Přejít na hlavní obsah
Řešení

V souladu s GDPR
Správa dokumentů

GDPR pro nás není jen zaškrtávací políčko. Každé architektonické rozhodnutí – kde jsou data uložena, jak je AI zpracovává, jak funguje šifrování – bylo učiněno s ohledem na právo EU. Protože jsme firma z EU a tohle je jediný způsob, jakým bychom to chtěli stavět.

Poslední aktualizace: duben 2026

Skutečně potřebujete DMS v souladu s GDPR?

  • Pokud vaše firma ukládá dokumenty obsahující osobní údaje – jména, adresy, finanční údaje, záznamy o zaměstnancích – GDPR se na vás vztahuje. Nezáleží na tom, zda máte 5 zákazníků nebo 50 000. Vymáhání dosáhlo jen v roce 2025 pokut ve výši 1,145 miliardy € a regulační orgány se stále častěji zaměřují na malé a střední podniky, nejen na Big Tech.
  • Systém správy dokumentů v souladu s GDPR z vás sám o sobě neudělá firmu splňující všechny předpisy. Odstraňuje však technické překážky, které soulad s předpisy znemožňují: vědět, jaká data držíte, najít je na vyžádání, kontrolovat, kdo k nim má přístup, a v případě potřeby je smazat.
  • Sečteno a podtrženo: Pokud ukládáte dokumenty s osobními údaji na Google Drive, Dropboxu nebo sdíleném síťovém disku (NAS), máte problém s GDPR, o kterém možná ani nevíte. DMS účelově vytvořený s hostingem v EU, šifrováním a auditními stopami vám poskytuje technický základ, který nařízení vyžaduje.

7 zásad GDPR a co znamenají pro správu dokumentů

Článek 5 GDPR definuje sedm zásad, kterými se řídí veškeré zpracování osobních údajů. Každý systém správy dokumentů, který používáte, musí tyto zásady podporovat – jinak stavíte soulad s předpisy na základech, které neobstojí. Zde je to, co každá zásada znamená v praxi při ukládání, organizování a vyhledávání dokumentů obsahujících osobní údaje.

Zásada Článek GDPR Dopad na správu dokumentů
Zákonnost, korektnost a transparentnost Čl. 5 odst. 1 písm. a) Pro uložení každého dokumentu obsahujícího osobní údaje musíte mít zákonný základ. Vaše DMS by mělo jasně ukazovat, jaká data jsou uložena, proč a jak jsou zpracovávána – auditní stopy a protokoly aktivit slouží tomuto požadavku na transparentnost.
Účelové omezení Čl. 5 odst. 1 písm. b) Dokumenty shromážděné pro jeden účel (např. plnění smlouvy) nelze bez nového zákonného základu použít k jinému účelu. Vaše DMS nesmí používat obsah dokumentů pro nesouvisející účely – například k trénování modelů AI na vašich datech.
Minimalizace údajů Čl. 5 odst. 1 písm. c) Ukládejte pouze dokumenty, které jsou přiměřené, relevantní a nezbytné. DMS s full-textovým vyhledáváním a AI klasifikací vám pomůže identifikovat nadbytečné nebo nepotřebné dokumenty a odstranit je – namísto uchovávání všeho „pro jistotu“.
Přesnost Čl. 5 odst. 1 písm. d) Osobní údaje musí být přesné a aktualizované. Když subjekt údajů požádá o opravu podle čl. 16, musíte najít každý dokument obsahující jeho zastaralé informace. Full-textové vyhledávání v celém archivu to činí proveditelným.
Omezení uložení Čl. 5 odst. 1 písm. e) Osobní údaje nesmí být uchovávány déle, než je nezbytné. To vyžaduje plány uchovávání a schopnost najít a smazat dokumenty podle data, typu a subjektu údajů. Bez DMS je vymáhání retence v rozptýlených složkách prakticky nemožné.
Integrita a důvěrnost Čl. 5 odst. 1 písm. f) Dokumenty musí být chráněny před neoprávněným přístupem, náhodnou ztrátou nebo zničením. To znamená šifrování uložených dat i dat při přenosu, řízení přístupu na základě rolí a zabezpečení infrastruktury – nikoli jen heslo ke sdílené složce.
Odpovědnost Čl. 5 odst. 2 Musíte být schopni soulad s předpisy prokázat – nejen ho deklarovat. Auditní stopy, které zaznamenávají, kdo k jakému dokumentu přistoupil, kdy a jakou akci provedl, jsou nezbytné. Pokud dozorový úřad požádá o důkaz, odpověď „dodržujeme osvědčené postupy“ nestačí.

