Průběžný komentář · živý dokument · revize 7. 7. 2026

GDPR

Nařízení (EU) 2016/679 o ochraně osobních údajů. Co dělá, jak do sebe zapadají povinnosti a komentář ke každému z 99 článků, s úplným zněním. K tomu 32 vzorů dokumentů od doložky po stížnost. Citace držím proti oficiálnímu českému znění, ne proti shrnutím z druhé ruky.

TL;DR

GDPR sjednocuje ochranu osobních údajů v celé EU a dopadá i na firmy mimo Unii, které cílí na osoby v ní. Stojí na zásadách z čl. 5 (zákonnost, minimalizace, odpovědnost), šesti právních titulech z čl. 6 a katalogu práv subjektů, od přístupu přes výmaz po námitku. Firmám ukládá soulad, který jde doložit: záznamy o zpracování, zabezpečení, hlášení incidentů do 72 hodin, posouzení vlivu u rizikových zpracování a případně pověřence. Předání mimo EU jen přes podmínky kapitoly V. Dozor v ČR vykonává ÚOOÚ, pokuty sahají do 20 milionů eur nebo 4 % celosvětového obratu. Použije se od 25. 5. 2018.

O čem nařízení je

GDPR je přímo použitelné v celé Unii a technologicky neutrální. Neříká, jaký software smíte mít, říká, za jakých podmínek smíte zpracovávat údaje o lidech, a chce, abyste soulad uměli kdykoli doložit (zásada odpovědnosti). Přístup je rizikový, čím citlivější a rozsáhlejší zpracování, tím víc povinností nabíhá, od záznamů přes posouzení vlivu až po předchozí konzultaci s dozorovým úřadem. Česko nařízení doprovodilo zákonem č. 110/2019 Sb., který určil ÚOOÚ, snížil věk dítěte pro souhlas na 15 let a využil otevírací klauzule.

Mechanika povinností stojí na dvojici rolí. Správce určuje účely a prostředky a nese hlavní odpovědnost, zpracovatel pracuje pro něj na základě smlouvy podle čl. 28. Kolem toho se vrství povinnostní řetěz kapitoly IV: záměrná a standardní ochrana, záznamy o činnostech, zabezpečení, ohlašování porušení úřadu do 72 hodin a při vysokém riziku i dotčeným osobám, posouzení vlivu (DPIA) a pověřenec tam, kde ho čl. 37 vyžaduje.

Subjekt údajů člověk, o němž údaje jsou
správce informuje (čl. 13 a 14) subjekt uplatňuje práva (čl. 15 až 22)
Správce určuje účely a prostředky
smlouva a pokyny (čl. 28) zpracovává jen pro správce
Zpracovatel pracuje podle pokynů správce
ohlášení porušení do 72 hodin (čl. 33)
ÚOOÚ dozorový úřad
Stížnost podle čl. 77 jde od subjektu údajů přímo k ÚOOÚ, náhrada újmy podle čl. 82 k soudu.

Druhá polovina nařízení je vymáhací. Subjekt údajů má katalog práv z kapitoly III a tři cesty, jak je prosadit: bezplatnou stížnost u ÚOOÚ, žalobu proti správci a nárok na náhradu majetkové i nemajetkové újmy podle čl. 82. Přeshraniční případy řídí vedoucí dozorový úřad v režimu jediného kontaktního místa a spory mezi úřady závazně rozhoduje Evropský sbor pro ochranu osobních údajů.

Pro tenhle web je GDPR zajímavé ještě jako předloha. AI Act od něj převzal extrateritorialitu, ochranu v návrhu, posouzení dopadů (z DPIA se stala FRIA) i logiku čl. 22 o automatizovaném rozhodování, na kterou navazuje právo na vysvětlení v čl. 86 AI Actu. Obě nařízení se vrství, AI systém zpracovávající osobní údaje plní obojí. Srovnání běží na kartě AI Act.

Klíčové parametry

27. 4. 2016

Přijetí nařízení, v platnost vstoupilo dvacátým dnem po vyhlášení v Úředním věstníku.

25. 5. 2018

Použitelnost (čl. 99). Od tohoto data se GDPR vymáhá a nahradilo směrnici 95/46/ES i český zákon č. 101/2000 Sb.

