Převod osobních údajů při prodeji firmy

Při převodu firmy není rozhodující jen cena, smlouva nebo inventář – jde i o data. Pokud kupujete e-shop, výrobní závod nebo jakýkoli podnik, který pracuje s osobními údaji, stáváte se automaticky správcem těchto dat. A tím pádem přebíráte odpovědnost za jejich další zpracování, bezpečnost a právní soulad. Podcenění této oblasti může vést k sankcím od dozorového orgánu, případně k náhradě škody vůči poškozeným osobám.

Podle statistiky Úřadu pro ochranu osobních údajů z roku 2025 bylo v ČR provedeno více než 1 600 kontrol a výše uložených pokut za porušení GDPR přesáhla 75 milionů korun. Přitom zhruba 40 % případů se týkalo nesprávného předávání či převodu databází při změně vlastníka či reorganizaci firmy. To ukazuje, že převod podniku bez jasného nastavení ochrany dat není jen formalita – jde o reálné riziko pro kupujícího.

Nejdřív mapujte, co převádíte

Prvním krokem je přesně identifikovat, jaké osobní údaje přecházejí na nového vlastníka. Není to jen seznam zákazníků: jde o zaměstnance, dodavatele, kontakty z marketingových kampaní, databáze objednávek, a dokonce i e-maily či dokumenty uložené v cloudu. Každá kategorie dat má svůj účel zpracování, a proto je třeba zkontrolovat, zda právní titul, na jehož základě byla data původně zpracovávána, platí i po převodu.

V praxi to znamená: pokud byl souhlas zákazníka udělen původnímu vlastníkovi, nový vlastník často musí získat nový souhlas, případně přenastavit smluvní podmínky. Nepozorné převedení databáze bez právního titulu může znamenat okamžité porušení GDPR.

Smlouva je základ

V každé smlouvě o převodu obchodního závodu by mělo být jasně stanoveno, kdo je odpovědný za případná porušení před převodem. Kupující potřebuje mít jistotu, že za chyby z minulosti nebude platit z vlastních prostředků, pokud není výslovně ujednáno jinak. Stejně důležité je vymezit povinnost spolupráce při vyřizování žádostí subjektů údajů – například žádostí o výmaz nebo přístup k datům.

Po převodu by původní vlastník měl zlikvidovat všechny kopie dat, které již nejsou potřebné. Prakticky to znamená smazat zálohy, odstranit archivní dokumenty či šifrované kopie e-mailů. Bez toho hrozí, že stará data budou nadále existovat mimo kontrolu nového správce.

Praktická kontrola nového vlastníka

Kupující musí po převzetí podniku provést několik konkrétních kroků. Revize právních titulů zpracování dat je nutná: souhlasy, smluvní závazky, GDPR záznamy o činnostech zpracování. Následně je třeba aktualizovat interní dokumentaci – zásady zpracování dat, informační povinnosti na webu, interní směrnice.

Dalším bodem je ověření vztahů se zpracovateli třetích stran. Pokud IT služby, účetnictví nebo marketing zpracovávají data na základě starých smluv, je nutné je aktualizovat podle čl. 28 GDPR. Tím se zajistí, že zpracovatelé budou nadále jednat pouze na pokyn nového správce a bezpečně.

Nezanedbatelná je i technická bezpečnost. Přístupová práva, šifrování přenosů, zálohování, kontrola interních postupů – to všechno ovlivňuje riziko úniku dat a možné sankce. U vysoce rizikových činností se doporučuje aktualizovat posouzení vlivu na ochranu osobních údajů (DPIA).

Informování subjektů údajů

Subjekty, jejichž data jsou součástí převodu – zákazníci, zaměstnanci, dodavatelé – musí být informovány o změně správce. Nepřekročitelná lhůta je jeden měsíc od převzetí dat. Prakticky to znamená aktualizovat e-maily, web, smlouvy, interní pokyny a zajistit, aby bylo možné uplatnit práva subjektů údajů – přístup k datům, opravy, výmaz či omezení zpracování.

Co z toho plyne

Převod podniku není jen účetní či právní transakcí – je to přenesení zodpovědnosti za osobní údaje. Pro nový management to znamená jasný seznam kroků: identifikace dat, revize právních základů, smluvní ujednání s původním vlastníkem, aktualizace dokumentace, kontrola zpracovatelů, technická bezpečnost a komunikace se subjekty údajů. Chybný nebo nedbalý postup se nevyplácí – reálné pokuty, nároky poškozených a reputační škody mohou převýšit samotnou cenu transakce.

Firmy, které tuto oblast podcení, často nepoznají riziko, dokud není příliš pozdě. Statistiky ukazují, že téměř polovina kontrol ÚOOÚ se týká právě situací převodu dat. Naopak systematický přístup minimalizuje sankce a chrání reputaci. Přesné naplánování a integrace ochrany osobních údajů do celého procesu převodu podniku je proto pro malou či střední firmu strategickou nutností.