Pravni nadzor br. 82 – travanj 2025. 

Zaštita podataka i pojednostavljenje standarda: što možemo očekivati?

Pitanje pojednostavljenja standarda, ponavljajuća tema rasprava u Europi, dobilo je na posebnoj važnosti od promjene vodstva u Bijeloj kući.

Na pariškom summitu o umjetnoj inteligenciji (UI) prošlog veljače, konkurentnost je tako postala deklarirani prioritet u usprkos deregulaciji u Sjedinjenim Državama.

Program rada Europske komisije za 2025. godinu također izričito ima za cilj poticanje gospodarskog rasta podržavanjem inovacija.

Kakav će biti utjecaj ove politike na europske standarde zaštite podataka?

U području umjetne inteligencije, prije svega, Europa se obvezala na postizanje glavnih ciljeva uredbe, istovremeno ispitujući administrativno opterećenje poduzeća.

Komisija će tražiti doprinos industrije kada regulatorna nesigurnost bude ometala razvoj umjetne inteligencije te će ga uključiti u širi napor da se do kraja godine pregleda i eventualno ukloni skup digitalnih pravila.

Direktiva o odgovornosti za umjetnu inteligenciju, čiji je cilj bio ažurirati pravila EU o sigurnosti proizvoda kako bi obuhvatila umjetnu inteligenciju i automatizaciju, već je povučena.

CCIA, glavna američka lobistička skupina za velike tehnološke tvrtke u Bruxellesu, pozdravila je ovaj pristup, ali je pozvala na "direktni napad" na uredbu.

Europska komisija je također krajem travnja obavijestila države članice o svom nacrtu smjernica o odnosu između uredbe o umjetnoj inteligenciji i drugih propisa, uključujući GDPR.

Radi na razvoju modela za procjene utjecaja na temeljna prava (FRIA) koje zahtijeva uredba o umjetnoj inteligenciji, kako bi se izbjeglo dupliciranje s procjenom utjecaja na zaštitu podataka prema GDPR-u.

Sa svoje strane, države članice naglašavaju potrebu za pojačanom suradnjom s drugim tijelima kako bi se spriječilo da dva vodeća zakona dovedu do kontradiktornih odluka ili preklapajućih istraga.

Europski odbor za zaštitu podataka (EDPB) također priprema smjernice o interakciji između GDPR-a i uredbe o umjetnoj inteligenciji te s Komisijom ispituje mogućnosti sinergija kako bi se osigurala dosljednost tumačenja, pravna sigurnost i jasnoća za operatere.

Što je s GDPR-om? Prošlog srpnja Komisija je objavila izvješće o evaluaciji te teme, koje je posebno otkrilo značajno nezadovoljstvo među malim i srednjim poduzećima u nekoliko aspekata:

• Preveliki zahtjevi za dokumentacijom,
• Trošak angažiranja ili imenovanja službenika za zaštitu podataka,
• Poteškoće u odabiru pravne osnove (legitiman interes / privola),
• Ograničenja za nove tehnologije i startupove.

Ova kritika odražava mišljenje bivšeg talijanskog premijera Maria Draghija, čije ekonomsko izvješće iz prošlog rujna ukazuje na složene europske zakone koji sprječavaju njegovo gospodarstvo da sustigne Sjedinjene Države i Kinu, a posebno spominje uredbu o umjetnoj inteligenciji i GDPR.

Komisija planira krajem svibnja predložiti „paket pojednostavljenja“ za mala i srednja poduzeća, iako je datum predstavljen kao okviran: prijedlog za pojednostavljenje pravila o privatnosti u svakom bi slučaju bio dostavljen do lipnja.

Prilagodbe bi mogle uključivati ograničavanje zahtjeva za vođenje evidencije o aktivnostima obrade podataka ili reformu procjena učinka na zaštitu podataka – dva pravila koja se smatraju posebno opterećujućim za mala i srednja poduzeća.

