Pravni nadzor br. 84 – lipanj 2025. 

Proširene kamere: CNIL postavlja nove smjernice.

Dana 11. srpnja, CNIL je smatrao da korištenje "proširenih" kamera za procjenu dobi kupaca u trgovinama duhana radi kontrole prodaje proizvoda zabranjenih maloljetnicima nije ni potrebno ni proporcionalno.

Ove kamere predstavljene su kao alat za donošenje odluka. Oslanjaju se na algoritam umjetne inteligencije, aktiviran prema zadanim postavkama, koji skenira lice svih u njihovom vidnom polju kako bi procijenio jesu li maloljetnici ili odrasli.

CNIL (Francusko tijelo za zaštitu podataka) napominje da, budući da "proširena" kamera vrši samo procjenu, prodavači duhana moraju sustavno tražiti dokaz o dobi od svojih kupaca kako bi ispunili svoje obveze. "Slijedom toga, prethodna analiza lica kamerom radi procjene dobi ne čini se potrebnom: to bi samo doprinijelo provjerama koje zahtijeva zakon."

CNIL ukazuje na nesrazmjernu upotrebu u odnosu na željeni cilj, što dovodi do snimanja svih ljudi, čak i onih koji su očito punoljetni, te sprječava ljude da ostvare svoje pravo na prigovor.

Također smatra da postavljanje kamera u životne prostore poput trgovina duhanom doprinosi riziku od trivijalizacije i navikavanja na oblik nadzora pojačan umnožavanjem takvih alata.

Ovo nije prvi put da regulatorno tijelo zauzima stav o ovom pitanju. Krajem svibnja izazvalo je gnjev gradonačelnika Nice zabranom postavljanja kamera proširene stvarnosti ispred gradskih škola, ističući prikupljanje osobnih podataka i ponavljajući potrebu smanjenja nadzora ljudi u javnim prostorima na minimum.

Međutim, u nekim kontekstima, korištenje proširenih kamera nailazi na odobravanje CNIL-a: stoga je smatrao da bi postavljanje tih kamera za automatske blagajne supermarketa moglo predstavljati legitimni interes u cilju ograničavanja gubitaka prihoda uzrokovanih pogreškama ili krađama na blagajnama, ali pod određenim uvjetima: da je sustav nužan za željeni cilj i da nerazmjerno ne krši prava osoba te da se to ne može postići na manje nametljiv način.

Moraju se provesti mjere minimizacije podataka, kao što je ograničavanje područja snimanja na samouslužne blagajne te ograničavanje trajanja, rezolucije i učestalosti snimanja. Nadalje, korisnici moraju biti obaviješteni o sustavu i imati alternativu bez kamere.

CNIL namjerava regulirati korištenje ovih sustava osiguravajući njihovu nužnost i proporcionalnost od slučaja do slučaja. Također preporučuje primjenu načela privatnosti već u dizajnu.

Vrijedi imati na umu da je regulatorni okvir za algoritamski video nadzor tema u razvoju i podložna je složenom regulatornom okviru.

Ovaj se okvir razlikuje od okvira biometrijskih kamera, koje sustavno obrađuju podatke koji se odnose na fizičke karakteristike ljudi s ciljem njihove jedinstvene identifikacije ili autentifikacije.

Ove operacije obrade, koje uključuju osjetljive podatke, zabranjene su osim u iznimnim okolnostima.

Što se tiče „proširenih“ kamera, trenutno ne postoji konkretan tekst osim eksperimentalnog okvira predviđenog zakonom o Olimpijskim i Paraolimpijskim igrama od 19. svibnja 2023.

CNIL nas podsjeća da se „mehanizmi koji bi mogli utjecati na temeljna jamstva koja se građanima daju za ostvarivanje javnih sloboda mogu primijeniti samo ako ih zakon ovlašćuje i posebno regulira.“

Za ostale sustave moraju se uvesti snažne zaštitne mjere.

Probno razdoblje za zakon o Olimpijskim igrama nedavno je produljeno do 2027. godine, unatoč procjeni koja je predstavljena kao kontroverzna.

Ovaj zakon odobrava eksperimentalnu upotrebu uređaja s proširenim kamerama kako bi se osigurala sigurnost određenih većih sportskih, rekreacijskih i kulturnih događaja, pod vrlo specifičnim uvjetima: samo događaji određeni zakonom mogu biti predmet detekcije, a prepoznavanje lica ne može se provoditi.

S političkog gledišta, CNIL poziva javne vlasti da razgraniče što bi trebalo, a što ne bi trebalo biti dopušteno u demokratskom društvu: nije sve što je tehnički izvedivo nužno poželjno s etičkog i društvenog gledišta.

