Právny prehľad č. 85 – júl 2025. 

 

Súlad s GDPR: aké sú ekonomické výhody?

Štúdie, ktoré vykonala Asociácia pre odborné vzdelávanie dospelých (AFPA) a CNIL, teraz potvrdzujú ekonomické výhody spojené s prítomnosťou zodpovednej osoby (DPO) v spoločnostiach.

Štatistický prieskum, ktorý v januári 2024 uskutočnila agentúra AFPE na základe viac ako 3 600 odpovedí od úradníkov pre ochranu údajov, bol doplnený hĺbkovými rozhovormi, ktoré uskutočnila CNIL s desiatimi úradníkmi pre ochranu údajov navrhnutými Francúzskou asociáciou korešpondentov pre ochranu údajov (AFCDP).

Výsledky týchto analýz, ktoré CNIL predstavila koncom júla, identifikujú štyri hlavné výhody pre spoločnosti s DPO: konkurencieschopnosť, vyhýbanie sa sankciám, zabránenie únikom údajov a racionalizácia správy údajov.

Tieto výhody vnímajú spoločnosti všetkých veľkostí, a najmä v sektoroch „Výskum, IT a poradenstvo“ a „Bankovníctvo, poisťovníctvo a vzájomné spoločnosti“.

• Z hľadiska konkurencieschopnosti sa teda dodržiavanie GDPR javí ako páka na získanie zákaziek, najmä ak sa týkajú údajov.

V tejto súvislosti sa DPO javí ako kľúčový kontakt pre kupujúcich.

• Hoci úrad zodpovednej osoby pomáha obmedziť riziká sankcií, tieto výhody sa nevzťahujú len na výšku pokút, ale aj na aspekty týkajúce sa reputácie.

Okrem vplyvu na príjmy spoločností môžu sankcie ovplyvniť aj finančné ratingy spoločností, a teda aj ich finančné schopnosti.

• Pokiaľ ide o bezpečnosť, DPO spolu s hlavným úradníkom pre informačnú bezpečnosť (CISO) zohráva ústrednú úlohu pri zvyšovaní povedomia zamestnancov a implementácii interných politík ochrany údajov a riadenia incidentov.

V tejto súvislosti CNIL poukazuje na to, že priemerné náklady na únik údajov sú podľa štúdie IBM z roku 2024 5 miliónov dolárov.

• Zefektívnenie správy údajov nám napokon umožňuje ušetriť peniaze na serveroch, potenciálne až niekoľko stotisíc eur, a zlepšiť efektívnosť rozhodovania.

V tejto súvislosti sa v štúdii z roku 2023 s názvom Annual Reviews o ekonomických aspektoch digitálneho súkromia tiež uvádza, že „nadmerné množstvo údajov môže znížiť trhovú silu spoločnosti“.

Správa CNIL zohľadňuje, ako prevádzkovateľ údajov vníma predpisy. 

Čím viac sú zodpovedná osoba a spoločnosť presvedčení o výhodách dodržiavania GDPR a integrujú jeho princípy do interných procesov, tým viac sa prejavujú pozitívne účinky, na rozdiel od spoločností, ktoré vnímajú dodržiavanie predpisov ako obmedzenie.

Zohľadnením zásad nariadenia by sa teda vytvoril pozitívny cyklus motivácie a výhod.

Štúdia vykonaná vo Francúzsku nie je jediná, ktorá identifikuje ekonomické výhody regulácie údajov. 

Zdôrazňuje aj ďalšie aspekty, napríklad Európsky výbor pre ochranu údajov (EDPB), ktorý zdôrazňuje dôveru, ktorú vytvára implementácia viditeľnej politiky ochrany údajov medzi jednotlivcami, a to aj nad rámec kontextu výziev na predkladanie ponúk.

