Nové procesní nařízení k GDPR upřesňuje přeshraniční dozor

Na sklonku roku 2025 Evropská unie přijala dlouho očekávaný procesní předpis k obecnému nařízení o ochraně osobních údajů (GDPR). Konkrétně jde o nařízení 2025/2518 ze dne 26. listopadu 2025, kterým se stanoví další procesní pravidla pro prosazování nařízení (EU) 2016/679.

Toto nařízení doplňuje stávající rámec o nová pravidla při prosazování GDPR v přeshraničních případech. Nová úprava reaguje na identifikované nedostatky decentralizovaného systému, zejména odlišné procesní postupy a práva dotčených osob v různých členských státech, nejasné lhůty a rozdíly v postupu jednotlivých národních úřadů.

Nařízení nemění hmotné právo GDPR (neupravuje práva subjektů údajů ani povinnosti správců a zpracovatelů), ale zaměřuje se výlučně na procesní pravidla řízení a spolupráce mezi dozorovými orgány.  

Hlavní změny

1. Harmonizace přijatelnosti stížností

Co se mění:
Nově existují společná pravidla pro posouzení, zda je stížnost přípustná k přeshraničnímu řízení. To znamená, že bez ohledu na to, kde v EU je stížnost podána, posuzují dozorové orgány její formální i věcnou přijatelnost podle stejných kritérií. Tento krok odstraňuje dosavadní situace, kdy některé úřady fakticky totožnou stížnost přijaly a jiné odmítly pro nedostatečné doložení tvrzených skutečností.  

Pro to, aby podání bylo posouzeno jako stížnost týkající se přeshraničního zpracování, musí splňovat pouze kritéria vymezená v čl. 4 procesního nařízení:  

• jméno a kontaktní údaje osoby, která stížnost podala;
• pokud stížnost podává neziskový subjekt, doklad, že tento subjekt byl řádně založen v souladu s právem některého členského státu a že jedná na základě pověření od subjektu údajů;
• informace, které usnadní identifikaci správce nebo zpracovatele, kterého se stížnost týká;
• popis údajného porušení GDPR.  

Recitál 6 procesního nařízení pojem stížnost ještě upřesňuje takto: “Stížností je třeba rozumět žádost, kterou subjekt údajů podal u dozorového úřadu v souladu s čl. 77 odst. 1 nebo článkem 80 nařízení (EU) 2016/679. Pouhé oznámení údajných porušení, která se netýkají zpracování osobních údajů subjektu údajů, žádosti správců nebo zpracovatelů o poradenství nebo obecné žádosti týkající se uplatňování nařízení (EU) 2016/679 předložené správci, zpracovateli nebo fyzickými osobami se nepovažují za stížnost.”

2. Závazné procesní lhůty a jejich konkrétní příklady

Procesní nařízení zavádí konkrétní časové limity pro průběh řízení a vzájemné úkony mezi dozorovými orgány. Nově je stanoveno, že:

• standardní lhůta pro uzavření vyšetřování je 15 měsíců od zahájení řízení, s možností prodloužení až o 12 měsíců u zvláště složitých případů.

• zjednodušené řízení (simple cooperation procedure) musí být ukončeno do 12 měsíců.

3. Posílení práv účastníků řízení

Procesní nařízení rovněž harmonizuje práva subjektů stížností i vyšetřovaných správců či zpracovatelů během kontroly či správního řízení. Jak?  

Stěžovatel má práva být vyslyšen, tzn. vyjádřit svůj názor v průběhu šetření. Pokud dozorový úřad hodlá jeho stížnost zcela či částečně zamítnout, musí o tom stěžovatele vyrozumět a umožnit mu se k tomuto záměru také vyjádřit.  

Organizace, proti níž je řízení vedeno, dikcí procesního nařízení vyšetřovaná strana, má právo obdržet a vyjádřit se k předběžným zjištěním před vydáním konečného rozhodnutí.  

4. Zefektivnění spolupráce mezi úřady

Nařízení upřesňuje koordinační roli tzv. vedoucího dozorového orgánu (lead supervisory authority). Ten bude mít jasnější pravidla pro předávání podkladů, vedení správního spisu a komunikaci s ostatními dotčenými dozorovými úřady tak, aby se minimalizovala duplicita procesních postupů a z nich vyplývající zpoždění při vyřizování stížností.  

‍

Nové nástroje pro urychlení řízení

Časné řešení stížnosti  

Tato novinka upravená v čl. 5 procesního nařízení umožní vyřídit stížnost na přeshraniční zpracování osobních údajů týkající se výkonu práv subjektu údajů (právo na přístup, na výmaz, na námitku proti zpracování atd.) zrychleným postupem. Pokud dozorový úřad, kterému byla stížnost podána, nebo vedoucí dozorový úřad pro dané přeshraniční zpracování zjistí, že porušování GDPR bylo ukončeno (žádost subjektu údajů byla řádně vyřízena), může věc ukončit. Pokud s tím subjekt údajů nebude souhlasit, může ve lhůtě 4 týdnů proti časnému vyřešení stížnosti podat námitku.  

Zjednodušená spolupráce

Pro případy, kde není sporu o rozsahu a povaze zpracování, mohou dozorové orgány použít kratší a méně formální proceduru (tzv. prostá spolupráce dle čl. 6). Ta se řídí zvláštní sekvencí kroků a kratší lhůtou pro vyřízení stížnosti (12 měsíců).

‍