Nové procesní nařízení pro přeshraniční stížnosti týkající se ochrany údajů
Dne 12. prosince 2025 bylo na poli EU zveřejněno nové procesní nařízení, které má za cíl zrychlit a zefektivnit vymáhání GDPR v přeshraničních případech. Dosavadní systém vyřizování přeshraničních stížností často vedl k dlouhým a nejasným řízením, které zvyšovaly náklady i právní nejistotu pro organizace i fyzické osoby.
Klíčovým prvkem je harmonizace kritérií přípustnosti stížností napříč členskými státy a posílení procesních práv účastníků, včetně možnosti vyjádřit se k podstatným podkladům a předběžným zjištěním.
Nařízení stanoví závazné lhůty pro postup v přeshraničních věcech (včetně rámce 15 měsíců s možností jednorázového prodloužení o 12 měsíců u výjimečně složitých případů). Nařízení zavádí také mechanismus „early resolution“, který umožňuje řízení ukončit, pokud bylo porušení napraveno a stížnost ztratila předmět, při zachování procesních záruk pro stěžovatele.
Nová procesní pravidla se začnou plně uplatňovat od 2. dubna 2027.
DMA a GDPR – Společné pokyny EDPB a Komise
Evropský sbor pro ochranu osobních údajů (EDPB) a Komise zveřejnily dne 9. října 2025 společné pokyny k vyjasnění povinností podle nařízení o digitálních trzích (Digital Markets Act – DMA) a nařízení GDPR.
Cílem pokynů je zajistit jednotný výklad obou předpisů a poskytnout právní jistotu tzv. gatekeeperům (velkým digitálním platformám – např. Meta, Google, Apple), kteří musí naplnit požadavky DMA a zároveň respektovat zásady GDPR. Klíčovým poselstvím těchto společných pokynů je skutečnost, že oba předpisy se uplatňují paralelně, a že DMA nenahrazuje GDPR ani nezavádí nový právní základ pro zpracování osobních údajů.
Hlavní témata pokynů jsou:
- požadavky na platný souhlas uživatele podle čl. 5 (2) DMA a GDPR jsou stanovené tak, aby gatekeepeři mohli legálně kombinovat nebo křížově využívat osobní údaje v hlavních službách platforem;
- povinnost nabídnout „méně personalizovanou, ale ekvivalentní“ verzi služby;
- určení právních základů zpracování a jejich omezení;
- interoperabilita (povinnost gatekeeperů technicky umožnit propojení svých služeb s jinými) a nutnost provádět posouzení vlivu na ochranu osobních údajů (DPIA);
- koordinace dohledu mezi Komisí a dozorovými úřady.
Společné pokyny potvrzují, že DMA a GDPR se doplňují, nikoli nahrazují, a že ochrana osobních údajů zůstává nepřekročitelnou hranicí i při plnění povinností digitální regulace.
Pokyny jsou zveřejněny jako návrh ke konzultaci, připomínky bylo možné zasílat do 4. prosince 2025. Publikace finální verze se očekává v průběhu roku 2026.
Stanovisko EDPB k odpovídající ochraně UK
EDPB přijal v říjnu 2025 dvě stanoviska k návrhu Evropské komise na prodloužení rozhodnutí o odpovídající ochraně pro Spojené království (podle GDPR a podle Směrnice o ochraně údajů při prosazování práva – LED). Komise navrhuje prodloužit platnost rozhodnutí o odpovídající ochraně o dalších šest let, tedy až do 27. prosince 2031.
EDPB dospěl k závěru, že britský právní rámec se nadále v zásadě shoduje s rámcem EU a že osobní údaje mohou být nadále předávány bez dodatečných záruk. Zároveň však identifikoval několik oblastí, v nichž by měl být budoucí vývoj britského práva pečlivě monitorován. Jde zejména o nový britský test pro předávání údajů do třetích zemí založený na kritériu, že ochrana nesmí být „materiálně nižší“, o benevolentnější přístup k automatizovanému rozhodování a možná omezení práva na lidský přezkum, jakož i o rozšíření výjimek z některých zásad ochrany údajů v souvislosti s národní bezpečností a vymáháním práva. Komise bude muset tyto aspekty zohlednit ve finálním rozhodnutí a zajistit jejich důsledné průběžné sledování.
Koordinovaná kontrolní akce 2026
EDPB vybral jako téma pro svou pátou koordinovanou kontrolní akci, která proběhne v roce 2026, dodržování povinnosti transparentnosti a informování subjektů údajů.
Dozorové úřady jednotlivých členských států se zaměří na prověřování toho, zda správci plní požadavky článků 12, 13 a 14 GDPR a zda řádně informují jednotlivce o zpracování jejich osobních údajů.
Výsledky národních šetření budou následně agregovány do společné zprávy pro případná další cílená opatření. Tato akce je klíčovou součástí dlouhodobé strategie EDPB pro roky 2024–2027 a navazuje na předchozí ročníky kontrol zaměřené na využívání cloudových služeb veřejným sektorem, postavení pověřenců, právo na přístup či aktuálně vyhodnocované právo na výmaz.
Pokyny EDPS k řízení rizik u AI
Evropský inspektor ochrany údajů (EDPS) vydal dne 11. listopadu 2025 nové pokyny týkající se identifikace a zmírnění rizik spojených s vývojem, nákupem a provozem systémů umělé inteligence. Hlavním cílem těchto pokynů je pomoci identifikovat a zmírnit rizika pro základní práva jednotlivců, která vznikají při zpracování osobních údajů pomocí systémů AI. Pokyny se zaměřují na technická opatření k zajištění souladu s klíčovými zásadami ochrany osobních údajů, kterými jsou spravedlnost, přesnost, minimalizace údajů a bezpečnost.
EDPS zdůrazňuje význam interpretovatelnosti a vysvětlitelnosti AI systémů jako předpokladu pro plnění dalších právních povinností a upozorňuje na zvýšená rizika spojená s využíváním tzv. black box modelů. V oblasti spravedlnosti se věnuje eliminaci předpojatosti vznikající v datech i v návrhu algoritmů, která může vést k diskriminačním výstupům. U zásady přesnosti upozorňuje mimo jiné na halucinace generativních modelů a na riziko data driftu (tj. zhoršování kvality dat v čase). Významná část pokynů se zabývá také bezpečnostními hrozbami, včetně útoků typu model inversion (při nichž lze z výstupů modelu rekonstruovat trénovací data), a praktickými obtížemi při uplatňování práv subjektů údajů.
Pokyny posouvají důraz od formálního plnění GDPR k aktivnímu a průběžnému řízení rizik AI systémů. V praxi to znamená, že nasazení umělé inteligence není jednorázovým krokem, ale kontinuálním procesem vyžadujícím systematickou dokumentaci, technické kontroly a pravidelné vyhodnocování dopadů na základní práva; správci již při výběru či nákupu AI musí posuzovat vysvětlitelnost, kvalitu dat, bezpečnost a možnost uplatnění práv subjektů údajů, tyto požadavky smluvně i technicky zajistit a průběžně monitorovat rizika jako halucinace, bias či data drift. Odpovědnost za soulad s právními předpisy zůstává vždy na správci, nikoli na dodavateli AI.
Celý Digital Legal Update zde.