Također vrijedi podsjetiti da su zastupnik Axel Voss i predsjednik nevladine organizacije Noyb, Max Schrems – dvije osobe čiji su stavovi o toj temi povijesno bili suprotstavljeni – udružili snage prošlog ožujka kako bi predložili veliku reviziju GDPR-a, s ciljem

• Pojednostavljenje usklađenosti za mala i srednja poduzeća i neprofitne organizacije,
• Uspostaviti jasnija i lakše upravljiva pravila za velike organizacije,
• Ojačati kontrolne sposobnosti kako bi se osigurala učinkovitija zaštita podataka.

Iako ovaj prijedlog odražava pomak prema pragmatičnim rješenjima koja usklađuju zaštitu privatnosti s poslovnom stvarnošću, drugi ističu rizike ponovnog otvaranja teksta koji bi se mogao urušiti pod pritiskom lobiranja, kako je istaknula skupina za zagovaranje digitalnih prava EDRi.

Vrijedi podsjetiti da su pregovori o razvoju GDPR-a pokrenuli jedan od najvećih lobističkih napora koje je Bruxelles ikada vidio.

Tehnološke tvrtke potrošile su milijune pokušavajući utjecati na pravila tijekom procesa izrade, a prijedlog je bio predmet više od 3000 amandmana u Europskom parlamentu, što je rekord.

Trenutni rad na proceduralnoj uredbi GDPR, koja ima za cilj jačanje suradnje između tijela za zaštitu podataka i ubrzavanje donošenja odluka u prekograničnim slučajevima, mogao bi potvrditi da je put do pakla popločan dobrim namjerama.

Dok se rasprave (trijalog) između Komisije, Europskog parlamenta i Vijeća nastavljaju, neki upozoravaju na rizik postizanja kompromisa koji ne samo da neće donijeti potrebne reforme, već bi mogao uvesti i nove ranjivosti.

Dana 17. travnja, nevladina organizacija Noyb izjavila je da je trijalog doveo do zakonodavnog kaosa koji će vjerojatno učiniti postupke složenijima, sporijima i podložnijima pravnim osporavanju.

 

    

CNIL je objavio svoje godišnje izvješće za 2024. godinu 29. travnja.

Ključne teme uključuju kibernetičku sigurnost, koja postaje strateški prioritet za nadolazeće godine s obzirom na značajan porast kršenja podataka (+20 %), te jačanje represivnih mjera.

Izvješće također naglašava važnost poštivanja prava maloljetnika, kontrole komercijalnih praksi istraživanja i reguliranja video nadzora.

Paralelno s tim, CNIL jača svoju europsku suradnju kako bi bolje regulirao velike digitalne platforme i nastavlja svoj rad na umjetnoj inteligenciji.

Komisija je također 30. travnja objavila svoje smjernice za jačanje sigurnosti velikih baza podataka.

Ove mjere proširuju i pojačavaju osnovne sigurnosne mjere.

Poput prioritetnih kibernetičkih mjera ANSSI-ja ili onih usmjerenih na sprječavanje curenja podataka, one ne nabrajaju sve dovoljne mjere, već skreću pozornost kontrolora podataka na sigurnosne mjere koje CNIL smatra potrebnima kada su u pitanju velike baze podataka, posebno s obzirom na rizike od masovnog izbacivanja podataka.

Dvjesto francuskih medijskih kuća podnosi tužbu protiv Mete zbog "nezakonitih praksi": prema Le Mondeu, "nekoliko novinarskih grupa (Prisma, Les Echos-Le Parisien, CMI), nacionalnih i regionalnih dnevnih novina, kao i privatnih i javnih emitera (TF1, RMC-BFM, France Télévisions i Radio France) optužuju Metu da je iskoristila razdoblje kada su sami provodili privolu korisnika za prikupljanje njihovih osobnih podataka kako bi se uključila u ciljano oglašavanje".

 

Europske institucije i tijela

Europska komisija je 23. travnja izdala prve dvije kazne prema Uredbi o digitalnim tržištima (DMA).

