Digitální omnibus: právní úprava a praktické dopady

Evropská unie se v listopadu 2025 vydala cestou radikálního zjednodušení své digitální legislativy. Digitální omnibus, ambiciózní balíček novel a dílčích derogací, reaguje na dlouhodobou kritiku přílišné fragmentace pravidel, nejasné terminologie a vysokých compliance nákladů. Navrhované změny se dotýkají čtyř klíčových oblastí (kybernetické bezpečnosti, umělé inteligence, ochrany osobních údajů a soukromí v elektronických komunikacích) a představují zásadní posun od rigidního „jednoho standardu pro všechny“ k flexibilnímu a diferencovanému přístupu, který zohledňuje zejména malé a střední podniky. Text mapuje kontext, právní strukturu a praktické dopady iniciativy a odpovídá na klíčové otázky: jak se zjednodušují procedury, které povinnosti zanikají a jaké vznikají nové, a co to znamená pro právní praxi a dodržování práva v nadcházejícím období.

Digitální omnibus                 AI                kybernetická bezpečnost            evropská regulace

Kontext vzniku digitálního omnibusu

Legislativní iniciativa označovaná jako tzv. digitální omnibus¹ nepředstavuje nahodilou revizi stávající digitální regulace, nýbrž cílenou normotvornou odpověď Evropské unie na kumulativní geopolitické a ekonomické výzvy, jimž v posledním desetiletí čelí. Bezprostředním impulsem k jeho přípravě se stala zpráva bývalého prezidenta Evropské centrální banky Maria Draghiho z roku 2024 „The Future of European Competitiveness“² (dále také „Draghiho zpráva“), která identifikovala tři systémové deficity evropského hospodářského prostoru: strukturálně pomalé tempo inovací, narůstající regulatorní zátěž a postupnou ztrátu globální konkurenceschopnosti ve vztahu k USA a dynamicky se rozvíjejícím asijským ekonomikám. Závěry Draghiho zprávy byly následně inkorporovány do politických priorit Evropské komise pro období 2024–2029³. V únoru 2025 Komise v politické komunikaci Jednodušší a rychlejší Evropa⁴ deklarovala ambici „radikálně snížit regulatorní břemeno pro občany, podniky i veřejnou správu“, přičemž digitální regulace byla výslovně identifikována jako oblast s nejvyšším potenciálem zjednodušení.

Tato orientace byla postupně konkretizována v řadě závěrů Evropské rady. Již v březnu 2025 vyzvala Evropská rada Komisi k systematické „revizi acquis Unie“ s cílem identifikovat možnosti další konsolidace a zjednodušení právních předpisů. Evropská rada dále formulovala zásadu simplicity by design, tj. zjednodušování regulace při zachování její předvídatelnosti, účinnosti a vysoké úrovně ochrany.⁵ Ve svých závěrech Evropská rada poté zopakovala, že „je naléhavě zapotřebí pokročit v ambiciózním a horizontálně orientovaném programu pro zjednodušení a zlepšování právní úpravy, a to na všech úrovních – na úrovni EU, na vnitrostátních i regionálních úrovních – a ve všech oblastech s cílem zajistit konkurenceschopnost Evropy“. Zároveň Komisi vyzvala, aby „urychleně předložila další ambiciózní balíčky zjednodušujících opatření, mimo jiné v oblasti digitální regulace“.⁶

Z právního hlediska tak digitální omnibus představuje přímou odpověď Evropské komise na explicitní politický mandát. Jeho základní normativní logiku lze shrnout slovy samotného návrhu – „dosažení rychlých a viditelných zlepšení pro občany a podniky prostřednictvím nákladově efektivnější a inovace podporující implementace existujících pravidel při současném zachování vysokých standardů a sjednaných politických cílů“. Jádrem iniciativy je řešení klasického regulačního paradoxu: jak snížit náklady na dodržování práva, aniž by došlo k oslabení ochrany základních práv, bezpečnosti či jiných klíčových hodnot Evropské unie.

