Právny prehľad č. 93 – marec 2026. 

 

Prístup k osobným údajom: rozpoznanie zneužitia práv?

Nedávne rozhodnutie Súdneho dvora Európskej únie (SDEÚ) objasňuje podmienky práva jednotlivcov na prístup k ich osobným údajom, a najmä okolnosti, za ktorých môže prevádzkovateľ považovať žiadosť o prístup za zneužitie.

Hoci článok 12 GDPR spája zneužívajúcu povahu žiadostí s ich opakujúcim sa aspektom, Súdny dvor EÚ 19. marca vo veci C-526/24 – Brillen Rottler objasnil, že toto kritérium opakovania je ilustratívne: počet žiadostí nie je rozhodujúci a počiatočná žiadosť o prístup sa môže považovať za zneužívajúcu, ak dotknutá osoba využije toto právo na získanie výhody, napríklad ak sa snaží umelo vytvoriť právo na odškodnenie voči prevádzkovateľovi. V takom prípade ide o zneužitie práv.

Odmietnutie odpovede na žiadosť o prístup však musí podľa GDPR zostať výnimočné a prevádzkovateľ musí byť schopný preukázať zneužívajúci úmysel žiadateľa.

V tomto konkrétnom prípade musela zodpovedná osoba na základe konkrétnych dôkazov preukázať, že žiadosť nebola určená na overenie spracovania údajov, ale na umelé vytvorenie podmienok pre uplatnenie nároku na náhradu škody.

Bolo skutočne známe, že žiadateľ po poskytnutí svojich údajov podal viacero žiadostí viacerým prevádzkovateľom údajov s cieľom získať nápravu.

Súd opakuje, že na priznanie odškodnenia musia byť splnené tri podmienky:

• Porušenie GDPR,
• Poškodenie
• A kauzálna súvislosť medzi nimi dvoma.

Nehmotná škoda môže vzniknúť v dôsledku straty kontroly alebo neistoty týkajúcej sa spracovania údajov, ale škodu musí žalobca preukázať a nemôže byť spôsobená konaním žalobcu.

V tomto konkrétnom prípade došlo k prerušeniu príčinnej súvislosti v dôsledku správania dotknutej osoby, ktorá konala s cieľom umelo vytvoriť podmienky pre vznik škody.

Ak sú splnené tri vyššie uvedené podmienky, porušenie práva na prístup môže viesť k právu na nápravu, a to aj v prípade, že toto porušenie nevyplýva priamo zo spracovania údajov v užšom zmysle slova.

Odmietnutie odpovede na žiadosť o prístup môže vystaviť zodpovednú stranu riziku nároku na náhradu škody zo strany žiadateľa v dobrej viere.

Prevádzkovateľ údajov, ktorý má podozrenie na zneužívajúcu žiadosť, musí preto postupovať s mimoriadnou opatrnosťou a pred odmietnutím prístupu uchovávať dôkazy o tejto zneužívajúcej povahe. 

Vysvetlenia poskytnuté Súdnym dvorom EÚ sú v súlade s usmerneniami, ktoré v roku 2022 k tejto téme zverejnil Európsky výbor pre ochranu údajov (EDPB) a ktoré poskytujú ďalšie usmernenia.

Nadmerná povaha žiadostí teda môže závisieť od špecifických charakteristík sektora, v ktorom prevádzkovateľ pôsobí.

„Čím častejšie sa zmeny vykonávajú v databáze prevádzkovateľa, tým je pravdepodobnejšie, že dotknutej osobe bude umožnené požiadať o prístup k svojim údajom bez toho, aby sa to považovalo za neprimerané.“

V prípade opakovaných žiadostí môže prevádzkovateľ namiesto odmietnutia prístupu rozhodnúť o účtovaní dotknutej osobe poplatku zodpovedajúceho nákladom na administratívne postupy spôsobené žiadosťami.

Na záver treba poznamenať, že Európska komisia má vo svojom návrhu digitálneho Omnibusu v úmysle poskytnúť prevádzkovateľom údajov väčšiu právnu istotu, keď čelia zneužívaniu práv zo strany dotknutých osôb.

