Dne 19. listopadu 2025 představila Evropská komise (Komise) první oficiální návrh legislativního balíčku Digital Omnibus[1], jehož hlavním cílem je modernizovat a zpřehlednit oblast evropského digitálního práva.
Obecně
Digital Omnibus, který je v současnosti ve fázi návrhu (proposal), přináší zásadní změny zejména v oblasti ochrany osobních údajů podle GDPR[2] a v rámci regulace datové ekonomiky podle Data Act[3].
Digital Omnibus představuje jeden z nejvýznamnějších zásahů do GDPR od jeho přijetí, zahrnuje i první náznak deregulace v oblasti ochrany osobních údajů a zároveň výrazně přetváří podobu dosud poměrně nového Data Actu. Kromě úprav směřujících primárně do GDPR a Data Actu se balíček dotýká také oblasti kybernetické bezpečnosti, jednotného režimu hlášení incidentů a vybraných prvků elektronické identifikace. Regulace umělé inteligence (AI) je řešena odděleně v samostatném návrhu, který Komise představila souběžně.
V tomto článku se ovšem zaměříme právě na navrhované změny v oblasti ochrany osobních údajů, tedy zejména na úpravy GDPR. Představíme si hlavní novinky, které Digital Omnibus přináší, a také nové mechanismy či výjimky, jež mají v praxi zásadní dopad.
Jak zasahuje Digital Omnibus do GDPR?
Digital Omnibus zasahuje do GDPR především v oblastech, které si dle Komise v praxi vyžadují vyjasnění nebo sjednocení. Digital Omnibus se tedy zaměřuje zejména na zpřesnění některých základních pojmů, aktualizaci a modernizaci některých výjimek a právních základů (zejména ve vztahu k rozvijící se oblasti regulace AI) a na harmonizaci některých postupů a povinností, ve kterých nebyla praxe napříč EU zcela sjednocená. Cíl je jasný: zvýšit právní jistotu, snížit administrativní zátěž a zajistit jednotnější a technologicky aktuální rámec pro zpracování osobních údajů v celé EU.
Zásah do definice osobních údajů
Jednou z nejvýznamnějších změn, kterou Digital Omnibus přináší, je úprava základní definice osobního údaje v čl. 4 odst. 1 GDPR. Nově by se tak identifikovatelnost posuzovala výhradně podle prostředků, které může konkrétní správce „rozumně pravděpodobně“ využít k identifikaci fyzické osoby. Komise tím navazuje na rozsudek Soudního dvora EU (SDEU) ve věci EDPS v Single Resolution Board (SRB) (C-413/23 P), v němž SDEU výslovně uvedl, že tatáž informace může být osobním údajem pouze pro některé správce osobních údajů. Komise dále doplňuje, že při posuzování „rozumné pravděpodobnosti“ se přihlíží zejména k nákladům a úsilí potřebnému k identifikaci, technologickému vývoji, dostupnosti doplňujících údajů a účelu pro který správce data zpracovává.
Nové výjimky pro zpracování zvláštních kategorií osobních údajů
Digital Omnibus dále doplňuje výjimky, obsažené v čl. 9 odst. 2 GDPR, o dvě nové derogace ze zákazu zpracování zvláštních kategorií osobních údajů ve smyslu čl. 9 GDPR.
První se týká vývoje a provozu AI systémů a modelů, u nichž mohou ve výcvikových, testovacích či validačních datech zůstávat reziduální zvláštní kategorizované údaje, aniž by byly nezbytné pro účel zpracování. Digital Omnibus tedy zamýšlí umožnit jejich zpracování, pokud správce prokazatelně zavede a po celou dobu životního cyklu AI systému udržuje vhodná technická a organizační opatření, jejichž cílem je těmto údajům předcházet, identifikovat je a po jejich zjištění je účinně odstranit, anebo, pokud by odstranění vyžadovalo nepřiměřené úsilí, alespoň zajistit, že nebudou tyto osobní údaje použity k odvozování výstupů či zpřístupněny třetím osobám.
Druhá navržená výjimka se vztahuje na biometrická data používaná pro verifikaci (ověření) identity subjektu údajů. Zpracování biometrických údajů bude možné tehdy, pokud je ověřovací proces navržen tak, že je pod výhradní kontrolou subjektu údajů, například když jsou biometrické údaje uloženy pouze v jeho zařízení (například mobilním telefonu či čipové kartě) nebo jsou u správce uchovávány v šifrované podobě, přičemž dešifrovací klíč drží výhradně uživatel, tedy subjekt údajů. Za těchto podmínek návrh nepovažuje rizika pro práva subjektu za významná a umožňuje zpracování biometrických dat výlučně za účelem ověření totožnosti.