Technické požadavky na správu dokumentů v souladu s GDPR

GDPR nepředepisuje konkrétní technologie – článek 32 vyžaduje „vhodná technická a organizační opatření“ založená na stavu techniky, nákladech a rizicích. V praxi se pro systémy správy dokumentů zpracovávající osobní údaje staly standardem čtyři technické schopnosti, které dozorové úřady očekávají. Standardizovaná šablona DPIA (v1.0) od EDPB z března 2026 to potvrzuje požadavkem, aby správci při posuzování rizik zpracování dokumentovali právě tato opatření.

Šifrování uložených dat a dat při přenosu

Článek 32 odst. 1 písm. a) uvádí šifrování jako vhodné bezpečnostní opatření. Průmyslovým standardem je šifrování AES-256 pro uložená data a TLS 1.2+ pro data při přenosu. Veluvanto používá SSE-C (Server-Side Encryption s klíči poskytnutými zákazníkem) pro uložená data a TLS pro veškerá data při přenosu. Vaše dokumenty jsou šifrovány od okamžiku, kdy opustí váš prohlížeč, až do okamžiku uložení – a šifrovací klíče nejsou sdíleny s poskytovatelem infrastruktury.

Řízení přístupu a autentizace

Článek 32 odst. 1 písm. b) vyžaduje schopnost zajistit neustálou důvěrnost systémů zpracování. V praxi to znamená řízení přístupu na základě rolí (RBAC): ne každý ve vaší organizaci by měl vidět každý dokument. Veluvanto implementuje oprávnění na úrovni pracovních prostorů s rolemi Administrátor, Editor a Prohlížeč. Každý uživatel se autentizuje individuálně – žádné sdílené přihlašovací údaje, žádný anonymní přístup. Každá akce je spojena s ověřenou identitou.

Auditní stopy a záznamy o zpracování

Článek 30 vyžaduje, aby správci vedli záznamy o činnostech zpracování. U správy dokumentů to znamená automatické protokolování toho, kdo k jakému dokumentu přistoupil, kdy a jakou akci provedl (zobrazení, úprava, stažení, smazání). Veluvanto udržuje protokoly aktivit pro každý pracovní prostor, které slouží jako základ pro vaše záznamy podle čl. 30. Tyto protokoly nejsou upravitelné a členové pracovního prostoru je nemohou smazat.

Smlouvy o zpracování dat a další zpracovatelé

Článek 28 vyžaduje Smlouvu o zpracování údajů (DPA) s každým zpracovatelem, který vaším jménem nakládá s osobními údaji. To zahrnuje vašeho poskytovatele DMS, jeho poskytovatele cloudové infrastruktury a veškeré služby AI používané ke zpracování dokumentů. Zpracování pomocí AI ve Veluvanto využívá rozhraní Google Gemini Enterprise API v rámci smlouvy o zpracování dat s nulovým uchováváním (zero-retention) — vaše dokumenty jsou zpracovány v operační paměti a okamžitě smazány. Nikdy se neukládají na servery Google a nikdy se nepoužívají k trénování modelů.