Hoci EDPB a EDPS (Európsky dozorný úradník pre ochranu údajov) vo svojom stanovisku z 10. februára podporujú túto požiadavku na objasnenie, domnievajú sa, že uplatnenie práva na prístup na iné účely ako je ochrana osobných údajov by nemalo byť určujúcim prvkom toho, čo predstavuje zneužitie... pokiaľ nie je spochybnená dobrá viera žiadateľa.

 

Vykonávací dekrét k zákonu SREN, zverejnený 24. marca, zavádza dodatočné požiadavky. na hosťovanie zdravotných údajov (HDS) výlučne na území EÚ alebo EHP, požiadavky, ktoré CNIL víta, keďže ich cieľom je zvýšiť transparentnosť voči dotknutým osobám, ako aj posilniť kontrolu zdravotných údajov stranami zmluvy o hosťovaní, pokiaľ ide o riziko prístupu mimo Európy.

Vo všeobecnosti má celý štátny IT systém v úmysle migrovať smerom k suverénnym riešeniam.

Týždeň po oznámení nasadenia kolaboratívnej platformy LaSuite pre 80 000 agentov zdravotného poistenia teda medzirezortné digitálne riaditeľstvo (DINUM) 9. apríla oficiálne oznámilo svoj zámer opustiť Windows a prejsť na samostatné riešenie do konca roka.

Tieto ciele sa stali konkrétnejšími od seminára 8. apríla, na ktorom sa po prvýkrát stretli ministerstvá, verejní prevádzkovatelia a súkromní aktéri s cieľom identifikovať, na ktorý zahraničný softvér a služby je štát dnes závislý, aby sa bez nich zajtra zaobišiel.

„Od tejto jesene bude musieť každé ministerstvo (a verejné orgány, ktoré sú od neho závislé) predložiť vlastný plán na zníženie svojej digitálnej závislosti od zahraničných zdrojov.“

Plán digitálnej bezpečnosti štátu na roky 2026 – 2027 bol zverejnený začiatkom apríla.

Je to súčasť úsilia o zosúladenie štátnych správ so smernicou NIS2 a zapojenie ich do prechodu na postkvantovú kryptografiu. 

„V kontexte vysokej hrozby a zhoršujúcej sa geopolitickej situácie stanovuje prioritné úsilie, ktoré musia ministerstvá vynaložiť v oblasti digitálnej bezpečnosti: konsolidácia riadenia, posilnenie riadenia prístupu, kontrola prostredia informačných systémov atď.“

CNIL zverejnila svoje prioritné kontrolné témy na rok 2026 3. apríla.  Zameria sa na

• Nábor,
• Jednotný zoznam voličov
• Športové federácie.

Ďalšie oznámenia týkajúce sa kybernetickej bezpečnosti budú zverejnené v máji po zverejnení výročnej správy.

Zverejnila tiež svoj pracovný program na podporu profesionálovktorý bude klásť dôraz

• Používanie umelej inteligencie,
• Zdravotné údaje,
• Podmienky práva na prístup
• Kybernetická bezpečnosť.

Jeho webová stránka obsahuje aj novú príručku týkajúcu sa lehôt uchovávania údajov o ľudských zdrojoch. Napokon, v publikácii z 20. marca CNIL opakuje veľmi obmedzujúce podmienky pre nahrávanie zvuku kamerami na sledovanie videa.

Hoci hackerský útok na Regionálne zdravotnícke agentúry (ARS) bol oficiálne potvrdený v septembri 2025, situácia dnes naberá alarmujúcejší smer. zatiaľ čo hackerská skupina DumpSec sa prihlásila k zodpovednosti za útok a teraz predáva rozsiahlu databázu z francúzskeho systému zdravotnej starostlivosti.

Dotknutých by bolo viac ako 35 miliónov pacientov a údaje by obsahovali citlivé informácie týkajúce sa postupov starostlivosti.

Únik údajov pramení z krádeže poverení lekárov na serveroch GRADeS (regionálna skupina podpory elektronického zdravotníctva).

Súdny dvor EÚ vydal 19. marca rozhodnutie, ktoré sa týka podmienok zhromažďovania biometrických údajov francúzskou políciou.