24. 4. 2019

Účinnost českého adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Určuje ÚOOÚ jako dozorový úřad, snižuje věk dítěte pro souhlas na 15 let a provádí otevírací klauzule.

pokuty

Dvě pásma podle čl. 83, do 10 mil. eur nebo 2 % celosvětového obratu a do 20 mil. eur nebo 4 % (zásady, tituly, práva subjektů, předávání). Vždy platí vyšší z obou hodnot.

Judikatura v kostce

Rozhodnutí, na kterých praxe GDPR reálně stojí, po jedné větě. Odkazy vedou na primární zdroje, výběr se opírá i o přehledy portálu gdpr.cz, anotace jsou vlastní. U článků 4, 6, 7, 15, 22, 26, 32, 45, 57 a 82 jsou tatáž rozhodnutí zapracovaná přímo v komentářích.

  • C-582/14 Breyer (2016): dynamická IP adresa je osobní údaj, má-li správce právní cestu k doidentifikování člověka.
  • C-673/17 Planet49 (2019): předzaškrtnuté políčko není souhlas, u cookies se chce aktivní projev vůle.
  • C-40/17 Fashion ID (2019): web s vloženým tlačítkem sociální sítě je společným správcem pro sběr a přenos údajů návštěvníků.
  • C-311/18 Schrems II (2020): štít soukromí zrušen, standardní smluvní doložky vyžadují posouzení a případné dodatečné záruky.
  • C-252/21 Meta Platforms (2023): soulad s GDPR smí posoudit i soutěžní úřad a personalizovaná reklama bez řádného titulu neobstojí.
  • C-300/21 a C-340/21 (2023): náhrada újmy chce víc než porušení samo, žádný práh závažnosti ale neexistuje a stačit může i obava ze zneužití údajů po úniku.
  • C-579/21 Pankki S (2023): právo na přístup kryje i informaci, kdy a proč bylo do údajů nahlíženo.
  • C-446/21 Schrems v. Meta a C-621/22 KNLTB (2024): reklamní data podléhají minimalizaci bez neomezeného času a rozsahu, oprávněným zájmem může být i zájem čistě komerční.
  • C-394/23 Mousse (2025): oslovení pan nebo paní není pro prodej jízdenky nezbytné, minimalizace platí i pro drobnosti ve formulářích.
  • C-416/23 (2025): úřad nesmí odkládat stížnosti kvůli jejich počtu, odmítnout jde jen zjevně nedůvodné nebo nepřiměřené.
  • C-203/22 (2025): u automatizovaného rozhodování náleží srozumitelné vysvětlení použitého postupu, obchodní tajemství není absolutní překážka.
  • T-354/22 Bindl a T-553/23 Latombe (2025): Komise platila 400 eur za protiprávní přenos IP adresy do USA, rámec ochrany údajů EU–USA zatím před Tribunálem obstál.
  • C-413/23 P EDPS v. SRB (2025): posouzení, zda jsou pseudonymizovaná data osobními údaji, je relativní podle prostředků konkrétního aktéra.
  • C-97/23 P WhatsApp (2026): závazné rozhodnutí Evropského sboru pro ochranu osobních údajů lze napadnout přímo u unijních soudů.
  • Monitoring na pracovišti: štrasburská linie Bărbulescu proti Rumunsku (2017) a López Ribalda proti Španělsku (2019) plus česká praxe (NS 21 Cdo 1771/2011, NSS 10 As 245/2016): test proporcionality a předchozí informování zaměstnanců.

Vzory dokumentů

K nařízení patří papíry. Sada vlastních vzorů psaných od nuly podle textu nařízení pokrývá základní dokumentaci správce (doložka, záznamy, směrnice, zpracovatelská smlouva, balanční test), souhlasy, pověřence, porušení zabezpečení, vyřizování žádostí i dopisy pro subjekty údajů. Všech 32 vzorů →

Komentář k ustanovením

Všech 99 článků po kapitolách, u každého rovnou stručný komentář. Rozklikni článek a uvnitř je navíc úplné znění. Komentář se prohlubuje průběžně.

Kapitola I · čl. 1–4

Obecná ustanovení

Účel, na jaká zpracování nařízení dopadá, kam dosahuje a slovník pojmů.

Čl. 1 Předmět a cíle

Dvojjediný účel, ochrana fyzických osob při zpracování osobních údajů a volný pohyb údajů v Unii. Obě strany mince se používají při výkladu, ochrana není samoúčel a nesmí se z ní stát překážka vnitřního trhu.

