Na konci roku 2025 Evropská unie přijala dlouho očekávané procesní nařízení, které má zpřesnit a urychlit prosazování nařízení Evropského parlamentu a Rady (EU) 2016/679[1] (dále jen „GDPR“) v přeshraničních případech.
Obecně k nařízení
Konkrétně jde o nařízení (EU) 2025/2518[2] ze dne 26. listopadu 2025, které bylo zveřejněno v Úředním věstníku EU 12. prosince 2025 (dále jen „Nařízení“). Nařízení vstoupilo v platnost již 1. ledna 2026, avšak jeho ustanovení začnou být uplatňována až od 2. dubna 2027.
V prvé řadě je nutno říct, že se jedná o nařízení procesního charakteru, tedy nová úprava v Nařízení nemění samotné hmotněprávní povinnosti podle GDPR. Nedotýká se tedy práv subjektů údajů ani povinností správců a zpracovatelů, stejně jako nemění pravidla pro ukládání pokut podle článku 83 GDPR.
Cílem Nařízení je výhradně doplnit procesní rámec pro přeshraniční vymáhání GDPR a odstranit praktické problémy, které se v dosavadní praxi opakovaně objevovaly.
Blíže k Nařízení
Potřeba přijetí Nařízení vychází z dosavadních zkušeností s fungováním mechanismu one-stop-shop podle GDPR. V přeshraničních případech nese vedoucí dozorový úřad hlavní odpovědnost za postup v rámci spolupráce podle GDPR a koordinuje věc s ostatními dotčenými dozorovými úřady. Dosavadní praxe však ukázala, že při absenci jednotné procesní úpravy dochází mezi jednotlivými členskými státy k významným rozdílům v procesním postupu.
Tyto rozdíly se projevovaly zejména při posuzování přijatelnosti stížností, v délce a organizaci řízení i v rozsahu procesních práv jeho účastníků. Důsledkem byly průtahy v přeshraničních řízeních, právní nejistota a omezená předvídatelnost postupu dozorových orgánů. Nařízení proto sleduje cíl tyto nedostatky odstranit, posílit efektivitu spolupráce mezi dozorovými orgány a sjednotit procesní rámec prosazování GDPR napříč členskými státy.
Jednotná pravidla pro přijatelnost stížností, týkajících se přeshraničního zpracování
Jednou z nejdůležitějších změn v Nařízení je harmonizace pravidel pro přijatelnost stížností, týkajících se přeshraničního zpracování. Dosud se mohlo stát, že obdobná stížnost byla v jednom členském státě přijata, zatímco v jiném nikoli, protože místní úřad požadoval širší nebo odlišné podklady. Nařízení tento roztříštěný přístup omezuje a stanoví jednotná pravidla pro celou EU. Bez ohledu na to, kde je stížnost podána, má být její přijatelnost posuzována podle stejných kritérií.
Aby mohlo být podání posouzeno jako stížnost v přeshraniční věci, musí obsahovat náležitosti vymezené v čl. 4 Nařízení. Vedle identifikačních a kontaktních údajů stěžovatele musí zahrnovat údaje umožňující určit správce nebo zpracovatele, proti němuž směřuje, a popis tvrzeného porušení GDPR. Podává-li stížnost neziskový subjekt, musí současně doložit své řádné založení podle práva některého členského státu i oprávnění jednat na základě pověření subjektu údajů. Význam této změny spočívá v tom, že čl. 4 Nařízení stanoví jednotný okruh náležitostí pro posouzení přijatelnosti stížnosti, dozorové úřady by proto pro samotné posouzení její přijatelnosti neměly požadovat další údaje nad rámec Nařízení, aniž je tím dotčena možnost vyžádat si později doplňující informace pro účely vyšetřování.
Význam pojmu stížnost dále upřesňuje a negativně vymezuje recitál 6 Nařízení. Podle něj se stížností rozumí podání subjektu údajů adresované dozorovému úřadu podle čl. 77 odst. 1 nebo čl. 80 GDPR. Naopak za stížnost nelze považovat pouhé oznámení tvrzených porušení, která se nevztahují ke zpracování osobních údajů daného subjektu údajů, ani žádosti správců či zpracovatelů o poradenství nebo obecné dotazy týkající se uplatňování GDPR.
