Pravni nadzor br. 89 – studeni 2025. 

 

Pojednostavljenje europskih digitalnih pravila: što možemo očekivati?

Koliko će daleko Europska komisija ići u svojoj želji da pojednostavi europski zakonodavni okvir?

Od objave Draghijevog izvješća u rujnu 2024., i u turbulentnom međunarodnom ekonomskom kontekstu, europska izvršna vlast umnožava mjere u korist industrije.

Nedavna objava paketa „Digitalni omnibus“ ima za cilj uvjeriti privatni sektor u vezi sa zakonskim ograničenjima u digitalnom sektoru, na veliko nezadovoljstvo civilnog društva, koje se boji neviđenog kršenja temeljnih prava.

Komisija je 19. studenog službeno objavila dva prijedloga, „Digitalni omnibus“ i „Digitalni omnibus o umjetnoj inteligenciji“, te pokrenula procjenu digitalnih vještina.

Prijedlog koji se odnosi na digitalnu tehnologiju uvodi izmjene i GDPR-a i uredbe o umjetnoj inteligenciji, kao i Direktive o e-privatnosti. Tekst je gust; evo nekoliko ključnih točaka.

• • Što se tiče Direktive o e-privatnosti,

Komisija predlaže, posebno, promjene politike o kolačićima. Cilj je smanjiti broj prikazivanja bannera i omogućiti korisnicima da daju svoj pristanak jednim klikom i spremaju svoje postavke putem središnjih postavki svojih preglednika i operativnih sustava. Ova odredba je među najmanje osporavanima.

Tekst također predviđa jedinstveno sučelje za izvještavanje koje omogućuje tvrtkama da ispune sve svoje obveze obavještavanja o incidentima putem jedinstvenog sigurnog portala, s ciljem pojednostavljenja konkurentskih obveza direktive NIS2, GDPR-a i uredbe o digitalnoj operativnoj otpornosti.

Planirano je ublažavanje zakonskih obveza za mala i srednja poduzeća u vezi s dokumentacijom, sankcijama i pravilima prebacivanja na druge oblake.

• • Što se tiče GDPR-a,

Prijedlog ograničava definiciju osobnih podataka uvođenjem subjektivnog pristupa identifikaciji podataka, što bi moglo isključiti određene pseudonimne podatke ili identifikacijske brojeve iz područja primjene uredbe.

Definicija osjetljivih podataka bila bi izmijenjena tako da se odnosi samo na one koji "izravno" otkrivaju informacije o zdravlju, rasnom podrijetlu itd., uz rizik isključenja onih koji bi se, na primjer, mogli zaključiti algoritmom.

Prijedlog također nastoji ograničiti pravo pojedinaca da zatraže pristup svojim podacima samo u „svrhe zaštite podataka“.

Nova definicija „znanstvenog istraživanja“ mogla bi dovesti i do širokih izuzeća od GDPR-a u korist privatnog sektora: „svako istraživanje koje vjerojatno podržava inovacije, poput tehnološkog razvoja i demonstracija“ stoga bi moglo biti izuzeto od obveze informiranja i ograničenja svrhe.

Prijedlog uključuje promjene koje olakšavaju automatizirano donošenje odluka i omogućuju korištenje osobnih podataka za obuku i rad sustava umjetne inteligencije na temelju legitimnog interesa.

Tekst također predviđa šestomjesečno prijelazno razdoblje za članak 50(2) uredbe o umjetnoj inteligenciji (obveze transparentnosti).

Digitalni omnibus paket ostaje otvoren za komentare osam tjedana, a rok se svakodnevno produljuje dok prijedlog ne bude dostupan na svim jezicima EU-a, trenutačno do 29. siječnja 2026.

Prijedlog će zatim slijediti redovne zakonodavne postupke EU-a u Europskom parlamentu i Vijeću, gdje će zasigurno biti predmet žive rasprave.