Čl. 2 Věcná působnost

Dopadá na zcela i částečně automatizované zpracování a na manuální zpracování v evidencích. Mimo režim je čistě osobní a domácí činnost, činnost mimo právo Unie a trestněprávní oblast (tu kryje směrnice 2016/680, v ČR hlava III zákona č. 110/2019 Sb.).

Čl. 3 Místní působnost

Místní působnost. Vedle usazení v EU dopadá i na správce ze třetích zemí, kteří osobám v EU nabízejí zboží či služby nebo monitorují jejich chování. Extrateritoriální vzor, který později převzal AI Act v čl. 2.

Čl. 4 Definice

Slovník s 26 definicemi. Osobní údaj je pojatý široce (stačí identifikovatelnost, i nepřímá), zpracování je prakticky jakákoli operace s údaji. Klíčová je dělba správce (určuje účely a prostředky) a zpracovatele (zpracovává pro správce), na ní visí rozdělení povinností celého nařízení. Dynamická IP adresa je osobním údajem, má-li správce právní cestu k doidentifikování (C-582/14 Breyer), a posouzení, zda jsou pseudonymizovaná data osobními údaji, je relativní podle prostředků konkrétního aktéra (C-413/23 P EDPS v. SRB).

Kapitola II · čl. 5–11

Zásady

Nejcitovanější část nařízení. Zásady zpracování, právní tituly a zvláštní režimy pro citlivá data.

Čl. 5 Zásady zpracování osobních údajů

Sedm zásad, zákonnost, korektnost a transparentnost, účelové omezení, minimalizace, přesnost, omezení uložení, integrita a důvěrnost, a nad tím odpovědnost (accountability), tedy povinnost soulad nejen mít, ale umět doložit. Porušení zásad je v nejvyšším pokutovém pásmu čl. 83 odst. 5.

Čl. 6 Zákonnost zpracování

Šest právních titulů, souhlas, smlouva, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněný zájem. Oprávněný zájem vyžaduje balanční test proti právům subjektu. Odst. 4 řeší slučitelnost nového účelu s původním. První otázka každé analýzy zpracování zní, o který titul se opírá. Oprávněným zájmem může být i zájem čistě komerční (C-621/22 KNLTB), personalizovaná reklama Mety se ale o něj opřít nedokázala a porušení nařízení smí posoudit i soutěžní úřad (C-252/21 Meta Platforms).

Čl. 7 Podmínky vyjádření souhlasu

Souhlas musí být prokazatelný, srozumitelně oddělený od ostatních ujednání a odvolatelný stejně snadno, jako se udělil. Odst. 4 míří na vynucované souhlasy, plnění smlouvy nesmí být podmíněno souhlasem, který k plnění není potřeba. Předzaškrtnuté políčko souhlasem není (C-673/17 Planet49).

Čl. 8 Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

Souhlas dítěte u služeb informační společnosti. Výchozí hranice je 16 let, státy mohou snížit až na 13. Česko snížilo na 15 let (§ 7 zákona č. 110/2019 Sb.).

Čl. 9 Zpracování zvláštních kategorií osobních údajů

Zvláštní kategorie (zdraví, biometrika pro identifikaci, přesvědčení, orientace a další) se zásadně zpracovávat nesmí, ledaže dopadne některá z deseti výjimek, mj. výslovný souhlas, pracovní a sociální právo, životně důležité zájmy, zdravotní péče nebo veřejné zdraví.

Čl. 10 Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

Údaje o rozsudcích a trestných činech smí zpracovávat jen orgán veřejné moci, nebo kdokoli jiný jen na základě právního předpisu s vhodnými zárukami.

Čl. 11 Zpracování, které nevyžaduje identifikaci

Správce nemusí dosbírávat identifikační údaje jen proto, aby vyhověl nařízení. Pokud subjekt neidentifikuje, práva z čl. 15 až 20 se nepoužijí, ledaže subjekt identifikaci sám dodá.

Kapitola III · čl. 12–23

Práva subjektu údajů

Katalog práv, o která se opírají žádosti, stížnosti i spory.

Čl. 12 Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

Modality výkonu práv. Komunikace stručně, srozumitelně a bezplatně, odpověď bez zbytečného odkladu a nejpozději do měsíce, s možností prodloužení o dva měsíce u složitých žádostí. Zjevně nedůvodné nebo nepřiměřené žádosti lze odmítnout nebo zpoplatnit, důkazní břemeno nese správce.

