Evropská komise loni na podzim přišla s novým legislativním balíčkem „Digitální Omnibus“, který má novelizovat řadu digitálněprávních předpisů a mimo jiné slibuje i zjednodušení pravidel pro nakládání s osobními údaji, povinnosti správců dat a využívání dat pro umělou inteligenci.
Pod povrchem líbivých změn, bojujících s byrokracií, se však skrývá radikální zásah do samotné podstaty GDPR. Co přesně tento nový balíček mění pro běžného obyvatele České republiky, pro e-shopy a vaše data?
Strategický obrat na digitálním rozcestí
Evropská unie se ocitá v kritickém bodě. Po letech, kdy globálně dominovala v oblasti regulací digitálního prostoru, fenomén často označovaný jako tzv. „Brussels Effect“, dochází k významnému převratu. Legislativní balíček Digitální Omnibus neznamená pouze technické novelizace stávající legislativy, jako jsou GDPR, ePrivacy a Aktu o umělé inteligenci (AI Act). Tento návrh představuje změnu samotného filozofického přístupu k těmto právním předpisům.
Digitální Omnibus vznikl jako reakce na ekonomickou úzkost Evropy vyvolanou Draghiho zprávou. Bývalý prezident Evropské centrální banky Mario Draghi v roce 2024 předložil zprávu o budoucnosti evropské konkurenceschopnosti. Ta mimo jiné popisuje výrazně zaostávající produktivitu Evropské unie. Věnuje se srovnávání evropské reality se Spojenými státy a Čínou, dvěma největšími současnými konkurenty na digitálním trhu.
Jeden z důvodů, proč se Evropské unii podle Draghiho tak nedaří, je i tzv. regulační houština, která se rozšířila v posledních letech. Mezitím, co se v USA přijalo mezi lety 2019 a 2024 okolo 3 500 federálních regulací, v EU jich bylo přes 13 000. V takovém prostředí neustálého kontrolování a zavádění nových pravidel je pro firmy náročné být inovačními lídry.
Draghi proto varoval, že v EU musí dojít k legislativnímu zjednodušení, jinak se bude její ekonomické zaostávání jen prohlubovat. Na tento apel reagovala Evropská komise právě Digitálním Omnibusem. Zaměřila se na změny, které do roku 2029 mají snížit administrativní zátěž pro firmy o 25–35%. Dosáhnutí takového cíle by podle plánu pro evropské technologické firmy mělo znamenat lepší konkurenceschopnost a umožnit dlouhodobého konkurování globálním gigantům.
K návrhu Digitálního Omnibusu byla v lednu 2026 zveřejněna verze 2.0 detailní analýzy změn v GDPR a ePrivacy rakouskou digitálněprávní neziskovkou noyb, která obsahuje nové komentáře a doporučení zejména pro evropské zákonodárce, jak se k jednotlivým částem návrhu postavit. Tento dokument poskytuje zajímavé pohledy na navrhované změny a jejich praktické dopady, které budou dále rozebírány.
Revoluční změna v definici: Kdy jsou data považována za „osobní“ a kdy už ne?
Kontroverzní částí balíčku jsou zásahy do GDPR, evropské regulace sloužící k ochraně osobních údajů. Ta vznikla jako reakce na historické zkušenosti z období totalitních režimů 20. století, které zneužívaly seznamy občanů ke kontrole a perzekuci. Řídí se myšlenkou, že soukromí je základní lidské právo.
Doposud jsme zažívali tzv. absolutní ochranu. Pokud bylo možné, aby kdokoliv teoreticky mohl spojit data s konkrétní osobou, byla považována za „osobní“, bez ohledu na to, kdo je právě zpracovává. Tento princip si lze představit na jednoduchém příkladu. Vaše chytré hodinky odesílají výrobci data o tepu. Kromě tepových záznamů data neobsahují vaše jméno, jen unikátní kód zařízení. V případě, že byly hodinky zakoupeny v běžné prodejně, výrobce jméno nezná. Prodejce však ví, komu konkrétní zařízení s unikátním kódem patří. Podle dosavadního výkladu by data o tepu osobním údajem byla i pro výrobce, přestože on sám neměl „klíč“ ke jménu. Stačilo, že existovala teoretická možnost spojení dat s konkrétním jménem. Takový přístup nutil všechny v řetězci chovat se k takovým datům s maximální opatrností.