Točnije, Apple i Meta kažnjeni su s 500 milijuna eura, odnosno 200 milijuna eura.

Komisija smatra da Apple nije ispunio svoje obveze u vezi s dostupnošću aplikacija na App Storeu.

Što se tiče Mete, tvrtka je kažnjena s 200 milijuna eura zbog svog sustava "pristanak ili plaćanje".

Komisija je smatrala da ovaj model korisnicima ne daje konkretan izbor odabira ekvivalentne usluge koja bi koristila manje osobnih podataka.

Treba napomenuti da je Meta od ove istrage uvela treću opciju, a to su "manje personalizirani oglasi", koju Komisija još nije ocijenila.

Komisija je objavila četiri nova poziva za natječaj vrijedna 140 milijuna eura u okviru programa Digitalna Europa (DIGITAL) za unapređenje primjene umjetne inteligencije, promicanje naprednih digitalnih vještina, proširenje mreže Europskih centara za digitalne inovacije (EDIH) i borbu protiv dezinformacija.

U tom kontekstu, 9. travnja objavila je poziv za doprinose u vezi s budućim zakonodavstvom o oblaku i umjetnoj inteligenciji (Zakon o razvoju oblaka i umjetne inteligencije – CAIDA).

Cilj bi bio riješiti nedostatak konkurentne europske ponude usluga u oblaku u dovoljnom opsegu za vrlo kritične upotrebe s posebno visokim sigurnosnim zahtjevima.

EDPB i EDPS predstavili su svoja godišnja izvješća za 2024. krajem travnja.

EDPS je istaknuo evoluciju svoje uloge u svjetlu europske uredbe o umjetnoj inteligenciji, koja mu nalaže da bude nadzorno i obavještavajuće tijelo za institucije EU-a.

Izvješće EDPB-a pruža pregled rada obavljenog u 2024. godini, uključujući donošenje strategije za razdoblje 2024. – 2027., povećanje broja mišljenja u okviru mehanizma dosljednosti u skladu s člankom 64. stavkom 2. i kontinuirane napore u pružanju smjernica i pravnih savjeta, posebno malim i srednjim poduzećima.

Na svojoj plenarnoj sjednici u travnju 2025., EDPB je usvojio smjernice o obradi osobnih podataka putem blockchain tehnologija.

Dokument naglašava važnost provedbe tehničkih i organizacijskih mjera od najranijih faza dizajna obrade te istovremenog definiranja uloga i odgovornosti različitih aktera u obradi.

Ponovno se naglašava važnost procjena utjecaja na zaštitu podataka i navode primjeri tehnika minimiziranja podataka, kao i obrade i pohrane osobnih podataka. Smjernice su otvorene za savjetovanje do 9. lipnja.

Što se tiče pristupa administrativnim dokumentima, Sud Europske unije (SEU) donio je presudu o ravnoteži koju treba pronaći između tog prava i zaštite podataka osoba navedenih u tim dokumentima.

Utvrdio je da članak 6(1)(c) i (e) GDPR-a ne isključuje dodatne obveze informiranja i savjetovanja s ispitanikom prije bilo kakvog otkrivanja osobnih podataka koji se na njega odnose.

Međutim, te dodatne obveze ne smiju imati učinak nesrazmjernog ograničavanja javnog pristupa tim dokumentima.

Sud Europske unije objavljuje ažuriranje svog tematskog lista o najvažnijim presudama u području zaštite podataka.

Dokument obuhvaća sudsku praksu koja se odnosi na opće propise o zaštiti podataka i propise specifične za sektor (elektroničke komunikacije i kazneno pravo). Također predstavlja izbor presuda koje se odnose na međusektorske propise, a istovremeno ističe ulogu Povelje u razvoju sudske prakse.

Europski korisnici Meta platformi primili su u travnju obavijest kojom ih se obavještava da Facebook i Instagram koriste njihove podatke u svrhu obuke za umjetnu inteligenciju, zajedno s poveznicom na obrazac za prigovor.

