Pravni nadzor br. 87 – rujan 2025. 

 

Pet godina nakon Brexita: pogled na situaciju u Ujedinjenom Kraljevstvu.

Otkad je Ujedinjeno Kraljevstvo napustilo Europsku uniju, britanski zakon o zaštiti podataka polako se, ali sigurno, udaljava od europskog regulatornog okvira.

Iako s obje strane La Manchea postoji trend pojednostavljenja standarda, Ujedinjena Kraljevina je ispred Europske unije.

Nakon Brexita, Zakon o zaštiti podataka iz 2018. (DPA) izmijenjen je kako bi ostao komplementaran "UK GDPR-u", britanskoj verziji GDPR-a koja je stupila na snagu 1. siječnja 2021.

Ujedinjena Kraljevina također je usvojila Pravilnik o privatnosti i elektroničkim komunikacijama (PECR), kojim se provodi Europska direktiva o e-privatnosti.

Zakon o korištenju i pristupu podacima (DUAA), usvojen 19. lipnja 2025., predstavlja veliku reformu režima osobnih podataka u Ujedinjenom Kraljevstvu.

Njime se mijenja i nadopunjuje britanska GDPR, DPA i PECR te predstavlja stratešku prekretnicu kojom se UK udaljava od vizije usmjerene na temeljna prava kako bi usvojio pragmatičniji i pro-inovativniji pristup.

Njegovi glavni ciljevi su:

• Predložiti širu pravnu osnovu „priznatih legitimnih interesa“ za određene aktivnosti obrade, uključujući arhiviranje u javnom interesu, javnoj sigurnosti ili oporezivanju;
• Davanje tvrtkama mogućnosti da obustave vrijeme odgovora na zahtjeve za pristup,
• Pojednostavite pravila o kolačićima;
• Olakšavanje međunarodnog prijenosa podataka;
• Poticati inovacije u digitalnim uslugama i umjetnoj inteligenciji ublažavanjem okvira za automatizirane odluke;
• Nametnuti "privatnost već po dizajnu" u digitalnim uslugama usmjerenim na djecu,
• Kako bi se omogućila implementacija digitalnog identiteta,
• Pojednostaviti pravila koja se odnose na policiju i obavještajne službe.

Međutim, neki ističu rizike tih reformi, a posebno slabljenje individualnih prava.

U području automatiziranog donošenja odluka, oni ističu, na primjer, fijasko rezultata ispita "A razine" iz 2020., gdje su algoritam dodijelio nebitne ocjene, te pogreške u alatima za otkrivanje prijevara Ministarstva rada i mirovina (DWP) koje su rezultirale brojnim štetama za uključene.

Projekt digitalnog identiteta, koji je vlada najavila početkom listopada, izazvao je buru prosvjeda, a milijuni britanskih građana potpisali su peticiju kojom se traži povlačenje projekta.

Britanska vlada već nekoliko godina također inzistira na uspostavljanju mehanizama koji omogućuju pristup šifriranom sadržaju komunikacija: javna rasprava usredotočuje se na kontroverzne tehničke pristupe poput "skeniranja na strani klijenta".

Treba napomenuti da Europska unija trenutno raspravlja o povezanoj temi: prijedlog CSAR-a usmjeren na sprječavanje i borbu protiv seksualnog zlostavljanja djece ponovno je na dnevnom redu Europskog vijeća 14. listopada.

Ovaj prijedlog, koji predviđa mogućnost skeniranja komunikacija na korisnikovom terminalu prije slanja, mnogi znanstvenici i civilno društvo smatraju neučinkovitim i posebno opasnim za temeljna prava i samu enkripciju.

Europska unija također trenutno nastoji pojednostavniti regulatorni okvir koji se odnosi na podatke putem svog „digitalnog omnibus paketa“.

Komisija je objavila poziv za doprinose, koji zatvara 14. listopada, a koji obuhvaća područja zakonodavstva o podacima, uključujući pravila o kolačićima i drugim tehnologijama praćenja, prijavljivanje incidenata kibernetičke sigurnosti i određene aspekte zakona o umjetnoj inteligenciji.

Što se tiče GDPR-a, sporna pitanja uključuju, na primjer, ograničavanje obveze vođenja registra na organizacije s više od 500 zaposlenika, u usporedbi s trenutnim ograničenjem od 250. Europska unija trenutno ne osporava temeljna načela uredbe.

S obje strane La Manchea, najavljene koristi za industriju odnose se na smanjenje troškova usklađivanja.

