Ministerstvo vnitra poslalo do připomínkového řízení novelu zákona č. 110/2019 Sb. Tato zásadní legislativní úprava reaguje na nové evropské procesní nařízení a dramatický nárůst stížností generovaných umělou inteligencí. Pro DPO a správce přináší zásadní změny: od jednoinstančního řízení až po přísnější ochranu obchodního tajemství před účelovými podáními.
Evropský kontext a reakce na novou unijní legislativu
Ministerstvo vnitra předložilo do připomínkového řízení návrh zákona, kterým se mění zákon č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů. Smyslem tohoto návrhu je adaptace právního řádu na nařízení Evropského parlamentu a Rady (EU) 2025/2518 ze dne 26. listopadu 2025, kterým se stanoví další procesní pravidla pro prosazování nařízení (EU) 2016/679 (dále jen „procesní nařízení“).
Jak uvádí předkládací zpráva, hlavním obsahem návrhu je zvláštní úprava jednoinstančního řízení o stížnosti subjektu údajů na porušení jeho práv podle GDPR, která je unijním standardem. Tato úprava využívá nové prvky procesního nařízení tam, kde mohou vést ke zjednodušení a zrychlení řízení, i v řízeních vnitrostátních.
Kromě toho ve vnitrostátních řízeních poskytuje propracovanou ochranu důvěrnosti poskytnutých informací, která nabývá na důležitosti v kontextu řady účelových podání ohrožujících obchodní tajemství nebo duševní vlastnictví správce nebo zpracovatele. Návrh také zavádí další dílčí zjednodušení a vyjasnění, která mají reagovat na administrativní a procesní zátěž dozorového úřadu.
Nové pojetí práv stěžovatele a realistické lhůty
Současně návrh koncentruje procesní oprávnění subjektu údajů na rozhodování o jeho stížnosti, resp. o ochraně těch jeho práv, jejichž porušení je předmětem stížnosti. Návrh však nepřeklápí řízení o stížnosti do podoby řízení sporného. Vzhledem k tomu, že postup dozorového úřadů vůči správci nebo zpracovateli není v dispozici stěžovatele, není nutné (a předpisy Evropské unie to ani nevyžadují) trvat na spojení stížnosti s výkonem dozorových a nápravných pravomocí ÚOOÚ v jednom řízení.
Návrh dále v reakci na aktuální judikaturu stanoví realistickou lhůtu pro řízení, včetně přesněji pojatých podmínek pro stavení jejího běhu, které jsou navázány na relevantní koordinační procesy probíhající na úrovni EU.
Návrh také obsahuje nezbytné úpravy a odchylky, které adaptují českou úpravu na procesní nařízení. Jedná se zejména o zajištění práva být vyslechnut pro správce nebo zpracovatele, jakož i pro stěžovatele, vnitrostátní náležitosti stížnosti a úpravu jazykového režimu pro přeshraniční spolupráci. Jazykový režim se vztahuje i na řízení vedená z vlastního podnětu, kde je jinak vnitrostátní úprava v interakci s procesním nařízením a GDPR plně postačující.
Úlohou adaptační úpravy je na výše uvedené koordinační instituty reagovat a v několika případech, kde odkazují na právo členského státu, zajistit požadované standardy procesních práv.
Současně bylo nutno reagovat na samotné jádro problematiky stížností subjektů údajů na porušení GDPR. V duchu aktuálního přístupu Soudního dvora i nejvyšších soudů vnitrostátních nelze stížnost subjektu údajů považovat za pouhý podnět, na který může dozorový úřad dle svého uvážení reagovat v rámci své úřední povinnosti, přičemž stěžovatele pouze informuje. Naopak je třeba vůči postupu dozorového úřadu vykonávat plný soudní přezkum právně závazného rozhodnutí dozorového úřadu, které vůči stěžovateli zakládá právní účinky.
Důvodová zpráva: ÚOOÚ čelí lavině AI stížností
Jediným dozorovým úřadem ve smyslu evropských předpisů o ochraně osobních údajů je v České republice Úřad pro ochranu osobních údajů (dále též „ÚOOÚ“). Navržená úprava se týká výlučně řízení před tímto úřadem v kontextu ochrany práv subjektu údajů na základě jeho stížnosti, a přeshraniční spolupráce poskytované tímto úřadem.
V současnosti došlo k meziročnímu skokovému nárůstu počtu stížností subjektů údajů podle čl. 77 GDPR podaných k ÚOOÚ, o cca 270 %, a to ze 680 stížností podaných v roce 2024 na více než 2500 podaných v roce 2025, přičemž se ÚOOÚ stále častěji setkává s tím, že tyto stížnosti jsou generovány s využitím nástrojů umělé inteligence. Byť se formálně na základě judikatury Soudního dvora jedná o stížnosti, jejich obsah a absence relevantních příloh (důkazů) v zásadě vylučují, aby o těchto podáních mohlo být vedeno standardní řízení a rozhodnuto ve lhůtách stanovených judikaturou Nejvyššího správního soudu.
Ten i vzhledem k absenci jiné použitelné vnitrostátní úpravy dovodil, že na řízení o stížnosti se mají aplikovat ustanovení o žádosti podle části druhé hlavy šesté správního řádu. O stížnostech by tak ÚOOÚ měl rozhodnout do 30 resp. 60 dnů od jejich podání. To je vzhledem k potenciální komplexnosti problematiky málokdy reálné i v případě perfektních podání, a samo GDPR ani další předpisy EU takové nároky také nekladou.
