Nařízení (EU) 2016/679 o ochraně osobních údajů. Co dělá, jak do sebe zapadají
povinnosti a komentář ke každému z 99 článků, s úplným zněním. K tomu
35 vzorů dokumentů od doložky po stížnost
a průvodce Kudy na soulad, pokud teprve začínáte.
Citace držím proti oficiálnímu českému znění, ne proti shrnutím z druhé ruky.
TL;DR
GDPR sjednocuje ochranu osobních údajů v celé EU a dopadá i na firmy mimo Unii,
které cílí na osoby v ní. Stojí na zásadách z čl. 5 (zákonnost, minimalizace,
odpovědnost), šesti právních titulech z čl. 6 a katalogu práv subjektů, od
přístupu přes výmaz po námitku. Firmám ukládá soulad, který jde doložit: záznamy
o zpracování, zabezpečení, hlášení incidentů do 72 hodin, posouzení vlivu
u rizikových zpracování a případně pověřence. Předání mimo EU jen přes podmínky
kapitoly V. Dozor v ČR vykonává ÚOOÚ, pokuty sahají do 20 milionů eur nebo 4 %
celosvětového obratu. Použije se od 25. 5. 2018.
Kudy na soulad
Nevíte, kde začít? Průvodce Kudy na soulad vede od
zmapování dat přes právní základy, informační povinnost a záznamy až po incidenty
a doložení souladu, v devíti krocích a s odkazem na vzor u každého z nich.
O čem nařízení je
GDPR je přímo použitelné v celé Unii a technologicky neutrální. Neříká, jaký
software smíte mít, říká, za jakých podmínek smíte zpracovávat údaje o lidech,
a chce, abyste soulad uměli kdykoli doložit (zásada odpovědnosti). Přístup je
rizikový, čím citlivější a rozsáhlejší zpracování, tím víc povinností nabíhá,
od záznamů přes posouzení vlivu až po předchozí konzultaci s dozorovým úřadem.
Česko nařízení doprovodilo zákonem č. 110/2019 Sb., který určil ÚOOÚ, snížil věk
dítěte pro souhlas na 15 let a využil otevírací klauzule.
Mechanika povinností stojí na dvojici rolí. Správce určuje účely a prostředky
a nese hlavní odpovědnost, zpracovatel pracuje pro něj na základě smlouvy podle
čl. 28. Kolem toho se vrství povinnostní řetěz kapitoly IV: záměrná a standardní
ochrana, záznamy o činnostech, zabezpečení, ohlašování porušení úřadu do 72 hodin
a při vysokém riziku i dotčeným osobám, posouzení vlivu (DPIA) a pověřenec tam,
kde ho čl. 37 vyžaduje.
Subjekt údajůčlověk, o němž údaje jsou
správce informuje (čl. 13 a 14)subjekt uplatňuje práva (čl. 15 až 22)
Správceurčuje účely a prostředky
smlouva a pokyny (čl. 28)zpracovává jen pro správce
Zpracovatelpracuje podle pokynů správce
ohlášení porušení do 72 hodin (čl. 33)
ÚOOÚdozorový úřad
Stížnost podle čl. 77 jde od subjektu údajů přímo k ÚOOÚ, náhrada újmy podle
čl. 82 k soudu.
Druhá polovina nařízení je vymáhací. Subjekt údajů má katalog práv z kapitoly III
a tři cesty, jak je prosadit: bezplatnou stížnost u ÚOOÚ, žalobu proti správci
a nárok na náhradu majetkové i nemajetkové újmy podle čl. 82. Přeshraniční
případy řídí vedoucí dozorový úřad v režimu jediného kontaktního místa a spory
mezi úřady závazně rozhoduje Evropský sbor pro ochranu osobních údajů.
Pro tenhle web je GDPR zajímavé ještě jako předloha. AI Act od něj převzal
extrateritorialitu, ochranu v návrhu, posouzení dopadů (z DPIA se stala FRIA)
i logiku čl. 22 o automatizovaném rozhodování, na kterou navazuje právo na
vysvětlení v čl. 86 AI Actu. Obě nařízení se vrství, AI systém zpracovávající
osobní údaje plní obojí. Srovnání běží na kartě AI Act.
Klíčové parametry
27. 4. 2016
Přijetí nařízení, v platnost vstoupilo dvacátým dnem po vyhlášení v Úředním věstníku.
25. 5. 2018
Použitelnost (čl. 99). Od tohoto data se GDPR vymáhá a nahradilo směrnici 95/46/ES i český zákon č. 101/2000 Sb.