 

 

U kontekstu povećane svijesti o borbi protiv diskriminacije, CNIL objavljuje preporuku o mjerenju raznolikosti na radnom mjestu.

Naglašava da je takva mjera delikatna vježba koja podrazumijeva da poslodavci strogo poštuju odluku Ustavnog vijeća od 15. studenog 2007., koja se redovito i pogrešno tumači kao apsolutna zabrana statistike vezane uz podrijetlo.

Komisija posebno naglašava da istrage moraju ostati neobavezne, a zaposlenici ili agenti moraju biti propisno informirani, a njihova prava poštovana.

Također preporučuje davanje prioriteta anonimnim anketama i ograničavanje podataka prikupljenih putem pitanja zatvorenog tipa.

CNIL je također objavio dva često postavljana pitanja o korištenju umjetne inteligencije u školama i mangu usmjerenu na podizanje svijesti mladih o zaštiti njihovih osobnih podataka.

Također je objavila preporuke o alatima za mjerenje internetske publike i alatu za samoprocjenu kako bi se procijenila njihova usklađenost s pravnim okvirom.

Objavila je preporuke o razvoju sustava umjetne inteligencije, koje specificiraju uvjete za korištenje legitimnog interesa, posebno u slučaju prikupljanja podataka (web scraping), a 12. lipnja otvorila je javne konzultacije o svom nacrtu preporuke o korištenju piksela za praćenje u e-porukama.

Cilj je pomoći akterima koji koriste ove alate za praćenje da bolje razumiju svoje obveze, posebno u vezi s dobivanjem privole korisnika.

Prema objavi medija o kibernetičkoj sigurnosti Cybernews od 30. lipnja, 16 milijardi ukradenih korisničkih imena i lozinki trenutno je dostupno na internetu.

Ugrožene informacije uključuju identifikatore, kao što su korisnička imena i adrese e-pošte, kao i lozinke.

Direktoriji također sadrže tokene za pristup, kolačiće za prijavu i metapodatke.

 Ovo ne bi bilo novo curenje podataka, već agregacija različitih prošlih curenja podataka, što može povećati rizike od krađe podataka olakšavajući rad zlonamjernih aktera.

Google riskira rekordnu kaznu od 525 milijuna eura zbog rukovanja kolačićima i oglašavanjem u pristigloj pošti Gmaila.

U svom nacrtu odluke, CNIL optužuje Google da je prekršio načela kojima se provodi europska direktiva o "privatnosti i elektroničkim komunikacijama" time što nije dobio privolu korisnika za preuzimanje kolačića prilikom stvaranja Gmail računa i za prikaz oglasa koji izgledaju kao e-poruke u Gmailovim sandučićima.

Ako uski odbor CNIL-a potvrdi kaznu, to će biti najviša kazna u povijesti CNIL-a i najviša kazna ikad izrečena za kršenje Direktive o e-privatnosti. Konačna odluka bit će objavljena za nekoliko tjedana.

Nepoštivanje GDPR-a osnova je za raskid ugovora, posebno u području usluga razvoja digitalnih komunikacija: nakon prethodnih odluka, Žalbeni sud u Bordeauxu je u svojoj presudi od 11. lipnja 2025. potvrdio prisutnost reCAPTCHA zaštitnog uređaja povezanog s nekoliko kolačića postavljenih bez pristanka krajnjeg korisnika.

S obzirom na kontinuirano kršenje ugovornih obveza od strane pružatelja usluga, klijent ima pravo zatražiti raskid ugovora u skladu s člancima 1610., 1217. i 1224. Građanskog zakonika.

 

Europske institucije i tijela

Vremenski raspored za provedbu europske uredbe o umjetnoj inteligenciji objavljen je sredinom lipnja.

Nakon glasina o mogućem razdoblju odgode, Komisija je pojasnila da će se tekst primjenjivati u skladu s propisanim rokovima.

Uredba se primjenjuje na sustave umjetne inteligencije na temelju rizika koje predstavljaju i uređuje modele umjetne inteligencije opće namjene (GPAI) na temelju njihovih mogućnosti.

Pravila koja se odnose na GPAI stupit će na snagu 2. kolovoza 2026.; za postojeće sustave primjena će početi 2. kolovoza 2027.

Osim toga, 10. srpnja objavljen je Kodeks dobre prakse za opću umjetnu inteligenciju.

Sastoji se od 3 poglavlja.

Poglavlja o transparentnosti i autorskim pravima pružaju svim pružateljima općenitih modela umjetne inteligencije sredstvo za dokazivanje da ispunjavaju svoje obveze prema članku 53. Zakona o umjetnoj inteligenciji.

