Od 1. januára 2026 začne na Slovensku platiť nový zákon o ochrane osobných údajov, ktorý zásadne mení doterajší režim GDPR. Dôvodom je potreba zjednodušiť pravidlá pre podnikateľov, odstrániť duplicity v zákone a reagovať na dnešný digitálny svet, v ktorom dominujú cloudové služby, umelá inteligencia a rastúce kybernetické hrozby.
Nová legislatíva vytvára dva samostatné zákony, jeden pre bežné spracovanie osobných údajov vo firmách, obciach či školách a druhý pre potreby trestného práva. Pre podnikateľov to znamená jasnejšie pravidlá, menej kolízií a prehľadnejší výklad povinností.
Transparentnosť a práca so súhlasmi
Od roku 2026 sa kladie väčší dôraz na to, aby firmy komunikovali s dotknutými osobami zrozumiteľne a jednoducho. Súhlasy musia byť jasné, oddelené od ostatných textov a ľahko odvolateľné. Zákazník musí na prvý pohľad vedieť, s čím presne súhlasí a ako môže súhlas zmeniť.
DPIA posúdenie vplyvu bude povinné častejšie
Doteraz bolo DPIA povinné len pri vybraných rizikových operáciách. Od roku 2026 pribudne viac situácií, v ktorých bude firma musieť vypracovať posúdenie vplyvu na ochranu údajov, napríklad pri kamerových systémoch, cloudových riešeniach, biometrických údajoch či nástrojoch založených na umelej inteligencii. DPIA sa bude vyžadovať aj vtedy, keď spracovanie vyplýva priamo zo zákona.
Prísnejšie bezpečnostné opatrenia
Zákon počíta s vyššími požiadavkami na bezpečnosť. Nestačí mať len základné IT riešenia, firmy musia preukázať, že údaje reálne chránia. Očakáva sa šifrovanie, riadenie prístupov, dvojfaktorová autentifikácia, monitoring incidentov a jasne popísané postupy, ako má organizácia reagovať, keď dôjde k incidentu. Ten sa po novom hlási elektronicky a v kratších lehotách.
Zmeny v postavení zodpovednej osoby
Zodpovedná osoba bude zohrávať aktívnejšiu úlohu než doteraz. Nový zákon rozširuje okruh organizácií, ktoré ju musia mať, a stanovuje jej nové úlohy ako dohľad nad posúdeniami rizík, pravidelné interné audity aj účasť pri riešení incidentov. Pre mnohé menšie firmy to môže znamenať potrebu využiť externého odborníka.
Bežné firemné procesy pod novým režimom
Menia sa aj oblasti, ktoré podnikatelia často považujú za rutinné, napríklad kamerové systémy, evidencia návštev, používanie e-mailov či cloudových služieb. Všetky budú pod väčšou kontrolou a firmy si budú musieť overiť, či ich postupy spĺňajú nové požiadavky.
Sankcie a kontroly
Maximálne pokuty zostávajú rovnaké, no prax sa sprísni. Úrad bude mať rozšírené právomoci, rýchlejšie konania a väčší dôraz na prevenciu i nápravu. Sankcionované budú najmä chýbajúce súhlasy, slabé IT zabezpečenie, neoznámené incidenty či neaktuálne interné smernice.
Ako sa firmy pripravia do 31. 12. 2025
Najdôležitejším krokom je urobiť audit existujúcej GDPR dokumentácie a procesov. Na základe neho treba aktualizovať interné smernice, zmluvy so sprostredkovateľmi, registre spracovania a všetky formuláre obsahujúce súhlasy. Firmy by mali prehodnotiť aj svoje bezpečnostné opatrenia, pripraviť DPIA tam, kde bude povinné, a preškoliť zamestnancov.
Nový zákon síce prináša viac povinností, ale zároveň zohľadňuje potreby malých a stredných podnikateľov a znižuje zbytočnú administratívnu záťaž. Príprava na rok 2026 tak nie je len o tom „splniť zákon“, ale o tom, aby mala firma svoje spracovanie údajov prehľadné, bezpečné a správne nastavené.
GDPR 2026: Najväčšia zmena za posledných 10 rokov
Čo musia urobiť firmy v nasledujúcom období
Od 1. januára 2026 začne na Slovensku platiť nový zákon o ochrane osobných údajov, ktorý zásadne mení doterajší režim GDPR. Pre firmy to nie je len „kozmetická novela“, ale najväčší zásah do ochrany osobných údajov za poslednú dekádu.
Ak spracúvate osobné údaje, či už ide o klientov, zamestnancov, návštevníkov, pacientov alebo žiakov, tento zákon sa vás týka. A zároveň vám dáva šancu urobiť v ochrane údajov poriadok, znížiť riziká a mať pokoj pri kontrolách.
Nový zákon neprepisuje GDPR, ale dopĺňa iba to, čo má riešiť členský štát. Oddeľuje bežnú ochranu osobných údajov vo firmách od spracúvania na účely trestného práva čím vzniknú dva samostatné zákony. Novou legislatívu sa posilní a spresní postavenie kontrolného úradu, Úradu na ochranu osobných údajov.
