GDPR jako výchozí bod pověřence pro ochranu osobních údajů
Ačkoli ustanovení osoby pověřené ochranou osobních údajů umožňovala správcům či zpracovatelům již směrnice 95/46/ES[1], k formálnímu pojmenování a zavedení funkce pověřence pro ochranu osobních údajů včetně stanovení požadavků na tuto funkci došlo až s přijetím GDPR[2] jakožto přímo použitelného a komplexního právního předpisu upravujícího zacházení s osobními údaji. Praxe jmenování pověřence pro ochranu osobních údajů se v některých členských státech v průběhu let vyvinula a GDPR na tuto praxi reagovalo uložením povinnosti pro určité správce a zpracovatele, aby pověřence jmenovali.
GDPR v době svého přijetí představovalo zejména reakci Evropské unie na dynamický rozvoj digitálního prostředí, v němž se ve stále větším rozsahu zpracovávají osobní údaje a rostou i rizika s tím spojená. Zakotvení funkce pověřence osobních údajů jakožto osoby, která nezávisle ověřuje, že se v organizaci, u které působí, postupuje v souladu s právními předpisy upravujícími ochranu osobních údajů, bylo jedním z nástrojů, jak zajistit, že pravidla na ochranu osobních údajů budou dodržována.
Digitální prostředí se však od roku 2018 dále významně proměňovalo, a i nadále se vyvíjí. Nové technologie a datové služby sice mají řadu přínosů, zároveň ale generují nové typy rizik, na které Evropská unie reaguje přijetím dalších právních předpisů či změnou stávajících, již platných, právních předpisů. Tyto nové regulace ukládají různým subjektům řadu povinností, často však již výslovně nepočítají s povinností ustanovit odbornou osobu, která by dohlížela na jejich dodržování. Vyvstává proto otázka, kdo má v tomto komplikovaném a neustále se rozšiřujícím regulačním rámci zajišťovat soulad s právními předpisy tak, aby to bylo pro povinné subjekty personálně, administrativně a finančně udržitelné, a jak se v něm proměňuje role pověřence pro ochranu osobních údajů.
Kdo je pověřenec pro ochranu osobních údajů podle GDPR?
Pro úvahy o postavení pověřence pro ochranu osobních údajů v kontextu nové evropské legislativy je nejprve nezbytné vymezit, jak je tato role koncipována samotným GDPR. Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“) je odborná osoba, která v rámci organizace působící jako správce nebo zpracovatel osobních údajů, dohlíží na soulad zpracování osobních údajů s relevantními právními předpisy. Pověřenec nemusí být pouze jednotlivcem, ale může se jednat i o celý tým specialistů, kteří plní povinnosti uložené GDPR, vyžaduje-li to velikost a struktura správce či zpracovatele.
Jmenování pověřence je mj. povinné pro subjekty, stanovené v čl. 37 GDPR – typicky se bude jednat o subjekty, mezi jejichž hlavní činnosti spadá rozsáhlé pravidelné a systematické zpracování osobních údajů, případně zpracování citlivých údajů (tzv. údajů zvláštní kategorie nebo osobních údajů týkajících se trestních rozsudků).
Úkoly pověřence jsou výslovně vymezeny, a to zejména v čl. 39 GDPR. Pověřenec především informuje a poskytuje poradenství správci, zpracovateli i zaměstnancům, kteří se podílejí na zpracování osobních údajů, monitoruje dodržování GDPR a souvisejících právních předpisů, podílí se na poskytování poradenství v souvislosti s posuzováním vlivu zpracování na ochranu osobních údajů a funguje jako kontaktní místo pro dozorový úřad[3] i pro subjekty údajů.
Pověřenec není oprávněn činit rozhodnutí týkající se zpracování osobních údajů – jeho role je kontrolní a poradenská, nikoli rozhodovací.[4] Pokud by pověřenec současně rozhodoval o zpracování a kontroloval jeho zákonnost, dostával by se do střetu zájmů. Z tohoto důvodu pověřenec rovněž nenese odpovědnost za samotný soulad zpracování s právními předpisy; tato odpovědnost nadále spočívá na správci nebo zpracovateli osobních údajů.[5]
Které povinnosti stanovené nově přijatými právními předpisy by potenciálně mohl převzít pověřenec pro ochranu osobních údajů?
