Budúcnosť ochrany údajov: GDPR a nové regulácie v digitálnej dobe

Peter Jurak

Budúcnosť ochrany údajov: GDPR a nové regulácie v digitálnej dobeKeď sa dnes vo firme povie „GDPR“, veľa ľudí si predstaví súbory smerníc, poučenia, zmluvy so sprostredkovateľmi a nekonečné tabuľky. Lenže realita digitálnej doby je tvrdšia. Údaje sa pohybujú rýchlejšie než procesy, technológie menia spôsob spracúvania a regulácie sa rozširujú ďaleko za hranice klasickej „ochrany osobných údajov“.

GDPR pritom nezmizne. Naopak. Stáva sa základom, na ktorý sa nabalí nová vrstva pravidiel: ePrivacy, NIS2, DSA, DMA, AI Act, Data Act, DGA, lokálne zákony, metodiky úradov a čoraz častejšie aj požiadavky klientov v tendroch. To znamená, že firmy, ktoré sa pozerajú na compliance iba ako na povinnosť, budú platiť viac. Časom, peniazmi, reputáciou a zbytočnou byrokraciou.

Tento článok je napísaný prakticky, ako by som to vysvetlil klientovi pri konzultácii. Cieľ je jednoduchý: ukázať, kam sa ochrana údajov posúva, čo to znamená pre firmy a ako sa pripraviť tak, aby ste mali menej problémov s legislatívou a zároveň si zjednodušili interné procesy.

Prečo GDPR už nestačí ako jediný rámec

GDPR je všeobecné nariadenie. Zámerne je napísané technologicky neutrálne a poskytuje princípy: zákonnosť, minimalizáciu, účelové viazanie, integritu a dôvernosť, transparentnosť, zodpovednosť. To je výhoda, ale aj problém.

V praxi sa totiž objavili tri trendy, ktoré GDPR samo o sebe nevyrieši:

  1. Masové spracúvanie a zdieľanie údajov v ekosystémoch
  2. Subdodávatelia, cloud, analytika, marketingové platformy, externé call centrá, HR systémy a API prepojenia. Údaje v skutočnosti nesedia „v jednej databáze“ a firma často ani nemá presnú mapu tokov.
  3. Nové typy technológií a rizík
  4. Umelá inteligencia, biometria, behaviorálne profilovanie, cross-device tracking, modely s tréningovými dátami, automatizované rozhodovanie, deepfake identita. GDPR to pokrýva princípmi, ale regulátor chce vidieť konkrétne opatrenia.
  5. Bezpečnosť a kontinuita služieb sa stali súčasťou compliance
  6. Únik dát už nie je len „GDPR incident“. Je to aj kybernetický incident, otázka NIS2, zmluvná pokuta od partnera, reputačný problém, a niekedy aj problém trestnoprávny.

Výsledok: ochrana údajov sa pos

GDPR v roku 2026: čo sa mení v praxi, aj keď zákon ostáva rovnaký

Aj bez zmeny textu GDPR sa mení jeho uplatňovanie. V bežných kontrolách a sporoch vidno najmä tieto posuny:

1) Viac dôrazu na preukázateľnosť (accountability)

Nestačí „mať“. Treba vedieť ukázať, že to funguje.

  • záznamy o spracovateľských činnostiach majú sedieť s realitou
  • právne základy musia byť obhájiteľné pre každý účel
  • interné prístupy, role a oprávnenia musia byť kontrolované
  • školenia a poučenia musia mať zmysel, nie len podpis

2) Transparentnosť a informovanie je pod drobnohľadom

Oznamy o spracúvaní údajov, cookie lišty, nastavenia súhlasov a texty v aplikáciách musia byť čitateľné a pravdivé. „Právničina“ sa prestáva tolerovať, najmä pri B2C.

3) Prenosy do tretích krajín a cloud sú stále citlivé

Používanie poskytovateľov mimo EÚ je možné, ale treba mať poriadne nastavené:

  • zmluvné doložky
  • hodnotenie rizík prenosu
  • technické opatrenia (šifrovanie, pseudonymizácia, prístupové režimy)

Pre firmu to znamená jediné: cloud nie je problém, problém je „cloud bez pravidiel“.

