GDPR 2.0: Jednodušší regulace pro odvážnou a konkurenceschopnou Evropu?

Vlivem tohoto tlaku Evropská komise deklarovala, že přijme kroky k zjednodušení evropského právního rámce. V oblasti ochrany soukromí se jedná zejména o zrušení návrhu tzv. ePrivacy nařízení a snahy o revizi obecného nařízení o ochraně osobních údajů (GDPR). Otázkou však zůstává, jak do tohoto plánu zapadá nové procesní nařízení k GDPR, které má potenciál regulaci naopak zkomplikovat.

Reklama

Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

2.9.2025 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

1. KRITIKA NADMĚRNÉ REGULACE EU

1.1 Mario Draghi: Evropa potřebuje míň pravidel, víc inovací

Impulsem k zásadnější revizi regulační politiky EU se stala zpráva „O konkurenceschopnosti Evropy“ bývalého prezidenta Evropské centrální banky Maria Draghiho, vypracovaná na žádost Evropské komise.[1] Draghi v ní otevřeně kritizuje nadměrnou regulatorní zátěž a varuje, že rigidní a byrokratický přístup může významně zpomalovat inovace – zejména v oblastech jako je umělá inteligence a digitální služby. Apeluje proto na větší pružnost a pragmatismus v přístupu k regulaci.

Ve své analýze Draghi identifikuje tři hlavní regulatorní překážky, kterým evropské podniky čelí:[2]

1.1.1 Kumulace předpisů

Časté novelizace a souběh více evropských regulací vedou dle Draghiho ke složité orientaci v předpisech EU, duplikaci právních povinností a administrativní zátěži. Například analýza BusinessEurope zjistila ve 13 právních předpisech EU 169 duplicitních požadavků, z toho 29 % vykazovalo rozdíly a 11 % zcela zásadní nesoulady.[3]

Odborná veřejnost již dlouhodobě upozorňuje na přebujelost a nekonzistenci evropských předpisů, které namísto právní jistoty přinášejí nové interpretační výzvy. Situaci ilustruje následující tabulka, která shrnuje rozdíly v ohlašovacích povinnostech u materiálně podobných bezpečnostních incidentů dle GDPR, Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2), Nařízení o digitální provozní odolnosti finančního sektoru (DORA), Akt o kybernetické odolnosti (CRA) a Akt o umělé inteligenci (AI Act):

1.1.2 Různá transpoziční praxe

Dalším významným problémem, na který upozorňuje Mario Draghi, je nejednotná implementace evropských směrnic na národní úrovni. Členské státy při transpozici často volí odlišné přístupy nebo přidávají vlastní požadavky, což narušuje rovné podmínky na jednotném trhu a komplikuje podnikání napříč EU.

Typickým příkladem je nejen GDPR, ale také transpozice ePrivacy směrnice, zejména v oblasti zasílání obchodních sdělení a telemarketingu. V některých státech je marketing v B2B sektoru za splnění určitých podmínek povolen i bez souhlasu příjemce, zatímco jiné státy – včetně České republiky – zvolily přísnější přístup a bez výslovného souhlasu tento typ marketingu zakazují (pokud se nejedná o tzv. zákaznickou výjimku). Stejná variabilita panuje i v oblasti telemarketingu, kde je ponecháno na rozhodnutí jednotlivých států, zda zvolí režim opt-in (tj. marketingové hovory jen se souhlasem) nebo opt-out (tj. marketingové hovory jen pokud nebyly odmítnuty příjemcem).   

Výsledkem je, že podniky, které splní podmínky v jednom členském státě, musí při vstupu na jiný národní trh znovu prokazovat soulad s místními právními požadavky. Pro globální firmy to znamená nutnost detailního mapování regulatorních požadavků v každé jurisdikci, což výrazně zvyšuje compliance náklady a komplikuje interní procesy, které je třeba lokalizovat na míru jednotlivým trhům.

