Právny prehľad č. 87 – september 2025. 

 

Päť rokov po Brexite: pohľad na situáciu v Spojenom kráľovstve.

Odkedy Spojené kráľovstvo odišlo z Európskej únie, britské právo o ochrane údajov sa pomaly, ale isto vzďaľuje od európskeho regulačného rámca.

Hoci na oboch stranách Lamanšského prielivu existuje trend smerom k zjednodušovaniu noriem, Spojené kráľovstvo je pred Európskou úniou.

Po Brexite bol zákon o ochrane údajov z roku 2018 (DPA) novelizovaný tak, aby zostal doplnkom k „UK GDPR“, britskej verzii GDPR, ktorá nadobudla účinnosť 1. januára 2021.

Spojené kráľovstvo tiež prijalo nariadenie o ochrane súkromia a elektronických komunikácií (PECR), ktorým sa implementuje európska smernica o súkromí a elektronických komunikáciách.

Zákon o používaní a prístupe k údajom (DUAA), prijatý 19. júna 2025, predstavuje významnú reformu režimu osobných údajov v Spojenom kráľovstve.

Upravuje a dopĺňa britské GDPR, DPA aj PECR a predstavuje strategický zlom, ktorým sa Spojené kráľovstvo odkláňa od vízie zameranej na základné práva a prijíma pragmatickejší a proinovatívnejší prístup.

Jeho hlavnými cieľmi sú:

• Navrhnúť širší právny základ „uznaných oprávnených záujmov“ pre určité činnosti spracovania údajov vrátane archivácie vo verejnom záujme, verejnej bezpečnosti alebo zdaňovania;
• Poskytnutie spoločnostiam možnosti pozastaviť čas odozvy na žiadosti o prístup,
• Zjednodušiť pravidlá týkajúce sa súborov cookie;
• Uľahčovanie medzinárodných prenosov údajov;
• Podporovať inovácie v oblasti digitálnych služieb a umelej inteligencie uvoľnením rámca pre automatizované rozhodovanie;
• Zaviesť „ochranu súkromia už v štádiu návrhu“ v digitálnych službách zameraných na deti,
• Aby sa umožnila implementácia digitálnej identity,
• Zjednodušiť pravidlá týkajúce sa polície a spravodajských služieb.

Niektorí však poukazujú na riziká týchto reforiem, a najmä na oslabenie individuálnych práv.

V oblasti automatizovaného rozhodovania poukazujú napríklad na fiasko s výsledkami skúšky „A level“ z roku 2020, kde algoritmus udeľoval irelevantné známky, a na chyby v nástrojoch Ministerstva práce a dôchodkov (DWP) na odhaľovanie podvodov, ktoré viedli k početným škodám pre dotknutých.

Projekt digitálnej identity, ktorý vláda oznámila začiatkom októbra, vyvolal búrku protestov, pričom milióny britských občanov podpísali petíciu požadujúcu stiahnutie projektu.

Britská vláda už niekoľko rokov presadzuje zavedenie mechanizmov umožňujúcich prístup k šifrovanému obsahu komunikácie: verejná diskusia sa zameriava na kontroverzné technické prístupy, ako napríklad „skenovanie na strane klienta“.

Treba poznamenať, že Európska únia v súčasnosti rokuje o súvisiacej téme: návrh CSAR zameraný na prevenciu a boj proti sexuálnemu zneužívaniu páchanému na deťoch je opäť na programe zasadnutia Európskej rady 14. októbra.

Tento návrh, ktorý umožňuje skenovanie komunikácie na používateľskom termináli pred jej odoslaním, mnohí vedci a občianska spoločnosť považujú za neúčinný a zároveň obzvlášť nebezpečný pre základné práva a samotné šifrovanie.

Európska únia sa v súčasnosti tiež snaží zjednodušiť regulačný rámec týkajúci sa údajov prostredníctvom svojho „digitálneho súhrnného balíka“.

Komisia zverejnila výzvu na predkladanie príspevkov, ktorá sa uzáviera 14. októbra a ktorá sa týka oblastí legislatívy o údajoch vrátane pravidiel týkajúcich sa súborov cookie a iných technológií sledovania, hlásenia kybernetických incidentov a určitých aspektov práva o umelej inteligencii.

Pokiaľ ide o GDPR konkrétnejšie, medzi sporné otázky patrí napríklad obmedzenie povinnosti viesť register na organizácie s viac ako 500 zamestnancami v porovnaní so súčasným limitom 250. Európska únia v súčasnosti nespochybňuje základné zásady nariadenia.

Na oboch stranách Lamanšského prielivu sa ohlásené výhody pre priemysel týkajú zníženia nákladov na dodržiavanie predpisov.

