V roce 2024 udělil český Úřad pro ochranu osobních údajů (ÚOOÚ) historicky nejvyšší pokutu — 351 milionů korun. Dostala ji společnost Avast Software za to, že historii prohlížení svých uživatelů antivirového programu předávala dceřiné analytické firmě Jumpshot. Městský soud v Praze ovšem v září 2025 pokutu zrušil pro nelogické odůvodnění a vrátil věc úřadu k přepočtu — samotné neoprávněné předávání dat ale potvrdil. Paradox: program, který si lidé instalovali jako ochranu, se stal nástrojem narušení jejich soukromí. A přesně proto existuje GDPR — a sedm konkrétních práv, která má každý Čech v ruce.
Co přesně je osobní údaj podle GDPR
Osobní údaj je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě — jméno, rodné číslo, e-mail, IP adresa, polohové údaje i online identifikátor (cookie ID). Údaje právnických osob, zemřelých a plně anonymizovaná data pod GDPR nespadají. Definici upravuje čl. 4 nařízení EU 2016/679.
Klíčové slovo je „identifikovatelná". Stačí, že vás z údaje lze rozpoznat — přímo (jméno, rodné číslo) nebo nepřímo v kombinaci s dalšími informacemi (IP adresa plus časové razítko, anonymní recenze plus přezdívka, kterou jinde používáte se jménem). Proto pod GDPR spadá i vaše poloha z mobilu nebo cookie identifikátor, který si na vás pamatuje e-shop.
GDPR rozlišuje běžné a takzvané zvláštní kategorie osobních údajů — dříve označované jako „citlivé". Patří mezi ně rasový nebo etnický původ, politické názory, náboženské vyznání, zdravotní stav, sexuální orientace, biometrické a genetické údaje. Tyto údaje se podle čl. 9 GDPR obecně nesmí zpracovávat bez vašeho výslovného souhlasu — výjimky jsou úzké (typicky zdravotnictví nebo zákonná povinnost).
Co naopak osobní údaj není: údaje o firmách (IČO, sídlo), informace o zemřelých a data, která byla skutečně anonymizována — tedy zbavena všeho, co by mohlo vést zpět k jednotlivci. Pozor: pseudonymizace (kdy klíč k identifikaci stále existuje) anonymizací není.
Jak GDPR funguje v Česku — zákon 110/2019 a ÚOOÚ
V Česku platí GDPR přímo jako evropské nařízení od 25. května 2018. Adaptační zákon č. 110/2019 Sb. o zpracování osobních údajů upravuje národní specifika a od 24. dubna 2019 nahradil starší zákon 101/2000 Sb. Dozorovým orgánem je Úřad pro ochranu osobních údajů (ÚOOÚ) se sídlem v Praze.
ÚOOÚ má tři role: přijímá stížnosti od občanů, provádí kontroly u správců dat a ukládá pokuty. V roce 2024 obdržel 2 288 podnětů a stížností — meziročně prakticky stejně jako v letech předchozích. Pokuty se rozjely až po roce 2020; kumulativně od května 2018 uložil úřad pokuty v hodnotě zhruba 305 milionů Kč, což Česko řadí na 13. místo v EU. Pro srovnání: Irsko, kde sídlí evropské centrály velkých technologických firem, vybralo přes 3,5 miliardy eur.
Důležitá role v každé větší organizaci patří pověřenci pro ochranu osobních údajů (DPO — Data Protection Officer). Musí ho mít všechny státní instituce a firmy, jejichž hlavní činností je rozsáhlé sledování lidí nebo zpracování zvláštních kategorií údajů. Je to první adresa, na kterou se obrátíte, pokud máte s konkrétním správcem problém — kontakt musí být veřejně dohledatelný (typicky v zásadách zpracování na webu).
Sedm práv, která máte podle GDPR
GDPR vám dává sedm konkrétních práv: na informace, na přístup ke svým údajům, na opravu, na výmaz, na omezení zpracování, na přenositelnost a právo vznést námitku. Plus zvláštní právo nebýt předmětem čistě automatizovaného rozhodování. Každé právo má svůj článek v nařízení a každý správce je musí vyřídit do jednoho měsíce a zdarma.