Norveško tijelo za zaštitu podataka (APD) objavilo je blog u kojem objašnjava posljedice ove odluke i pravnu zaštitu koja je dostupna pojedincima. Također je navelo da je pitalo Metu, zajedno s drugim APD-ovima, je li ispitalo kompatibilnost obuke za umjetnu inteligenciju s izvornim ciljem prikupljanja korisničkih poruka i slika.

Međunarodno udruženje stručnjaka za privatnost (IAPP) objavljuje tablicu koja nudi pregled zahtjeva za obavještavanje o incidentima digitalne sigurnosti i dijeljenje informacija u nekoliko europskih zakonodavstava.

Uzima u obzir GDPR, direktivu o "policiji", direktivu o e-privatnosti, uredbu o upravljanju podacima, uredbu o podacima, direktivu NIS2, uredbu o digitalnoj operativnoj otpornosti, Direktivu o platnim uslugama 2, uredbu o kibernetičkoj otpornosti i uredbu o umjetnoj inteligenciji.

Microsoft je službeno implementirao svoje europsko načelo granica podataka za usluge u oblaku, obvezujući se pohranjivati i obrađivati osobne podatke svojih korisnika isključivo unutar EU-a i EFTA-e.

Međutim, podaci iz određenih Azure usluga mogu se prenijeti izvan EU-a ako Microsoft to smatra potrebnim za istrage kibernetičke sigurnosti.

Nadalje, treba napomenuti da Zakon o oblaku omogućuje američkim vlastima pristup podacima američkih tvrtki bez obzira na to gdje su pohranjeni.

 

Vijesti iz zemalja članica Europske unije.

Njemački Savezni sud pravde smatra se da kvalificirani subjekti (poput organizacija potrošača) imaju pravo pokrenuti pravne postupke zbog kršenja obveza informiranja prema GDPR-u prema zakonu o zaštiti potrošača, bez obzira na konkretno kršenje i bez mandata ispitanika.

Slučaj se odnosio na nepoštivanje zakonskih zahtjeva tvrtke Meta Platforms Ireland Ltd (Meta) u vezi s dobivanjem privole korisnika.

U BelgijiU odluci se podsjeća da se opseg GDPR-a proteže i na profesionalne podatke: APD je izrekao kaznu od 20.000 eura posredniku u obradi podataka između poduzeća zbog prikupljanja i otkrivanja adrese e-pošte glavnog partnera tvrtke.

APD je također podsjetio da kontrolor podataka ne može prisiliti pojedinca da stvori online račun ako to nije potrebno, u ovom slučaju da podnese pritužbu.

Tvrtka je ovdje prekršila načela minimizacije podataka i zaštite podataka po zadanim postavkama i po dizajnu.

U Španjolskoj, Tvrtka (Marina Salud) koja upravlja bolničkim podacima u ime autonomne vlade Valencijske zajednice kažnjena je s 500.000 eura nakon što je imenovala sekundarne podizvođače bez odobrenja kontrolora podataka, kršeći članak 28(2) GDPR-a.

Također u Španjolskoj, banka je kažnjena sa 120.000 eura zbog nezakonite obrade osobnih podataka klijenta kršeći članak 6(1) GDPR-a, nakon što je zaposlenik imitirao potpis klijenta na ugovoru o zaštiti podataka.

TikTok je osuđen 2. svibnja od strane Irski DPA na kaznu od 530 milijuna eura zbog ilegalnog slanja osobnih podataka Europljana u Kinu i njihovog skrivanja od korisnika.

TikTok ima šest mjeseci da uskladi svoje prakse s GDPR-om.

Irski sud potvrdio je odluku Tijela za zaštitu podataka (DPA) kojim je utvrđeno da poslodavac nije bio voditelj obrade podataka u vezi s neprofesionalnim podacima sadržanim u poslovnom telefonu jednog od njegovih zaposlenika.

Malteški APD objavljuje niz često postavljanih pitanja o upravljanju računima e-pošte zaposlenika kada napuste svoju organizaciju.

