepšovanie procesov
Záver
Príprava na nový zákon o ochrane osobných údajov v roku 2026 je náročná, ale zvládnuteľná úloha. Kľúčom je začať včas, postupovať systematicky a nedať sa odradiť. Tento sprievodca vám poskytol konkrétny timeline a akčný plán. Teraz je na vás, aby ste ho prispôsobili vašej špecifickej situácii a pustili sa do práce.
Pamätajte: GDPR nie je jednorazový projekt, ale kontinuálny proces. Aj po 1. januári 2026 budete musieť aktívne pracovať na udržaní compliance. Ale investícia sa oplatí – nielen sa vyhnete pokutám, ale vybudujete dôveru a získate konkurenčnú výhodu.
Veľa úspechov pri príprave! 🚀
Potrebujete podporu pri príprave na GDPR 2026? Kontaktujte certifikovaných GDPR konzultantov, ktorí vám pomôžu prejsť týmto procesom efektívne a včas. Nezat akejte do poslednej chvíle – začnite dnes!