Nový Občiansky zákonník prináša zásadnú zmenu pre digitálne služby: osobné údaje spotrebiteľa môžu predstavovať zmluvné protiplnenie za digitálnu službu. Pozrite si právne a praktické odporúčania pre prevádzkovateľov platforiem, e-commerce a fintech.
1. Prečo prichádza táto zmena a čo ju vyvolalo
Slovenské zmluvné právo dlhodobo absentuje jasnú právnu kvalifikáciu modelu, v ktorom spotrebiteľ namiesto peňažnej protihodnoty poskytuje prístup k svojim osobným údajom. Aplikácie, spravodajské portály, social media platformy a freemium nástroje fungujú v zmluvnej šedej zóne: GDPR reguluje spracúvanie údajov, no zmluvné právo mlčí o tom, čo sa právne deje, keď sú tieto údaje skutočnou protihodnotou za digitálnu službu. Výsledkom je právna neistota na oboch stranách — spotrebitelia nevedia, aké práva im vznikajú, a prevádzkovatelia nevedia, aké povinnosti nesú.
Nový Občiansky zákonník (ďalej len „nový OZ") tento stav explicitne mení. Po prvý raz v histórii slovenského súkromného práva kodifikuje model, v ktorom osobné údaje spotrebiteľa predstavujú zmluvné protiplnenie — a zmluva, v ktorej je toto protiplnenie dohodnuté, sa stáva osobitným zmluvným typom s vlastnými pravidlami a vlastným ochranným mechanizmom. Táto zmena nie je izolovaná. Je súčasťou širšej digitálnej reformy slovenského občianskeho práva, ktorá reaguje na európsky legislatívny rámec.
2. Vecný rozsah: koho sa nová úprava týka
Nová právna úprava sa vzťahuje na každý obchodný model, kde spotrebiteľ získava digitálne plnenie bez peňažnej protihodnoty, pričom namiesto nej poskytuje osobné údaje. Ide teda predovšetkým o freemium aplikácie — mobilné aj webové nástroje s bezplatnou základnou funkciou financovanou z dát — spravodajské a obsahové portály poskytujúce prístup k obsahu výmenou za registráciu, ďalej o social media platformy, fintech aplikácie typu PFM, investičné a poistné nástroje, ako aj online marketingové riešenia poskytované „zadarmo" výmenou za prístup k behaviorálnym dátam používateľov.
Dôležité je zdôrazniť, čo pod novú úpravu nespadá. Ak spotrebiteľ udeľuje súhlas so spracúvaním údajov v rámci plnenej peňažnej zmluvy, tam zostáva aplikovateľný výlučne GDPR rámec. Predmetom novej zmluvnej regulácie je výlučne model, kde údaje sú jedinou a skutočnou protihodnotou za digitálnu službu — nie doplnkovým prvkom inak peňažného vzťahu.
3. Tri kľúčové povinnosti pre prevádzkovateľov
Nová právna úprava zakladá pre prevádzkovateľov tri vecne odlišné povinnosti, ktoré spolu tvoria ucelený ochranný mechanizmus v prospech spotrebiteľa.
Prvou je predchádzajúca informačná povinnosť. Obchodník bude povinný pred uzatvorením zmluvy zrozumiteľne a explicitne informovať spotrebiteľa o rozsahu, účele a podmienkach spracúvania jeho osobných údajov ako súčasti zmluvného plnenia — nie iba vo forme GDPR súhlasu, ale priamo ako zmluvnú podmienku s právnymi následkami jej porušenia. Táto povinnosť síce nadväzuje na princíp transparentnosti GDPR, no ide nad neho - nejde len o informovanie, ale o zmluvnú súčasť dojednania, ktorej absencia môže ovplyvniť platnosť celej zmluvy.
Druhou povinnosťou je oznamovanie zmien digitálneho plnenia. Ak prevádzkovateľ pristúpi k akejkoľvek zmene, ktorá ovplyvňuje rozsah alebo spôsob spracúvania údajov — zmena reklamného modelu, úprava algoritmu personalizácie, rozšírenie zdieľania dát s tretími stranami — je povinný túto zmenu spotrebiteľovi vopred oznámiť a poskytnúť mu primeranú lehotu na reakciu. Jednostranná zmena bez predchádzajúceho oznámenia bude kvalifikovaná ako porušenie zmluvy, čo zakladá zodpovednosť prevádzkovateľa a právo spotrebiteľa na nápravu.
Treťou a právne najoriginálnejšou novinkou je právo spotrebiteľa na odstúpenie od zmluvy. Keďže peňažné plnenie v tomto modeli absentuje, mechanizmus „vrátenia" plnenia spočíva v odvolaní súhlasu so spracúvaním osobných údajov a v povinnosti prevádzkovateľa tieto údaje bez zbytočného odkladu vymazať. Ide o právnu konštrukciu bez obdoby v doterajšom slovenskom zmluvnom práve, ktorá v praxi kladie na prevádzkovateľov zásadné technické aj procesné požiadavky — schopnosť identifikovať a skutočne vymazať dáta konkrétneho spotrebiteľa musí byť zabezpečená technicky, nielen deklarovaná zmluvne.
