Pravni nadzor br. 90 – prosinac 2025. 

 

Podaci, umjetna inteligencija, kibersigurnost: tko je tko od smjernica i propisa kojih se treba pridržavati u 2026. godini.

Mnogi propisi doneseni posljednjih godina sada će u potpunosti stupiti na snagu ili će doći do odlučujućih faza njihove provedbe.

Istodobno, nove inicijative Europske komisije, posebno Digital Omnibus i Digital Fairness Bill, najavljuju nove regulatorne prilagodbe kojima se namjeravaju nadopuniti ili izmijeniti postojeći propisi.

GDPR, koji je na snazi od 2018., i danas ostaje temelj okvira za zaštitu podataka, uz Direktivu o e-privatnosti, čija je revizija trenutno napuštena.

Komisija namjerava pojednostavniti svojim prijedlogom Omnibus nekoliko aspekata GDPR-a vezanih uz razvoj umjetne inteligencije (UI): planira se prepoznati razvoj i rad UI sustava kao „legitiman interes“ u smislu GDPR-a te uvesti novu pravnu osnovu za obradu osjetljivih podataka namijenjenih obuci UI modela.

Općenito, Digitalni omnibus smanjilo bi teret usklađivanja za poduzeća, na primjer ublažavanjem praga od kojeg se mora prijaviti povreda podataka i proširenjem situacija u kojima se podaci mogu smatrati „anonimnima“.

Propisi digitalnog paketa, a posebno Uredba o digitalnim tržištima (DMA) i Uredba o digitalnim uslugama (DSA), pojašnjavaju pravila koja se primjenjuju na digitalno gospodarstvo i odgovornost platformi.

Na snazi su od 2024., a Komisija je počela uvoditi sankcije 2025.

DSA primjenjuje se na vrlo velike online platforme (VLOP) i vrlo velike online tražilice (VLOSE), kao i na sve posrednike koji nude svoje usluge korisnicima sa sjedištem u EU.

Nekoliko obveza iz Zakona o digitalizaciji podataka preklapa se s onima iz GDPR-a.

Na primjer, postoje slične ili komplementarne obveze u vezi s „tamnim obrascima“, ciljanim oglašavanjem na temelju osjetljivih podataka ili oglašavanjem koje se odnosi na maloljetnike, transparentnošću, profiliranjem, analizom rizika i uklanjanjem ilegalnog sadržaja.

Europski odbor za zaštitu podataka (EDPB) objavio je 2025. godine smjernice o tim preklapajućim pitanjima.

Primarni cilj DMA-a jest spriječiti tehnološke divove ili "čuvare vrata" da iskoriste svoj dominantni položaj.

Neke od tih obveza pojačavaju one predviđene Zakonom o digitalizaciji podataka u pogledu zaštite korisnika, posebno u pogledu profiliranja.

Strategija EU-a za podatke ima za cilj stvoriti jedinstveno tržište podataka, potaknuti inovacije i osigurati sigurnu i učinkovitu razmjenu podataka diljem Europske unije.

Sljedeći tekstovi utječu na osobne podatke: Uredba o upravljanju podacima (DGA), Uredba o podacima (DA), Uredba o elektroničkim transakcijama (eIDAS) i Uredba o europskom prostoru zdravstvenih podataka (EHDS). 

Omnibus prijedlog Komisije ima za cilj pojednostavniti zakonodavni okvir u ovom području.

Tekst posebno predviđa ukidanje DGA i direktiva o otvorenim podacima iz 2019.

THE DA ostao bi središnja referenca i uključivao bi bitne elemente zadržane iz ostalih tekstova.

Uz usklađivanje definicija, mala i srednja poduzeća (do 750 zaposlenika) bila bi izuzeta od određenih obveza.

Danska uredba, koja se primjenjuje od 12. rujna 2025., značajan dio svojih obveza stupa na snagu 12. rujna 2026.: uredba predviđa obvezu dizajniranja povezanih proizvoda i povezanih usluga na način da su podaci koji se odnose na proizvode i povezane usluge dostupni korisnicima prema zadanim postavkama, a od rujna će proizvođači morati osigurati da je pristup podacima tehnički osiguran od faze razvoja i dizajna proizvoda.