Trend zneužívání práva za účelem zisku
Na evropské úrovni i v některých členských státech je také možno pozorovat trend zneužívajícího výkonu práva s cílem dosahování zisku. Jde například o registrace k odběru novinek nebo reklamních zpráv s následnými žádostmi o přístup, výmaz nebo omezení zpracování.
Správcem přitom může být také ekonomický subjekt, pro který zpracování osobních údajů nepředstavuje hlavní hospodářskou činnost, nebo malý či střední podnik; pokud nestihne nebo kvůli známé zneužívající praxi odmítne nějaké žádosti včas vyhovět, subjekt údajů odhalí svou skutečnou motivaci snahou získat finanční kompenzaci (srov. C-523/24 Brillen Rottler).
Podrobný pohled na mechanismy navrhované úpravy
Hlavním obsahem návrhu je přiléhavá zvláštní úprava jednoinstančního řízení o stížnosti subjektu údajů na porušení jeho práv podle GDPR, která je unijním standardem. Tato úprava z výše uvedených důvodů využívá nové prvky procesního nařízení tam, kde mohou vést ke zjednodušení a zrychlení řízení, i v řízeních vnitrostátních.
Kromě toho ve vnitrostátních řízeních poskytuje propracovanou ochranu důvěrnosti poskytnutých informací, která nabývá na důležitosti v kontextu řady účelových podání ohrožujících obchodní tajemství nebo duševní vlastnictví správce nebo zpracovatele. Návrh také zavádí další dílčí zjednodušení a vyjasnění, která mají reagovat na administrativní a procesní zátěž dozorového úřadu.
Současně návrh koncentruje procesní oprávnění subjektu údajů na rozhodování o jeho stížnosti, resp. o ochraně těch jeho práv, jejichž porušení je předmětem stížnosti. Návrh však nepřeklápí řízení o stížnosti do podoby řízení sporného. Vzhledem k tomu, že postup dozorového úřadu vůči správci nebo zpracovateli není v dispozici stěžovatele, není nutné (a předpisy Evropské unie to ani nevyžadují) trvat na spojení stížnosti s výkonem dozorových a nápravných pravomocí ÚOOÚ v jednom řízení.
Návrh dále v reakci na aktuální judikaturu stanoví realistickou lhůtu pro řízení, včetně přesněji pojatých podmínek pro stavení jejího běhu, které jsou navázány na relevantní koordinační procesy probíhající na úrovni EU.
Návrh také obsahuje nezbytné úpravy a odchylky, které adaptují českou úpravu na procesní nařízení. Jedná se zejména o zajištění práva být vyslechnut pro správce nebo zpracovatele, jakož i pro stěžovatele, vnitrostátní náležitosti stížnosti a úpravu jazykového režimu pro přeshraniční spolupráci. Jazykový režim se vztahuje i na řízení vedená z vlastního podnětu, kde je jinak vnitrostátní úprava v interakci s procesním nařízením a GDPR plně postačující.
Úlohou adaptační úpravy je na výše uvedené koordinační instituty reagovat a v několika případech, kde odkazují na právo členského státu, zajistit požadované standardy procesních práv.
Současně bylo nutno reagovat na samo jádro problematiky stížností subjektů údajů na porušení GDPR. V duchu aktuálního přístupu Soudního dvora[1] i nejvyšších soudů vnitrostátních[2] nelze stížnost subjektu údajů považovat za pouhý podnět, na který může dozorový úřad dle svého uvážení reagovat v rámci své úřední povinnosti, přičemž stěžovatele pouze informuje. Naopak je třeba vůči postupu dozorového úřadu vykonávat plný soudní přezkum právně závazného rozhodnutí dozorového úřadu, které vůči stěžovateli zakládá právní účinky.
Specifika řízení a subsidiarita správního řádu
Vzhledem ke specifikům problematiky zpracování osobních údajů, která je pravidelně komplexní, vyžaduje ve stále větší míře technické znalosti a vzhledem k podmínkám volného pohybu osobních údajů v rámci Evropské unie často i přeshraniční koordinaci, bylo nutno přistoupit ke specifické úpravě řízení o stížnosti subjektu údajů. Přitom se předkladatel inspiroval i v rámci vnitrostátní úpravy některými mechanismy dosažení rychlého vyřízení stížnosti, které přináší procesní nařízení pro oblast přeshraničních zpracování.
Tato úprava je ovšem relativně omezená a pro řešení většiny otázek se stále vychází ze subsidiární aplikace správního řádu, což usnadňuje přístupnost normy a prohlubuje právní jistotu jejích uživatelů.
Předložená novela je tedy nezbytná, protože upravuje věci vyhrazené zákonu, a přizpůsobuje vnitrostátní právní řád právu Unie a relevantním požadavkům judikatury, vycházejícím z práva Unie.
Návrh zákona, kterým se mění zákon č. 110/2019 Sb., o zpracování osobních údajů, PID KORNDUBE2G4D, https://odok.gov.cz/portal/veklep/material/KORNDUBE2G4D/
Připravila Eva Janečková
[1] Zejména rozsudek ve věci C-64/22 SCHUFA Holding (odst. 50 a dále), dále rozsudek ve věci C-768/21 Land Hessen.
[2] Zejména rozsudek Nejvyššího správního soudu ze dne 16.9.2024, č.j. 1 As 71/2024-53.