Náklady na samotnú implementáciu reformy, náklady na chyby alebo spory a náklady na dôveru spotrebiteľov sú však menej dobre pochopené. Tento argument bol vznesený aj počas „implementačného dialógu“, ktorý zorganizovala Európska komisia v polovici júla. Súkromný sektor uviedol, že „investoval do dodržiavania predpisov a že všeobecné znovuotvorenie by mohlo vytvoriť neistotu, najmä v kontexte medzinárodných prenosov údajov“.

V súčasnosti zostáva pomer prínosov a rizík britských reforiem a ich vplyv na medzinárodné partnerstvá a, čo je rozhodnejšie, na zachovanie rozhodnutia Spojeného kráľovstva o primeranosti v vzťahoch s EÚ neistý.

Návrh rozhodnutia Európskej komisie o primeranosti je však v prospech uznania úrovne ochrany Spojeného kráľovstva.

Musí sa však predložiť Európskemu výboru pre ochranu údajov na vydanie stanoviska a prerokovať v Rade.

Dúfajme, že konečné rozhodnutie bude obzvlášť transparentné, pokiaľ ide o zohľadnené kritériá, vzhľadom na následné zmeny britského práva.

Zdá sa, že je to nevyhnutné na zabezpečenie dostatočnej právnej istoty v budúcnosti pre európske spoločnosti, ako aj pre tie, ktoré majú sídlo mimo EÚ.

 

      

Dňa 18. septembra 2025 CNIL uložila spoločnosti Samaritaine SAS pokutu 100 000 eur za skryté umiestnenie kamier v skladovacích priestoroch obchodu.

Tieto kamery boli maskované ako detektory dymu a boli schopné zaznamenávať zvuk.

CNIL pripomenula, že zamestnávateľ môže nainštalovať skryté kamery za výnimočných okolností a za predpokladu, že sa dosiahne spravodlivá rovnováha medzi sledovaným cieľom (ochrana majetku a osôb) a ochranou súkromia zamestnancov.

Takýto systém by mohol byť napríklad povolený za predpokladu, že je dočasný a nasadený po zdokumentovanej analýze jeho zlučiteľnosti s GDPR a za výnimočných okolností.

V tomto prípade spoločnosť síce nahlásila existenciu krádeží spáchaných v rezervách a vysvetlila, že systém je dočasný, ale nevykonala žiadnu predchádzajúcu analýzu súladu s GDPR ani nezdokumentovala dočasný charakter inštalácie.

CNIL tiež publikovala niekoľko článkov týkajúcich sa správy neaktívnych účtov pre profesionálov v oblasti audiovizuálnych technológií a videohier, o videozariadeniach v školách a o geolokácii detí.

Národné zhromaždenie schválilo návrh zákona o kybernetickej odolnosti v osobitnom výbore 9. septembra. 

Predseda výboru Philippe Latombe prijal pozmeňujúci návrh zameraný na zakotvenie šifrovania typu end-to-end v článku 16 bis: „Poskytovateľom šifrovacích služieb vrátane kvalifikovaných poskytovateľov dôveryhodných služieb nemožno uložiť, aby integrovali technické zariadenia zamerané na úmyselné oslabenie bezpečnosti informačných systémov a elektronických komunikácií, ako sú hlavné dešifrovacie kľúče alebo akýkoľvek iný mechanizmus umožňujúci nesúhlasný prístup k chráneným údajom.“

Tento text, ktorý transponuje do francúzskeho práva európske smernice NIS2, DORA a REC, by mal viesť k výraznému zvýšeniu všeobecnej úrovne kybernetickej bezpečnosti.

 

Európske inštitúcie a orgány

10. septembra Ursula von der Leyenová predniesla prejav o stave Únie, v ktorom opätovne potvrdila, že Európa si zachová suverénne právomoci pri určovaní vlastných pravidiel a štandardov, a tým odmietla transatlantickú kritiku.

V ten istý deň podpísalo 39 európskych lídrov a združení v odvetví Európsku deklaráciu o umelej inteligencii a technológiách, v ktorej sa zaviazali investovať do technologickej suverenity Európy.

Pani von der Leyenová zopakovala kľúčové priority stratégie EÚ v oblasti umelej inteligencie vrátane budúcej regulácie cloudu a vývoja umelej inteligencie, iniciatívy „Quantum Sandbox“ a významných investícií do európskych „gigafactories“ umelej inteligencie.

Budúce nariadenie o vývoji cloudu a umelej inteligencie by mohlo zahŕňať opatrenia týkajúce sa dátovej suverenity a lokalizácie v súlade s budúcou dátovou stratégiou Únie.

Predseda Komisie tiež zdôraznil ciele zjednodušenia európskej regulácie a zdôraznil nedávne návrhy reforiem, ktoré by mohli mať vplyv na ochranu údajov, ako napríklad zníženie povinností týkajúcich sa registra údajov a zefektívnenie požiadaviek na hlásenie incidentov v rámci digitálnej legislatívy.

