Pravni nadzor br. 93 – ožujak 2026. 

 

Pristup osobnim podacima: prepoznavanje zlouporabe prava?

Nedavna odluka Suda Europske unije (SEU) pojašnjava uvjete prava pojedinaca na pristup njihovim osobnim podacima, a posebno okolnosti u kojima voditelj obrade podataka može smatrati zahtjev za pristup zlouporabom.

Iako članak 12. GDPR-a povezuje zlouporabu zahtjeva s njihovim ponovljenim aspektom, Sud EU-a je 19. ožujka u predmetu C-526/24 – Brillen Rottler pojasnio da je ovaj kriterij ponavljanja ilustrativan: broj zahtjeva nije odlučujući, a početni zahtjev za pristup može se smatrati zlouporabom ako ispitanik koristi to pravo kako bi stekao prednost, na primjer, ako nastoji umjetno stvoriti pravo na naknadu od voditelja obrade podataka. U takvom slučaju to predstavlja zlouporabu prava.

Odbijanje odgovora na zahtjev za pristup mora, međutim, ostati iznimno prema GDPR-u, a voditelj obrade podataka mora biti u mogućnosti dokazati zlouporabnu namjeru podnositelja zahtjeva.

U ovom konkretnom slučaju, odgovorna osoba morala je na temelju konkretnih dokaza utvrditi da zahtjev nije bio namijenjen provjeri obrade podataka, već umjetnom stvaranju uvjeta za podnošenje zahtjeva za naknadu štete.

Poznato je da je podnositelj zahtjeva doista podnio više zahtjeva brojnim kontrolorima podataka, nakon što im je dostavio svoje podatke, kako bi dobio pravnu zaštitu.

Sud ponavlja da za dodjelu odštete moraju biti ispunjena tri uvjeta:

• Kršenje GDPR-a,
• Oštećenje
• I uzročno-posljedična veza između to dvoje.

Nematerijalna šteta može nastati zbog gubitka kontrole ili nesigurnosti u vezi s obradom podataka, ali štetu mora dokazati podnositelj zahtjeva, a šteta ne smije biti uzrokovana ponašanjem podnositelja zahtjeva.

U ovom konkretnom slučaju, uzročna veza je prekinuta zbog ponašanja dotične osobe, koja je djelovala s ciljem umjetnog stvaranja uvjeta za nastanak štete.

Kada su ispunjena tri gore navedena uvjeta, kršenje prava pristupa može stoga dovesti do prava na pravnu zaštitu, čak i ako to kršenje ne proizlazi izravno iz obrade podataka u strogom smislu.

Odbijanje odgovora na zahtjev za pristup može izložiti odgovornu stranu zahtjevu za naknadu štete od strane podnositelja zahtjeva u dobroj vjeri.

Voditelj obrade podataka koji sumnja na zlouporabu zahtjeva stoga mora biti posebno oprezan i zadržati dokaze o toj zlouporabi prije nego što odbije pristup. 

Pojašnjenja koja je dao Sud EU-a u skladu su sa smjernicama koje je 2022. godine objavio Europski odbor za zaštitu podataka (EDPB) o toj temi, a koje pružaju dodatne smjernice.

Stoga, pretjerana priroda zahtjeva može ovisiti o specifičnim karakteristikama sektora u kojem voditelj obrade podataka djeluje.

„Što su češće promjene u bazi podataka kontrolora podataka, veća je vjerojatnost da će ispitaniku biti dopušteno zatražiti pristup svojim podacima bez da se to smatra pretjeranim.“

U slučaju ponovljenih zahtjeva, voditelj obrade podataka može, umjesto odbijanja pristupa, odlučiti naplatiti dotičnoj osobi naknadu koja odgovara troškovima administrativnih postupaka uzrokovanih zahtjevima.

Konačno, treba napomenuti da Europska komisija također namjerava, u svom prijedlogu za digitalni Omnibus, pružiti veću pravnu sigurnost kontrolorima podataka kada se suoče sa zlouporabom prava od strane ispitanika.

