Pravna ura št. 82 – april 2025. 

Varstvo podatkov in poenostavitev standardov: kaj lahko pričakujemo?

Vprašanje poenostavitve standardov, ki je v Evropi vedno znova tema razprav, je postalo še posebej pomembno po menjavi vodstva v Beli hiši.

Na pariškem vrhu o umetni inteligenci (UI) februarja lani je konkurenčnost tako postala deklarirana prednostna naloga v luči deregulacije v Združenih državah.

Delovni program Evropske komisije za leto 2025 si izrecno prizadeva tudi za spodbujanje gospodarske rasti s podpiranjem inovacij.

Kakšen bo vpliv te politike na evropske standarde varstva podatkov?

Na področju umetne inteligence se je Evropa najprej zavezala k doseganju glavnih ciljev uredbe, hkrati pa preučila upravno breme za podjetja.

Komisija bo zaprosila za mnenje industrije, kadar bo regulativna negotovost ovirala razvoj umetne inteligence, in ga vključila v širša prizadevanja za pregled in morebitno odpravo sklopa digitalnih pravil do konca leta.

Direktiva o odgovornosti za umetno inteligenco, katere cilj je bil posodobiti pravila EU o varnosti izdelkov, da bi zajemala umetno inteligenco in avtomatizacijo, je bila že umaknjena.

CCIA, glavna ameriška lobistična skupina za velika tehnološka podjetja v Bruslju, je pozdravila ta pristop, hkrati pa pozvala k "odločnemu napadu" na uredbo.

Evropska komisija je konec aprila države članice obvestila tudi o osnutku smernic glede razmerja med uredbo o umetni inteligenci in drugimi predpisi, vključno z GDPR.

Dela na razvoju modela za ocene vpliva na temeljne pravice (FRIA), ki jih zahteva uredba o umetni inteligenci, da bi se izognili podvajanju z oceno vpliva na varstvo podatkov v skladu z GDPR.

Države članice pa poudarjajo potrebo po okrepljenem sodelovanju z drugimi organi, da bi preprečile, da bi vodilna zakona privedla do nasprotujočih si odločitev ali prekrivanja preiskav.

Evropski odbor za varstvo podatkov (EDPB) pripravlja tudi smernice o interakciji med GDPR in uredbo o umetni inteligenci ter s Komisijo preučuje možnosti sinergij, da bi zagotovili doslednost razlage, pravno varnost in jasnost za upravljavce.

Kaj pa GDPR? Julija lani je Komisija objavila poročilo o oceni na to temo, ki je predvsem razkrilo precejšnje nezadovoljstvo med malimi in srednje velikimi podjetji v več pogledih:

• Pretirane zahteve glede dokumentacije,
• Stroški najema ali imenovanja pooblaščene osebe za varstvo podatkov,
• Težave pri izbiri pravne podlage (zakoniti interes/soglasje),
• Omejitve za nastajajoče tehnologije in zagonska podjetja.

Ta kritika odraža mnenje nekdanjega italijanskega premierja Maria Draghija, čigar gospodarsko poročilo septembra lani opozarja na zapletene evropske zakone, ki preprečujejo, da bi njegovo gospodarstvo dohitelo Združene države Amerike in Kitajsko, ter posebej omenja uredbo o umetni inteligenci in GDPR.

Komisija namerava konec maja predlagati "paket poenostavitve" za mala in srednje velika podjetja, čeprav je datum predstavljen le okvirno: predlog za poenostavitev pravil o zasebnosti bi bil v vsakem primeru predložen do junija.

Prilagoditve bi lahko vključevale omejitev zahtev za vodenje evidenc o dejavnostih obdelave podatkov ali reformo ocen učinka na varstvo podatkov – dve pravili, ki veljata za posebej obremenjujoča za mala in srednje velika podjetja.

