Digital Omnibus je návrh Európskej komisie z 19. novembra 2025, ktorý má zjednodušiť GDPR a znížiť administratívnu záťaž. Navrhuje najmä vyššiu hranicu výnimky pre záznamy o spracúvaní (do 750 zamestnancov), miernejšie hlásenie únikov (prah vysokého rizika, lehotu 96 hodín a jednotné miesto hlásenia), reformu cookies, výslovný právny základ pre trénovanie umelej inteligencie a užšiu definíciu osobných údajov. Je to zatiaľ návrh v legislatívnom procese, nič netreba meniť.
Obsah
Väčšina firiem si GDPR pamätá ako niečo, čo prišlo v roku 2018 a odvtedy sa nemení. To bola dlho pravda, ale práve teraz už nie. Európska únia rozbehla najväčšie prepracovanie GDPR od jeho vzniku a jeho zmyslom je, prekvapivo, zjednodušenie.
Ide o návrh nazvaný Digital Omnibus, ktorý Európska komisia predstavila v novembri 2025. Netreba pri ňom podľahnúť dvom protichodným stavom: ani panike, že sa všetko mení, ani nádeji, že netreba nič robiť, lebo to čoskoro bude jednoduchšie. Realita je triezvejšia. Je to zatiaľ návrh, ktorý sa môže výrazne zmeniť, nič z neho neplatí a platiť ešte dlho nebude. Oplatí sa ale vedieť, kam to smeruje, aby ste sa mohli pripraviť a nerobili dnes zbytočnú prácu.
Čo je Digital Omnibus a prečo vznikol?
Digital Omnibus je balík legislatívnych zmien, ktorý má zosúladiť a zjednodušiť viacero európskych digitálnych predpisov naraz, nielen GDPR, ale aj smernicu o súkromí v elektronických komunikáciách, Data Act, smernicu NIS2 a nariadenie o umelej inteligencii. Cieľom je znížiť administratívnu záťaž firiem, podľa Komisie o štvrtinu pre všetky firmy a o viac než tretinu pre menšie subjekty, a zvýšiť konkurencieschopnosť Európy.
Pre GDPR je to najkomplexnejší návrh zmien od jeho vzniku v roku 2018. Namiesto toho, aby GDPR nahradil, cielene mení niekoľko jeho ustanovení. V ďalších častiach prejdeme tie, ktoré sa firiem a organizácií dotknú najviac.
Menej administratívy: záznamy a hlásenie únikov
Toto sú zmeny, ktoré firmám najviac uľahčia život, a preto na ne v tejto sérii viackrát odkazujeme.
Pri záznamoch o spracovateľských činnostiach sa navrhuje zdvihnúť hranicu výnimky z povinnosti viesť záznam z organizácií do 250 zamestnancov na organizácie do 750 zamestnancov, s výnimkou vysokorizikového spracúvania. Uľavilo by to tisíckam ďalších firiem, hoci, ako sme písali, záznam sa aj tak oplatí viesť kvôli vlastnému prehľadu.
Pri hlásení únikov sa navrhujú tri veci naraz. Prah, od ktorého treba únik hlásiť úradu, by sa zdvihol z „rizika“ na „vysoké riziko“, takže by sa muselo hlásiť menej drobných incidentov. Lehota by sa predĺžila zo 72 na 96 hodín. A vzniklo by jednotné miesto hlásenia prevádzkované európskou agentúrou ENISA, cez ktoré by sa naraz plnili povinnosti podľa GDPR, NIS2 aj ďalších predpisov, namiesto hlásenia viacerým úradom osobitne.
Koniec cookie klikačke?
Toto je zmena, ktorú ocení každý, kto denne odklikáva cookie lišty. Návrh presúva pravidlá pre ukladanie a prístup k údajom v zariadení používateľa zo starej smernice o súkromí priamo do GDPR a snaží sa riešiť takzvanú únavu zo súhlasov.
V praxi by to znamenalo, že používateľ by mal vedieť odmietnuť nepodstatné cookies jedným kliknutím, rovnako viditeľne ako ich prijať, jeho voľba by platila istý čas bez opakovaného zisťovania, a časť činností by sa dala robiť aj bez cookie lišty. Súčasťou úvah sú aj signály nastavené priamo v prehliadači, ktoré by weby museli rešpektovať. Pre firmy s webom a e-shopom by to znamenalo prerobiť cookie riešenie, keď zmeny nadobudnú platnosť, zatiaľ ale platia súčasné pravidlá, ktoré sme opísali v článku o súhlase.