Tato roztříštěnost je v přímém rozporu se základní premisou EU, kterou je harmonizace pravidel a volný pohyb služeb. Různorodé transpoziční praxe a tendence členských států zavádět nadstandardní národní požadavky proto vedou k další fragmentaci evropského trhu.[4]

Na tuto skutečnost nedávno upozornil i CEO francouzské společnosti Mistral AI, která vyvíjí vlastní velké jazykové modely. Podle jeho vyjádření není hlavním problémem samotná regulace, jako je například AI Act, ale právě roztříštěnost evropského trhu, která brání expanzi na nové trhy.[5]

1.1.3 Nepřiměřené dopady na malé a střední podniky

Zatímco velké korporace zvládají náročné regulatorní požadavky díky rozsáhlým compliance týmům, malé a střední podniky (SMEs) často nemají kapacity ani finanční prostředky, aby vedle rozvoje produktů investovaly do splnění složitých pravidel. To zpomaluje jejich růst, omezuje diverzitu soutěžitelů na trhu a snižuje inovační potenciál Evropy.

Draghi upozorňuje, že pokud chce EU udržet krok s USA či Čínou, nebo alespoň nezvětšovat existující rozdíly v ekonomickém výkonu, musí zásadním způsobem přehodnotit svůj regulatorní přístup. Jako příklad lze uvést GDPR a AI Act – ambiciózní, avšak složité předpisy s překrývajícími se povinnostmi, případně i různorodou aplikací napříč členskými státy. Výsledkem je právní nejistota a vysoké náklady na compliance, které znevýhodňují evropské inovátory oproti konkurenci v prostředí s pružnější regulací.[6]

Například v oblasti umělé inteligence a moderních technologií stojí EU podle Draghiho před zásadní volbou, jak sladit ochranu základních práv s podporou technologického rozvoje. Mezi navrhovaná řešení patří zavedení regulačních sandboxů, zjednodušení pravidel, větší harmonizace výkladu GDPR či odstranění překryvů s AI Actem.[7]

Nové předpisy, jako jsou Digital Services Act (DSA) a Digital Markets Act (DMA), mohou být přínosné, mají-li chránit menší hráče před dominancí velkých platforem. Aby však byly skutečně efektivní, musí se vyvarovat chyb GDPR (zejména nadměrné byrokracie a pomalého vymáhání). Jen jasná a srozumitelná pravidla mohou vytvořit prostředí, které podpoří odpovědný a konkurenceschopný rozvoj moderních technologií v Evropě. [8]

2. STRATEGIE EVROPSKÉ KOMISE

2.1 Evropskou regulaci čeká očista: méně byrokracie, více flexibility

Evropská komise si začíná problém přeregulovanosti také uvědomovat. Dokládá to mimo jiné Pracovní program Komise pro rok 2025,[9] který představuje vizi „odvážnější, jednodušší a rychlejší Unie.“ Klíčovým cílem programu je snížit administrativní zátěž podniků alespoň o 25 %, a v případě SMEs dokonce o 35 %. Dále by mělo být každoročně prováděno systematické hodnocení evropské legislativy („fitness check“).

Na základě Pracovního programu byly vydány první omnibus balíčky, jejichž cílem je zjednodušit regulaci některých odvětví, která byla identifikovaná jako prioritní ve zprávě M. Draghiho. Týká se to zejména zjednodušení a zpřehlednění pravidel pro podávání zpráv o udržitelnosti.[10]

V oblasti ochrany soukromí a osobních údajů Komise již přehodnotila některé stávající návrhy, včetně plánovaného ePrivacy nařízení,[11] a v květnu 2025 zveřejnila návrh na zjednodušení GDPR jako součást čtvrtého omnibus balíčku.[12]

Otázkou zůstává, zda jsou tyto kroky reakcí na vnější politický tlak, zejména ze strany USA, nebo spíše výrazem strategického posunu Komise směrem k jednodušší a pružnější regulaci. Místopředsedkyně Komise pro technologickou nezávislost Henna Virkkunnen uvedla, že rozhodnutí o stažení některých regulatorních návrhů vychází z doporučení Draghiho zprávy, nikoliv z reakcí na americkou kritiku.[13]