Pevnější lhůty a tlak na rychlejší vyřízení
Nařízení nově zavádí konkrétní lhůty pro postup dozorových orgánů v přeshraničních věcech a současně vytváří mechanismy směřující k efektivnějšímu vyřizování stížností. Dosavadní právní úprava neobsahovala závazné časové limity pro ukončení přeshraničních řízení, což v praxi vedlo k výrazným průtahům. Podle nové úpravy je tak vedoucí dozorový úřad povinen v zásadě předložit návrh rozhodnutí podle čl. 60 odst. 3 GDPR do 15 měsíců od potvrzení své příslušnosti. Tuto lhůtu lze prodloužit pouze jednou, a to nejvýše o 12 měsíců, a jen ve výjimečných případech zvláštní složitosti.
Nařízení dále upravuje i zvláštní procesní postupy, které mají umožnit rychlejší vyřízení méně složitých nebo již fakticky napravených věcí, zejména institut časného vyřešení stížnosti a zjednodušenou spolupráci. Nařízení tak sleduje v tomto ohledu zejména posílení předvídatelnosti řízení a omezení průtahů při prosazování GDPR v přeshraničních případech.
Samotné nedodržení stanovených lhůt dle Nařízení však bez dalšího nevede k neplatnosti procesních úkonů ani vydaného rozhodnutí, může být nicméně relevantní při posuzování nečinnosti dozorového úřadu a při uplatnění práva na účinnou soudní ochranu ve smyslu čl. 78 GDPR.
Časné řešení stížností ve smyslu Nařízení
Nařízení v čl. 5 zavádí mechanismus časného vyřešení stížnosti. Ten se uplatní zejména tehdy, když se stížnost týká výkonu práv subjektu údajů podle kapitoly III GDPR (práva subjektů údajů), tedy například práva na přístup, výmaz nebo námitku proti zpracování. Pokud dozorový úřad zjistí, že vytýkaný problém byl již odstraněn a k nápravě došlo, může věc uzavřít rychleji, aniž by se musel plně rozběhnout standardní přeshraniční režim spolupráce.
Tento postup však nemá směřovat k oslabení procesní ochrany stěžovatele. Pokud subjekt údajů s časným vyřešením stížnosti nesouhlasí, může se proti němu ohradit a iniciovat pokračování standardního postupu. Účelem institutu časného řešení je zejména zjednodušit vyřízení věcí, v nichž již bylo dosaženo nápravy a další procesní postup by představoval spíše zbytečnou administrativní zátěž.
Zjednodušená spolupráce
Nařízení počítá rovněž se zjednodušeným režimem spolupráce mezi vedoucím dozorovým úřadem a ostatními dotčenými dozorovými úřady. Tento postup má být využíván v případech, v nichž lze již v rané fázi řízení vytvořit předběžný závěr k hlavním otázkám věci a tento závěr nevyvolává důvodné pochybnosti. Smyslem této úpravy je umožnit, aby vedoucí dozorový úřad předložil ostatním dotčeným orgánům věc v procesně jednodušším režimu, bez nutnosti využít celý rozsah koordinačních mechanismů určených pro složitá a sporná přeshraniční řízení. Cílem je omezit nadměrnou administrativní zátěž a urychlit vyřízení méně komplikovaných případů.
Posílení procesních práv stěžovatele
Nařízení rovněž posiluje procesní postavení stěžovatele. Pokud dozorový úřad zamýšlí stížnost zcela nebo zčásti odmítnout, musí stěžovateli umožnit, aby byl slyšen a mohl se k tomu vyjádřit. Tím se napříč EU sjednocuje minimální standard procesní ochrany stěžovatele, který dosud nebyl v jednotlivých státech uplatňován stejně. Vedle toho budou pro zapojení stěžovatele do řízení platit jednotnější pravidla. To by mělo přispět jak k větší transparentnosti, tak k vyšší důvěře v přeshraniční prosazování GDPR, které bylo dosud často kritizováno jako nepřehledné a zdlouhavé.
Posílení práva na obhajobu vyšetřovaných organizací
Významnou část nové úpravy tvoří posílení procesních práv subjektů, vůči nimž je vedeno přeshraniční řízení, tedy zejména správců či zpracovatelů. Nařízení v této souvislosti podrobněji rozpracovává právo být slyšen ještě před přijetím konečného rozhodnutí. Pokud vedoucí dozorový úřad po konzultacích a postupu podle čl. 10 a 11 Nařízení předběžně dospěje k závěru, že došlo k porušení GDPR, je povinen vyhotovit předběžná zjištění podle čl. 19 odst. 1 Nařízení. Tato předběžná zjištění musí obsahovat zejména rozhodné skutkové okolnosti, právní posouzení, relevantní důkazy a rovněž nápravná opatření, která vedoucí dozorový úřad zamýšlí přijmout, včetně případné správní pokuty a způsobu jejího výpočtu.