Iako EDPB i EDPS (Europski nadzornik za zaštitu podataka) u svom mišljenju od 10. veljače podržavaju ovu želju za pojašnjenjem, smatraju da ostvarivanje prava pristupa u svrhe koje nisu zaštita osobnih podataka ne bi trebalo biti definirajući element onoga što predstavlja zlouporabu... sve dok se ne dovodi u pitanje dobra vjera podnositelja zahtjeva.

 

Provedbena uredba za zakon SREN, objavljena 24. ožujka, uvodi dodatne zahtjeve za pohranjivanje zdravstvenih podataka (HDS) isključivo na teritoriju EU-a ili EGP-a, zahtjeve koje je CNIL pozdravio jer im je cilj povećati transparentnost prema dotičnim osobama, kao i ojačati kontrolu zdravstvenih podataka od strane stranaka ugovora o hostingu s obzirom na rizik pristupa izvan Europe.

Općenito, cijeli državni IT sustav namjerava migrirati prema suverenim rješenjima.

Dakle, tjedan dana nakon objave implementacije LaSuite kolaborativne platforme za 80 000 agenata zdravstvenog osiguranja, međuresorska digitalna uprava (DINUM) službeno je 9. travnja objavila svoju namjeru da prije kraja godine napusti Windows i prijeđe na suvereno rješenje.

Ti su ciljevi postali konkretniji od seminara 8. travnja koji je prvi put okupio ministarstva, javne operatere i privatne aktere s ciljem utvrđivanja o kojem stranom softveru i uslugama država danas ovisi kako bi sutra mogla bez njih.

"Počevši od ove jeseni, svako ministarstvo (i javna tijela koja o njemu ovise) morat će podnijeti vlastiti plan za smanjenje ovisnosti o inozemnim digitalnim uslugama."

Državni plan digitalne sigurnosti za razdoblje 2026.-2027. objavljen je početkom travnja.

To je dio napora da se državne uprave usklade s NIS2 direktivom i da se uključe u prijelaz na postkvantnu kriptografiju. 

„U kontekstu visoke prijetnje i pogoršanja geopolitičke situacije, utvrđuju se prioritetni napori koje ministarstva moraju poduzeti u području digitalne sigurnosti: konsolidacija upravljanja, jačanje upravljanja pristupom, kontrola okruženja informacijskih sustava itd.“

CNIL je 3. travnja objavio svoje prioritetne kontrolne teme za 2026. godinu.  Ona će se usredotočiti na

• Zapošljavanje,
• Jedinstveni birački popis
• Sportski savezi.

Daljnje objave vezane uz kibernetičku sigurnost bit će objavljene u svibnju kada bude objavljeno godišnje izvješće.

Također je objavila svoj radni program za podršku profesionalcimakoji će naglasiti

• Korištenje umjetne inteligencije,
• Zdravstveni podaci,
• Uvjeti prava pristupa
• Kibernetička sigurnost.

Na njihovoj web stranici nalazi se i novi vodič o razdobljima čuvanja podataka o ljudskim resursima. Konačno, u publikaciji od 20. ožujka, CNIL ponavlja vrlo restriktivne uvjete za snimanje zvuka kamerama za video nadzor.

Iako je hakiranje Regionalnih zdravstvenih agencija (ARS) službeno potvrđeno u rujnu 2025., situacija danas poprima alarmantniji obrat. dok hakerska grupa DumpSec preuzima odgovornost za napad i sada prodaje ogromnu bazu podataka iz francuskog zdravstvenog sustava.

Više od 35 milijuna pacijenata bilo bi pogođeno, a podaci bi uključivali osjetljive informacije vezane uz putove skrbi.

Do kršenja podataka došlo je zbog krađe vjerodajnica praktičara na poslužiteljima GRADeS-a (regionalne grupe za podršku e-zdravlju).

Sud EU-a donio je 19. ožujka presudu koja utječe na uvjete prikupljanja biometrijskih podataka od strane francuske policije.