4. Kde dnešná prax zlyháva: GDPR súhlas vs. zmluvné plnenie
Jadro problému spočíva v tom, čo väčšina digitálnych firiem doteraz splývala. GDPR súhlas a zmluvné protiplnenie fungujú v ich VOP ako jedna a tá istá vec — kliknutím na „Súhlasím s podmienkami a spracúvaním údajov" sa nevie rozoznať, čo je zmluvný záväzok a čo je súhlas podľa čl. 6 ods. 1 písm. a) GDPR. Nový OZ toto splývanie priamo zakazuje, pričom právne následky oboch kategórií sú zásadne odlišné.
Zmluvné plnenie — teda údaje ako protihodnota — sa riadi zmluvným právom: zakladá nároky na plnenie, zodpovednosť za vady, právo na nápravu a právo na odstúpenie od zmluvy. GDPR súhlas sa naproti tomu riadi právom na ochranu osobných údajov: zakladá právo na odvolanie, portabilitu a výmaz. Tieto dva režimy majú odlišné podmienky, odlišné lehoty aj odlišné sankčné dôsledky. Zlúčenie oboch do jedného textu bude po novom nielen právne nesprávne — môže priamo viesť k neplatnosti príslušných zmluvných dojednaní a zodpovednosti voči spotrebiteľovi.
5. Časová os a urgentnosť prípravy
Nový OZ a s ním spojená digitálna reforma slovenského súkromného práva nadobúdajú účinnosť v priebehu roka 2027. Z pohľadu prípravy je tento horizont kratší, než sa na prvý pohľad zdá. Realistický harmonogram implementácie potrebných zmien — vrátane právnej analýzy, prípravy novej dokumentácie, redizajnu informačnej architektúry a interného testovania — sa pohybuje v rozsahu šiestich až dvanástich mesiacov.
To znamená, že firmy, ktoré s prípravou začnú v priebehu roku 2026, budú mať dostatočný priestor na systematickú prípravu. Tie, ktoré budú čakať na poslednú chvíľu, budú nútené meniť právnu dokumentáciu, interné procesy aj technické systémy súčasne a pod tlakom termínov — čo exponenciálne zvyšuje riziko chýb a právnych nedostatkov.
6. Čo treba urobiť: praktický rámec prípravy
Pre prevádzkovateľov digitálnych platforiem a freemium aplikácií je prvým krokom právny audit existujúcich VOP, zameraný na identifikáciu všetkých miest, kde je GDPR súhlas zmiešaný so zmluvnými podmienkami. Na základe tohto auditu je potrebné nastaviť samostatnú zmluvnú sekciu pre model „údaje ako protiplnenie" s výslovnou definíciou rozsahu spracúvania a implementovať mechanizmus predchádzajúceho oznámenia pri každej zmene, ktorá ovplyvňuje spracúvanie dát.
Pre fintech aplikácie a PFM nástroje je kľúčovým krokom prehodnotenie, či obchodný model patrí pod novú zmluvnú kategóriu, a ak áno, kompletné prepracovanie zmluvného rámca vrátane oddelenia súhlasov od zmluvných záväzkov. V tejto oblasti je vhodné zvážiť aj konzultáciu s Úradom na ochranu osobných údajov ohľadom správnej interpretácie hranice medzi GDPR a novou zmluvnou kategóriou, keďže táto hranica bude v praxi predmetom výkladových sporov.
Pre spravodajské portály a obsahové platformy je osobitným problémom technická realizovateľnosť práva spotrebiteľa na odstúpenie — schopnosť skutočne vymazať dáta konkrétneho registrovaného používateľa musí byť technicky implementovaná, nie len deklarovaná v podmienkach. Preto je nevyhnutné prehodnotiť registračné a prihlasovacie procesy v súlade s novými informačnými povinnosťami a súčasne aktualizovať interné dátové procesy tak, aby bol mechanizmus výmazu realizovateľný.
7. Záver: nová zmluvná paradigma digitálneho biznisu
Kodifikácia osobných údajov ako zmluvného protiplnenia je zásadnou zmenou pre digitálny biznis model v histórii slovenského zmluvného práva. Neprichádza ako prekážka — prichádza ako pravidlo hry, ktoré existovalo vždy, len nebolo zapísané. Kto sa pripraví systematicky a včas, premení regulačnú záťaž na konkurenčnú výhodu v podobe dôveryhodnosti a právnej istoty voči zákazníkom. Kto bude čakať, bude dobiehať.