4) Bezpečnosť spracúvania sa posudzuje realisticky

Nie podľa toho, čo máte napísané v smernici, ale podľa toho, čo reálne robíte: MFA, patchovanie, zálohy, segmentácia, logovanie, reakčný plán, testovanie obnovy.

Nové regulácie, ktoré budú určovať budúcnosť ochrany údajov

Nižšie uvádzam regulácie, ktoré v praxi najviac ovplyvňujú firmy. Nie všetky sú čisto „GDPR“, ale spolu vytvárajú nový štandard digitálnej zodpovednosti.

NIS2: kybernetická bezpečnosť ako povinnosť, nie voľba

NIS2 zvyšuje požiadavky na riadenie bezpečnosti a incidentov pre vybrané sektory a organizácie. Aj keď nie ste priamo v rozsahu, často sa vás dotknú požiadavky partnerov.

Z pohľadu ochrany údajov je NIS2 dôležitá, lebo spája:

  • bezpečnostné opatrenia
  • governance (zodpovednosť manažmentu)
  • reportovanie incidentov
  • dodávateľský reťazec

Firmy, ktoré majú GDPR iba „na papieri“, budú pri NIS2 naraziť prvé.

ePrivacy a cookies: súhlasy, trackovanie a marketing

Aj keď ePrivacy nariadenie stále nemá finálnu podobu, prax v oblasti cookies a online sledovania sa sprísňuje cez rozhodnutia úradov a európske odporúčania.

Pre firmy to znamená:

AI Act: keď sa umelá inteligencia stretne s osobnými údajmi

AI Act zavádza pravidlá pre AI systémy podľa rizikovosti. Mnohé AI použitia vo firmách budú spadať do kategórií, kde treba:

  • dokumentáciu a vysvetliteľnosť
  • riadenie rizík
  • dohľad človeka
  • kvalitu dát a prevenciu diskriminácie

GDPR už dnes rieši automatizované rozhodovanie a profiling. AI Act pridá ďalšiu vrstvu povinností. Pre firmu je najlepšia stratégia spojiť tieto témy do jedného riadenia. Nie oddelene právnik, IT a produkt, ktorí si posúvajú zodpovednosť.

DSA/DMA: platformy, reklama a transparentnosť

Ak prevádzkujete online platformu, marketplace, alebo pracujete s reklamnými systémami, DSA/DMA zvyšujú tlak na transparentnosť, prácu s obsahom, reklamné cielenie a procesy.

Aj keď nie ste „veľká platforma“, mnohé požiadavky sa prenesú zhora cez dodávateľov a partnerov.

Data Act a DGA: údaje ako aktívum, ale aj záväzok

Tieto regulácie posúvajú dôraz na zdieľanie a prístup k dátam, najmä pri IoT a pri dátových službách. Pre firmy to znamená, že budú musieť lepšie rozlišovať:

  • osobné údaje vs. neosobné údaje
  • vlastníctvo a práva k dátam
  • prístupové politiky
  • zmluvné podmienky pri zdieľaní

Najväčší omyl firiem: vnímať ochranu údajov ako „balík dokumentov“

V praxi vidím opakujúci sa scenár:

  • firma má smernice, poučenia, zmluvy
  • ale nemá mapu tokov dát, nemá vlastníkov procesov, nemá pravidelný review
  • keď príde incident alebo otázka od úradu, dokumenty síce existujú, ale realita je inde

Takýto stav je drahý, lebo každý nový projekt znamená improvizáciu. A improvizácia v legislatíve znamená riziko.

Riešenie je posunúť GDPR z „papieru“ do riadenia. Nie komplikovane. Prakticky.

Čo bude v najbližších rokoch kontrolované najčastejšie

Ak si mám tipnúť, čo bude regulator aj partneri vyťahovať v kontrolách a auditoch, sú to najmä tieto oblasti:

  1. Právne základy spracúvania podľa účelov
  2. Najmä marketing, tracking, profilovanie, CRM segmentácie, B2B databázy, leady.
  3. Dohody so sprostredkovateľmi a reťazenie dodávateľov
  4. Kto je sprostredkovateľ, kto ďalší subdodávateľ, čo je v zmluve, aké sú bezpečnostné opatrenia.
  5. Prístupové práva a interné role
  6. Minimálne oprávnenia, audit prístupov, odoberanie prístupov pri odchode zamestnanca.
  7. Retencia a mazanie
  8. Uchovávanie „navždy“ je jedna z najľahšie napadnuteľných vecí. Mazacie lehoty musia byť nastavené a vykonávané.
  9. Incident management
  10. Ako rýchlo viete incident odhaliť, posúdiť, zdokumentovať, nahlásiť, a čo robíte preventívne.
  11. Prenosy mimo EÚ
  12. Najmä pri bežných SaaS nástrojoch. Dôležité je mať ujasnené, čo používate a prečo.

