Čo by sa stalo, keby Váš zamestnávateľ monitoroval nielen to, čo robíte, ale aj to, čo si myslíte? Technológia, ktorá to umožňuje, dnes existuje. Volá sa neurotechnológia. A zákonodarcovia po celom svete sa ponáhľajú postaviť regulačné múry okolo toho, čo je asi poslednou skutočnou súkromnou sférou moderného človeka: ľudského mozgu.
Mozog ako databáza: Čo sú vlastne neurónové dáta?
Keď kardiológ sleduje srdcový rytmus na EKG, nikto to nepovažuje za porušenie súkromia. Ale čo keď zamestnávateľ sleduje aktivitu mozgových vĺn aby vedel, či ste sústredení, unavení, alebo – a tu to začína byť zaujímavé – či sa vám táto práca páči?
Neurónové dáta, technicky povedané, sú informácie generované meraním aktivity centrálnej alebo periférnej nervovej sústavy jedinca. Sú to záznamy o tom, ako váš mozog reaguje na svet okolo vás. Zahŕňajú výsledky:
EEG (elektroencefalografov),
záznamy z mozgovo-počítačových rozhraní (BCI - Brain-Computer Interfaces) ako je Neuralink od Elona Muska, ale aj
výstupy zo spotrebiteľských nositeľných zariadení, napríklad čelenkových monitorov pre deti s ADHD od spoločnosti Neurode.
Na rozdiel od iných osobných údajov, neurónové dáta nepopisujú len to, čo ste urobili, ale môžu odhaliť aj to, čo ste cítili, čo ste chceli, alebo dokonca čo ste zamýšľali urobiť, a to skôr, ako ste to stihli urobiť sami.
Práve táto schopnosť preniknúť k samotnej podstate identity a kognitívnych procesov robí z neurónových dát bezprecedentne citlivú kategóriu osobných údajov. A práve preto sú zákonodarcovia od Colorada po Čile na nohách.
Prečo je to iné ako odtlačok prsta
Keď sa hovorí o biometrických údajoch, väčšina ľudí si predstaví odtlačok prsta alebo scan tváre. Tieto údaje sú statické: odtlačok prsta sa nemení, scan tváre odhalí maximálne vašu totožnosť a možno trochu emócií. Neurónové dáta sú však dynamické a omnoho komplexnejšie.
Mozog pracuje v reálnom čase. EEG zachytáva tisíce elektrických impulzov za sekundu. Algoritmy strojového učenia dokážu z týchto dát extrahovať vzorce, ktoré zodpovedajú konkrétnym emocionálnym stavom, miere stresu, kognitívnej záťaži, alebo dokonca skrytým predsudkom, ktoré si sami neuvedomujeme. Vedci v laboratóriách ukázali, že z EEG signálov je možné rekonštruovať vizuálne obrazy, ktoré subjekt práve videl.
Zdravotné benefity sú pritom nesporné. Lekári dlhé roky využívajú vzorce mozgových vĺn na predpoveď epileptických záchvatov, manažment depresívnych porúch, riešenie porúch spánku a hodnotenie poranení mozgu. Nové technológie sú schopné pomôcť nemým ľuďom prekladať ich myšlienky do reči. To sú skutočné zázraky modernej medicíny.
No rovnaká technológia môže byť použitá na to, aby zamestnávatelia filtrovali uchádzačov o prácu podľa ich mozgovej aktivity, aby obchodníci cielili reklamy na základe nevedomých túžob spotrebiteľov, alebo aby orgány činné v trestnom konaní identifikovali podozrivých na základe neurálnych odpovedí. V nesprávnych rukách sa naše vlastné myšlienky môžu stať zbraňou namierenú proti nám.
Regulačná lavína: Čo sa deje v USA
Americká právna scéna je tradične decentralizovaná a v oblasti ochrany dát platí to isté. Výsledok je regulačná pestrá paleta zákonov, kde každý štát robí veci inak.
Colorado – Priekopník (účinnosť: 7. augusta 2024)
Colorado sa stalo prvým štátom USA, ktorý explicitne ochránil neurónové dáta, keď guvernér Jared Polis podpísal zákon Protect Privacy of Biological Data Act (HB24-1058). Zákon rozširuje definíciu citlivých dát v rámci Colorado Consumer Privacy Act o biologické dáta vrátane neurálnych.
Vyžaduje kladný opt-in súhlas pred akýmkoľvek zberom, spracúvaním alebo zverejňovaním neurónových dát. Súhlas musí byť jasný, slobodne daný, informovaný, špecifický a jednoznačný. Zároveň zakazuje tzv. dark patterns – manipulatívne praktiky, ktoré by sťažili odvolanie súhlasu.
