Pravni nadzor br. 85 – srpanj 2025. 

 

Usklađenost s GDPR-om: koje su ekonomske koristi?

Studije koje su proveli Udruženje za strukovno obrazovanje odraslih (AFPA) i CNIL sada potvrđuju ekonomske koristi povezane s prisutnošću službenika za zaštitu podataka (DPO) unutar tvrtki.

Statističko istraživanje koje je AFPE provela u siječnju 2024., na temelju više od 3600 odgovora službenika za zaštitu podataka, dopunjeno je dubinskim intervjuima koje je CNIL provela s deset službenika za zaštitu podataka koje je predložilo Francusko udruženje dopisnika za zaštitu podataka (AFCDP).

Rezultati ovih analiza koje je CNIL predstavio krajem srpnja identificiraju četiri glavne prednosti za tvrtke s DPO-om: konkurentnost, izbjegavanje sankcija, izbjegavanje curenja podataka i racionalizaciju upravljanja podacima.

Te prednosti prepoznaju tvrtke svih veličina, a posebno u sektorima "Istraživanje, IT i savjetovanje" te "Bankarstvo, osiguranje i uzajamno društvo".

• Što se tiče konkurentnosti, usklađenost s GDPR-om stoga se čini kao poluga za dobivanje natječaja, posebno kada su oni povezani s podacima.

U ovom kontekstu, DPO se pojavljuje kao ključna kontakt osoba za kupce.

• Iako DPO pomaže u ograničavanju rizika od sankcija, te se koristi ne odnose samo na iznos kazni već i na aspekte ugleda.

Osim utjecaja na prihode tvrtki, sankcije mogu utjecati i na financijske rejtinge tvrtki, a time i na njihove mogućnosti financiranja.

• Što se tiče sigurnosti, DPO, zajedno s glavnim službenikom za informacijsku sigurnost (CISO), igra središnju ulogu u podizanju svijesti osoblja i provedbi internih politika zaštite podataka i upravljanja incidentima.

U tom smislu, CNIL ističe da je prosječni trošak kršenja podataka 5 milijuna dolara, prema IBM-ovoj studiji iz 2024. godine.

• Konačno, pojednostavljenje upravljanja podacima omogućuje nam uštedu novca na poslužiteljima, koja potencijalno može iznositi nekoliko stotina tisuća eura, i poboljšanje učinkovitosti donošenja odluka.

U tom smislu, studija Godišnjih pregleda iz 2023. o ekonomskim aspektima digitalne privatnosti također je napomenula da „prekomjerna količina podataka može smanjiti tržišnu moć tvrtke“.

Izvješće CNIL-a uzima u obzir kako kontrolor podataka doživljava propise. 

Što su DPO i tvrtka uvjereniji u prednosti usklađenosti s GDPR-om i integriraju njezina načela u interne procese, to se više osjećaju pozitivni učinci, za razliku od tvrtki koje usklađenost doživljavaju kao ograničenje.

Stoga bi se uspostavio pozitivan krug motivacije i koristi kada se uzmu u obzir načela propisa.

Studija provedena u Francuskoj nije jedina koja je utvrdila ekonomske koristi regulacije podataka. 

Ističu se i dodatni aspekti, na primjer od strane Europskog odbora za zaštitu podataka (EDPB), koji naglašava povjerenje koje provedba vidljive politike zaštite podataka stvara među pojedincima, izvan konteksta poziva na podnošenje ponuda.

Ranije ove godine, OECD je također objavio analizu međunarodnih tokova podataka, u kojoj je naveo da "režimi koji predviđaju zaštitne mjere postižu ravnotežu između trgovinskih troškova povezanih s regulacijom podataka i koristi u smislu povjerenja koje pružaju zaštitne mjere podataka".

U kontekstu sve češće krađe podataka, a razvoj umjetne inteligencije postavlja sve veći broj etičkih pitanja, stjecanje – i zadržavanje – povjerenja pojedinaca predstavlja značajnu prednost kod javnosti.

 

        

U odluci od 8. kolovoza 2025., Ustavno vijeće proglasilo je neustavnom praksu, od strane ograničenog sastava CNIL-a, da se osobe koje želi saslušati tijekom saslušanja ili zahtjeva za očitovanjem ne obavještavaju o pravu na šutnju.

Ova odluka temelji se na pravu da se ne inkriminira sam, što proizlazi iz članka 9. Deklaracije o pravima čovjeka i građanina.

