Novinky z GDPR

Červenec 2026

DIGI LU 2

EDPB přijal k veřejné konzultaci pokyny ke zpracování osobních údajů pro vědecký výzkum

EDPB v dubnu 2026 přijal k veřejné konzultaci Pokyny 1/2026 ke zpracování osobních údajů pro vědecký výzkum. Veřejná konzultace probíhala od 16. dubna do 25. června 2026 a finální znění pokynů bude možné očekávat až po vypořádání připomínek. Pokyny se zabývají mimo jiné vymezením pojmu vědeckého výzkumu a slučitelností dalšího zpracování osobních údajů pro výzkumné účely. Dále řeší volbu vhodného právního základu a požadavky na souhlas se zpracováním osobních údajů ve výzkumném kontextu. Věnují se také rozdělení rolí mezi správci a zpracovateli, výkonu práv subjektů údajů a vhodným ochranným opatřením. Mezi tato opatření patří zejména anonymizace a pseudonymizace.

EDPB přijal k veřejné konzultaci vzor pro posouzení vlivu na ochranu osobních údajů

EDPB dne 14. dubna 2026 přijal k veřejné konzultaci vzor pro posouzení vlivu na ochranu osobních údajů, tzv. DPIA Template. Vzor není povinný. Má však přispět ke sjednocení a lepšímu strukturování DPIA napříč EU. Po vypořádání konzultace by měl sloužit jako základní vzor, se kterým budou národní vzory dozorových úřadů slučitelné. Veřejná konzultace probíhala do 9. června 2026.

EDPB přijal k veřejné konzultaci společný vzor pro hlášení porušení zabezpečení osobních údajů

EDPB dne 10. června 2026 přijal k veřejné konzultaci společný vzor pro hlášení porušení zabezpečení osobních údajů podle čl. 33 GDPR. Cílem je sjednotit a zjednodušit oznamování bezpečnostních incidentů dozorovým úřadům napříč EU. Vzor obsahuje předem připravené možnosti a vysvětlení k jeho vyplnění. Veřejná konzultace probíhá do 5. srpna 2026.

ÚOOÚ a biometrická identifikace na stadionech: bezpečnostní účel sám o sobě nestačí

Úřad pro ochranu osobních údajů (ÚOOÚ) dne 20. května 2026 zveřejnil stanovisko k využívání kamerových systémů s prvky biometrické identifikace na fotbalových stadionech. Řešenou situací bylo použití technologií, které by umožňovaly identifikovat nežádoucí osoby a zabránit jim ve vstupu na stadion. ÚOOÚ v této souvislosti rozlišil mezi běžným kamerovým záznamem, který se posuzuje podle čl. 6 GDPR, a biometrickou identifikací, při níž dochází ke zpracování zvláštní kategorie osobních údajů podle čl. 9 GDPR.

Hlavním závěrem ÚOOÚ je, že pro nasazení biometrické identifikace nestačí obecný odkaz na bezpečnost, ochranu majetku nebo prevenci protiprávního jednání. Takové zpracování vyžaduje odpovídající zákonný základ podle čl. 9 odst. 2 GDPR. Tento základ musí být dostatečně konkrétní, přiměřený sledovanému cíli a musí obsahovat záruky na ochranu práv dotčených osob.

SDEU k použití důkazů získaných v rozporu s GDPR

SDEU se v rozsudku ze dne 18. června 2026 ve věci C-84/24, NTH Haustechnik, zabýval otázkou, zda může vnitrostátní soud v civilním, resp. pracovněprávním řízení použít důkaz obsahující osobní údaje, pokud tyto údaje mohly být jednou ze stran získány protiprávně. Spor se týkal bývalé zaměstnankyně, vůči níž zaměstnavatel uplatňoval nárok na náhradu škody v souvislosti s údajným prodejem firemního majetku přes soukromý účet na platformě eBay. Zaměstnavatel informace získal přístupem k jejímu soukromému účtu, přičemž předkládající soud nevyloučil, že získání údajů mohlo být v rozporu s GDPR.