Právní povaha a legislativní stav

Digitální omnibus byl Evropskou komisí předložen dne 19. listopadu 2025^7,8 a má povahu novelizace a částečné derogace řady klíčových digitálních právních předpisů Unie. Z procesního hlediska se nyní9 nachází v počáteční fázi řádného legislativního procesu, a není tudíž právně závazný. Jeho konečná podoba může být v průběhu jednání mezi Komisí, Evropským parlamentem a Radou EU významně modifikována. Z praktického hlediska se jedná o klíčovou fázi legislativního procesu, neboť právě nyní probíhá formování odborných, sektorových a institucionálních stanovisek, která mohou mít zásadní vliv na výsledné znění předpisu.

Současně s předložením digitálního omnibusu Komise zahájila tzv. Digital Fitness Check, tedy komplexní hodnocení kumulativních dopadů digitální regulace na konkurenceschopnost Unie. Zatímco digitální omnibus sleduje cíl rychlých a cílených technických úprav, Digital Fitness Check má vytvořit analytický základ potenciálně hlubším strukturálním reformám pro druhou polovinu volebního období Komise (2027–2029).¹⁰

Struktura návrhu

Digitální omnibus je koncipován jako dvojice vzájemně provázaných, avšak samostatných legislativních návrhů. Jedná se o první část, tzv. souhrnný balíček pro digitální oblast¹¹, který novelizuje a ruší vybrané předpisy v oblasti ochrany osobních údajů, datové ekonomiky, kybernetické bezpečnosti, e-privacy a regulace online platforem, a dále druhý samostatný návrh, tzv. souhrnný balíček pro digitální oblast týkající se umělé inteligence¹² zaměřený výlučně na zjednodušení Nařízení o umělé inteligenci.¹³ Současně návrh počítá se zrušením či částečným zrušením několika právních aktů, jejichž regulační funkce byla překryta novějšími a komplexnějšími předpisy, zejména nařízení P2B¹⁴, nařízení o volném toku neosobních údajů¹⁵, Data Governance Act¹⁶ a směrnice o otevřených datech¹⁷.

Konkrétní navrhované změny

Digitální omnibus obsahuje soubor cílených technických novelizací, jejichž společným jmenovatelem je racionalizace stávající digitální regulace při zachování jejích materiálních cílů.

Jednotné kontaktní místo pro kybernetické incidenty a role ENISA

Digitální omnibus reaguje na dlouhodobě kritizovaný stav duplicitních a nekoordinovaných oznamovacích povinností v oblasti kybernetických incidentů, který vznikl kumulativním působením několika sektorových právních předpisů Unie. Nejviditelnější změnou pro oblast kybernetické bezpečnosti a ochrany údajů je tak návrh jednotného kontaktního místa (single-entry point) pro hlášení incidentů. Ten má být zřízen na úrovni EU a provozován Agenturou Evropské unie pro kybernetickou bezpečnost (dále také „ENISA“).

Jednotné kontaktní místo má plnit roli centrální brány: regulovaný subjekt podá jedno oznámení incidentu prostřednictvím standardizovaného rozhraní a toto oznámení je následně distribuováno všem příslušným orgánům podle jednotlivých právních režimů, aniž by bylo nutné opakované podávání totožných hlášení. Z hlediska právní povahy je klíčové, že jednotné kontaktní místo nemění hmotněprávní rozsah ani obsah oznamovacích povinností stanovených sektorovou legislativou; dochází výlučně k racionalizaci procesní roviny jejich plnění. Příslušné dozorové orgány tak nadále obdrží informace v rozsahu nezbytném pro výkon svých pravomocí, avšak bez nutnosti opakovaného podávání totožných hlášení.

Návrh současně klade výrazný důraz na technickou interoperabilitu a standardizaci. ENISA má být odpovědná za vývoj a správu technických a operačních specifikací jednotného vstupního bodu, včetně strojově čitelných formátů, aplikačních rozhraní a automatizovaných komunikačních protokolů, a za zajištění kompatibility systému s dalšími digitálními iniciativami Unie. Součástí reformy je rovněž sjednocení oznamovacích šablon. Cílem je minimalizovat počet požadovaných datových polí a administrativní zátěž oznamujících subjektů, aniž by byl oslaben informační obsah nezbytný pro účely prevence, reakce a dohledu.

