Skip to content

Obecné nařízení o ochraně údajů

Obecné nařízení EU o ochraně osobních údajů (GDPR) upravuje zpracovávání a předávání osobních údajů fyzických osob v EU.

Co je nařízení GDPR?

Obecné nařízení EU o ochraně údajů (GDPR) je nejpřísnější právní předpis o ochraně soukromí a bezpečnosti na světě.

Toto nařízení zaktualizovalo a zmodernizovalo zásady stanovené ve směrnici o ochraně údajů z roku 1995. Bylo přijato v roce 2016 a vstoupilo v platnost dne 25. května 2018.

Obecné nařízení o ochraně osobních údajů vymezuje:

  • základní práva fyzických osob v digitálním věku;
  • povinnosti zpracovatelů údajů;
  • metody zajištění souladu;
  • sankce pro osoby, které porušily pravidla.

Práva fyzických osob

V nařízení GDPR jsou uvedena práva subjektů údajů, tedy fyzických osob, jejichž osobní údaje jsou zpracovávány. Tato posílená práva zajišťují větší kontrolu nad osobními údaji, a to mimo jiné díky:

  • povinnosti získat jednoznačný souhlas fyzické osoby se zpracováním jejích osobních údajů;
  • snazšímu přístupu fyzické osoby k jejím osobním údajům;
  • právu na opravu a na výmaz údajů a právu být zapomenut;
  • právu na vyslovení námitek, včetně námitek proti využívání osobních údajů k „profilování“;
  • právu na přenositelnost údajů od jednoho poskytovatele služby k jinému.

Nařízení o ochraně údajů stanoví práva fyzických osob a povinnosti subjektů, které údaje zpracovávají, i subjektů odpovědných za jejich zpracování.

Povinnosti podniků a organizací

Nařízení zavádí obecné povinnosti správců údajů a subjektů, které jejich jménem osobní údaje zpracovávají (zpracovatelé).

Patří mezi ně povinnost zavést odpovídající bezpečnostní opatření úměrná riziku spojenému se zpracováním údajů, jež provádějí.

V některých případech jsou správci rovněž povinni oznamovat případy porušení zabezpečení osobních údajů. Všechny orgány veřejné moci a společnosti, jež provádějí určité rizikové zpracování údajů, budou také muset jmenovat pověřence pro ochranu osobních údajů.

Použití pravidel ochrany údajů

Nařízení potvrzuje stávající povinnost členských států zřídit nezávislý orgán dozoru na vnitrostátní úrovni a zavádí mechanismus k zajištění jednotného uplatňování právních předpisů o ochraně údajů v celé EU.

Nařízení GDPR stanoví, že v přeshraničních případech, do nichž je zapojeno několik vnitrostátních dozorových úřadů, se přijímá jediné rozhodnutí dozorového úřadu. Tato zásada jednoho správního místa znamená, že se společnosti s dceřinými podniky v několika členských státech budou muset obracet pouze na orgán pro ochranu údajů v tom členském státě, v němž mají hlavní provozovnu.

Na to, aby bylo nařízení GDPR uplatňováno důsledně a v plném rozsahu, dohlíží Evropský sbor pro ochranu osobních údajů, jehož členy jsou zástupci všech 27 nezávislých dozorových úřadů.

Dne 17. listopadu 2025 přijala Rada unijní právní předpis, který by měl vstoupit v platnost v roce 2026. Předpis zrychluje a zefektivňuje spolupráci vnitrostátních úřadů pro ochranu osobních údajů při vyřizování přeshraničních stížností podle nařízení GDPR, které se týkají několika zemí EU současně. Účelem pravidel, jež jsou v něm stanovena, je zjednodušit správní postupy a zajistit:

  • rychlé vyřízení přeshraničních stížností a lepší spolupráci;
  • prošetření práv stěžovatelů a dalších zúčastněných stran.

Pro správce nebo zpracovatele údajů, kteří poruší pravidla ochrany údajů, jsou v nařízení GDPR stanoveny přísné sankce. Správcům údajů hrozí pokuty až do výše 20 milionů eur nebo 4 % jejich celkového ročního obratu.

Fyzické osoby mohou navíc podat u příslušného dozorového úřadu stížnost a mají právo na soudní ochranu a náhradu škody. Dále mají právo na přezkum rozhodnutí svého orgánu pro ochranu údajů vnitrostátním soudem bez ohledu na členský stát, v němž je dotyčný správce údajů usazen.

Předávání údajů do zemí mimo EU

Nařízení GDPR se zabývá také otázkou předávání osobních údajů do zemí mimo EU a mezinárodním organizacím. Evropská komise je odpovědná za posuzování úrovně ochrany, která je poskytována na určitém území nebo v odvětví zpracování v zemi mimo EU.

Pokud Komise ve vztahu k danému území nebo odvětví nepřijme rozhodnutí o odpovídající ochraně, osobní údaje mohou přesto být předávány v konkrétních případech nebo za předpokladu, že jsou poskytnuty vhodné záruky.

Stylizované zobrazení digitálního otisku prstu, kolem nějž jsou žluté hvězdy z vlajky EU, binární číslice a ikona malého zámku, což symbolizuje ochranu údajů a soukromí v Evropské unii.
Ochrana údajů v EU

Ochrana údajů v EU

Ikona svítícího digitálního zámku, na pozadí je modrá deska s plošnými spoji; ilustrace symbolizuje bezpečnost a ochranu údajů.
Ochrana údajů při vymáhání práva

Ochrana údajů při vymáhání práva

Naposledy aktualizováno: 22. května 2026