SDEU dovodil, že GDPR samo o sobě nebrání vnitrostátnímu soudu použít důkaz obsahující osobní údaje jen proto, že údaje byly dříve získány v rozporu s právem na soukromí nebo ochranou osobních údajů. Neplatí tedy automatický zákaz použití takového důkazu. Soud však musí mít pro zpracování údajů vlastní právní základ a musí dodržet zásadu minimalizace údajů. Před zpřístupněním údajů účastníkům nebo třetím osobám musí ověřit, zda jsou údaje omezeny na to, co je nezbytné, a případně přijmout opatření ke snížení zásahu do práv dotčených osob, například anonymizaci nebo pseudonymizaci. SDEU zároveň zdůraznil, že čl. 17 odst. 3 písm. e) GDPR, tedy výjimka z práva na výmaz pro uplatnění právních nároků, není samostatným právním základem pro zpracování osobních údajů.

Návrhy změn GDPR v rámci Digital Omnibus

Na rozdíl od části Digital Omnibus zaměřené na AI Act, kterou se zabýváme níže, a která již čeká na zveřejnění v Úředním věstníku EU, změny týkající se GDPR zatím přijaty nebyly. Jde stále o legislativní návrh Evropské komise, který je projednáván v řádném legislativním postupu pod číslem 2025/0360(COD).

Digital Omnibus se GDPR významně dotýká. Návrh Evropské komise počítá s cílenými změnami, které mají zjednodušit plnění některých povinností v oblasti ochrany osobních údajů a lépe je sladit s další digitální regulací. Týká se to zejména vymezení osobních údajů a pseudonymizovaných dat, využívání osobních údajů při vývoji a provozu AI systémů, pravidel pro cookies, posuzování vlivu na ochranu osobních údajů a hlášení porušení zabezpečení osobních údajů. U incidentů návrh směřuje zejména ke zvýšení prahu pro oznamování dozorovým úřadům pouze na případy pravděpodobně spojené s vysokým rizikem a k prodloužení oznamovací lhůty ze 72 na 96 hodin.

Z pohledu ochrany osobních údajů je však návrh kontroverzní. EDPB a EDPS sice podporují zjednodušení administrativní zátěže a větší harmonizaci, zároveň ale důrazně kritizují zejména navrhované změny definice osobních údajů a režimu pseudonymizace. Podle EDPB a EDPS by tyto změny mohly nepřiměřeně zúžit věcnou působnost GDPR a oslabit úroveň ochrany subjektů údajů. V této fázi proto nejde o účinnou změnu pravidel, ale o legislativní návrh, jehož další vývoj bude vhodné sledovat zejména u projektů zahrnujících AI, data sharing, anonymizaci/pseudonymizaci, cookies a incident reporting.

Celý letní Digital Legal Update 2026 je k přečtení zde.

Informace obsažené v tomto bulletinu jsou prezentovány podle našeho nejlepšího vědomí a přesvědčení v době jeho vydání. Před jakýmkoli rozhodnutím byste si však měli ověřit konkrétní informace týkající se témat obsažených v tomto bulletinu. Informace obsažené v tomto bulletinu by neměly být vykládány jako vyčerpávající popis relevantních otázek a případných důsledků a neměly by být plně spoléhány v jakýchkoli rozhodovacích procesech ani považovány za náhradu za konkrétní právní poradenství, které by bylo relevantní pro konkrétní okolnosti. Advokátní kancelář Weinhold Legal, s.r.o. ani žádný z advokátů uvedených jako autor informací nepřijímá žádnou odpovědnost za jakoukoli újmu, která může vzniknout v důsledku spoléhání se na zde zveřejněné informace. Dále je třeba poznamenat, že na některé otázky nastolené v tomto bulletinu mohou existovat různé právní názory vzhledem k nejednoznačnosti příslušných ustanovení a v budoucnu může převážit jiný výklad, než jaký uvádíme my.

Automatické vytěžování textů a dat i rozmnožování či extrakce jejich obsahu pro účely automatizované analýzy z tohoto informačního materiálu je ve smyslu čl. 4 směrnice 2019/790/EU a § 39c zákona č. 121/2000 Sb., autorského zákona, bez výslovného předchozího písemného souhlasu společnosti Weinhold Legal, s.r.o. advokátní kancelář zakázáno, ledaže při jakémkoliv takovém použití bude autorství společnosti Weinhold Legal, s.r.o. advokátní kancelář výslovně uvedeno, a to spolu s odkazem na umístění takového textu a dat.

© 2025 weinhold legal

Všechna práva vyhrazena.

Kontaktujte nás

Kancelář Praha 

Zobrazit na mapě

Kancelář Brno

Zobrazit na mapě

Aktuální informace

Získejte novinky ze světa práva

Jak nakládáme s osobními údaji je popsáno zde.

We apologize, but there is no translation for this page.