Právny prehľad č. 90 – december 2025. 

 

Dáta, umelá inteligencia, kybernetická bezpečnosť: kto je kto z usmernení a predpisov, ktoré treba dodržiavať v roku 2026.

Mnohé nariadenia prijaté v posledných rokoch teraz nadobudnú plnú účinnosť alebo dosiahnu rozhodujúce fázy ich implementácie.

Zároveň nové iniciatívy Európskej komisie, najmä Digitálny omnibus a návrh zákona o digitálnej spravodlivosti, oznamujú nové regulačné úpravy, ktorých cieľom je doplniť alebo zmeniť existujúce predpisy.

GDPR, platné od roku 2018, zostáva dnes základným kameňom rámca ochrany údajov spolu so smernicou o súkromí a elektronických komunikáciách, ktorej revízia sa v súčasnosti pozastavila.

Komisia má v úmysle prostredníctvom svojho návrhu zjednodušiť Omnibus niekoľko aspektov GDPR týkajúcich sa vývoja umelej inteligencie (AI): plánuje uznať vývoj a prevádzku systémov AI za „oprávnený záujem“ v zmysle GDPR a zaviesť nový právny základ pre spracovanie citlivých údajov určených na trénovanie modelov AI.

V širšom zmysle slova, Digitálny omnibus by znížilo záťaž podnikov v oblasti dodržiavania predpisov, napríklad uvoľnením prahovej hodnoty, od ktorej sa musí nahlásiť porušenie ochrany údajov, a rozšírením situácií, v ktorých možno údaje považovať za „anonymné“.

Nariadenia digitálneho balíka, a konkrétnejšie nariadenie o digitálnych trhoch (DMA) a nariadenie o digitálnych službách (DSA), objasňujú pravidlá platné pre digitálnu ekonomiku a zodpovednosť platforiem.

Platia od roku 2024 a Komisia začala ukladať sankcie v roku 2025.

DSA vzťahuje sa na veľmi veľké online platformy (VLOP) a veľmi veľké online vyhľadávače (VLOSE), ako aj na všetkých sprostredkovateľov, ktorí ponúkajú svoje služby používateľom so sídlom v EÚ.

Viaceré povinnosti zo zákona o digitálnych službách sa prekrývajú s povinnosťami podľa GDPR.

Napríklad existujú podobné alebo doplnkové povinnosti týkajúce sa „temných vzorov“, cielenej reklamy založenej na citlivých údajoch alebo týkajúcej sa maloletých, transparentnosti, profilovania, analýzy rizík a odstraňovania nelegálneho obsahu.

V roku 2025 Európsky výbor pre ochranu údajov (EDPB) zverejnil usmernenia k týmto prekrývajúcim sa otázkam.

Hlavným cieľom z DMA je zabrániť technologickým gigantom alebo „strážcom brány“ vo využívaní ich dominantného postavenia.

Niektoré z týchto povinností posilňujú povinnosti stanovené v zákone o digitálnych službách, pokiaľ ide o ochranu používateľov, najmä pokiaľ ide o profilovanie.

Cieľom stratégie EÚ v oblasti údajov je vytvoriť jednotný trh s údajmi, podporiť inovácie a zabezpečiť bezpečné a efektívne zdieľanie údajov v celej Európskej únii.

Nasledujúce texty majú vplyv na osobné údaje: nariadenie o riadení údajov (DGA), nariadenie o údajoch (DA), nariadenie o elektronických transakciách (eIDAS) a nariadenie o európskom priestore zdravotníckych údajov (EHDS). 

Cieľom návrhu Komisie Omnibus je zjednodušiť legislatívny rámec v tejto oblasti.

Text najmä ustanovuje zrušenie DGA a smernica o otvorených dátach z roku 2019.

THE DA zostane ústrednou referenciou a bude obsahovať základné prvky ponechané z ostatných textov.

Okrem harmonizácie definícií by boli malé a stredné podniky (do 750 zamestnancov) oslobodené od určitých povinností.

Významná časť povinností DA, ktorá je platná od 12. septembra 2025, nadobudne účinnosť 12. septembra 2026: nariadenie stanovuje povinnosť navrhovať pripojené produkty a súvisiace služby tak, aby údaje týkajúce sa produktov a súvisiacich služieb boli štandardne dostupné používateľom, a od septembra budú musieť výrobcovia zabezpečiť, aby bol prístup k údajom technicky zabezpečený už od fázy vývoja a návrhu produktu.

