Menu

Přesouváte (osobní) údaje do Velké Británie a zpět? Přečtěte si DUAA

14.4.2026 Vytisknout

DUAA 2025 mění pravidla přenosu a využívání dat v UK. Zjistěte, co to znamená pro firmy, GDPR, AI systémy a kybernetickou bezpečnost.

Peter Lipták

Když se 5. února 2026 ve Spojeném království spustila další vlna účinnosti zákona Data (Use and Access) Act 2025, většina veřejnosti si toho ani nevšimla. Žádné titulky ve zprávách, žádné masové kampaně. A přesto jde o jeden z nejzajímavějších momentů ve vývoji ochrany a využívání dat za poslední roky. Proč? Protože je to moment, kdy si ochrana dat přestává hrát na papíře a začíná řešit realitu.

Ačkoli jde o legislativu Spojeného království, její dopad na evropské společnosti je masivní. Jako váš expert na GDPR a datovou bezpečnost vám přiblížím, proč by tato změna měla zajímat každého manažera a podnikatele i u nás na Slovensku.

Co je DUAA 2025 a proč přichází právě teď?

Zákon o využívání a přístupu k datům (DUAA), přijatý v červnu 2025, není vůbec kosmetickou úpravou. Je to ambiciózní pokus Spojeného království o „inteligentní regulaci“. Cílem je odbourat administrativní zátěž, která se za roky s GDPR nahromadila, a uvolnit ruce inovacím, zejména v oblasti umělé inteligence (AI) a vědeckého výzkumu. Pro evropské firmy to znamená potřebu nechat se navigovat ve dvou mírně odlišných světech: v přísném evropském GDPR a v novém, flexibilnějším britském modelu.

DUAA otevřeně přiznává něco, co se v Evropě často vyslovuje jen potichu: že GDPR, ačkoli je hodnotově správné, se v každodenní praxi často používá způsobem, který brzdí rozumné využívání dat, aniž by reálně zvyšoval ochranu jednotlivce. Připravovaný tzv. Digital Omnibus by sice mohl být řešením, ale nebylo by na škodu, kdyby si z DUAA vzal to nejlepší.

DUAA je pokusem posunout se od iluze absolutní kontroly k regulaci, která vychází z reálného chování organizací, technologií a lidí. A právě proto by měl zajímat i evropské firmy.

GDPR vzniklo v době, kdy jsme měli pocit, že když data dostatečně „svážeme“ pravidly, dokážeme je udržet pod kontrolou. Ochrana soukromí byla vnímána jako soubor procesů: testy, záznamy, poučení, checkboxy.

Jenže od té doby se svět posunul. Data se přestala chovat jako dokumenty a začala se chovat jako tok. Procházejí systémy, algoritmy, cloudy, dodavateli, modely umělé inteligence. A právě tady GDPR začalo narážet na své limity. DUAA tento problém nepojmenovává konfrontačně, ale řeší ho pragmaticky. A to stojí za ocenění.

Souboj regulací: GDPR vs. Data Act vs. DUAA

Při pohledu shora vidíme v Evropě tři velké regulace, které do sebe narážejí:

  • GDPR (EU): Zůstává „zlatým standardem“ ochrany soukromí. Je konzervativní, klade důraz na souhlas a přísně omezuje, resp. kontroluje přenosy dat mimo EU.

  • Data Act (EU): Toto nařízení se zaměřuje na sdílení průmyslových dat (např. z vašich propojených strojů v továrně). Chce, aby data nebyla uzamčena u výrobců, ale aby s nimi mohli pracovat i opraváři či analytici.

  • DUAA (UK): Snaží se být praktickým kompromisem. Zatímco GDPR vás nutí ptát se „Mohu ta data zpracovat?“, DUAA se ptá „Jak můžeme ta data využít odpovědně?“

Pro evropské společnosti to z pohledu Velké Británie znamená, že při zpracování dat britských občanů mohou využívat novou koncepci „uznaných legitimních zájmů“. To jim umožňuje zpracovávat data za účelem prevence podvodů nebo síťové bezpečnosti bez toho, aby musely složitě dokazovat, že jejich zájem je silnější než soukromí jednotlivce. Zákon to už předpokládá. Druhá věc je být si vědom i nařízení GDPR a uvést to do souladu.