Kako bi se okončala ova neustavnost od dana objave svoje odluke, Ustavno vijeće je odlučilo da se, do stupanja na snagu novog zakona ili do dana ukidanja inkriminiranih odredbi, dotična osoba pred ograničenim sastavom treba obavijestiti o svom pravu na šutnju.

Nakon odluke Suda Europske unije (CJEU), Državno vijeće (CE) objavilo je 31. srpnja svoju odluku u slučaju Mousse, nazvanom po udruženju koje je pokrenulo tužbu protiv SNCF-a.

Vjeruje da SNCF Connect "ne može prisiliti svoje putnike da komuniciraju svoju uljudnost."

Ova obrada podataka nije u skladu s GDPR-om, koji zahtijeva prikupljanje samo strogo potrebnih osobnih podataka.

EK smatra da prikupljanje propisa o uljudnosti nije bitno za prodaju karata ili provjeru identiteta tijekom putovanja te da bi trebalo biti neobavezno, osim za određene usluge, poput kupea za spavanje rezerviranih za samce.

Stoga poništava odluku CNIL-a od 23. ožujka 2021., koji će morati ponovno ispitati pritužbu udruge Mousse.

Dana 6. kolovoza 2025., Bouygues Telecom potvrdio je da je pretrpio računalni upad koji je omogućio kibernetičkim kriminalcima pristup osobnim podacima više od šest milijuna korisnika.

Lozinke i brojevi bankovnih kartica nisu bili pogođeni, ali hakeri su dobili pristup mnogim informacijama, uključujući imena, poštanske i e-mail adrese, datum rođenja, broj ugovora i IBAN. 

France Travail je također pretrpio još jednu povredu osobnih podataka sredinom srpnja, koja je utjecala na 340 000 dosjea tražitelja posla, uključujući podatke o identitetu, adresu, datum rođenja i telefonski broj. Suočen s rastućim brojem povreda podataka, CNIL (Francusko tijelo za zaštitu podataka) ažurirao je svoje savjete pojedincima.

 

Europske institucije i tijela

Europska komisija objavila je 7. kolovoza svoj kodeks dobre prakse za tvrtke koje upravljaju sustavima umjetne inteligencije opće namjene (GPAI).

Ovaj dokument je pripremljen u suradnji s industrijom i civilnim društvom, a cilj mu je olakšati usklađenost s uredbom o umjetnoj inteligenciji.

Potpuni popis potpisnika uključuje 26 tvrtki, uključujući Amazon, Anthropic, Google, Microsoft, Mistral i OpenAI.

Tvrtka Elona Muska, xAI, potpisala je samo dio koda posvećen pitanjima sigurnosti i zaštite. Stoga će xAI morati dokazati svoju usklađenost s obvezama transparentnosti i autorskih prava iz propisa putem odgovarajućih alternativnih sredstava.

Nedavno preuzeti predsjedanje Vijećem Europske unije, Danska je u privilegiranom položaju oblikovati politiku EU u sljedećih šest mjeseci.

Dana 4. srpnja, u neformalnom dokumentu danske vlade spomenuta je njezina namjera da predloži ciljanu reviziju GDPR-a i Direktive o e-privatnosti kako bi se smanjio teret usklađenosti za poduzeća i osigurala njihova konkurentnost.

Očekuje se da će Europska komisija u nadolazećim mjesecima objaviti i procjenu kvalitete digitalnog zakonodavstva EU-a, kao i digitalni omnibus paket.

Revizija GDPR-a ne čini se sigurnom, ako je vjerovati sažetku "dijaloga o provedbi" koji je Komisija organizirala sredinom srpnja, a čiji su zaključci objavljeni početkom kolovoza.

Privatni sektor je naznačio da je "uložio u usklađenost i da bi opće ponovno otvaranje moglo stvoriti neizvjesnost, posebno u kontekstu međunarodnog prijenosa podataka".

U slučaju koji se odnosi na švedski javni prijevoz, glavni odvjetnik Suda EU-a 1. je kolovoza pojasnio opseg članaka 13. i 14. GDPR-a u vezi s informacijama ispitanika.

Konkretan slučaj odnosio se na prikupljanje slika kamerama u vozilu kontrolora.

Vrhovni sudac smatra da se članak 13. primjenjuje kad god je subjekt podataka izvor podataka („prikupljeni od subjekta podataka“), bez obzira na sudjelovanje potonjeg u prikupljanju podataka i od trenutka kada ne postoji posrednik između subjekta podataka i kontrolora.

Članak 14. primjenjuje se kad god se podaci prikupljaju iz izvora koji nije subjekt podataka.

