Pravna ura št. 85 – julij 2025. 

 

Skladnost z GDPR: kakšne so ekonomske koristi?

Študije, ki sta jih izvedla Združenje za poklicno usposabljanje odraslih (AFPA) in CNIL, zdaj potrjujejo ekonomske koristi, povezane s prisotnostjo pooblaščene osebe za varstvo podatkov (DPO) v podjetjih.

Statistično raziskavo, ki jo je januarja 2024 izvedla organizacija AFPE na podlagi več kot 3600 odgovorov pooblaščenih oseb za varstvo podatkov, so dopolnili poglobljeni intervjuji, ki jih je CNIL opravil z desetimi pooblaščenimi osebami za varstvo podatkov, ki jih je predlagalo francosko združenje dopisnikov za varstvo podatkov (AFCDP).

Rezultati teh analiz, ki jih je konec julija predstavil CNIL, opredeljujejo štiri glavne prednosti za podjetja z DPO: konkurenčnost, izogibanje sankcijam, preprečevanje uhajanja podatkov in racionalizacijo upravljanja podatkov.

Te koristi zaznavajo podjetja vseh velikosti, zlasti pa v sektorjih »Raziskave, IT in svetovanje« ter »Bančništvo, zavarovalništvo in vzajemne družbe«.

• Kar zadeva konkurenčnost, se skladnost z GDPR zdi kot vzvod za pridobitev razpisov, zlasti kadar so ti povezani s podatki.

V tem kontekstu se pooblaščena oseba za varstvo podatkov pojavlja kot ključna kontaktna oseba za kupce.

• Čeprav pooblaščena oseba za varstvo podatkov pomaga omejiti tveganja sankcij, se te koristi ne nanašajo le na višino glob, temveč tudi na vidike ugleda.

Poleg vpliva na prihodke podjetij lahko sankcije vplivajo tudi na finančne bonitetne ocene podjetij in s tem na njihove finančne zmožnosti.

• Kar zadeva varnost, ima pooblaščena oseba za varstvo podatkov (DPO) skupaj z glavnim uradnikom za informacijsko varnost (CISO) osrednjo vlogo pri ozaveščanju zaposlenih ter izvajanju notranjih politik varstva podatkov in upravljanja incidentov.

V zvezi s tem CNIL poudarja, da povprečni stroški kršitve podatkov znašajo 5 milijonov dolarjev, glede na študijo IBM iz leta 2024.

• Končno nam poenostavitev upravljanja podatkov omogoča prihranek denarja za strežnike, ki lahko znaša več sto tisoč evrov, in izboljšanje učinkovitosti odločanja.

V zvezi s tem je študija Letnih pregledov iz leta 2023 o ekonomskih vidikih digitalne zasebnosti prav tako ugotovila, da »lahko prekomerna količina podatkov zmanjša tržno moč podjetja«.

Poročilo CNIL upošteva, kako upravljavec podatkov dojema predpise. 

Bolj ko sta pooblaščena oseba za varstvo podatkov in podjetje prepričana o prednostih skladnosti z GDPR in vključujeta njena načela v interne procese, bolj se čutijo pozitivni učinki, za razliko od podjetij, ki skladnost dojemajo kot omejitev.

Ob upoštevanju načel uredbe bi se tako vzpostavil koristen krog motivacije in koristi.

Študija, izvedena v Franciji, ni edina, ki je opredelila ekonomske koristi regulacije podatkov. 

Poudarjeni so tudi dodatni vidiki, na primer s strani Evropskega odbora za varstvo podatkov (EDPB), ki poudarja zaupanje, ki ga izvajanje vidne politike varstva podatkov ustvarja med posamezniki, tudi zunaj okvira javnih razpisov.

OECD je v začetku letošnjega leta objavila tudi analizo mednarodnih podatkovnih tokov, v kateri je navedla, da »režimi, ki zagotavljajo zaščitne ukrepe, vzpostavljajo ravnovesje med trgovinskimi stroški, povezanimi z regulacijo podatkov, in koristmi v smislu zaupanja, ki jih zagotavljajo zaščitni ukrepi za podatke«.

V kontekstu vse večje kraje podatkov in razvoja umetne inteligence, ki sproža vse več etičnih vprašanj, predstavlja pridobivanje – in ohranjanje – zaupanja posameznikov pomembno prednost za javnost.

 

        

Ustavni svet je v sklepu z dne 8. avgusta 2025 razglasil za protiustavno prakso, da omejena sestava CNIL ne obvesti oseb, ki jih želi zaslišati, o pravici do molka med obravnavami ali zahtevami za pripombe.

Ta odločitev temelji na pravici, da se ne obtoži samega sebe, ki izhaja iz 9. člena Deklaracije o človekovih in državljanskih pravicah.

Da bi se ta protiustavnost odpravila z dnem objave svoje odločitve, je ustavni svet sklenil, da je treba do uveljavitve novega zakona ali do dneva razveljavitve inkriminiranih določb zadevno osebo pred omejeno sestavo obvestiti o njeni pravici do molka.