Vo veci C 371/24 – Comdribus rozhodol, že vnútroštátna legislatíva je nezlučiteľná s európskou smernicou o „policajnej justícii“, keď oprávňuje orgán činný v trestnom konaní systematicky spracovávať biometrické údaje podozrivých osôb bez toho, aby od príslušného orgánu vyžadovala odôvodnenie absolútnej nevyhnutnosti a primeranosti tohto spracovávania.

Osoba, ktorá odmietne zhromažďovanie svojich biometrických údajov, môže byť sankcionovaná len vtedy, ak plánované zhromažďovanie spĺňa tieto podmienky, posudzované s ohľadom na okolnosti v čase, keď o tomto zhromažďovaní rozhodujú príslušné orgány.

Dôvod zhromažďovania je nevyhnutný na to, aby dotknutá osoba mohla uplatniť svoje právo na účinný právny prostriedok nápravy.

V tomto konkrétnom prípade, počas akcie, ktorú v máji 2020 v Paríži uskutočnili klimatickí aktivisti, bolo niekoľko účastníkov vrátane sťažovateľa zatknutých orgánmi činnými v trestnom konaní za organizovanie neohlásenej demonštrácie.

Sťažovateľ, ktorý bol umiestnený do policajnej väzby, odmietol podstúpiť odtlačky prstov a fotografovanie.

Minister vnútra 3. apríla v Senáte počas otázok pre vládu vyhlásil, že používanie softvéru na rozpoznávanie tváre orgánmi činnými v trestnom konaní na ich zariadeniach na kontrolu identity Neo nie je legálne, s výnimkou prípadov v rámci vyšetrovania pod vedením sudcu.

Minister uviedol, že CNIL sa touto záležitosťou v súčasnosti zaoberá.

Riaditeľ spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou, ktorá vyhrala francúzsky program Tech 2030, bol koncom marca zatknutý v rámci rozsiahleho európskeho zásahu proti platforme s detskou pornografiou.

Inžinier, ktorý vedie startup špecializujúci sa na predvídanie kybernetických hrozieb – medzi ktorého klientov patria FBI a Európska komisia – je podozrivý z nákupu obrázkov a videí s detskou pornografiou prostredníctvom platformy s detskou pornografiou na darknete.

V rámci koordinovanej operácie zatkli orgány činné v trestnom konaní v celej Európe viac ako 200 osôb vďaka platbám v kryptomenách, ktoré vyšetrovatelia vysledovali a deanonymizovali.

 

Európske inštitúcie a orgány

Európsky parlament 11. marca súhlasil s predĺžením (výnimočných) pravidiel umožňujúcich kontrolu elektronickej komunikácie („kontrola chatu“). pričom obmedzujú ich rozsah.

Namiesto udelenia všeobecného povolenia pre skenovacie technológie parlament požiadal, aby sa tieto nástroje používali iba proti známym podozrivým a výlučne na odhaľovanie známej detskej pornografie.

Medzitým spoločnosti Google, Meta, Microsoft a Snap (Chat) v spoločnej tlačovej správe potvrdili, „že budú naďalej prijímať dobrovoľné opatrenia týkajúce sa svojich dotknutých služieb medziľudskej komunikácie“.

Medziinštitucionálne rokovania stále prebiehajú: cyperské predsedníctvo Rady má v úmysle dokončiť projekt do júla 2026 a táto otázka sa v súčasnosti rokuje v rámci trialógu medzi Parlamentom, Radou a Komisiou.

Poslanci Európskeho parlamentu zaujali 26. marca na plenárnom zasadnutí stanovisko k zložke balíka Digital Omnibus, ktorá sa týka umelej inteligencie.

Hlasovali za odloženie nadobudnutia účinnosti viacerých ustanovení nariadenia o umelej inteligencii.

Systémy umelej inteligencie zahŕňajúce biometriu a tie, ktoré sa používajú v kritickej infraštruktúre, vzdelávaní, zamestnanosti, základných službách, presadzovaní práva, spravodlivosti a riadení hraníc, by sa preto odložili z augusta 2026 na 2. decembra 2027.

Poslanci navrhujú odložiť zavádzanie súladu iných systémov podliehajúcich sektorovej regulácii (bezpečnosť a dohľad nad trhom) do 2. augusta 2028.

Cieľom trialógov medzi Európskou komisiou, Parlamentom a Radou je dosiahnuť predbežnú dohodu o texte do 28. apríla.

