Regulácia Chat Control (oficiálne nazývaná "Regulation on laying down rules to prevent and combat child sexual abuse") predstavuje jeden z najkontroverznejších legislatívnych návrhov Európskej únie v oblasti digitálnych práv za posledné roky. Táto regulácia, ktorej kľúčové hlasovanie je naplánované na 14. októbra 2025, má za cieľ posilniť boj proti sexuálnemu zneužívaniu detí online, ale vyvoláva aj veľmi vážne otázky o kompatibilite so základnými princípmi GDPR a ochrany osobných údajov.
EÚ rieši túto tému už od roku 2022, naráža však na tlak aktivistov. Podľa nich by sa tým otvorili zadné vrátka napríklad pre vlády, ktoré by chceli monitorovať komunikáciu novinárov či politických oponentov. Verejný tlak už prinútil Česko, aby svoj postoj zmenilo.
Slovensko však s poslednou verziou návrhu, ktorá obsahuje aj prelomenie šifrovania, nemalo problém.
Málokedy môže demokraticky orientovaný občan so Smerom súhlasiť, ale v tomto prípade by mal byť s ním zajedno. Strana Smer totiž v lete začala návrh konečne verejne kritizovať ako neprimeraný zásah do súkromia občanov s tým, že ide o výmysel EÚ. A má pravdu, hoci ťažko predpokladať úprimný zámer. V tomto článku je aj rozpísané prečo. Prekvapujúce je iba to, že EÚ akosi zabudla na nariadenie GDPR, hoci na to upozornili aj viaceré európske útvary, napríklad Európsky výbor pre ochranu údajov alebo think-tank europarlamentu.
Dnes už aj rezort vnútra SR hovorí o potrebe jasných záruk pri ochrane súkromia. Neodpovedá však priamo na to, či podporí návrh obsahujúci prelomenie šifrovania. Na mieste je ale otázka o aké záruky by malo vlastne ísť? Veď dodržiavanie GDPR je jasnou zárukou (aj so svojimi nedostatkami). Stačí to iba neignorovať a kontrolovať.
O čo teda ide v poslednom návrhu:
Inými slovami, posledný návrh je určitý kompromis medzi snahou chrániť deti a snahou bojovať proti kriminalite, no podľa odporcov sa otvára Pandorina skrinka. Keď raz šifrovanie oslabíte, nemožno ho už bezpečne udržať. Okrem toho, proti kriminalite sa dá bojovať aj menej invazívnymi prostriedkami. To už je ale na samostatný článok.
Monitorovanie komunikácie:
Nový návrh už neráta s plošným sledovaním všetkých textov a hovorov.
Kontrolovať by sa mali len obrázky a odkazy.
Používatelia šifrovaných služieb (WhatsApp, Messenger, iMessage) budú musieť dať súhlas na monitorovanie, no nie je jasné, čo sa stane, ak ho odmietnu.
Obmedzenia pre štáty:
Možnosť vydávať príkazy na sledovanie má byť viac obmedzená.
Dáta by mali byť anonymizované a technológie kontrolované, aby neohrozovali práva či bezpečnosť používateľov.
Kritika a obavy:
Novinári a whistlebloweri by stratili záruku, že ich komunikácia cez Signal či Telegram zostane úplne súkromná.
Kritici hovoria, že návrh fakticky oslabuje šifrovanie – akékoľvek „zadné dvierka“ zvyšujú riziko zneužitia zo strany hackerov či iných aktérov, aj keď pôvodne mali slúžiť polícii.
Proti návrhu sa postavili Česko, Fínsko a viaceré občianske organizácie.
Postoj europarlamentu (2023):
Jasne odmietol akékoľvek zásahy do šifrovania medzi koncovými zariadeniami.
Zdôraznil, že šifrovanie sa nesmie oslabiť ani narušiť.
Súčasný stav:
Posledné znenie textu, ktoré sa teraz prerokúva, však stále počíta s možnosťou narušiť šifrovanie.
Client-side Scanning
Najkontroverznejším prvkom návrhu je zavedenie client-side scanning (CSS), ktoré by vyžadovalo od poskytovateľov komunikačných služieb implementáciu skenovania obsahu priamo na zariadeniach používateľov ešte pred šifrovaním správ. Tento mechanizmus by pracoval nasledovne:
Lokálny screening - každá správa, fotografia alebo video by sa pred odoslaním automaticky porovnala s databázou známych materiálov CSAM
Automatické nahlásenie - v prípade zhody by zariadenie odoslalo dáta na server EUCSA (European Centre to Combat Child Sexual Abuse)
Postúpenie orgánom - EUCSA by následne informoval národné orgány činné v trestnom konaní
Netreba byť ani raketovým vedcom, aby bolo zrejmé čo to znamená pre súkromie.
Dosah regulácie
Regulácia by sa vzťahovala na všetkých poskytovateľov online služieb pôsobiacich v členských štátoch EÚ, vrátane:
Poskytovateľov hostingu
Služieb medziľudskej komunikácie
Aplikačných obchodov
Služieb ako WhatsApp, Signal, Telegram
Analýza z pohľadu GDPR a základných práv
Porušovanie základných princípov GDPR
Princíp minimalizácie údajov (Článok 5(1)(c) GDPR)
Chat Control predstavuje fundamentálny rozpor s princípom minimalizácie údajov, keďže vyžaduje spracovanie všetkých komunikačných údajov všetkých občanov bez ohľadu na podozrenie. Európsky súdny dvor už v prípade Schrems vs. Meta Platforms jasne potvrdil, že princíp minimalizácie údajov neumožňuje "spracovanie osobných údajov bez obmedzenia času alebo typu údajov".