Čl. 13 Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

Informační povinnost při získání údajů přímo od subjektu, totožnost správce, účely a tituly, příjemci, doba uložení, práva, případné automatizované rozhodování. Základ každé informační doložky.

Čl. 14 Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

Totéž pro údaje získané odjinud, navíc zdroj a kategorie údajů, ve lhůtě do měsíce nebo při prvním kontaktu. Výjimky mj. pro nepřiměřené úsilí u archivace a výzkumu.

Čl. 15 Právo subjektu údajů na přístup k osobním údajům

Právo na přístup, potvrzení o zpracování, informace o něm a kopie zpracovávaných údajů. Kopie nesmí zasáhnout do práv jiných. V praxi nejčastěji uplatňované právo a vstupní brána ke sporům. Subjekt má právo vědět, kdy a proč se do jeho údajů nahlíželo (C-579/21 Pankki S), a u automatizovaného rozhodování dostat srozumitelné vysvětlení použitého postupu, obchodní tajemství přitom není absolutní překážka (C-203/22).

Čl. 16 Právo na opravu

Právo na opravu nepřesných údajů a doplnění neúplných.

Čl. 17 Právo na výmaz („právo být zapomenut“)

Právo na výmaz, když odpadl účel, byl odvolán souhlas, vznikla úspěšná námitka nebo bylo zpracování protiprávní. Výjimky pro svobodu projevu, právní povinnosti, veřejné zdraví, archivaci a určení, výkon nebo obhajobu právních nároků. U zveřejněných údajů se přidává povinnost informovat další správce.

Čl. 18 Právo na omezení zpracování

Právo na omezení zpracování jako dočasná zádržná brzda po dobu sporu o přesnost, námitky nebo místo výmazu.

Čl. 19 Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Správce oznamuje opravy, výmazy a omezení všem příjemcům, kterým údaje zpřístupnil.

Čl. 20 Právo na přenositelnost údajů

Přenositelnost, údaje poskytnuté subjektem ve strojově čitelném formátu, případně předání přímo jinému správci. Jen u zpracování založeného na souhlasu nebo smlouvě a prováděného automatizovaně.

Čl. 21 Právo vznést námitku

Námitka proti zpracování z titulu oprávněného a veřejného zájmu, správce musí prokázat závažné oprávněné důvody, jinak končí. Proti přímému marketingu je námitka absolutní, po ní se zpracovávat nesmí.

Čl. 22 Automatizované individuální rozhodování, včetně profilování

Právo nebýt předmětem čistě automatizovaného rozhodnutí s právními nebo obdobně významnými účinky, s výjimkami (smlouva, právní základ, výslovný souhlas) a zárukami včetně lidského zásahu. Podle rozsudku SDEU ve věci C-634/21 SCHUFA (7. 12. 2023) je takovým rozhodnutím už automatizované vyhodnocení úvěruschopnosti (scoring), pokud na něm třetí strana zakládá své rozhodnutí rozhodujícím způsobem. Předobraz čl. 86 AI Actu, který na stejnou situaci míří z procesní strany.

Čl. 23 Omezení

Členské státy a Unie mohou práva omezit zákonem kvůli vyjmenovaným zájmům (bezpečnost, trestní řízení, výkon soudnictví a další), jen v nezbytném rozsahu.

Kapitola IV · čl. 24–43

Správce a zpracovatel

Povinnostní jádro pro firmy. Odpovědnost, smlouvy se zpracovateli, záznamy, zabezpečení, incidenty, DPIA a pověřenec.

Čl. 24 Odpovědnost správce

Odpovědnost správce, zavést vhodná technická a organizační opatření podle povahy a rizik zpracování a umět je doložit. Risk-based přístup, který se pak vrací v čl. 25, 32 a 35.

Čl. 25 Záměrná a standardní ochrana osobních údajů

Záměrná a standardní ochrana (privacy by design a by default). Ochrana údajů se promítá do návrhu systémů a výchozí nastavení zpracovává jen nezbytné minimum. Sesterský princip požadavků na návrh v AI Actu.

Čl. 26 Společní správci

Společní správci si ujednáním rozdělí povinnosti a podstatné shrnutí zpřístupní subjektům. Subjekt může práva uplatnit u kteréhokoli z nich, ujednání navenek nikoho neomezuje. Společným správcem je i provozovatel webu, který si vloží tlačítko sociální sítě sbírající údaje návštěvníků (C-40/17 Fashion ID).