24. 4. 2019
Účinnost českého adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Určuje ÚOOÚ jako dozorový úřad, snižuje věk dítěte pro souhlas na 15 let a provádí otevírací klauzule.
pokuty
Dvě pásma podle čl. 83, do 10 mil. eur nebo 2 % celosvětového obratu a do 20 mil. eur nebo 4 % (zásady, tituly, práva subjektů, předávání). Vždy platí vyšší z obou hodnot.
Judikatura v kostce
Rozhodnutí, na kterých praxe GDPR reálně stojí, po jedné větě. Odkazy vedou
na primární zdroje, výběr se opírá i o přehledy portálu gdpr.cz, anotace
jsou vlastní. U článků 4, 6, 7, 15, 22, 26, 32, 45, 57 a 82 jsou tatáž
rozhodnutí zapracovaná přímo v komentářích.
C-582/14 Breyer (2016): dynamická IP adresa je osobní údaj, má-li správce právní cestu k doidentifikování člověka.
C-673/17 Planet49 (2019): předzaškrtnuté políčko není souhlas, u cookies se chce aktivní projev vůle.
C-40/17 Fashion ID (2019): web s vloženým tlačítkem sociální sítě je společným správcem pro sběr a přenos údajů návštěvníků.
C-311/18 Schrems II (2020): štít soukromí zrušen, standardní smluvní doložky vyžadují posouzení a případné dodatečné záruky.
C-252/21 Meta Platforms (2023): soulad s GDPR smí posoudit i soutěžní úřad a personalizovaná reklama bez řádného titulu neobstojí.
C-300/21 a C-340/21 (2023): náhrada újmy chce víc než porušení samo, žádný práh závažnosti ale neexistuje a stačit může i obava ze zneužití údajů po úniku.
C-579/21 Pankki S (2023): právo na přístup kryje i informaci, kdy a proč bylo do údajů nahlíženo.
C-446/21 Schrems v. Meta a C-621/22 KNLTB (2024): reklamní data podléhají minimalizaci bez neomezeného času a rozsahu, oprávněným zájmem může být i zájem čistě komerční.
C-394/23 Mousse (2025): oslovení pan nebo paní není pro prodej jízdenky nezbytné, minimalizace platí i pro drobnosti ve formulářích.
C-416/23 (2025): úřad nesmí odkládat stížnosti kvůli jejich počtu, odmítnout jde jen zjevně nedůvodné nebo nepřiměřené.
C-203/22 (2025): u automatizovaného rozhodování náleží srozumitelné vysvětlení použitého postupu, obchodní tajemství není absolutní překážka.
T-354/22 Bindl a T-553/23 Latombe (2025): Komise platila 400 eur za protiprávní přenos IP adresy do USA, rámec ochrany údajů EU–USA zatím před Tribunálem obstál.
C-413/23 P EDPS v. SRB (2025): posouzení, zda jsou pseudonymizovaná data osobními údaji, je relativní podle prostředků konkrétního aktéra.
C-97/23 P WhatsApp (2026): závazné rozhodnutí Evropského sboru pro ochranu osobních údajů lze napadnout přímo u unijních soudů.
K nařízení patří papíry. Sada vlastních vzorů psaných od nuly podle textu
nařízení pokrývá základní dokumentaci správce (doložka, záznamy, směrnice,
zpracovatelská smlouva, balanční test), souhlasy, pověřence, porušení
zabezpečení, vyřizování žádostí i dopisy pro subjekty údajů.
Všech 35 vzorů →
Komentář k ustanovením
Všech 99 článků po kapitolách, u každého rovnou stručný komentář. Rozklikni
článek a uvnitř je navíc úplné znění. Komentář se prohlubuje průběžně.
Kapitola I · čl. 1–4
Obecná ustanovení
Účel, na jaká zpracování nařízení dopadá, kam dosahuje a slovník pojmů.
Dvojjediný účel, ochrana fyzických osob při zpracování osobních údajů a volný pohyb údajů v Unii. Obě strany mince se používají při výkladu, ochrana není samoúčel a nesmí se z ní stát překážka vnitřního trhu.
Dopadá na zcela i částečně automatizované zpracování a na manuální zpracování v evidencích. Mimo režim je čistě osobní a domácí činnost, činnost mimo právo Unie a trestněprávní oblast (tu kryje směrnice 2016/680, v ČR hlava III zákona č. 110/2019 Sb.).