Začiatkom tohto roka OECD tiež zverejnila analýzu medzinárodných tokov údajov, v ktorej uviedla, že „režimy, ktoré poskytujú záruky, dosahujú rovnováhu medzi obchodnými nákladmi spojenými s reguláciou údajov a výhodami z hľadiska dôvery, ktoré poskytujú záruky údajov“.

V kontexte, kde sa krádeže údajov zintenzívňujú a rozvoj umelej inteligencie vyvoláva rastúci počet etických otázok, predstavuje získanie – a udržanie – dôvery jednotlivcov významnú výhodu pre verejnosť.

 

        

V rozhodnutí z 8. augusta 2025 Ústavná rada vyhlásila za protiústavnú prax obmedzeného zloženia CNIL, ktorá spočíva v neoznámení práva mlčať osobám, ktoré chce vypočuť, počas vypočutí alebo žiadostí o pripomienky.

Toto rozhodnutie je založené na práve neobviňovať sám seba, ktoré vyplýva z článku 9 Deklarácie práv človeka a občana.

Aby sa ukončila táto protiústavnosť odo dňa zverejnenia svojho rozhodnutia, Ústavná rada rozhodla, že až do nadobudnutia účinnosti nového zákona alebo do dňa zrušenia inkriminovaných ustanovení má byť dotknutá osoba pred užším zložením informovaná o svojom práve odoprieť výpoveď.

V nadväznosti na rozhodnutie Súdneho dvora Európskej únie (SDEÚ) zverejnila Štátna rada (CE) 31. júla svoje rozhodnutie v prípade Mousse, pomenovanom podľa združenia, ktoré podalo sťažnosť proti SNCF.

Verí, že spoločnosť SNCF Connect „nemôže nútiť svojich zákazníkov, aby prejavovali svoju zdvorilosť.“

Toto spracovanie údajov nie je v súlade s GDPR, ktoré vyžaduje zhromažďovanie iba nevyhnutne potrebných osobných údajov.

Komisia sa domnieva, že vyberanie poplatkov za slušné správanie nie je nevyhnutné na predaj cestovných lístkov alebo kontrolu totožnosti počas cestovania a malo by byť voliteľné, s výnimkou určitých služieb, ako sú napríklad lôžkové kupé vyhradené pre slobodné ženy.

Preto ruší rozhodnutie CNIL z 23. marca 2021, ktorá bude musieť opätovne preskúmať sťažnosť združenia Mousse.

Spoločnosť Bouygues Telecom 6. augusta 2025 potvrdila, že došlo k počítačovému útoku, ktorý umožnil kybernetickým zločincom prístup k osobným údajom viac ako šiestich miliónov zákazníkov.

Heslá a čísla bankových kariet neboli ovplyvnené, ale hackeri získali prístup k mnohým informáciám vrátane mien, poštových a e-mailových adries, dátumu narodenia, čísla zmluvy a IBAN. 

Spoločnosť France Travail v polovici júla tiež zaznamenala ďalší únik osobných údajov, ktorý ovplyvnil 340 000 súborov uchádzačov o zamestnanie vrátane údajov o totožnosti, adresy, dátumu narodenia a telefónneho čísla. Vzhľadom na rastúci počet únikov údajov aktualizoval francúzsky úrad na ochranu údajov CNIL svoje odporúčania pre jednotlivcov.

 

Európske inštitúcie a orgány

Európska komisia 7. augusta zverejnila svoj kódex osvedčených postupov pre spoločnosti prevádzkujúce systémy všeobecnej umelej inteligencie (GPAI).

Tento dokument bol pripravený v spolupráci s priemyslom a občianskou spoločnosťou a jeho cieľom je uľahčiť dodržiavanie nariadenia o umelej inteligencii.

Úplný zoznam signatárov zahŕňa 26 spoločností vrátane Amazonu, Anthropic, Google, Microsoftu, Mistralu a OpenAI.

