AlegsaOnline.com

Co je GDPR: Průvodce ochranou osobních údajů v EU, práva a sankce

GDPR: Praktický průvodce ochranou osobních údajů v EU — práva subjektů, povinnosti firem a sankce až 4 % obratu. Jak zabezpečit data, splnit povinnosti a vyhnout se pokutám.

Autor: Leandro Alegsa

01-04-2026

Obecné nařízení o ochraně osobních údajů (GDPR) (nařízení (Evropské unie) 2016/679) bylo přijato 27. dubna 2016. Účinnosti nabylo 25. května 2018.

Nařízení schvaluje Evropský parlament, Rada Evropské unie a Evropská komise. Chrání osobní údaje lidí v celé Evropské unii (EU). Nařízení se týká také vývozu údajů z EU.

Cílem GDPR je poskytnout občanům kontrolu nad jejich osobními údaji. Zjednodušuje předpisy pro hospodářské vztahy s ostatními zeměmi tím, že sjednocuje postupy EU. GDPR nahrazuje směrnici o ochraně osobních údajů z roku 1995. Nový zákon GDPR nevyžaduje žádné změny v místních zákonech v rámci EU. Nařízení je závazné.

Lidem a společnostem, které nedodrží zákon o GDPR, může být uložena pokuta až do výše 20 000 000 eur nebo až do výše 4 % zisku společnosti za předchozí rok, podle toho, která částka je vyšší.

Co jsou „osobní údaje“ a koho GDPR chrání

Osobní údaje jsou jakékoli informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě (např. jméno, adresa, e‑mail, rodné číslo, IP adresa, fotografie). GDPR se vztahuje na zpracování osobních údajů, které provádějí organizace nebo jednotlivci (správci a zpracovatelé), pokud se zpracování odehrává v rámci EU nebo se týká osob v EU.

Na koho se GDPR vztahuje

Správce (controller) — ten, kdo určuje účely a prostředky zpracování osobních údajů.
Zpracovatel (processor) — ten, kdo zpracovává údaje jménem správce.
Pravidla se uplatní i na organizace mimo EU, pokud nabízejí zboží či služby lidem v EU nebo sledují chování osob v EU.

Zásady zpracování osobních údajů

GDPR stanoví základní zásady, které musí při zpracování údajů dodržovat:

zákonnost, poctivost a transparentnost
účelové omezení (údaje jen pro specifické, zákonné účely)
minimalizace údajů (sbírat jen nezbytné informace)
přesnost (údaje musí být správné a aktuální)
omezení uložení (údaje nesmíme uchovávat déle, než je potřeba)
integrita a důvěrnost (zajištění bezpečnosti údajů)

Zákonné důvody zpracování

Zpracování osobních údajů musí mít právní základ, mezi které patří:

souhlas subjektu údajů (dobrovolný, informovaný, jednoznačný)
plnění smlouvy
plnění právní povinnosti
ochrana životně důležitých zájmů
plnění úkolu v zájmu veřejného zájmu nebo výkon veřejné moci
oprávněné zájmy správce (pokud nepřeváží zájmy nebo základní práva subjektu údajů)

Práva subjektu údajů

GDPR posiluje práva osob. Mezi hlavní práva patří:

Právo na přístup — požádat o informace, jaké údaje o vás správce zpracovává.
Právo na opravu — požadovat opravu nepřesných údajů.
Právo na výmaz („právo být zapomenut“) — za určitých podmínek požadovat vymazání údajů.
Právo na omezení zpracování — dočasně omezit zpracování údajů v určitých situacích.
Právo na přenositelnost údajů — získat osobní údaje v běžně používaném formátu a přenést je jinému správci.
Právo vznést námitku — zejména proti zpracování na základě oprávněných zájmů nebo pro účely přímého marketingu.
Právo proti automatizovanému rozhodování — včetně profilování, pokud má rozhodnutí právní nebo obdobné účinky.

