V Bruselu se chystá největší úprava pravidel ochrany osobních údajů od zavedení GDPR. Návrh reformního balíčku EU Digital Omnibus – digitální omnibus počítá i se zjednodušením řady povinností pro firmy, včetně využívání osobních i citlivých údajů při trénování umělé inteligence.

Digitální omnibus chce sjednotit řadu evropských právních předpisů týkajících se digitálního světa do jedné úpravy. „Za posledních deset let vzniklo mnoho nařízení a směrnic, které se navzájem prolínají, ale v detailech se často liší, což v praxi vede k nejasnostem a stěžuje to podnikání napříč EU,“ vysvětluje Kamil Blažek, advokát a partner právní kanceláře Kinstellar.

Cílem návrhu je i zpřesnit pravidla, snížit náklady firmám i občanům a reagovat na celosvětové fenomény jako je umělá inteligence. „Významným impulsem byla také tzv. Draghiho zpráva z roku 2024, která poukázala na dominanci amerických korporací v oblasti cloudu a nadměrné administrativní zatížení malých evropských podniků,“ upřesňuje Blažek.

Rozhovor je písemnou verzí podcastu Bruselská setba

Jaké zásadní změny se očekávají v oblasti ochrany osobních údajů?

Současná realita je taková, že GDPR je v mnoha případech v běžném životě prakticky nedodržitelné a firmy se pohybují v šedé zóně. Jde tedy o pokus o vyvážení standardů ochrany práv fyzických osob a snížení byrokracie pro firmy, aby se uvolnil prostor pro inovace.

Klíčovou změnou je nová definice osobního údaje: pokud firma, která s daty nakládá, nemá prostředky k tomu, aby za údajem rozumně identifikovala konkrétního člověka, nebude se to považovat za osobní údaj a nebude nutné s ním nakládat tak přísně. To má mimo jiné usnadnit trénování umělé inteligence na velkých balících dat.

Proměnou má projít samotná definice toho, co přesně je osobní údaj. Dnes jde prakticky o každou informaci, která se týká konkrétního identifikovatelného člověka, aniž by pro firmu bylo možné na základě této informace danou osobu identifikovat. Podle pravidel v Digital Omnibus se to ale změní – pokud firma nebude mít reálnou možnost poznat, o koho jde, nebude s daty muset zacházet jako s osobními údaji.

Zmínili jsme fenomén umělé inteligence. Jak se změní pravidla pro její trénování?

Nově by mělo být možné trénovat AI na základě oprávněného zájmu v režimu opt-out. To znamená, že pokud člověk explicitně nevyjádří nesouhlas, považuje se za souhlas, že s jeho veřejně publikovanými texty může být takto nakládáno. Vychází to z principu, že si každý musí svá práva aktivně hlídat.

AI bude možné trénovat na základě oprávněného zájmu, tedy v režimu opt-out (subjekt údajů bude muset projevit explicitní nesouhlas). Stejná pravidla se uplatní i při užívání existujících AI nástrojů. Pro firmy tak bude jednodušší využívat data pro různé účely v rámci AI.

V jaké fázi tento návrh Evropské komise je kdy by mohl začít platit?

Jde o návrh, který musí projít kompletním legislativním procesem v Evropském parlamentu a Radě. Schválení se očekává koncem roku 2026 s platností kolem let 2027 nebo 2028. Pro Českou republiku je nyní klíčový čas se k návrhu vyjádřit a prosadit případné změny prostřednictvím vládních institucí či podnikatelských sdružení. Byť české zastoupení už na tomto balíčku odvedlo kus práce a současná podoba návrhu je vnímána i jako úspěch českého vyjednávacího týmu.

Pomůže tato regulace Evropě dohnat náskok amerických nebo čínských technologických firem?

Samo o sobě mírné uvolnění regulace boom nepřinese. Například v cloudových službách mají tři americké firmy (Google, Amazon, Apple) 70 % trhu, zatímco největší evropský poskytovatel má jen 2 %, a to jde o gigant Deutsche Telekom. Americké firmy investují do tohoto segmentu desítky miliard dolarů – čtvrtletně! Problémem Evropy je také v nedostatku rizikového kapitálu a absence skutečně jednotného kapitálového trhu. Peníze jsou v Evropě zablokované v penzijních fondech a úsporách místo toho, aby proudily do rostoucích firem.

V návrhu se objevuje i pojem „evropská podnikatelská peněženka“. O co jde?

Jde o digitální identitu pro firmy (anglicky wallet), která má umožnit plně elektronickou komunikaci B2B (mezi firmami) i B2G (se státem). Dokumenty budou ověřené digitálně, s časovými razítky, bez nutnosti posílat papíry kurýrem nebo řešit úředně ověřené překlady. Pro veřejné orgány v EU bude používání tohoto systému povinné, pro firmy zůstane dobrovolné. Cílem je zrychlit procesy a odstranit přeshraniční bariéry.

Jaké další praktické úlevy balíček přináší, například v oblasti cookies nebo hlášení incidentů?

Cílem je mimo jiné zjednodušit cookie bannery a zavést povinné ukládání voleb, aby na uživatele nevyskakovaly opakovaně, jako se to děje teď. Odhaduje se, že lidé v EU stráví klikáním na cookies 334 milionů hodin ročně, což představuje ztrátu produktivity ve výši 1,2 miliardy eur. Pak jsou tam i opatření týkající se kybernetická bezpečnost. Hlášení incidentů se sjednotí pod jednu centrální autoritu a jeden způsob hlášení, místo aby firmy musely podávat hlášení různým úřadům podle různých směrnic. A přibude i řada výjimek z byrokratických povinností pro malé a střední firmy až do 750 zaměstnanců.

Míří podle vás digitální omnibus správným směrem?

Je to spíše malý krok správným směrem než velký skok. Každá změna zákona přináší počáteční implementační problémy. Důležité je, aby se při přípravě regulací více zkoumaly reálné dopady na byznys. Pro Evropu by byla mnohem důležitější systémová opatření: jednotný daňový rámec, skutečně funkční jednotný trh a masivní investice do energetiky a datové infrastruktury. Regulace sama o sobě růst nevygeneruje.