U slučaju C 371/24 – Comdribus, presudio je da je nacionalno zakonodavstvo nespojivo s europskom direktivom o „policijskom pravosuđu“ kada ovlašćuje službu za provedbu zakona da sustavno obrađuje biometrijske podatke osumnjičenika bez potrebe da nadležno tijelo opravda apsolutnu nužnost i proporcionalnost te obrade.

Osoba koja odbije prikupljanje svojih biometrijskih podataka može biti sankcionirana samo ako planirano prikupljanje ispunjava te uvjete, procijenjene u svjetlu okolnosti u trenutku kada nadležna tijela donesu odluku o ovom prikupljanju.

Obrazloženje za prikupljanje podataka je potrebno kako bi dotična osoba mogla ostvariti svoje pravo na učinkovit pravni lijek.

U ovom konkretnom slučaju, tijekom akcije koju su u svibnju 2020. u Parizu proveli klimatski aktivisti, nekoliko sudionika, uključujući i podnositelja pritužbe, uhitili su organi za provođenje zakona zbog organiziranja neprijavljenih demonstracija.

Pritvorenik je odbio uzeti otiske prstiju i fotografirati se.

Ministar unutarnjih poslova izjavio je 3. travnja u Senatu, tijekom razdoblja pitanja vladi, da korištenje softvera za prepoznavanje lica od strane policijskih snaga na njihovim Neo uređajima za kontrolu identiteta nije zakonito, osim u okviru istrage pod vodstvom suca.

Ministar je naznačio da CNIL trenutno istražuje ovo pitanje.

Voditelj tvrtke za kibernetičku sigurnost koja je osvojila nagradu u francuskom programu Tech 2030 uhićen je krajem ožujka u sklopu velike europske akcije suzbijanja platforme za dječju pornografiju.

Inženjer, koji vodi startup specijaliziran za predviđanje kibernetičkih prijetnji - među čijim klijentima su FBI i Europska komisija - osumnjičen je za kupnju slika i videozapisa dječje pornografije putem platforme za dječju pornografiju na Darknetu.

Više od 200 uhićenja izvršile su policijske snage diljem Europe u kontekstu koordinirane operacije, zahvaljujući kripto plaćanjima koja su istražitelji pratili i deanonimizirali.

 

Europske institucije i tijela

Europski parlament je 11. ožujka pristao produžiti (iznimna) pravila koja omogućuju kontrolu elektroničkih komunikacija („Kontrola chata“). dok ograničavaju njihov opseg.

Umjesto davanja općeg odobrenja za tehnologije skeniranja, Parlament je zatražio da se ti alati koriste samo protiv poznatih osumnjičenika i isključivo za otkrivanje poznate dječje pornografije.

U međuvremenu, Google, Meta, Microsoft i Snap (Chat) ipak su u zajedničkom priopćenju za javnost potvrdili "da će nastaviti poduzimati dobrovoljne mjere u vezi sa svojim pogođenim uslugama međuljudske komunikacije".

Međuinstitucionalni pregovori još uvijek traju: ciparsko predsjedništvo Vijeća ima za cilj dovršiti projekt do srpnja 2026., a o tom se pitanju trenutno pregovara u okviru trijaloga između Parlamenta, Vijeća i Komisije.

Zastupnici Europskog parlamenta zauzeli su 26. ožujka na plenarnoj sjednici stav o komponenti umjetne inteligencije paketa Digital Omnibus.

Glasali su za odgodu stupanja na snagu nekoliko odredbi uredbe o umjetnoj inteligenciji.

Sustavi umjetne inteligencije koji uključuju biometriju i oni koji se koriste u kritičnoj infrastrukturi, obrazovanju, zapošljavanju, osnovnim uslugama, provedbi zakona, pravosuđu i upravljanju granicama stoga bi bili odgođeni s kolovoza 2026. na 2. prosinca 2027.

Zastupnici predlažu odgodu usklađivanja ostalih sustava koji podliježu sektorskoj regulaciji (sigurnost i nadzor tržišta) do 2. kolovoza 2028.

Cilj trijaloga između Europske komisije, Parlamenta i Vijeća je postići privremeni dogovor o tekstu do 28. travnja.

Vrijedi podsjetiti da su bitna načela uredbe već stupila na snagu i podliježu kontroli CNIL-a (Francuske agencije za zaštitu podataka).

