Už je to deset let od schválení přelomové reformy v podobě obecného nařízení o ochraně osobních údajů, známého pod zkratkou GDPR. Tento předpis zásadně proměnil přístup k nakládání s daty a sjednotil pravidla napříč všemi členskými státy Evropské unie. Namísto dřívější roztříštěné národní legislativy přineslo GDPR přímo použitelný právní rámec, který významně zvýšil právní jistotu a zavedl princip jednotného kontaktního místa (tzv. one-stop-shop) pro přeshraniční případy. Nařízení se navíc stalo globálním standardem, jenž inspiroval právní úpravy i ve třetích zemích mimo EU.

Jednou z klíčových institucionálních změn byl vznik Evropského sboru pro ochranu osobních údajů (EDPB). Z původně poradního orgánu se stal nezávislý subjekt s pravomocí vydávat závazná rozhodnutí a sjednocovat výklad pravidel v celém Evropském hospodářském prostoru. Jeho vliv na vymahatelnost práva je obrovský; jen v roce 2025 uložily dozorové úřady pokuty v celkové výši přesahující 1,1 miliardy eur. Přeshraniční spolupráce však dosud narážela na chybějící harmonizaci procesních pravidel. Tento nedostatek má odstranit nové procesní nařízení (EU) 2025/2518, které vstoupí v účinnost v dubnu 2027 a jehož cílem je zefektivnit řešení případů a posílit procesní práva stěžovatelů i vyšetřovaných stran.

Evropské nařízení také výrazně posílilo postavení samotných občanů, kterým dalo jasné lhůty a postupy pro uplatnění práv na přístup k údajům, jejich výmaz, opravu či přenositelnost. Veřejnost si těchto možností je čím dál více vědoma, což dokládají statistiky za rok 2025. Český Úřad pro ochranu osobních údajů zaznamenal rekordních 3 854 podání (z toho 2 514 stížností), což představuje meziroční nárůst o 68 %. Tuto agendu masivně podporují moderní nástroje umělé inteligence (AI), které lidem snadno vysvětlí jejich práva a automaticky generují texty stížností, byť někdy s faktickými chybami. Významný podíl (asi 20 %) navíc dlouhodobě tvoří stížnosti na kamerové systémy, často pramenící z vyhrocených sousedských sporů.

Nové výzvy: Role pověřenců a překotný vývoj digitální regulace

S narůstající složitostí zpracování dat se pevnou součástí mnoha organizací stal pověřenec pro ochranu osobních údajů (DPO). Pověřenec funguje jako nezávislý poradce a klíčový kontaktní bod, který organizaci upozorňuje na rizika a dohlíží na soulad zpracování s legislativou. Jeho role se s nástupem umělé inteligence a nových digitálních regulací neustále proměňuje a klade na něj stále vyšší odborné nároky.

Přestože samotný text GDPR zůstává od svého schválení nezměněn, digitální svět okolo něj prošel dramatickým vývojem. Zatímco v roce 2016 užívalo v ČR sociální sítě 41 % osob, v roce 2024 to bylo již 63 %. Z tohoto důvodu se právní rámec Evropské unie postupně rozrostl o komplexní síť dalších předpisů, které GDPR doplňují.

Vznikla řada sektorových regulací a pravidel pro digitální platformy, jako je Digital Services Act (DSA) či Digital Markets Act (DMA), které omezují nakládání s daty u největších technologických gigantů. Rozvoj technologií si vyžádal také přijetí specifických norem, jako je AI Act pro umělou inteligenci či směrnice Platform2Work chránící pracovníky digitálních platforem. Další rozsáhlou skupinu tvoří předpisy zaměřené na kybernetickou bezpečnost a datovou ekonomiku, mezi něž patří směrnice NIS2, nařízení DORA pro finanční sektor, Cyber Resilience Act či Data Act.

Aplikace ochrany osobních údajů v praxi se navíc neustále vyvíjí díky dynamickému výkladu Soudního dvora EU – ten například svými rozsudky výrazně posunul definici zvláštních kategorií osobních údajů – a výkladovým pokynům EDPB. Tím se z GDPR a návazné „datové compliance“ stala komplexní disciplína. Ačkoliv tato nová regulace přináší správcům a zpracovatelům nová rizika, nabízí jim v moderní digitální ekonomice také významné příležitosti.

Zdroj: ÚOOU