Otázka možného rozšíření role pověřence pro ochranu osobních údajů vyvstává především v souvislosti s přijetím evropských právních předpisů, jež se obsahově i funkčně prolínají s ochranou osobních údajů, aniž by však výslovně zakotvovaly povinnost ustanovit samostatnou odbornou osobu odpovědnou za dohled nad jejich dodržováním. V tomto kontextu je v odborné diskusi poukazováno na možnost systematičtějšího využití odborného know-how pověřenců i při implementaci a aplikaci dalších právních rámců souvisejících se zpracováním osobních údajů.[6]
Z novější evropské legislativy lze příkladem uvést zejména tzv. „Big Five“, tedy pět klíčových digitálních regulací Evropské unie: nařízení o digitálních službách (Digital Services Act)[7], nařízení o digitálních trzích (Digital Markets Act)[8], nařízení o správě dat (Data Governance Act)[9], nařízení o datech (Data Act)[10] a v neposlední řadě nařízení o umělé inteligenci (AI Act)[11].
Tyto právní předpisy ukládají dotčeným subjektům řadu povinností v oblasti řízení rizik, transparentnosti, dokumentace procesů, interních kontrolních mechanismů či komunikace s dozorovými orgány. Právě v těchto oblastech se v praxi často objevují úvahy a odborné diskuse, kdo má tyto činnosti zajišťovat a zda by alespoň část těchto povinností nemohla být svěřena pověřenci pro ochranu osobních údajů, který již v organizaci obdobnou kontrolní a poradenskou roli vykonává.
K této problematice se vyjádřil také Evropský sbor pro ochranu osobních údajů (v angličtině: European Data Protection Board (EDPB)), který v roce 2024 vydal dokument zaměřený na jmenování a postavení pověřenců pro ochranu osobních údajů[12]. V tomto dokumentu EDPB mapuje aktuální praxi výkonu funkce pověřence a formuluje doporučení, jak by tato role měla být v organizacích koncipována. EDPB zdůrazňuje, že pověřenec by měl disponovat dostatečnými znalostmi širšího regulačního rámce, včetně právních předpisů spadajících do výše uvedené skupiny „Big Five“, a že mu musí být vytvořen odpovídající prostor pro průběžné vzdělávání a sledování legislativního vývoje. To nicméně neznamená, že by měl paušálně převzít povinnosti podle těchto předpisů. EDPB dokonce v závěru dokumentu varuje před „automatickým slučováním“ funkce pověřence s dalšími rolemi, které mohou v souvislosti s novými právními předpisy vyvstat. Ačkoli k takovému kumulování funkcí v praxi dochází, logicky nejčastěji z důvodu finanční úspory nebo nedostatku personálních kapacit, může to podle EDPB vést k celé řadě problémů. Pověřenec, který „sedí na více židlích zároveň“, nemusí mít dostatečnou kapacitu k plnění své základní úlohy v oblasti ochrany osobních údajů a zároveň se může snadno dostat do střetu zájmů, který je s postavením pověřence podle GDPR neslučitelný.
Na rozdíl od nového zákona o kybernetické bezpečnosti[13], kterým byla transponována směrnice NIS 2[14], a který předpokládá formální jmenování bezpečnostních specialistů,[15] však výše uvedené předpisy ze skupiny tzv. „Big five“ nepočítají s formálním zavedením rolí, které budou kontrolovat jejich dodržování. Bude tedy na povinných subjektech, aby se s nastavením těchto nových mechanismů vypořádaly samy. Nelze vyloučit, že dojde k obdobné genezi jako tomu bylo u funkce pověřence pro ochranu osobních údajů, a že povinné subjekty začnou samy dobrovolně pověřovat své zaměstnance nebo jiné osoby, aby zajistily dodržování povinností a požadavků kladených touto novou legislativou.