Spoločnosť Elona Muska, xAI, podpísala iba časť kódexu venovanú otázkam bezpečnosti a ochrany. Preto bude musieť xAI preukázať svoj súlad s povinnosťami týkajúcimi sa transparentnosti a autorských práv podľa predpisov vhodnými alternatívnymi prostriedkami.

Dánsko, ktoré nedávno prevzalo predsedníctvo Rady Európskej únie, má privilegovanú pozíciu formovať politiku EÚ počas nasledujúcich šiestich mesiacov.

Dánska vláda v neformálnom dokumente zo 4. júla spomenula svoj zámer navrhnúť cielenú revíziu GDPR a smernice o elektronickom súkromí s cieľom znížiť záťaž podnikov v oblasti dodržiavania predpisov a zabezpečiť ich konkurencieschopnosť.

Očakáva sa, že Európska komisia v nasledujúcich mesiacoch zverejní aj hodnotenie kvality digitálnej legislatívy EÚ, ako aj súhrnný digitálny balík.

Revízia GDPR sa nezdá byť samozrejmosťou, ak máme veriť zhrnutiu „implementačného dialógu“, ktorý Komisia zorganizovala v polovici júla a ktorého závery boli zverejnené začiatkom augusta.

Súkromný sektor uviedol, že „investoval do dodržiavania predpisov a že všeobecné znovuotvorenie by mohlo vytvoriť neistotu, najmä v kontexte medzinárodných prenosov údajov“.

V prípade týkajúcom sa švédskej verejnej dopravy generálny advokát Súdneho dvora EÚ 1. augusta objasnil rozsah pôsobnosti článkov 13 a 14 GDPR týkajúcich sa informácií dotknutých osôb.

Konkrétny prípad sa týkal zhromažďovania obrazov palubnými kamerami riadiacich letovej prevádzky.

Generálny advokát sa domnieva, že článok 13 sa uplatňuje vždy, keď je dotknutá osoba zdrojom údajov („zhromaždených od dotknutej osoby“), bez ohľadu na zapojenie dotknutej osoby do zhromažďovania údajov a od okamihu, keď medzi dotknutou osobou a prevádzkovateľom neexistuje sprostredkovateľ.

Článok 14 sa uplatňuje vždy, keď sa údaje zhromažďujú z iného zdroja ako od dotknutej osoby.

Preto v prípade zhromažďovania obrazov palubnými kamerami musí byť povinnosť informovať dotknuté osoby okamžitá a nevzťahujú sa na ňu výnimky podľa článku 14.

Európsky dozorný úradník pre ochranu údajov (EDPS) 28. júla pozitívne ukončil vyšetrovanie používania služby Microsoft 365 Európskou komisiou.

Vo vyhlásení sa uvádza výrazné zlepšenie v dodržiavaní predpisov o ochrane údajov pri používaní služby Microsoft 365 Komisiou a zároveň sa uznáva a oceňuje „úsilie spoločnosti Microsoft o splnenie požiadaviek Komisie vyplývajúcich z rozhodnutia EDPS z marca 2024“.

Správa Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA) zverejnená 26. júna poskytuje technické usmernenia na podporu implementácie smernice NIS2 pre niekoľko typov subjektov v sektoroch digitálnej infraštruktúry NIS2, správy služieb IKT a poskytovateľov digitálnych služieb.

Zostavuje zoznam relevantných európskych a medzinárodných noriem a rámcov (ISO 27001, NIST, ETSI alebo CEN).

 

Správy z členských krajín Európskej únie.

V Nemecku súd v Düsseldorfe priznal jednotlivcovi náhradu nemajetkovej ujmy vo výške 200 eur po porušení ochrany údajov spôsobenom tým, že prevádzkovateľ údajov nezabezpečil vymazanie osobných údajov spracúvaných jeho subdodávateľom v zákonom stanovených lehotách.