Poglavlje o sigurnosti i zaštiti odnosi se samo na mali broj dobavljača visokonaprednih modela, podložno obvezama utvrđenim za dobavljače modela umjetne inteligencije opće namjene koji predstavljaju sistemski rizik prema članku 55. Zakona o umjetnoj inteligenciji.

Prijedlog Europske komisije za "digitalni omnibus" trenutno se očekuje do 10. prosinca, prema internom dokumentu koji je MLex vidio.

Bit će dio paketa koji uključuje Uredbu o digitalnim mrežama, reviziju Uredbe o kibernetičkoj sigurnosti i europski elektronički novčanik.

Propisi koji se odnose na razvoj clouda i umjetne inteligencije okvirno su planirani za sljedeći tjedan.

Krajem lipnja europske institucije usvojile su zajednički stav o dodatnim postupovnim pravilima koja se odnose na provedbu GDPR-a. Tekst sada mora biti formalno odobren glasovanjem u Europskom parlamentu.

Na dvodnevnom sastanku u Helsinkiju 1. i 2. srpnja, Europski odbor za zaštitu podataka (EDPB) najavio je da će pomoći organizacijama da bolje razumiju svoje obveze prema GDPR-u objavljivanjem pojednostavljenih smjernica. U svojoj izjavi, predsjednica odbora naznačila je da ćemo "putem konciznih i pravovremenih smjernica i alata spremnih za upotrebu, kao što su zajednički predložak za obavještavanje o povredi podataka, kontrolne liste, praktični vodiči i često postavljana pitanja, nastaviti osiguravati usklađenost s GDPR-om i učiniti je dostupnom svima".

Transatlantski tokovi podataka zasad ostaju valjani u okviru "Okvira za zaštitu podataka", unatoč mjerama koje je poduzela Trumpova administracija, a koje slabe okvir za zaštitu podataka u Sjedinjenim Državama.

Europska komisija je sredinom lipnja, kao odgovor na parlamentarno pitanje, potvrdila da razrješenje članova PCLOB-a (Odbora za nadzor privatnosti i građanskih sloboda) ne utječe na valjanost okvira za zaštitu podataka između EU-a i Sjedinjenih Američkih Država, budući da PCLOB i dalje može funkcionirati.

 

Vijesti iz zemalja članica Europske unije.

Tijelo za zaštitu podataka (DPA) savezne države Berlin je u odluci od 27. lipnja zaključio da je prijenos podataka tvrtke DeepSeek u Kinu nezakonit te traži od Googlea i Applea da blokiraju aplikaciju.

DeepSeek navodno nije uspio DPA-u pružiti uvjerljive dokaze da su podaci njemačkih korisnika u Kini zaštićeni na razini jednakoj onoj u Europskoj uniji.

„Kineske vlasti imaju široka prava pristupa osobnim podacima koje posjeduju kineske tvrtke. Nadalje, korisnici DeepSeeka u Kini nemaju provediva prava i učinkovite pravne lijekove kakve jamči Europska unija.“

Belgijski APD je 26. lipnja odbacio 16 pritužbi koje je podnijela nevladina organizacija Noyb u 5 različitih slučajeva, s obrazloženjem da nije postojao stvarni (ne fiktivni) mandat od dotičnih osoba.

U svom priopćenju za javnost, APD ističe razliku između članaka 80(1) i 80(2) GDPR-a te činjenicu da je belgijski zakonodavac odlučio ne dopustiti organizacijama za prava potrošača da podnose pritužbe bez mandata.

Zaključila je izjavom da „s obzirom na važnost tih organizacija, (ona) podržava zakonodavni amandman koji bi omogućio tu mogućnost i u Belgiji“.

U DanskojIzmjena zakona o autorskim pravima dat će građanima pravo nad svojim glasom, licem i tijelom, čak i kada su digitalno reproducirani generativnom umjetnom inteligencijom.

Danski ministar kulture izjavio je u tom smislu da "ljudska bića riskiraju da budu pretvorena u digitalne fotokopirne aparate i iskorištena u sve vrste zlouporaba, a ja to nisam spreman prihvatiti".

U ŠpanjolskojAPD je kaznio Carrefour s 3.200.000 eura nakon niza povreda podataka.

Otkrila je da Carrefour nije proveo odgovarajuće sigurnosne mjere i nije prijavio povredu dotičnim osobama.

APD je također izrekao novčanu kaznu od 12.000 eura podizvođaču zbog sklapanja ugovora sa sekundarnim podizvođačem bez odobrenja kontrolora podataka, što je kršenje članka 28(2) GDPR-a.