Pokiaľ ide o predpisy eIDASOd roku 2026 budú členské štáty povinné poskytnúť svojim občanom a podnikom aspoň jednu digitálnu identifikačnú peňaženku v súlade s normami EÚ, ktorá používateľom umožní bezpečne ukladať ich identifikačné údaje, identifikátory a atribúty (občiansky preukaz, vodičský preukaz, platobné informácie atď.) a selektívne ich oznamovať verejným orgánom a súkromným poskytovateľom.

Podniky, online platformy a administratívne služby sa budú musieť tiež prispôsobiť týmto novým formám digitálnej identifikácie a autentifikácie.

LEHDS nadobudol účinnosť 26. marca 2025, ale jeho hlavné ustanovenia budú v plnom rozsahu uplatniteľné od marca 2029.

Predpisy pre umelú inteligenciu, platný od augusta 2024, sa pre spoločnosti stáva rozhodujúcim od 2. augusta 2026.

Niektoré povinnosti už platia, ako napríklad transparentnosť pri interakcii s chatbotmi alebo označovanie obsahu generovaného umelou inteligenciou a zabezpečenie dostatočnej kompetencie v oblasti umelej inteligencie medzi zamestnancami pracujúcimi so systémami umelej inteligencie.

Od augusta by sa však na vysoko rizikové systémy umelej inteligencie používané v citlivých oblastiach, ako je riadenie ľudských zdrojov, hodnotenie výkonnosti alebo prístup k základným službám, mali vzťahovať komplexnejšie požiadavky.

Komisia však vo svojom návrhu Omnibus plánuje odložiť uplatňovanie týchto pravidiel do decembra 2027.

Niektoré povinnosti by sa aj tu zjednodušili pre malé a stredné podniky s maximálne 750 zamestnancami.

Z hľadiska bezpečnosti spomenieme napr. smernica o bezpečnosti sietí a informačných systémov (NIS2) v platnosti od októbra 2024, nariadenie o digitálnej operačnej odolnosti (DORA) v platnosti od januára 2025, ako aj Nariadenie o kybernetickej odolnosti (CRA)).

Pokiaľ ide o posledné, hlavné povinnosti výrobcov produktov obsahujúcich digitálne prvky nadobudnú účinnosť 11. septembra 2026 vrátane povinnosti oznamovať aktívne zneužívané zraniteľnosti a závažné bezpečnostné incidenty.

Výrobcovia budú preto musieť vo veľmi krátkom čase nahlásiť príslušným orgánom dohľadu nad trhom identifikované zraniteľnosti a bezpečnostné incidenty, ktoré výrazne ohrozujú bezpečnosť výrobkov.

Na záver tohto zoznamu predpisov spomeňme ešte návrh týkajúci sa nariadenia o digitálnej spravodlivosti (DFA) čo by malo ďalej zvýšiť zložitosť právneho rámca pre poskytovateľov online služieb.

V júli 2025 Komisia spustila verejnú konzultáciu k tomuto projektu, ktorého cieľom by bol boj proti „nekalým obchodným praktikám“, ako sú tmavé vzory, návykové prvky a zneužívajúca personalizácia vrátane tých, ktoré súvisia s agentmi umelej inteligencie.

Aká je budúcnosť týchto návrhov? Nasledujúce mesiace by mali byť rozhodujúce: cyperské predsedníctvo sa snaží do konca marca alebo začiatku apríla zabezpečiť mandát na rokovania o Omnibuse s Európskym parlamentom, čo odráža snahu prijať ho skôr, ako v auguste nadobudnú účinnosť požiadavky nariadenia o umelej inteligencii týkajúce sa vysokého rizika.

 

Zaznamenávame niekoľko významných sankcií zo strany CNIL prijatých tesne pred a po prechode na rok 2026, pričom všetky sa týkali bezpečnosti údajov.

Dňa 13. januára 2026 francúzsky úrad na ochranu údajov (CNIL) udelil spoločnostiam Free Mobile a Free pokutu vo výške 27 miliónov eur a 15 miliónov eur. vzhľadom na nedostatočné opatrenia prijaté na zaistenie bezpečnosti údajov ich predplatiteľov.

V októbri 2024 sa útočníkovi podarilo preniknúť do informačných systémov spoločností a získať prístup k osobným údajom týkajúcim sa 24 miliónov zmlúv o predplatiteľoch vrátane čísel IBAN.