Međutim, troškovi same provedbe reforme, troškovi pogrešaka ili sporova i troškovi za povjerenje potrošača manje su dobro shvaćeni. Ovaj argument također je iznesen tijekom "dijaloga o provedbi" koji je Europska komisija organizirala sredinom srpnja. Privatni sektor naznačio je da je "uložio u usklađenost i da bi opće ponovno otvaranje moglo stvoriti neizvjesnost, posebno u kontekstu međunarodnog prijenosa podataka".

Danas omjer koristi i rizika britanskih reformi i njihov utjecaj na međunarodna partnerstva, a odlučnije na održavanje odluke Ujedinjenog Kraljevstva o adekvatnosti s EU, ostaju neizvjesni.

Nacrt odluke o adekvatnosti Europske komisije, međutim, podržava priznavanje razine zaštite Ujedinjene Kraljevine.

Međutim, mora se dostaviti Europskom odboru za zaštitu podataka na mišljenje i o njemu raspravljati u Vijeću.

Nadajmo se da će konačna odluka biti posebno transparentna u pogledu kriterija koji su uzeti u obzir, s obzirom na posljedične promjene britanskog prava.

To se čini ključnim kako bi se osigurala dovoljna pravna sigurnost u budućnosti i za europske tvrtke i za one s poslovnim nastanom izvan EU-a.

 

      

Dana 18. rujna 2025., CNIL je kaznio tvrtku Samaritaine SAS sa 100.000 eura zbog skrivanja kamera u skladišnom prostoru trgovine.

Ove kamere su bile prerušene u detektore dima i mogle su snimati zvuk.

CNIL je podsjetio da poslodavac može instalirati skrivene kamere u iznimnim okolnostima i pod uvjetom da se postigne pravedna ravnoteža između željenog cilja (zaštita imovine i osoba) i zaštite privatnosti zaposlenika.

Takav sustav mogao bi se, na primjer, odobriti pod uvjetom da je privremen i da se primjenjuje nakon dokumentirane analize njegove kompatibilnosti s GDPR-om i s obzirom na iznimne okolnosti.

U ovom slučaju, tvrtka je prijavila postojanje krađa počinjenih u rezervama i objasnila da je sustav privremen, ali nije provela nikakvu prethodnu analizu usklađenosti s GDPR-om, niti je dokumentirala privremenu prirodu instalacije.

CNIL je također objavio nekoliko sadržaja o upravljanju neaktivnim računima za audiovizualne i videoigrene stručnjake, o video uređajima u školama i o geolokaciji djece.

Nacionalna skupština usvojila je zakon o otpornosti na kibernetičku sigurnost u posebnom odboru 9. rujna. 

Philippe Latombe, predsjednik odbora, usvojio je amandman kojim se želi u članak 16 bis ugraditi enkripcija od početka do kraja: „Pružateljima usluga enkripcije, uključujući kvalificirane pružatelje usluga povjerenja, ne može se nametnuti da integriraju tehničke uređaje usmjerene na namjerno slabljenje sigurnosti informacijskih sustava i elektroničkih komunikacija, kao što su glavni ključevi za dešifriranje ili bilo koji drugi mehanizam koji omogućuje pristup zaštićenim podacima bez pristanka.“

Ovaj tekst, koji u francusko zakonodavstvo prenosi europske direktive NIS2, DORA i REC, trebao bi dovesti do značajnog povećanja opće razine kibernetičke sigurnosti.

 

Europske institucije i tijela

Dana 10. rujna, Ursula von der Leyen održala je govor o stanju Unije u kojem je ponovno potvrdila da će Europa ostati suverena u definiranju vlastitih pravila i standarda, odbacujući time transatlantske kritike.

Istog dana, 39 europskih industrijskih čelnika i udruženja potpisalo je Europsku deklaraciju o umjetnoj inteligenciji i tehnologiji, obvezujući se ulagati u europski tehnološki suverenitet.

Gđa. von der Leyen ponovila je ključne prioritete strategije EU-a za umjetnu inteligenciju, uključujući buduću regulaciju o razvoju oblaka i umjetne inteligencije, inicijativu „Quantum Sandbox“ i značajna ulaganja u europske „gigatvornice umjetne inteligencije“.

Buduća uredba o razvoju oblaka i umjetne inteligencije mogla bi uključivati mjere za suverenitet podataka i lokalizaciju usklađene s budućom strategijom Unije za podatke.

Predsjednik Komisije također je istaknuo ciljeve pojednostavljenja europske regulative, naglašavajući nedavne prijedloge reformi koji bi mogli utjecati na zaštitu podataka, poput smanjenja obveza registra podataka i pojednostavljenja zahtjeva za prijavljivanje incidenata u digitalnom zakonodavstvu.

Konačno, osvrnula se na pitanje sigurnosti djece na internetu, najavivši da će Komisija do kraja godine zatražiti savjet stručnjaka, moguće crpeći inspiraciju iz australskog pristupa ograničenjima društvenih medija.

Uredba o podacima (Zakon o podacima) stupila je na snagu 12. rujna 2025.

Ovaj tekst daje korisnicima povezanih proizvoda (tvrtkama ili pojedincima koji posjeduju, iznajmljuju ili leasingiraju takav proizvod) veću kontrolu nad podacima koje generiraju, a istovremeno održava poticaje za one koji ulažu u podatkovne tehnologije.

Također definira opće uvjete koji se primjenjuju na situacije u kojima tvrtka ima zakonsku obvezu dijeljenja podataka s drugom tvrtkom.

Europski odbor za zaštitu podataka objavio je smjernice o interakciji između Uredbe o digitalnim uslugama i GDPR-a, koje su otvorene za javno savjetovanje do kraja listopada.

Sud EU-a naložio je Europskoj komisiji da isplati 50.000 eura odštete osobi umiješanoj u priopćenje za javnost Europskog ureda za borbu protiv prijevara (OLAF).

Iako u priopćenju za javnost nije spomenuto ime, kontekstualni tragovi omogućili su identifikaciju istraživača. Predmetni slučaj, OC protiv Komisije [C-479/22 P], bio je citiran u nedavnom slučaju EDPS protiv SRB-a, koji sada izaziva snažne reakcije u vezi s opsegom prepoznatljive prirode osobnih podataka.

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj je Savezni radni sud presudio da je tvrtka nezakonito prenijela osobne podatke svog zaposlenika matičnoj tvrtki kako bi testirala softver za upravljanje ljudskim resursima.

Ovaj prijenos nije se mogao opravdati legitimnim interesom, jer bi bili dovoljni izmišljeni podaci. Sud je zaposleniku dosudio 200 eura odštete za emocionalnu bol.

U Austriji je sud presudio da pravo subjekta podataka na pristup prestaje njegovom smrću i ne prenosi se na pravnog nasljednika. Sud je time tijekom žalbenog postupka poništio odluku tijela za zaštitu podataka o kršenju prava na pristup nakon smrti subjekta podataka.

Austrijska organizacija za prava potrošača VSV pokrenula je kolektivnu tužbu protiv Mete u Austriji i Njemačkoj, tražeći do 5000 eura odštete za osobe starije od 18 godina. Tužba se odnosi na profesionalne alate Mete za koje VSV tvrdi da se koriste za "nezakonit nadzor" privatnih života korisnika.

Belgijsko tijelo za zaštitu podataka kaznilo je vlasnika studentskog doma s 9700 eura zbog nezakonitog korištenja sustava video nadzora koji nije bio potreban za zaštitu imovine ili za praćenje poštivanja kućnog reda i koji se nije mogao temeljiti na legitimnom interesu ili izvršenju ugovora o najmu.

Španjolska Agencija za zaštitu podataka (APD) izrekla je kaznu od 1.800.000 eura tvrtki koja je bez zakonske osnove obrađivala osobne podatke samozaposlenih radnika koje je prikupilo javno tijelo.

Smatrala je da, iako je Španjolska porezna agencija (AEAT) imala zakonsko pravo priopćiti određene podatke Trgovinskoj komori, naknadni prijenos tvrtki Camerdata i korištenje tih podataka u komercijalne i marketinške svrhe nisu imali valjanu pravnu osnovu.

Legitimni interes na koji se tvrtka pozvala nije nadmašio rizike za prava i slobode radnika čiji su podaci otkriveni.

U Estoniji je farmaceutska tvrtka Allium UPI kažnjena s 3.000.000 eura zbog neprovođenja odgovarajućih tehničkih i organizacijskih mjera, poput višefaktorske autentifikacije, što je rezultiralo povredom podataka koja je utjecala na 750.000 ljudi, uključujući djecu i ranjive skupine.

U Finskoj je APD kaznio banku (S-Pankki Oyj) s 1.800.000 eura zbog toga što nije implementirala dovoljne tehničke i organizacijske mjere u vezi s novom značajkom prijave u svoju aplikaciju, što je dovelo do neovlaštenog pristupa njezinih klijenata računima drugih klijenata.