Digitální Omnibus zavádí tzv. relativní (subjektivní) přístup, který klasifikuje data pouze z pohledu toho, kdo je drží. Informace není osobním údajem, pokud správce nemá k dispozici „přiměřené prostředky”, aby osobu identifikoval. Když se vrátíme k příkladu s hodinkami, výrobce nyní může říct, že k databázi jmen od prodejce nemá přístup, ani se k ní nemůže dostat a údaje o tepové frekvenci jsou pro něho tím pádem jen anonymní identifikátory. Z jeho pohledu tedy nejde o osobní údaje a GDPR se na něj nevztahuje.
Riziko anonymizačního divadla
Rozšíření definice se setkává se silnou kritikou ochránců digitální svobody, kteří varují před vznikem tzv. anonymizačního divadla. Situace, kdy data zdánlivě neškodně putují z jedné firmy, která od vás data získává, k firmě jiné. Ta data zpracuje, vytěží a pošle je třeba zas dál.
V době umělé inteligence je nicméně re-identifikace člověka i bez jména velice snadná. Své by o tom mohla říci třeba společnost Avast, která za nedůslednou anonymizaci osobních údajů klientů předávaných své dceřinné společnosti obdržela od českého Úřadu pro ochranu osobních údajů rekordní pokutu za porušení GDPR (byť po zásahu soudu bude její výše znovu posuzována).
Stačí si často spojit pár informací, jako například bodů polohy, historie nákupů nebo styl psaní, a AI osobu dokáže identifikovat. Relativní přístup toto riziko ignoruje a snižuje tím úroveň ochrany uživatelů. Pokud firma momentálně klíč nemá, zákon ji nepovažuje za správce osobních údajů, přestože se k tomu klíči může jednoduše dostat i v budoucnosti.
Cookies: Konec lišt a zároveň konec internetu zdarma?
Dlouho očekávané změny přicházejí i do oblasti cookies lišt. Pro většinu jde jen o bezvýznamné otravné okénko. V praxi však cookies nejsou jen o tom, že si e-shop je schopný zapamatovat váš košík. Sledovací cookies třetích stran umožňují vytvořit velice detailní behaviorální profil uživatele pouze na základě obsahu hledání a prohlížení. Nejen že získané informace mohou organizace využívat pro personifikovanou reklamou, ale data lze zneužít i například k politické manipulaci.
Na okénka s možnostmi „Souhlasím“, „Odmítnout“ a „Nastavení“ člověk naráží na internetu neustále. Místo skutečného rozhodování o tom, co se stane s jejich údaji, nás systém spíše naučil klikat na cokoliv, jen aby lišta zmizela. Evropská komise si je fenoménu „consent fatigue“ (únava ze souhlasu) vědoma, a proto přichází s velice radikálním řešením.
Digitální Omnibus zavádí reformou ePrivacy legislativy pravidlo, kdy po jednom odmítnutí cookies se web nesmí opakovaně ptát na souhlas znovu po dobu minimálně šesti měsíců. S tím přichází i povinnost respektovat automatizované signály z prohlížeče, jako „Do Not Track“ nebo „Global Privacy Control“, což by mohlo znamenat, že se lišta nebude zobrazovat vůbec, protože to prohlížeč vyřeší sám za vás.
Na první pohled nové pravidlo možná vypadá jako ráj pro uživatele. Pro vydavatele a mediální organizace však přinese negativní dopady, které se nakonec dotknou i nás jako samotných uživatelů. Jejich byznys modely stojí na cílené reklamě, která při jednoduchém trvalém odmítnutí cookies nebude nadále fungovat tak dobře, což pomalu ale jistě začne ovlivňovat jejich příjmy. Proto lze očekávat silný nárůst režimů tzv. „Pay or Okay“ (zaplať, nebo souhlas). Jde o systém, kdy web dává na výběr mezi zaplacením předplatného bez sledování, nebo souhlas se sledováním a pak je přístup „zdarma“, respektive výměnou za osobní údaje. Soukromí se tak pomalu stane luxusní záležitostí omezenou jen pro ty, kteří si mohou digitální klid a anonymitu koupit. Kdo na to finance nemá, bude muset zaplatit svými osobními daty.
