Právny prehľad č. 89 – november 2025. 

 

Zjednodušenie európskych digitálnych pravidiel: čo môžeme očakávať?

Ako ďaleko zájde Európska komisia vo svojom úsilí zjednodušiť európsky legislatívny rámec?

Od zverejnenia Draghiho správy v septembri 2024 a v turbulentnom medzinárodnom hospodárskom kontexte európska exekutíva znásobuje opatrenia v prospech priemyslu.

Nedávne zverejnenie balíka „Digitálny omnibus“ má uistiť súkromný sektor o právnych obmedzeniach v digitálnom sektore, čo je zdesenie občianskej spoločnosti, ktorá sa obáva bezprecedentného narušenia základných práv.

Komisia 19. novembra oficiálne zverejnila dva návrhy, „Digitálny omnibus“ a „Digitálny omnibus o umelej inteligencii“, a spustila hodnotenie digitálnych zručností.

Návrh týkajúci sa digitálnych technológií zavádza zmeny v GDPR aj v nariadení o umelej inteligencii, ako aj v smernici o elektronickom súkromí. Text je rozsiahly, tu sú niektoré kľúčové body.

• • Pokiaľ ide o smernicu o súkromí a elektronických komunikáciách,

Komisia navrhuje najmä zmeny v politike používania súborov cookie. Cieľom je znížiť počet zobrazení bannerov a umožniť používateľom udeliť súhlas jediným kliknutím a uložiť si svoje preferencie prostredníctvom centrálnych nastavení svojich prehliadačov a operačných systémov. Toto ustanovenie patrí medzi najmenej sporné.

Text tiež stanovuje jednotné rozhranie na podávanie správ, ktoré spoločnostiam umožní splniť všetky svoje povinnosti týkajúce sa oznamovania incidentov prostredníctvom jedného zabezpečeného portálu s cieľom zjednodušiť konkurenčné povinnosti smernice NIS2, GDPR a nariadenia o digitálnej operačnej odolnosti.

Pre malé a stredné podniky a malé a stredné podniky sa plánuje uvoľnenie právnych povinností týkajúcich sa dokumentácie, sankcií a pravidiel prechodu na iné cloudové služby.

• • Pokiaľ ide o GDPR,

Návrh obmedzuje definíciu osobných údajov zavedením subjektívneho prístupu k identifikovateľnosti údajov, čo by mohlo vylúčiť určité pseudonymné údaje alebo identifikačné čísla z rozsahu pôsobnosti nariadenia.

Definícia citlivých údajov by sa upravila tak, aby sa týkala iba tých, ktoré „priamo“ odhaľujú informácie týkajúce sa zdravia, rasového pôvodu atď., s rizikom vylúčenia tých, ktoré by sa dali odvodiť napríklad algoritmom.

Návrh sa tiež snaží obmedziť právo jednotlivcov žiadať o prístup k svojim údajom iba na „účely ochrany údajov“.

Nová definícia „vedeckého výskumu“ by mohla viesť aj k rozsiahlym výnimkám z GDPR v prospech súkromného sektora: „akýkoľvek výskum, ktorý pravdepodobne podporí inovácie, ako je technologický rozvoj a demonštrácie“, by tak mohol byť oslobodený od povinností informovania a obmedzenia účelu.

Návrh zahŕňa zmeny uľahčujúce automatizované rozhodovanie a umožňujúce používanie osobných údajov na trénovanie a prevádzku systémov umelej inteligencie na základe oprávneného záujmu.

Text tiež stanovuje šesťmesačné prechodné obdobie pre článok 50 ods. 2 nariadenia o umelej inteligencii (povinnosti transparentnosti).

Digitálny súhrnný balík zostáva otvorený na pripomienkovanie počas ôsmich týždňov, pričom sa lehota denne predlžuje, kým nebude návrh k dispozícii vo všetkých jazykoch EÚ, v súčasnosti do 29. januára 2026.

Návrh sa potom bude riadiť bežnými legislatívnymi postupmi EÚ v Európskom parlamente a Rade, kde bude určite predmetom živej diskusie.

