Odebírat Daňovky
En
Zpět na výpis
2. 3. 2026 2. 3. 2026

Digitální omnibus a GDPR: chystané změny v ochraně osobních údajů

Právo
Tomáš Kočař tkocar@kpmg.cz   
Sabina Tichá sticha@kpmg.cz   
Alžběta Kafková akafkova@kpmg.cz   

Rozsáhlý digitální balíček (tzv. digital omnibus), který v listopadu 2025 představila Evropská komise, se zaměřuje na změny digitálních právních předpisů v oblasti ochrany a zpracování dat, kybernetické bezpečnosti a umělé inteligence. Významně zasáhnout by měl také do ochrany osobních údajů (GDPR). Představujeme přehled klíčových oblastí, kterých se připravované změny mohou dotknout.

Navrhované úpravy směřují především k vyjasnění a zjednodušení pravidel, aby adresátům i orgánům veřejné moci ulevily od administrativní a finanční zátěže spojené s plněním povinností. Cílem je nalézt rovnováhu mezi zachováním vysoké úrovně ochrany osobních údajů a podporou technologického rozvoje a konkurenceschopnosti podniků.
 

Kdy budou data považována za „osobní“? 

Návrh počítá se zpřesněním samotné definice osobního údaje, zejména s důrazem na „identifikovatelnost“ fyzické osoby. Informace týkající se fyzické osoby nemusí být automaticky osobním údajem pro každý subjekt jen proto, že jiný subjekt je schopen danou osobu identifikovat. Při posuzování identifikovatelnosti by se proto měly zohledňovat všechny prostředky, u nichž lze rozumně předpokládat, že budou použity k identifikaci dotčené osoby (např. dostupnost dodatečných údajů, náklady, potřebné úsilí apod.). Pro některé subjekty tak mohou určité informace představovat osobní údaje, zatímco pro jiné, které nemají k dispozici prostředky umožňující přímou či nepřímou identifikaci, povahu osobního údaje mít nemusí.
 

Právo na přístup a povinnost informovat subjekt údajů o jejich zpracování 

Zjednodušení by se mělo dotknout i některých povinností správců osobních údajů. Pokud by subjekt údajů zjevně zneužíval právo na přístup (např. podáváním nadměrně opakovaných či zjevně neopodstatněných žádostí), bude správce oprávněn žádost odmítnout nebo požadovat přiměřený poplatek. S určitými výjimkami dále nebude existovat informační povinnost správce vůči subjektu údajů, a to v situaci, kdy existují rozumné důvody se domnívat, že již příslušné informace má.
 

Příznivější podmínky pro umělou inteligenci a nové výjimky pro zpracování citlivých údajů

Zpracování osobních údajů při trénování, testování a provozu systémů umělé inteligence by nově mělo být možné na základě titulu oprávněného zájmu, jestliže není souhlas vyžadován na základě jiného předpisu. Současně se připouští zpracovávat i zvláštní kategorie osobních údajů (tzv. citlivé údaje), jestliže se pouze reziduálně vyskytují ve školících nebo testovacích datech. V každém případě však správci zůstává povinnost zajistit odpovídající ochranu dat prostřednictvím organizačních a technických opatření včetně provedení tzv. balančního testu. 

Výjimka ze zákazu zpracování citlivých údajů by se měla vztahovat i na biometrické údaje, pokud je jejich zpracování nezbytné pro ověření totožnosti subjektu údajů a současně jsou tyto údaje i prostředky k ověření výlučně pod kontrolou subjektu údajů (např. jsou uloženy v jeho zařízení).
 

Přístup k zařízení a ukládání cookies

Legislativa reaguje na fenomén „únavy ze souhlasu“, kdy jsou uživatelé zahlcováni nadměrným množstvím interaktivních prvků. Nově bude kladen důraz na uživatelskou přívětivost, provozovatelé webových stránek budou muset umožnit odmítnutí ukládání cookies jedním kliknutím a neměli by uživatele opakovaně obtěžovat žádostmi v krátkých časových intervalech. Návrh také zavádí povinnost správců webů a aplikací respektovat preference uživatelů nastavené v prohlížeči nebo aplikaci, které vyjadřují souhlas či nesouhlas s ukládáním nebo čtením informací z koncového zařízení. Současně má dojít k určitému uvolnění pravidel pro nezbytné a méně invazivní technické operace. Souhlas tak nemá být vyžadován například tehdy, je-li zpracování nezbytné pro poskytnutí služby požadované uživatelem, pro přenos elektronické komunikace, pro zabezpečení webu nebo vlastní měření návštěvnosti správcem.
 

Efektivnější oznamování porušení zabezpečení osobních údajů

Navrhuje se, aby oznamovací povinnost správce dopadala pouze na incidenty, u nichž je pravděpodobné, že povedou k vysokému riziku pro práva subjektů údajů. Lhůta pro oznámení by se současně měla prodloužit ze 72 na 96 hodin. Oznámení by měla být podávána prostřednictvím tzv. „single-entry point“, který má být zřízen na základě směrnice NIS2. Evropský sbor pro ochranu osobních údajů (EDPB) má zároveň připravit jednotnou oznamovací šablonu.
 

Závěr

Chystané změny nemění základní principy, na nichž je ochrana osobních údajů postavena. Tato oblast však vyžaduje průběžnou adaptaci na rychlý technologický vývoj i proměny digitálního prostředí. Úpravy nepřehodnocují samotný regulatorní rámec, spíše směřují ke zpřesnění a částečnému uvolnění stávajících pravidel, přičemž současně zohledňují rizika zásahu do práv a svobod subjektů údajů. Legislativní návrh digitálního omnibusu bude nyní předmětem dalšího vyjednávání na úrovni evropských institucí. Zda a v jaké podobě bude přijat, proto zatím nelze s jistotou předvídat a jeho konečné znění může doznat dalších změn.

Digitálnímu omnibusu se věnujeme i z pohledu úpravy pravidel v oblasti AI. Článek si můžete přečíst zde.

Sdílet článek
Linkedin Facebook Odeslat na e-mail

Mohlo by vás zajímat

Všechny články z kategorie Právo
3. 2. 2026 3. 2. 2026

Ukrajinští zaměstnanci v roce 2026: zvláštní dlouhodobý pobyt a nová pravidla pro pracovnělékařské prohlídky

BC VK RH Barbora Cvinerová, Vojtěch Kotora, Richard Hajdučík
27. 11. 2025 27. 11. 2025

Evidence skutečných majitelů bude od 17. prosince 2025 neveřejná

TH JYC Tomáš Hric, Ji Yun Cha
5. 1. 2026 5. 1. 2026

Nejčastější prohřešky zaměstnavatelů při rovném zacházení na pracovišti

LGT RH Lenka Gomez Tomčalová, Richard Hajdučík
1. 12. 2025 1. 12. 2025

Karel Šimka na DPF: jak komentoval judikaturu NSS k švarcsystému či převodním cenám?

JF Jana Fuksová
Všechny články z kategorie Právo