Prav tako je vredno opozoriti, da sta poslanec Axel Voss in predsednik nevladne organizacije Noyb, Max Schrems – dve osebnosti, katerih stališča o tej temi so bila v preteklosti nasprotujoča si – marca lani združila moči, da bi predlagala obsežno revizijo GDPR, katere cilj je

• Poenostavitev skladnosti za mala in srednje velika podjetja ter neprofitne organizacije,
• Vzpostavite jasnejša in lažje obvladljiva pravila za velike organizacije,
• Okrepiti nadzorne zmogljivosti za zagotovitev učinkovitejšega varstva podatkov.

Čeprav ta predlog odraža premik k pragmatičnim rešitvam, ki usklajujejo varstvo zasebnosti s poslovno realnostjo, drugi opozarjajo na tveganja ponovnega odprtja besedila, ki bi se lahko pod pritiskom lobiranja zrušilo, kot je poudarila skupina za zagovorništvo digitalnih pravic EDRi.

Velja spomniti, da so pogajanja o razvoju GDPR sprožila enega največjih lobističnih prizadevanj v Bruslju doslej.

Tehnološka podjetja so med postopkom priprave osnutka porabila milijone, da bi vplivala na pravila, predlog pa je bil v Evropskem parlamentu predmet več kot 3000 amandmajev, kar je rekord.

Trenutno delo na postopkovni uredbi GDPR, katere cilj je okrepiti sodelovanje med organi za varstvo podatkov in pospešiti odločanje v čezmejnih primerih, bi lahko potrdilo, da je pot v pekel tlakovana z dobrimi nameni.

Medtem ko se razprave (trialog) med Komisijo, Evropskim parlamentom in Svetom nadaljujejo, nekateri opozarjajo na tveganje sklenitve kompromisa, ki ne le ne bo prinesel potrebnih reform, temveč bi lahko prinesel tudi nove ranljivosti.

Nevladna organizacija Noyb je 17. aprila izjavila, da je trialog privedel do zakonodajnega kaosa, zaradi katerega bodo postopki verjetno bolj zapleteni, počasnejši in predmet pravnih izpodbijanj.

 

    

CNIL je svoje letno poročilo za leto 2024 objavil 29. aprila.

Ključni temi sta kibernetska varnost, ki postaja strateška prednostna naloga za prihodnja leta z opaznim povečanjem kršitev podatkov (+20 %), in krepitev represivnih ukrepov.

Poročilo poudarja tudi pomen spoštovanja pravic mladoletnikov, nadzora nad praksami komercialnega iskanja in urejanja video nadzora.

Vzporedno CNIL krepi svoje evropsko sodelovanje za boljšo regulacijo velikih digitalnih platform in nadaljuje svoje delo na področju umetne inteligence.

Komisija je 30. aprila objavila tudi smernice za okrepitev varnosti velikih podatkovnih zbirk.

Ti ukrepi razširjajo in krepijo osnovne varnostne ukrepe.

Tako kot prednostni kibernetski ukrepi ANSSI ali tisti, namenjeni preprečevanju uhajanja podatkov, tudi ti ne navajajo vseh zadostnih ukrepov, temveč opozarjajo upravljavce podatkov na varnostne ukrepe, ki jih CNIL šteje za potrebne pri velikih podatkovnih bazah, zlasti glede tveganj množičnega uhajanja podatkov.

Dvesto francoskih medijskih hiš vlaga pritožbo proti Meti zaradi "nezakonitih praks": po poročanju Le Monde "več tiskovnih skupin (Prisma, Les Echos-Le Parisien, CMI), nacionalnih in regionalnih dnevnikov ter zasebnih in javnih radiotelevizij (TF1, RMC-BFM, France Télévisions in Radio France) obtožuje Meto, da je izkoristila obdobje, ko so sami izvajali soglasje uporabnikov za zbiranje njihovih osebnih podatkov, za sodelovanje v ciljno usmerjenem oglaševanju".

 

Evropske institucije in organi

Evropska komisija je 23. aprila izdala prvi dve globi v skladu z uredbo o digitalnih trgih (DMA).

Natančneje, Apple in Meta sta bila kaznovana s 500 milijoni evrov oziroma 200 milijoni evrov.

Komisija meni, da Apple ni izpolnil svojih obveznosti glede razpoložljivosti aplikacij v trgovini App Store.