Teprve po doručení předběžných zjištění vzniká vyšetřovanému subjektu právo se k nim vyjádřit. Podle čl. 19 odst. 5 Nařízení mu k tomu musí být poskytnuta lhůta v délce nejméně tří a nejvýše šesti týdnů, během níž může předložit písemné vyjádření. Tím Nařízení výslovně zakotvuje procesní prostor pro obhajobu ještě před tím, než vedoucí dozorový úřad přistoupí k návrhu konečného rozhodnutí v režimu čl. 60 GDPR.
Právo na přístup ke správnímu spisu
S právem na obhajobu úzce souvisí i právo na přístup ke správnímu spisu, které Nařízení upravuje v čl. 24. Podle tohoto ustanovení musí být vyšetřované straně zpřístupněny dokumenty obsažené ve správním spise, a to v rozsahu nezbytném pro účinný výkon její obhajoby. Správní spis přitom zahrnuje jak podklady svědčící v neprospěch vyšetřované strany, tak i podklady, které mohou podporovat její obhajobu. Naopak z přístupu jsou vyloučena interní sdělení dozorových orgánů, současně musí být chráněno obchodní tajemství, důvěrné informace a další chráněné zájmy výslovně uvedené v Nařízení.
Na tuto úpravu navazuje i čl. 21 Nařízení, který upravuje přijetí konečného rozhodnutí poté, co byl v rámci spolupráce podle čl. 60 GDPR sdílen návrh rozhodnutí a nebyly proti němu ve stanovených lhůtách vzneseny relevantní námitky. Procesní rámec je tak nově vystavěn tak, aby vyšetřovaná strana měla možnost reagovat na předběžné závěry úřadu dříve, než se věc posune do finální fáze rozhodování. Celkově tato úprava posiluje procesní férovost přeshraničních řízení. Současně však na vyšetřované subjekty, tedy správce a zpracovatele klade vyšší nároky, protože reakce na předběžná zjištění musí být soustředěná, právně precizní a podaná v relativně krátké lhůtě.
Právě v tom spočívá praktický dopad nové úpravy: posílení obhajobných práv je spojeno s požadavkem na rychlou a kvalifikovanou procesní aktivitu vyšetřovaného subjektu.
Jasnější koordinace mezi dozorovými úřady
Nařízení si klade za cíl zlepšit i samotnou koordinaci mezi vedoucím dozorovým úřadem a ostatními dotčenými dozorovými úřady. Cílem je omezit situace, kdy se informace sdílejí pozdě, řízení se zbytečně vrací do dřívějších fází nebo se spory mezi úřady prodlužují kvůli procesní nejasnosti.
Výsledkem by mělo být méně duplicitních kroků, menší administrativní zátěž a větší šance, že přeshraniční věci budou rozhodovány v rozumné době. Právě efektivnější koordinace je jedním z hlavních důvodů, proč bylo Nařízení vůbec přijato.
Závěrem
Nařízení představuje významný posun v dosavadním modelu přeshraničního dozoru dle GDPR. Jeho cílem není měnit obsah povinností podle GDPR, ale odstranit procesní slabiny, které dosud oslabovaly efektivitu přeshraničního dozoru. Tím, že zavádí jednotnější pravidla, pevnější lhůty a jasnější procesní garance, vytváří předpoklady pro rychlejší, předvídatelnější a transparentnější rozhodování v rámci celé EU.
Zároveň ale zvyšuje nároky na procesní disciplínu a připravenost těch subjektů, které se mohou stát účastníky přeshraničních řízení.
Skutečný přínos této úpravy však bude možné plně posoudit až s její aplikační praxí v roce 2027.
V případě jakýchkoliv dotazů v oblasti ochrany osobních údajů, regulace digitálního prostoru a práva EU jsme Vám v PEYTON legal k dispozici.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] Nařízení Evropského parlamentu a Rady (EU) 2025/2518 ze dne 26. listopadu 2025, kterým se stanoví další procesní pravidla pro prosazování nařízení (EU) 2016/679
Mgr. Jakub Málek, managing partner – malek@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
14. 5. 2026