Kalifornia – Veľký hráč (účinnosť: 1. januára 2025)
Kalifornia zmenila California Consumer Privacy Act (CCPA) prostredníctvom novely SB 1223, ktorá zaraďuje neurónové dáta do kategórie citlivých osobných informácií. Na rozdiel od Colorada Kalifornia nevyžaduje aktívny opt-in, ale právo na odhlásenie (opt-out). Dôležitý rozdiel: kalifornský zákon chráni nielen spotrebiteľov, ale aj zamestnancov – to je v USA priekopnícky krok!
Connecticut a Montana – Ďalší v rade (2025)
Connecticut zákon (SB 1295, účinný od 1. júla 2025) vyžaduje opt-in súhlas a dokonca zakazuje dark patterns. Zaujímavosťou je, že chráni dáta z mozgu a miechy, ale nie z končatín, orgánov alebo kože. Montana (SB 163, účinný od 1. októbra 2025) ide ešte ďalej: vyžaduje päť samostatných súhlasov pre rôzne spôsoby využitia neurálnych dát, vrátane transferu tretím stranám, marketingu na základe neurálnych dát alebo predaju týchto dát.
Federálna úroveň: MIND Act
Na federálnej úrovni senátori Charles Schumer, Maria Cantwell a Ed Markey predložili zákon MIND Act 2025 (S. 2925 – Management of Individuals' Neural Data). Ak bude prijatý, zákon pridelí 10 miliónov dolárov Federálnej obchodnej komisii (FTC) na ročnú konzultáciu s odborníkmi a analýzu toho, či existujúci právny rámec dostatočne chráni neurálne dáta.
Pohľad z Európy: GDPR, AI Akt a medzery v ochrane
Európska únia má povesť globálneho lídra v ochrane osobných údajov. Ale keď príde na neurónové dáta, ani GDPR nie je dokonalé.
GDPR a neurónové dáta: Nepriama ochrana
Nariadenie GDPR (Nariadenie EÚ 2016/679) neurónové dáta explicitne nemenuje. To však neznamená, že sú bez ochrany. Neurónové dáta môžu spadať pod viacero kategórií špeciálnych dát podľa článku 9 GDPR, konkrétne:
Biometrické dáta – ak sú spracúvané na účely jedinečnej identifikácie fyzickej osoby (čl. 4 ods. 14 GDPR)
Zdravotné dáta – ak sa týkajú fyzického alebo duševného zdravia vrátane informácií o zdravotnom stave (čl. 4 ods. 15 GDPR)
Osobitná kategória: vo všeobecnosti, ak odhaľujú intímne aspekty osoby (čl. 9 GDPR)
V praxi to znamená, že spracúvanie neurálnych dát vyžaduje výslovný súhlas dotknutej osoby (čl. 9 ods. 2 písm. a) GDPR), zverejnenie účelu spracúvania, posúdenie vplyvu na ochranu dát (DPIA, čl. 35 GDPR) a prípadne zásadu primeranosti pri spracúvaní vo verejnom záujme.
GDPR teda poskytuje relatívne silnú, ale nepriamu ochranu. Problémom je hlavne interpretačná neistota: záleží od toho, ako konkrétny dozorný orgán neurónové dáta klasifikuje. To vytvára riziko nekonzistentnej ochrany naprieč členskými štátmi EÚ.
AI Akt a neurónové dáta: Kedy je AI systém hrozbou
Nariadenie EÚ 2024/1689 – Akt o umelej inteligencii (AI Akt) – prináša revolučný prístup: klasifikuje AI systémy podľa ich rizikovosti. Pre neurónové dáta je relevantných hneď niekoľko ustanovení.
Článok 5 AI Aktu zakazuje vybrané praktiky s vysokým rizikom, vrátane systémov sublimálnej (podprahovej) manipulácie a systémov využívajúcich zraniteľnosti osôb. AI systém, ktorý by využíval neurálne dáta na manipuláciu rozhodovania bez vedomia dotknutej osoby, by veľmi pravdepodobne padol pod tento absolútny zákaz.
Príloha III AI Aktu zaraďuje do vysokorizikových systémov (podliehajúcich prísnym požiadavkám podľa článku 9 až 15) okrem iného AI systémy v oblasti vzdelávania, zamestnávania, kritickej infraštruktúry a biometrické systémy. Takže napríklad AI systém spracúvajúci neurálne dáta žiakov pre adaptáciu vzdelávacieho procesu by spadal do tejto kategórie.
Článok 13 AI Aktu požaduje transparentnosť: používatelia musia byť informovaní o tom, že interagujú s AI systémom. Pri BCI zariadeniach je transparentnosť životne dôležitá. Článok 14 zakotvuje povinnosť ľudského dohľadu nad vysokorizikovými AI systémami, čo je obzvlášť dôležité pri systémoch, ktoré by mohli autonómne interpretovať neurálne dáta.