Vyřizování žádostí subjektů údajů: Proces ve 4 krocích

Podle GDPR mají jednotlivci právo na přístup ke svým údajům (čl. 15), právo na opravu (čl. 16), právo na výmaz (čl. 17) a právo na přenositelnost údajů (čl. 20). Musíte odpovědět do 30 dnů. Pro firmy spoléhající na e-mailové archivy, sdílené disky nebo papírové šanony může jen vyhledání všech dokumentů souvisejících s jednou osobou trvat dny. DMS s full-textovým vyhledáváním to zkrátí na minuty.

1

Identifikace: Najděte každý dokument obsahující informace subjektu údajů

Vyhledejte jméno, e-mailovou adresu nebo jiné identifikátory subjektu údajů v celém archivu dokumentů. Full-textové vyhledávání Veluvanto pokrývá obsah každého dokumentu – včetně naskenovaných PDF zpracovaných pomocí OCR. Takto se objeví faktury, smlouvy, korespondence a jakýkoli jiný dokument zmiňující danou osobu, bez ohledu na název souboru nebo umístění ve složce.

2

Kontrola: Posuďte, co musí být zpřístupněno, uchováno nebo smazáno

Ne každý dokument musí být zpřístupněn nebo smazán. Právní povinnosti (požadavky na uchovávání daňových dokladů, probíhající smluvní závazky) mohou převážit nad právem na výmaz podle čl. 17 odst. 3. Projděte výsledky vyhledávání a kategorizujte je: dokumenty ke zpřístupnění, dokumenty ke smazání a dokumenty, které jste ze zákona povinni uchovat. Své rozhodnutí zdokumentujte – vyžaduje to zásada odpovědnosti podle čl. 5 odst. 2.

3

Akce: Export, oprava nebo smazání – s auditní stopou

Pro žádosti o přístup (čl. 15): exportujte příslušné dokumenty v běžně používaném formátu. Export z Veluvanto poskytuje originální soubory plus strukturovaná metadata. Pro opravu (čl. 16): aktualizujte nebo nahraďte nepřesné dokumenty. Pro výmaz (čl. 17): smažte identifikované dokumenty. Každá akce – export, úprava, smazání – je zaznamenána v protokolu aktivit Veluvanto s časovým razítkem a identitou uživatele.

4

Potvrzení: Odpovězte subjektu údajů a uchovejte důkaz o souladu

Odpovězte subjektu údajů v 30denní lhůtě a potvrďte, jaké kroky jste podnikli. Uchovejte záznamy z auditní stopy jako důkaz, že jste žádosti vyhověli. Pokud by dozorový úřad později prováděl šetření, musíte prokázat nejen to, že jste odpověděli, ale i to, jak jste hledali, co jste našli a jak jste s tím naložili. Protokol aktivit slouží jako tento důkaz.

Hosting v EU vs. USA: Právní dopady na správu dokumentů

Umístění serverů pro správu vašich dokumentů není jen technický detail – je to právní rozhodnutí s reálnými důsledky. Podle amerického zákona CLOUD Act (2018) mohou americké úřady donutit jakoukoli společnost se sídlem v USA k vydání dat uložených na jejích serverech, bez ohledu na to, kde se tyto servery fyzicky nacházejí. To znamená, že ukládání dokumentů na Google Drive, Dropbox, OneDrive nebo Notion – což jsou všechno americké společnosti – vystavuje vaše data potenciálnímu přístupu vlády USA, i když jsou servery v EU. Rozsudek Schrems II (SDEU, červenec 2020) zneplatnil štít EU-USA Privacy Shield právě z tohoto důvodu: americké sledovací zákony byly shledány neslučitelnými se základními právy EU. Rámec pro ochranu osobních údajů mezi EU a USA přijatý v roce 2023 poskytuje nové rozhodnutí o odpovídající ochraně, ale právní výzvy pokračují a Evropský sbor pro ochranu osobních údajů (EDPB) nadále doporučuje doplňková opatření pro jakýkoli přenos dat z EU do USA.

