Právny prehľad č. 82 – apríl 2025. 

Ochrana údajov a zjednodušenie noriem: čo môžeme očakávať?

Otázka zjednodušovania noriem, ktorá je v Európe opakujúcou sa témou diskusií, nadobudla mimoriadny význam od zmeny vedenia v Bielom dome.

Na parížskom summite o umelej inteligencii (AI) vlani vo februári sa konkurencieschopnosť stala deklarovanou prioritou vzhľadom na dereguláciu v Spojených štátoch.

Pracovný program Európskej komisie na rok 2025 sa tiež výslovne zameriava na podporu hospodárskeho rastu prostredníctvom podpory inovácií.

Aký bude vplyv tejto politiky na európske normy ochrany údajov?

V oblasti umelej inteligencie sa Európa v prvom rade zaviazala dosiahnuť hlavné ciele nariadenia a zároveň preskúmať administratívnu záťaž pre podniky.

Komisia bude v prípade, že regulačná neistota bude brzdiť rozvoj umelej inteligencie, vyhľadá podnety od priemyslu a začlení ich do širšieho úsilia o preskúmanie a prípadné zrušenie súboru digitálnych pravidiel do konca roka.

Smernica o zodpovednosti za umelú inteligenciu, ktorej cieľom bolo aktualizovať pravidlá EÚ o bezpečnosti výrobkov tak, aby sa vzťahovali na umelú inteligenciu a automatizáciu, už bola stiahnutá.

CCIA, hlavná americká lobistická skupina pre veľké technologické spoločnosti v Bruseli, tento prístup privítala a zároveň vyzvala na „priamy útok“ na nariadenie.

Európska komisia koncom apríla informovala členské štáty aj o svojom návrhu usmernení týkajúcich sa vzťahu medzi nariadením o umelej inteligencii a inými nariadeniami vrátane GDPR.

Pracuje na vývoji modelu pre posúdenia vplyvu na základné práva (FRIA) požadované nariadením o umelej inteligencii, aby sa predišlo duplicite s posúdením vplyvu na ochranu údajov podľa GDPR.

Členské štáty zo svojej strany zdôrazňujú potrebu posilnenej spolupráce s inými orgánmi, aby sa zabránilo tomu, že tieto dva hlavné zákony povedú k protichodným rozhodnutiam alebo prekrývajúcim sa vyšetrovaniam.

Európsky výbor pre ochranu údajov (EDPB) tiež pripravuje usmernenia týkajúce sa interakcie medzi GDPR a nariadením o umelej inteligencii a s Komisiou skúma možnosti synergií s cieľom zabezpečiť konzistentnosť výkladu, právnu istotu a jasnosť pre prevádzkovateľov.

A čo GDPR? V júli minulého roka Komisia zverejnila hodnotiacu správu na túto tému, ktorá odhalila najmä značnú frustráciu malých a stredných podnikov v niekoľkých ohľadoch:

• Nadmerné požiadavky na dokumentáciu,
• Náklady na najatie alebo vymenovanie zodpovednej osoby,
• Ťažkosti s výberom právneho základu (oprávnený záujem / súhlas),
• Obmedzenia pre vznikajúce technológie a startupy.

Táto kritika odráža názor bývalého talianskeho premiéra Maria Draghiho, ktorého ekonomická správa z minulého septembra poukazuje na zložité európske zákony, ktoré bránia jeho ekonomike dobiehať Spojené štáty a Čínu, a konkrétne spomína nariadenie o umelej inteligencii a GDPR.

Komisia plánuje na konci mája navrhnúť „zjednodušujúci balík“ pre malé a stredné podniky, hoci dátum je uvedený len ako orientačný: návrh na zjednodušenie pravidiel ochrany súkromia by bol v každom prípade predložený do júna.

Úpravy by mohli zahŕňať obmedzenie požiadaviek na vedenie záznamov o činnostiach spracovania údajov alebo reformu posúdení vplyvu na ochranu údajov – dve pravidlá, ktoré sa považujú za obzvlášť zaťažujúce pre malé a stredné podniky.

Za zmienku tiež stojí, že poslanec Axel Voss a prezident mimovládnej organizácie Noyb, Max Schrems – dve osobnosti, ktorých názory na túto tému boli historicky protichodné – spojili sily v marci minulého roka, aby navrhli rozsiahlu revíziu GDPR zameranú na…

• Zjednodušenie dodržiavania predpisov pre malé a stredné podniky a neziskové organizácie,
• Zaviesť jasnejšie a ľahšie spravovateľné pravidlá pre veľké organizácie,
• Posilniť kontrolné kapacity s cieľom zabezpečiť účinnejšiu ochranu údajov.

Hoci tento návrh odráža posun smerom k pragmatickým riešeniam, ktoré zosúlaďujú ochranu súkromia s obchodnou realitou, iní poukazujú na riziká opätovného otvorenia textu, ktorý by sa mohol zrútiť pod tlakom lobistov, ako zdôraznila skupina na ochranu digitálnych práv EDRi.

Stojí za to pripomenúť, že rokovania o vývoji GDPR spustili jedno z najväčších lobistických snáh, aké kedy Brusel zažil.

Technologické spoločnosti minuli milióny na pokusy ovplyvniť pravidlá počas procesu tvorby návrhu a návrh bol v Európskom parlamente predmetom viac ako 3 000 pozmeňujúcich návrhov, čo je rekord.

Súčasná práca na procedurálnom nariadení GDPR, ktorého cieľom je posilniť spoluprácu medzi orgánmi na ochranu údajov a urýchliť rozhodovanie v cezhraničných prípadoch, môže potvrdiť, že cesta do pekla je dláždená dobrými úmyslami.

Zatiaľ čo diskusie (trialóg) medzi Komisiou, Európskym parlamentom a Radou pokračujú, niektorí varujú pred rizikom dosiahnutia kompromisu, ktorý nielenže neprinesie potrebné reformy, ale mohol by tiež priniesť nové slabé miesta.

Dňa 17. apríla mimovládna organizácia Noyb uviedla, že trialóg viedol k legislatívnemu chaosu, ktorý pravdepodobne sťaží, spomalí a vystaví právnym sporom postupy.

 

    

CNIL zverejnila svoju výročnú správu za rok 2024 29. apríla.

Medzi kľúčové témy patrí kybernetická bezpečnosť, ktorá sa stáva strategickou prioritou pre nasledujúce roky s výrazným nárastom únikov údajov (+20 %), a posilnenie represívnych opatrení.

Správa tiež zdôrazňuje dôležitosť rešpektovania práv maloletých, kontroly obchodných praktík a regulácie kamerového dohľadu.

Súbežne s tým CNIL posilňuje svoju európsku spoluprácu s cieľom lepšej regulácie veľkých digitálnych platforiem a pokračuje v práci na umelej inteligencii.

Komisia tiež 30. apríla zverejnila svoje usmernenia na posilnenie bezpečnosti rozsiahlych databáz.

Tieto opatrenia rozširujú a posilňujú základné bezpečnostné opatrenia.

Podobne ako prioritné kybernetické opatrenia ANSSI alebo opatrenia zamerané na predchádzanie únikom údajov, ani tieto opatrenia nemajú za cieľ vymenovať všetky dostatočné opatrenia, ale upriamujú pozornosť prevádzkovateľov údajov na bezpečnostné opatrenia, ktoré CNIL považuje za potrebné v prípade rozsiahlych databáz, najmä vzhľadom na riziká masívneho úniku údajov.

Dvesto francúzskych médií podáva sťažnosť na spoločnosť Meta za „nezákonné praktiky“: podľa denníka Le Monde „niekoľko tlačových skupín (Prisma, Les Echos-Le Parisien, CMI), národných a regionálnych denníkov, ako aj súkromných a verejnoprávnych vysielateľov (TF1, RMC-BFM, France Télévisions a Radio France) obviňuje spoločnosť Meta z toho, že zneužila obdobie, keď sami implementovali súhlas používateľov so zhromažďovaním ich osobných údajov, na zapojenie sa do cielenej reklamy“.

 

Európske inštitúcie a orgány

Európska komisia 23. apríla udelila prvé dve pokuty podľa nariadenia o digitálnych trhoch (DMA).

Konkrétnejšie, spoločnosti Apple a Meta dostali pokutu 500 miliónov eur, respektíve 200 miliónov eur.

Komisia sa domnieva, že spoločnosť Apple si nesplnila svoje povinnosti týkajúce sa dostupnosti aplikácií v obchode App Store.

Pokiaľ ide o spoločnosť Meta, táto spoločnosť dostala pokutu 200 miliónov eur kvôli systému „súhlas alebo platba“.

Komisia sa domnievala, že tento model neposkytoval používateľom konkrétnu možnosť zvoliť si rovnocennú službu, ktorá by využívala menej osobných údajov.

Treba poznamenať, že od tohto vyšetrovania spoločnosť Meta zaviedla tretiu možnosť, a to „menej personalizované reklamy“, ktorú Komisia ešte nehodnotila.

Komisia zverejnila štyri nové výzvy na predkladanie ponúk v hodnote 140 miliónov eur v rámci programu Digitálna Európa (DIGITAL) s cieľom urýchliť zavádzanie umelej inteligencie, podporiť pokročilé digitálne zručnosti, rozšíriť sieť európskych centier digitálnych inovácií (EDIH) a bojovať proti dezinformáciám.

V tejto súvislosti zverejnila 9. apríla výzvu na predkladanie príspevkov týkajúcich sa budúcej legislatívy v oblasti cloudu a umelej inteligencie (Cloud and AI Development Act – CAIDA).

Cieľom by bolo riešiť nedostatok konkurencieschopnej európskej ponuky cloudových služieb v dostatočnom rozsahu pre vysoko kritické využitie s obzvlášť vysokými bezpečnostnými požiadavkami.

EDPB a EDPS predložili svoje výročné správy za rok 2024 koncom apríla.

EDPS zdôraznil vývoj svojej úlohy vzhľadom na európske nariadenie o umelej inteligencii, ktoré mu ukladá povinnosť byť dozorným a notifikačným orgánom pre inštitúcie EÚ.

Správa EDPB poskytuje prehľad práce vykonanej v roku 2024 vrátane prijatia stratégie na roky 2024 – 2027, zvýšenia počtu stanovísk v rámci mechanizmu konzistentnosti podľa článku 64 ods. 2 a prebiehajúceho úsilia o poskytovanie usmernení a právneho poradenstva, najmä malým a stredným podnikom.

Na svojom plenárnom zasadnutí v apríli 2025 prijal EDPB usmernenia týkajúce sa spracovania osobných údajov prostredníctvom technológií blockchain.

Dokument zdôrazňuje dôležitosť implementácie technických a organizačných opatrení od najskorších fáz návrhu spracovania a zároveň definovania úloh a zodpovedností rôznych aktérov v procese spracovania.

Zdôrazňuje dôležitosť posúdení vplyvu na ochranu údajov a uvádza príklady techník minimalizácie údajov, ako aj spracovania a uchovávania osobných údajov. Usmernenia sú otvorené na konzultáciu do 9. júna.

Pokiaľ ide o prístup k administratívnym dokumentom, Súdny dvor Európskej únie (SDEÚ) prijal rozsudok týkajúci sa rovnováhy medzi týmto právom a ochranou údajov osôb uvedených v týchto dokumentoch.

Rozhodol, že článok 6 ods. 1 písm. c) a e) GDPR nebráni dodatočným informačným povinnostiam a konzultáciám s dotknutou osobou pred akýmkoľvek zverejnením osobných údajov, ktoré sa jej týkajú.

Tieto dodatočné povinnosti však nesmú mať za následok neprimerané obmedzenie prístupu verejnosti k týmto dokumentom.

Súdny dvor EÚ zverejňuje aktualizáciu svojho tematického listu o svojich najdôležitejších rozhodnutiach v oblasti ochrany údajov.

Dokument sa zaoberá judikatúrou týkajúcou sa všeobecných nariadení o ochrane údajov a odvetvovo špecifických nariadení (elektronická komunikácia a trestné právo). Predstavuje tiež výber rozsudkov týkajúcich sa prierezových nariadení a zároveň zdôrazňuje úlohu Charty pri vývoji judikatúry.

Európski používatelia platforiem Meta dostali v apríli oznámenie, ktoré ich informovalo o tom, že Facebook a Instagram používajú ich údaje na účely školení v oblasti umelej inteligencie, spolu s odkazom na formulár námietky.

