Lhůta pro vyřízení žádosti subjektu údajů dle čl. 12 odst. 3 GDPR — základní 1 měsíc, prodloužená 3 měsíce. Notifikace o prodloužení do 1 měsíce od žádosti.
Lhůta GDPR žádosti 2026 — čl. 12 GDPR
Do kdy musíte vyřídit žádost subjektu údajů
Právní základ
- čl. 12 odst. 3 Obecné nařízení o ochraně osobních údajů (GDPR) ((EU) 2016/679) ↗
Lhůta pro vyřízení žádosti subjektu údajů — 1 nebo 3 měsíce
Účinné od: 25. 5. 2018
- § 63 zákon o zpracování osobních údajů (110/2019 Sb.) ↗
Práva subjektů údajů — provedení GDPR v ČR
Účinné od: 24. 4. 2019
Stručně k tématu
Stručně k tématu: lhůty pro vyřízení GDPR žádostí
GDPR (nařízení EU 2016/679, platné od 25. 5. 2018) přiznává fyzickým osobám rozsáhlá práva týkající se zpracování jejich osobních údajů. Každý subjekt údajů může uplatnit právo na přístup (čl. 15), opravu (čl. 16), výmaz (čl. 17, tzv. „právo být zapomenut"), omezení zpracování (čl. 18), přenositelnost (čl. 20) nebo vznést námitku (čl. 21). Správce nebo zpracovatel je povinen na takové žádosti reagovat ve lhůtách stanovených čl. 12 odst. 3 GDPR.
Základní lhůta 1 měsíc
Základní lhůta pro vyřízení žádosti subjektu údajů je 1 kalendářní měsíc od obdržení žádosti. Lhůta se počítá jako kalendářní měsíc — pokud žádost dorazí 15. 1., správce musí reagovat nejpozději 15. 2. Pokud cílový den v daném měsíci neexistuje (např. 31. 1. + 1 měsíc = 28. 2. v nepřestupném roce), lhůta uplyne posledního dne příslušného měsíce. GDPR nestanoví posun na pracovní den.
Prodloužení na 3 měsíce
Při složitosti nebo velkém množství žádostí lze lhůtu prodloužit o 2 měsíce (celkem tedy 3 měsíce). Podmínkou je, že správce do 1 měsíce od obdržení žádosti informuje subjekt o prodloužení a jeho důvodech. Tato notifikační povinnost je klíčová — její nesplnění je samo o sobě porušením GDPR, i kdyby výsledná odpověď byla dodána včas ve 3měsíční lhůtě.
Obsah a forma odpovědi
Odpověď na žádost musí být poskytnuta srozumitelně, stručně a jasně — přednostně elektronicky, pokud si to subjekt přeje. Informace jsou zdarma (čl. 12 odst. 5 GDPR), výjimkou jsou opakované nebo zjevně nepřiměřené žádosti, kde lze účtovat přiměřený poplatek nebo odmítnout. V ČR je dozorovým úřadem ÚOOÚ (Úřad pro ochranu osobních údajů), který v případě stížnosti prošetřuje dodržování lhůt a oprávněnost odmítnutí.
Sankcí za nedodržení lhůty
Nesplnění lhůty dle čl. 12 GDPR může vést ke správní pokutě od ÚOOÚ — porušení povinností správce dle čl. 12 GDPR patří pod čl. 83 odst. 4 GDPR (Level 1), tj. max. 10 000 000 EUR nebo 2 % celosvětového obratu. Subjekt může také podat správní stížnost k ÚOOÚ nebo se obrátit na soud se žalobou na ochranu osobnosti nebo náhradu škody.
Časté dotazy
Jaká je lhůta pro vyřízení žádosti subjektu údajů dle GDPR?
Dle čl. 12 odst. 3 nařízení (EU) 2016/679 (GDPR) musí správce poskytnout informace nejpozději do 1 měsíce od obdržení žádosti. Při složitosti nebo množství žádostí lze tuto lhůtu prodloužit o další 2 měsíce (celkem tedy 3 měsíce) — správce však musí do 1 měsíce od žádosti informovat subjekt o prodloužení a jeho důvodech.
Co je žádost subjektu údajů dle GDPR?
GDPR přiznává fyzickým osobám (subjektům údajů) řadu práv, o jejichž uplatnění mohou správce požádat: právo na přístup k údajům (čl. 15), právo na opravu (čl. 16), právo na výmaz (čl. 17), právo na omezení zpracování (čl. 18), právo na přenositelnost (čl. 20), právo vznést námitku (čl. 21). Správce musí na každou takovou žádost reagovat ve stanovené lhůtě.
Kdy lze prodloužit lhůtu na 3 měsíce?
Čl. 12 odst. 3 GDPR umožňuje prodloužení lhůty o 2 měsíce, pokud je to nezbytné s ohledem na složitost a počet žádostí. Podmínkou je, že správce do 1 měsíce od obdržení žádosti informuje subjekt o prodloužení a jeho důvodech. Prodloužení musí být odůvodněné — nelze je využívat jako standard bez objektivního důvodu.
Co se stane, když správce lhůtu nesplní?
Nesplnění lhůty dle čl. 12 odst. 3 GDPR je porušením GDPR a může být předmětem správní pokuty od ÚOOÚ (Úřad pro ochranu osobních údajů). Subjekt může podat stížnost k ÚOOÚ nebo se domáhat nápravy soudní cestou. Zároveň dle čl. 12 odst. 4 GDPR, pokud správce neposkytne informace, musí subjekt informovat o důvodech neposkytnutí.
Jak se počítá měsíc dle GDPR?
GDPR používá termín "měsíc" bez bližšího upřesnění — uplatní se obecný výklad jako kalendářní měsíc. Pokud tedy žádost přijde 15. 1., základní lhůta uplyne 15. 2. Pokud cílový datum v daném měsíci neexistuje (např. 31. 1. + 1 měsíc), lhůta uplyne posledního dne příslušného měsíce (28. nebo 29. 2.). Lhůta se NEPRODLUŽUJE na pracovní den — GDPR to nestanoví.