Zpracování pro výzkumné účely a informační povinnost
Digital Omnibus přináší v oblasti vědeckého, historického a statistického výzkumu dvě významné změny. Návrh výslovně stanovuje, že další zpracování osobních údajů pro vědecké, historické nebo statistické účely je považováno za slučitelné s původním účelem zpracování, a to bez nutnosti provádět test kompatibility podle čl. 6 odst. 4 GDPR, pokud jsou dodrženy podmínky čl. 89 GDPR.
Zároveň se má rozšířit možnost využití výjimky z informační povinnosti podle čl. 13 a 14 GDPR. Správce tak v režimu Digital Omnibus nebude muset subjekt údajů informovat, pokud by poskytnutí informací znemožnilo dosažení výzkumného účelu nebo by si vyžádalo nepřiměřené úsilí vzhledem k rozsahu či povaze projektu. Komise v návrhu zdůrazňuje, že při posuzování přiměřenosti je relevantní zejména dostupnost kontaktních údajů subjektů, charakter zpracovávaných informací a realizovaná technická a organizační opatření podle čl. 89 GDPR.
Omezení zneužívání práva na přístup
Komise dále v návrhu reaguje také na problém zneužívání práva na přístup podle čl. 15 GDPR tak, že doplňuje možnost správce odmítnout nebo zpoplatnit žádosti, které jsou zjevně šikanózní, účelové, opakované či nepřiměřeně zatěžující. Komise tím sleduje omezení situací, kdy je právo na přístup využíváno spíše jako procesní či sporový nástroj než jako prostředek skutečné kontroly nad zpracováním osobních údajů.
Zde je samozřejmě otázkou, jak se tato změna osvědčí v aplikační praxi, ať již z pohledu správců, bránících se před šikanózními žádostmi, či naopak z pohledu subjektů údajů, kdy se naopak může v praxi velmi dobře stávat, že někteří správci budou na tuto výjimku odvolávat příliš široce a budou se snažit omezit legitimní výkon práva na přístup.
Automatizované rozhodování
Uveden je i nový výklad čl. 22 GDPR, který výslovně stanoví, že nezbytnost automatizovaného rozhodování pro plnění smlouvy není podmíněna existencí manuální alternativy, pokud je takové rozhodování objektivně potřebné k poskytnutí sjednané služby. Jedná se o důležité vyjasnění zejména pro odvětví, která běžně využívají automatizované procesy (bankovnictví, telekomunikace, zákaznické služby).
V praxi tato úprava míří zejména na služby, jež závisí na vyhodnocování v reálném čase, například pro online poskytování úvěrů, kde je rozhodnutí založeno na automatizovaném credit-scoringu a ruční posouzení by nebylo provozně reálné. Obdobně tomu tak je u telekomunikačních služeb nebo digitálních dodavatelů energií, kdy manuální alternativa k automatizovanému vyhodnocení způsobilosti zákazníka v reálném čase fakticky není proveditelná.
Incidenty a oznamovací povinnosti
Jednou z nejvýznamnějších praktických změn je úprava režimu hlášení bezpečnostních incidentů. Nově se oznamovací povinnost má týkat pouze incidentů představujících vysoké riziko, přičemž lhůta pro jejich oznámení se prodlužuje na 96 hodin. Hlášení by mělo probíhat prostřednictvím jednotného evropského rozhraní „Single Entry Point“, které má sloužit jako centrální kanál napříč relevantními předpisy. Cílem je sjednotit postupy v EU, snížit administrativní zátěž a odstranit duplicitní povinnosti, které dnes správce často nepřiměřeně zatěžují.
Harmonizace DPIA
Evropský sbor pro ochranu osobních údajů (EDPB) má nově získat pravomoc vydat jednotnou evropskou šablonu pro posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA) a také sjednocené seznamy zpracovatelských operací, které DPIA vyžadují či naopak nevyžadují. Zejména pro velké nadnárodní společnosti tato změna představuje výrazné zjednodušení, protože stávající národní seznamy se mezi jednotlivými členskými státy významně liší a komplikují praxi.
Cookies a nová úprava přímo v GDPR
Digital Omnibus přesouvá klíčovou regulaci cookies a obdobných technologií přímo do GDPR prostřednictvím nových čl. 88a a 88b, což má výrazně zjednodušit dosavadní právní rámec. Zároveň mění čl. 5 odst. 3 ePrivacy směrnice[4] tak, že se nepoužije v případech, kdy ukládání nebo čtení informací v koncovém zařízení vede ke zpracování osobních údajů. V těchto situacích se uplatní výhradně GDPR. Návrh rovněž chce zavést povinnost správců respektovat automatizované signály souhlasu či nesouhlasu s ukládáním nebo čtením informací z koncových zařízení, které mají být implementovány na úrovni prohlížečů a operačních systémů.