Ako sa pripraviť: praktický plán pre firmy (bez zbytočnej byrokracie)

Tu je postup, ktorý používam, keď má firma záujem mať poriadok, menej rizík a menej ad hoc riešení.

Krok 1: Urobte si mapu spracúvania údajov, ale realisticky

Nie 200-stranový dokument. Stačí dobrý prehľad:

  • aké kategórie údajov spracúvate (zákazníci, zamestnanci, dodávatelia, návštevníci webu)
  • pre aké účely
  • v akých systémoch
  • kto má prístup
  • komu údaje posielate (sprostredkovatelia)
  • ako dlho údaje držíte

Toto je základ pre všetko ostatné. Bez toho len hádate.

Krok 2: Nastavte právne základy a informovanie tak, aby boli obhájiteľné

Pri každom účele si odpovedzte:

  • je to zmluva, zákonná povinnosť, oprávnený záujem, súhlas?
  • viete to vysvetliť jednoducho?
  • máte k tomu texty a procesy (napríklad odvolanie súhlasu)?

Ak máte marketing postavený na „nejako to ide“, je lepšie to upratať skôr, než príde problém.

Krok 3: Preverte dodávateľov ako súčasť compliance

Zmluva o spracúvaní údajov nie je formalita. Pri kľúčových dodávateľoch potrebujete vedieť:

  • kde sú dáta
  • či sa prenášajú mimo EÚ
  • ako je riešená bezpečnosť (MFA, šifrovanie, logy)
  • čo sa deje pri incidente
  • aké sú subdodávky

Toto výrazne znižuje riziko, že vám problém vybuchne v externom systéme, ktorý neviete ovplyvniť.

Krok 4: Bezpečnosť nastavte podľa rizika, nie podľa pocitu

Základné minimum, ktoré má dnes význam takmer všade:

  • MFA na e-mailoch, administrácii, cloude
  • pravidelné aktualizácie a správa zraniteľností
  • zálohy a test obnovy
  • segmentácia prístupov
  • logovanie a monitoring
  • proces na incidenty (kto, čo, kedy)

Toto nie je „IT téma“. Toto je compliance téma.

Krok 5: Retenciu a mazanie spravte jednoduché

Najlepšie funguje, keď:

  • máte retenciu priamo v systémoch (automatizácia)
  • máte jasné lehoty podľa účelu
  • viete preukázať, že sa mažú aj zálohy alebo máte pravidlá, ako dlho sa držia

Krok 6: Zaveďte pravidelný review, nie jednorazový projekt

Ochrana údajov nie je projekt na 2 mesiace. Je to režim:

  • kvartálny review nových systémov a dodávateľov
  • ročný audit prístupov a retencie
  • školenie, ktoré rieši reálne scenáre (phishing, omylom poslaný e-mail, exporty do Excelu)

Prečo je výhodné riešiť GDPR a nové regulácie s konzultantom

Vo firmách to často vidím takto: niekto „dostal GDPR“ popri práci. HR, office, IT, niekedy právnik. Výsledok je, že sa robí len to, čo horí. A to je presne recept na byrokraciu.

Konzultačný prístup je výhodný z troch dôvodov:

  1. Znižujete legislatívne riziko rýchlejšie a s menším počtom krokov
  2. Skúsenosť z praxe šetrí čas. Namiesto dvadsiatich dokumentov nastavíte päť procesov, ktoré reálne fungujú.
  3. Zjednodušíte internú administratívu
  4. Keď sú jasné účely, lehoty, role a systémové nastavenia, ľudia prestanú robiť veci „na vlastnú päsť“. Menej výnimiek znamená menej chaosu.
  5. Lepšie prejdete auditmi a tendrami
  6. Čoraz viac klientov chce vidieť: bezpečnosť, incident proces, zmluvy so sprostredkovateľmi, prístupové politiky. Ak to máte upratané, obchodne vám to pomáha.