Nórsky úrad na ochranu údajov (APD) zverejnil blogový príspevok, v ktorom vysvetľuje dôsledky tohto rozhodnutia a právne možnosti, ktoré majú jednotlivci k dispozícii. Uviedol tiež, že sa spoločnosti Meta spolu s ďalšími úradmi na ochranu údajov opýtal, či preskúmala zlučiteľnosť školení v oblasti umelej inteligencie s pôvodným cieľom zhromažďovania správ a obrázkov používateľov.

Medzinárodná asociácia odborníkov na ochranu súkromia (IAPP) zverejňuje tabuľku s prehľadom požiadaviek na oznamovanie incidentov digitálnej bezpečnosti a zdieľanie informácií vo viacerých európskych legislatívach.

Zohľadňuje GDPR, smernicu o „polícii“, smernicu o súkromí a elektronických komunikáciách, nariadenie o riadení údajov, nariadenie o údajoch, smernicu NIS2, nariadenie o digitálnej operačnej odolnosti, smernicu o platobných službách2, nariadenie o kybernetickej odolnosti a nariadenie o umelej inteligencii.

Spoločnosť Microsoft oficiálne zaviedla svoju európsku zásadu hraníc údajov pre cloudové služby a zaviazala sa ukladať a spracovávať osobné údaje svojich zákazníkov výlučne v rámci EÚ a EZVO.

Údaje z určitých služieb Azure však môžu byť prenesené mimo EÚ, ak to spoločnosť Microsoft považuje za potrebné na účely vyšetrovania kybernetickej bezpečnosti.

Okrem toho treba poznamenať, že zákon o cloudových službách umožňuje americkým orgánom prístup k údajom amerických spoločností bez ohľadu na to, kde sú uložené.

 

Správy z členských krajín Európskej únie.

Nemecký Spolkový súdny dvor usúdilo, že oprávnené subjekty (ako napríklad spotrebiteľské organizácie) sú oprávnené podať žalobu na porušenie povinností týkajúcich sa informácií podľa GDPR podľa zákona o ochrane spotrebiteľa bez ohľadu na konkrétne porušenie a bez mandátu od dotknutých osôb.

Prípad sa týkal nedodržania zákonných požiadaviek spoločnosti Meta Platforms Ireland Ltd (Meta) týkajúcich sa získania súhlasu používateľa.

V BelgickuRozhodnutie pripomína, že rozsah pôsobnosti GDPR sa vzťahuje aj na profesionálne údaje: APD uložil pokutu vo výške 20 000 eur sprostredkovateľovi údajov medzi podnikmi za zhromaždenie a zverejnenie e-mailovej adresy konateľa spoločnosti.

APD tiež pripomenula, že prevádzkovateľ údajov nemôže nútiť jednotlivca vytvoriť si online účet, ak to nie je potrebné, v tomto prípade podať sťažnosť.

Spoločnosť v tomto prípade porušila zásady minimalizácie údajov a ochrany údajov štandardne aj zámerne.

V Španielsku, Spoločnosť (Marina Salud), ktorá spravuje údaje o nemocniciach v mene autonómnej vlády Valencijskej oblasti, dostala pokutu 500 000 eur po tom, čo bez súhlasu prevádzkovateľa vymenovala sekundárnych subdodávateľov, čím porušila článok 28(2) GDPR.

Taktiež v Španielsku bola banke uložená pokuta 120 000 eur za nezákonné spracovanie osobných údajov zákazníka v rozpore s článkom 6 ods. 1 GDPR po tom, čo zamestnanec napodobnil podpis zákazníka na zmluve o ochrane údajov.

TikTok bol 2. mája odsúdený Írska agentúra pre ochranu údajov (DPA) na pokutu 530 miliónov eur za nelegálne odosielanie osobných údajov Európanov do Číny a ich zatajovanie pred jej používateľmi.

TikTok má šesť mesiacov na to, aby zosúladil svoje postupy s GDPR.

Írsky súd potvrdil rozhodnutie Úradu na ochranu údajov (DPA), ktorý rozhodol, že zamestnávateľ nebol prevádzkovateľom údajov, pokiaľ ide o neprofesionálne údaje obsiahnuté v pracovnom telefóne jedného z jeho zamestnancov.