Europska komisija je 24. ožujka otkrila kibernetički napad koji je utjecao na cloud infrastrukturu na kojoj se nalazi njezina web stranica na platformi Europa.eu, a koji se pokazao ozbiljnijim nego što je prvobitno naznačeno u priopćenju za javnost.

Podaci utječu na 71 korisnika usluge hostinga Europa. CERT-EU, služba EU za sigurnost podataka, potvrđuje prisutnost imena, korisničkih imena, adresa e-pošte i sadržaja e-pošte u curenju informacija.

Na dark webu objavljeno je 340 GB podataka i gotovo 52 000 datoteka e-pošte.

Dvije važne presude Suda pravde EU od 19. ožujka, Brillen Rottler i Comdribus, već su spomenute u uvodniku i vijestima u Francuskoj.

Europski konzorcij za digitalnu infrastrukturu „Digital Commons“ (EDIC) poprima oblik pristupanjem novih zemalja i pokretanjem prvih projekata, uključujući pilot projekt za europski suvereni tehnološki fond.

Cilj konzorcija je pomoći državama članicama Europske unije u razvoju otvorenih digitalnih infrastruktura i jačanju europskog digitalnog suvereniteta.

 

Vijesti iz zemalja članica Europske unije.

Njemački sud presudio je da je Meta nezakonito obrađivala osobne podatke neregistriranih pojedinaca putem svoje funkcije "Pronađi prijatelje" na Facebooku.

Nadalje, tvrtka ne bi imala pravnu osnovu za obradu osobnih podataka korisnika s vlastite platforme u reklamne svrhe.

U nedavnom slučaju, austrijski sud presudio je da je tijelo za zaštitu podataka bilo ispravno kada je odbilo obraditi pritužbu prema članku 57(4) GDPR-a, nakon što je pojedinac pokušao zloupotrijebiti mehanizam za pritužbe kako bi odgodio naplatu duga.

Belgijsko tijelo za zaštitu podataka (APD) smatralo je da je poslodavac u dovoljnoj mjeri udovoljio zahtjevu zaposlenika za pristup podacima pružajući mu njihove podatke putem reprodukcije, a ne potpunim izdvajanjem predmetnih e-poruka.

U Finskoj je DPA izdala upozorenje agenciji za kreditni rejting zbog nepravilnog rukovanja zahtjevima za pristup podacima.

Kontrolor podataka uputio je ispitanike na svoj portal za pristup podacima bez daljnjeg postupka i naznačio da će se naplaćivati naknada za svaki zahtjev podnesen više od jednom tijekom razdoblja od dvanaest mjeseci.

Španjolska Agencija za zaštitu podataka (APD) kaznila je pružatelja usluga digitalne identifikacije i provjere dobi (YOTI) s 950.000 eura zbog prikupljanja biometrijskih podataka bez valjanog pristanka (nedostatak dovoljne granularnosti i zaštitnih mjera u vezi s podacima koji se odnose na maloljetnike) i zbog neograničavanja razdoblja čuvanja podataka.

Belgijska agencija za zaštitu podataka (APD) također je kaznila Hyundai s 2.000.000 eura nakon što je kibernetički napad otkrio podatke više od milijun ljudi, uključujući njihova imena, kontaktne podatke i identifikacijske brojeve vozila. Utvrđeno je da kontrolor podataka nije osigurao odgovarajuću razinu sigurnosti, posebno zato što dotični podaci nisu bili šifrirani.

Konačno, belgijsko tijelo za zaštitu podataka (APD) izreklo je posebno visoku kaznu (10 milijuna eura) operateru zračne luke Aena zbog načina na koji je implementirao svoj sustav za prepoznavanje lica ukrcaj. Sustav omogućuje putnicima ukrcaj jednostavnim gledanjem u kameru. Tijelo je utvrdilo da je ovaj biometrijski sustav implementiran bez prethodne procjene utjecaja na zaštitu podataka.