Zavedení jednotného kontaktního místa je neoddělitelně spojeno s posílením institucionální role agentury ENISA, která se má stát klíčovým technickým a koordinačním uzlem evropské kybernetické bezpečnosti. Z institucionální perspektivy tak dochází k posunu směrem k centralizovanějšímu modelu správy kybernetických rizik, aniž by byla dotčena pravomoc vnitrostátních orgánů vykonávat dohled a prosazování práva v rámci jejich jurisdikcí.

Umělá inteligence: více času, ale vyšší očekávání

Nařízení o umělé inteligenci vstoupilo v platnost dne 1. srpna 2024 s postupným nabíháním povinností až do 2. srpna 2027, nicméně již první měsíce implementace odhalily významné strukturální a praktické problémy. V řadě členských států dosud nebyly plně ustaveny nebo určeny příslušné dozorové autority a očekávané náklady dopadají nepřiměřeně zejména na malé a střední podniky. Bez cílených úprav by tak původně plánovaný vstup povinností pro systémy umělé inteligence s vysokým rizikem vedl k rozsáhlé faktické nevymahatelnosti práva a významné regulatorní zátěži bez odpovídajícího přínosu pro bezpečnost nebo důvěru.

Digitální omnibus proto navrhuje soubor opatření, jejichž společným cílem je zjednodušení a zpřehlednění Nařízení o umělé inteligenci, zvýšení jeho aplikační realističnosti a posílení inovační kapacity evropského ekosystému AI. Klíčovým prvkem je zavedení mechanismu, který propojuje použitelnost povinností pro AI systémy s vysokým rizikem s reálnou dostupností podpůrných nástrojů, zejména harmonizovaných standardů, společných specifikací a závazných pokynů Komise. Povinnosti podle kapitoly III Nařízení o umělé inteligenci se nebudou uplatňovat automaticky k pevnému datu, ale až poté, co Komise formálním rozhodnutím potvrdí, že nezbytná podpůrná opatření jsou k dispozici. Od tohoto rozhodnutí začnou běžet přechodné lhůty v délce šesti měsíců pro systémy spadající pod čl. 62 a přílohu III, typicky biometrické systémy, a dvanácti měsíců pro systémy podle čl. 61 a přílohy I, zejména AI zabudovanou do regulovaných produktů v oblastech jako je zaměstnanost nebo vzdělávání. Současně jsou stanoveny nepřekročitelné konečné lhůty, a to 2. prosince 2027 pro systémy podle přílohy III a 2. srpna 2028 pro systémy podle přílohy I, čímž se zajišťuje flexibilita bez rizika neomezeného odkladu účinnosti regulace.

Další významnou změnou je rozšíření cílených výjimek a úlev i na tzv. small mid-cap companies, tedy podniky stojící mezi klasickými malými a středními podniky a velkými korporacemi, jak jsou nově definovány v doporučení Komise z roku 2025.¹⁸

Významnou změnou prochází i koncept tzv. AI literacy. Původní povinnost poskytovatelů a provozovatelů AI systémů zajistit plošné vzdělávání zaměstnanců v oblasti umělé inteligence se ukázala jako rigidní a nepřiměřeně zatěžující, zejména pro menší subjekty. Nově se tento přístup nahrazuje podpůrným modelem, v němž Komise a členské státy nesou odpovědnost za podporu rozvoje znalostí a dovedností v oblasti AI prostřednictvím vzdělávacích příležitostí, informačních zdrojů, výměny osvědčených postupů a dobrovolných iniciativ bez přímé právní vymahatelnosti na úrovni jednotlivých podniků.

Digitální omnibus dále reaguje na praktické problémy spojené s detekcí a prevencí diskriminace v AI systémech. Nově zavedený článek umožňuje poskytovatelům a provozovatelům všech typů AI systémů zpracovávat zvláštní kategorie osobních údajů za účelem identifikace, měření a nápravy bias a diskriminačních vzorců, a to za existence odpovídajícího právního základu a při uplatnění přiměřených zajišťovacích opatření. Cílem je umožnit preventivní zachycení problémů, které by jinak mohly vést k systémové diskriminaci.