Příklad: Srovnání funkce pověřence pro ochranu osobních údajů s „funkcí AI Officer“
AI Act dopadá na výrazně užší okruh subjektů než GDPR. Zatímco GDPR se v praxi vztahuje na naprostou většinu podnikatelských subjektů – neboť fungování bez jakéhokoli zpracování osobních údajů je v dnešním prostředí spíše teoretické – AI Act stanoví povinnosti především vývojářům a provozovatelům systémů umělé inteligence. Tyto povinnosti se navíc uplatní zejména v případech, kdy jsou dané systémy kvalifikovány jako vysoce rizikové (typicky v oblastech zaměstnávání, vzdělávání, zdravotnictví, poskytování základních služeb nebo hodnocení úvěruschopnosti). AI Act tak dopadá pouze na část subjektů, a to v závislosti na povaze využívání umělé inteligence.[16]
Na rozdíl od GDPR AI Act výslovně nestanoví povinnost jmenovat konkrétní odpovědnou osobu obdobnou pověřenci pro ochranu osobních údajů. Přesto však z jeho systematiky, jakož i z odborné diskuse, která se k tomuto předpisu váže, vyplývá, že Evropská unie považuje interní odborný dohled nad používáním umělé inteligence za klíčový prvek odpovědného využívání AI. V tomto kontextu se mezi odbornou veřejností i v praxi prosazuje koncept tzv. „AI Officera“, případně „Chief AI Officer“, jako doporučené – nikoli však povinné – organizační řešení, jehož cílem je zajistit soulad s požadavky AI Actu.[17]
Vzhledem k tomu, že AI Act roli AI Officera výslovně nevymezuje, nezakotvuje ani konkrétní výčet jeho úkolů. Potenciální obsah této funkce je proto dovozován z povinností, které AI Act ukládá regulovaným subjektům. Takto chápaná role AI Officera v mnoha ohledech připomíná postavení pověřence pro ochranu osobních údajů podle GDPR – AI Officer vykonává dohled nad plněním regulatorních povinností v průběhu celého životního cyklu systému umělé inteligence, podílí se na řízení rizik, sleduje plnění dokumentačních povinností a vystupuje jako kontaktní bod vůči dozorovým orgánům.
Současně je však zřejmé, že i když se potenciální role AI Officera bude vyskytovat u méně subjektů, její úkoly jsou daleko obsáhlejší než úkoly pověřence. Agenda AI Officera se nevztahuje výlučně na osobní údaje, ale na veškerá data vstupující do systémů umělé inteligence, včetně dat „neosobních“. AI Officer se dále musí zabývat nejen tím, zda je zpracování dat právně přípustné, ale rovněž tím, zda systémy umělé inteligence fungují eticky a nediskriminačně. Zatímco role pověřence je tradičně spojována především s právní a compliance expertizou, výkon funkce AI Officera předpokládá širší odborné zázemí, zahrnující vedle právních znalostí také porozumění technologickým aspektům fungování AI a otázkám etiky.
Z tohoto pohledu se slučování role AI Officera a pověřence pro ochranu osobních údajů nejeví jako systematicky vhodné řešení. Riziko zahlcení pověřence a riziko potenciálního střetu zájmů (stejně jako u případného slučování rolí pověřence a osob zajišťujících dodržování přepisů z tzv. „Big five“) zde nelze přehlédnout. Na druhou stranu GDPR počítá se zpracováním osobních údajů na základě automatizovaného rozhodování, kdy námitka proti takovému zpracování[18] může být uplatněna právě u pověřence.[19] Už samo GDPR tak výslovně počítá se zapojením pověřence do AI procesů.[20]
Jako praktičtější se proto jeví model, v němž je agenda související s regulací umělé inteligence rozdělena mezi více odborných rolí (a to i třeba s jedním koordinujícím „AI Officerem“ v čele), kdy pověřenec pro ochranu osobních údajů může představovat jednu z klíčových osob zapojených do tohoto širšího rámce digitální compliance, nikoli však jeho výlučný nosný prvek.
Závěr
Zatímco GDPR položilo základní rámec ochrany osobních údajů a institucionálně jej podpořilo zavedením role pověřence pro ochranu osobních údajů, některé další právní předpisy reagující na technologický vývoj – včetně AI Actu – již volí odlišný přístup. Namísto plošného zakotvení jedné univerzální kontrolní funkce předpokládají vznik specializovaných rolí, které reflektují specifická rizika jednotlivých oblastí digitální regulace.