| Právo | Článek GDPR | Co znamená v praxi | Lhůta správce |
|---|---|---|---|
| Přístup k údajům | čl. 15 | Získat kopii všech vašich údajů, které správce zpracovává, plus informace o účelu, příjemcích a době uchování | 1 měsíc (+ 2 měsíce u složitých případů) |
| Oprava | čl. 16 | Opravit nepřesné nebo doplnit neúplné údaje | 1 měsíc (+ 2 měsíce) |
| Výmaz („být zapomenut") | čl. 17 | Odstranění údajů, pokud neexistuje jiný právní titul (zákonná povinnost, smlouva) | 1 měsíc (+ 2 měsíce) |
| Omezení zpracování | čl. 18 | Dočasné zastavení zpracování v sporných situacích — než se vyřeší vaše námitka | 1 měsíc (+ 2 měsíce) |
| Přenositelnost | čl. 20 | Získat své údaje ve strojově čitelném formátu (JSON, CSV) a přenést je k jiné službě | 1 měsíc (+ 2 měsíce) |
| Námitka | čl. 21 | Vznést námitku proti zpracování — zejména proti marketingu a zpracování z titulu oprávněného zájmu | 1 měsíc (+ 2 měsíce) |
| Nebýt předmětem auto. rozhodování | čl. 22 | Právo na lidský zásah u rozhodnutí činěných čistě algoritmem (typicky bonita úvěru) | 1 měsíc (+ 2 měsíce) |
Lhůta se počítá ode dne, kdy správce vaši žádost obdržel. Prodloužení o dva měsíce musí oznámit do měsíce — když to neudělá a po měsíci se ozve, že potřebuje déle, porušuje GDPR. Vyřízení je zdarma; jen za další kopie údajů smí správce účtovat „přiměřený poplatek" pokrývající náklady.
Jak žádost podat — krok za krokem
Žádost se podává přímo správci údajů (firmě, úřadu, e-shopu) — písemně, e-mailem nebo přes formulář na webu. Musí obsahovat vaši identifikaci, jasně formulované právo, které uplatňujete, a kontakt pro odpověď. Správce vás může požádat o doložení totožnosti, jen pokud má důvodné pochybnosti, že žádost podal opravdu majitel údajů.
- Najděte správného adresáta. V zásadách zpracování (často odkaz „Ochrana osobních údajů" v patičce webu) najdete kontakt na správce nebo přímo na pověřence (DPO).
- Sepište žádost. Uveďte jméno, e-mail (případně jiný kontakt, na kterém vás správce zná), konkrétní právo (např. „uplatňuji právo na výmaz podle čl. 17 GDPR") a důvod, pokud je relevantní.
- Pošlete a uschovejte důkaz. E-mail s potvrzením, datovou schránku, doporučený dopis. Bez důkazu o odeslání nemůžete později prokázat, kdy běží lhůta.
- Sledujte měsíční lhůtu. Pokud do měsíce nedostanete odpověď ani informaci o prodloužení, je to porušení GDPR.
- Pokud správce mlčí nebo odmítne neoprávněně — podejte stížnost k ÚOOÚ (formulář na uoou.gov.cz, datovou schránkou, poštou nebo e-mailem s elektronickým podpisem).
Existují limity — právo na výmaz neplatí, pokud správce má zákonnou povinnost údaje uchovávat (například účetní doklady 10 let podle zákona o DPH). Ani námitka proti zpracování nemůže zastavit zpracování, které je nezbytné pro splnění smlouvy, kterou jste uzavřeli. Správce vám ale musí konkrétně vysvětlit, proč žádosti nevyhověl.
Co to znamená pro vás v každodenním životě
V praxi nejčastěji použijete tři práva: námitku proti reklamě (čl. 21), výmaz po skončení vztahu s e-shopem (čl. 17) a přístup k údajům u zaměstnavatele nebo banky (čl. 15). Pokud správce nereaguje do měsíce nebo odmítá neoprávněně, můžete dát zdarma stížnost ÚOOÚ — a v roce 2024 jich úřad řešil 2 288.
Únik dat (data breach) je situace, kdy se vaše údaje dostanou k někomu, kdo k nim nemá mít přístup — typicky hackerský útok, ztracený notebook, omylem rozeslaný e-mail. Správce má 72 hodin, aby únik oznámil ÚOOÚ. Pokud hrozí vysoké riziko (například únik hesel nebo platebních údajů), musí kontaktovat i vás. Když dostanete takový e-mail, neignorujte ho — minimálně si změňte heslo a sledujte výpis z účtu.
Specifický problém posledních let je takzvaný „consent or pay" model — souhlas se sledováním, nebo platba za přístup. V roce 2024 dostal ÚOOÚ kolem 80 stížností na tento model (z toho 70 na jediného správce). Evropský sbor pro ochranu osobních údajů (EDPB) vydal stanovisko, že u velkých online platforem tento model většinou není v souladu s GDPR — souhlas musí být svobodný, a nucená volba „souhlas nebo zaplať" tento znak většinou nesplňuje.