Místní působnost. Vedle usazení v EU dopadá i na správce ze třetích zemí, kteří osobám v EU nabízejí zboží či služby nebo monitorují jejich chování. Extrateritoriální vzor, který později převzal AI Act v čl. 2.
Slovník s 26 definicemi. Osobní údaj je pojatý široce (stačí identifikovatelnost, i nepřímá), zpracování je prakticky jakákoli operace s údaji. Klíčová je dělba správce (určuje účely a prostředky) a zpracovatele (zpracovává pro správce), na ní visí rozdělení povinností celého nařízení. Dynamická IP adresa je osobním údajem, má-li správce právní cestu k doidentifikování (C-582/14 Breyer), a posouzení, zda jsou pseudonymizovaná data osobními údaji, je relativní podle prostředků konkrétního aktéra (C-413/23 P EDPS v. SRB).
Kapitola II · čl. 5–11
Zásady
Nejcitovanější část nařízení. Zásady zpracování, právní tituly a zvláštní režimy pro citlivá data.
Sedm zásad, zákonnost, korektnost a transparentnost, účelové omezení, minimalizace, přesnost, omezení uložení, integrita a důvěrnost, a nad tím odpovědnost (accountability), tedy povinnost soulad nejen mít, ale umět doložit. Porušení zásad je v nejvyšším pokutovém pásmu čl. 83 odst. 5.
Šest právních titulů, souhlas, smlouva, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněný zájem. Oprávněný zájem vyžaduje balanční test proti právům subjektu. Odst. 4 řeší slučitelnost nového účelu s původním. První otázka každé analýzy zpracování zní, o který titul se opírá. Oprávněným zájmem může být i zájem čistě komerční (C-621/22 KNLTB), personalizovaná reklama Mety se ale o něj opřít nedokázala a porušení nařízení smí posoudit i soutěžní úřad (C-252/21 Meta Platforms).
Souhlas musí být prokazatelný, srozumitelně oddělený od ostatních ujednání a odvolatelný stejně snadno, jako se udělil. Odst. 4 míří na vynucované souhlasy, plnění smlouvy nesmí být podmíněno souhlasem, který k plnění není potřeba. Předzaškrtnuté políčko souhlasem není (C-673/17 Planet49).
Souhlas dítěte u služeb informační společnosti. Výchozí hranice je 16 let, státy mohou snížit až na 13. Česko snížilo na 15 let (§ 7 zákona č. 110/2019 Sb.).
Zvláštní kategorie (zdraví, biometrika pro identifikaci, přesvědčení, orientace a další) se zásadně zpracovávat nesmí, ledaže dopadne některá z deseti výjimek, mj. výslovný souhlas, pracovní a sociální právo, životně důležité zájmy, zdravotní péče nebo veřejné zdraví.
Správce nemusí dosbírávat identifikační údaje jen proto, aby vyhověl nařízení. Pokud subjekt neidentifikuje, práva z čl. 15 až 20 se nepoužijí, ledaže subjekt identifikaci sám dodá.
Kapitola III · čl. 12–23
Práva subjektu údajů
Katalog práv, o která se opírají žádosti, stížnosti i spory.
Modality výkonu práv. Komunikace stručně, srozumitelně a bezplatně, odpověď bez zbytečného odkladu a nejpozději do měsíce, s možností prodloužení o dva měsíce u složitých žádostí. Zjevně nedůvodné nebo nepřiměřené žádosti lze odmítnout nebo zpoplatnit, důkazní břemeno nese správce.
Informační povinnost při získání údajů přímo od subjektu, totožnost správce, účely a tituly, příjemci, doba uložení, práva, případné automatizované rozhodování. Základ každé informační doložky.
Totéž pro údaje získané odjinud, navíc zdroj a kategorie údajů, ve lhůtě do měsíce nebo při prvním kontaktu. Výjimky mj. pro nepřiměřené úsilí u archivace a výzkumu.
Právo na přístup, potvrzení o zpracování, informace o něm a kopie zpracovávaných údajů. Kopie nesmí zasáhnout do práv jiných. V praxi nejčastěji uplatňované právo a vstupní brána ke sporům. Subjekt má právo vědět, kdy a proč se do jeho údajů nahlíželo (C-579/21 Pankki S), a u automatizovaného rozhodování dostat srozumitelné vysvětlení použitého postupu, obchodní tajemství přitom není absolutní překážka (C-203/22).
Právo na výmaz, když odpadl účel, byl odvolán souhlas, vznikla úspěšná námitka nebo bylo zpracování protiprávní. Výjimky pro svobodu projevu, právní povinnosti, veřejné zdraví, archivaci a určení, výkon nebo obhajobu právních nároků. U zveřejněných údajů se přidává povinnost informovat další správce.