Stoga, u slučaju prikupljanja slika kamerama u vozilu, obveza obavještavanja dotičnih osoba mora biti trenutna i ne koristi se izuzećima iz članka 14.

Dana 28. srpnja Europski nadzornik za zaštitu podataka (EDPS) zaključio je istragu o korištenju sustava Microsoft 365 od strane Europske komisije na pozitivan način.

U izjavi se primjećuje značajno poboljšanje u usklađenosti sa zaštitom podataka u korištenju sustava Microsoft 365 od strane Komisije te se također priznaju i cijene „Microsoftovi napori da se uskladi sa zahtjevima Komisije koji proizlaze iz odluke EDPS-a iz ožujka 2024.“

Izvješće Agencije Europske unije za kibernetičku sigurnost (ENISA) objavljeno 26. lipnja pruža tehničke smjernice za podršku provedbi Direktive NIS2 za nekoliko vrsta subjekata u sektorima digitalne infrastrukture NIS2, upravljanja ICT uslugama i digitalnih pružatelja usluga.

Sastavlja popis relevantnih europskih i međunarodnih standarda i okvira (ISO 27001, NIST, ETSI ili CEN).

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj je sud u Düsseldorfu dosudio 200 eura nematerijalne štete pojedincu nakon povrede podataka uzrokovane propustom kontrolora podataka da osigura brisanje osobnih podataka koje je obradio njegov podizvođač u zakonski propisanim rokovima.

Ponavljajući gore spomenuti slučaj Mousse, sud u Frankfurtu presudio je da je njemačka nacionalna željeznička tvrtka nezakonito zahtijevala od svojih korisnika da dostave svoju adresu e-pošte ili broj mobilnog telefona za kupnju karata.

Smatrao je da to nije bilo potrebno za izvršenje ugovora te da dana privola nije bila iskrena i slobodna.

Hrvatska Agencija za zaštitu podataka (AZP) kaznila je komunalno poduzeće s 320.000 eura zbog neprovođenja propisanih sigurnosnih mjera prilikom izdavanja novih lozinki svojim korisnicima i zbog nesuradnje s njim.

Španjolska agencija za zaštitu podataka (APD) kaznila je tvrtku koja upravlja sportskim centrima s 96.000 eura zbog uvođenja obveznih sustava za prepoznavanje lica za ulazak i izlazak iz prostorija bez prethodnog obavještavanja svojih članova ili dobivanja njihovog pristanka.

Također u Španjolskoj, APD je kaznio dobavljača energije s 1.380.000 eura zbog pogrešne dodjele ugovora o opskrbi plinom pogrešnom kupcu i naplate naknada tom kupcu, kršeći načela točnosti podataka i sigurnosti obrade.

Irski Vrhovni sud presudio je da zahtjevi za naknadu štete za emocionalnu bol povezanu s nevoljom, previranjima ili tjeskobom mogu izravno spadati pod GDPR te da se nacionalne odredbe koje zahtijevaju odobrenje neovisnog tijela prije podnošenja zahtjeva za naknadu štete za tjelesne ozljede ne primjenjuju.

Talijansko tijelo za zaštitu tržišnog natjecanja pokrenulo je 22. srpnja istragu protiv Meta platformi u vezi s dodavanjem usluga umjetne inteligencije na WhatsApp bez pristanka korisnika.

Podsjećamo, 23. svibnja 2025. Viši regionalni sud u Kölnu odbacio je sudsku zabranu protiv Mete u vezi s Metinim obučavanjem njezine umjetne inteligencije.

Sud je smatrao da kombinacija anonimiziranih podataka s Facebooka i Instagrama u skupu podataka za obuku ne predstavlja nezakonito "spajanje" podataka u smislu članka 5(2) Uredbe o digitalnim tržištima (DMA).

Litvansko tijelo za zaštitu podataka (DPA) smatralo je, u slučaju koji uključuje dva susjeda, da povremeno prikupljanje osobnih podataka pomoću drona, u svrhu prikupljanja dokaza za pravni postupak, spada pod domaće izuzeće predviđeno GDPR-om.

APD navodi da se u vezi s tim pozvao na smjernice EDPB-a iz 2020.

U Poljskoj je Savezni upravni sud stao na stranu ombudsmana i presudio da je poljsko zakonodavstvo koje od sudaca i tužitelja zahtijeva da otkriju svoju pripadnost vjerskim, sindikalnim i političkim organizacijama nespojivo s njihovim pravima prema Povelji EU i Europskoj konvenciji o ljudskim pravima.