Čl. 27 Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v Unii

Správci a zpracovatelé mimo EU, na které nařízení dopadá přes čl. 3, si ustanoví písemně pověřeného zástupce v Unii.

Čl. 28 Zpracovatel

Zpracovatel jen na základě smlouvy s povinnými náležitostmi odst. 3, pokyny správce, mlčenlivost, zabezpečení, podmínky řetězení dalších zpracovatelů, součinnost, výmaz či vrácení po skončení a auditní práva. Nejčastěji revidovaný smluvní typ celého nařízení.

Čl. 29 Zpracování z pověření správce nebo zpracovatele

Kdo má přístup k údajům, zpracovává je jen na pokyn správce.

Čl. 30 Záznamy o činnostech zpracování

Záznamy o činnostech zpracování za správce i zpracovatele. Výjimka pro organizace pod 250 zaměstnanců je děravá (neplatí u nepříležitostného zpracování, rizika nebo zvláštních kategorií), takže záznamy v praxi vede skoro každý.

Čl. 31 Spolupráce s dozorovým úřadem

Povinná součinnost s dozorovým úřadem na jeho žádost.

Čl. 32 Zabezpečení zpracování

Zabezpečení odpovídající riziku, výslovně zmíněny pseudonymizace a šifrování, schopnost zajistit důvěrnost, integritu, dostupnost a odolnost, obnova po incidentu a pravidelné testování účinnosti opatření. Úspěšný útok hackerů sám o sobě neznamená, že opatření byla nevhodná, vhodnost se posuzuje podle rizika (C-340/21).

Čl. 33 Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

Porušení zabezpečení se ohlašuje dozorovému úřadu bez zbytečného odkladu, pokud možno do 72 hodin, ledaže je riziko pro práva osob nepravděpodobné. Zpracovatel hlásí správci bez zbytečného odkladu. Interní evidence všech porušení je povinná vždy, i těch neohlášených.

Čl. 34 Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

Při vysokém riziku pro osoby se porušení oznamuje i jim, srozumitelně a s doporučeními. Výjimky při účinném zabezpečení (šifrování), následných opatřeních nebo nepřiměřeném úsilí (pak veřejné oznámení).

Čl. 35 Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů (DPIA) před zpracováním s pravděpodobným vysokým rizikem, typicky systematické a rozsáhlé hodnocení osob včetně profilování, rozsáhlé zpracování zvláštních kategorií nebo systematické monitorování veřejných prostor. ÚOOÚ vede seznam operací, které DPIA vyžadují vždy. Metodický předchůdce FRIA z čl. 27 AI Actu.

Čl. 36 Předchozí konzultace

Když DPIA ukáže vysoké zbytkové riziko, které správce neumí zmírnit, jde před zpracováním na konzultaci k dozorovému úřadu.

Čl. 37 Jmenování pověřence pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů je povinný pro orgány veřejné moci, při rozsáhlém pravidelném a systematickém monitorování a při rozsáhlém zpracování zvláštních kategorií. Může být jeden pro skupinu, interní i externí.

Čl. 38 Postavení pověřence pro ochranu osobních údajů

Postavení pověřence, zapojení do všech záležitostí ochrany údajů, zdroje, nezávislost (žádné pokyny k výkonu, žádné propuštění za výkon funkce) a přímý přístup k vedení.

Čl. 39 Úkoly pověřence pro ochranu osobních údajů

Úkoly pověřence, informovat a radit, monitorovat soulad, radit u DPIA a být kontaktním místem pro úřad i subjekty.

Čl. 40 Kodexy chování

Sdružení mohou vypracovat kodexy chování upřesňující nařízení pro svůj sektor, schvaluje dozorový úřad.

Čl. 41 Monitorování schválených kodexů chování

Dodržování kodexu může monitorovat akreditovaný subjekt, aniž jsou dotčeny pravomoci dozoru.

Čl. 42 Vydávání osvědčení

Dobrovolné certifikace, pečeti a známky jako doklad souladu, platnost nejdéle tři roky, certifikace nesnižuje odpovědnost.

Čl. 43 Subjekty pro vydávání osvědčení

Subjekty pro vydávání osvědčení akredituje dozorový úřad nebo vnitrostátní akreditační orgán.