Princíp obmedzenia účelu (Článok 5(1)(b) GDPR)
Regulácia umožňuje použitie údajov získaných na boj proti CSAM potenciálne aj na iné účely presadzovania práva, čo porušuje princíp obmedzenia účelu. GDPR explicitne vyžaduje, aby osobné údaje boli "zozbierané na konkrétne, explicitne a legitímne účely".
Nedostatočný právny základ (Článok 6 GDPR)
Európsky dozorný úradník pre ochranu údajov (EDPS) už v podobnej záležitosti rozhodol, že politické kampane na podporu Chat Control porušili GDPR, keďže nebola stanovená dostatočne jasná a presná právna báza. Toto rozhodnutie naznačuje vážne pochybnosti o právnom základe samotnej regulácie.
Konflikt s Chartou základných práv EÚ
Aby to nestačilo, tak návrh zámeru Chat Control je aj proti:
Článok 7 - Právo na rešpektovanie súkromného a rodinného života
Európsky súd pre ľudské práva v prípade Podchasov vs. Rusko jasne potvrdil, že oslabovanie šifrovania môže viesť k všeobecnému a nerozlišujúcemu sledovaniu komunikácie všetkých používateľov a porušuje ľudské právo na súkromie. Chat Control by vytvoril presne takýto systém masového sledovania.
Článok 8 - Ochrana osobných údajov
Regulácia by vyžadovala spracovanie osobných údajov na bezprecedentnej úrovni, čo je v rozpore s článkom 8 Charty, ktorý garantuje právo na ochranu osobných údajov.
Technické a bezpečnostné riziká
Oslabenie end-to-end šifrovania - Nezávislí experti z Cambridge University v štúdii "Bugs in Our Pockets" demonštrovali, že client-side scanning systémy sú krehké, zraniteľné voči zneužitiu a neschopné splniť požiadavky proporcionality. Dokonca aj spoločnosť Apple, ktorá takéto opatrenia kedysi zvažovala, tak po celosvetovom odpore v roku 2022 od nich nakoniec upustila.
Vysoká miera falošných pozitív - Automatické skenery môžu nesprávne identifikovať aj nevinný obsah, ako sú napríklad dovolenkové fotografie alebo súkromné žarty, ako nezákonný, čo vystavuje bežných ľudí riziku falošných obvinení. V krajinách ako Švajčiarsko dosahuje miera falošných pozitív až 80%.
Dopady na Slovensko
Pre Slovensko, ktoré v podstate návrh podporuje, by implementácia Chat Control znamenala:
Povinnosť pre všetkých poskytovateľov komunikačných služieb implementovať skenovacie technológie
Riziko porušenia slovenského ústavného práva na súkromie
Potenciálne sankcie za nedodržiavanie GDPR pri implementácii takýchto systémov
Ekonomické dopady na slovenské IT firmy a startupové spoločnosti
Slovensko by však malo jednoznačne svoju podporu Chat Control regulácie prehodnotiť a to vzhľadom na:
Jasné právne rozpory s GDPR
Technickú nerealizovateľnosť bez poškodenia bezpečnosti
Negatívne stanoviská EDPS a iných právnych expertov
Alternatívne riešenia
Netreba ani odborníkov, aby človek pochopil, že ochrana detí je síce ušľachtilý cieľ, ale za obeť tomu nesmú padnúť iné základné práva. Namiesto masového sledovania by Slovensko malo podporovať:
Cielené a na súdnych príkazoch založené vyšetrovania
Zlepšenie cezhraničnej spolupráce medzi orgánmi činnými v trestnom konaní
Investície do technológií zachovávajúcich súkromie (privacy-enhancing technologies)
Posilnenie programov prevencie a ochrany obetí
Slovensko by malo tiež vyžadovať komplexné posúdenie vplyvov na ochranu údajov (DPIA) pre akúkoľvek implementáciu Chat Control, ako vyžaduje aj článok 35 GDPR.
Regulácia Chat Control v súčasnej podobe je nezlučiteľná so základnými princípmi GDPR a Chartou základných práv EÚ. Návrh by vytvoril systém masového sledovania, ktorý:
Porušuje princíp minimalizácie údajov - spracováva údaje všetkých občanov bez rozlišovania
Nedisponuje dostatočným právnym základom - ako už potvrdil EDPS v podobných prípadoch
Ohrozuje bezpečnosť komunikácie - oslabovaním šifrovania pre všetkých používateľov
Nie je proporcionálny - cieľ ochrany detí možno dosiahnuť menej invazívnymi prostriedkami
Pre Slovensko ako expertnú krajinu v oblasti GDPR by podpora takejto regulácie znamenala podkopanie vlastnej kredibility v oblasti ochrany osobných údajov. Odporúčame Slovensku prehodnotiť svoju pozíciu a podporiť alternatívne riešenia, ktoré chránia deti bez obety základných digitálnych práv všetkých občanov EÚ.
Kľúčové hlasovanie 14. októbra 2025 bude rozhodujúcim momentom pre budúcnosť digitálnych práv v Európe. Slovensko má ešte stále príležitosť postaviť sa na správnu stranu histórie.
Tu môžete sledovať, ktoré krajiny Chat Control podporujú, ktoré sú proti a pod.: Flight Chat Control - Protect Digital Privacy in the EU.