Kar zadeva Meto, je bila družba zaradi sistema "soglasje ali plačilo" kaznovana z 200 milijoni evrov.

Komisija je menila, da ta model uporabnikom ne daje posebne izbire za enakovredno storitev, ki bi uporabljala manj osebnih podatkov.

Upoštevajte, da je Meta po tej preiskavi uvedla tretjo možnost, in sicer »manj prilagojene oglase«, ki je Komisija še ni ocenila.

Komisija je v okviru programa Digitalna Evropa (DIGITAL) objavila štiri nove razpise v vrednosti 140 milijonov evrov za pospešitev uvajanja umetne inteligence, spodbujanje naprednih digitalnih znanj in spretnosti, širitev mreže evropskih središč za digitalne inovacije (EDIH) in boj proti dezinformacijam.

V tem okviru je 9. aprila objavila poziv k prispevkom v zvezi s prihodnjo zakonodajo o oblaku in umetni inteligenci (Cloud and AI Development Act – CAIDA).

Cilj bi bil odpraviti pomanjkanje konkurenčne evropske ponudbe storitev v oblaku v zadostnem obsegu za zelo kritične uporabe s posebej visokimi varnostnimi zahtevami.

Evropski odbor za varstvo podatkov in Evropski nadzornik za varstvo podatkov sta konec aprila predstavila svoja letna poročila za leto 2024.

ENVP je poudaril razvoj svoje vloge glede na evropsko uredbo o umetni inteligenci, ki mu nalaga vlogo nadzornega in obveščevalnega organa za institucije EU.

Poročilo Evropskega odbora za varstvo podatkov (EDPB) vsebuje pregled dela, opravljenega v letu 2024, vključno s sprejetjem strategije za obdobje 2024–2027, povečanjem števila mnenj v okviru mehanizma za skladnost v skladu s členom 64(2) in tekočimi prizadevanji za zagotavljanje smernic in pravnega svetovanja, zlasti malim in srednje velikim podjetjem.

EOVP je na plenarnem zasedanju aprila 2025 sprejel smernice o obdelavi osebnih podatkov prek tehnologij veriženja blokov.

Dokument poudarja pomen izvajanja tehničnih in organizacijskih ukrepov že od najzgodnejših faz načrtovanja obdelave ter hkratne opredelitve vlog in odgovornosti različnih akterjev v obdelavi.

Ponovno poudarja pomen ocen učinka na varstvo podatkov in navaja primere tehnik za zmanjševanje količine podatkov ter obdelavo in shranjevanje osebnih podatkov. Smernice so na voljo za posvetovanje do 9. junija.

Glede dostopa do upravnih dokumentov je Sodišče Evropske unije (SEU) sprejelo sodbo o ravnovesju med to pravico in varstvom podatkov oseb, omenjenih v teh dokumentih.

Razsodilo je, da člen 6(1)(c) in (e) GDPR ne izključuje dodatnih obveznosti obveščanja in posvetovanja s posameznikom, na katerega se nanašajo osebni podatki, pred kakršnim koli razkritjem osebnih podatkov v zvezi z njim.

Vendar te dodatne obveznosti ne smejo nesorazmerno omejevati dostopa javnosti do teh dokumentov.

Sodišče EU objavlja posodobitev svojega tematskega lista o svojih najpomembnejših sodbah na področju varstva podatkov.

Dokument zajema sodno prakso v zvezi s splošnimi predpisi o varstvu podatkov in sektorskimi predpisi (elektronske komunikacije in kazensko pravo). Predstavlja tudi izbor sodb v zvezi s horizontalnimi predpisi, hkrati pa poudarja vlogo Listine pri razvoju sodne prakse.

Evropski uporabniki platform Meta so aprila prejeli obvestilo, v katerem so jih obvestili o uporabi njihovih podatkov s strani Facebooka in Instagrama za namene usposabljanja za umetno inteligenco, skupaj s povezavo do obrazca za ugovor.