Što se tiče GDPR-a, neke su zemlje otvorene za reviziju prijedloga Komisije, dok su druge, uključujući Sloveniju, Estoniju i Austriju, već naznačile da po njihovom mišljenju GDPR „trenutno ne zahtijeva nikakve daljnje promjene“.

Proces će također uključivati stajališta Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka, dva stajališta koja, iako nisu obvezujuća, za koja se očekuje da će utjecati na daljnje rasprave.

 

Nakon početnog izvješća u kojem se procjenjuje jesu li Francuzi spremni platiti za online usluge bez ciljanog oglašavanja, CNIL je 17. studenog objavio drugi dio koji se odnosi na stav Francuza prema monetizaciji njihovih podataka.

65% ispitanika (%) navelo je da su spremni prodati svoje podatke. Najčešća procjena bila je između 10 i 30 eura mjesečno, što je preferiralo 28% tih ispitanika (%).

S druge strane, 35% pojedinaca ne želi prodati svoje podatke, bez obzira na cijenu, izražavajući načelno odbacivanje monetizacije osobnih podataka.

U tom smislu, CNIL ističe da, iako je moguće prenijeti pravo korištenja nad vlastitim podacima, „praksa 'unovčavanja' vlastitih osobnih podataka, u smislu prijenosa prava vlasništva nad njima, nije moguća unutar trenutnog pravnog okvira jer se nitko ne može odreći svojih prava nad svojim podacima.“

Dana 20. studenog 2025. CNIL je kaznio francusku tvrtku Conde Nast publications sa 750.000 eura zbog nepoštivanja važećih pravila u vezi s kolačićima postavljenim na terminalima korisnika koji posjećuju web stranicu "vanityfair.fr".

Tvrtka je već dobila službenu obavijest nakon pritužbe udruženja Noyb 2019. godine, ali nije postupila u skladu s njom.

Kazna uzima u obzir nedostatak odgovora tvrtke, broj uključenih osoba i razne nedostatke: neuspjeh u dobivanju privole, neuspjeh u informiranju korisnika i neuspjeh mehanizama za odbijanje i povlačenje privole.

Dana 27. studenog 2025. CNIL je također izrekao kaznu od 1,5 milijuna eura tvrtki American Express Carte France zbog nepoštivanja primjenjivih pravila u vezi s kolačićima.

Dana 26. studenog, ANSSI je objavio izvješće o stanju prijetnje mobilnim telefonima.

Izvješće ističe iskorištavanje ranjivosti od strane napadača koje mogu ciljati mreže, operativni sustav ili aplikacije te identificira specifičnu prijetnju: špijunažu i nadzorne operacije koje provode državni akteri.

Mobiteli su također glavna meta kibernetičkih kriminalaca koji, kompromitiranjem istih, uspijevaju ukrasti novac od svojih žrtava.

Mobiteli se također zlouporabljaju za privatni nadzor ili operacije destabilizacije.

Izvješće također daje sigurnosne preporuke za korisnike.

To uključuje redovito isključivanje i ponovno uključivanje telefona bez korištenja funkcije ponovnog pokretanja, ne klikanje na poveznice ili otvaranje datoteka u neželjenim porukama, oprez pri otvaranju poveznica poslanih putem QR kodova, primjenu ažuriranja operativnog sustava, onemogućavanje Wifi i Bluetooth sučelja kada se ne koriste i izbjegavanje povezivanja na javne Wifi mreže.

 

Europske institucije i tijela

Predstavnici država članica EU-a usuglasili su se 26. studenog o stavu Vijeća u vezi s uredbom usmjerenom na sprječavanje i borbu protiv seksualnog zlostavljanja djece.

Cilj teksta je nametnuti tvrtkama u digitalnom sektoru obvezu sprječavanja širenja dječje pornografije i vrbovanja djece.

Nadležna nacionalna tijela imat će ovlasti prisiliti tvrtke da uklone i blokiraju pristup određenom sadržaju ili, u slučaju tražilica, da uklone određene rezultate pretraživanja.

Uredba također predviđa stvaranje nove europske agencije, Europskog centra za dječju pornografiju, zadužene za pomoć državama članicama i pružateljima internetskih usluga u provedbi zakona.