Přenositelnost, údaje poskytnuté subjektem ve strojově čitelném formátu, případně předání přímo jinému správci. Jen u zpracování založeného na souhlasu nebo smlouvě a prováděného automatizovaně.
Námitka proti zpracování z titulu oprávněného a veřejného zájmu, správce musí prokázat závažné oprávněné důvody, jinak končí. Proti přímému marketingu je námitka absolutní, po ní se zpracovávat nesmí.
Právo nebýt předmětem čistě automatizovaného rozhodnutí s právními nebo obdobně významnými účinky, s výjimkami (smlouva, právní základ, výslovný souhlas) a zárukami včetně lidského zásahu. Podle rozsudku SDEU ve věci C-634/21 SCHUFA (7. 12. 2023) je takovým rozhodnutím už automatizované vyhodnocení úvěruschopnosti (scoring), pokud na něm třetí strana zakládá své rozhodnutí rozhodujícím způsobem. Předobraz čl. 86 AI Actu, který na stejnou situaci míří z procesní strany.
Členské státy a Unie mohou práva omezit zákonem kvůli vyjmenovaným zájmům (bezpečnost, trestní řízení, výkon soudnictví a další), jen v nezbytném rozsahu.
Kapitola IV · čl. 24–43
Správce a zpracovatel
Povinnostní jádro pro firmy. Odpovědnost, smlouvy se zpracovateli, záznamy, zabezpečení, incidenty, DPIA a pověřenec.
Odpovědnost správce, zavést vhodná technická a organizační opatření podle povahy a rizik zpracování a umět je doložit. Risk-based přístup, který se pak vrací v čl. 25, 32 a 35.
Záměrná a standardní ochrana (privacy by design a by default). Ochrana údajů se promítá do návrhu systémů a výchozí nastavení zpracovává jen nezbytné minimum. Sesterský princip požadavků na návrh v AI Actu.
Společní správci si ujednáním rozdělí povinnosti a podstatné shrnutí zpřístupní subjektům. Subjekt může práva uplatnit u kteréhokoli z nich, ujednání navenek nikoho neomezuje. Společným správcem je i provozovatel webu, který si vloží tlačítko sociální sítě sbírající údaje návštěvníků (C-40/17 Fashion ID).
Zpracovatel jen na základě smlouvy s povinnými náležitostmi odst. 3, pokyny správce, mlčenlivost, zabezpečení, podmínky řetězení dalších zpracovatelů, součinnost, výmaz či vrácení po skončení a auditní práva. Nejčastěji revidovaný smluvní typ celého nařízení.
Záznamy o činnostech zpracování za správce i zpracovatele. Výjimka pro organizace pod 250 zaměstnanců je děravá (neplatí u nepříležitostného zpracování, rizika nebo zvláštních kategorií), takže záznamy v praxi vede skoro každý.
Zabezpečení odpovídající riziku, výslovně zmíněny pseudonymizace a šifrování, schopnost zajistit důvěrnost, integritu, dostupnost a odolnost, obnova po incidentu a pravidelné testování účinnosti opatření. Úspěšný útok hackerů sám o sobě neznamená, že opatření byla nevhodná, vhodnost se posuzuje podle rizika (C-340/21).
Porušení zabezpečení se ohlašuje dozorovému úřadu bez zbytečného odkladu, pokud možno do 72 hodin, ledaže je riziko pro práva osob nepravděpodobné. Zpracovatel hlásí správci bez zbytečného odkladu. Interní evidence všech porušení je povinná vždy, i těch neohlášených.
Při vysokém riziku pro osoby se porušení oznamuje i jim, srozumitelně a s doporučeními. Výjimky při účinném zabezpečení (šifrování), následných opatřeních nebo nepřiměřeném úsilí (pak veřejné oznámení).
Posouzení vlivu na ochranu osobních údajů (DPIA) před zpracováním s pravděpodobným vysokým rizikem, typicky systematické a rozsáhlé hodnocení osob včetně profilování, rozsáhlé zpracování zvláštních kategorií nebo systematické monitorování veřejných prostor. ÚOOÚ vede seznam operací, které DPIA vyžadují vždy. Metodický předchůdce FRIA z čl. 27 AI Actu.
Pověřenec pro ochranu osobních údajů je povinný pro orgány veřejné moci, při rozsáhlém pravidelném a systematickém monitorování a při rozsáhlém zpracování zvláštních kategorií. Může být jeden pro skupinu, interní i externí.
