Ze světa

Digitální euro: výzvy a požadavky z pohledu GDPR

24.10.2025
-
František Nonnemann

Digitální euro, plánovaná digitální měna centrální banky EU, přináší nové možnosti plateb i mimo online prostředí prostřednictvím tzv. tokenové offline varianty. Jaké jsou dopady této varianty na ochranu osobních údajů a jaké technické a právních otázky je nutno řešit?

Evropský sbor pro ochranu osobních údajů (EDPB) v říjnu 2025 zveřejnil analýzu projektu digitálního eura zaměřenou na jeho token-based offline variantu. Jedná se o typ digitální měny, který umožňuje platby bez připojení k internetu, přičemž transakce se synchronizují po určitých časových „oknech“. Tato zpráva představuje jedno z nejucelenějších shrnutí technických i právních aspektů navrhovaného systému a zdůrazňuje důležitost aplikace jednotlivých principů ochrany soukromí a osobních údajů.

Podle analýzy EDPB má být digitální euro chápáno jako doplněk hotovosti, nikoliv její náhrada, a musí uživatelům nabídnout možnost platit digitálně i v prostředí bez připojení k internetu. Offline funkčnost se tak stává jedním z pilířů návrhu, který má občanům EU zajistit „cash-like privacy“, tedy úroveň soukromí srovnatelnou s fyzickými platbami.

Koncepce a princip offline tokenového řešení

Tokenová architektura umožňuje provádět platby přímo mezi dvěma zařízeními, například mobilní peněženkou a platebním terminálem obchodníka, bez nutnosti připojení k centrálním systémům Evropské centrální banky (ECB) či komerčních bank.

Uživatel si digitální token nejprve „nabije“ z online prostředí a následně s ním může platit offline, dokud zůstatek nevyčerpá. Transakce se zaznamenávají lokálně a teprve po návratu do online režimu dochází k synchronizaci s centrálním systémem. Takový model snižuje potřebu zpracovávat osobní údaje v souladu s principem minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR.

Cílem řešení je přiblížit se anonymitě hotovosti, aniž by se rezignovalo na povinnosti spojené s prevencí praní špinavých peněz (AML/CFT). Zpráva proto pracuje s konceptem „tiered approach“, kdy se míra identifikace uživatele odvíjí od výše částky nebo typu transakce.

Soukromí jako jeden ze stavebních kamenů návrhu

Analýza EDPB zdůrazňuje, že ochrana soukromí musí být od počátku jádrem návrhu, jak to vyžadují principy privacy-by-design a privacy-by-default (čl. 25 GDPR). Cílem proto je omezení nebo úplné vyloučení identifikace uživatele při běžných transakcích. Přesto nelze zcela vyloučit zpracování určitých identifikátorů, kupříkladu kryptografických klíčů nebo údajů nezbytných k prevenci podvodů.  Tyto údaje musí být samozřejmě plně chráněny podle GDPR.

Co je podle analýzy EDPB důležité pro splnění hlavních povinností a principů podle GDPR?

Určení rolí a odpovědností

V systému digitálního eura vystupuje více subjektů: ECB, národní centrální banky, poskytovatelé platebních služeb (komerční banky), technologičtí dodavatelé a uživatelé, klienti. Každý subjekt, který určuje účely a prostředky zpracování, je správce; technické subjekty zajišťující provoz systému jsou zpracovateli (čl. 28 GDPR).

Zpráva doporučuje centrální rámec správy dat, který zajistí jednotnou aplikaci zásad GDPR napříč členskými státy.

Právní základy a proporcionalita

Právní základ zpracování osobních údajů bude pravděpodobně založen na plnění úkolu ve veřejném zájmu nebo výkonu veřejné moci (čl. 6 odst. 1 písm. e GDPR). Každý zásah do soukromí musí být přiměřený a nezbytný, například pro dodržení limitů a postupů podle AML předpisů, nikoli pro obecné sledování uživatelů.

Práva subjektů údajů

Offline charakter systému komplikuje uplatnění práv subjektů údajů (články 15–22 GDPR), ale technické překážky nesmí tato práva vyloučit. Právo na přístup může být realizováno např. rozhraním peněženky, právo na výmaz lze kompenzovat anonymizací dat po uplynutí doby uchování.

Zabezpečení dat

Správci musí implementovat vhodná a přiměřená bezpečnostní opatření dle čl. 32 GDPR, např.  šifrování, pseudonymizaci, řízení přístupu k datům, bezpečnostní monitoring, audity atd. Offline režim s sebou nese specifická rizika, protože token a data jsou v zařízení uživatele. Doporučuje se provést komplexní posouzení vlivu na ochranu osobních údajů (DPIA) a automatické mazání/anonymizace dat po stanovené době.

Odpovědnost, dokumentace a dohled

Princip accountability podle čl. 5 odst. 2 GDPR vyžaduje schopnost doložit a prokázat soulad s požadavky GDPR. Typickými prostředky pro doložení souladu bude interní dokumentace, technický popis, vnitřní předpisy a politiky a provádění monitoringu a kontrol, zda je podle nastavených pravidel v praxi postupováno. EDPB doporučuje společný evropský rámec compliance pro všechny účastníky projektu digitálního eura.

Stáhnout PDF
No items found.
Další články
Iuridicum Remedium: Policie systémově porušuje zákony při zpracování biometrických údajů

Podle analýzy Iuridica Remedia z kontrol ÚOOÚ plyne systematické porušování pravidel pro ochranu osobních údajů policií

Digitální euro a ochrana soukromí

Evropský sbor pro ochranu osobních údajů zveřejnil detailní analýzu, jak zajistit ochranu dat a soukromí při zavedení digitálního eura.

EDPB souhlasí s prodloužením "adequacy decision" pro Velkou Británii

Komise navrhuje "adequacy decision" prodloužit do roku 2013. EDPB je pro.

Všechny zprávy
Sekce o spolku

Spolek pro ochranu osobních údajů sdružuje pověřence pro ochranu osobních údajů a další profesionály zabývajících se zpracováním a ochranou osobních údajů v soukromém sektoru, samosprávě a veřejné správě.

Chvi vědět více

Sdružujeme pověřence a další  profesionály zabývajících se zpracováním a ochranou osobních údajů

Přihlaste se k odběru novinek, ať vám nic neunikne

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
O nás
Aktuality
Členství
Vzdělání
Tento web používá cookie "_cfuvid"  - Cloudflare, technická, ochrana proti DDOS (omezení propustnosti). Doba platnosti: relace.

© 2023 Spolek pro ochranu osobních údajů