Što se tiče propisa eIDASOd 2026. države članice bit će obvezne svojim građanima i poduzećima osigurati barem jedan digitalni novčanik za identitet u skladu s propisima EU-a, koji će korisnicima omogućiti sigurno pohranjivanje podataka o identitetu, identifikatora i atributa (osobna iskaznica, vozačka dozvola, podaci o plaćanju itd.) te njihovo selektivno priopćavanje javnim tijelima i privatnim pružateljima usluga.

Tvrtke, online platforme i administrativne usluge također će se morati prilagoditi tim novim oblicima digitalne identifikacije i autentifikacije.

LEHDS stupio je na snagu 26. ožujka 2025., ali njegove glavne odredbe bit će u potpunosti primjenjive od ožujka 2029.

Uredba o umjetnoj inteligenciji, na snazi od kolovoza 2024., postaje odlučujuća za tvrtke od 2. kolovoza 2026.

Neke obveze već se primjenjuju, poput transparentnosti u interakciji s chatbotovima ili označavanja sadržaja generiranog umjetnom inteligencijom te osiguravanja dovoljne kompetencije u području umjetne inteligencije među zaposlenicima koji rade sa sustavima umjetne inteligencije.

No od kolovoza nadalje, sveobuhvatniji zahtjevi trebali bi se primjenjivati na visokorizične sustave umjetne inteligencije koji se koriste u osjetljivim područjima kao što su upravljanje ljudskim resursima, procjena učinka ili pristup bitnim uslugama.

Međutim, Komisija u svom Omnibus prijedlogu planira odgoditi primjenu tih pravila do prosinca 2027.

Neke bi se obveze i ovdje pojednostavile za mala i srednja poduzeća s do 750 zaposlenika.

Što se tiče sigurnosti, spomenut ćemo direktiva o sigurnosti mreža i informacijskih sustava (NIS2) na snazi od listopada 2024., uredba o digitalnoj operativnoj otpornosti (DORA) na snazi od siječnja 2025., kao i Uredba o kibernetičkoj otpornosti (CRA)).

Što se tiče potonjeg, glavne obveze proizvođača proizvoda koji sadrže digitalne elemente stupit će na snagu 11. rujna 2026., uključujući obvezu obavještavanja o aktivno iskorištenim ranjivostima i ozbiljnim sigurnosnim incidentima.

Proizvođači će stoga morati prijaviti utvrđene ranjivosti i sigurnosne incidente koji značajno ugrožavaju sigurnost proizvoda nadležnim tijelima za nadzor tržišta u vrlo kratkim rokovima.

Za kraj ovog popisa propisa, spomenimo na kraju prijedlog o uredbi o digitalnoj pravednosti (DFA) što će, prema očekivanjima, dodatno povećati složenost pravnog okvira za pružatelje online usluga.

U srpnju 2025. Komisija je pokrenula javne konzultacije o ovom projektu čiji bi cilj bio borba protiv „nepoštenih poslovnih praksi“ poput mračnih obrazaca, značajki koje izazivaju ovisnost i zlouporabne personalizacije, uključujući one povezane s agentima umjetne inteligencije.

Kakva je budućnost ovih prijedloga? Sljedeći mjeseci trebali bi biti odlučujući: ciparsko predsjedništvo ima za cilj osigurati mandat do kraja ožujka ili početka travnja za pregovore o Omnibusu s Europskim parlamentom, što odražava želju da se on usvoji prije nego što zahtjevi visokog rizika iz uredbe o umjetnoj inteligenciji stupe na snagu u kolovozu.

 

Primjećujemo nekoliko značajnih sankcija CNIL-a usvojenih neposredno prije i nakon prijelaza na 2026. godinu, a sve se odnose na sigurnost podataka.

Dana 13. siječnja 2026. CNIL (Francuska agencija za zaštitu podataka) kaznila je tvrtke Free Mobile i Free s 27 milijuna eura, odnosno 15 milijuna eura. s obzirom na neadekvatnost poduzetih mjera za osiguranje sigurnosti podataka svojih pretplatnika.

U listopadu 2024. napadač je uspio infiltrirati informacijske sustave tvrtki i pristupiti osobnim podacima koji se odnose na 24 milijuna pretplatničkih ugovora, uključujući IBAN-ove.

Dana 22. prosinca 2025. kaznila je tvrtku Nexpublica France s 1.700.000 eura.zbog neuspjeha u implementaciji dovoljnih sigurnosnih mjera za svoj PCRM softver, alat za upravljanje korisničkim odnosima u području društvenog djelovanja

Dana 11. prosinca 2025. sankcionirala je Mobius Solutions Ltd, podizvođača odgovornog za povredu podataka koja je utjecala na korisnike Deezera.Izrečena mu je kazna od milijun eura zbog nepoštivanja primjenjivih pravila o podugovaranju: zadržavanje podataka nakon isteka ugovora, neovlaštena obrada i nevođenje evidencije o obradi.

Tri zaposlenika tvrtke zadržala su kopiju podataka više od 46 milijuna korisnika Deezera nakon završetka ugovornog odnosa, izlažući ih sigurnosnim nedostacima koji su doveli do objavljivanja podataka na dark webu.

Upravni žalbeni sud u Versaillesu presudio je 11. prosinca da pacijent ne može tražiti od bolnice ispravak medicinske procjene, jer ona predstavlja subjektivno mišljenje.

Ovo načelo ostaje primjenjivo čak i kada se dijagnoza osobe odgovorne za liječenje razlikuje od naknadnih dijagnoza.

Halucinacije umjetne inteligencije u zaključcima odvjetnika suci ponekad percipiraju s popustljivošću, barem je to stajalište sudskog suda u Périgueuxu u njegovoj odluci od 18. prosinca.

Potonji primjećuje „(...) da se čini da reference na sudsku praksu koje je podnositelj zahtjeva naveo, ali nisu predočene u njegovim dokumentima, ne odgovaraju objavljenim odlukama. (...).

Sud će stoga pozvati podnositelja zahtjeva i njegovog odvjetnika da u budućnosti provjere da reference koje su pronašli na tražilicama ili uz pomoć umjetne inteligencije nisu „halucinacije“.

Ovaj stav je u suprotnosti s nedavnom belgijskom odlukom, spomenutom u nastavku.

Ministarstvo unutarnjih poslova pretrpjelo je veliki kibernetički napad sredinom prosinca.

Ministar unutarnjih poslova potvrdio je u srijedu, 17. prosinca, da su "službe u Ministarstvu unutarnjih poslova bile meta masovnog kibernetičkog napada, opisujući ga kao vrlo ozbiljan čin koji je rezultirao objavom dosjea, uključujući kaznene evidencije" i traženih osoba. Kibernetički upad dogodio se putem e-mail računa zaposlenika ministarstva.

U području kibernetičkih napada, također treba napomenuti da je CNIL, u svom ograničenom sastavu od 18. prosinca 2025., zatražio sankciju od 5 milijuna eura protiv France Travaila zbog nedostatka sigurnosti koji je rezultirao povredom podataka koja je utjecala na 36,8 milijuna ljudi.

 

Europske institucije i tijela

Uredba EU kojom se utvrđuju dodatna postupovna pravila u vezi s primjenom GDPR-a objavljena je 12. prosinca i primjenjivat će se od 2. travnja 2027.

Cilj ovog teksta je pojednostaviti proceduralno rješavanje prekograničnih slučajeva prema GDPR-u od strane nacionalnih tijela za zaštitu podataka (DPA), poboljšati suradnju između DPA-ova putem strukturiranih postupaka, jasnijih uloga i definiranih vremenskih ograničenja te ojačati proceduralne zaštitne mjere i pravnu sigurnost za podnositelje pritužbi i stranke pod istragom, uključujući pravo na saslušanje, pristup spisima i učinkovitost sudskih lijekova.

Europska komisija objavila je 17. prosinca svoj prvi nacrt kodeksa dobre prakse o označavanju i etiketiranju sadržaja generiranog umjetnom inteligencijom.

Projekt se sastoji od dva dijela.

Prvi odjeljak obuhvaća pravila koja se odnose na označavanje i otkrivanje sadržaja generiranog umjetnom inteligencijom, a koja se primjenjuju na pružatelje generativnih sustava umjetne inteligencije.

• Drugi obuhvaća označavanje deepfakeova i određenih tekstova generiranih ili manipuliranih umjetnom inteligencijom o pitanjima od javnog interesa te se odnosi na one koji primjenjuju generativne AI sustave.

Komisija će prikupljati komentare do 23. siječnja, s ciljem dovršetka kodeksa do lipnja.

Dana 19. prosinca 2025. Europska komisija objavila je obnovu dviju odluka o adekvatnosti koje se odnose na Ujedinjeno Kraljevstvo izvorno usvojen 2021. godine, kojim se potvrđuje da osobni podaci mogu i dalje slobodno teći između Europskog gospodarskog prostora i Ujedinjene Kraljevine.