Pozitiva a negativa nové legislativy

Pozitiva pro byznys:

  • Snížení byrokracie: Méně „papírování“ u běžných marketingových cookies nebo při vědeckém výzkumu.

  • Inovační náskok: Jasnější pravidla pro AI umožňují rychlejší nasazování technologií, což je v souladu s normou ISO 42001.

  • Flexibilní přenosy: Standard ochrany pro mezinárodní přenosy dat se posunul na úroveň „nikoli podstatně nižší“, což zjednodušuje globální spolupráci.

Negativa a rizika:

  • Regulační fragmentace: Firmy působící v EU i UK musí udržovat dva systémy compliance, což zvyšuje náklady na právní služby.

  • Drastické pokuty: Podle nových pravidel PECR (ochrana soukromí v komunikaci) se maximální pokuty vyšplhaly na 17,5 milionu liber nebo 4 % obratu. To je pro marketéry zvednutý varovný prst.

  • Nejistota adekvátnosti: Pokud by se UK příliš vzdálilo od GDPR, EU by mohla zrušit uznání Spojeného království jako bezpečné země, což by zastavilo volný tok dat.

Analýza klíčového aspektu DUAA: Automatizované rozhodování

Jednou z nejvýznamnějších změn je postoj k rozhodnutím, která dělají stroje místo lidí.

Identifikace a znění zákona: Jde o ustanovení v části 5 zákona DUAA 2025, která zásadně reformují původní článek 22 britského GDPR. Zákon nyní umožňuje organizacím spoléhat se na širší rozsah zákonných základů pro významná automatizovaná rozhodnutí. To znamená, že pokud algoritmus rozhodne o vašem osudu (například při žádosti o úvěr), už to není vnímáno jako „zakázané s výjimkami“, ale jako „povolené se zárukami“.

Povinnosti a práva: Organizace mají nově povinnost implementovat robustní bezpečnostní brzdy. Musí provádět posouzení vlivu (DPIA) podle metodik blízkých normám ISO 42001 (pro systémy AI). Na druhé straně máme my všichni jako dotčené osoby posílené právo na „smysluplný lidský zásah“. To znamená, že pokud nás stroj odmítne, máme právo chtít, aby se na náš případ podíval živý člověk. Takové právo ale máme v EU už teď.

Příklad z praxe a řešení: Představte si moderní technologickou firmu v Bratislavě, která má pobočku v Londýně a používá AI k prvotnímu výběru uchazečů o zaměstnání. Ve starém režimu by byl takový postup právně riskantní.

Řešení podle DUAA: Firma může tento systém plně nasadit, pokud uchazeče předem informuje o logice algoritmu a zaručí mu právo odvolat se k personalistovi. Je to win-win: firma zrychlí nábor a uchazeč má právní jistotu.

Dalším příkladem je přístup k zákonnosti zpracování. Zatímco GDPR říká: „máte legitimní zájem, ale musíte si ho důkladně odůvodnit“, DUAA říká: „existují situace, kde je legitimita zřejmá, a není třeba tvářit se, že jde o etické dilema“. Není to ale osvobození od odpovědnosti. Je to přesun od formálních testů k reálným hranicím chování.

Pro evropské firmy je to velmi důležitý signál. Ne proto, že by si mohly dovolit ignorovat GDPR. Ale proto, že se ukazuje, kam se regulace může posunout, když přestane předstírat, že každý datový tok je potenciálním porušením práv.

Ještě výraznější posun je vidět u automatizovaného rozhodování. GDPR bylo v této oblasti vždy opatrné až nedůvěřivé. Článek 22 působí, jako by vznikl ve světě, kde algoritmy rozhodují o lidech potají a bez kontroly.