Pokiaľ ide o GDPR konkrétnejšie, niektoré krajiny sú otvorené preskúmaniu návrhov Komisie, zatiaľ čo iné, vrátane Slovinska, Estónska a Rakúska, už uviedli, že podľa ich názoru GDPR „v súčasnosti nevyžaduje žiadne ďalšie zmeny“.

Súčasťou procesu budú aj názory Európskeho výboru pre ochranu údajov a Európskeho dozorného úradníka pre ochranu údajov, pričom sa očakáva, že dve stanoviská, hoci nie sú záväzné, ovplyvnia ďalšie diskusie.

 

Po úvodnej správe, ktorá hodnotila, či sú Francúzi ochotní platiť za online služby bez cielenej reklamy, CNIL 17. novembra zverejnila druhú časť týkajúcu sa postoja Francúzov k monetizácii ich dát.

65 % respondentov (%) uviedlo, že sú ochotní predať svoje údaje. Najčastejšie uvádzané ocenenie bolo medzi 10 a 30 eurami mesačne, čo preferovalo 28 % týchto respondentov (%).

Na druhej strane 35 % jednotlivcov si neželá predávať svoje údaje za akúkoľvek cenu, čím vyjadruje zásadné odmietnutie monetizácie osobných údajov.

V tejto súvislosti CNIL poukazuje na to, že hoci je možné previesť právo na používanie vlastných údajov, „prax „speňaženia“ osobných údajov v zmysle prevodu vlastníckych práv k nim nie je v súčasnom právnom rámci možná, pretože sa nemožno vzdať svojich práv na svoje údaje.“

Dňa 20. novembra 2025 uložila CNIL francúzskej spoločnosti Conde Nast Publications pokutu 750 000 eur za nedodržanie platných pravidiel týkajúcich sa súborov cookie umiestnených na termináloch používateľov navštevujúcich webovú stránku „vanityfair.fr“.

Spoločnosť už v roku 2019 dostala formálne upozornenie na základe sťažnosti združenia Noyb, no nevyhovela mu.

Pokuta zohľadňuje nedostatočnú reakciu spoločnosti, počet zúčastnených osôb a rôzne nedostatky: nezískanie súhlasu, neinformovanie používateľov a zlyhanie mechanizmov na odmietnutie a odvolanie súhlasu.

Dňa 27. novembra 2025 CNIL uložila spoločnosti American Express Carte France pokutu vo výške 1,5 milióna eur za nedodržiavanie platných pravidiel týkajúcich sa súborov cookie.

Dňa 26. novembra zverejnila ANSSI správu týkajúcu sa stavu hrozby pre mobilné telefóny.

Správa zdôrazňuje zneužívanie zraniteľností útočníkmi, ktoré môžu byť zamerané na siete, operačný systém alebo aplikácie, a identifikuje konkrétnu hrozbu: špionážne a sledovacie operácie vykonávané štátnymi aktérmi.

Mobilné telefóny sú tiež hlavným cieľom kyberzločincov, ktorým sa ich zneužitím darí kradnúť peniaze od svojich obetí.

Mobilné telefóny sa tiež zneužívajú na súkromné sledovanie alebo destabilizačné operácie.

Správa tiež poskytuje bezpečnostné odporúčania pre používateľov.

Patrí sem pravidelné vypínanie a opätovné zapínanie telefónu bez použitia funkcie reštartu, neklikanie na odkazy ani neotváranie súborov v nevyžiadaných správach, ostražitosť pri otváraní odkazov prenášaných prostredníctvom QR kódov, inštalácia aktualizácií operačného systému, deaktivácia rozhraní Wi-Fi a Bluetooth, keď sa nepoužívajú, a vyhýbanie sa pripájaniu k verejným sieťam Wi-Fi.

 

Európske inštitúcie a orgány

Zástupcovia členských štátov EÚ sa 26. novembra dohodli na pozícii Rady k nariadeniu zameranému na prevenciu a boj proti sexuálnemu zneužívaniu detí.

Cieľom textu je uložiť spoločnostiam v digitálnom sektore povinnosť predchádzať šíreniu detskej pornografie a navádzaniu detí na sexuálne aktivity.

Príslušné vnútroštátne orgány budú mať právomoc prinútiť spoločnosti odstrániť a zablokovať prístup k určitému obsahu alebo v prípade vyhľadávačov odstrániť určité výsledky vyhľadávania.