Dňa 22. decembra 2025 uložila spoločnosti Nexpublica France pokutu vo výške 1 700 000 eur.za neimplementáciu dostatočných bezpečnostných opatrení pre svoj softvér PCRM, nástroj na správu vzťahov s používateľmi v oblasti sociálnych aktivít

11. decembra 2025 uložila sankcie spoločnosti Mobius Solutions Ltd, subdodávateľovi zodpovednému za únik údajov, ktorý ovplyvnil používateľov služby Deezer.Bola jej uložená pokuta vo výške jedného milióna eur za nedodržanie platných pravidiel subdodávateľstva: uchovávanie údajov po uplynutí zmluvy, neoprávnené spracovanie a nevedenie záznamov o spracovaní.

Traja zamestnanci spoločnosti si po skončení zmluvného vzťahu uchovali kópiu údajov viac ako 46 miliónov používateľov služby Deezer, čím ich vystavili bezpečnostným chybám, ktoré viedli k zverejneniu údajov na dark webe.

Správny odvolací súd vo Versailles 11. decembra rozhodol, že pacient nemôže požiadať nemocnicu o opravu lekárskeho posudku, pretože ide o subjektívny názor.

Táto zásada zostáva uplatniteľná aj vtedy, keď sa diagnóza osoby zodpovednej za liečbu líši od následných diagnóz.

Halucinácie umelej inteligencie v záveroch právnikov niekedy sudcovia vnímajú s zhovievavosťou, aspoň tak to vníma súd v Périgueux vo svojom rozhodnutí z 18. decembra.

V druhom prípade sa uvádza, že „(...) odkazy na judikatúru, ktoré žiadateľ citoval, ale neboli predložené v jeho dokumentoch, sa nezdá, že by zodpovedali zverejneným rozhodnutiam. (...).

Súd preto vyzve žiadateľa a jeho právneho zástupcu, aby v budúcnosti overili, či odkazy, ktoré našli vo vyhľadávačoch alebo s pomocou umelej inteligencie, nie sú „halucinácie“.

Toto stanovisko je v kontraste s nedávnym belgickým rozhodnutím, ktoré je uvedené nižšie.

Ministerstvo vnútra utrpelo v polovici decembra rozsiahly kybernetický útok.

Minister vnútra v stredu 17. decembra potvrdil, že „služby na ministerstve vnútra sa stali terčom masívneho kybernetického útoku, ktorý označil za veľmi závažný čin, ktorého výsledkom bolo zverejnenie spisov vrátane záznamov v registri trestov“ a hľadaných osôb. K kybernetickému prieniku došlo prostredníctvom e-mailových účtov zamestnancov ministerstva.

V oblasti kybernetických útokov treba tiež poznamenať, že CNIL vo svojom užšom zložení z 18. decembra 2025 požiadala o sankciu vo výške 5 miliónov eur voči spoločnosti France Travail za nedostatočnú bezpečnosť, ktorá viedla k úniku údajov, ktorý postihol 36,8 milióna ľudí.

 

Európske inštitúcie a orgány

Nariadenie EÚ, ktorým sa stanovujú dodatočné procesné pravidlá týkajúce sa uplatňovania GDPR, bolo zverejnené 12. decembra a bude sa uplatňovať od 2. apríla 2027.

Cieľom tohto textu je zefektívniť procedurálne riešenie cezhraničných prípadov podľa GDPR zo strany národných orgánov na ochranu údajov (DPA), zlepšiť spoluprácu medzi DPA prostredníctvom štruktúrovaných postupov, jasnejších úloh a definovaných lehôt a posilniť procesné záruky a právnu istotu pre sťažovateľov a vyšetrované strany vrátane práva na vypočutie, prístupu k spisom a účinnosti súdnych prostriedkov nápravy.

Európska komisia 17. decembra zverejnila svoj prvý návrh kódexu osvedčených postupov pre označovanie a etikiet obsahu generovaného umelou inteligenciou.

Projekt pozostáva z dvoch častí.

Prvá časť sa zaoberá pravidlami týkajúcimi sa označovania a detekcie obsahu generovaného umelou inteligenciou, ktoré sa vzťahujú na poskytovateľov generatívnych systémov umelej inteligencie.

• Druhá časť sa zaoberá označovaním deepfakov a určitých textov generovaných alebo manipulovaných umelou inteligenciou v záležitostiach verejného záujmu a vzťahuje sa na prevádzkovateľov generatívnych systémov umelej inteligencie.

Komisia bude zbierať pripomienky do 23. januára s cieľom finalizovať kódex do júna.

Európska komisia 19. decembra 2025 oznámila obnovenie dvoch rozhodnutí o primeranosti týkajúcich sa Spojeného kráľovstva pôvodne prijatý v roku 2021, ktorý opätovne potvrdil, že osobné údaje môžu naďalej voľne prúdiť medzi Európskym hospodárskym priestorom a Spojeným kráľovstvom.