Talijanska agencija za zaštitu podataka (APD) kaznila je banku s 31.800.000 eura zbog toga što nije provela dovoljne sigurnosne mjere kojima bi spriječila zaposlenika da pristupi financijskim podacima više od 3500 ljudi u svrhe koje nisu povezane s njihovim dužnostima.

Voditelj obrade podataka također nije pravovremeno obavijestio APD i ispitanike o ovoj povredi podataka.

Druga banka kažnjena je s 17.628.000 eura zbog prijenosa računa 275.000 klijenata svojoj podružnici bez njihovog pristanka. Banka je koristila profiliranje kako bi odabrala pojedince koji su smatrani "prvenstveno digitalnim" klijentima.

U Luksemburgu je Vrhovni upravni sud poništio kaznu od 746 milijuna eura izrečenu Amazonu. Odluka ne dovodi u pitanje nezakonitu obradu osobnih podataka u svrhu ciljanog oglašavanja, ali zahtijeva od Tijela za zaštitu podataka (APD) da ponovno procijeni prekršaj i proporcionalnost prije izricanja bilo kakvih novih sankcija.

U skraćenom postupku, sud u Nizozemskoj zabranio je platformi društvenih medija X da putem Groka proizvodi i distribuira intimni sadržaj bez pristanka i dječju pornografiju. Sud je također zabranio X-u da nudi funkcionalnosti Groka sve dok ta kršenja traju.

Rumunjska agencija za zaštitu podataka (APD) kaznila je Renault Rumunjsku s 637.262,50 RON (125.000 €) zbog neprovođenja odgovarajućih sigurnosnih mjera nakon kršenja podataka povezanog s aplikacijom kojom upravlja podizvođač, što je rezultiralo objavom osobnih podataka otkrivenih na online platformi.

 

Brazilski zakon o zaštiti maloljetnika na internetu službeno je stupio na snagu, a s njim i uredba ministra pravosuđa koja izravno cilja na dizajnerske izbore koje tehnološki divovi koriste kako bi privukli pozornost mladih ljudi.

Uredba prebacuje sigurnost djece na internetu s reaktivnog moderiranja sadržaja na ex ante regulaciju arhitekture platforme, uključujući ograničenja beskonačnog pomicanja, automatsku reprodukciju, manipulativne obavijesti, ciljano oglašavanje profiliranjem usmjereno na maloljetnike i strože zahtjeve za provjeru dobi.

Početkom travnja, kinesko Ministarstvo industrije i informacijske tehnologije, zajedno s osam drugih ministarstava, objavilo je "Eksperimentalne mjere koje se odnose na etičku evaluaciju i opskrbu tehnologijama umjetne inteligencije".

Dokument pruža pregled što Kina podrazumijeva pod "etičkim upravljanjem umjetnom inteligencijom" te vrste politika i tehničkih mjera koje smatra potrebnim za borbu protiv trivijalizacije etike putem marketinških strategija koje obećavaju poštovane usluge, ali u stvarnosti nisu u skladu s propisima o umjetnoj inteligenciji.

Dana 24. travnja, porota u američkoj saveznoj državi Novi Meksiko naložila je tvrtki Meta da plati 375 milijuna dolara građanskih kazni, utvrdivši da tvrtka nije adekvatno zaštitila djecu na svojim platformama. Ova kazna proizašla je iz kršenja zakona o nepoštenim poslovnim praksama.

Dana 8. travnja, savezni žalbeni sud u Washingtonu, DC, odbio je blokirati uvrštavanje tvrtke za umjetnu inteligenciju Anthropic na crnu listu Pentagona za nacionalnu sigurnost, što je pobjeda za Trumpovu administraciju.

Međutim, drugi žalbeni sud donio je suprotnu odluku u zasebnom sudskom postupku koji je pokrenuo Anthropic.

Tvrtka, koja je razvila AI asistenta Claudea, tvrdi da je ministar obrane prekoračio svoje ovlasti označivši tvrtku kao rizik za nacionalni sigurnosni lanac opskrbe.

Anthropic je odbio ukloniti određena ograničenja na korištenje svojih proizvoda s obzirom na njihovu upotrebu od strane američke obrane.