Kapitola V · čl. 44–50

Předávání do třetích zemí

Řetěz podmínek pro každé předání osobních údajů mimo EU a EHP.

Čl. 44 Obecná zásada pro předávání

Obecná zásada, předání mimo EU jen při splnění podmínek kapitoly V, a to i pro další řetězené předání. Úroveň ochrany nesmí být předáním podkopána.

Čl. 45 Předání založené na rozhodnutí o odpovídající ochraně

Předání na základě rozhodnutí Komise o odpovídající ochraně, pak není potřeba zvláštní povolení. Pro USA je aktuálně rozhodnutí pro rámec ochrany údajů EU–USA. Historie ukazuje, že rozhodnutí u Soudního dvora padají (C-311/18 Schrems II), aktuální rámec zatím před Tribunálem obstál (T-553/23 Latombe).

Čl. 46 Předávání založené na vhodných zárukách

Bez rozhodnutí o odpovídající ochraně nastupují vhodné záruky, nejčastěji standardní smluvní doložky Komise, dále závazná podniková pravidla, schválené kodexy či certifikace.

Čl. 47 Závazná podniková pravidla

Závazná podniková pravidla (BCR) pro předávání uvnitř skupiny, náležitosti a schvalování dozorovým úřadem v mechanismu jednotnosti.

Čl. 48 Předání či zpřístupnění údajů nepovolené právem Unie

Rozsudek nebo rozhodnutí orgánu třetí země samo o sobě předání nezakládá, uznává se jen na základě mezinárodní dohody. Pojistka proti přímému vynucování cizích příkazů vůči evropským datům.

Čl. 49 Výjimky pro specifické situace

Výjimky pro specifické situace, výslovný souhlas po poučení o rizicích, nezbytnost pro smlouvu, právní nároky, životně důležité zájmy a další. Vykládají se restriktivně, jako poslední záchrana, ne běžný kanál.

Čl. 50 Mezinárodní spolupráce v zájmu ochrany osobních údajů

Mezinárodní spolupráce Komise a dozorových úřadů se třetími zeměmi.

Kapitola VI · čl. 51–59

Nezávislé dozorové úřady

Postavení a pravomoci dozoru. V ČR je dozorovým úřadem ÚOOÚ.

Čl. 51 Dozorový úřad

Každý stát zřídí nezávislý dozorový úřad. V ČR je jím Úřad pro ochranu osobních údajů podle zákona č. 110/2019 Sb.

Čl. 52 Nezávislost

Úplná nezávislost, žádné vnější pokyny, vlastní rozpočet a personál.

Čl. 53 Obecné podmínky pro členy dozorového úřadu

Členové úřadu jmenováni transparentně, kvalifikace a záruky proti odvolání z jiných než zákonných důvodů.

Čl. 54 Pravidla pro zřízení dozorového úřadu

Zřízení, funkční období a mlčenlivost upraví zákon členského státu.

Čl. 55 Příslušnost

Příslušnost úřadu na území vlastního státu, výjimka pro zpracování soudů při výkonu soudnictví.

Čl. 56 Příslušnost vedoucího dozorového úřadu

Vedoucí dozorový úřad podle hlavní provozovny správce řídí přeshraniční případy (one-stop-shop). Pro subjekty jedno kontaktní místo, pro nadnárodní správce jeden hlavní protějšek.

Čl. 57 Úkoly

Katalog úkolů, monitorovat a vymáhat, zvyšovat povědomí, vyřizovat stížnosti, spolupracovat, vést seznamy pro DPIA a další. Vyřizování stížností je bezplatné. Vysoký počet stížností úřad nezbavuje povinnosti se jimi zabývat, odmítnout nebo zpoplatnit jde jen zjevně nedůvodné nebo nepřiměřené žádosti (C-416/23).

Čl. 58 Pravomoci

Pravomoci vyšetřovací (informace, audity, přístup do prostor), nápravné (upozornění, napomenutí, příkazy, omezení až zákaz zpracování, nařízení výmazu a pokuty) a povolovací či poradní. Zákaz zpracování umí bolet víc než pokuta.

Čl. 59 Zprávy o činnosti

Výroční zprávy o činnosti.

Kapitola VII · čl. 60–76

Spolupráce a jednotnost

Mašinerie pro přeshraniční případy, vedoucí úřad, mechanismus jednotnosti a Evropský sbor pro ochranu osobních údajů.