V rozsudku Storstockholms Lokaltrafik (C-422/24) z 18. decembra Súdny dvor Európskej únie objasnil pojem priameho zhromažďovania osobných údajov.

Tento zákon „nevyžaduje, aby dotknutá osoba vedome poskytla údaje alebo aby z jej strany vykonala akékoľvek konkrétne kroky. Preto sa údaje získané pozorovaním osoby, ktorá je ich zdrojom, považujú za údaje získané priamo od tejto osoby.“

Tieto objasnenia majú vplyv na načasovanie a rozsah povinnosti poskytnúť informácie, ktoré musia byť okamžité a komplexnejšie.

Konkrétny prípad sa týkal kontroly dopravného lístka agentom vybaveným telovou kamerou.

Súd navrhuje, aby najdôležitejšie informácie boli uvedené na výstražnej tabuli a ostatné informácie by mali byť poskytnuté na ľahko dostupnom mieste.

23. decembra Trumpova administratíva uvalila sankcie na 5 európskych občanov V reakcii na nedávnu pokutu, ktorú Európska komisia uložila spoločnosti X podľa zákona o digitálnych službách (DSA), je Thierrymu Bretonovi, bývalému európskemu komisárovi pre digitálnu ekonomiku, ako aj niekoľkým členom občianskej spoločnosti pracujúcim pre mimovládne organizácie HateAid, Center for Countering Digital Hate a The Global Disinformation Index, zakázaný vstup do Spojených štátov.

Washington odsudzuje povinnosti moderovania, podávania správ a zodpovednosti platforiem stanovené v DSA, ktoré sa tu považujú za opatrenia extrateritoriálnej cenzúry.

Európska komisia 5. decembra udelila spoločnosti X pokutu 120 miliónov eur za nesplnenie jej povinností týkajúcich sa transparentnosti podľa zákona o digitálnych službách.

Medzi nedostatky patrí zavádzajúci dizajn „modrej validácie“ pre overené účty, nedostatočná transparentnosť v reklamnom adresári a neposkytnutie výskumníkom prístupu k verejným údajom.

 

Správy z členských krajín Európskej únie.

Krajský súd v Darmstadte v Nemecku vo svojom rozhodnutí z 10. novembra znížil na 0 eur poplatky znalca, ktorý vo veľkej miere využíval umelú inteligenciu na vypracovanie súdneho posudku bez toho, aby ho zverejnil.

Súd uviedol nasledujúce faktory na zníženie poplatkov:

1. Nedeklarovanie použitia umelej inteligencie a absencia skutočného autora predstavovali porušenie procesných povinností.
2. Správa bola považovaná za nepoužiteľnú: chýbajúce osobné preskúmanie, faktické chyby a zjavné známky textu generovaného umelou inteligenciou.
3. Transparentnosť a zodpovednosť sú v odborných posudkoch nevyhnutné.

Nemecký súd v Lübecku priznal žalobcovi 5 000 eur ako náhradu nemajetkovej ujmy voči spoločnosti Meta za spracovanie osobných údajov bez predchádzajúceho súhlasu prostredníctvom nástrojov Meta Business Tools.

Prenosy údajov z webových stránok tretích strán do spoločnosti Meta prebiehajú nezávisle od aktivácie aplikácií Meta používateľom a získania jeho súhlasu.

Súd zistil, že spoločnosť Meta porušila článok 6 ods. 1 GDPR, čo malo za následok dostatočne konkrétnu hrozbu pre dotknutú osobu, ktorá mala opodstatnený strach zo zneužitia svojich osobných údajov v podobe straty kontroly.

V Rakúsku Najvyšší súd 26. novembra rozhodol, že spoločnosť Meta musí svojim používateľom poskytnúť plný prístup ku všetkým ich osobným údajom vrátane ich zdrojov, príjemcov a účelov.

Jednoduchý orientačný zoznam nestačí.

Súd tiež rozhodol, že personalizovaná reklama a spracovanie (citlivých) osobných údajov z webových stránok tretích strán si vyžadujú súhlas dotknutej osoby.

Nedávne belgické rozhodnutie uložilo žalobcom pokutu viac ako 25 000 eur za používanie generatívnych nástrojov umelej inteligencie na vypracovanie odvolacích podaní, za zjavné zneužitie konania, neopodstatnené odvolanie a zneužitie nápravy.

Odvolací súd v Antverpách poukazuje na produkciu „nesúvislých a úplne nezmyselných“ argumentov podložených neexistujúcou judikatúrou a vymyslenými právnymi zdrojmi.