Veluvanto tuto právní složitost zcela eliminuje. Jako česká společnost registrovaná a působící podle práva EU ukládá Veluvanto veškerá data výhradně v datových centrech v EU. Neexistuje žádná mateřská společnost v USA, žádná americká dceřiná společnost ani korporátní struktura, která by vaše data podřídila zákonu CLOUD Act. AI zpracování využívá Google Gemini Enterprise API na základě smlouvy o nulovém uchovávání dat – dokumenty jsou zpracovávány v paměti v EU a okamžitě odstraněny. Žádné osobní údaje nejsou v žádném okamžiku přenášeny do Spojených států ani tam ukládány. Pro organizace, které potřebují prokázat soulad s GDPR klientům, partnerům nebo dozorovým úřadům, je hosting pouze v EU u společnosti se sídlem v EU nejčistší dostupnou právní pozicí.

Kontrolní seznam souladu s GDPR: Jak si vede Veluvanto

Transparentnost buduje důvěru. Namísto obecných tvrzení o souladu zde uvádíme upřímné posouzení toho, jak Veluvanto řeší jednotlivé klíčové požadavky GDPR pro správu dokumentů. Tam, kde máme mezery, to přiznáváme.

Jsou všechna data uložena v rámci EU? — Ano. Veškerá úložiště dokumentů a zálohy jsou v datových centrech v EU. Žádná data neopouštějí EU. Veluvanto je česká firma – žádná mateřská entita v USA, žádné vystavení zákonu CLOUD Act.
Jsou data šifrována při uložení i při přenosu? — Ano. Šifrování SSE-C (AES-256) u uložených dat s klíči poskytnutými zákazníkem. Šifrování TLS pro veškerá data při přenosu. Šifrovací klíče nejsou sdíleny s poskytovatelem infrastruktury.
Mohou subjekty údajů uplatňovat svá práva (přístup, výmaz, přenositelnost)? — Ano. Kompletní export dat podporuje přenositelnost (čl. 20). Mazání dokumentů s auditní stopou podporuje výmaz (čl. 17). Full-textové vyhledávání umožňuje najít všechna data související s konkrétní osobou pro žádosti o přístup (čl. 15).
Jsou činnosti zpracování protokolovány (čl. 30)? — Ano. Protokoly aktivit zaznamenávají, kdo k dokumentu přistoupil, kdo jej upravil nebo smazal, včetně časových razítek. Tyto protokoly jsou neměnné a slouží jako základ pro vaše záznamy o činnostech zpracování.
Odpovídá zpracování AI požadavkům na ochranu dat? — Ano. AI využívá Google Gemini Enterprise API se smlouvou o nulovém uchovávání dat. Dokumenty jsou zpracovány v paměti a okamžitě odstraněny – nikdy se neukládají, necachují ani nepoužívají k trénování modelů. Systém je také navržen pro soulad s Aktem o AI (EU AI Act).
Jsou k dispozici automatizované zásady uchovávání a mazání? — Zatím ne. Veluvanto v současné době nenabízí automatizované plány uchovávání ani pravidla pro mazání na základě času. Dokumenty můžete mazat ručně a pomocí vyhledávání identifikovat expirované záznamy, ale automatické vymáhání omezení uložení podle čl. 5 odst. 1 písm. e) je v plánu, nikoli zatím v provozu.
Má Veluvanto certifikaci ISO 27001 nebo SOC 2? — Ne. Veluvanto samo o sobě nemá certifikaci ISO 27001 nebo SOC 2. Náš poskytovatel infrastruktury je držitelem certifikace ISO 27001. Implementujeme bezpečnostní opatření v souladu s těmito standardy, ale neprošli jsme nezávislou certifikací. Pokud vaše organizace vyžaduje certifikaci dodavatele, je to pro vás omezení.
Poskytuje Veluvanto šablonu Smlouvy o zpracování dat (DPA)? — Nikoli jako samoobslužnou šablonu. Smlouva o zpracování osobních údajů (DPA) pokrývající zpracování vašich údajů společností Veluvanto je k dispozici na vyžádání. V současné době neposkytujeme předpřipravenou šablonu DPA pro vaše vlastní vztahy mezi správcem a zpracovatelem se třetími stranami.