Dôležité je, aby compliance bolo navrhnuté podľa veľkosti a rizika firmy. Iný režim potrebuje e-shop, iný výrobca s IoT zariadeniami, iný poskytovateľ zdravotných služieb.

Čo si z tohto článku odniesť

Budúcnosť ochrany údajov je kombinácia GDPR a nových pravidiel, ktoré tlačia firmy do lepšej transparentnosti, bezpečnosti a riadenia rizík. Dobrá správa je, že sa to dá zvládnuť bez prehnanej byrokracie, ak sa prestanete spoliehať na „papier“ a začnete stavať na procesoch, zodpovednostiach a reálnych kontrolách.

Ak chcete praktický smer, držte sa tejto logiky:

  • najprv mapujte realitu (dáta, systémy, účely)
  • potom nastavte právne základy a transparentnosť
  • upracte dodávateľov a prenosy
  • posilnite bezpečnosť a incident proces
  • zjednodušte retenciu a mazanie
  • zaveďte pravidelný review

Takto sa firma dostane do stavu, keď sa GDPR a nové regulácie stanú výhodou: menej problémov, menej chaosu, vyššia dôveryhodnosť a lepšia pozícia pri klientoch aj partneroch.

Často kladené otázky

Čo znamená GDPR v kontexte súčasnej digitálnej doby?

GDPR je základným rámcom pre ochranu osobných údajov, ktorý stanovuje princípy ako zákonnosť, minimalizáciu a transparentnosť. V digitálnej dobe však nestačí len dodržiavať GDPR, pretože údaje sa pohybujú rýchlejšie než procesy a technológie menia spôsob ich spracúvania. Preto sa k nemu pridávajú ďalšie pravidlá a regulácie.

Prečo už samotné GDPR nestačí na zabezpečenie compliance vo firmách?

GDPR je technologicky neutrálne a poskytuje všeobecné princípy, ale nevyrieši komplexné výzvy ako masové spracovanie údajov v ekosystémoch, nové technológie (umelá inteligencia, biometria) alebo bezpečnostné incidenty. Preto je potrebné implementovať aj ďalšie normy ako ePrivacy, NIS2 či AI Act.

Aké trendy ovplyvňujú ochranu osobných údajov podľa aktuálnych regulácií?

Medzi hlavné trendy patrí masové spracovanie a zdieľanie údajov v rôznych systémoch, využívanie nových technológií s potenciálnymi rizikami (napr. automatizované rozhodovanie) a zvýšený dôraz na bezpečnosť a kontinuitu služieb vrátane kybernetických incidentov.

Ako sa zmení uplatňovanie GDPR do roku 2026?

Aj keď text GDPR zostáva rovnaký, jeho aplikácia sa mení s dôrazom na preukázateľnosť (accountability), kde firmy musia dokázať, že ich opatrenia fungujú. Transparentnosť a pravdivosť informácií o spracúvaní údajov bude pod drobnohľadom a prenosy dát do tretích krajín vrátane cloudu budú vyžadovať dôkladné nastavenie zmluvných doložiek a hodnotení.

Čo znamená preukázateľnosť (accountability) v rámci GDPR?

Preukázateľnosť znamená, že nestačí len mať zavedené pravidlá ochrany údajov, ale firmy musia vedieť ukázať ich reálne fungovanie – napríklad správne vedené záznamy o spracovaní údajov, obhájiteľné právne základy pre každý účel spracovania, kontrolu interných oprávnení a relevantné školenia zamestnancov.

Aké požiadavky kladie GDPR na transparentnosť pri informovaní o spracovaní osobných údajov?

Informácie o spracovaní musia byť jasné, čitateľné a pravdivé. To zahŕňa oznamy o spracúvaní údajov, cookie lišty či nastavenia súhlasov. Právnický jazyk sa už nesmie používať na úkor pochopiteľnosti najmä v komunikácii so spotrebiteľmi (B2C).

Kontaktujte nás a dohodnite si bezplatnú konzultáciu:

Kontaktný formulár
gdpro

Pomoc s GDPR pre
podnikateľov

WebPomoc s.r.o.
Znievska 32
851 06 Bratislava
IČO: 46 465 375

info@gdpro.sk0919-888-880
GDPRvzor.skNariadenieGDPR.euBOZPRO.sk

© 2026 Powered by Webpomoc