Povinnosti správců a zpracovatelů

Správci i zpracovatelé musí zajistit splnění zásad GDPR a prokázat soulad s pravidly:

vedení záznamů o činnostech zpracování (pro většinu organizací)
hodnocení vlivu na ochranu údajů (DPIA) u vysoce rizikových zpracování
implementace technických a organizačních opatření (šifrování, přístupová práva, zálohy)
oznámení porušení zabezpečení údajů dozorovému úřadu obvykle do 72 hodin a případně i dotčeným subjektům
přenosy údajů do třetích zemí pouze na základě adekvátní úrovně ochrany nebo vhodných záruk
při smluvním vztahu s dodavateli uzavřít smlouvu upravující role a odpovědnosti

DPO (pověřenec pro ochranu osobních údajů) a DPIA

U některých organizací je nutné jmenovat pověřence pro ochranu osobních údajů (DPO). DPO plní úlohu poradce a dohledu nad dodržováním GDPR. DPIA (posouzení dopadu na ochranu osobních údajů) je povinné u zpracování, které pravděpodobně způsobí vysoké riziko pro práva a svobody fyzických osob (např. rozsáhlé profilování, rozsáhlý monitoring veřejných prostor).

Přenosy osobních údajů mimo EU

Export osobních údajů z EU do třetích zemí je povolen pouze, pokud je zajištěna adekvátní úroveň ochrany (např. rozhodnutí o adekvátnosti Komise), nebo pokud jsou použity vhodné záruky (standardní smluvní doložky, závazná podniková pravidla apod.). Po Brexitu byly pro přenosy do Spojeného království nastaveny specifické mechanismy — vždy je třeba ověřit aktuální stav.

Sankce a vymáhání

Porušení GDPR může vést k varování, pokutám a dalším opatřením dozorových orgánů. Nařízení rozlišuje dvě úrovně správních pokut:

až 10 000 000 EUR nebo až 2 % celosvětového ročního obratu za určité typy porušení (např. nedodržení povinností správců a zpracovatelů, nevedení záznamů, nedostatečné DPIA apod.),
až 20 000 000 EUR nebo až 4 % celosvětového ročního obratu za závažná porušení (např. porušení základních zásad zpracování, práv subjektů údajů nebo přenosů osobních údajů do třetích zemí), podle toho, která částka je vyšší.

Kromě pokut může dozorový úřad nařídit i nápravná opatření (omezení zpracování, zákaz zpracování, výzvy k nápravě). Každý členský stát má vlastní dozorový orgán (v ČR Úřad pro ochranu osobních údajů), kde lze podávat stížnosti.

Praktické rady pro firmy

zavést princip „privacy by design“ a „privacy by default“ při vývoji služeb a produktů
provést inventuru zpracovávaných osobních údajů a stanovit právní základy zpracování
minimalizovat sběr údajů na nezbytné minimum
školit zaměstnance v oblasti bezpečnosti a ochrany údajů
uzavírat smlouvy se zpracovateli, které stanoví bezpečnostní opatření a odpovědnosti

Tipy pro jednotlivce

vyžádejte si od společností informace o tom, jaké údaje o vás zpracovávají
pokud mají údaje nesprávné nebo zastaralé, uplatněte právo na opravu
požádejte o výmaz údajů, pokud už nejsou potřebné nebo pokud byl odvolán souhlas
v případě podezření na zneužití osobních údajů nebo nedostatečné zacházení můžete podat stížnost u svého národního dozorového úřadu

Jak podat stížnost

Pokud máte pocit, že vaše práva podle GDPR byly porušeny, můžete podat stížnost u příslušného dozorového orgánu v členském státě, kde žijete nebo kde má organizace sídlo. Dozorový orgán provede šetření a může uložit opatření či sankce.