Vijeće također želi trajnom učiniti trenutno privremenu mjeru koja tvrtkama omogućuje dobrovoljno skeniranje svojih usluga radi otkrivanja seksualnog zlostavljanja djece.

Iako manje nametljiv od prethodne verzije, tekst se i dalje smatra napadom na end-to-end enkripciju i povjerljivost komunikacije.

Projekt se još uvijek mora raspraviti u trijalozima s Komisijom i Europskim parlamentom.

Europska komisija je 5. prosinca kaznila X sa 120 milijuna eura zbog neispunjavanja obveza transparentnosti prema Zakonu o digitalnim uslugama (DSA).

Nedostaci uključuju obmanjujući dizajn "plave validacije" za verificirane račune, nedostatak transparentnosti u direktoriju oglašavanja i nemogućnost istraživačima da pristupe javnim podacima.

U svojoj odluci u predmetu Russ media od 2. prosinca, Sud Europske unije (CJEU) presudio je da je izdavač na tržištu odgovoran za obradu oglasa objavljenih na njegovoj platformi te da prije objave mora provjeriti sadrže li osjetljive podatke i je li njihova obrada u skladu s GDPR-om.

1/ Operater tržišta odgovoran je za obradu objavljenih oglasa: nekoliko elemenata opravdava ovu klasifikaciju za Sud EU:

• Oglas je dostupan samo online zbog usluge koju pruža platforma.
• Izdavač slijedi vlastitu svrhu, posebno komercijalnu i reklamnu, i nije ograničen samo na tehničku uslugu.
• Određuje bitna sredstva: prezentaciju, trajanje online objavljivanja, odjeljke, klasifikaciju, metode distribucije.
• Dakle, operater i oglašivač su zajednički odgovorni za obradu koja se provodi na oglasima.

2/ Kao voditelj obrade podataka, operater mora utvrditi potencijalne rizike obrade podataka i provesti mjere i zaštitne mjere primjerene utvrđenom riziku: Sud EU-a navodi da operater mora, uzvodno:

• Otkrijte sadrži li oglas osjetljive podatke.
• Provjerite odnose li se ti podaci na oglašivača ili ima li oglašivač izuzeće, posebno izričitu suglasnost dotične osobe.
• Odbijte objavu ako ovi uvjeti nisu ispunjeni.

Kao dio svojih sigurnosnih obveza, operater također mora provesti mjere za ograničavanje nezakonitog kopiranja i reprodukcije oglasa koji sadrže osjetljive podatke.

Dana 20. studenog, Sud Europske unije presudio je u slučaju Policejní prezidium o praksama češke policije prikupljanja i neograničenog pohranjivanja biometrijskih i genetskih podataka svih osoba osumnjičenih za počinjenje namjernih kaznenih djela.

Cilj je bio utvrditi zahtijeva li europska direktiva o "policiji" procjenu potrebe za zadržavanjem podataka u svakom pojedinačnom slučaju, jesu li dopuštena neograničena razdoblja zadržavanja i koja bi pravna jamstva trebala regulirati obradu ovih osjetljivih podataka.

Sud ne utvrđuje načelnu zabranu, ali nameće niz uvjeta: voditelj obrade podataka mora se pridržavati svih načela i posebnih zahtjeva koji se primjenjuju na obradu osjetljivih podataka, a nacionalno zakonodavstvo mora postaviti odgovarajuće vremenske rokove za periodično preispitivanje stroge potrebe zadržavanja tih podataka.

Agencija Europske unije za temeljna prava objavila je 4. prosinca izvješće o zaštiti temeljnih prava pri korištenju umjetne inteligencije u područjima visokog rizika. U njemu se ističe nedostatak svijesti o tim pravima.

 

Vijesti iz zemalja članica Europske unije.

Bečki regionalni sud za građanske stvari presudio je da se tužba protiv kontrolora podataka koji nije nastanjen u EU mora dostaviti kontroloru, a ne njegovom predstavniku u EU.