U presudi Storstockholms Lokaltrafik (C-422/24) od 18. prosinca, Sud Europske unije pojasnio je koncept izravnog prikupljanja osobnih podataka.

Ovaj zakon "ne zahtijeva od dotične osobe da svjesno daje podatke ili da poduzima bilo kakvu posebnu radnju sa svoje strane. Stoga se podaci dobiveni promatranjem osobe koja je njihov izvor smatraju prikupljenima izravno od te osobe."

Ova pojašnjenja utječu na vrijeme i opseg obveze pružanja informacija, koje moraju biti hitne i sveobuhvatnije.

Konkretan slučaj uključivao je provjeru prijevozne karte od strane agenta opremljenog tjelesnom kamerom.

Sud predlaže da se najvažnije informacije naznače na znaku upozorenja, a ostale informacije na lako dostupnom mjestu.

Trumpova administracija je 23. prosinca uvela sankcije protiv 5 europskih državljana Kao odgovor na nedavnu kaznu koju je Europska komisija izrekla tvrtki X prema Zakonu o digitalnim uslugama (DSA), Thierryju Bretonu, bivšem europskom povjereniku za digitalno gospodarstvo, kao i nekolicini članova civilnog društva koji rade za nevladine organizacije HateAid, Centar za suzbijanje digitalne mržnje i The Global Disinformation Index, zabranjen je ulazak u Sjedinjene Države.

Washington osuđuje obveze moderiranja, izvještavanja i odgovornosti platformi predviđene Zakonom o digitalnim uslugama (DSA), koje se ovdje smatraju mjerama ekstrateritorijalne cenzure.

Europska komisija je 5. prosinca kaznila X sa 120 milijuna eura zbog neispunjavanja obveza transparentnosti prema Zakonu o digitalnim uslugama.

Nedostaci uključuju obmanjujući dizajn "plave validacije" za verificirane račune, nedostatak transparentnosti u direktoriju oglašavanja i nemogućnost istraživačima da pristupe javnim podacima.

 

Vijesti iz zemalja članica Europske unije.

U odluci od 10. studenog, regionalni sud u Darmstadtu u Njemačkoj smanjio je na 0 eura troškove vještaka koji je opsežno koristio umjetnu inteligenciju za pripremu sudskog izvješća bez njegovog otkrivanja.

Sud je naveo sljedeće čimbenike za smanjenje naknada:

1. Nedeklariranje korištenja umjetne inteligencije i odsutnost pravog autora predstavljali su kršenje proceduralnih obveza.
2. Izvješće je ocijenjeno neupotrebljivim: nedostatak osobne recenzije, činjenične pogreške i očiti znakovi teksta generiranog umjetnom inteligencijom.
3. Transparentnost i odgovornost su ključne u stručnim mišljenjima.

Njemački sud u Lübecku dosudio je tužitelju 5000 eura nematerijalne štete protiv Mete zbog obrade osobnih podataka bez prethodne privole putem korištenja Meta Business Tools.

Prijenos podataka s web-mjesta trećih strana na Metu događa se neovisno o aktivaciji Meta aplikacija od strane korisnika i dobivanju njihovog pristanka.

Sud je utvrdio da je Meta prekršio članak 6(1) GDPR-a, što je rezultiralo dovoljno konkretnom prijetnjom ispitaniku, koji je pretrpio osnovani strah od zlouporabe svojih osobnih podataka u obliku gubitka kontrole.

U Austriji je Vrhovni sud 26. studenog presudio da Meta mora svojim korisnicima omogućiti potpuni pristup svim njihovim osobnim podacima, uključujući izvore, primatelje i svrhe.

Jednostavan indikativni popis nije dovoljan.

Sud je također utvrdio da personalizirano oglašavanje i obrada (osjetljivih) osobnih podataka s web stranica trećih strana zahtijevaju privolu dotične osobe.

Nedavnom belgijskom odlukom podnositelji zahtjeva kažnjeni su s više od 25.000 eura zbog korištenja generativnih alata umjetne inteligencije za sastavljanje žalbenih podnesaka, zbog očite zlouporabe postupka, neozbiljne žalbe i zlouporabe pravnog lijeka.

Žalbeni sud u Antwerpenu primjećuje proizvodnju "nekoherentnih i potpuno besmislenih" argumenata potkrijepljenih nepostojećom sudskom praksom i izmišljenim pravnim izvorima.