Podobně se nechal slyšet i Evropský komisař pro spravedlnost Michael McGrath, který potvrdil, že stažení některých návrhů vychází primárně z Pracovního programu Komise na rok 2025 a z vlastního rozhodnutí Komise – nikoliv na základě geopolitického tlaku. [14]

2.2 Znovuotevření Pandořiny skříňky: revize GDPR

GDPR je všeobecně považováno za jedno z nejkomplexnějších evropských nařízení, které bylo dlouho mnohými vnímáno jako nedotknutelné. Je také perfektním příkladem tzv. bruselského efektu, tj. situace, kdy se evropská legislativa přelévá za hranice EU, ať už je to inspirací zahraničních států evropskými právními předpisy, anebo jejich přímou aplikovatelností na zahraniční subjekty.

Kromě avizované revize GDPR ze strany Komise v rámci digitálního balíčku se však na scéně objevilo překvapivé duo Maxe Schremse a europoslance Axela Vosse, kteří spojili síly nad vlastním návrhem zjednodušení GDPR. 

2.2.1 Stupňovaný přístup Komise

Komise v květnu 2025 představila v rámci čtvrtého „Omnibus IV“ balíčku návrh na novelizaci GDPR,[15] jehož cílem je snížit administrativní zátěž a posílit konkurenceschopnost evropských podniků. Návrh poprvé zavádí definici tzv. „small mid-cap“ podniků, tedy firem do 750 zaměstnanců s obratem do 150 milionů EUR nebo bilanční sumou do 129 milionů EUR, a rozšiřuje na ně některá zmírňující opatření dosud dostupná pouze malým a středním podnikům.

Klíčovou změnou je úprava čl. 30 GDPR, podle níž by nově společnosti do 750 zaměstnanců nemusely povinně vést záznamy o činnostech zpracování. V současnosti GDPR osvobozuje společnosti s méně než 250 zaměstnanci od povinnosti vést záznamy o činnostech zpracování, ledaže se uplatní výjimky dle čl. 30 odst. 5 GDPR:

• jedná se o zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů
• jedná se o zpracování, které není příležitostné, nebo
• zahrnuje zpracování zvláštních kategorií osobních údajů.

V praxi je tedy toto osvobození od povinnosti vést záznamy často nerelevantní, neboť i menší organizace běžně provádějí pravidelné a potenciálně rizikové zpracování osobních údajů, jako je například vedení personální agendy či provoz kamerových systémů.

Komise proto navrhuje, aby výjimka z povinnosti vést záznamy o činnostech zpracování byla jasněji použitelná. Nově by se povinnost vztahovala pouze na situace, kdy zpracování pravděpodobně povede k vysokému riziku pro práva a svobody subjektů údajů ve smyslu čl. 35 GDPR. To znamená, že se upouští od dosavadního složitého systému tří kritérií a samotné zpracování zvláštních kategorií údajů již automaticky neznamená povinnost vést záznamy, pokud takové zpracování nepředstavuje vysoké riziko.

Návrh již posuzovaly také evropské orgány dohledu. EDPB a EDPS ve svém společném stanovisku z července 2025 krok Komise uvítaly, přičemž ocenily snahu o snížení administrativní zátěže a větší předvídatelnost pro podniky. Zároveň však upozornily na potřebu upřesnit některé detaily – například proč byl zvolen práh právě 750 zaměstnanců a jak zajistit, aby výjimka nedopadala na veřejné orgány.[16] Návrh je nyní projednáván v rámci běžného legislativního procesu v Evropském parlamentu a Radě.