Nariadenie tiež ustanovuje vytvorenie novej európskej agentúry, Európskeho centra pre detskú pornografiu, ktorej úlohou bude pomáhať členským štátom a poskytovateľom online služieb pri implementácii tohto zákona.

Rada si tiež želá, aby sa v súčasnosti dočasné opatrenie, ktoré umožňuje spoločnostiam dobrovoľne kontrolovať svoje služby na prípady sexuálneho zneužívania detí, stalo trvalým.

Hoci je text menej rušivý ako jeho predchádzajúca verzia, jeho kritici ho stále považujú za útok na šifrovanie medzi koncovými bodmi a dôvernosť komunikácie.

Projekt je ešte potrebné prediskutovať v rámci trialógov s Komisiou a Európskym parlamentom.

Európska komisia 5. decembra udelila spoločnosti X pokutu 120 miliónov eur za nesplnenie povinností týkajúcich sa transparentnosti podľa zákona o digitálnych službách (DSA).

Medzi nedostatky patrí zavádzajúci dizajn „modrej validácie“ pre overené účty, nedostatočná transparentnosť v reklamnom adresári a neposkytnutie výskumníkom prístupu k verejným údajom.

Súdny dvor Európskej únie vo svojom rozhodnutí vo veci Russ media z 2. decembra rozhodol, že vydavateľ na trhovisku je zodpovedný za spracovanie reklám zverejnených na svojej platforme a pred zverejnením musí skontrolovať, či obsahujú citlivé údaje a či je ich spracovanie v súlade s GDPR.

1/ Prevádzkovateľ trhoviska je zodpovedný za spracovanie zverejnených reklám: túto klasifikáciu zo strany Súdneho dvora EÚ odôvodňuje niekoľko prvkov:

• Reklama je dostupná iba online kvôli službe poskytovanej platformou.
• Vydavateľ sleduje svoj vlastný účel, najmä komerčný a reklamný, a neobmedzuje sa len na technické služby.
• Určuje základné prostriedky: prezentáciu, trvanie online uverejňovania, sekcie, klasifikáciu, metódy distribúcie.
• Prevádzkovateľ a inzerent sú teda spoločne zodpovední za spracovanie vykonané na základe reklám.

2/ Ako prevádzkovateľ údajov musí prevádzkovateľ identifikovať potenciálne riziká spracovania údajov a zaviesť opatrenia a záruky primerané identifikovanému riziku: Súdny dvor EÚ uvádza, že prevádzkovateľ musí v predchádzajúcom štádiu:

• Zistite, či reklama obsahuje citlivé údaje.
• Overte, či sa tieto údaje týkajú inzerenta alebo či má inzerent výnimku, najmä výslovný súhlas dotknutej osoby.
• Ak tieto podmienky nie sú splnené, odmietnite zverejnenie.

V rámci svojich bezpečnostných povinností musí prevádzkovateľ zaviesť aj opatrenia na obmedzenie nelegálneho kopírovania a reprodukcie reklám obsahujúcich citlivé údaje.

Súdny dvor EÚ 20. novembra rozhodol vo veci Policejní prezidium o postupoch českej polície pri zhromažďovaní a neobmedzenom uchovávaní biometrických a genetických údajov všetkých osôb podozrivých zo spáchania úmyselných trestných činov.

Cieľom bolo určiť, či európska smernica o „polícii“ vyžaduje individuálne posúdenie potreby uchovávania údajov, či sú povolené neobmedzené doby uchovávania a aké právne záruky by mali upravovať spracovanie týchto citlivých údajov.

Súdny dvor v zásade nekonštatuje zákaz, ale ukladá súbor podmienok: prevádzkovateľ musí dodržiavať všetky zásady a špecifické požiadavky platné pre spracovanie citlivých údajov a vnútroštátne právne predpisy musia stanoviť primerané lehoty na pravidelné preskúmanie prísnej nevyhnutnosti uchovávania týchto údajov.

Agentúra Európskej únie pre základné práva zverejnila 4. decembra správu, ktorá sa zaoberá ochranou základných práv pri používaní umelej inteligencie vo vysoko rizikových oblastiach. Poukazuje na nedostatočné povedomie o týchto právach.