Kdy Veluvanto není správnou volbou pro soulad s GDPR

Veluvanto je systém správy dokumentů pro freelancery, rodiny a malé firmy. Pokrývá technický základ pro ukládání a vyhledávání dokumentů v souladu s GDPR. Není to však podniková platforma pro řízení shody (compliance) a existují scénáře, kdy nestačí.

Zpracováváte zvláštní kategorie údajů ve velkém rozsahu (čl. 9) — Pokud pracujete s velkým množstvím zdravotních záznamů, biometrických údajů, genetických údajů nebo údajů odhalujících rasový či etnický původ, potřebujete systém s řízením přístupu na úrovni polí, dedikovanou auditní infrastrukturou a pravděpodobně specifickými certifikacemi pro daný sektor (např. ISO 27799 pro zdravotnictví). Řízení přístupu ve Veluvanto je na úrovni pracovního prostoru, nikoli na úrovni jednotlivých polí.
Potřebujete automatizované zásady retence s „legal hold“ — Pokud váš program shody vyžaduje, aby byly dokumenty automaticky mazány po definované době uchovávání – s výjimkami pro právní blokování (legal hold) během soudních sporů – potřebujete podnikový software pro správu záznamů (např. OpenText, M-Files). Veluvanto zatím nepodporuje automatickou retenci ani funkci legal hold.
Vaši klienti nebo regulátoři vyžadují certifikaci ISO 27001 nebo SOC 2 — Některá odvětví a nákupní procesy velkých firem vyžadují, aby dodavatelé byli držiteli certifikace ISO 27001 nebo SOC 2 Type II. Veluvanto tyto certifikace nemá. Pokud je to ve vašem procesu výběru dodavatele striktní požadavek, Veluvanto neprojde vaším bezpečnostním dotazníkem.

Upřímnost ohledně omezení je součástí budování důvěry. Pokud vaše potřeby přesahují to, co Veluvanto nabízí, raději vám to řekneme předem, než abyste to zjistili až po migraci dokumentů. Pro většinu freelancerů, rodin a malých firem poskytuje Veluvanto silný základ v souladu s GDPR. Pro regulované podniky s komplexními požadavky na shodu jsou lepší volbou specializované podnikové platformy.

Související průvodci

Digitální archivace dokumentů

Uchovávání, auditní stopy a dlouhodobé ukládání – jak digitální archivace podporuje soulad s GDPR.

Software pro správu dokumentů (DMS)

Co DMS software dělá, jak si vybrat a proč AI v roce 2026 mění pravidla hry.

Směrnice NIS2 a správa dokumentů

NIS2 a GDPR se v oblasti dokumentace výrazně překrývají – zde je to, co přidává kyberbezpečnostní směrnice.