Aj v Belgicku udelil úrad pre zamestnanosť spoločnosti pokarhanie za nezákonné poskytnutie informácií o bývalom zamestnancovi počas telefonického rozhovoru s inou spoločnosťou v rámci náborového procesu.

APD tiež pokarhal obe spoločnosti za to, že nereagovali na žiadosti jednotlivca o prístup.

V Chorvátsku bola banke AZOP uložená pokuta 1 500 000 eur za viacnásobné porušenia GDPR.

Banka spracovala osobné údaje 433 922 používateľov bez právneho základu, bez poskytnutia požadovaných informácií používateľom a nezaviedla primerané technické a organizačné opatrenia.

 

Britský úrad pre ochranu údajov (DPA) udelil poskytovateľovi správcu hesiel LastPass UK Ltd pokutu vo výške 1,2 milióna libier po úniku údajov z roku 2022, ktorý ohrozil osobné údaje takmer 1,6 milióna jeho používateľov v Spojenom kráľovstve.

Úrad pre digitálnu komunikáciu (ICO) zistil, že spoločnosť LastPass nezaviedla dostatočne robustné technické a bezpečnostné opatrenia, čo v konečnom dôsledku umožnilo hackerovi získať neoprávnený prístup k jej záložnej databáze.

Spojené štáty obnovili svoju požiadavku na prístup k národným biometrickým databázam krajín EÚ zúčastňujúcich sa na programe bezvízového styku (VWP) a majú v úmysle uzavrieť dohodu v tejto veci do konca roka 2026.

Washington žiada o tento prístup od roku 2022 v rámci „Posilnených partnerstiev v oblasti bezpečnosti hraníc“ (EBSP) Spojených štátov a hrozí zrušením vízovej výnimky, ak bude zamietnutá.

Rozsah prístupu zostáva neistý.

Zdá sa, že európsky postoj v tejto fáze sa snaží obmedziť cestu na ľudí cestujúcich do Spojených štátov.

Prístup by zahŕňal biometrické údaje, ako sú odtlačky prstov a skeny tváre, ale aj iné citlivé údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odboroch alebo údaje týkajúce sa zdravia či sexuálneho života, ak je to potrebné a primerané „na predchádzanie trestným činom a teroristickým činom alebo na boj proti nim“.

Hlavné mestá Európy sa v decembri dohodli na udelení mandátu Európskej komisii na rokovania o rámci tejto dohody, o ktorej podrobnostiach rozhodnú členské štáty.

V Spojených štátoch malo použitie umelej inteligencie na prepisovanie správ z policajných kamier v Heber City v Utahu nepriaznivé následky.

Softvér Draft One, založený na LLM od Open AI, oznámil, že sa agent premenil na žabu.

Softvér skutočne zistil film, ktorý sa prehrával v pozadí, a to bol film „Princezná a žaba“.

Okrem irónie situácie tento konkrétny prípad vyvoláva otázky, na ktoré upozornil Cybernews. „Hoci cieľom je znížiť množstvo administratívnej práce, pri chybách, ako bola tá v Heber City, agenti riskujú, že strávia ešte viac času kontrolou správ.“ Vyšetrovanie, ktoré v minulom roku vykonala Nadácia elektronických hraníc (EFF), odhalilo, že Návrh jedna „zdá sa byť zámerne navrhnutý tak, aby sa predišlo auditom, ktoré by mohli zabezpečiť verejnú zodpovednosť.“

„Často je nemožné vedieť, ktoré časti policajnej správy boli vygenerované umelou inteligenciou a ktoré časti napísal policajt.“

Správa organizácie Privacy Laws & Business napokon naznačuje, že regulácia súkromia sa v Spojených štátoch napriek tomu posilňuje, pričom 19 štátov nasledovalo príklad Kalifornie a prijalo zákony o ochrane súkromia, ktoré sa často zameriavajú na otázky týkajúce sa detí.

Len málo štátov má záujem o zhromažďovanie a používanie biometrických údajov.

Illinois si dlhodobo drží vedúcu pozíciu, teraz ho nasleduje Texas a štát Washington.

Stále neexistuje konsenzus o nových federálnych predpisoch o ochrane súkromia, „ale FTC prijala opatrenia na presadzovanie práva, ktoré zahŕňajú stovky miliónov dolárov na odškodné a peňažné pokuty v rámci urovnaní s významnými online spoločnosťami Epic Games, Amazon a Microsoft“, alebo nedávno so spoločnosťou Disney Worldwide Services, ktorá vyrovnala porušenie zákona o ochrane detí online (COPPA) vo výške 10 miliónov dolárov.