Pseudonymizace
Nový čl. 41a GDPR má zmocňovat Komisi, aby prostřednictvím prováděcích aktů stanovila, za jakých okolností mohou pseudonymizované údaje přestat být považovány za osobní pro určité kategorie správců nebo konkrétní situace. Úprava zdůrazňuje relativní povahu pseudonymizace, tedy že údaje nemusí mít povahu osobních údajů vůči všem subjektům, pokud konkrétní správce nemá reálné, pravděpodobně dostupné prostředky k jejich zpětné identifikaci.
Oprávněný zájem jako právní základ pro účely vývoje a provozu AI systémů
Další nově přidaný čl. 88c GDPR výslovně stanoví, že zpracování osobních údajů pro účely „vývoje a provozu AI systému “ může být prováděno na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR, pokud unijní nebo vnitrostátní právní předpisy nevyžadují výslovný souhlas.
Toto zpracování však nadále podléhá standardnímu testu vyvážení mezi oprávněným zájmem správce a právy subjektů údajů a musí být doplněno odpovídajícími zárukami, zejména zásadou minimalizace údajů, transparentností a bezpodmínečným právem subjektu údajů vznést námitku.
Nicméně vzhledem k výslovnému omezení v tomto novém čl. 88c GDPR, pro případy, kde unijní nebo vnitrostátní právo výslovně vyžaduje souhlas, může v praxi dojít k tomu, že jednotlivé členské státy pro tyto případy nastaví přísnější podmínky pro trénování AI, než předpokládá samotné GDPR, což může do určité míry narušit snahu o jednotný evropský rámec pro využívání dat v oblasti AI.
Závěrem
Digital Omnibus představuje rozsáhlou a koncepční revizi evropské digitální legislativy, která bude po svém přijetí zásadně ovlivňovat podobu ochrany osobních údajů i datové ekonomiky. Ačkoli jde zatím pouze o legislativní návrh, již nyní je zřejmé, že přináší ambiciózní změny směřující k větší jednotnosti, technické aktuálnosti a redukci administrativní zátěže.
Návrh obsahuje řadu kroků, které podnikům a institucím mohou významně ulehčit, ať se jedná o zavedení jednotného rozhraní pro hlášení incidentů, například právě přesun pravidel pro cookies z ePrivacy přímo do GDPR, aktualizaci definičních ustanovení v návaznosti na judikaturu či konsolidaci roztříštěné datové legislativy, na což se blíže změříme v dalším článku.
Současně však platí, že právě některé z navrhovaných změn budou pravděpodobně předmětem intenzivních debat. Zejména zásahy do GDPR – například nové výjimky pro AI, úprava pravidel pro cookies nebo změny v automatizovaném rozhodování – mohou vyvolat odpor části odborné veřejnosti a neziskového sektoru, který již nyní upozorňuje na možné oslabení ochrany práv subjektů údajů. Také členské státy zaujímají v těchto otázkách rozdílné postoje, což naznačuje, že legislativní proces nemusí probíhat hladce a lze očekávat další úpravy návrhu.
Pokud bude návrh nakonec přijat, vstoupí Digital Omnibus v účinnost třetím dnem po zveřejnění v Úředním věstníku EU. Některá ustanovení však budou mít odloženou aplikaci, zejména z důvodu nezbytných legislativních, technických a administrativních příprav.
Podniky i veřejné instituce by proto již nyní měly začít vyhodnocovat potenciální dopady Digital Omnibusu na své procesy, zejména v oblasti technologií, cloudových služeb, datového sdílení, data governance, nových pravidel pro cookies a budoucích technických standardů souhlasu.
Vzhledem k rozsahu navrhovaných změn je nepochybně vhodné legislativní proces pečlivě sledovat – Digital Omnibus totiž bude po svém přijetí ve finální podobě bezpochyby významně formovat podobu digitálního prostoru EU v následujících letech.
V případě jakýchkoli dotazů v oblasti změn dle Digital Omnibus, GDPR, Data Actu či dalším oblastem EU regulace a compliance jsme Vám v PEYTON legal k dispozici.
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus).
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR)
[3] Nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro přístup k údajům a jejich využívání (nařízení o datech) (Data Act).
[4] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (ePrivacy směrnice).
Mgr. Jakub Málek, managing partner – malek@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
Anna Němcová, právní asistentka – nemcova@plegal.cz
27. 11. 2025