Procesní novelizace zákona o zpracování osobních údajů
Nařízení Evropského parlamentu a Rady (EU) 2025/2518 ze dne 26. listopadu 2025 zavádí další procesní pravidla pro prosazování GDPR, zejména v přeshraničních věcech. V návaznosti na něj Ministerstvo vnitra připravilo a do připomínkového řízení rozeslalo návrh novely zákona č. 110/2019 Sb., o zpracování osobních údajů. Návrh zavádí zcela nová ustanovení § 54b až § 54d upravující řízení o stížnosti subjektu údajů a jako den nabytí účinnosti navrhuje 3. dubna 2027, tedy synchronně s použitelností unijního procesního nařízení.
Tři motivace v jednom návrhu
Předkladatel v důvodové zprávě otevřeně přiznává, že novela odpovídá na tři souběžné výzvy.
Primárním podnětem je adaptace českého právního řádu na unijní procesní nařízení, jehož cílem je usnadnit koordinaci dozorových úřadů členských států při řešení přeshraničních stížností. Druhým podnětem je judikatura SDEU a Nejvyššího správního soudu, podle níž stížnost subjektu údajů podle čl. 77 GDPR není pouhým podnětem, ale žádostí s plnou soudní přezkoumatelností. Třetím podnětem je akutní praktický problém: skokový nárůst počtu stížností podávaných k ÚOOÚ z 680 v roce 2024 na více než 2 500 v roce 2025, tedy o zhruba 270 procent. Důvodová zpráva otevřeně připouští, že část těchto podání je generována nástroji umělé inteligence a vykazuje vady, které prakticky znemožňují vést o nich standardní správní řízení.
K tomu se přidává trend zneužívajícího výkonu práva za účelem zisku. Subjekt údajů se zaregistruje k odběru newsletteru, následně si vyžádá přístup, výmaz nebo omezení zpracování a při opožděné reakci správce – často malého nebo středního podniku – usiluje o finanční kompenzaci. Tento vzorec popsal SDEU ve věci Brillen Rottler (C-526/24).
Stížnost jako žádost: kodifikace judikatury
Současné znění zákona o zpracování osobních údajů stížnost subjektu údajů procesně podrobně neupravuje. Praxe se proto opírala o subsidiární aplikaci správního řádu, kterou potvrdil i Nejvyšší správní soud v rozsudku ze dne 16. září 2024, č. j. 1 As 71/2024-53. Z této judikatury plynulo, že stížnost je žádostí podle části druhé hlavy šesté správního řádu a že ÚOOÚ má o ní rozhodnout v subsidiárních lhůtách 30, resp. 60 dnů.
Soudní dvůr ve spojených věcech C-26/22 a C-64/22 SCHUFA Holding a dále ve věci C-781/21 Land Hessen výslovně dovodil, že rozhodnutí dozorového úřadu o stížnosti je předmětem plnohodnotného soudního přezkumu, který se neomezuje na to, zda dozorový úřad stížnost řádně prošetřil a stěžovatele informoval.
Navrhované znění § 54b odst. 1 tuto judikaturu kodifikuje výslovným prohlášením, že stížnost je žádostí podle § 45 správního řádu.
Klíčové navrhované změny
Povinný formulář (§ 54b odst. 2)
Stížnost se má podávat výhradně na formuláři stanoveném ÚOOÚ, ať již v listinné, nebo elektronické podobě. Jiná forma podání by představovala podstatnou vadu žádosti bránící pokračování v řízení; ÚOOÚ by měl pomoci s odstraněním vady standardním postupem podle správního řádu. Důvodová zpráva odůvodňuje tuto změnu praktickou potřebou zajistit, aby již na počátku řízení byly splněny všechny obsahové náležitosti – tento standard většina stávajících stížností nesplňuje. Podrobné náležitosti formuláře zákon nestanoví a svěřuje je samotnému Úřadu, který by měl podle důvodové zprávy zohlednit i případnou harmonizační aktivitu Evropského sboru pro ochranu osobních údajů.
Lhůta tří měsíců od odstranění vad žádosti (§ 54c odst. 2)
Navrhuje se nová zvláštní lhůta pro vyřízení stížnosti, a to tři měsíce od odstranění vad žádosti. Jde o úpravu speciální k § 80 správního řádu a má reagovat na složitost problematiky ochrany osobních údajů, kterou současné lhůty dovozované judikaturou NSS v praxi často nezvládají. Lhůta by se navíc měla stavět po dobu vedení dalších souvisejících řízení, vyřizování dožádání, posuzování předběžné otázky a po dobu unijních koordinačních postupů podle čl. 60, 61, 64 odst. 2 a 65 GDPR nebo podle čl. 4, 5, 16 až 22, 29 až 30 a 32 procesního nařízení.