Umělá inteligence a vaše data: Konec souhlasu
Evropa se chce stát velmocí v AI. K tomu však potřebuje data, aby se AI mohla učit, ať už jde o texty, obrázky, nebo zvuky. Doposud se velké technologické firmy, jako například Meta a Google, potýkaly s problémem získání explicitního souhlasu od milionů uživatelů. Zároveň spoléhat se na užívání dat bez souhlasu v rámci „oprávněného zájmu“ bylo právně riskantní, s rizikem velkých pokut. Byť je pravda, že pohyb v takto nejistých právních vodách je pro tyto firmy poměrně běžným způsobem fungování, jak ostatně ukazuje množství i výše sankcí, které na ně po celém světě opakovaně míří, navrhované změny jim jistě proti srsti nejsou.
Digitální Omnibus přichází nově s klíčovou změnou. Nově do GDPR vkládá článek 88c, který stvrzuje, že „zpracování osobních údajů pro vývoj a trénování AI systémů je oprávněným zájmem“. Tento nový článek mění původní systém „opt-in“, kdy se firma musela ptát na souhlas, na „opt-out“, který umožňuje firmám používat data automaticky, s možností následného explicitního nesouhlasu uživatele.
Pro běžného člověka to znamená, že jeho fotky zveřejněné na sociálních sítích, blogové příspěvky nebo veřejné komentáře mohou být využity k trénování nových modelů AI, bez toho, aby se kdokoli na souhlas musel ptát.
V případě přijetí tohoto nového článku mají uživatelé stále právo se ozvat a vyloženě nesouhlasit s využíváním jejich dat. V praxi tato námitka ale naráží na kritické technické limity. Když se AI model naučí tvořit fotky obličejů na základě vašich portrétů, tato informace se stává drobnou součástí komplexní neuronové sítě.
Je to stejné jako zamíchané vajíčko do upečeného dortu, už ho zpět nevyndáte. Když po nějaké době uživatel zažádá o vymazání svých dat, firma není schopna to udělat bez toho, aby v podstatě smazala celý AI model. Omnibus sice mluví o technických opatřeních, ale je na místě se obávat, že právo žádat o vymazání dat se v éře AI stane spíše nevymahatelnou iluzí.
Náhodné zpracování dat nejen o vašem zdraví?
Možná ještě kontroverznější téma je přístup k citlivým údajům, jako je zdraví, politické preference a náboženství. Omnibus zavádí výjimku pro „nahodilé zpracování“. Pokud firma stahuje data z internetu a dostane se i třeba k vaší diskuzi na fóru o zdravotních potížích, využití těchto dat nebude považováno za porušení GDPR, pokud firma bude schopna poskytnout informace, že měla nastavené filtry, stáhnutí vzniklo „nahodile“ a smazání dat by bylo „nepřiměřené“. Tím vzniká velké riziko zneužívání této výjimky firmami k sběru i těch nejintimnějších informací.
Žádost o přístup k datům už nebude tak jednoduchá
GDPR poskytuje občanům velice důležité a mocné právo žádosti o přístup k osobním údajům (DSAR). Kdokoliv se může zeptat banky, operátora nebo zaměstnavatele co o něm ví a oni musí bez jakýchkoliv poplatků poskytnout odpověď. Firmy si však dlouhodobě stěžují, že toto právo bývá zneužíváno. Zaměstnanci ho například používají jako páku při výpovědích, nebo dlužníci jím zahlcují banky, aby zdrželi exekuce.
