Pravni nadzor br. 83 – svibanj 2025. 

Europski suverenitet podataka: pusta želja?

Microsoftovo blokiranje e-mail računa glavnog tužitelja Međunarodnog kaznenog suda (ICC), Karima Khana, postavlja ključno pitanje digitalnog suvereniteta Francuske i Europe općenito u suočavanju s glavnim tehnološkim igračima.

Prema AP-u, gospodin Khan je bez upozorenja blokiran zbog čega je bio prisiljen koristiti usluge švicarskog internetskog davatelja Protona.

Budući da sud uvelike ovisi o pružateljima usluga poput Microsofta, njegov je rad znatno usporen.

Ova Microsoftova odluka izravna je posljedica mjera koje je američki predsjednik Donald Trump poduzeo protiv Haaškog suda u veljači, nakon što je panel sudaca Međunarodnog kaznenog suda (ICC) izdao naloge za uhićenje izraelskog premijera Benjamina Netanyahua i njegovog bivšeg ministra obrane Yoava Gallanta zbog ratnih zločina u Pojasu Gaze.

Predsjednički dekret posebno zabranjuje pružanje sredstava, robe ili usluga glavnom tužitelju Međunarodnog kaznenog suda (ICC) i svaku transakciju koja bi zaobišla te zabrane, na temelju toga što postupci ICC-a predstavljaju neuobičajenu i izvanrednu prijetnju nacionalnoj sigurnosti i vanjskoj politici Sjedinjenih Država.

Nizozemska publikacija od 31. svibnja u tom kontekstu napominje da bi, s obzirom na broj američkih servera koje koristi javni sektor, "američka vlada mogla blokirati ili manipulirati više od 650 nizozemskih vladinih i kritičnih poslovnih web stranica pritiskom na gumb, uključujući one De Nederlandsche Bank i policije, ali i web stranicu (...) Ministarstva vanjskih poslova. Baš kao i web stranicu Crisis.nl, referentnu stranicu za Nizozemce u slučaju katastrofe."

Još jedan primjer potencijalnih posljedica naše tehnološke ovisnosti može se pronaći u nedavnom slučaju između OpenAI-a i američkog pravosudnog sustava: tvrtka se trenutno bori protiv odluke kojom joj se nalaže da zadrži sve korisničke zapise ChatGPT-a - uključujući izbrisane i osjetljive razgovore - snimljene putem svoje komercijalne API ponude.

Odluka je donesena zbog novinskih organizacija koje su pokrenule tužbe za autorska prava, a koje su optužile OpenAI za uništavanje dokaza.

U svom odgovoru, tvrtka tvrdi da se sud oslanja isključivo na tvrdnju New York Timesa i drugih medijskih tužitelja te da "bez ikakvog valjanog razloga sprječava OpenAI da poštuje odluke svojih korisnika o privatnosti".

Bez zauzimanja stava o legitimnom pitanju poštivanja autorskih prava, slučaj nas navodi na preispitivanje kontrole koju strane sile, u ovom slučaju Sjedinjene Države, mogu imati nad našim svakodnevnim radnim alatima, od trenutka kada same odlučuju o motivacijama nacionalnog interesa koji opravdavaju takvu kontrolu.

To se čini posebno zabrinjavajućim u svijetu u kojem je vladavina prava sve više pod napadom i gdje politički savezi svakodnevno fluktuiraju.

U ovom tmurnom kontekstu u kojem se Europa često optužuje za zaostajanje, postoje ohrabrujuće vijesti: Centar za siguran pristup podacima (CASD) postao je sredinom svibnja prva usluga hostinga podataka u Europi koja je dobila službeni GDPR certifikat izdan prema članku 42. GDPR-a i standardu Europrivacy.

Ovaj certifikat službeno priznaju tijela za zaštitu podataka u 30 zemalja – svim državama članicama EU-a i EGP-a.

CASD već ima mnoge certifikate (ISO 27001, ISO 2770) i također je, što je važno, domaćin zdravstvenih podataka (HDS).

Također znamo da Europa trenutno ulaže u umjetnu inteligenciju, i financijski i s ciljem pojednostavljenja propisa (vidi vijesti u nastavku). Manifest IMA-e (Innovation Makers Alliance), koji podržavaju igrači poput OVHclouda, Hexatrusta i Mistral AI-a, također je u ožujku predstavio 33 prijedloga usmjerena na umjetnu inteligenciju, računarstvo u oblaku, kibernetičku sigurnost i javnu nabavu, s ciljem hitnog ponovnog uravnoteženja... Istovremeno, Microsoft je europskim vladama ponudio besplatni program kibernetičke sigurnosti.

Europske inicijative ostvarit će svoj puni potencijal samo ako se naši refleksi razvijaju, bilo u smislu strateških izbora u vezi s alatima umjetne inteligencije, uslugama hostinga, ali i digitalnom higijenom: prije prijenosa ili pohrane podataka, bitno je u početku obraditi samo strogo bitne podatke i provoditi, bilo u kontekstu javnog ili privatnog sektora, prakse i povelje koje ograničavaju rizike od gubitka kontrole nad tim podacima.

 

Dana 15. svibnja 2025., CNIL je kaznio tvrtku Solocal Marketing services s 900.000 eura zbog traženja potencijalnih klijenata bez njihovog pristanka i prijenosa njihovih podataka partnerima bez valjane pravne osnove.

Istog dana, kaznila je tvrtku Caloga s 80.000 eura zbog traženja potencijalnih klijenata bez njihovog pristanka i prijenosa njihovih podataka partnerima bez valjane pravne osnove.

Krajem svibnja, zastupnik i član CNIL-a Philippe Latombe upitao je ministra gospodarstva, financija i industrije te digitalnog suvereniteta putem parlamentarnog pitanja o odabiru uzajamnog osiguravajućeg društva ALAN od strane mnogih javnih tijela za pružanje dopunskog zdravstvenog osiguranja svojim zaposlenicima.

Ističe da „ovaj francuski jednorog (...) hostira svoje podatke kod Amazon Web Services (AWS) te je stoga podložan ekstrateritorijalnosti američkog zakona“.

Zastupnik pita vladu razmatra li, "kako bi zaštitila osjetljive podatke svojih agenata i bila dosljedna direktivama koje izdaje, zahtjev ALAN-u da migrira u suvereni oblak".

U odluci od 5. svibnja, Državno vijeće uputilo je prethodno pitanje Sudu Europske unije (CJEU) u vezi s opsegom privole: slučaj se odnosi na tvrtku Canal+, koju je CNIL sankcionirao u listopadu 2023. zbog korištenja podataka koje su prikupili njezini partnerski pružatelji internetskih usluga u svrhu elektroničkog marketinga, iako partneri nisu bili izričito identificirani kada je privola dana.

Državno vijeće u biti pita Sud EU-a može li se privola dana glavnom voditelju obrade podataka (kao što je pružatelj internetskih usluga) za obradu od strane "njegovih partnera" smatrati dovoljnom za ovlast svakog od tih partnera za provođenje marketinških kampanja, čak i ako nisu identificirani u trenutku prikupljanja.

Dana 25. travnja, Državno vijeće (CE) odbilo je suspendirati odluku CNIL-a kojom je Europska agencija za lijekove (EMA) ovlaštena provesti obradu podataka za studiju o incidenciji i prevalenciji bolesti u okviru projekta „DARWIN EU“.

Podnositelj zahtjeva tvrdio je da je mjera hitna jer se predložena obrada odnosi na zdravstvene podatke 10 milijuna Francuza, koje bi pohranjivao Microsoft, što bi zahtijevalo prijenos u Sjedinjene Države gdje zaštitne mjere ne bi bile dovoljne.