Microsoft se suočava s prvom kolektivnom tužbom u Irskoj Irsko vijeće za građanske slobode (ICCL) pokrenulo je krajem svibnja postupak pred Visokim sudom u Dublinu. U ovoj pravnoj tužbi, podnesenoj u skladu s novom europskom direktivom o kolektivnoj pravnoj zaštiti, tvrdi se da je sustav nadmetanja u stvarnom vremenu (RTB) koji Microsoft koristi za isporuku ciljanog online oglašavanja nekompatibilan s GDPR-om.

Dokumenti koji se odnose na zahtjeve za pristup ne mogu se čuvati neograničeno: nakon istrage koju je pokrenuo korisnik, Litvanska službena razvojna pomoć naložio je pružatelju medicinskih usluga da odredi rokove čuvanja dokumenata povezanih s obradom zahtjeva za pristup.

Pazite na piksele za praćenje: Norveška službena razvojna pomoć (ODA) izrekla je općini Kristiansand novčanu kaznu od 250.000 norveških kruna (21.600 eura) zbog nezakonite obrade osobnih podataka djece putem Snapa i Meta piksela na njihovoj web stranici za pomoć žrtvama zlostavljanja djece.

APD je također smatrao da informacije koje se odnose na posjete stranicama web-mjesta koje sadrže sadržaj o određenim medicinskim pitanjima predstavljaju osjetljive podatke te je ukorio tvrtku zbog nezakonite obrade tih osjetljivih informacija putem Meta piksela.

 

U Ujedinjenom Kraljevstvu, Zakon o korištenju i pristupu podacima (DUAA) dobio je kraljevsku suglasnost 19. lipnja. Ovaj zakon uključuje odredbe usmjerene na promicanje razvoja usluga digitalne provjere, novih programa pametnih podataka poput Otvorenog bankarstva i novog nacionalnog registra podzemne imovine.

Također uključuje značajne promjene britanskog zakonodavstva o zaštiti podataka.

DUAA neće zamijeniti britanski GDPR, ali će donijeti neke promjene "kako bi se pojednostavila pravila za organizacije, potaknule inovacije, pomoglo agencijama za provedbu zakona u borbi protiv kriminala i omogućila odgovorna razmjena podataka uz održavanje visokih standarda zaštite podataka".

U Sjedinjenim Državama, nedavna odluka Vrhovnog suda u slučaju Koalicije za slobodu govora protiv Paxtona poslala je udarne valove kroz digitalni krajolik.Članak iz IAPP-a izražava zabrinutost zbog propitivanja pojmova provjere dobi, slobode izražavanja i implikacija za privatnost.

Presuda od 27. lipnja podržava teksaški zakon koji od web stranica koje nude sadržaj za odrasle zahtijeva da provjere dob posjetitelja koristeći potencijalno nametljive tehnike poput biometrije. Iako ova odluka ima za cilj zaštititi maloljetnike od eksplicitnog sadržaja, ona također postavlja pitanja o rizicima povezanim s prikupljanjem osjetljivih osobnih podataka.

I u Sjedinjenim Državama, Kongres je početkom srpnja glasao za usvajanje Zakona o "jednom velikom lijepom zakonu"kodificirajući nacionalnu agendu predsjednika Trumpa, s jednom ključnom iznimkom: moratorijem na regulaciju umjetne inteligencije koji je izvorno bio uključen u zakon. Ovaj moratorij bi zaustavio više od 1000 zakona o regulaciji umjetne inteligencije koji su od siječnja prolazili kroz zakonodavni proces u glavnim gradovima saveznih država.

Meta, vlasnik WhatsAppa, 16. lipnja je najavio pokretanje novih značajki u kartici "Ažuriranja" WhatsAppa, uključujući ciljano oglašavanje i model pretplate.Tvrtka je izjavila da će se ove značajke postupno uvoditi korisnicima "tijekom sljedećih nekoliko mjeseci". U tu svrhu, Meta će koristiti "oglašavačke postavke i informacije" s korisničkih Facebook i Instagram računa koji su povezani s WhatsAppom.

Irska Komisija za zaštitu podataka (DPC) izjavila je da ju je WhatsApp obavijestio da njihov model oglašavanja neće biti uveden u EU do 2026. godine te da će se o tome razgovarati s drugim tijelima za zaštitu podataka kako bi mogli izraziti zabrinutost kao europski regulatori.

Prema novinama L'Express od 26. svibnja, Rusija planira od 1. rujna 2025. provesti eksperimentalni projekt kojim će se od stranaca na privremenom boravku u Moskvi i njezinoj regiji zahtijevati korištenje mobilne geolokacijske aplikacije i podvrgavanje biometrijskim provjerama.Korisnici će se morati registrirati u aplikaciji, "pristati na prikupljanje svojih osobnih podataka, uključujući geolokaciju, navesti svoje mjesto prebivališta Ministarstvu unutarnjih poslova i ažurirati ga u roku od tri dana ako se presele".