Čl. 60 Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady

Mechanika spolupráce vedoucího úřadu s dotčenými úřady, návrhy rozhodnutí, relevantní a odůvodněné námitky a postoupení sboru při neshodě.

Čl. 61 Vzájemná pomoc

Vzájemná pomoc mezi úřady, informace a povolené šetření, lhůta na odpověď do měsíce.

Čl. 62 Společné postupy dozorových úřadů

Společné postupy a společná šetření úřadů více států.

Čl. 63 Mechanismus jednotnosti

Mechanismus jednotnosti, rámec pro konzistentní aplikaci nařízení napříč Unií skrze sbor.

Čl. 64 Stanovisko sboru

Stanoviska sboru k návrhům opatření úřadů s unijním dosahem (seznamy DPIA, doložky, BCR a další).

Čl. 65 Řešení sporů sborem

Závazné řešení sporů sborem, mj. při relevantních námitkách proti návrhu rozhodnutí vedoucího úřadu. Finální slovo v přeshraničních kauzách.

Čl. 66 Postup pro naléhavé případy

Postup pro naléhavé případy, dočasná opatření úřadu s okamžitou platností na svém území a rychlé stanovisko sboru.

Čl. 67 Výměna informací

Elektronická výměna informací mezi úřady a sborem.

Čl. 68 Evropský sbor pro ochranu osobních údajů

Evropský sbor pro ochranu osobních údajů (EDPB), subjekt Unie složený z předsedů národních úřadů a evropského inspektora.

Čl. 69 Nezávislost

Nezávislost sboru.

Čl. 70 Úkoly sboru

Úkoly sboru, jednotná aplikace, pokyny a doporučení (v praxi zásadní výkladový zdroj), stanoviska a závazná rozhodnutí.

Čl. 71 Zprávy

Výroční zprávy sboru.

Čl. 72 Postup

Rozhodování sboru prostou většinou, jednací řád dvoutřetinovou.

Čl. 73 Předseda

Volba předsedy sboru a místopředsedů.

Čl. 74 Úkoly předsedy

Úkoly předsedy, svolávání, organizace, lhůty u řešení sporů.

Čl. 75 Sekretariát

Sekretariát sboru zajišťuje evropský inspektor ochrany údajů pod pokyny předsedy sboru.

Čl. 76 Důvěrnost

Důvěrnost jednání sboru tam, kde to sbor označí.

Kapitola VIII · čl. 77–84

Právní ochrana, odpovědnost a sankce

Stížnost, žaloby, náhrada újmy a slavné pokutové stropy.

Čl. 77 Právo podat stížnost u dozorového úřadu

Právo podat stížnost u dozorového úřadu, zejména v místě bydliště, výkonu práce nebo místě porušení. Bezplatný a nejčastější vstup do vymáhání.

Čl. 78 Právo na účinnou soudní ochranu vůči dozorovému úřadu

Soudní ochrana proti právně závaznému rozhodnutí úřadu i proti nečinnosti při vyřizování stížnosti.

Čl. 79 Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

Soudní ochrana přímo proti správci nebo zpracovateli, nezávisle na stížnosti u úřadu. Žalovat lze v místě provozovny i v místě bydliště subjektu.

Čl. 80 Zastupování subjektů údajů

Neziskové organizace mohou subjekt zastupovat, případně (pokud to stát umožní) jednat i bez pověření. Kolektivní rozměr, na který navazuje směrnice o zástupných žalobách, do jejíž přílohy AI Act v čl. 110 přidal i sám sebe.

Čl. 81 Přerušení řízení

Přerušení řízení při souběžných řízeních o tomtéž zpracování u soudů více států.

Čl. 82 Právo na náhradu újmy a odpovědnost

Právo na náhradu majetkové i nemajetkové újmy. Správce odpovídá za porušení nařízení, zpracovatel jen za své specifické povinnosti nebo překročení pokynů, solidárně s možností regresu. Liberace jen při prokázání, že za újmu nijak neodpovídá. Samotné porušení nařízení nárok nezakládá, újma ale nemusí překročit žádný práh závažnosti (C-300/21) a nemajetkovou újmou může být i obava ze zneužití údajů po úniku (C-340/21).

