Keď sa 5. februára 2026 v Spojenom kráľovstve spustila ďalšia vlna účinnosti zákona Data (Use and Access) Act 2025, väčšina verejnosti si to ani nevšimla. Žiadne titulky v správach, žiadne masové kampane. A predsa ide o jeden z najzaujímavejších momentov vo vývoji ochrany a využívania dát za posledné roky. Prečo? Lebo je to moment, keď sa ochrana dát prestáva hrať na papiere a začína riešiť realitu.
Hoci ide o legislatívu Spojeného kráľovstva, jej dopad na európske spoločnosti je masívny. Ako váš expert na GDPR a dátovú bezpečnosť vám priblížim, prečo by táto zmena mala zaujímať každého manažéra a podnikateľa aj u nás na Slovensku.
Čo je to DUAA 2025 a prečo prichádza práve teraz?
Zákon o využívaní a prístupe k dátam (DUAA), prijatý v júni 2025, nie je vôbec kozmetickou úpravou. Je to ambiciózny pokus Spojeného kráľovstva o „inteligentnú reguláciu“. Cieľom je odbúrať administratívnu záťaž, ktorá sa za roky s GDPR nahromadila, a uvoľniť ruky inováciám, najmä v oblasti umelej inteligencie (AI) a vedeckého výskumu. Pre európske firmy to znamená potrebu nechať sa navigovať v dvoch mierne odlišných svetoch: v prísnom európskom GDPR a v novom, flexibilnejšom britskom modeli.
DUAA otvorene priznáva niečo, čo sa v Európe často vyslovuje len potichu: že GDPR, hoci je hodnotovo správne, sa v každodennej praxi často používa spôsobom, ktorý brzdí rozumné používanie dát bez toho, aby reálne zvyšoval ochranu jednotlivca. Pripravovaný tkz. Digital Omnibus by síce mohol byť riešením, ale nebolo by na škodu keby si z DUAA zobral to najlpšie.
DUAA je pokusom posunúť sa od ilúzie absolútnej kontroly k regulácii, ktorá vychádza z reálneho správania organizácií, technológií a ľudí. A práve preto by mala zaujímať aj európske firmy.
GDPR vzniklo v čase, keď sme mali pocit, že ak dáta dostatočne „zviažeme“ pravidlami, tak ich dokážeme udržať pod kontrolou. Ochrana súkromia bola vnímaná ako súbor procesov: testy, záznamy, poučenia, checkboxy.
Lenže odvtedy sa svet posunul. Dáta sa prestali správať ako dokumenty a začali sa správať ako tok. Prechádzajú systémami, algoritmami, cloudmi, dodávateľmi, modelmi umelej inteligencie. A práve tu GDPR začalo narážať na svoje limity. DUAA tento problém nepomenúva konfrontačne, ale rieši ho pragmaticky. A to stoji za ocenenie.
Súboj regulácií: GDPR vs. Data Act vs. DUAA
Pri pohľade z výšky vidíme v Európe tri veľké regulácie, ktoré do seba narážajú:
GDPR (EÚ): Zostáva „zlatým štandardom“ ochrany súkromia. Je konzervatívne, kladie dôraz na súhlas a prísne obmedzuje, resp. kontroluje prenosy dát mimo EÚ.
Data Act (EÚ): Toto nariadenie sa zameriava na zdieľanie priemyselných dát (napr. z vašich prepojených strojov v továrni). Chce, aby dáta neboli uzamknuté u výrobcov, ale aby s nimi mohli pracovať aj opravári či analytici.
DUAA (UK): Snaží sa byť praktickým kompromisom. Kým GDPR vás núti pýtať sa „Môžem tie dáta spracovať?“, DUAA sa pýta „Ako môžeme tie dáta využiť zodpovedne?“.
Pre európske spoločnosti to z pohľadu Anglicka znamená, že pri spracúvaní dát britských občanov môžu využívať novú koncepciu „uznaných legitímnych záujmov“. To im umožňuje spracovávať dáta na účely prevencie podvodov alebo sieťovej bezpečnosti bez toho, aby museli zložito dokazovať, že ich záujem je silnejší než súkromie jednotlivca. Zákon to už predpokladá. Druhá vec je byť si vedomí aj nariadenia GDPR a dať to do súladu.