CE smatra da „iako se ne može u potpunosti isključiti da podaci iz obrade (...) mogu biti predmet zahtjeva za pristup od strane vlasti Sjedinjenih Država, putem matične tvrtke domaćina, i da potonja možda neće moći tome usprotiviti, taj rizik ostaje hipotetski u trenutnoj fazi istrage.“

Drugo, osim što Microsoft Ireland posjeduje certifikat "Hosting zdravstvenih podataka" (HDS) (...), provedba projekta okružena je jamstvima i sigurnosnim mjerama, posebno time što će se podaci pseudonimizirati nekoliko puta i neće ih se moći izravno identificirati, tako da je CNIL smatrao da je taj rizik smanjen na razinu koja ne opravdava odbijanje traženog odobrenja, čije je trajanje također ograničio na tri godine.

Žalbeni sud u Bordeauxu poništio je 13. svibnja ugovor o izradi web stranice zbog kršenja propisa o zaštiti osobnih podataka, a posebno u pogledu obveza u vezi s informacijama i privolom za kolačiće.

Sektor kriptovaluta je u kaosu nakon nekoliko pokušaja otmice.

Direktor platforme Paymium, koja je nedavno bila meta pokušaja, ukazuje na regulatorne razvoje koji namjeravaju primijeniti na sektor kriptovaluta nekoliko pravila usmjerenih na ukidanje anonimnosti, a koja su već primjenjiva na bankarski sektor u pitanjima pranja novca ili borbe protiv trgovine drogom.

Posebno su usmjereni na nacionalne i europske mehanizme osmišljene kako bi se sredstva učinila nemogućom za praćenje.

Ove zabrinutosti ponavljaju neki stručnjaci za kibernetičku sigurnost koji tvrde da se anonimnost može koristiti u legitimnom kontekstu, ali ih u perspektivu stavljaju i drugi koji ističu sva jamstva zaštite podataka koja se već primjenjuju na financijski sektor.

 

Europske institucije i tijela

Europska komisija je 21. svibnja objavila prijedlog izmjene GDPR-a s ciljem ublažavanja obveza malih i srednjih poduzeća i njihovog proširenja na srednja poduzeća koja zapošljavaju manje od 750 ljudi.

Najvažnije promjene odnose se na zahtjeve koji se odnose na evidenciju aktivnosti obrade (RPA).

Trenutna iznimka u članku 30(5) proširila bi se na sva takva poduzeća.

Ova nova iznimka primjenjivala bi se osim ako je vjerojatno da će obrada rezultirati „visokim rizikom“ za prava i slobode dotičnih osoba (za razliku od trenutnog „rizika“).

Tekst bi također dodao uvodnu izjavu kojom se navodi da obrada određenih kategorija podataka potrebnih za primjenu radnog i socijalnog osiguranja prema članku 9(2)(b) sama po sebi ne pokreće obvezu vođenja RAT-a.

Prijedlozi bi također izmijenili odredbe koje se odnose na kodekse ponašanja (članak 40.) i programe certificiranja (članak 42.) kako bi ih proširili na tvrtke koje zapošljavaju manje od 750 ljudi.

Ovi članci trenutno zahtijevaju od država članica, tijela za zaštitu podataka (DPA), Komisije i EDPB-a da „potiču“ razvoj kodeksa i certifikata koji uzimaju u obzir „specifične potrebe“ malih i srednjih poduzeća.

Kako bi informirala buduću strategiju EU-a o podacima, Europska komisija otvara savjetovanje o korištenju podataka u umjetnoj inteligenciji, pojednostavljenju pravila o podacima i međunarodnom protoku podataka.

Cilj je omogućiti stvaranje visokokvalitetnih, interoperabilnih i raznolikih skupova podataka potrebnih za umjetnu inteligenciju, uz istovremeno osiguranje dosljednosti između politika, infrastruktura i pravnih instrumenata povezanih s podacima.

Konzultacije su otvorene do 18. srpnja.

Komisija također objavljuje savjetovanje o nacrtu smjernica u vezi sa Zakonom o digitalnim uslugama (DSA), otvoreno do 10. lipnja.

Tekst uključuje smjernice o zaštiti maloljetnika na internetu. Komisija planira objaviti konačne smjernice ovog ljeta. Također radi na aplikaciji za provjeru dobi.

Europska komisija je 27. svibnja objavila da je otvorila istrage za zaštitu maloljetnika od pornografskog sadržaja u skladu sa Zakonom o digitalnim uslugama (DSA).

Istrage o Pornhubu, Stripchatu, XNXX i XVideos usredotočene su na rizike povezane s nedostatkom učinkovitih mjera za provjeru dobi.

Paralelno s tim, države članice, koje se sastaju u okviru Europskog vijeća za digitalne usluge, poduzimaju koordinirane akcije protiv malih pornografskih platformi.

Europski nadzornik za zaštitu podataka objavio je 28. svibnja mišljenje o prijedlogu uredbe o uspostavljanju zajedničkog sustava za vraćanje državljana trećih zemalja koji nezakonito borave u EU.

Iako priznaje potrebu za učinkovitijom provedbom postojećeg zakonodavstva o migracijama i azilu, naglašava da je „zaštita podataka – kao temeljno pravo utvrđeno Poveljom – jedna od posljednjih linija obrane za ranjive osobe, poput migranata i tražitelja azila koji se približavaju vanjskim granicama EU-a.“

Nevladina organizacija noyb poslala je Meti 14. svibnja pismo o "prestanku i odustajanju", kao kvalificirani subjekt prema novoj europskoj direktivi o kolektivnoj pravnoj zaštiti, u vezi s Metinom obukom za umjetnu inteligenciju bez pristanka korisnika.

Verbraucherzentrale NRW je također u Njemačkoj podnijela zahtjev za preliminarnu zabranu, koju je sud krajem svibnja odbio (vidi dolje).

 

Vijesti iz zemalja članica Europske unije.

Njemačko savezno tijelo za zaštitu podataka (BfDI) objavilo je upitnik o usklađenosti s umjetnom inteligencijom osmišljen kako bi pomogao organizacijama da provjere svoje inicijative u području umjetne inteligencije i osiguraju da su u skladu s GDPR-om.

Visoki regionalni sud u Kölnu presudio je 23. svibnja da Meta nije prekršila GDPR ili Uredbu o europskim digitalnim tržištima korištenjem podataka korisničkih profila za poboljšanje svog sustava umjetne inteligencije, napominjući da je ta procjena u skladu s procjenom Irske komisije za zaštitu podataka (DPC) koja je nadležna u Europi u vezi s Metom.

TikTok se suočava s kolektivnom tužbom u Njemačkoj. Nizozemska nevladina organizacija Stichting Onderzoek Marktinformatie (Somi), koja je podnijela zahtjev za odštetu berlinskom sudu, tvrdi da "TikTok prikuplja i analizira vrlo osobne i intimne podatke svojih korisnika u mjeri koja daleko nadilazi ono što je potrebno".

Organizacija tvrdi da algoritam platforme stvara "sustav manipulacije i ovisnosti", posebno za djecu. Nevladina organizacija traži odštetu do 2000 eura po osobi.

Belgijska agencija za zaštitu podataka (APD) provela je evaluaciju sporazuma FATCA sklopljenog između Belgije i Sjedinjenih Američkih Država te utvrdila da on nije kompatibilan s GDPR-om.

Pritužbe su se odnosile na prijenos osobnih podataka podnositelja pritužbi, uključujući belgijske "slučajne Amerikance", američkim poreznim vlastima.

APD je ukorio Federalnu javnu službu za financije zbog kršenja GDPR-a i utvrdio kršenje načela ograničenja svrhe, minimiziranja podataka i pravila prijenosa podataka. 

Ova odluka ima implikacije koje se protežu izvan Belgije, budući da su Sjedinjene Države sklopile slične sporazume u drugim zemljama Europske unije.

Španjolska Agencija za zaštitu podataka (APD) kaznila je andaluzijsku tvrtku s 1200 eura jer je od svojih zaposlenika koji rade na daljinu tražila da im dostave osobni broj telefona kako bi ih dodali u WhatsApp grupu tvrtke.

Zaposlenici su teoretski mogli pristati na alternativu putem e-pošte ili je odabrati, ali tvrtka ih je poticala da koriste WhatsApp za nesmetan tijek komunikacije.