Obavijest zastupniku prema članku 27. GDPR-a nije dovoljna, osim ako nacionalno postupovno pravo ne predviđa tu mogućnost.

Dana 14. studenoga, hrvatsko tijelo za zaštitu podataka (AZP) izreklo je administrativnu kaznu u ukupnom iznosu od 4.500.000,00 eura telekomunikacijskom operateru, u svojstvu voditelja obrade podataka, zbog prijenosa osobnih podataka u treću zemlju kršeći GDPR.

Prijenos srpskom podizvođaču izvršen je bez valjane pravne osnove i bez transparentnog informiranja dotičnih osoba, obrada kopija osobnih iskaznica i potvrda o kaznenoj evidenciji zaposlenika bez pravne osnove, te u nedostatku odgovarajućih prethodnih provjera podizvođača.

Međunarodno sveučilište u Valenciji u Španjolskoj kažnjeno je sa 750.000 eura zbog korištenja prepoznavanja lica i umjetne inteligencije za identifikaciju sudionika ispita bez odgovarajuće pravne osnove.

I u Španjolskoj je APD kaznio medicinsku kliniku s 30.000 eura zbog kršenja članka 5(1)(f) GDPR-a otkrivanjem telefonskih brojeva i zdravstvenih podataka oko 90 klijenata u WhatsApp grupi bez prethodnog pristanka i bez odgovarajućih mjera povjerljivosti.

Sud je dosudio više od 480.000.000 eura odštete 87 španjolskih medijskih kuća nakon što je zaključio da je Meta nezakonito koristila osobne podatke prikupljene na svojim društvenim mrežama za izradu detaljnih korisničkih profila i ponudu učinkovitijeg personaliziranog oglašavanja od konkurencije, čime je stekla nepoštenu konkurentsku prednost.

Sud je smatrao da je obrada osobnih podataka ključni konkurentski faktor u digitalnom gospodarstvu i da kršenja GDPR-a mogu predstavljati nelojalnu konkurenciju kada daju značajnu prednost.

Talijanska agencija za zaštitu podataka (APD) kaznila je pokrajinu Bolzano s 32.000 eura zbog nezakonitog upravljanja mrežom kamera za nadzor prometa. Pokrajina nije imala valjanu pravnu osnovu za obradu osobnih podataka, posebno registarskih oznaka.

 

U Ujedinjenom Kraljevstvu, 73 akademika, odvjetnika, stručnjaka za zaštitu podataka i nevladinih organizacija uputili su pismo Donjem domu britanskog parlamenta za istragu britanskog tijela za zaštitu podataka (ICO), nakon onoga što opisuju kao "kolaps provedbenih mjera" nakon skandala s kršenjem podataka u Afganistanu.

Upozoravaju na "dublje strukturne propuste" koji prelaze okvire ovog kršenja podataka.

To je predstavljalo posebno ozbiljno curenje informacija o Afganistancima koji su surađivali s britanskim snagama prije nego što su talibani preuzeli kontrolu nad zemljom u kolovozu 2021., ugrožavajući živote 100.000 ljudi čija je imena otkrilo Ministarstvo obrane.

ICO se kritizira jer nije pokrenuo formalni pravni postupak protiv ministarstva, unatoč ponovljenim nedostacima. 

U Argentini su neki sudovi posljednjih mjeseci donijeli odluke o korištenju umjetne inteligencije u podnescima i podnescima odvjetnika.

Slučajevi su uključivali odvjetnike koji su uključili citate sudske prakse koji su se pokazali lažnima ili netočnima zbog halucinacija umjetne inteligencije.

Baš kao i u Sjedinjenim Državama, argentinski sudovi počinju procjenjivati opseg profesionalne odgovornosti odvjetnika: čak i kada djeluju u dobroj vjeri, podnošenje podnesaka koji citiraju nepostojeću sudsku praksu potkopava temeljna načela profesije, uključujući poštenje, odanost i iskrenost, kako je utvrđeno u etičkim kodeksima različitih argentinskih jurisdikcija.

U konkretnim slučajevima koji su ispitani, sudovi su odlučili da neće izreći izravne sankcije odvjetnicima.

Ipak, smatrali su prikladnim informirati lokalne odvjetničke komore kako bi se podigla svijest o rizicima i odgovornostima povezanim s korištenjem umjetne inteligencije te potaknula šira rasprava o odgovornoj upotrebi umjetne inteligencije u pravnoj praksi.

Australska vlada je posljednja koja je predstavila plan za umjetnu inteligenciju.

Nakon što je razmotrila strategiju usmjerenu na sigurnost, vlada je na kraju odlučila naglasiti ulaganja i gospodarstvo.

Umjesto uspostavljanja obveznih zaštitnih mjera u okruženjima visokog rizika, Australija će se oslanjati "na postojeće robusne pravne i regulatorne okvire".

Nacionalni plan objavljen 2. prosinca ima za cilj poboljšati ugled Australije kao lokacije za ulaganja u umjetnu inteligenciju i promiče ciljeve za široku upotrebu umjetne inteligencije diljem zemlje, a posebno u javnim službama.

Također opisuje ulogu Instituta za sigurnost umjetne inteligencije u testiranju i dijeljenju informacija o mogućnostima, rizicima i opasnostima umjetne inteligencije.

I u Australiji djeca i tinejdžeri mlađi od 16 godina više neće smjeti koristiti društvene mreže od 10. prosinca.

Platforme su dužne implementirati mjere provjere dobi.

Nepoštivanje bi moglo rezultirati kaznama do 28 milijuna eura.

Ovu zabranu mogle bi pratiti i druge: 26. studenog Europski parlament pozvao je na postavljanje minimalne dobi na 16 godina diljem Europske unije za društvene mreže, platforme za dijeljenje videa i AI asistente, uz istovremeno dopuštanje pristupa osobama od 13 do 16 godina uz roditeljski pristanak.

Iako izražavaju podršku Komisiji u vezi s europskom aplikacijom za provjeru dobi i europskim digitalnim novčanikom za identitet (eID), zastupnici u Europskom parlamentu inzistiraju na tome da sustavi za provjeru dobi moraju štititi privatnost maloljetnika.

U Sjedinjenim Državama, samo dva od pet povjerenika ostala su u Federalnoj trgovinskoj komisiji (FTC).

Treću ostavku, onu Melisse Holyoak, FTC je doista objavio 17. studenog 2025.

Ova ostavka slijedi nakon što je predsjednik Trump smijenio dva demokratska povjerenika, ostavljajući na mjestima samo dva republikanska povjerenika.

Vrhovni sud je predmet rasprave o tom pitanju, a njegova odluka mogla bi imati šire implikacije na predsjednikovu moć nad neovisnim agencijama.           

Putnici iz zemalja poput Velike Britanije, Francuske ili Južne Koreje, zemalja koje ispunjavaju uvjete za američki program ukidanja viza, uskoro bi se mogli morati podvrgnuti reviziji svojih aktivnosti na društvenim mrežama unatrag do pet godina, prema prijedlogu koji je 9. prosinca podnijela američka carinska i granična zaštita (CBP).

CBP također planira od podnositelja zahtjeva tražiti dugi popis osobnih podataka, uključujući njihove adrese e-pošte za posljednjih deset godina, kao i imena, datume rođenja, mjesta prebivališta i mjesta rođenja njihovih roditelja, supružnika, braće, sestara i djece.

Dana 13. studenog 2025. indijsko Ministarstvo elektronike i informacijske tehnologije objavilo je provedbena pravila Zakona o zaštiti digitalnih osobnih podataka iz 2023.

Prema tvrtki Nishith Desai Associates, oni specificiraju zahtjeve za transparentnost, pristanak i registraciju, obveze obavještavanja u slučaju kršenja podataka, prava dotičnih osoba i detalje o Indijskom vijeću za zaštitu podataka.