V nadväznosti na vyššie uvedený prípad Mousse, súd vo Frankfurte rozhodol, že nemecká národná železničná spoločnosť nezákonne požadovala od svojich zákazníkov poskytnutie svojej e-mailovej adresy alebo čísla mobilného telefónu na zakúpenie cestovných lístkov.

Domnieval sa, že to nebolo potrebné na plnenie zmluvy a že udelený súhlas nebol úprimný a slobodný.

Chorvátsky úrad na ochranu údajov (APD) udelil pokutu spoločnosti poskytujúcej verejné služby vo výške 320 000 eur za to, že pri vydávaní nových hesiel svojim používateľom nezaviedla požadované bezpečnostné opatrenia a nespolupracovala s ňou.

Španielsky úrad na ochranu údajov (APD) udelil spoločnosti prevádzkujúcej športové centrá pokutu 96 000 eur za zavedenie povinných systémov rozpoznávania tváre pre vstup a výstup z priestorov bez predchádzajúceho informovania svojich členov alebo získania ich súhlasu.

Aj v Španielsku APD uložil dodávateľovi energie pokutu 1 380 000 eur za to, že omylom udelil zmluvu na dodávku plynu nesprávnemu zákazníkovi a účtoval mu poplatky, čím porušil zásady presnosti údajov a bezpečnosti spracovania.

Írsky Najvyšší súd rozhodol, že nároky na odškodnenie za emocionálnu utrpenie súvisiace s utrpením, prevratom alebo úzkosťou môžu priamo spadať pod GDPR a že vnútroštátne ustanovenia vyžadujúce povolenie od nezávislého orgánu pred uplatnením nároku na náhradu škody za ujmu na zdraví sa na ne neuplatňujú.

Taliansky úrad pre hospodársku súťaž začal 22. júla vyšetrovanie spoločnosti Meta Platforms v súvislosti s pridávaním služieb umelej inteligencie do aplikácie WhatsApp bez súhlasu používateľa.

Pripomeňme, že 23. mája 2025 Vrchný krajinský súd v Kolíne nad Rýnom zamietol súdny príkaz voči spoločnosti Meta týkajúci sa školenia umelej inteligencie spoločnosťou Meta.

Súd usúdil, že kombinácia anonymizovaných údajov z Facebooku a Instagramu v tréningovom súbore údajov nepredstavuje nezákonné „zlúčenie“ údajov v zmysle článku 5(2) nariadenia o digitálnych trhoch (DMA).

Litovský úrad na ochranu údajov (DPA) v prípade dvoch susedov usúdil, že občasné zhromažďovanie osobných údajov pomocou dronu na účely zhromažďovania dôkazov v súdnom konaní spadá pod vnútroštátnu výnimku stanovenú v GDPR.

APD uvádza, že v tomto bode odkázal na usmernenia EDPB z roku 2020.

V Poľsku sa Federálny správny súd postavil na stranu ombudsmana a rozhodol, že poľská legislatíva vyžadujúca od sudcov a prokurátorov zverejniť svoju príslušnosť k náboženským, odborovým a politickým organizáciám je nezlučiteľná s ich právami podľa Charty EÚ a Európskeho dohovoru o ľudských právach.

Aj v Poľsku bola spoločnosti McDonald's Polska Sp. z oo uložená pokuta vo výške 3 955 000 eur za nedodržanie všeobecných zásad týkajúcich sa spracovania údajov, najmä za prijatie nedostatočných opatrení na ochranu osobných údajov.

 

V Spojenom kráľovstve môže vláda pod tlakom USA zrušiť svoje nariadenie zamerané na pokročilú funkciu ochrany údajov od spoločnosti Apple.

Žiadosť ministerstva vnútra bola podaná na základe zákona o vyšetrovacích právomociach (IPA), ktorý oprávňuje britskú vládu „vydávať tajné príkazy, ktoré vyžadujú od dodávateľov, aby obchádzali šifrovanie vložením zadných vrátok do svojich softvérových produktov“.