Napokon sa venovala otázke bezpečnosti detí na internete a oznámila, že Komisia do konca roka požiada o odborné poradenstvo, pričom sa možno inšpiruje austrálskym prístupom k obmedzeniam sociálnych médií.

Nariadenie o údajoch (Data Act) nadobudlo účinnosť 12. septembra 2025.

Tento text poskytuje používateľom pripojených produktov (firmám alebo jednotlivcom, ktorí vlastnia, prenajímajú alebo majú na leasing takýto produkt) väčšiu kontrolu nad údajmi, ktoré generujú, a zároveň zachováva stimuly pre tých, ktorí investujú do dátových technológií.

Taktiež definuje všeobecné podmienky platné pre situácie, v ktorých má spoločnosť zákonnú povinnosť zdieľať údaje s inou spoločnosťou.

Európsky výbor pre ochranu údajov zverejnil usmernenia týkajúce sa interakcie medzi nariadením o digitálnych službách a GDPR, ktoré sú otvorené na verejnú konzultáciu do konca októbra.

Súdny dvor EÚ nariadil Európskej komisii vyplatiť odškodné vo výške 50 000 eur osobe, ktorá bola obvinená z krádeže v tlačovej správe Európskeho úradu pre boj proti podvodom (OLAF).

Hoci v tlačovej správe nebolo spomenuté žiadne meno, kontextové indície umožnili identifikáciu výskumníka. Predmetný prípad, OC proti Komisii [C-479/22 P], bol citovaný v nedávnom prípade EDPS v. SRB, ktorý v súčasnosti vyvoláva silné reakcie týkajúce sa rozsahu identifikovateľnej povahy osobných údajov.

 

Správy z členských krajín Európskej únie.

V Nemecku Spolkový pracovný súd rozhodol, že spoločnosť nezákonne preniesla osobné údaje svojho zamestnanca do svojej materskej spoločnosti za účelom testovania softvéru na riadenie ľudských zdrojov.

Tento prevod nemohol byť odôvodnený oprávneným záujmom, pretože by stačili fiktívne údaje. Súd priznal zamestnancovi náhradu škody za citovú ujmu vo výške 200 eur.

V Rakúsku súd rozhodol, že právo dotknutej osoby na prístup k údajom zaniká jej smrťou a neprechádza na právneho nástupcu. Súd tak počas odvolacieho konania zrušil rozhodnutie orgánu na ochranu údajov týkajúce sa porušenia práva na prístup k údajom po smrti dotknutej osoby.

Rakúska organizácia na ochranu spotrebiteľských práv VSV podala hromadnú žalobu proti spoločnosti Meta v Rakúsku a Nemecku, v ktorej požaduje odškodné až do výšky 5 000 eur pre osoby staršie ako 18 rokov. Žaloba sa týka profesionálnych nástrojov spoločnosti Meta, ktoré podľa VSV slúžia na „nezákonné sledovanie“ súkromného života používateľov.

Belgický úrad na ochranu údajov udelil majiteľovi študentského domu pokutu 9 700 eur za nezákonné prevádzkovanie systému video monitorovania, ktorý nebol potrebný na ochranu nehnuteľnosti ani na monitorovanie dodržiavania domového poriadku a ktorý nemohol byť založený na oprávnenom záujme alebo na plnení nájomnej zmluvy.

Španielsky úrad na ochranu údajov (APD) uložil pokutu vo výške 1 800 000 eur spoločnosti, ktorá spracovávala osobné údaje samostatne zárobkovo činných osôb zhromaždené verejným orgánom bez právneho základu.

Domnievala sa, že hoci Španielsky daňový úrad (AEAT) mal zo zákona právo oznámiť určité údaje Obchodnej komore, následný prenos do spoločnosti Camerdata a použitie týchto údajov na obchodné a marketingové účely nemalo platný právny základ.

Oprávnený záujem, na ktorý sa spoločnosť odvolávala, neprevažoval nad rizikami pre práva a slobody pracovníkov, ktorých údaje boli zverejnené.

V Estónsku dostala farmaceutická spoločnosť Allium UPI pokutu 3 000 000 eur za to, že nezaviedla primerané technické a organizačné opatrenia, ako je viacfaktorové overovanie, čo viedlo k úniku údajov, ktorý postihol 750 000 ľudí vrátane detí a zraniteľných skupín.

Vo Fínsku uložil úrad pre ochrannú politiku (APD) banke (S-Pankki Oyj) pokutu 1 800 000 EUR za to, že nezaviedla dostatočné technické a organizačné opatrenia týkajúce sa novej funkcie prihlásenia vo svojej aplikácii, čo viedlo k neoprávnenému prístupu jej zákazníkov k účtom iných zákazníkov.