Norveški organ za varstvo podatkov (APD) je objavil objavo na blogu, v kateri je pojasnil posledice te odločitve in pravna sredstva, ki so na voljo posameznikom. Navedel je tudi, da je Meto skupaj z drugimi APD-ji vprašal, ali je preučil združljivost usposabljanja za umetno inteligenco s prvotnim ciljem zbiranja uporabniških sporočil in slik.

Mednarodno združenje strokovnjakov za varstvo zasebnosti (IAPP) objavlja tabelo s pregledom zahtev za obveščanje o incidentih digitalne varnosti in izmenjavo informacij v več evropskih zakonodajah.

Upošteva GDPR, direktivo o „policiji“, direktivo o e-zasebnosti, uredbo o upravljanju podatkov, uredbo o podatkih, direktivo NIS2, uredbo o digitalni operativni odpornosti, direktivo o plačilnih storitvah 2, uredbo o kibernetski odpornosti in uredbo o umetni inteligenci.

Microsoft je uradno uvedel svoje načelo evropske meje podatkov za storitve v oblaku in se zavezal, da bo osebne podatke svojih strank shranjeval in obdeloval izključno znotraj EU in EFTA.

Podatki iz nekaterih storitev Azure pa se lahko prenesejo izven EU, če Microsoft meni, da je to potrebno za preiskave kibernetske varnosti.

Poleg tega je treba opozoriti, da zakon o oblaku ameriškim oblastem dovoljuje dostop do podatkov ameriških podjetij ne glede na to, kje so shranjeni.

 

Novice iz držav članic Evropske unije.

Nemško zvezno sodišče šteje, da so kvalificirani subjekti (kot so potrošniške organizacije) upravičeni do vložitve pravnih ukrepov zaradi kršitve obveznosti obveščanja v skladu z GDPR v skladu z zakonom o varstvu potrošnikov, ne glede na konkretno kršitev in brez pooblastila posameznikov, na katere se nanašajo osebni podatki.

Primer se je nanašal na neizpolnjevanje zakonskih zahtev v zvezi s pridobitvijo soglasja uporabnikov s strani družbe Meta Platforms Ireland Ltd (Meta).

V BelgijiV odločbi je poudarjeno, da se področje uporabe GDPR razteza tudi na poklicne podatke: APD je posredniku podatkov med podjetji naložil globo v višini 20.000 evrov, ker je zbral in razkril e-poštni naslov direktorja podjetja.

APD je tudi spomnil, da upravljavec podatkov posameznika ne more prisiliti k ustvarjanju spletnega računa, če to ni potrebno, v tem primeru za vložitev pritožbe.

Podjetje je tukaj kršilo načela minimizacije podatkov in varstva podatkov privzeto in že načrtovano.

V Španiji, Podjetje (Marina Salud), ki upravlja bolnišnične podatke v imenu avtonomne vlade Valencijske skupnosti, je bilo kaznovano s 500.000 evri, potem ko je brez dovoljenja upravljavca podatkov imenovalo sekundarne podizvajalce, kar je v nasprotju s členom 28(2) GDPR.

Tudi v Španiji je bila banka kaznovana s 120.000 evri zaradi nezakonite obdelave osebnih podatkov stranke, kar je kršilo člen 6(1) GDPR, potem ko je zaposleni posnemal podpis stranke na pogodbi o varstvu podatkov.

TikTok je bil 2. maja obsojen s strani Irski DPA na globo v višini 530 milijonov evrov zaradi nezakonitega pošiljanja osebnih podatkov Evropejcev na Kitajsko in njihovega prikrivanja pred uporabniki.

TikTok ima šest mesecev časa, da svoje prakse uskladi z GDPR.

Irsko sodišče je potrdilo odločitev organa za varstvo podatkov (DPA), ki je ugotovil, da delodajalec ni upravljavec podatkov v zvezi z nepoklicnimi podatki, ki jih je vseboval službeni telefon enega od njegovih zaposlenih.

Malteški APD objavlja vrsto pogosto zastavljenih vprašanj o upravljanju e-poštnih računov zaposlenih, ko zapustijo svojo organizacijo.