Zastavení nedůvodných nebo nepřiměřených stížností (§ 54b odst. 4 písm. a)
ÚOOÚ má získat výslovnou pravomoc zastavit řízení o stížnosti usnesením, pokud je naplněna podmínka čl. 57 odst. 4 GDPR. Navrhovaná úprava reaguje zejména na rozsudek SDEU ze dne 9. ledna 2025 ve věci C-416/23 Österreichische Datenschutzbehörde. SDEU v něm dovodil, že pojem „žádost“ v čl. 57 odst. 4 GDPR zahrnuje i stížnosti podle čl. 77 GDPR, zároveň však zdůraznil, že nepřiměřenost se neřídí pouze počtem podaných žádostí – dozorový úřad musí prokázat zneužívající úmysl. Čl. 57 odst. 4 GDPR umožňuje dozorovému úřadu vybrat si mezi uložením přiměřeného poplatku a odmítnutím žádosti vyhovět; předkladatel v důvodové zprávě výslovně preferuje zastavení řízení před zpoplatněním, neboť ukládání poplatků by podle něj představovalo pouze další administrativní zátěž.
Časné řešení stížnosti i ve vnitrostátních věcech (§ 54b odst. 4 písm. b)
Procesní nařízení v čl. 5 zavádí institut časného řešení stížnosti pro přeshraniční věci. Pokud správce nebo zpracovatel v průběhu řízení napraví namítané pochybení, ÚOOÚ má povinnost o tom informovat stěžovatele, který může proti takovému vyřízení do čtyř týdnů uplatnit námitku. Nepodá-li ji, řízení se zastaví. Navrhovaná úprava tento institut rozšiřuje i na čistě vnitrostátní stížnosti, aby se předešlo dvojkolejnosti procesního režimu a aby ÚOOÚ neměl povinnost vést dva paralelní procesní postupy podle toho, zda stížnost má, či nemá přeshraniční prvek.
Jednostupňové řízení a soudní ochrana (§ 54b odst. 6, 9 a 10)
Řízení o stížnosti by mělo být jednostupňové; rozklad se vylučuje. Předkladatel se odvolává na to, že jde o unijní standard. Před vydáním rozhodnutí by ÚOOÚ měl všem účastníkům umožnit vyjádřit se k předběžnému posouzení věci – obdobně, jako to vyžaduje čl. 16 a násl. procesního nařízení.
Soudní ochrana by se měla zajistit kombinací dvou žalobních typů. Žaloba proti rozhodnutí by dopadala na případy meritorního zastavení řízení podle § 54b odst. 6. Zásahová žaloba by dopadala na situace, kdy by ÚOOÚ sice formálně vedl paralelní řízení o nápravném opatření podle § 54b odst. 7, ale podstatu stížnosti by nevyřešil. Důvodová zpráva to vysvětluje tak, že dozorový úřad se má považovat za nezákonně nečinného i tehdy, pokud sice vedl řízení se správcem nebo zpracovatelem, ale nezabýval se podstatou stížnosti, resp. porušením práv subjektu údajů.
V obou případech by soud, shledá-li žalobu důvodnou, uložil ÚOOÚ povinnost zahájit řízení o uložení konkrétního nápravného opatření nebo trestu. Soud by přitom nebyl vázán návrhem žalobce. Předkladatel se v důvodové zprávě výslovně inspiruje rozsudkem rozšířeného senátu NSS ze dne 26. března 2021, č. j. 6 As 108/2019-39, ŽAVES.
Oddělení řízení o stížnosti od řízení o nápravném opatření nebo trestu (§ 54b odst. 7 a 8)
Návrh koncepčně odděluje řízení o stížnosti od následného řízení o nápravném opatření nebo trestu vůči správci či zpracovateli. Žadatel by neměl být účastníkem tohoto navazujícího řízení; zachovává se mu však právo vyjádřit se k předběžnému posouzení věci v rozsahu, v němž se věc dotýká jeho práv jakožto subjektu údajů. Předkladatel v důvodové zprávě výslovně odkazuje na rozsudek SDEU ve věci C-768/21 Land Hessen, podle něhož subjekt údajů nemá subjektivní veřejné právo dožadovat se, aby dozorový úřad uložil správci pokutu.
Závěrem
Návrh novely je v současné době v připomínkovém řízení a finální podoba se může v průběhu legislativního procesu měnit. Z hlediska správců a zpracovatelů osobních údajů, jakož i ÚOOÚ samotného, se nicméně rýsuje významný posun ve dvou směrech. Úřad získává konkrétní procesní nástroje, jak reagovat na účelová a zjevně nepřiměřená podání. Současně se však posiluje pozice subjektů údajů ve smyslu, že jejich stížnost má z formálního i materiálního hlediska charakter žádosti, o které musí dozorový úřad rozhodnout a jejíž vyřízení podléhá plnohodnotnému soudnímu přezkumu.
Navrhovaná účinnost novely je 3. dubna 2027, synchronně s použitelností procesního nařízení (EU) 2025/2518.