Taliansky úrad na ochranu údajov (APD) rozhodol, že zákazník spoločnosti má právo odvolať svoj súhlas s použitím svojho obrázka v reklame spoločnosti. Objasnil, že súhlas možno odvolať bez ohľadu na akékoľvek negatívne ekonomické dôsledky pre prevádzkovateľa údajov.

Hlasovaním v Senáte 17. septembra sa Taliansko stalo prvou európskou krajinou, ktorá prijala zákon o umelej inteligencii.

Po vymedzení rámca všeobecných zásad zákon venuje osobitnú pozornosť kľúčovým sektorom, ako sú práca, zdravotníctvo a spravodlivosť.

Taktiež upravuje používanie umelej inteligencie maloletými a obsahuje trestné ustanovenia.

Holandský úrad na ochranu údajov (DPA) v súčasnosti vykonáva v spolupráci s talianskym, luxemburským a maďarským úradom na ochranu údajov vyšetrovanie toho, ako pripojené televízory spracovávajú osobné údaje.

V správe sa najmä uvádza, že pripojené televízory odosielajú značné množstvo údajov počas inštalácie, každodenného používania, keď sú v pohotovostnom režime a dokonca aj keď sú vypnuté, a že fungujú v nepriehľadnom internetovom ekosystéme, do ktorého sú zapojené rôzne strany: výrobcovia, poskytovatelia operačných systémov, vývojári aplikácií atď.

Poukazuje na to, že používatelia často nemajú inú možnosť, ako akceptovať zásady ochrany osobných údajov a majú problém identifikovať osoby zodpovedné za spracovanie údajov.

Predinštalované aplikácie (niekedy nemožné odstrániť) vyvolávajú otázky týkajúce sa minimalizácie dát a používateľských práv.

Po spustení Apertus AI, švajčiarskeho open source chatu, sa objavil ďalší významný model strojového učenia s otvoreným zdrojovým kódom podporovaný verejnou inštitúciou v Európe: TildeOpen LLM.

Ide o základný lingvistický model navrhnutý tak, aby kompenzoval slabé stránky existujúcich LLM, pokiaľ ide o severské a východoeurópske jazyky, ktoré sú v súčasnosti nedostatočne zastúpené.

Tento model s 30 miliardami parametrov bol vyvinutý s finančnými prostriedkami od Európskej komisie a trénovaný na superpočítači LUMI.

Tieto dva modely oznámili, že spĺňajú európske nariadenie o umelej inteligencii.

 

 

47. Valné zhromaždenie o ochrane súkromia, ktoré sa konalo v septembri minulého roka v Soule, potvrdilo, že ochrana súkromia a bezpečnosť údajov sú kľúčovými otázkami, ktorým dnes svet čelí.

Toto každoročné podujatie spája regulačné orgány, ako aj spoločnosti a organizácie z celého sveta.

Dvadsať orgánov na ochranu údajov pri tejto príležitosti prijalo spoločné vyhlásenie s cieľom vybudovať spoľahlivý rámec riadenia dôveryhodnej umelej inteligencie.

Presadzujú integráciu zásad ochrany údajov od fázy návrhu, zavedenie robustnej správy údajov a predvídanie riadenia rizík.

Vyhlásenie tiež zdôrazňuje rastúcu zložitosť spracovania údajov v tejto súvislosti a podčiarkuje rozmanitosť zúčastnených aktérov, ako aj potrebu regulačného rámca prispôsobeného technologickému pokroku.

V Spojených štátoch má „vypnutie“ značné dôsledky, pokiaľ ide o ochranu údajov.

Niektoré federálne agentúry sú takmer úplne zatvorené, vrátane Federálnej obchodnej komisie (FTC), hlavného orgánu zodpovedného za presadzovanie ochrany osobných údajov.

V rámci Federálnej obchodnej komisie (FTC) je núteným prepúšťaním najviac postihnutý Úrad pre ochranu spotrebiteľa.

S výnimkou prípadov, keď sa škoda považuje za mimoriadne závažnú, budú záležitosti ochrany spotrebiteľa pozastavené, či už ide o predbežné vyšetrovania, správne konania alebo súdne spory na federálnych súdoch.

Americkí používatelia ChatGPT Plus, Pro a Free si teraz môžu nakupovať priamo z predajnej platformy Etsy a čoskoro bude k dispozícii aj mnoho ďalších predajcov.

To znamená, že pre ChatGPT, rovnako ako pre iné agentové systémy umelej inteligencie, používateľ poskytuje tretím stranám prístup k svojim osobným údajom, a najmä k bankovým informáciám, so všetkými problémami so zraniteľnosťou údajov, ktoré z toho vyplývajú.