Ze světa
Legislativa

SDEU: odpozorovaná osobní data jsou získávána přímo od subjektu údajů. Co to znamená v praxi?

9.4.2026
-
František Nonnemann

V prosinci 2025 Soudní dvůr EU upřesnil, kdy se osobní údaje považují za „přímo získané od subjektu údajů". Tento rozsudek je důležitý nejen pro aplikaci GDPR, ale i pro řadu dalších právních předpisů EU, které se stejným rozlišením (přímo a nepřímo získané osobní údaje) pracují.

Případ vznikl v souvislosti s kamerami při přepravní kontrole

V roce 2018 vybavil stockholmský dopravní podnik Storstockholms Lokaltrafik revizory tělesnými kamerami. Cílem bylo předcházet útokům na revizory, dokumentovat je a identifikovat cestující, kteří jezdili načerno.

Dopravní podnik využití kamer navrhl s ohledem na ochranu soukromí. Kamery fungovaly v tzv. paměťové smyčce, tedy záznamy se automaticky mazaly po uplynutí stanovené doby. Zpočátku to byly dvě minuty, později se lhůta zkrátila na jednu minutu. Revizoři mohli automatické smazání přerušit stiskem tlačítka, pokud uložili pokutu nebo se cítili ohroženi.

Odpozorovaná data jsou získávána přímo od subjektu údajů

Švédský úřad pro ochranu osobních údajů přezkoumal v roce 2021 používání kamer ve stockholmské MHD a dospěl mimo jiné k závěru, že cestující nebyli o zpracování svých údajů dostatečně informováni.

Dopravní podnik rozhodnutí napadl u soudu a věc se postupně dostala až k Soudnímu dvoru EU (SDEU). Ten měl rozhodnout, zda monitorování osob prostřednictvím kamer představuje získávání osobních údajů přímo od subjektu údajů.

Proč na tom záleží?

GDPR rozlišuje dvě situace, dva možné způsoby, jak správce získává data o fyzických osobách: osobní údaje získané přímo od subjektu údajů, a osobní údaje získané z jiných zdrojů, například od jiného správce nebo z veřejně dostupných zdrojů.

Podle toho, odkud data pocházejí, se liší povinnosti správce v oblasti transparentnosti. Jsou-li osobní údaje získány přímo od subjektu údajů, musí správce splnit informační povinnost podle článku 13 GDPR. Jsou-li získány odjinud, použije se článek 14 GDPR.

Závěr SDEU

S ohledem na strukturu, kontext a účel GDPR dospěl SDEU k závěru, že osobní údaje získané přímým pozorováním subjektu údajů nebo sledováním jeho činnosti se považují za údaje získané přímo od subjektu údajů.

Jde o jakoukoliv přímou interakci mezi správcem a subjektem údajů, bez zprostředkovatele v podobě jiného správce. To celou věc odlišuje od případů, kdy správce údaje nepřímo přebírá od jiného správce, s nímž má subjekt údajů nebo měl samostatný vztah, například jako zákazník nebo zaměstnanec.

Osobní údaje snímané kamerami nebo jinými technologiemi, jako jsou fotopasti, drony, chytrá zařízení nebo nositelná elektronika, je tedy nutno vždy považovat za údaje získané přímo od subjektu údajů. Správci tak musejí plnit informační povinnost v rozsahu vyžadovaném článkem 13 GDPR.

Jak mají být subjekty údajů informovány?

SDEU zároveň zdůraznil, že článek 13 GDPR v tomto kontextu neznamená, že revizoři musejí každému kontrolovanému cestujícímu ústně přečíst celé poučení o ochraně osobních údajů.

Soud odkázal na koncept vrstvených informací popsaný v Pokynech Evropského sboru pro ochranu osobních údajů č. 3/2019 ze dne 29. ledna 2020 ke zpracování osobních údajů prostřednictvím kamerových systémů. Základní informace, tedy to, že ke zpracování dochází, kdo je správce a za jakým účelem jsou data shromažďována, mohou být poskytnuty formou informačních tabulí nebo oznámení. Podrobnější informace pak mohou být dostupné třeba na webových stránkách správce.

Co rozsudek znamená pro další předpisy EU

Upřesnění pojmu „údaje získané přímo od subjektu údajů" má dopady i mimo GDPR.

Nařízení o ochraně osobních údajů institucemi EU. Nařízení (EU) 2018/1725, které upravuje zpracování osobních údajů institucemi, orgány, úřady a agenturami EU, má strukturu velmi podobnou jako GDPR. Článek 15 upravuje rozsah informační povinnosti při přímém získání údajů od subjektu, článek 16 při jejich získání jiným způsobem. Závěry SDEU se tedy plně vztahují i na zpracování prováděné institucemi EU, například prostřednictvím kamerových systémů nebo obdobných sledovacích zařízení.