V reakci na tyto stížnosti Digitální Omnibus firmám nově nabízí možnost se bránit. Žádosti o přístup k osobním údajům budou moct být odmítnuty nebo zpoplatněny. Může se tak stát v případech, kdy budou vyhodnoceny jako zjevně nedůvodné, nepřiměřené (např. opakující se), nebo motivované postranními úmysly (např. k získání důkazů pro soudní spor).
I když se tyto podmínky zdají být férové, ve výsledku zůstává nezodpovězená otázka, kdo rozhodne, co je „postranní úmysl“, nebo co je přesná definice „přiměřené“ žádosti. Břemeno dokazování se tak přesouvá na občana a právo „vědět“ se mění na právo „vědět, pokud to firmu neobtěžuje“.
Hlášení úniků dat: Nově méně papírování, ale zároveň méně bezpečí?
Hlášení bezpečnostních incidentů je další oblastí výrazných změn. Momentálně, když dojde k téměř jakémukoli úniku dat, firma musí incident ohlásit Úřadu pro ochranu osobních údajů do 72 hodin, pokud to představuje riziko. Ve výsledku jsou úřady chránící data zahlceny hlášeními o ztracených flashkách nebo poslaných e-mailech na špatnou adresu.
Omnibus v rámci snahy o odlehčení byrokracie práh na hlášené incidenty zvyšuje. Hlásit se nově budou jen případy s „pravděpodobně vysokým rizikem“ v prodloužené lhůtě 96 hodin. ÚOOÚ tak nebude zahlcen a bude mít prostor se detailněji zaobírat velkými kauzami. Taková změna s sebou nese ale i svá negativa. Firmy budou mít tendenci incidenty bagatelizovat, aby předešly administrativním krokům a případným problémům. Ve výsledku se člověk o úniku svých dat může dozvědět se zpožděním, nebo dokonce nikdy.
Co nás čeká dál
Digitální Omnibus 2025 představuje zásadní pragmatický krok, který změní chápání soukromí jak se k němu staví legislativa dnes. Evropa se podle všeho rozhodla, že musí uvolnit regulace digitálního soukromí, aby mohla zachránit konkurenceschopnost své digitální ekonomiky. Firmy a e-shopy si tak uleví, protože se budou potýkat s menším množstvím administrativy, jasnějšími pravidly pro AI a likvidační pokuty za drobné chyby už pro ně nebudou takovým strašákem. Budou se radovat samozřejmě i velké,zejména americké technologické firmy, které budou moci bez výraznějších omezení využívat internetový obsah k trénování svých AI modelů.
Pro nás jako občany, to znamená novou éru, kdy jsme si za naše soukromí mnohem odpovědnější sami. Ochrana soukromí přestává být státem automaticky zaručeným štítem, ale stává se něčím, o co se aktivně budeme muset starat. Důslednější využívání možností „opt-out”, pečlivější zvažování sdílení osobních dat a smíření s čím dál tím častějšími poplatky za soukromí na internetu se stanou naší každodenní realitou.
Aktuálně je Omnibus stále v legislativním procesu a není tak definitivní v jaké podobě bude schválen. Ať už to ale s Omnibusem dopadne jakkoli, je to jen další důkaz toho, že sdílení osobních informací je prostě rizikové vždy. I pokud všichni dodržují platná pravidla, nikdy nevíme, kdy se tato pravidla mohou změnit a firma, která ještě včera naše data chránila, s nimi teď bude moci zcela legálně, například kvůli změněné definici osobního údaje, nakládat způsobem, který sama uzná za vhodný.
Údaje zveřejněné na internetu, které dosud nikdo nemohl bez našeho souhlasu legálně použít, se tak mohou zcela legálně a nevratně stát součástí velkých AI modelů, podobně jako jsou vajíčka součástí dortu. Nepřekvapivě se už ale příliš neřeší, za kolik nám jednou někdo kousek dortu upečeného z našich vajíček prodá zpět. I zde je totiž zjevné, že nás čeká postupná degradace, nebo, řečeno slovy Coryho Doctorowa „enshittifikace” služeb, a klábosení s AI chatbotem či tvorba legračních obrázků nebude věčně zadarmo.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU