Digital Omnibus - uniknutý návrh Komisie

Po prijatí pomerne veľkého množstva nových predpisov a aktov chystá Komisia EÚ chytá "upratanie" a reformu. Určité zjednodušenie GDPR bolo už viac krát naznačené, ale nikdy nešlo o zásadné alebo výrazné zmeny. Začiatkom novembra však z Komisie unikol na verejnosť pracovný návrh nového nariadenia s názvom "Digital Omnibus for digital acquis". Tento návrh nie je finálny, avšak obsahuje aj zásadné zmeny GDPR, ePrivacy smernice, Data Governance Aktu, Data Actu, DORA, NIS2 ale aj ďalších predpisov. Medzi zmenami sú aj kontroverzné zásahy do GDPR ale aj veľmi zaujímavé a pozitívne zmeny, ktoré pomôžu nášmu regulačnému prostrediu. V tomto príspevku ich v skratke predstavíme.

Čo vlastne uniklo?

Unikol najmä rozpracovaný návrh nového nariadenia, ktorý zverejnil napr. noyb (Max Schrems). Je zrejmé, že nejde o finálny návrh, ktorý by mala Komisia predstaviť 19. novembra 2025. Mnohé časti nariadenia sú ešte nedokončené a tiež obsahuje viaceré "placeholdery" pre ďalšie zmeny. Takisto unikol dokument Rady EÚ zo 4. novembra 2025, ktorý predstavuje pozície niektorých členských štátov k tomu, ako by chceli zjednodušiť aplikáciu GDPR. Noyb veľmi ostro kritizoval návrh nového nariadenia uniknutý z Komisie a tvrdí, že nie je vôbec súladný s pozíciou členských štátov. Noyb tiež zverejnil svoju vlastnú komparatívnu tabuľku zmien. Avšak jedným dychom je potrebné dodať, že noyb sa venuje prednostne zmenám GDPR a ePrivacy smernice a zmeny ostatných predpisov bližšie nekomentoval. Tie sú však tiež veľmi podstatné.

Kontroverzné zmeny v GDPR

Medzi kontroverzné zmeny možno zaradiť:

• zúženie definície osobných údajov;

• zúženie definície osobitnej kategórie osobných údajov podľa čl. 9 GDPR;

• pridanie novej výnimky z povinnosti vybaviť žiadosti podľa čl. 12 GDPR;

• pridanie novej výnimky z informačných povinností podľa čl. 13 GDPR.

Najkontroverznejšia zmena sa týka definície osobných údajov. Navrhuje sa ponechať jej celé aktuálne znenie v čl. 4 bod 1 GDPR, ale doplniť za neho novú časť:

"Informácie týkajúce sa fyzickej osoby nie sú nevyhnutne osobnými údajmi pre každú inú osobu alebo subjekt len preto, že iný subjekt môže túto fyzickú osobu identifikovať. Informácie nie sú osobné pre daný subjekt, ak tento subjekt nemôže identifikovať fyzickú osobu, ktorej sa informácie týkajú, s prihliadnutím na prostriedky, ktoré tento subjekt môže primerane použiť. Takéto informácie sa nestávajú osobnými pre tento subjekt len preto, že následný príjemca má prostriedky, ktoré môže primerane použiť na identifikáciu fyzickej osoby, ktorej sa informácie týkajú."

Zúženie definície osobných údajov by mohlo zapríčiniť, že mnohí cloud provideri, ktorí dáta šifrujú spôsobom vyžadovaným Výborom pri cezhraničných prenosoch, by sa vyhli aplikácii GDPR. Mohli by totiž tvrdiť, že žiadne osobné údaje nespracúvajú, pretože nedržia v rukách kľúč k odomknutiu šifrovania. Komisia tiež oficiálne avizuje, že otvorením GDPR nechce znížiť ochranu osobných údajov ani oslabiť práva dotknutých osôb. Presne to však tieto zmeny robia. Súčasne, by tieto zmeny narážali na existujúcu judikatúru Súdneho dvora EÚ a zrejme aj na medzinárodnú úpravu Rady Európy. Je jasné, že pri prvom otvorení GDPR budú obrovské lobistické tlaky aj na kľúčové ustanovenia. Je však potrebné kontroverzné zmeny vnímať s určitou rezervou a pýtať sa, či by podobné zmeny prešli legislatívnym procesom. Nám sa skôr javí, že nie.

Pozitívne a zaujímavé zmeny

Omnibus nariadenie bude mať evidentne veľmi široký a prierezový charakter. Budeme mať ešte veľa času diskutovať o jeho oficiálnych návrhoch. Zatiaľ preto vyberáme len prehľadovo a v skratke 10 uniknutých zmien, ktoré sa javia byť pozitívne alebo minimálne zaujímavé pre ďalšiu diskusiu:

1. "Cookies" regulácia pod GDPR (z ePrivacy nariadenia) pri súčasnom zachovaní čl. 5 ods. 3 ePrivacy smernice pre neosobné údaje (fakticky presunutie pod GDPR);

2. Oprávnený záujem ako právny základ pre AI systémy;

3. Špecifické AI ustanovenia do GDPR;

4. Špecifické ustanovenia týkajúce sa rozhrania pre súhlasy;

5. Zoznam situácií, kedy je DPIA potrebné a kedy nie má schváliť Komisia (tie nahradia zoznamy dozorných orgánov);

6. Vzor posúdenia vplyvu (DPIA), ktorý má pripraviť Výbor a predložiť Komisii;

7. Zrušenie Data Governance Aktu a jeho presunutie pod Data Akt;

8. Zrušenie PSI (recast) smernice a jeho presunutie pod Data Akt;

9. Zrušenie nariadenia o voľnom toku neosobných údajov a jeho presunutie pod Data Akt;

10. Zavedenie spoločného rozhrania na oznamovanie incidentov podľa GDPR, NIS2, DORA, CER a Digital Identity Regulation.

Čo to znamená pre nás?

Potvrdzuje sa, čo tvrdíme už roky - že GDPR je tým všeobecným rámcovým predpisom, ktorý by mal byť v centre enforcementu celého "digitálneho acquis" EÚ. Dlhodobo apelujeme na vládu a parlament, aby sme ako krajina vynucovali GDPR spoločne s inými predpismi EÚ. Spoločne s ePrivacy smernicou, PSI a novými aktami. Nie je možné očakávať, že tieto predpisy budú popri sebe uplatňovať procesne neprepojené, samostatné, spolu nekomunikujúce a v prekrývajúcich pôsobnostiach častokrát aj neskúsené dozorné orgány. Presne k tomu však mnohé členské štáty smerujú a súčasne mnohé členské štáty (nie len Slovenská republika) absolútne nestíhajú prípravu na nástup nových digitálnych aktov. Zdá sa, že Komisia sa pokúsi tento problém vyriešiť tým, že sama rozhodne pod koho čo bude patriť a tým sa pokúsi zvrátiť katastrofu.

Ak by sa prijali tieto zmeny, výrazná časť celého regulačného rámca by sa nám presunula pod GDPR a Data Akt. A tým aj pod Úrad na ochranu osobných údajov SR ako hlavný dozorný orgán podľa GDPR. A toto je fantasticky pozitívna a dôležitá správa pre naše regulačné prostredie. Zároveň je to presne to, čo roky navrhujeme.

Ak včas zachytíme digitálny omnibus, možno nám predsa len neujde autobus.

Jakub Berthoty

V Bratislave 16. novembra 2025