Směrnice o ochraně osobních údajů v oblasti prosazování práva (LED). Tato směrnice, transponovaná do vnitrostátního práva členských států, žádné takové rozlišení nezavádí. S ohledem na specifický charakter činností v oblasti prosazování práva stanoví článek 13 směrnice jednotný rozsah informační povinnosti bez ohledu na způsob získání údajů.

Nařízení o transparentnosti a cílení politické reklamy. Nařízení (EU) 2024/900 stanoví specifické podmínky pro použití osobních údajů v politické reklamě. Jednou z nich je, že údaje musejí být získány přímo od subjektu údajů, dalšími jsou souhlas subjektu a zákaz profilování. Výklad SDEU v tomto případě se tedy projeví i v oblasti politické reklamy, když upřesňuje, které osobní údaje lze pro tento účel zpracovávat. Tyto údaje mohou potenciálně, za splnění dalších podmínek, zahrnovat i záznamy z politických shromáždění nebo akcí.

Akt o datech. Akt o datech si mimo jiné klade za cíl zajistit uživatelům přístup k datům generovaným propojenými produkty a souvisejícími službami. Ve světle rozsudku SDEU budou taková data zpravidla považována za získaná přímo od subjektu údajů prostřednictvím sledování monitorováním využívání produktu nebo služby. Správci, včetně výrobců a poskytovatelů služeb, tak budou muset plnit informační povinnosti podle článku 13 GDPR.

Akt o umělé inteligenci. AI Act rovněž upravuje zásady transparentnosti vůči osobám dotčeným používáním nástrojů AI, ale sám o sobě nerozlišuje mezi údaji získanými přímo od subjektu a údaji z jiných zdrojů. Povinnosti transparentnosti při zpracování osobních údajů v kontextu AI, například u monitorování zaměstnanců nebo systémů pro odhalování podvodů ve finančních institucích, se proto nadále řídí GDPR. Provozovatelé jako správci tak musejí vždy posoudit, odkud osobní údaje pocházejí, a podle toho použít článek 13 nebo článek 14 GDPR.

Další datová regulace

Většina ostatních právních předpisů EU v oblasti dat, jako je Akt o digitálních trzích, Akt o digitálních službách nebo Akt o správě dat, odkazuje primárně na GDPR, aniž by sama zaváděla rozlišení povinností podle zdroje osobních údajů. Subjekty, na které se tyto předpisy vztahují, si tedy musejí samy vyhodnotit, zda osobní údaje získávají přímo od subjektu údajů, nebo nepřímo, a podle toho splnit příslušné informační povinnosti v rozsahu dle článku 13 nebo článku 14 GDPR.

‍Článek byl původně publikován v anglické verzi na webu IAPP zde.

Stáhnout PDF
Související článek
Městský soud v Praze: ÚOOÚ musí o stížnosti rozhodnout do 30 dní
24.9.2025
-
František Nonnemann
Související článek
Přehled klíčových judikátů v oblasti monitoringu zaměstnanců
14.1.2026
-
František Nonnemann
Další články
21. vyhlášení cen Velkého bratra se bude konat 14. dubna 2026 v Praze

Iuridicum Remedium vyhlašuje již 21. roční anticen Velkého bratra

NÚKIB vydal nový manuál pro ZKB povinné subjekty v režimu nižších povinností

Manuál je určen všem poskytovatelům regulovaných služeb v režimu nižších povinností podle nového zákona o kybernetické bezpečnosti (NIS2)

Souhrn rozhodnutí EDPB týkající se aplikace oprávněného zájmu

Analýza rozhodnutí EDPB týkající se aplikace oprávněného zájmu v rámci tzv. mechanismu jednotnosti.

Všechny zprávy
Sekce o spolku

Spolek pro ochranu osobních údajů sdružuje pověřence pro ochranu osobních údajů a další profesionály zabývajících se zpracováním a ochranou osobních údajů v soukromém sektoru, samosprávě a veřejné správě.

Chvi vědět více

Sdružujeme pověřence a další  profesionály zabývajících se zpracováním a ochranou osobních údajů

Přihlaste se k odběru novinek, ať vám nic neunikne

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
O nás
Aktuality
Členství
Vzdělání
Tento web používá cookie "_cfuvid"  - Cloudflare, technická, ochrana proti DDOS (omezení propustnosti). Doba platnosti: relace.

© 2025 Spolek pro ochranu osobních údajů