Obecné nařízení o ochraně údajů (GDPR)

KLÍČOVÉ BODY

Práva fyzických osob

Obecné nařízení o ochraně osobních údajů posiluje stávající práva, přiznává nová práva a dává fyzickým osobám více kontroly nad svými osobními údaji. Zahrnuje následující.

• Snadnější přístup k vlastním údajům. Patří sem poskytnutí více informací o tom, jak jsou údaje zpracovány, a zajištění toho, aby informace byly dostupné jasným a srozumitelným způsobem.
• Právo na přenositelnost údajů. Toto usnadňuje přenos osobních údajů mezi poskytovateli služeb.
• Právo na výmaz (právo být zapomenut). Když si osoba nepřeje, aby její údaje byly dále zpracovávány, a není podložený důvod k jejich uchovávání, budou údaje odstraněny.
• Právo dozvědět se, že došlo k narušení jejich osobních údajů. Společnosti a organizace musí informovat příslušný dozorový úřad pro ochranu údajů a v případě závažného porušení ochrany údajů také dotčené osoby.

Pravidla pro podniky

GDPR vytváří rovné podmínky pro všechny společnosti působící na vnitřním trhu EU, zaujímá technologicky neutrální přístup a stimuluje inovace prostřednictvím řady kroků, mezi něž patří následující.

• Jednotný soubor pravidel pro celou EU. Jednotný právní předpis pro ochranu údajů v celé EU zvyšuje právní jistotu a snižuje administrativní zátěž.
• Pověřenec pro ochranu osobních údajů. Osoba odpovědná za ochranu údajů musí být jmenována orgány veřejné moci a podniky, které zpracovávají údaje ve velkém rozsahu nebo jejichž hlavní činností je zpracování zvláštních kategorií údajů, například údajů týkajících se zdraví.
• Jednotné kontaktní místo. Podniky musí jednat pouze s jedním dozorovým úřadem (v členském státě EU, ve kterém mají hlavní provozovnu); příslušné dozorové orgány spolupracují v rámci Evropské rady pro ochranu osobních údajů v přeshraničních případech, přičemž další procesní pravidla pro přeshraniční vymáhání jsou stanovena v nařízení (EU) 2025/2518.
• Pravidla EU pro společnosti mimo EU. Společnosti, které nejsou usazené v EU, musí dodržovat stejné předpisy, když nabízejí své služby nebo zboží v EU nebo když monitorují chování osob v EU.
• Předpisy podporující inovace. Jistota, že záruky na ochranu osobních údajů jsou nedílnou součástí produktů a služeb od první fáze jejich vývoje (záměrná a standardní ochrana osobních údajů).
• Techniky chránící soukromí. Například jsou podporovány pseudonymizace (když jsou identifikační pole v záznamech osobních údajů nahrazena jedním nebo více identifikačními kódy) a šifrování (kdy jsou údaje kódovány takovým způsobem, že je mohou přečíst jenom oprávněné strany), aby se omezila rušivost zpracování.
• Odstranění oznámení. GDPR zrušilo většinu oznamovacích povinností a nákladů s nimi spojených. Jedním z cílů nařízení je odstranit překážky, které ovlivňují volný pohyb osobních údajů v rámci EU. To podnikům usnadní expanzi na jednotném digitálním trhu.
• Posouzení vlivu na ochranu osobních údajů. Podniky budou muset provádět posouzení vlivu, pokud zpracování údajů povede k vysokému riziku pro práva a svobody osob.
• Uchovávání údajů. Malé a střední podniky nemusí uchovávat záznamy o zpracování údajů, pokud není pravidelné nebo nepředstavuje zvýšené riziko pro práva a svobody osob, jejichž údaje jsou zpracovávány, nebo nezahrnuje citlivé kategorie údajů.
• Moderní sada nástrojů pro mezinárodní přenosy dat. GDPR nabízí různé nástroje pro předávání údajů mimo EU, včetně rozhodnutí o odpovídající ochraně přijatých Evropskou komisí, pokud země mimo EU nabízí odpovídající úroveň ochrany, předem schválených (standardních) smluvních doložek, závazných podnikových pravidel, kodexů chování a certifikace.

Prosazování obecného nařízení o ochraně osobních údajů v přeshraničních případech

Nařízení (EU) 2025/2518 (přijaté dne 26. listopadu 2025 a zveřejněné v Úředním věstníku dne 12. prosince 2025) stanoví procesní pravidla pro prosazování obecného nařízení o ochraně osobních údajů v přeshraničních případech (kdy je zapojen více než jeden orgán EU / Evropského hospodářského prostoru). Cílem je, aby vyšetřování a vyřizování stížností bylo ve všech členských státech rychlejší a jednotnější.

Nařízení posiluje a standardizuje postupy, jako je způsob podávání a posuzování stížností, spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými orgány a jasnější procesní práva klíčových stran (stěžovatelů a vyšetřovaných stran). Jeho cílem je zvýšit účinnost a právní jistotu při přeshraničním prosazování obecného nařízení o ochraně osobních údajů a zároveň podpořit hladší koordinaci mezi regulačními orgány.

Přezkum

Komise předložila první zprávu o hodnocení a přezkumu tohoto nařízení v červnu 2020. Druhá zpráva byla zveřejněna v červenci 2024 a další zpráva má být předložena v roce 2028.