 

Správy z členských krajín Európskej únie.

Viedenský regionálny súd pre občianske veci rozhodol, že žaloba proti prevádzkovateľovi údajov, ktorý nie je usadený v EÚ, musí byť doručená prevádzkovateľovi, a nie jeho zástupcovi v EÚ.

Oznámenie zástupcovi podľa článku 27 GDPR nie je postačujúce, pokiaľ túto možnosť nestanovuje vnútroštátne procesné právo.

Chorvátsky úrad pre ochranu údajov (APD) uložil 14. novembra telekomunikačnému operátorovi v jeho funkcii prevádzkovateľa údajov administratívnu pokutu v celkovej výške 4 500 000,00 EUR za prenos osobných údajov do tretej krajiny v rozpore s GDPR.

Prevod na srbského subdodávateľa sa uskutočnil bez platného právneho základu a bez transparentného informovania dotknutých osôb, spracovanie kópií občianskych preukazov a výpisov z registra trestov zamestnancov bez právneho základu a bez primeraných predchádzajúcich kontrol subdodávateľa.

Medzinárodná univerzita vo Valencii v Španielsku dostala pokutu 750 000 eur za používanie rozpoznávania tváre a umelej inteligencie na identifikáciu účastníkov skúšok bez riadneho právneho základu.

Aj v Španielsku APD uložil lekárskej klinike pokutu 30 000 eur za porušenie článku 5(1)(f) GDPR zverejnením telefónnych čísel a zdravotných údajov približne 90 klientov v skupine WhatsApp bez predchádzajúceho súhlasu a bez primeraných opatrení na ochranu dôvernosti.

Súd priznal 87 španielskym mediálnym spoločnostiam odškodné vo výške viac ako 480 000 000 eur po tom, čo dospel k záveru, že spoločnosť Meta nezákonne použila osobné údaje zhromaždené na svojich sociálnych sieťach na vytvorenie podrobných používateľských profilov a ponúkanie efektívnejšej personalizovanej reklamy ako jej konkurenti, čím získala nekalú konkurenčnú výhodu.

Súd usúdil, že spracovanie osobných údajov je kľúčovým konkurenčným faktorom v digitálnej ekonomike a že porušenia GDPR môžu predstavovať nekalú hospodársku súťaž, ak poskytujú významnú výhodu.

Taliansky úrad na ochranu údajov (APD) udelil provincii Bolzano pokutu 32 000 eur za nelegálne prevádzkovanie siete kamier na monitorovanie dopravy. Provincia nemala platný právny základ na spracovanie osobných údajov, najmä evidenčných čísel vozidiel.

 

V Spojenom kráľovstve 73 akademikov, právnikov, expertov na ochranu údajov a mimovládnych organizácií listom adresovaným Dolnej snemovni vyzvalo na prešetrenie britského úradu na ochranu údajov (ICO) po tom, čo označili za „kolaps opatrení na presadzovanie práva“, najmä po škandále s únikom údajov v Afganistane.

Varujú pred „hlbšími štrukturálnymi zlyhaniami“ nad rámec tohto úniku údajov.

Išlo o obzvlášť závažný únik informácií týkajúcich sa Afgancov, ktorí spolupracovali s britskými silami predtým, ako Taliban v auguste 2021 prevzal kontrolu nad krajinou, čím boli ohrozené životy 100 000 ľudí, ktorých mená zverejnilo ministerstvo obrany.

Úrad pre medzinárodný obchod (ICO) je kritizovaný za to, že napriek opakovaným nedostatkom nezačal formálne súdne konanie proti ministerstvu. 

V Argentíne niektoré súdy v posledných mesiacoch rozhodli o používaní umelej inteligencie v podaniach a podaniach právnikov.

Prípady sa týkali právnikov, ktorí uvádzali citáty z judikatúry, ktoré sa ukázali byť nepravdivé alebo nepresné kvôli halucináciám umelej inteligencie.

Rovnako ako najmä v Spojených štátoch, aj argentínske súdy začínajú posudzovať rozsah profesionálnej zodpovednosti právnikov: aj keď konajú v dobrej viere, predkladanie podaní, ktoré citujú neexistujúcu judikatúru, podkopáva základné princípy profesie vrátane čestnosti, lojality a úprimnosti, ako sú stanovené v etických kódexoch rôznych argentínskych jurisdikcií.