GDPR a umelá inteligencia
Digital Omnibus sa prvýkrát systematicky venuje aj tomu, ako sa osobné údaje smú používať pri umelej inteligencii, čo je oblasť, ktorá sa prekrýva s nariadením o AI aj s normou ISO 42001. Navrhuje výslovne uznať oprávnený záujem ako právny základ pre trénovanie a prevádzku modelov AI, ale za podmienok: posilnená transparentnosť a bezpodmienečné právo dotknutej osoby namietať, pričom test vyváženia a osobitná ochrana detí zostávajú v platnosti.
Toto je zároveň jedna z najsledovanejších zmien, lebo hľadá rovnováhu medzi rozvojom AI a ochranou súkromia. Práve tu, spolu s definíciou osobných údajov, sa dá čakať, že sa návrh počas rokovaní ešte zmení.
Najspornejšia zmena: definícia osobných údajov
Ak niektorá časť návrhu vyvolala odpor, je to táto. Komisia navrhuje spresniť, čo je osobný údaj, tak, že by sa posudzoval vo vzťahu ku konkrétnemu subjektu: Údaj, ktorý jeden subjekt nedokáže priradiť ku konkrétnej fyzickej osobe, pre neho nemusí predstavovať osobný údaj, aj keď iný subjekt s dostupnými prostriedkami túto identifikáciu vykonať vie. Dotklo by sa to napríklad pseudonymných identifikátorov.
Proti tejto zmene sa ostro postavili Európsky výbor pre ochranu údajov aj Európsky dozorný úradník pre ochranu údajov, ktorí ju vo svojom spoločnom stanovisku z februára 2026 označili za predčasnú a potenciálne škodlivú a vyzvali zákonodarcov, aby ju neprijali. Keďže ide o samotné jadro GDPR, je pravdepodobné, že finálne znenie bude iné než pôvodný návrh.
Kedy to bude platiť a čo je isté?
Toto je najdôležitejšia veta celého článku: zatiaľ neplatí nič. Návrh prechádza riadnym legislatívnym procesom cez Európsky parlament a Radu a jeho text sa počas rokovaní takmer isto zmení. Prijatie sa očakáva zhruba v druhej polovici roka 2026, no účinnosť jednotlivých zmien by nabehla ešte neskôr, v niektorých prípadoch až o rok či dva. Kým sa tak stane, platí súčasné GDPR v plnom rozsahu.
Isté je zatiaľ len to, že smer je jasný, teda menej administratívy pri nízkorizikovom spracúvaní a zosúladenie s AI, a že o konečnej podobe sa ešte bude tvrdo vyjednávať, najmä o definícii údajov a o AI. Preto sa oplatí vývoj sledovať, ale nestavať na ňom dnešné rozhodnutia.
Čo s tým teraz
Najhoršie, čo môžete urobiť, je čakať so založenými rukami s odôvodnením „veď sa to zjednoduší“. Nič sa zatiaľ nezjednodušilo a základné povinnosti, teda právne základy, záznam o spracúvaní, bezpečnosť a postup pri úniku, budete potrebovať tak či tak, nech návrh dopadne akokoľvek. Zjednodušenie zníži administratívu, nezruší podstatu.
Rozumný postup je preto dvojaký. Robte to, čo platí dnes, poriadne, lebo z toho nič nebude zbytočné. A veci, ktoré sa chystajú meniť, napríklad cookie riešenie na webe, nerobte na poslednú chvíľu, ale ani ich neodkladajte donekonečna. Zdravý stred medzi panikou a nečinnosťou je aj tu najlepšia stratégia.
Ak si chcete ujasniť, čo z pripravovaných zmien sa vás reálne dotkne a čo máte riešiť už teraz, a nechcete v tom byť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.
Časté otázky
Čo je Digital Omnibus?
Návrh Európskej komisie z 19. novembra 2025, ktorý má zjednodušiť viacero digitálnych predpisov vrátane GDPR a znížiť administratívnu záťaž firiem. Je to najkomplexnejší návrh zmien GDPR od jeho vzniku v roku 2018.
Platia už zmeny z Digital Omnibusu?
Nie. Ide zatiaľ o návrh v legislatívnom procese. Žiadna zo zmien nenadobudla účinnosť a súčasné GDPR platí v plnom rozsahu. Prijatie sa očakáva zhruba v druhej polovici roka 2026, účinnosť ešte neskôr.
Čo najdôležitejšie sa má na GDPR zmeniť?
Najmä vyššia hranica výnimky pre záznamy o spracúvaní (do 750 zamestnancov), miernejšie hlásenie únikov (prah vysokého rizika a lehota 96 hodín), reforma cookies, právny základ pre trénovanie AI a užšia definícia osobných údajov.
Mám kvôli Digital Omnibusu niečo meniť už teraz?
Nie. Keďže nič neplatí, netreba meniť nič. Naopak, súčasné povinnosti treba plniť ďalej, lebo väčšina z nich ostane potrebná aj po prijatí zmien.