Čo sa zmení pre firmy v praxi
Od roku 2026 bude ešte väčší dôraz na to, aby bežný človek rozumel, čo podpisuje, tzn. komunikácia s dotknutými osobami musí byť zrozumiteľná, stručná a konkrétna. Pre firmy to znamená revíziu všetkých formulárov (papierových aj online), súhlasov na marketing, newsletter, monitoring priestorov, informačných textov (privacypolicy/web, poučenia pri zbere údajov).
DPIA posúdenie vplyvu na ochranu údajov častejšie
Doteraz bolo DPIA povinné len v špecifických vysoko rizikových prípadoch. Nový zákon rozširuje situácie, kedy bude DPIA povinné, napríklad o kamerové systémy so širším dosahom, používanie cloudových služieb, spracúvanie biometrie (odtlačok prsta, rozpoznávanie tváre),nástroje založené na umelej inteligencii a aj vtedy, keď spracúvanie vyplýva priamo zo zákona, dôraz na to, aby riziká boli zhodnotené už pri tvorbe legislatívy, ale aj u prevádzkovateľa.
Pre prevádzkovateľov teda DPIA už nebude výnimočná výnimka, ale bežný nástroj, ktorý bude musieť mať mnoho organizácií spracovaný a aktualizovaný.
Prísnejšie a konkrétnejšie bezpečnostné opatrenia
Nestačí mať „nejaký antivírus a heslo“. Zákon posúva dôraz na skutočnú bezpečnosť spracúvania, nie len na formálne smernice. Pre firmy to znamená aktualizáciu bezpečnostnej dokumentácie, reálnu implementáciu technických a organizačných opatrení, testovanie a preukázateľnosť „ukážte, nie len napíšte“.
Zodpovedná osoba (DPO) širší okruh a vyššia zodpovednosť
Nový zákon rozširuje okruh organizácií, ktoré musia mať zodpovednú osobu, posilňuje jej úlohu a nezávislosť, dáva jej konkrétne povinnosti, napríklad. Pre mnoho menších subjektov to bude znamenať novú potrebu externého DPO ako osoby, ktorá tejto agende reálne rozumie, nie len „niekoho na papieri“.
Bežné firemné procesy pod väčšou lupou
Pod nový režim a prísnejšie pravidlá sa dostávajú aj procesy, ktoré firmy často vnímajú ako rutinu, a to najmä v oblasti HR agendy, dochádzka, homeoffice nástroje, GPS sledovanie vozidiel. Všetky tieto procesy si budú vyžadovať jasné právne základy spracúvania, informačné povinnosti, režimy uchovávania a technické opatrenia v kvalite, ako bolo popísané vyššie
Kontroly, sankcie a nový prístup úradu
Maximálne výšky pokút zostávajú v súlade s GDPR, ale mení sa praxe a nástroje Úradu. Úrad má presnejšie definované právomoci pri kontrole napr. ako vstup do priestorov, prístup k systémom, požadovanie súčinnosti. Zavádza sa predbežné opatrenie, ak sa zistí závažné porušenie, Úrad môže zasiahnuť už počas kontroly.
GDPR, AI a deepfaky nový trestný čin
Súčasťou legislatívneho balíka je aj nová trestnoprávna úprava digitálneho falšovania (deepfake), na základe ktorej vzniká nová skutková podstata trestného činu, zameraná na neoprávnené vytváranie a šírenie realisticky vyzerajúcich audio/video obsahov vytvorených umelou inteligenciou. Pre firmy to v praxi znamená, že musia rátať s rizikami reputačných útokov cez AI, mali by mať interné politiky a krízové scenáre pre takéto situácie, v digitálnej komunikácii a marketingu s AI obsahmi treba ešte dôslednejšie riešiť súhlasy, licencie, autenticitu.
Čo by mala vaša firma stihnúť čím skôr?
Odporúčame postupovať systematicky. Identifikovať a zmapovať všetky interné procesy, revidovať dokumentáciu a zmluvy, DPIA a posúdenia rizík, overiť potrebu zodpovednej osoby, zamerať a pripraviť sa na nové požiadavky bezpečnosti spracúvania a incidenty. V neposlednom rade následne zaškoliť zamestnancov a iné osoby a zaviesť do praxe všetky aktualizované interné postupy, nad ktorými treba vykonávať stály dohľad.
Rok 2026 nebude len o „papieroch“. Nový zákon nie je len o tom „mať GDPR v šanóne“. Cieľom je posilniť dôveru ľudí v to, že ich údaje sú chránené, zjednodušiť a sprehľadniť právnu úpravu, prispôsobiť pravidlá digitálnej dobe cloudu, AI, kybernetickým hrozbám, deepfakom, zvýšiť faktickú úroveň reálnej bezpečnosti spracúvania údajov.