Závěrem

GDPR výrazně posílilo ochranu osobních údajů fyzických osob v EU a zavázalo organizace k transparentnímu a odpovědnému přístupu ke zpracování dat. Dodržování pravidel minimalizuje rizika zneužití údajů, snižuje právní rizika a zvyšuje důvěru zákazníků.

Prosazovaná pravidla

Tento oddíl potřebuje více informací.

Obecné nařízení o ochraně osobních údajů prosazuje pravidla, která chrání lidi před nejrůznějšími problémy s ochranou soukromí. Prosazuje právo lidí zákonně souhlasit s tím, aby společnosti používaly jejich soukromé údaje. Rovněž prosazuje právo lidí na to, aby společnost k jejich soukromým údajům neměla přístup. Prosazuje také, že uživatelé mají právo povolit, aby se jejich soukromé informace staly veřejnými, nebo ne. Nařízení rovněž zajišťuje, aby nebyly zpracovávány žádné osobní údaje, pokud k tomu uživatel zpracovateli osobních údajů nedal souhlas.

Časová osa

25. ledna 2012: Byl zveřejněn návrh GDPR.
21. října 2013: Výbor Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE) hlasuje o tom, zda se GDPR má stát novým nařízením pro lidi v Evropě.
15. prosince 2015: Evropský parlament, Rada a Komise (formální trialog) jednají o obecném nařízení o ochraně osobních údajů. V tento den vznikl společný návrh GDPR.
17. prosince 2015: Výbor Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci hlasoval pro jednání mezi třemi stranami.
8. dubna 2016: Evropská unie přijala obecné nařízení o ochraně osobních údajů. Jediným členským státem, který hlasoval proti, bylo Rakousko, které argumentovalo tím, že některé aspekty nového nařízení nejsou ve srovnání se směrnicí o ochraně údajů uspokojivé.
14. dubna 2016: Evropský parlament přijal obecné nařízení o ochraně osobních údajů, které nahradilo dříve používanou směrnici o ochraně osobních údajů.
24. května 2016: Obecné nařízení o ochraně osobních údajů se začalo používat po celém světě, ale zatím není plně uplatňováno. Stalo se tak 20 dní poté, co bylo obecné nařízení o ochraně osobních údajů zveřejněno v Úředním věstníku Evropské unie.
25. května 2018: Obecné nařízení o ochraně osobních údajů se začíná plně uplatňovat na celém světě. Od vzniku nařízení uplynuly dva roky.
červenec/srpen 2018: Na Islandu, v Lichtenštejnsku a Norsku bude GDPR uplatňováno. Tyto tři země se připojily ke Společnému výboru EHP, protože se všechny dohodly, že se budou nařízením řídit.

Otázky a odpovědi

Otázka: Co je to obecné nařízení o ochraně osobních údajů (GDPR)?

Odpověď: GDPR je nařízení přijaté Evropským parlamentem, Radou Evropské unie a Evropskou komisí, které chrání osobní údaje lidí v celé EU.

Otázka: Kdy vstoupilo v platnost?

Odpověď: Nařízení vstoupilo v platnost 25. května 2018.

Otázka: Co je cílem nařízení GDPR?

Odpověď: Cílem GDPR je poskytnout občanům kontrolu nad jejich osobními údaji a zjednodušit předpisy pro hospodářské vztahy s jinými zeměmi tím, že se postupy v EU sjednotí.

Otázka: Nahrazuje nějaké stávající zákony?

Odpověď: Ano, nahrazuje směrnici o ochraně údajů z roku 1995.

Otázka: Je třeba změnit místní zákony, aby byly v souladu s GDPR?

Odpověď: Ne, v rámci EU není třeba měnit žádné místní zákony, protože toto nařízení je závazné.

Otázka: Co se stane, pokud někdo nebo společnost nedodrží zákon GDPR? Odpověď: Může jim být uložena pokuta až do výše 20 000 000 eur nebo až do výše 4 % zisku společnosti za předchozí rok, podle toho, které číslo je vyšší.