Dále je stanoveno zvláštní přechodné období pro povinnost označování obsahu generovaného umělou inteligencí. Generativní AI systémy uvedené na trh před 2. srpnem 2026 získají šestiměsíční lhůtu do 2. února 2027 na implementaci strojově čitelných markerů umožňujících identifikaci uměle generovaného obsahu.

Podle odhadů Komise by navrhované úpravy měly vést k výraznému snížení nákladů, zlepšení právní jistoty poskytovatelů a provozovatelů AI systémů, posílení inovačního potenciálu prostřednictvím flexibilnější regulace a sandboxů, vyrovnání podmínek mezi malými, středními a velkými podniky a k efektivnějšímu a koordinovanějšímu dohledu, zejména nad obecně použitelnou umělou inteligencí a velkými platformami.

Integrace e-privacy pod GDPR s řešením tzv. cookie únavy

Právní úprava ochrany soukromí v elektronických komunikacích v Evropské unii je dosud založena na 20 let staré Směrnici o soukromí a elektronických komunikacích¹⁹, která nadále reguluje oblasti jako telefonování, SMS, e-maily a přístup k informacím uloženým v koncových zařízeních uživatelů včetně cookies. Tato směrnice stanoví, že jakýkoli přístup k terminálnímu zařízení uživatele musí mít právní základ, typicky souhlas uživatele, přičemž jakmile dojde ke shromáždění osobních údajů, jejich další zpracování již podléhá obecné úpravě GDPR. V praxi tak vznikl duální regulační režim, v němž je jedna a tatáž technologie současně regulována dvěma paralelními právními předpisy, dohled nad dodržováním povinností vykonávají různé orgány a poskytovatelé služeb čelí značné právní nejistotě ohledně správného nastavení procesů.

Nejviditelnějším projevem této fragmentace je fenomén „cookie únavy“. Masové rozšíření bannerů na webových stránkách a v mobilních aplikacích vedlo k situaci, kdy jsou uživatelé zahlceni opakujícími se žádostmi o souhlas, které jsou často formulovány matoucím nebo manipulativním způsobem a selhávají ve své základní funkci, jíž je informovat a umožnit skutečnou kontrolu nad zpracováním údajů. Z pohledu poskytovatelů služeb tento stav generuje vysoké náklady, aniž by měl odpovídající přínos v podobě skutečně informovaného a svobodného rozhodování uživatelů. V praxi se souhlas často formalizuje a redukuje na mechanické kliknutí na tlačítko „OK“, které je uživateli vnímáno jako jediná možnost, jak se dostat k obsahu nebo službě.

Digitální omnibus na tuto situaci reaguje řešením, jehož jádrem je konsolidace právní úpravy a zavedení technicky neutrálního mechanismu respektujícího volby uživatelů. Prvním krokem je plná integrace ochrany soukromí při přístupu k terminálním zařízením do rámce GDPR²⁰. Zpracování osobních údajů ukládaných v koncových zařízeních nebo z nich získávaných bude nově zcela řízeno GDPR, nikoli paralelním režimem, přičemž požadavek na právní základ včetně souhlasu zůstává zachován s výjimkami pro nízkoriziková zpracování nebo zpracování nezbytná pro poskytování požadované služby. Dohled nad dodržováním pravidel bude vykonáván výhradně orgány ochrany osobních údajů, což odstraní institucionální roztříštěnost. Ochrana integrity terminálních zařízení jako takových zůstává zachována i ve vztahu k neosobním údajům, aby nebyla oslabena kybernetická bezpečnost ani důvěra uživatelů.

Návrh současně zavádí cílenou výjimku pro poskytovatele mediálních služeb ve smyslu Evropského aktu o svobodě médií21, kteří nebudou povinni automatizované signály respektovat. Tato výjimka má za cíl chránit nezávislou žurnalistiku a zachovat přímý vztah mezi médii a jejich čtenáři, zejména v situacích, kdy je model financování založen na přímé interakci s publikem. Celkově má integrace e-privacy do GDPR a zavedení automatizovaných signálů vést k odstranění dlouhodobě kritizované fragmentace, ke zvýšení právní jistoty a k obnovení smysluplné rovnováhy mezi ochranou soukromí, inovacemi a uživatelským komfortem.