2.2.2 Schrems a Voss

Zajímavé je, že obdobný návrh o odstupňování povinností dle GDPR zaznívá i od hlavních zastánců ochrany soukromí. Aktivista Max Schrems (hlavní představitel asociace NOYB) veřejně v Bruselu diskutoval s německým europoslancem Axelem Vossem a společně se shodli na možnosti tříúrovňového modelu GDPR, obdobně jako je tomu v DSA vůči velmi velkým online platformám nebo vyhledávačům (VLOPs). [17]

Tzv. „mini-GDPR“ by se vztahovalo na přibližně 90 % všech společností, které zpracovávají osobní údaje v omezeném rozsahu. Pro tyto subjekty by platila zjednodušená pravidla – méně dokumentace, mírnější požadavky na transparentnost a absence povinnosti jmenovat pověřence pro ochranu osobních údajů. [18]

Standardní verze GDPR by nadále platila pro subjekty zpracovávají osobní údaje ve větším rozsahu, zatímco „GDPR-plus“ by cílilo na VLOPs a subjekty, jejichž podnikání je vyloženě založeno na zpracování osobních údajů (např. reklamní společnosti). Pro tyto společnosti by mohly být zavedeny přísnější povinnosti, například povinnost externích auditů. [19]

Voss a Schrems se neshodli na všech klíčových bodech. Zatímco Schrems podporuje zachování základních principů GDPR, Voss navrhuje přehodnotit některé jeho části – například omezit pravomoci EDPB či modernizovat principy jako je „právo být zapomenut“ nebo zásada minimalizace dat, zejména ve vztahu k moderním technologiím. Zvažuje také změnu celkového konceptu GDPR tak, aby se zpracování osobních údajů považovalo za obecně přípustné s výjimkami stanovenými zákonem, což Schrems odmítá. [20]

I přes tyto rozdíly je zřejmé, že revize GDPR je žádaná jak ze strany neziskových organizací na ochranu soukromí, tak ze strany regulátora. Axel Voss k tomu dodal, že: „Max a já se v otázkách ochrany soukromí málokdy shodneme. Pokud však jde o GDPR, oba se domníváme, že jeho univerzální přístup dusí malé a střední podniky a start-upy v EU vysokými náklady na dodržování předpisů, zatímco zároveň nedokáže účinně omezit vliv velkých technologických společností. (…) Pokud se Max Schrems a já dohodneme na tomto společném postupu, mělo by to znamenat, že existuje reálná šance na implementaci zjednodušení GDPR na základě široké politické většiny.“[21]

2.2.3 Reakce na snahy o zjednodušení GDPR

Revize GDPR je obecně vítána, nicméně mnozí aktéři se k návrhu Komise vyjádřili kriticky. Podle nich jde o dílčí technickou změnu, která v zásadě nemění celkovou složitost GDPR. Zajímavé také je, že si Komise si pro úlevu vybrala právě záznamy zpracování. V aplikační praxi totiž často představují jediný nástroj, který organizace motivuje ke zmapování datových toků, a tím i k efektivnímu plnění dalších povinností – například v oblasti informování subjektů údajů, zabezpečení dat nebo nastavení retenčních lhůt.

Debata o budoucnosti GDPR nicméně pokračuje. V červenci 2025 uspořádala Komise setkání se zástupci průmyslu a občanské společnosti, které ukázalo, že ochota otevírat samotné jádro GDPR je minimální. Max Schrems shrnul atmosféru diskuse heslem „#NoReopening“. Podle něj se většina zúčastněných shoduje, že pravidla GDPR se stala standardem posilujícím důvěru uživatelů a že jakékoli zásadní oslabení by nebylo v souladu s čl. 8 Listiny základních práv EU. Prostor pro změny vidí spíše v redukci nadbytečného „papírování“ a omezení vlivu tzv. compliance průmyslu, nikoli v zásazích do základních principů.[22]