Synergia GDPR a AI Aktu
GDPR a AI Akt sa navzájom dopĺňajú a tvoria dvojitú ochrannú vrstvu. GDPR chráni neurálne dáta ako osobné dáta a vyžaduje výslovný súhlas. AI Akt reguluje samotné AI systémy, ktoré tieto dáta spracúvajú, a kladie prísne požiadavky na transparentnosť, ľudský dohľad a hodnotenie rizík.
Pohľad z iného kúta zemegule: Čile ako priekopník
Kým EÚ a USA stále hľadajú optimálny prístup, Čile urobilo historický krok: v roku 2021 sa stalo prvou krajinou sveta, ktorá neurálne práva zakotvila priamo v ústave! Čilský senát jednomyseľne schválil ústavný dodatok, ktorý dáva ľudskej mysli rovnaké postavenie ako orgánom tela, nemôže byť predaná, kúpená ani manipulovaná!
Čilský najvyšší súd tento nový ústavný princíp prvýkrát uplatnil v praxi v roku 2023 v prelomovom rozsudku proti americkej neurotechnologickej spoločnosti Emotiv. To je signál, že tkz. neurorights nie sú len akademický pojem, ale právne vymáhateľná realita.
Čo to znamená pre prax? Desatoro odporúčaní
Pre firmy, ktoré akýmkoľvek spôsobom prichádzajú do kontaktu s neurotechnológiami alebo biometrickými dátami, platí niekoľko zásadných odporúčaní:
Mapovanie dát: Zistite, či vaše produkty alebo služby zbierajú, spracúvajú alebo z dát odvodzujú neurálne informácie. Pamätajte: v niektorých štátoch USA patria do tejto kategórie aj staršie technológie.
Klasifikácia pod GDPR: Neurálne dáta analyzujte z hľadiska článku 9 GDPR a určite, či ide o biometrické dáta, zdravotné dáta alebo osobitnú kategóriu.
Posúdenie vplyvu (DPIA): Pre akékoľvek spracúvanie neurálnych dát vykonajte DPIA podľa článku 35 GDPR. To nie je voliteľné, ale povinné.
AI Akt klasifikácia: Posúďte, či váš AI systém spracúvajúci neurálne dáta spadá do vysokorizikovej kategórie podľa Prílohy III AI Aktu.
Opt-in, nie opt-out: Napriek tomu, že GDPR formálne umožňuje rôzne právne základy, pre neurálne dáta odporúčame výslovný opt-in súhlas (daný vopred) ako najvyšší štandard.
Zákaz dark patterns: Nikdy nepoužívajte manipulatívne rozhrania na získanie súhlasu. Colorado, Connecticut aj AI Akt to explicitne zakazujú.
Bezpečnostné opatrenia od základu (Privacy by Design/Default): Implementujte bezpečnostné opatrenia od najranejšej fázy vývoja neurotechnológií.
Záznamy o súhlase: Uchovávajte komplexné záznamy o súhlasoch a obmedzte účely využitia neurálnych dát na nevyhnutné minimum.
Medzinárodné transfery: Montana vyžaduje osobitný súhlas na transfer neurálnych dát mimo USA. Pre európske firmy platí Kapitola V GDPR.
Sledovanie legislatívy: Regulačný landscape sa mení. Desať amerických štátov má legislatívu v procese. EÚ pravdepodobne bude musieť GDPR alebo Akt doplniť o explicitnú zmienku neurálnych dát.
Záver: Myšlienky sú poslednou súkromnou sférou
Keď v roku 2018 vstúpilo do platnosti GDPR, mnohí hovorili, že ide o revolúciu. A mali pravdu. Ale revolúcia neurotechnológií môže byť ešte väčšia. Pretože zatiaľ čo GDPR chráni to, čo o sebe zdieľate so svetom, neurorights chránia niečo oveľa základnejšie: myšlienky, ktoré ste ešte ani nevyslovili.
Bass, Berry & Sims vo svojej analýze z februára 2026 správne konštatujú, že regulačný landscape je mozaikový a dynamicky sa meniaci. Desať amerických štátov má legislatívu. Čile má ústavné právo. EÚ má nepriamu ochranu cez GDPR a AI Akt. Ale svet neurotechnológií sa vyvíja rýchlejšie ako zákony.
Neuralink, Neurode, Emotiv a stovky ďalších startupov pracujú na technológiách, ktoré zmenia spôsob, akým sa liečime, pracujeme a komunikujeme. Úlohou zákonodarcu je zabezpečiť, aby tieto technológie slúžili ľuďom a nie naopak. A úlohou každej firmy, každého vývojára a každého odborníka na ochranu dát je zostať v strehu, pretože pomyselná deliaca čiara neurodát je už tu a je reálna.