Srovnání role pověřence s nově se formujícím konceptem AI Officera ukazuje, že ačkoli obě funkce sdílejí některé strukturální rysy, jejich úkoly a požadavky na kvalifikaci se částečně liší. Pověřenec zůstává primárně garantem souladu s pravidly ochrany osobních údajů, zatímco AI Officer – pokud je v organizaci ustanoven – se pohybuje v širším prostoru zahrnujícím technická i etická rizika spojená s využíváním umělé inteligence. Snaha automaticky rozšiřovat mandát pověřence o další regulatorní agendy, jakkoli jsou tyto agendy leckdy s rolí pověřence úzce spojené, proto naráží na limity vyplývající jak z požadavku na jeho nezávislost, tak z reálných kapacitních a odborných možností této role.
Vývoj nové evropské legislativy naznačuje, že budoucnost compliance v digitálním prostředí nebude spočívat v postupné „transformaci“ pověřence v univerzálního digitálního dohlížitele, ale spíše v koexistenci a spolupráci více specializovaných funkcí. Pověřenec pro ochranu osobních údajů v tomto rámci neztrácí svůj význam, ba právě naopak zůstává klíčovým aktérem tam, kde se nové technologie prolínají se zpracováním osobních údajů. Jeho role se však stále více vymezuje jako součást širšího systému digitální správy a řízení rizik, nikoli jako jeho jediné centrum. V konečném důsledku je nicméně na samotném správci či zpracovateli, u kterého pověřenec působí, aby si zhodnotil, do jaké role pověřence postaví tak, aby sám plnil a plnohodnotně dostál svým povinnostem stanoveným legislativou.
[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – obsahovala úpravu ochrany zpracování osobních údajů před přijetím GDPR – s přijetím GDPR byla zrušena.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[3] Konkrétně Úřad pro ochranu osobních údajů.
[5] Ke střetu zájmů pověřence vizte např. MARŠÁL, Jiří. Střet zájmů pověřence pro ochranu osobních údajů: Je funkce pověřence kompatibilní s vedoucí pozicí ve společnosti správce/zpracovatele? [online]. epravo.cz, 25.62020 [cit. 2025-12-17].
[6] Viz např. Výzva k posílení postavení a využití zkušeností pověřenců [online]. ochranaudaju.cz, 12.6.2024 [cit. 2026-01-05]. Dostupné z: https://www.ochranaudaju.cz/aktuality/vyzva-kposileni-postaveni-a-vyuziti-zkusenosti-poverencu
[7] Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách).
[8] Nařízení Evropského parlamentu a Rady (EU) 2022/1925 ze dne 14. září 2022 o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví a o změně směrnic (EU) 2019/1937 a (EU) 2020/1828 (nařízení o digitálních trzích).
[9] Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat).
[10] Nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 (nařízení o datech).
[11] Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci).
[12] 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers: přijato 16.1.2024[online]. European Data Protection Board [cit. 2025-12-17]. Dostupné z: https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
[14] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
[15] Požadavky na bezpečnostní role: zveřejněno 8. 12. 2025 [online]. portal.nukib.gov.cz. [cit. 2025-12-17]. Dostupné z: https://portal.nukib.gov.cz/informacni-servis/podpurne-materialy/6936d668617736945d0bcb08
[16] AI act: zveřejněno 5.12.2025 [online]. Digital-strategy.ec.europa.eu [cit. 2025-12-17]. Dostupné z: https://digital-strategy.ec.europa.eu/cs/policies/regulatory-framework-ai
[17] MARIC, Tijana Zunic, From DPO to AI Officer: Europe’s Next Compliance Role [online]. Linkedin.com. 22.9.2025 [cit. 2025-12-17]. Dostupné z: https://www.linkedin.com/pulse/from-dpo-ai-officer-europes-next-compliance-role-tijana-zunic-maric-ydvuf/
[19] Čl. 38 odst. 4 GDPR.
[20] Is the DPO the right person to be the AI Officer? červenec 2024 [online]. CEDPO AI and Data Working Group Micro-Insights Series. [cit. 2025-12-17]. Dostupné z: https://cedpo.eu/wp-content/uploads/The-DPO-and-the-AI-Officer.pdf
Diskuze k článku ()