Vedle toho se objevují i kritici samotného konceptu revize: upozorňuje se, že úprava textu GDPR nebude sama o sobě dostačující. Významným problémem je totiž i judikatura Soudního dvora EU, která GDPR vykládá velmi extenzivně a v praxi často rozšiřuje rozsah povinností regulovaných subjektů nad rámec původního znění. Kritici rovněž varují, že otevření GDPR může vést k intenzivnímu lobbistickému tlaku, zejména ze strany velkých technologických firem, a potenciálně tak ohrozit současnou úroveň ochrany osobních údajů v EU.[23]

2.3 Procesní nařízení k GDPR

Zatímco Evropská komise plánuje zjednodušení GDPR, v praxi její návrh nařízení o procesních pravidlech při prosazování GDPR,[24] které má za cíl zefektivnit vymáhání GDPR v přeshraničních sporech, jde přesně opačným směrem. Podle analýzy asociace NYOB návrh namísto zjednodušení zavádí složitější, pomalejší a neprůhlednější přeshraniční řízení, což by mělo negativní dopad na efektivitu prosazování práv subjektů údajů.[25]

Max Schrems situaci shrnuje slovy: „Zpočátku jsme velmi podporovali jasná procesní pravidla. Hrozí však, že se tento návrh stane největším legislativním zmatkem, jakého jsem byl za dlouhou dobu svědkem. I když se zdá, že Rada a Evropský parlament se obecně shodují na tom, že návrh Komise potřebuje podstatné změny, zdá se, že se jim nepodařilo vyřešit strukturální problémy, ale spíše přidaly další a více složitých prvků. (…) Mnoho prvků má tak nízkou právní kvalitu, že tato regulace problémy nevyřeší – ale vyvolá další spory.“[26] Podle něj návrh představuje promarněnou příležitost k modernizaci a riskuje plýtvání zdroji úřadů i soukromého sektoru.

Úřad pro ochranu osobních údajů (ÚOOÚ) se k věci vyjádřil podobně ve své výroční zprávě pro rok 2024, kde uvedl, že nové procesní prvky připravovaného nařízení by v současné podobě výrazně administrativně ÚOOÚ zatížily. Dále dodává: „Ostatně procesní nároky plynoucí ze samotného GDPR postupně zvyšuje i judikatura Soudního dvora EU. Zkomplikování správního procesu tak nesměřuje k faktickému posílení práv subjektů údajů, ale absurdně spíše ke zhoršení jejich situace, protože bez dostatečných personálních, technických a administrativních kapacit Úřad nebude schopen poskytnout ochranu práv subjektům údajů v reálném čase.“[27]

Nehledě na to se v červnu 2025 podařilo dosáhnout politické shody nad návrhem nařízení mezi Radou EU a Evropským parlamentem. Nová pravidla zavádějí mimo jiné pevné lhůty: jednoduché případy mají být uzavřeny do 12 měsíců, složitější do 15 měsíců s možností omezeného prodloužení.[28]

3. ZÁVĚR

V reakci na kritiku nadměrné regulace a jejího dopadu na konkurenceschopnost EU se Evropská komise zavázala k přijetí kroků vedoucích k zjednodušení evropského právního rámce. Zatímco snaha o revizi GDPR a zrušení ePrivacy nařízení ukazuje na strategický posun k větší flexibilitě, otázkou zůstává, jak budou tyto změny vyváženy s cílem chránit základní práva a podporovat technologický pokrok.

Zároveň vzniká silný kontrast mezi politickými proklamacemi o zjednodušení GDPR a skutečnými legislativními kroky, které mohou vést k opačnému výsledku – vyšší administrativní zátěži, právní nejistotě a oslabování ochrany osobních údajů v EU. Tento vývoj ukazuje na potřebu skutečné, promyšlené reformy namísto rychlých kompromisů vedených politickým tlakem.

Mgr. Karina Matevosjanová,
advokátní koncipientka 

 

PIERSTONE s.r.o., advokátní kancelář

Perlová 371/5
110 00 Praha 1

Tel.:    +420 224 234 958
E-mail: karina.matevosjanova@pierstone.com