Podľa Ars Technica americkí predstavitelia vrátane viceprezidenta J. D. Vancea vyvíjajú tlak na Spojené kráľovstvo, aby zrušilo svoje rozhodnutie. „Toto je niečo, čo viceprezidenta veľmi rozčuľuje a treba to vyriešiť,“ údajne povedal predstaviteľ britského ministerstva.

Spoločnosť Wetransfer, ktorú na zdieľanie dokumentov používa mnoho profesionálov aj jednotlivcov, zmenila v polovici júla svoje zmluvné podmienky: spoločnosť naznačila, že od augusta bude používať obsah údajov svojich používateľov na trénovanie svojho systému umelej inteligencie.

V dôsledku reakcií vyvolaných touto informáciou a otázok týkajúcich sa dôvernosti údajov spoločnosť v nasledujúcich dňoch údajne odstúpila.

Používanie ChatGPT môže viesť k zverejneniu údajov bez vedomia používateľov: odhaľuje to publikácia Digital Digging z 31. júla.

Vyšetrovanie uvádza, že 512 konverzácií ChatGPT bolo zverejnených pomocou cieleného vyhľadávania kľúčových slov, čím boli odhalené kompromitujúce informácie a dôverné údaje.

Vďaka funkcii „zdieľať“ používatelia nevedomky zverejnili svoje interakcie s ChatGPT a indexovali ich vyhľadávače.

Zdieľané rozhovory by sa týkali prípadov obchodovania s využitím dôverných informácií, podrobných finančných informácií o spoločnostiach, priznaní k podvodom a dôkazov o porušeniach regulačných predpisov, pričom všetky by sa uchovávali vo forme trvalo prístupných verejných archívov.

V Indii, vplyv geopolitiky na digitálne technológie IAPP informuje, že koncom júla spoločnosť Microsoft bez predchádzajúceho upozornenia zamietla spoločnosti Nayara Energy, tretej najväčšej indickej rafinérii so 6 000 čerpacími stanicami, prístup k jej údajom, a to aj napriek tomu, že za svoje licencie v plnej výške zaplatila.

Ruská spoločnosť Rosnefť vlastní podiel 49,13 libier na 1 libru v spoločnosti Nayara Energy. Predpokladá sa, že tento krok je dôsledkom sankcií uvalených na Rusko v súvislosti s vojnou na Ukrajine.

Ďalší incident sa týka odobratia povolenia na poskytovanie služieb, ktoré udelilo Indické národné centrum pre propagáciu a autorizáciu vesmíru dvom satelitom spoločnosti Asia Satellite Telecommunications Company po 31. marci 2026.

Hlavným akcionárom spoločnosti AsiaSat je subjekt, ktorý vlastní čínska vláda.

Toto rozhodnutie má dôsledky pre niektorých z najväčších indických vysielateľov zábavného priemyslu, ako sú Zee a Jiostar, ktorí teraz budú musieť hľadať alternatívy.

Tieto udalosti pripomínajú zablokovanie e-mailového účtu generálneho prokurátora Medzinárodného trestného súdu (ICC) spoločnosťou Microsoft minulú jar.

Táto blokáda bola priamym dôsledkom opatrení, ktoré prijal americký prezident Donald Trump proti Haagskemu súdu vo februári po tom, čo panel sudcov Medzinárodného trestného súdu vydal zatykače na izraelského premiéra Benjamina Netanjahua a jeho bývalého ministra obrany Joava Gallanta za vojnové zločiny v pásme Gazy.

Augustové vydanie PL&B International Report obsahuje článok od Marie Tzanou, lektorky práva na Britskej univerzite v Sheffielde a vedúcej projektu dohľadu nad FemTech.

Nastoľuje otázky týkajúce sa sledovania žien prostredníctvom produktov a služieb, ako sú aplikácie na sledovanie plodnosti a menštruácie, a uvádza, že existujú „problematické a často nezákonné praktiky zhromažďovania údajov“.