Pozitíva a negatíva novej legislatívy
Pozitíva pre biznis:
Zníženie byrokracie: Menej „papierovačiek“ pri bežných marketingových cookies alebo pri vedeckom výskume.
Inovačný náskok: Jasnejšie pravidlá pre AI umožňujú rýchlejšie nasadzovanie technológií, čo je v súlade s normou ISO 42001.
Flexibilné prenosy: Štandard ochrany pre medzinárodné prenosy dát sa posunul na úroveň „nie podstatne nižší“, čo zjednodušuje globálnu spoluprácu.
Negatíva a riziká:
Regulačná fragmentácia: Firmy pôsobiace v EÚ aj UK musia udržiavať dva systémy compliance, čo zvyšuje náklady na právne služby.
Drastické pokuty: Podľa nových pravidiel PECR (ochrana súkromia v komunikácii) sa maximálne pokuty vyšplhali na 17,5 milióna libier alebo 4 % obratu. To je pre marketérov zdvihnutý varovný prst.
Neistota adekvátnosti: Ak by sa UK príliš vzdialilo od GDPR, EÚ by mohla zrušiť uznanie Spojeného kráľovstva ako bezpečnej krajiny, čo by zastavilo voľný tok dát.
Analýza kľúčového aspektu DUAA: Automatizované rozhodovanie
Jednou z najvýznamnejších zmien je postoj k rozhodnutiam, ktoré robia stroje namiesto ľudí.
Identifikácia a znenie zákona: Ide o ustanovenia v Časti 5 zákona DUAA 2025, ktoré zásadne reformujú pôvodný článok 22 britského GDPR. Zákon teraz umožňuje organizáciám spoliehať sa na širší rozsah zákonných základov pre významné automatizované rozhodnutia. To znamená, že ak algoritmus rozhodne o vašom osude (napríklad pri žiadosti o úver), už to nie je vnímané ako „zakázané s výnimkami“, ale ako „povolené so zárukami“.
Povinnosti a práva: Organizácie majú po novom povinnosť implementovať robustné bezpečnostné brzdy. Musia vykonávať posúdenia vplyvu (DPIA) podľa metodík blízkych normám ISO 42001 (pre systémy AI). Na druhej strane, dotknuté osoby (my všetci) máme posilnené právo na „zmysluplný ľudský zásah“. To znamená, že ak nás stroj odmietne, máme právo chcieť, aby sa na náš prípad pozrel živý človek. Takéto právo máme ale v EÚ už teraz.
Príklad z praxe a riešenie: Predstavte si modernú technologickú firmu v Bratislave, ktorá má pobočku v Londýne a používa AI na prvotný výber uchádzačov o zamestnanie. V starom režime by bol takýto postup právne riskantný.
Riešenie podľa DUAA: Firma môže tento systém plne nasadiť, ak uchádzača vopred informuje o logike algoritmu a zaručí mu právo na odvolanie sa k personalistovi. Je to win-win: firma zrýchli nábor a uchádzač má právnu istotu.
Ďalším príkladom je prístup k zákonnosti spracúvania. Kým GDPR hovorí: „máte legitímny záujem, ale musíte si ho dôkladne odôvodniť“, tak DUAA hovorí: „existujú situácie, kde je legitímnosť zrejmá, a netreba sa tváriť, že ide o etickú dilemu“. Nie je to ale oslobodenie od zodpovednosti. Je to presun z formálnych testov na reálne hranice správania.
Pre európske firmy je toto veľmi dôležitý signál. Nie preto, že by si mohli dovoliť ignorovať GDPR. Ale preto, že sa ukazuje, kam sa regulácia môže posunúť, keď prestane predstierať, že každý dátový tok je potenciálnym porušením práv.
Ešte výraznejší posun vidno pri automatizovanom rozhodovaní. GDPR bolo v tejto oblasti vždy opatrné až nedôverčivé. Článok 22 pôsobí, akoby vznikol v svete, kde algoritmy rozhodujú o ľuďoch potajme a bez kontroly.