I u Belgiji je APD izdao opomenu tvrtki zbog nezakonitog prenošenja informacija o bivšem zaposleniku tijekom telefonskog razgovora s drugom tvrtkom kao dijela postupka zapošljavanja.

APD je također ukorio dvije tvrtke zbog toga što nisu odgovorile na zahtjeve pojedinca za pristup.

U Hrvatskoj je AZOP banka kažnjena s 1.500.000 eura zbog višestrukih kršenja GDPR-a.

Banka je bez pravne osnove obradila osobne podatke 433.922 korisnika, bez pružanja potrebnih informacija korisnicima, te nije poduzela odgovarajuće tehničke i organizacijske mjere.

 

Britansko tijelo za zaštitu podataka (DPA) kaznilo je pružatelja usluga upravljanja lozinkama LastPass UK Ltd s 1,2 milijuna funti nakon kršenja podataka iz 2022. godine koje je ugrozilo osobne podatke gotovo 1,6 milijuna korisnika u Ujedinjenom Kraljevstvu.

ICO je utvrdio da LastPass nije implementirao dovoljno robusne tehničke i sigurnosne mjere, što je u konačnici omogućilo hakeru da dobije neovlašteni pristup njegovoj sigurnosnoj kopiji baze podataka.

Sjedinjene Američke Države obnovile su svoj zahtjev za pristup nacionalnim biometrijskim bazama podataka zemalja EU-a koje sudjeluju u Programu ukidanja viza (VWP) i namjeravaju sklopiti sporazum o tom pitanju prije kraja 2026. godine.

Washington traži ovaj pristup od 2022. godine, kao dio američkog "Partnerstva za pojačanu sigurnost granica" (EBSP), te prijeti ukidanjem izuzeća od vize ako bude odbijen.

Opseg pristupa ostaje neizvjestan.

Europski stav u ovoj fazi čini se da to želi ograničiti na ljude koji putuju u Sjedinjene Države.

Pristup bi uključivao biometrijske podatke poput otisaka prstiju i skeniranja lica, ali i druge osjetljive podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu ili podatke o zdravlju ili seksualnom životu kada je to potrebno i proporcionalno "radi sprječavanja ili suzbijanja kaznenih djela i terorističkih djela".

Europske prijestolnice su se u prosincu složile da Europskoj komisiji daju mandat za pregovore o okviru ovog sporazuma, o čijim će detaljima odlučivati države članice.

U Sjedinjenim Državama, korištenje umjetne inteligencije za transkripciju izvješća s policijskih kamera u Heber Cityju u Utahu imalo je nesukladne posljedice.

Softver Draft One, temeljen na Open AI-jevom LLM-u, izvijestio je da se agent transformirao u žabu.

Softver je zapravo otkrio film koji se reproducirao u pozadini, a to je slučajno bio film "Princeza i žabac".

Osim ironije situacije, ovaj konkretan slučaj postavlja pitanja koja je istaknuo Cybernews. „Iako je cilj smanjiti količinu papirologije, s greškama poput one napravljene u Heber Cityju, agenti riskiraju da provedu još više vremena pregledavajući izvješća.“ Istraga koju je prošle godine provela Electronic Frontier Foundation (EFF) otkrila je da se čini da je Nacrt Jedan „namjerno osmišljen kako bi se izbjegle revizije koje bi mogle osigurati javnu odgovornost.“

„Često je nemoguće znati koje je dijelove policijskog izvješća generirala umjetna inteligencija, a koje je napisao policajac.“

Konačno, izvješće organizacije Privacy Laws & Business pokazuje da se regulacija privatnosti ipak jača u Sjedinjenim Državama, gdje je 19 država sada slijedilo primjer Kalifornije u donošenju zakona o privatnosti, često usmjerenih na pitanja koja se odnose na djecu.

Malo je država zainteresirano za prikupljanje i korištenje biometrijskih podataka.

Illinois je dugo držao vodeću poziciju, a sada ga slijede Teksas i država Washington.

Još uvijek nema konsenzusa o novim saveznim propisima o privatnosti, „ali FTC je poduzeo mjere provedbe koje uključuju stotine milijuna dolara odštete i novčanih kazni u nagodbama s velikim online tvrtkama Epic Games, Amazon i Microsoft“, ili nedavno Disney Worldwide Services, s nagodbom od 10 milijuna dolara zbog kršenja Zakona o zaštiti djece na internetu (COPPA).