Maltský APD publikuje sériu často kladených otázok o správe e-mailových účtov zamestnancov po ich odchode z organizácie.

Príručka nabáda zamestnávateľov, aby prijali proaktívny a štruktúrovaný prístup k správe účtov, a to počas pracovného pomeru aj po odchode zamestnanca, a aby sa zaoberali kľúčovými otázkami týkajúcimi sa bežných postupov, ako je automatické preposielanie pošty a automatické odpovede.

V kontexte prezidentských volieb, ktoré sa v Rumunsku konali 4. a 18. mája, TikTok oznámil nové opatrenia zamerané na zabránenie dezinformačnej kampani porovnateľnej s tou, ktorá údajne pomohla kandidátovi Călinovi Georgescuovi dostať sa na čelo prvého kola volieb v novembri minulého roka.

Aplikácia spustila aj „Centrum volieb“, ktoré poskytuje informácie, ako sú dôležité dátumy a odkazy na webovú stránku Stáleho volebného orgánu, a zverejnila nástroje na zvyšovanie povedomia o dezinformáciách.

Tieto opatrenia sa prijímajú po tom, čo Európska komisia začala vyšetrovanie podľa zákona o digitálnych službách (DSA) s cieľom objasniť udalosti z novembra.

 

V Číne práve oznámila Správa kyberpriestoru spustenie trojmesačnej kampane na boj proti zneužívaniu technológií umelej inteligencie. Oddelenia zodpovedné za reguláciu internetu budú musieť usmerňovať online platformy k splneniu požiadaviek kampane posilnením mechanizmov na kontrolu obsahu generovaného umelou inteligenciou, zlepšením detekčných schopností a zabezpečením riadneho vykonávania nápravných opatrení.

V Spojených štátoch začali členovia Výboru pre energetiku a obchod Snemovne reprezentantov vyšetrovanie väzieb spoločnosti Deepseek na Čínsku komunistickú stranu. Chatbot údajne nielen posiela údaje do Číny, ale aj zdieľa osobné údaje používateľov s inými subjektmi prepojenými so stranou vrátane spoločnosti ByteDance Ltd. Aplikácia s umelou inteligenciou je tiež podozrivá zo zhromažďovania údajov o srdcovej frekvencii svojich používateľov.

Fórum pre budúcnosť súkromia (FPF) je pod paľbou kritiky zo strany Trumpovej administratívy. Predseda senátneho obchodného výboru Ted Cruz (republikán za Texas) požaduje odpovede od FPF, ktoré údajne použilo federálne granty na vyvíjanie nátlaku na štáty, aby prijali „ľavicové“ zákony o umelej inteligencii. Senátor Cruz sa obáva, že skupina otvorene obhajuje regulácie umelej inteligencie v súlade s politickým programom Bidenovej administratívy. Taktiež skúma federálne granty udelené organizácii.

Podľa Euractivu, ktorý cituje informácie z Financial Times, Európska komisia vybavuje svojich zamestnancov vyslaných do Spojených štátov jednorazovými telefónmi kvôli obavám zo sledovania. „Nové usmernenia vydané exekutívou EÚ, ktoré tiež odporúčajú používanie základných notebookov pri cestovaní do USA, sú podobné usmerneniam pre cesty na Ukrajinu alebo do Číny. Všetkým zamestnancom sa odporúča, aby si pri vstupe do krajiny vypli zariadenia a umiestnili ich do špeciálneho vrecka proti špionáži.“

CNN informuje, že Trumpova administratíva s pomocou spoločnosti Palantir vytvára „všeobecnú databázu na urýchlenie presadzovania imigračných predpisov a deportácií kombináciou citlivých údajov z celej federálnej vlády“, vytváraním „zoznamov cieľových osôb“ a zatýkaním cielených osôb. Server Wired predtým informoval, že „DOGE zhromažďuje imigračné databázy z celého Ministerstva vnútornej bezpečnosti (DHS) a sťahuje údaje z externých agentúr vrátane Správy sociálneho zabezpečenia (SSA), ako aj záznamy o hlasovaní“, ktoré sú údajne hostované na softvéri vyvinutom spoločnosťou Palantir.