Talijansko tijelo za zaštitu podataka (APD) presudilo je da klijent tvrtke ima pravo povući svoju suglasnost za korištenje svoje slike u oglašavanju tvrtke. Pojasnilo je da se suglasnost može povući bez obzira na bilo kakve negativne ekonomske posljedice za voditelja obrade podataka.

Glasanjem u Senatu 17. rujna, Italija postaje prva europska zemlja koja je usvojila zakon o umjetnoj inteligenciji.

Nakon definiranja okvira općih načela, zakon posvećuje posebnu pozornost ključnim sektorima kao što su rad, zdravstvo i pravosuđe.

Također regulira korištenje umjetne inteligencije od strane maloljetnika i uključuje kaznene odredbe.

Nizozemska agencija za zaštitu podataka (DPA) trenutno provodi istragu u suradnji s talijanskom, luksemburškom i mađarskom agencijom za zaštitu podataka o tome kako povezani televizori obrađuju osobne podatke.

U izvješću se posebno navodi da povezani televizori šalju značajnu količinu podataka tijekom instalacije, svakodnevne upotrebe, kada su u stanju pripravnosti, pa čak i kada su isključeni, te da djeluju u neprozirnom internetskom ekosustavu koji uključuje različite strane: proizvođače, pružatelje operativnih sustava, programere aplikacija itd.

Ističe da korisnici često nemaju drugog izbora nego prihvatiti pravila o privatnosti i imaju poteškoća s identificiranjem onih koji su odgovorni za obradu podataka.

Unaprijed instalirane aplikacije (ponekad nemoguće ukloniti) postavljaju pitanja u vezi minimiziranja podataka i korisničkih prava.

Nakon pokretanja Apertus AI-ja, švicarskog chata otvorenog koda, pojavio se još jedan veliki model strojnog učenja otvorenog koda koji podržava javna institucija u Europi: TildeOpen LLM.

Ovo je temeljni lingvistički model osmišljen kako bi kompenzirao slabosti postojećih LLM-ova u odnosu na nordijske i istočnoeuropske jezike, koji su trenutno nedovoljno zastupljeni.

Ovaj model s 30 milijardi parametara razvijen je uz financiranje Europske komisije i obučen je na superračunalu LUMI.

Ova dva modela su objavila da su u skladu s europskom uredbom o umjetnoj inteligenciji.

 

 

Na 47. Općoj skupštini o zaštiti privatnosti, održanoj prošlog rujna u Seulu, ponovno je potvrđeno da su privatnost i sigurnost podataka ključna pitanja s kojima se svijet danas suočava.

Godišnji događaj okuplja regulatore, kao i tvrtke i organizacije iz cijelog svijeta.

Dvadeset tijela za zaštitu podataka usvojilo je ovom prilikom zajedničku izjavu kako bi izgradili pouzdan okvir upravljanja za pouzdanu umjetnu inteligenciju.

Zalažu se za integriranje načela zaštite podataka od faze dizajna, uspostavljanje robusnog upravljanja podacima i predviđanje upravljanja rizicima.

U izjavi se također ističe sve veća složenost obrade podataka u ovom kontekstu i naglašava raznolikost uključenih aktera, kao i potreba za regulatornim okvirom prilagođenim tehnološkom napretku.

U Sjedinjenim Državama, "zatvaranje" ima značajne posljedice u pogledu zaštite podataka.

Neke savezne agencije su gotovo u potpunosti zatvorene, uključujući Federalnu trgovinsku komisiju (FTC), glavno tijelo odgovorno za provođenje zaštite privatnosti podataka.

Unutar FTC-a, Zavod za zaštitu potrošača je najviše pogođen prisilnim otpuštanjima.

Osim u slučajevima kada se šteta smatra izuzetno ozbiljnom, pitanja zaštite potrošača bit će obustavljena, bez obzira uključuju li se u preliminarne istrage, upravne postupke ili tužbe na saveznim sudovima.

Američki korisnici ChatGPT Plus, Pro i Free sada mogu kupovati izravno s Etsy prodajne platforme, a uskoro će im biti dostupni i mnogi drugi prodavači.

To podrazumijeva, za ChatGPT kao i za druge agentske AI sustave, da korisnik daje trećim stranama pristup svojim osobnim podacima, a posebno bankovnim podacima, sa svim problemima ranjivosti podataka koje to podrazumijeva.