V konkrétnych skúmaných prípadoch sa súdy rozhodli neuložiť právnikom priame sankcie.

Napriek tomu považovali za vhodné informovať miestne advokátske komory s cieľom zvýšiť povedomie o rizikách a zodpovednostiach spojených s používaním umelej inteligencie a podporiť širšiu diskusiu o zodpovednom používaní umelej inteligencie v právnej praxi.

Austrálska vláda je najnovšou vládou, ktorá predstavila plán pre umelú inteligenciu.

Po zvážení stratégie zameranej na bezpečnosť sa vláda nakoniec rozhodla klásť dôraz na investície a ekonomiku.

Namiesto zavedenia povinných ochranných opatrení vo vysoko rizikových prostrediach bude Austrália stavať „na existujúcich robustných právnych a regulačných rámcoch“.

Národný plán oznámený 2. decembra si kladie za cieľ posilniť reputáciu Austrálie ako investičnej lokality do umelej inteligencie a presadzuje ciele pre rozsiahle využívanie umelej inteligencie v celej krajine, a najmä vo verejných službách.

Taktiež opisuje úlohu Inštitútu pre bezpečnosť umelej inteligencie (AI Security Institute) pri testovaní a zdieľaní informácií o schopnostiach, rizikách a nebezpečenstvách umelej inteligencie.

Aj v Austrálii deti a tínedžeri mladší ako 16 rokov nebudú môcť od 10. decembra používať sociálne siete.

Platformy sú povinné implementovať opatrenia na overenie veku.

Nedodržanie tejto povinnosti môže viesť k pokutám až do výšky 28 miliónov eur.

Tento zákaz by mohli nasledovať ďalšie: 26. novembra Európsky parlament vyzval na stanovenie minimálneho veku 16 rokov v celej Európskej únii pre sociálne siete, platformy na zdieľanie videí a asistentov s umelou inteligenciou, pričom by sa prístup povolil aj 13 až 16-ročným so súhlasom rodičov.

Poslanci Európskeho parlamentu síce vyjadrujú podporu Komisii v súvislosti s európskou aplikáciou na overovanie veku a európskou peňaženkou digitálnej identity (eID), ale zároveň trvajú na tom, že systémy overovania veku musia chrániť súkromie maloletých.

V Spojených štátoch zostávajú vo Federálnej obchodnej komisii (FTC) už len dvaja z piatich komisárov.

Tretiu rezignáciu, a to Melissy Holyoakovej, Federálna obchodná komisia (FTC) skutočne oznámila 17. novembra 2025.

Táto rezignácia nasleduje po tom, čo prezident Trump odvolal dvoch demokratických komisárov, čím zostali na miestach už len dvaja republikánski komisári.

Najvyšší súd sa touto záležitosťou zaoberá a jeho rozhodnutie by mohlo mať širšie dôsledky pre právomoci prezidenta nad nezávislými agentúrami.           

Cestujúci z krajín ako Veľká Británia, Francúzsko alebo Južná Kórea, teda krajín oprávnených na program bezvízového styku s USA, sa budú možno čoskoro musieť podrobiť preskúmaniu svojej aktivity na sociálnych sieťach za posledných päť rokov, uvádza sa v návrhu, ktorý 9. decembra predložila colná a hraničná ochrana USA (CBP).

CBP tiež plánuje požiadať žiadateľov o dlhý zoznam osobných údajov vrátane ich e-mailových adries za posledných desať rokov, ako aj mená, dátumy narodenia, miesta bydliska a miesta narodenia ich rodičov, manželov/manželiek, bratov, sestier a detí.

Indické ministerstvo elektroniky a informačných technológií 13. novembra 2025 vydalo vykonávacie predpisy k zákonu o ochrane digitálnych osobných údajov z roku 2023.

Podľa firmy Nishith Desai Associates špecifikujú požiadavky na transparentnosť, súhlas a registráciu, oznamovacie povinnosti v prípade porušenia ochrany údajov, práva dotknutých osôb a podrobnosti týkajúce sa Indickej rady pre ochranu údajov.