Často kladené otázky

Kde přesně jsou moje data uložena?
Všechna data jsou uložena v datových centrech v EU provozovaných poskytovateli infrastruktury se sídlem v EU. Zálohy jsou uloženy u jiného poskytovatele v EU. Žádná data – dokumenty, metadata ani vstupy pro zpracování AI – nikdy neopouštějí Evropskou unii. Veluvanto je zapsáno v České republice a nemá žádnou mateřskou ani dceřinou společnost v USA.
Posílá zpracování AI moje data mimo EU?
Ne. Zpracování AI využívá Google Gemini Enterprise API na základě smlouvy o zpracování dat s nulovým uchováváním. Dokumenty jsou zpracovány v paměti a okamžitě odstraněny – nikdy se neukládají na servery Google, necachují se a nepoužívají se k trénování modelů. Zpracování probíhá v rámci EU.
Mohu exportovat všechna svá data, pokud se rozhodnu odejít?
Ano. Veluvanto podporuje kompletní export dat podle článku 20 (právo na přenositelnost údajů). Obdržíte všechny originální dokumenty v jejich původních formátech plus strukturovaná metadata (štítky, data, extrahované subjekty). Standardní formáty, žádné uzamčení u jednoho dodavatele (lock-in), žádná nutnost kontaktovat podporu.
Má Veluvanto certifikaci (ISO 27001, SOC 2)?
Ne. Veluvanto samo o sobě není držitelem certifikace ISO 27001 nebo SOC 2. Náš poskytovatel infrastruktury certifikaci ISO 27001 má. Implementujeme bezpečnostní opatření v souladu s těmito standardy – šifrování uložených dat (SSE-C/AES-256), TLS při přenosu, RBAC, neměnné auditní protokoly – ale neprošli jsme nezávislou certifikací. Pokud je certifikace dodavatele požadavkem vašeho nákupního oddělení, je to omezení, o kterém mluvíme otevřeně.
Jak si Veluvanto stojí v porovnání s alternativami hostovanými v USA z hlediska GDPR?
Služby hostované v USA (Google Drive, Dropbox, Notion, Evernote) provozují americké společnosti podléhající zákonu CLOUD Act, který umožňuje americkým úřadům přístup k datům bez ohledu na umístění serveru. Rozsudek Schrems II shledal toto neslučitelným se základními právy EU. Veluvanto je česká firma s daty výhradně v EU – platí pouze právo EU. Žádná rozhodnutí o odpovídající ochraně, žádná doplňková opatření, žádná právní nejistota.
Co se stane v případě porušení zabezpečení dat?
Podle článku 33 musí správci oznámit porušení zabezpečení osobních údajů dozorovému úřadu do 72 hodin od okamžiku, kdy se o něm dozvěděli. Protokoly aktivit a záznamy o přístupu ve Veluvanto vám pomohou posoudit rozsah jakéhokoli incidentu – které dokumenty byly zasaženy, kdo k nim měl přístup a kdy. Jako zpracovatel vás Veluvanto bez zbytečného odkladu upozorní, pokud se dozvíme o porušení týkajícím se vašich dat, a poskytne informace potřebné ke splnění vašich oznamovacích povinností.
Musím pro používání Veluvanto provést posouzení vlivu na ochranu osobních údajů (DPIA)?
Záleží na povaze a objemu osobních údajů, které zpracováváte. Podle článku 35 je DPIA vyžadováno, pokud je pravděpodobné, že zpracování „bude mít za následek vysoké riziko“ pro práva jednotlivců – například systematické monitorování nebo rozsáhlé zpracování citlivých údajů. Pro většinu freelancerů a malých firem ukládajících faktury, smlouvy a obchodní korespondenci není DPIA vyžadováno. EDPB v březnu 2026 zveřejnil standardizovanou šablonu DPIA (v1.0), která proces zjednodušuje, pokud jej přesto potřebujete provést.
Splňuje Veluvanto požadavky Aktu o AI?
Funkce AI ve Veluvanto – klasifikace dokumentů, extrakce metadat a AI asistent – jsou navrženy s ohledem na soulad s Aktem o AI. Systém AI je transparentní (vidíte, co AI extrahovala, a můžete to upravit), nečiní autonomní rozhodnutí s právními účinky a využívá zpracování bez uchovávání dat, takže vaše dokumenty nejsou nikdy použity k trénování modelů. Používání AI je protokolováno a auditovatelné.

Přestaňte dokumenty hledat. Začněte je nacházet.

Zdarma k vyzkoušení. Bez kreditky. Předplatné aktivujete, až budete chtít.

Vyzkoušet zdarma — bez karty Ceník

🔒 EU cloud · Bez kreditky · 14denní garance vrácení peněz