Je potrebné pripomenúť, že základné zásady nariadenia už nadobudli účinnosť a podliehajú kontrolám zo strany CNIL (francúzskeho úradu na ochranu údajov).

Európska komisia 24. marca zistila kybernetický útok, ktorý ovplyvnil cloudovú infraštruktúru, na ktorej je hostovaná jej webová stránka na platforme Europa.eu, a ktorý sa ukázal byť závažnejší, než sa pôvodne uvádzalo v jej tlačovej správe.

Údaje sa týkajú 71 zákazníkov hostingovej služby Europa. CERT-EU, služba EÚ pre bezpečnosť údajov, potvrdzuje prítomnosť mien, používateľských mien, e-mailových adries a obsahu e-mailov v úniku.

Na dark webe bolo zverejnených 340 GB dát a takmer 52 000 e-mailových súborov.

Dve dôležité rozhodnutia Súdneho dvora EÚ z 19. marca, Brillen Rottler a Comdribus, boli prediskutované vyššie v úvodníku a správach vo Francúzsku.

Európske konzorcium pre digitálnu infraštruktúru „Digital Commons“ (EDIC) nadobúda podobu s pristúpením nových krajín a spustením prvých projektov vrátane pilotného projektu pre európsky suverénny technologický fond.

Cieľom konzorcia je pomôcť členským štátom Európskej únie rozvíjať otvorené digitálne infraštruktúry a posilňovať digitálnu suverenitu Európy.

 

Správy z členských krajín Európskej únie.

Nemecký súd rozhodol, že spoločnosť Meta nezákonne spracovávala osobné údaje neregistrovaných osôb prostredníctvom svojej funkcie „Nájsť priateľov“ na Facebooku.

Okrem toho by spoločnosť nemala žiadny právny základ na spracovanie osobných údajov používateľov z vlastnej platformy na reklamné účely.

V nedávnom prípade rakúsky súd rozhodol, že orgán na ochranu údajov správne odmietol spracovať sťažnosť podľa článku 57 ods. 4 GDPR po tom, čo sa jednotlivec pokúsil zneužiť mechanizmus podávania sťažností na oddialenie vymáhania dlhu.

Belgický úrad na ochranu údajov (APD) usúdil, že zamestnávateľ dostatočne vyhovel žiadosti zamestnanca o prístup tým, že mu poskytol jeho údaje prostredníctvom reprodukcie, a nie úplnou extrakciou predmetných e-mailov.

Vo Fínsku vydal úrad pre ochranu údajov varovanie ratingovej agentúre za nesprávne spracovanie žiadostí o prístup k údajom.

Prevádzkovateľ údajov odkázal dotknuté osoby na svoj portál pre prístup k údajom bez toho, aby ich následne kontaktoval, a uviedol, že za každú žiadosť podanú viac ako raz počas dvanástich mesiacov bude účtovaný poplatok.

Španielsky úrad na ochranu údajov (APD) udelil poskytovateľovi služieb digitálnej identifikácie a overovania veku (YOTI) pokutu 950 000 eur za zhromažďovanie biometrických údajov bez platného súhlasu (nedostatočná podrobnosť a záruky týkajúce sa údajov týkajúcich sa maloletých) a za neobmedzenie doby uchovávania údajov.

Belgický úrad na ochranu údajov (APD) tiež udelil spoločnosti Hyundai pokutu 2 000 000 eur po tom, čo kybernetický útok odhalil údaje viac ako milióna ľudí vrátane ich mien, kontaktných údajov a identifikačných čísel vozidiel. Zistil, že prevádzkovateľ údajov nezabezpečil primeranú úroveň zabezpečenia, najmä preto, že predmetné údaje neboli šifrované.

Belgický úrad pre ochranu údajov (APD) nakoniec uložil prevádzkovateľovi letiska Aena mimoriadne vysokú pokutu (10 miliónov eur) za spôsob, akým zaviedol systém rozpoznávania tváre pri nástupe do lietadla. Systém umožňuje cestujúcim nastúpiť jednoduchým pohľadom do kamery. Úrad zistil, že tento biometrický systém bol zavedený bez predchádzajúceho posúdenia vplyvu na ochranu údajov.