Postavení pověřence, zapojení do všech záležitostí ochrany údajů, zdroje, nezávislost (žádné pokyny k výkonu, žádné propuštění za výkon funkce) a přímý přístup k vedení.
Předání na základě rozhodnutí Komise o odpovídající ochraně, pak není potřeba zvláštní povolení. Pro USA je aktuálně rozhodnutí pro rámec ochrany údajů EU–USA. Historie ukazuje, že rozhodnutí u Soudního dvora padají (C-311/18 Schrems II), aktuální rámec zatím před Tribunálem obstál (T-553/23 Latombe).
Bez rozhodnutí o odpovídající ochraně nastupují vhodné záruky, nejčastěji standardní smluvní doložky Komise, dále závazná podniková pravidla, schválené kodexy či certifikace.
Rozsudek nebo rozhodnutí orgánu třetí země samo o sobě předání nezakládá, uznává se jen na základě mezinárodní dohody. Pojistka proti přímému vynucování cizích příkazů vůči evropským datům.
Výjimky pro specifické situace, výslovný souhlas po poučení o rizicích, nezbytnost pro smlouvu, právní nároky, životně důležité zájmy a další. Vykládají se restriktivně, jako poslední záchrana, ne běžný kanál.
Vedoucí dozorový úřad podle hlavní provozovny správce řídí přeshraniční případy (one-stop-shop). Pro subjekty jedno kontaktní místo, pro nadnárodní správce jeden hlavní protějšek.
Katalog úkolů, monitorovat a vymáhat, zvyšovat povědomí, vyřizovat stížnosti, spolupracovat, vést seznamy pro DPIA a další. Vyřizování stížností je bezplatné. Vysoký počet stížností úřad nezbavuje povinnosti se jimi zabývat, odmítnout nebo zpoplatnit jde jen zjevně nedůvodné nebo nepřiměřené žádosti (C-416/23).
Pravomoci vyšetřovací (informace, audity, přístup do prostor), nápravné (upozornění, napomenutí, příkazy, omezení až zákaz zpracování, nařízení výmazu a pokuty) a povolovací či poradní. Zákaz zpracování umí bolet víc než pokuta.
Neziskové organizace mohou subjekt zastupovat, případně (pokud to stát umožní) jednat i bez pověření. Kolektivní rozměr, na který navazuje směrnice o zástupných žalobách, do jejíž přílohy AI Act v čl. 110 přidal i sám sebe.
Právo na náhradu majetkové i nemajetkové újmy. Správce odpovídá za porušení nařízení, zpracovatel jen za své specifické povinnosti nebo překročení pokynů, solidárně s možností regresu. Liberace jen při prokázání, že za újmu nijak neodpovídá. Samotné porušení nařízení nárok nezakládá, újma ale nemusí překročit žádný práh závažnosti (C-300/21) a nemajetkovou újmou může být i obava ze zneužití údajů po úniku (C-340/21).
Dvě pokutová pásma, do 10 mil. eur nebo 2 % obratu (mj. povinnosti správců a zpracovatelů z čl. 8, 11, 25 až 39, 42, 43) a do 20 mil. eur nebo 4 % obratu (zásady, tituly, práva subjektů, předávání). Kritéria v odst. 2 (povaha, úmysl, mitigace, recidiva, spolupráce) jsou checklist pro argumentaci o výši.
Slaďování s právem na svobodu projevu a informací, státy stanoví výjimky pro žurnalistiku a akademický, umělecký a literární projev. V ČR § 17 a násl. zákona č. 110/2019 Sb.
Otevírací klauzule pro zaměstnanecké kontexty, státy mohou stanovit konkrétnější pravidla pro zpracování v pracovněprávních vztazích (nábor, plnění smlouvy, řízení a ukončení, monitoring).
Vztah k směrnici o soukromí v elektronických komunikacích (2002/58/ES), kde ePrivacy ukládá zvláštní povinnosti (cookies, elektronický marketing), nepřidává GDPR druhé kolo týchž povinností.
Stanovisko EDPB 28/2024 k AI modelům a osobním údajům (18. 12. 2024), edpb.europa.eu, existuje i česká verze: právní základ, anonymizace modelu a odpovědnost zavádějícího subjektu.
Zákon č. 110/2019 Sb., o zpracování osobních údajů, Zákony pro lidi.
gdpr.cz, praktický český portál (novinky, pokuty, nástroje; provozuje TAYLLORCOX).