Priročnik delodajalce spodbuja k proaktivnemu in strukturiranemu pristopu k upravljanju računov, tako med delovnim razmerjem kot po odhodu zaposlenega, ter k obravnavanju ključnih vprašanj v zvezi z običajnimi praksami, kot sta samodejno posredovanje pošte in samodejni odgovor.

V okviru predsedniških volitev, ki so bile v Romuniji 4. in 18. maja, je TikTok napovedal nove ukrepe, katerih cilj je preprečiti dezinformacijsko kampanjo, primerljivo s tisto, ki je domnevno pomagala kandidatu Călinu Georgescuju priti na vrh prvega kroga novembra lani.

Aplikacija je vzpostavila tudi »Center za volitve«, ki ponuja informacije, kot so pomembni datumi in povezave do spletnega mesta stalnega volilnega organa, ter objavila orodja za ozaveščanje o dezinformacijah.

Ti ukrepi se sprejemajo, potem ko je Evropska komisija začela preiskavo v skladu z zakonom o digitalnih storitvah (DSA), da bi osvetlila novembrske dogodke.

 

Na Kitajskem je Uprava za kibernetski prostor pravkar napovedala začetek trimesečne kampanje za boj proti zlorabi tehnologij umetne inteligence. Oddelki, odgovorni za regulacijo interneta, bodo morali voditi spletne platforme, da izpolnijo zahteve kampanje, tako da okrepijo mehanizme za pregled vsebin, ki jih ustvarja umetna inteligenca, izboljšajo zmogljivosti odkrivanja in zagotovijo pravilno izvajanje korektivnih ukrepov.

V Združenih državah Amerike so člani Odbora za energijo in trgovino Predstavniškega doma začeli preiskavo o povezavah Deepseeka s Kitajsko komunistično partijo. Klepetalni robot naj bi ne le pošiljal podatke na Kitajsko, temveč naj bi tudi delil osebne podatke uporabnikov z drugimi subjekti, povezanimi s stranko, vključno z ByteDance Ltd. Aplikacija umetne inteligence naj bi tudi zbirala podatke o srčnem utripu svojih uporabnikov.

Forum za prihodnost zasebnosti (FPF) je pod pritiskom Trumpove administracije. Predsednik senatnega odbora za trgovino Ted Cruz (republikanec iz Teksasa) zahteva odgovore od FPF, ki naj bi uporabljal zvezna sredstva za pritisk na zvezne države, da sprejmejo "levičarske" zakone o umetni inteligenci. Senator Cruz je zaskrbljen, da se skupina odkrito zavzema za predpise o umetni inteligenci, ki so usklajeni s politično agendo Bidenove administracije. Prav tako natančno preučuje zvezna sredstva, dodeljena organizaciji.

Po poročanju Euractiv, ki se sklicuje na informacije Financial Timesa, Evropska komisija zaradi pomislekov glede nadzora opremlja svoje osebje, poslano v Združene države Amerike, s telefoni za enkratno uporabo. "Nove smernice, ki jih je izdal izvršni organ EU in ki priporočajo tudi uporabo osnovnih prenosnikov med potovanjem v ZDA, so podobne tistim za potovanje v Ukrajino ali Kitajsko. Vsem zaposlenim svetujemo, da ob vstopu v državo izklopijo svoje naprave in jih shranijo v namensko torbico proti vohunjenju."

CNN poroča, da Trumpova administracija s pomočjo Palantirja vzpostavlja "splošno podatkovno bazo za pospešitev izvrševanja imigracijskih predpisov in deportacij z združevanjem občutljivih podatkov iz celotne zvezne vlade", ustvarjanjem "seznamov za ciljanje" in aretacijami ciljnih posameznikov. Wired je že poročal, da "DOGE združuje imigracijske podatkovne baze iz celotnega Ministrstva za domovinsko varnost (DHS) in prenaša podatke od zunanjih agencij, vključno z Upravo za socialno varnost (SSA), pa tudi volilne evidence", ki naj bi bile gostovane v programski opremi, ki jo je razvil Palantir.