Realita je však jiná. Automatizované rozhodování se stalo infrastrukturou. Používá se při náboru, úvěrech, pojišťovnictví, ale i při ochraně před podvody či při poskytování služeb. DUAA místo zákazu klade otázku: je systém pochopitelný? Existuje lidský dohled? Může se člověk ozvat, pokud rozhodnutí nedává smysl?

Pokud ano, automatizace není problém. Problémem je netransparentnost. Pro evropské společnosti to znamená život ve dvou realitách. Na jedné straně GDPR a AI Act s přísnějšími hranicemi, na druhé straně UK, kde se více důvěřuje procesům než zákazům. Pro mezinárodní skupiny to bude znamenat tlak na jednotný, ale přísnější standard.

Velmi citlivou oblastí jsou i mezinárodní přenosy dat. GDPR zde dlouhodobě pracuje s pojmem „v zásadě rovnocenná ochrana“, což je právně elegantní, ale v praxi často neuchopitelné.

DUAA zavádí jednodušší logiku: ochrana nemusí být identická, nesmí být podstatně nižší. Jde o regulaci založenou na přiměřeném riziku, nikoli na dokonalosti.

Pro evropské firmy to však není důvod k uvolnění. Spíše ke zvýšené pozornosti. Rozdílná hodnocení mezi EU a UK totiž mohou znamenat, že to, co je na jedné straně kanálu přijatelné, bude na druhé straně problémem.

Zajímavé je, že tam, kde jde o děti, DUAA vůbec nepůsobí měkce. Právě naopak.

Online služby mají povinnost uvažovat očima dítěte, nikoli právníka. Není důležité, zda je vše formálně vysvětleno, ale zda nastavení reálně chrání slabšího uživatele. To je oblast, kde se DUAA a GDPR setkávají ne v paragrafech, ale v hodnotách.

Podobně realistický přístup je vidět i u práv dotčených osob. DUAA otevřeně přiznává, že některé žádosti nejsou o ochraně práv, ale o nátlaku nebo obstrukci. Regulace tím neztrácí lidskost. Naopak ji vrací zpět do rovnováhy.

A nakonec marketing, cookies a elektronická komunikace. DUAA mírně uvolňuje režim tam, kde se z ochrany soukromí stal spíše rituál než ochrana. Zároveň však výrazně zvyšuje sankce tam, kde jde o skutečné zneužívání.

Vzkaz je jasný: méně formálních souhlasů, více reálné odpovědnosti. Pro evropské organizace DUAA neznamená návod, jak obejít GDPR. Je to spíše zrcadlo.

Ukazuje se tedy, že ochrana údajů může fungovat i jinak: jako systém důvěry, odpovědnosti a rozumného rizika, nejen jako nekonečný seznam povinností. A možná právě tímto směrem se bude muset Evropa dříve či později zamyslet. Možná právě při přípravě onoho Digital Omnibus.

Co by měly organizace dělat teď?

Doporučuje se nečekat. Britský zákon DUAA 2025 je už realitou.

  • Audit dodavatelského řetězce: Mnoho vašich cloudových služeb nebo IT partnerů může sídlit v UK. Prověřte si, jak změnili své smluvní podmínky.

  • Aktualizace DPIA: Pokud používáte AI, vaše stará posouzení vlivu na ochranu údajů už nemusí stačit. Podívejte se na ně optikou synergií mezi GDPR a britským DUAA.

  • Příprava na červen 2026: Tehdy vstoupí v platnost přísnější pravidla pro vyřizování stížností. Vybudujte si interní proces už dnes.

Britský „experiment“ s DUAA nám ukazuje směr, kterým se možná jednou vydá i celá Evropa, tedy směrem k datům, která slouží společnosti, ale stále pod přísným dohledem nad naším soukromím.

 

Komentáře   0
Personální legislativa ve světě