Čl. 83 Obecné podmínky pro ukládání správních pokut

Dvě pokutová pásma, do 10 mil. eur nebo 2 % obratu (mj. povinnosti správců a zpracovatelů z čl. 8, 11, 25 až 39, 42, 43) a do 20 mil. eur nebo 4 % obratu (zásady, tituly, práva subjektů, předávání). Kritéria v odst. 2 (povaha, úmysl, mitigace, recidiva, spolupráce) jsou checklist pro argumentaci o výši.

Čl. 84 Sankce

Státy doplní další sankce za porušení nepokrytá pokutami, účinné, přiměřené a odrazující.

Kapitola IX · čl. 85–91

Zvláštní situace zpracování

Průsečíky s jinými hodnotami, novinařina, úřední dokumenty, zaměstnávání, výzkum, církve.

Čl. 85 Zpracování a svoboda projevu a informací

Slaďování s právem na svobodu projevu a informací, státy stanoví výjimky pro žurnalistiku a akademický, umělecký a literární projev. V ČR § 17 a násl. zákona č. 110/2019 Sb.

Čl. 86 Zpracování a přístup veřejnosti k úředním dokumentům

Osobní údaje v úředních dokumentech mohou být zpřístupněny podle předpisů o přístupu k informacím, sladění se svobodným přístupem k informacím.

Čl. 87 Zpracování národních identifikačních čísel

Státy mohou blíže upravit zpracování národních identifikačních čísel, v ČR rodných čísel.

Čl. 88 Zpracování v souvislosti se zaměstnáním

Otevírací klauzule pro zaměstnanecké kontexty, státy mohou stanovit konkrétnější pravidla pro zpracování v pracovněprávních vztazích (nábor, plnění smlouvy, řízení a ukončení, monitoring).

Čl. 89 Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Záruky pro archivaci ve veřejném zájmu, vědecký a historický výzkum a statistiku (minimalizace, pseudonymizace) a možné odchylky od práv subjektů.

Čl. 90 Povinnost mlčenlivosti

Státy mohou upravit pravomoci úřadu vůči osobám vázaným profesní mlčenlivostí, u nás relevantní mj. pro advokáty.

Čl. 91 Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

Církve a náboženská sdružení se zavedenými komplexními pravidly je mohou dál používat, pokud je uvedou do souladu, pod zvláštním dozorem.

Kapitola XI · čl. 94–99

Závěrečná ustanovení

Vztah ke starší směrnici, k ePrivacy a náběh účinnosti.

Čl. 94 Zrušení směrnice 95/46/ES

Zrušení směrnice 95/46/ES, odkazy na ni se čtou jako odkazy na nařízení. Kontinuita výkladu, stará judikatura zůstává použitelná, kde text zůstal.

Čl. 95 Vztah ke směrnici 2002/58/ES

Vztah k směrnici o soukromí v elektronických komunikacích (2002/58/ES), kde ePrivacy ukládá zvláštní povinnosti (cookies, elektronický marketing), nepřidává GDPR druhé kolo týchž povinností.

Čl. 96 Vztah k dříve uzavřeným dohodám

Mezinárodní dohody o předávání uzavřené před nařízením zůstávají v platnosti do změny.

Čl. 97 Zprávy Komise

Pravidelné zprávy Komise o hodnocení a přezkumu nařízení.

Čl. 98 Přezkum jiných právních aktů Unie v oblasti ochrany údajů

Komise může navrhovat změny dalších unijních aktů o ochraně údajů kvůli jednotnosti.

Čl. 99 Vstup v platnost a použitelnost

Vstup v platnost dvacátým dnem po vyhlášení a použitelnost od 25. 5. 2018. Od toho data se počítá celá éra vymáhání.

Zdroje

  • Nařízení (EU) 2016/679, oficiální české znění, EUR-Lex, CELEX 32016R0679. Proti němu se drží znění i citace na těchto stránkách.
  • Oficiální souhrn GDPR na EUR-Lex (česky).
  • Stanovisko EDPB 28/2024 k AI modelům a osobním údajům (18. 12. 2024), edpb.europa.eu, existuje i česká verze: právní základ, anonymizace modelu a odpovědnost zavádějícího subjektu.
  • Zákon č. 110/2019 Sb., o zpracování osobních údajů, e-Sbírka.
  • gdpr.cz, praktický český portál (novinky, pokuty, nástroje; provozuje TAYLLORCOX).
  • Souvislosti na tomhle webu: karta AI Act, mapa výzkumu a metodika ověřování.