Vodič potiče poslodavce da usvoje proaktivan i strukturiran pristup upravljanju računima, kako tijekom radnog odnosa tako i nakon odlaska zaposlenika, te da se pozabave ključnim pitanjima u vezi s uobičajenim praksama poput automatskog prosljeđivanja pošte i automatskih odgovora.

U kontekstu predsjedničkih izbora održanih u Rumunjskoj 4. i 18. svibnja, TikTok je najavio nove mjere usmjerene na sprječavanje kampanje dezinformacija usporedive s onom koja je navodno pomogla kandidatu Călinu Georgescuu da se plasira na vrh prvog kruga prošlog studenog.

Aplikacija je također pokrenula "Centar za izbore" koji prikazuje informacije poput važnih datuma i poveznice na web stranicu Stalnog izbornog tijela te je objavila alate za podizanje svijesti o dezinformacijama.

Ove se mjere poduzimaju u trenutku kada je Europska komisija pokrenula istragu u skladu sa Zakonom o digitalnim uslugama (DSA) kako bi rasvijetlila događaje iz studenog.

 

U Kini je Uprava za kibernetički prostor upravo najavila pokretanje tromjesečne kampanje za borbu protiv zlouporabe tehnologija umjetne inteligencije. Odjeli odgovorni za regulaciju interneta morat će voditi online platforme kako bi ispunile zahtjeve kampanje jačanjem mehanizama za pregled sadržaja generiranog umjetnom inteligencijom, poboljšanjem mogućnosti otkrivanja i osiguravanjem pravilne provedbe korektivnih mjera.

U Sjedinjenim Državama, članovi Odbora za energetiku i trgovinu Zastupničkog doma pokrenuli su istragu o vezama Deepseeka s Komunističkom partijom Kine. Navodi se da chatbot ne samo šalje podatke u Kinu, već i dijeli osobne podatke korisnika s drugim subjektima povezanim sa strankom, uključujući ByteDance Ltd. Također se sumnja da aplikacija umjetne inteligencije prikuplja podatke o otkucajima srca svojih korisnika.

Forum za budućnost privatnosti (FPF) je pod vatrom Trumpove administracije. Predsjednik Odbora za trgovinu Senata Ted Cruz (R-Texas) traži odgovore od FPF-a, koji je navodno koristio savezne potpore kako bi izvršio pritisak na države da usvoje "ljevičarske" zakone o umjetnoj inteligenciji. Senator Cruz je zabrinut da se grupa otvoreno zalaže za propise o umjetnoj inteligenciji usklađene s političkim programom Bidenove administracije. Također pomno ispituje savezne potpore dodijeljene organizaciji.

Prema Euractivu, koji se poziva na informacije iz Financial Timesa, Europska komisija oprema svoje osoblje poslano u Sjedinjene Države jednokratnim telefonima zbog zabrinutosti oko nadzora. "Nove smjernice koje je izdala izvršna vlast EU-a, a koje također preporučuju korištenje osnovnih prijenosnih računala prilikom putovanja u SAD, slične su onima za putovanja u Ukrajinu ili Kinu. Svim zaposlenicima se savjetuje da isključe svoje uređaje i stave ih u namjensku torbicu protiv špijuniranja pri ulasku u zemlju."

CNN izvještava da Trumpova administracija, uz pomoć Palantira, uspostavlja "opću bazu podataka za ubrzanje provedbe imigracijskih zakona i deportacije kombiniranjem osjetljivih podataka iz cijele savezne vlade", stvaranjem "popisa za ciljanje" i uhićenjem ciljanih pojedinaca. Wired je prethodno izvijestio da "DOGE prikuplja imigracijske baze podataka iz cijelog Ministarstva domovinske sigurnosti (DHS) i preuzima podatke iz vanjskih agencija, uključujući Upravu za socijalno osiguranje (SSA), kao i zapise o glasanju", koji se navodno nalaze na softveru koji je razvio Palantir.