APD je ponovio da privola nije valjana pravna osnova u odnosu zaposlenik-poslodavac.

Također u Španjolskoj, tvrtka Carrefour kažnjena je s 3,2 milijuna eura od strane APD-a zbog toga što nije zaštitila pristup računima svojih kupaca.

Tvrtka je osuđena iako vjerodajnice korištene u hakiranju nisu izravno ukradene od nje, već zato što nije ispunila svoju dužnost skrbi i njezini sigurnosni sustavi nisu joj dopuštali otkrivanje masovnih napada s vrlo velikog broja IP adresa.

Talijanska agencija za zaštitu podataka (APD) kaznila je američku tvrtku Luka Inc, pružatelja "virtualnog pratitelja" "Replika AI", s 5 milijuna eura zbog nezakonite obrade osobnih podataka, kršenja pravila transparentnosti i neprovedbe učinkovitih mehanizama za provjeru dobi korisnika.

Poljska agencija za zaštitu podataka (APD) kaznila je poljskog ministra digitalizacije s 100.000 zlota (23.448,50 eura) i poljsku poštu s 27.124.816 zlota (6.444.174 eura) zbog nezakonite obrade osobnih podataka otprilike 30 milijuna građana radi olakšavanja glasovanja poštom na općim izborima.

 

Australska vlada objavila je standardne klauzule koje se odnose na umjetnu inteligenciju.

Ove se klauzule primjenjuju na uvjete kupnje sustava umjetne inteligencije, osiguravajući da se oni kupuju i implementiraju odgovorno, etički i sigurno. Cilj im je ublažiti rizike i potaknuti transparentnost i odgovornost u implementaciji umjetne inteligencije.

Izvješće koje je 5. lipnja objavila organizacija Privacy Laws and Business ukazuje na to da mnoge afričke zemlje usvajaju zakone o zaštiti osobnih podataka, u socioekonomskom okruženju potpuno drugačijem od onog u Europi ili Sjevernoj Americi.

„Afrika je vodeći kontinent za korištenje mobilnog novca, s preko 1,1 milijardom registriranih računa, što predstavlja više od polovice ukupnog broja u svijetu. Posljedično, prioriteti politike privatnosti u afričkim zemljama nužno se razlikuju od onih u europskim zemljama.“

Za autora, ovaj drugačiji socioekonomski kontekst znači da bi procjene EU-a o „prikladnosti“ za Keniju i druge zemlje u Africi, Aziji i Latinskoj Americi trebale do određene mjere uzeti u obzir nacionalne okolnosti.

Predsjednik Sjedinjenih Država potpisao je 19. svibnja "Take It Down Act", zakon čija je svrha blokirati intimne slike bez pristanka, a koji obuhvaća i "deepfakeove" umjetne inteligencije.

„Take It Down“ je kratica za „Zakon o alatima za rješavanje poznatog iskorištavanja imobilizacijom tehnoloških deepfakeova na web stranicama i mrežama“.

Google je pristao platiti 1,375 milijardi dolara saveznoj državi Teksas kako bi riješio dvije tužbe u kojima se tvrtka optužuje za praćenje lokacije korisnika, "anonimna" pretraživanja te glasovne i lični podatke bez njihovog dopuštenja.

Tvrtka je navodno izjavila da rješava pravni postupak bez priznavanja krivnje ili odgovornosti i bez potrebe za izmjenom svojih proizvoda, te da su se njezine prakse razvile od događaja.

U međuvremenu, rezultati istraživanja objavljeni 3. lipnja pokazuju da Meta i ruska tvrtka Yandex prate pregledavanje weba korisnika Androida, čak i u anonimnom načinu rada ili putem VPN-a, iskorištavajući lokalni port za povezivanje aktivnosti pregledavanja s povezanim identitetom.

Google tvrdi da istražuje ovu zlouporabu, koja omogućuje Meti i Yandexu pretvaranje efemernih web identifikatora u trajne identitete korisnika mobilnih aplikacija.