Realita je však iná. Automatizované rozhodovanie sa stalo infraštruktúrou. Používa sa pri nábore, úveroch, poisťovníctve, ale aj pri ochrane pred podvodmi či pri poskytovaní služieb. DUAA namiesto zákazu kladie otázku: je systém pochopiteľný? Existuje ľudský dohľad? Môže sa človek ozvať, ak rozhodnutie nedáva zmysel?
Ak áno, automatizácia nie je problém. Problémom je netransparentnosť. Pre európske spoločnosti to znamená život v dvoch realitách. Na jednej strane GDPR a AI Act s prísnejšími hranicami, na druhej strane UK, kde sa viac dôveruje procesom než zákazom. Pre medzinárodné skupiny to bude znamenať tlak na jednotný, ale prísnejší štandard.
Veľmi citlivou oblasťou sú aj medzinárodné prenosy dát. GDPR tu dlhodobo pracuje s pojmom „v podstate rovnocenná ochrana“, čo je právne elegantné, ale v praxi často neuchopiteľné.
DUAA zavádza jednoduchšiu logiku: ochrana nemusí byť identická, nesmie byť podstatne nižšia. Je to regulácia založená na primeranom riziku, nie na dokonalosti.
Pre európske firmy to však nie je dôvod na uvoľnenie sa. Skôr na zvýšenú pozornosť. Rozdielne hodnotenia medzi EÚ a UK môžu totiž znamenať, že to, čo je na jednej strane kanála prijateľné, bude na druhej strane problémom.
Zaujímavé je, že tam, kde ide o deti, DUAA vôbec nepôsobí mäkko. Práve naopak.
Online služby majú povinnosť uvažovať očami dieťaťa, nie právnika. Nie je dôležité, či je všetko formálne vysvetlené, ale či nastavenia reálne chránia slabšieho používateľa. Toto je oblasť, kde sa DUAA a GDPR stretávajú nie v paragrafoch, ale v hodnotách.
Podobne realistický prístup vidno aj pri právach dotknutých osôb. DUAA otvorene priznáva, že niektoré žiadosti nie sú o ochrane práv, ale o nátlaku alebo obštrukcii. Regulácia tým nestráca ľudskosť. Naopak, vracia ju späť do rovnováhy.
A napokon marketing, cookies a elektronická komunikácia. DUAA mierne uvoľňuje režim tam, kde sa z ochrany súkromia stal skôr rituál než ochrana. Zároveň však výrazne zvyšuje sankcie tam, kde ide o skutočné zneužívanie.
Odkaz je jasný: menej formálnych súhlasov, viac reálnej zodpovednosti. Pre európske organizácie DUAA neznamená návod, ako obísť GDPR. Je to skôr zrkadlo.
Ukazuje sa teda, že ochrana údajov môže fungovať aj inak: ako systém dôvery, zodpovednosti a rozumného rizika, nie len ako nekonečný zoznam povinností. A možno práve v tomto smere sa bude musieť Európa skôr či neskôr zamyslieť. Možno práve pri príprave toho Digitálneho Omnibusu.
Čo by mali organizácie robiť teraz?
Odporúča sa nečakať. Britský zákon DUAA 2025 je už realito
Audit dodávateľského reťazca: Mnohé vaše cloudové služby alebo IT partneri môžu sídliť v UK. Preverte si, ako zmenili svoje zmluvné podmienky.
Aktualizácia DPIA: Ak používate AI, vaše staré posúdenia vplyvu na ochranu údajov už nemusia stačiť. Pozrite sa na ne optikou synergií medzi GDPR a britským DUAA.
Príprava na jún 2026: Vtedy vstúpia do platnosti prísnejšie pravidlá na vybavovanie sťažností. Vybudujte si interný proces už dnes.
Britský „experiment“ s DUAA nám ukazuje smer, ktorým sa možno raz vyberie aj celá Európa, teda smerom k dátam, ktoré slúžia spoločnosti, no stále pod prísnym dohľadom nad naším súkromím.
