Obecné nařízení o ochraně údajů
Obecné nařízení EU o ochraně osobních údajů (GDPR) upravuje zpracovávání a předávání osobních údajů fyzických osob v EU.
Co je nařízení GDPR?
Obecné nařízení EU o ochraně údajů (GDPR) je nejpřísnější právní předpis o ochraně soukromí a bezpečnosti na světě.
Toto nařízení zaktualizovalo a zmodernizovalo zásady stanovené ve směrnici o ochraně údajů z roku 1995. Bylo přijato v roce 2016 a vstoupilo v platnost dne 25. května 2018.
Obecné nařízení o ochraně osobních údajů vymezuje:
- základní práva fyzických osob v digitálním věku;
- povinnosti zpracovatelů údajů;
- metody zajištění souladu;
- sankce pro osoby, které porušily pravidla.
Práva fyzických osob
V nařízení GDPR jsou uvedena práva subjektů údajů, tedy fyzických osob, jejichž osobní údaje jsou zpracovávány. Tato posílená práva zajišťují větší kontrolu nad osobními údaji, a to mimo jiné díky:
- povinnosti získat jednoznačný souhlas fyzické osoby se zpracováním jejích osobních údajů;
- snazšímu přístupu fyzické osoby k jejím osobním údajům;
- právu na opravu a na výmaz údajů a právu být zapomenut;
- právu na vyslovení námitek, včetně námitek proti využívání osobních údajů k „profilování“;
- právu na přenositelnost údajů od jednoho poskytovatele služby k jinému.
Nařízení o ochraně údajů stanoví práva fyzických osob a povinnosti subjektů, které údaje zpracovávají, i subjektů odpovědných za jejich zpracování.
Povinnosti podniků a organizací
Nařízení zavádí obecné povinnosti správců údajů a subjektů, které jejich jménem osobní údaje zpracovávají (zpracovatelé).
Patří mezi ně povinnost zavést odpovídající bezpečnostní opatření úměrná riziku spojenému se zpracováním údajů, jež provádějí.
V některých případech jsou správci rovněž povinni oznamovat případy porušení zabezpečení osobních údajů. Všechny orgány veřejné moci a společnosti, jež provádějí určité rizikové zpracování údajů, budou také muset jmenovat pověřence pro ochranu osobních údajů.
Použití pravidel ochrany údajů
Nařízení potvrzuje stávající povinnost členských států zřídit nezávislý orgán dozoru na vnitrostátní úrovni a zavádí mechanismus k zajištění jednotného uplatňování právních předpisů o ochraně údajů v celé EU.
Nařízení GDPR stanoví, že v přeshraničních případech, do nichž je zapojeno několik vnitrostátních dozorových úřadů, se přijímá jediné rozhodnutí dozorového úřadu. Tato zásada jednoho správního místa znamená, že se společnosti s dceřinými podniky v několika členských státech budou muset obracet pouze na orgán pro ochranu údajů v tom členském státě, v němž mají hlavní provozovnu.
Na to, aby bylo nařízení GDPR uplatňováno důsledně a v plném rozsahu, dohlíží Evropský sbor pro ochranu osobních údajů, jehož členy jsou zástupci všech 27 nezávislých dozorových úřadů.
Dne 17. listopadu 2025 přijala Rada unijní právní předpis, který by měl vstoupit v platnost v roce 2026. Předpis zrychluje a zefektivňuje spolupráci vnitrostátních úřadů pro ochranu osobních údajů při vyřizování přeshraničních stížností podle nařízení GDPR, které se týkají několika zemí EU současně. Účelem pravidel, jež jsou v něm stanovena, je zjednodušit správní postupy a zajistit:
- rychlé vyřízení přeshraničních stížností a lepší spolupráci;
- prošetření práv stěžovatelů a dalších zúčastněných stran.
Pro správce nebo zpracovatele údajů, kteří poruší pravidla ochrany údajů, jsou v nařízení GDPR stanoveny přísné sankce. Správcům údajů hrozí pokuty až do výše 20 milionů eur nebo 4 % jejich celkového ročního obratu.
Fyzické osoby mohou navíc podat u příslušného dozorového úřadu stížnost a mají právo na soudní ochranu a náhradu škody. Dále mají právo na přezkum rozhodnutí svého orgánu pro ochranu údajů vnitrostátním soudem bez ohledu na členský stát, v němž je dotyčný správce údajů usazen.
- Evropský sbor pro ochranu osobních údajů
- Rada přijala nový právní předpis EU v zájmu rychlejšího vyřizování přeshraničních stížností týkajících se ochrany údajů (tisková zpráva, 17. listopadu 2025)
- Ochrana údajů: Rada se dohodla na postoji k pravidlům pro prosazování GDPR (tisková zpráva, 13. června 2024)
Předávání údajů do zemí mimo EU
Nařízení GDPR se zabývá také otázkou předávání osobních údajů do zemí mimo EU a mezinárodním organizacím. Evropská komise je odpovědná za posuzování úrovně ochrany, která je poskytována na určitém území nebo v odvětví zpracování v zemi mimo EU.
Pokud Komise ve vztahu k danému území nebo odvětví nepřijme rozhodnutí o odpovídající ochraně, osobní údaje mohou přesto být předávány v konkrétních případech nebo za předpokladu, že jsou poskytnuty vhodné záruky.
Další informace
Ochrana údajů v EU
Ochrana údajů při vymáhání práva
- Obecné nařízení o ochraně osobních údajů (GDPR): Informace pro fyzické osoby (Evropská komise)
- Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úřední věstník EU)
- Obecné nařízení o ochraně osobních údajů – přehled
- Evropský sbor pro ochranu osobních údajů
Naposledy aktualizováno: 22. května 2026