Taliansky úrad na ochranu údajov (APD) udelil banke pokutu vo výške 31 800 000 eur za to, že nezaviedla dostatočné bezpečnostné opatrenia, ktoré by zabránili zamestnancovi v prístupe k finančným údajom viac ako 3 500 osôb na účely nesúvisiace s jeho pracovnými povinnosťami.

Prevádzkovateľ údajov tiež včas neinformoval APD a dotknuté osoby o tomto porušení ochrany údajov.

Ďalšia banka dostala pokutu 17 628 000 eur za prevod účtov 275 000 zákazníkov do svojej dcérskej spoločnosti bez ich súhlasu. Banka použila profilovanie na výber jednotlivcov považovaných za „primárne digitálnych“ zákazníkov.

V Luxembursku Najvyšší správny súd zrušil pokutu vo výške 746 miliónov eur uloženú spoločnosti Amazon. Rozhodnutie nespochybňuje nezákonné spracovanie osobných údajov na účely cielenej reklamy, ale vyžaduje, aby Úrad na ochranu údajov (APD) pred uložením akýchkoľvek nových sankcií prehodnotil priestupok a primeranosť.

V skrátenom konaní súd v Holandsku zakázal platforme sociálnych médií X produkovať a distribuovať prostredníctvom platformy Grok intímny obsah bez súhlasu a detskú pornografiu. Súd tiež zakázal platforme X ponúkať funkcie platformy Grok, pokiaľ tieto porušenia pretrvávajú.

Rumunský úrad na ochranu údajov (APD) udelil spoločnosti Renault Romania pokutu vo výške 637 262,50 RON (125 000 EUR) za nezavedenie vhodných bezpečnostných opatrení po úniku údajov súvisiacom s aplikáciou spravovanou subdodávateľom, čo viedlo k zverejneniu osobných údajov na online platforme.

 

Brazílsky zákon o ochrane maloletých online oficiálne nadobudol účinnosť a s ním aj dekrét ministra spravodlivosti, ktorý sa priamo zameriava na dizajnové riešenia, ktoré používajú technologickí giganti na upútanie pozornosti mladých ľudí.

Nariadenie posúva bezpečnosť detí online z reaktívneho moderovania obsahu na ex ante reguláciu architektúry platformy vrátane obmedzení nekonečného rolovania, automatického prehrávania, manipulatívnych oznámení, cielenej reklamy prostredníctvom profilovania zameraného na maloletých a prísnejších požiadaviek na overenie veku.

Začiatkom apríla čínske ministerstvo priemyslu a informačných technológií spolu s ôsmimi ďalšími ministerstvami zverejnilo dokument „Experimentálne opatrenia týkajúce sa etického hodnotenia a zavádzania technológií umelej inteligencie“.

Dokument poskytuje prehľad toho, čo Čína rozumie pod pojmom „etická správa AI“ a aké typy politík a technických opatrení považuje za potrebné na boj proti trivializácii etiky prostredníctvom marketingových stratégií, ktoré sľubujú úctivé služby, ale v skutočnosti nie sú v súlade s predpismi o AI.

Dňa 24. apríla porota v americkom štáte Nové Mexiko nariadila spoločnosti Meta zaplatiť pokuty vo výške 375 miliónov dolárov v občianskoprávnych veciach. Porota dospela k záveru, že spoločnosť dostatočne nechránila deti na svojich platformách. Táto pokuta vyplývala z porušenia zákona o nekalých obchodných praktikách.

8. apríla federálny odvolací súd vo Washingtone, D.C., odmietol zablokovať zaradenie spoločnosti Anthropic, ktorá sa zaoberá umelou inteligenciou, na čiernu listinu Pentagonu týkajúcu sa národnej bezpečnosti, čo bolo víťazstvom Trumpovej administratívy.

Iný odvolací súd však vydal opačné rozhodnutie v samostatnom súdnom konaní, ktoré začala spoločnosť Anthropic.

Spoločnosť, ktorá je vývojárom asistenta umelej inteligencie Clauda, tvrdí, že minister obrany prekročil svoje právomoci tým, že spoločnosť označil za riziko pre dodávateľský reťazec národnej bezpečnosti.

Spoločnosť Anthropic odmietla odstrániť určité obmedzenia týkajúce sa používania svojich produktov vzhľadom na ich použitie v americkej obrane.