Co se chystá: GDPR 2.0 a AI Act
Evropská komise představila v listopadu 2025 návrh revize GDPR (tzv. Digital Omnibus), který by firmy do 750 zaměstnanců a obratu 150 mil. EUR osvobodil od povinnosti vést záznamy o činnostech zpracování (čl. 30). Souběžně od srpna 2025 platí pravidla AI Actu pro obecné AI modely. Pro běžného občana se ale sedm základních práv nemění.
Návrh „GDPR 2.0" rozdělil komunitu na dva tábory. Evropský sbor (EDPB) a evropský inspektor (EDPS) ve společném stanovisku zjednodušení pro malé firmy uvítaly. Část advokátů a digitálních aktivistů naopak varuje, že čeští občané ztratí část kontrolního nástroje vůči menším firmám — záznamy o činnostech zpracování byly důkazem, že správce vůbec ví, co s daty dělá.
Argumenty pro zjednodušení mají i ekonomické pozadí. Ekonom Dominik Stroukal upozornil, že byrokratická zátěž (do níž patří i GDPR-compliance) stojí české malé firmy zhruba 41 miliard korun ročně a počet povinností meziročně vzrostl z 1 830 na 1 870. Komise tyto argumenty v návrhu výslovně zohlednila.
Druhým velkým posunem je AI Act — evropské nařízení o umělé inteligenci. Od srpna 2025 platí pravidla pro takzvané obecné AI modely (jako ChatGPT nebo Gemini); plně účinné bude nařízení od srpna 2026. Pro ochranu osobních údajů to znamená: GDPR a AI Act se doplňují. Pokud AI systém zpracovává vaše údaje, platí zároveň obě pravidla — a u rozhodnutí činěných čistě algoritmem (např. zamítnutí úvěru) máte i nadále právo požadovat lidský zásah podle čl. 22 GDPR.
Zkusili jste někdy zažádat e-shop o smazání všech vašich údajů? Kolik z nich opravdu odpovědělo do měsíce — a co jste s mlčícími udělali?
Často kladené otázky
Co jsou osobní údaje podle GDPR jednoduše vysvětleno?
Osobní údaje jsou jakékoli informace, ze kterých lze poznat konkrétní žijící osobu — přímo (jméno, rodné číslo) nebo nepřímo (IP adresa, e-mail, polohové údaje, cookie ID). Údaje o firmách, zemřelých a plně anonymizovaná data pod GDPR nespadají.
Jaký je rozdíl mezi osobními a citlivými údaji?
„Citlivé údaje" je starší pojem — GDPR je nazývá zvláštní kategorie osobních údajů (čl. 9). Patří mezi ně zdravotní stav, sexuální orientace, politické názory, náboženské vyznání, rasový původ a biometrické a genetické údaje. Jejich zpracování je v zásadě zakázáno bez vašeho výslovného souhlasu.
Do kdy musí firma vyřídit moji žádost o výmaz osobních údajů?
Lhůta je jeden měsíc od doručení žádosti. U složitých případů ji správce může prodloužit o další dva měsíce, ale toto prodloužení vám musí oznámit do prvního měsíce. Vyřízení je zdarma. Pokud správce mlčí, můžete podat stížnost u ÚOOÚ.
Kam si stěžovat na porušení GDPR v Česku?
Stížnost se podává u Úřadu pro ochranu osobních údajů (ÚOOÚ) — písemně poštou, datovou schránkou, e-mailem s elektronickým podpisem nebo osobně. ÚOOÚ poskytuje formulář a poradnu na uoou.gov.cz. V roce 2024 úřad přijal 2 288 podnětů a stížností.
Jaká je nejvyšší pokuta za porušení GDPR v Česku?
Historicky nejvyšší pokutu udělil ÚOOÚ v roce 2024 společnosti Avast Software — 351 milionů korun za neoprávněné předávání historie prohlížení uživatelů antivirového programu dceřiné analytické firmě Jumpshot. Městský soud v Praze pokutu v září 2025 zrušil a vrátil úřadu k přepočtu — porušení GDPR ale potvrdil. Maximální možná pokuta podle GDPR je 20 mil. EUR nebo 4 % celosvětového ročního obratu (vyšší z obou).
Můžu zažádat o své údaje u zaměstnavatele?
Ano. Zaměstnavatel je správce vašich osobních údajů a vztahují se na něj všechna práva podle GDPR — včetně práva na přístup (čl. 15). Můžete například požádat o kopii všech údajů, které o vás vede, informace o tom, komu je předává (mzdová agentura, BOZP), a o dobu uchování. Lhůta je opět jeden měsíc.
Komentáře
Sdílejte svůj pohled na toto téma.