I u Poljskoj je McDonald's Polska Sp. z oo kažnjen s 3.955.000 eura zbog nepoštivanja općih načela u vezi s obradom podataka, posebno zbog poduzimanja neadekvatnih mjera za zaštitu osobnih podataka.

 

U Velikoj Britaniji, vlada bi, pod pritiskom SAD-a, mogla odustati od svoje naredbe usmjerene na Appleovu naprednu značajku zaštite podataka.

Zahtjev Ministarstva unutarnjih poslova podnesen je u skladu sa Zakonom o istražnim ovlastima (IPA), koji ovlašćuje vladu Ujedinjenog Kraljevstva "da izdaje tajne naloge kojima se od dobavljača zahtijeva da zaobiđu enkripciju umetanjem stražnjih vrata u svoje softverske proizvode".

Prema Ars Technici, američki dužnosnici, uključujući potpredsjednika J. D. Vancea, vrše pritisak na Ujedinjeno Kraljevstvo da poništi svoju odluku. "Ovo je nešto što jako živcira potpredsjednika i treba riješiti", navodno je rekao dužnosnik britanskog ministarstva.

Wetransfer, koji mnogi profesionalci i pojedinci koriste za dijeljenje dokumenata, promijenio je svoje uvjete i odredbe sredinom srpnja: tvrtka je naznačila da će od kolovoza koristiti sadržaj podataka svojih korisnika za obuku svog sustava umjetne inteligencije.

Kao rezultat reakcija izazvanih ovom informacijom i pitanja postavljenih u vezi s povjerljivošću podataka, tvrtka je navodno odustala u sljedećim danima.

Korištenje ChatGPT-a može dovesti do otkrivanja podataka bez znanja korisnika: to otkriva publikacija Digital Digginga od 31. srpnja.

Istraga izvještava o 512 ChatGPT razgovora objavljenih putem ciljanih pretraga ključnih riječi, otkrivajući kompromitirajuće informacije i povjerljive podatke.

Zahvaljujući značajki "dijeljenja", korisnici su nesvjesno učinili svoje interakcije s ChatGPT-om javnima i indeksiranima od strane tražilica.

Zajednički razgovori odnosili bi se na slučajeve trgovanja povlaštenim informacijama, detaljne financijske informacije o tvrtkama, priznanja prijevare i dokaze o kršenjima propisa, a sve bi se čuvalo u obliku trajno dostupnih javnih arhiva.

U Indiji, utjecaj geopolitike na digitalnu tehnologiju IAPP izvještava da je krajem srpnja Microsoft bez prethodne najave uskratio pristup podacima tvrtki Nayara Energy, trećoj najvećoj indijskoj rafineriji sa 6000 benzinskih postaja, iako je u potpunosti platila svoje licence.

Rosneft, ruski subjekt, drži udio od 49,13 % u Nayara Energyju. Vjeruje se da je ovaj potez posljedica sankcija nametnutih Rusiji u kontekstu rata u Ukrajini.

Drugi incident odnosi se na povlačenje ovlaštenja za usluge koje je Indijski nacionalni centar za promicanje i ovlaštenja za svemir dodijelio dvama satelitima tvrtke Asia Satellite Telecommunications Company nakon 31. ožujka 2026.

Glavni dioničar AsiaSata je entitet u vlasništvu kineske vlade.

Ova odluka ima posljedice za neke od najvećih indijskih zabavnih emitera, poput Zeeja i Jiostara, koji će sada morati tražiti alternative.

Ovi događaji odražavaju Microsoftovo blokiranje računa e-pošte glavnog tužitelja Međunarodnog kaznenog suda (ICC) prošlog proljeća.

Ova blokada bila je izravna posljedica mjera koje je američki predsjednik Donald Trump poduzeo protiv Haaškog suda u veljači, nakon što je panel sudaca Međunarodnog kaznenog suda izdao naloge za uhićenje izraelskog premijera Benjamina Netanyahua i njegovog bivšeg ministra obrane Yoava Gallanta zbog ratnih zločina u Pojasu Gaze.

Kolovozovsko izdanje PL&B International Reporta sadrži članak Marije Tzanou, predavačice prava na britanskom Sveučilištu u Sheffieldu i voditeljice FemTech projekta nadzora.

Ona postavlja pitanja o nadzoru žena putem proizvoda i usluga poput aplikacija za praćenje plodnosti i menstruacije, navodeći da postoje "problematične i često ilegalne prakse prikupljanja podataka".