Závěr – shrnutí klíčových poznatků

Digitální omnibus představuje strategickou odpověď EU na dilema současné digitální regulace: chránit občany a jejich práva, aniž by regulační zátěž brzdila inovace a konkurenceschopnost. Cílem je racionalizace administrativních a procesních mechanismů bez oslabení materiálních standardů, zejména v oblasti kybernetické bezpečnosti, umělé inteligence a ochrany soukromí. Jednotný vstupní bod pro hlášení incidentů pod správou ENISA eliminuje duplicitní hlášení a snižuje zátěž podniků při zachování dohledu, zatímco úpravy Nařízení o umělé inteligenci zajišťují flexibilitu, podporu malých a středních firem. Integrace e-privacy pod GDPR s automatizovanými signály vrací uživatelům reálnou kontrolu nad soukromím a snižuje náklady poskytovatelů.

Digitální omnibus není konečným řešením, ale nastavuje principy předvídatelné, proporcionální a technologicky neutrální regulace, které budou dále rozvíjeny v rámci Digital Fitness Check a implementovány členskými státy.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou:

1. Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150,(EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast).
2. Draghi, M. (2024), The Future of European Competitiveness, dostupné z: https://commission.europa.eu/topics/competitiveness/draghi-report_en.
3. Von der Leyen, U. (2024), Volba Evropy: Politické směry pro příští Evropskou komisi 2024–2029, dostupné z: https://commission.europa.eu/document/download/e6cd4328-673c-4e7a-8683-f63ffb2cf648_cs.
4. Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů „Evropa jednodušší a rychlejší: Sdělenío provádění a zjednodušování“, COM(2025) 47 final ze dne 11. února 2025.
5. Evropská rada, závěry, EUCO 12/25, Brusel, 26. června 2025, bod 30 a Evropská rada, závěry, EUCO 1/25, Brusel, 20. března 2025, bod 13.
6. Evropská rada, závěry, EUCO 18/25, Brusel, 23. října 2025, body 33 a 35.
7. Návrh Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast), COM(2025) 837 final, Brusel, 19. listopadu 2025.
8. Návrh Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2024/1689 a (EU) 2018/1139, pokud jde o zjednodušení provádění harmonizovaných pravidel pro umělou inteligenci (souhrnný balíček pro digitální oblast týkající se umělé inteligence), COM (2025) 836 final, Brusel, 19. listopadu 2025.
9. Ke dni 19. ledna 2026.
10. Důvodová zpráva k návrhu Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast).
11. Návrh Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 a směrnice 2002/58/ES, (EU) 2022/2555 a (EU) 2022/2557, pokud jde o zjednodušení digitálního právního rámce, a kterým se zrušují nařízení (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 a směrnice (EU) 2019/1024 (souhrnný balíček pro digitální oblast), COM(2025) 837 final, Brusel, 19. listopadu 2025.
12. Návrh Nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) 2024/1689 a (EU) 2018/1139, pokud jde o zjednodušení provádění harmonizovaných pravidel pro umělou inteligenci (souhrnný balíček pro digitální oblast týkající se umělé inteligence), COM (2025) 836 final, Brusel, 19. listopadu 2025.
13. Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (nařízení o umělé inteligenci).
14. Nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb.
15. Nařízení Evropského parlamentu a Rady (EU) 2018/1807 ze dne 14. listopadu 2018 o rámci pro volný tok neosobních údajů v Evropské unii.
16. Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat).
17. Směrnice Evropského parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru.
18. Doporučení Komise (EU) 2025/1099 ze dne 21. května 2025 o definici malých podniků se střední tržní kapitalizací.
19. Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích).
20. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajůa o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
21. Nařízení Evropského parlamentu a Rady (EU) 2024/1083 ze dne 11. dubna 2024, kterým se stanoví společný rámec pro mediální služby na vnitřním trhua mění směrnice 2010/13/EU (Evropský akt o svobodě médií).