Po odločitvi Sodišča Evropske unije (CJEU) je Državni svet (CE) 31. julija objavil svojo odločitev v zadevi Mousse, poimenovani po združenju, ki je vložilo pritožbo proti SNCF.

Verjame, da SNCF Connect "ne more prisiliti svojih strank, da izražajo svojo vljudnost".

Ta obdelava podatkov ni v skladu z GDPR, ki zahteva zbiranje le nujno potrebnih osebnih podatkov.

Evropska komisija meni, da pobiranje davka na promet ni bistveno za prodajo vozovnic ali preverjanje identitete med potovanjem in bi moralo biti neobvezno, razen za nekatere storitve, kot so spalni kupeji, rezervirani za samske ženske.

Zato razveljavlja odločitev CNIL z dne 23. marca 2021, ki bo morala ponovno preučiti pritožbo združenja Mousse.

6. avgusta 2025 je Bouygues Telecom potrdil, da je bil žrtev računalniškega vdora, ki je kibernetskim kriminalcem omogočil dostop do osebnih podatkov več kot šestih milijonov strank.

Gesla in številke bančnih kartic niso bili prizadeti, vendar so hekerji pridobili dostop do številnih informacij, vključno z imeni, poštnimi in e-poštnimi naslovi, datumom rojstva, številko pogodbe in IBAN. 

Tudi podjetje France Travail je sredi julija utrpelo novo kršitev varnosti osebnih podatkov, ki je prizadela 340.000 datotek iskalcev zaposlitve, vključno s podatki o identiteti, naslovom, datumom rojstva in telefonsko številko. Zaradi vse večjega števila kršitev podatkov je CNIL (francoski organ za varstvo podatkov) posodobil svoja navodila posameznikom.

 

Evropske institucije in organi

Evropska komisija je 7. avgusta objavila kodeks dobre prakse za podjetja, ki upravljajo sisteme umetne inteligence za splošno uporabo (GPAI).

Ta dokument je bil pripravljen v sodelovanju z industrijo in civilno družbo, njegov cilj pa je olajšati skladnost z uredbo o umetni inteligenci.

Celoten seznam podpisnikov vključuje 26 podjetij, vključno z Amazonom, Anthropicom, Googlom, Microsoftom, Mistralom in OpenAI.

Muskovo podjetje xAI je podpisalo le del kodeksa, ki je namenjen varnostnim in zaščitnim vprašanjem. Zato bo moral xAI dokazati svojo skladnost z obveznostmi glede preglednosti in avtorskih pravic iz predpisov z ustreznimi alternativnimi sredstvi.

Danska, ki je pred kratkim prevzela predsedovanje Svetu Evropske unije, ima privilegiran položaj, da v naslednjih šestih mesecih oblikuje politiko EU.

Danska vlada je 4. julija v neformalnem dokumentu omenila svojo namero, da predlaga ciljno usmerjeno revizijo GDPR in direktive o e-zasebnosti, da bi zmanjšala breme skladnosti za podjetja in zagotovila njihovo konkurenčnost.

Pričakuje se tudi, da bo Evropska komisija v prihodnjih mesecih objavila oceno kakovosti digitalne zakonodaje EU in digitalni omnibusni sveženj.

Revizija GDPR se ne zdi samoumevna, če gre verjeti povzetku "dialoga o izvajanju", ki ga je Komisija organizirala sredi julija in katerega sklepi so bili objavljeni v začetku avgusta.

Zasebni sektor je navedel, da je "vložil v skladnost in da bi splošno ponovno odprtje lahko ustvarilo negotovost, zlasti v kontekstu mednarodnih prenosov podatkov".

Generalni pravobranilec Sodišča EU je 1. avgusta v zadevi, ki se nanaša na švedski javni prevoz, pojasnil področje uporabe členov 13 in 14 GDPR glede obveščanja posameznikov, na katere se nanašajo osebni podatki.

Konkreten primer se je nanašal na zbiranje slik s kamerami na krovu kontrolorjev.

Generalni preiskovalni tožilec meni, da se člen 13 uporablja vedno, ko je posameznik, na katerega se nanašajo osebni podatki, vir podatkov („zbirani od posameznika, na katerega se nanašajo osebni podatki“), ne glede na udeležbo slednjega pri zbiranju podatkov in od trenutka, ko med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ni posrednika.

Člen 14 se uporablja vedno, ko se podatki zbirajo iz vira, ki ni posameznik, na katerega se nanašajo osebni podatki.

Zato mora biti v primeru zajemanja slik z vgrajenimi kamerami obveznost obveščanja zadevnih oseb takojšnja in zanjo ne veljajo izjeme iz 14. člena.

Evropski nadzornik za varstvo podatkov (EDPS) je 28. julija pozitivno zaključil preiskavo uporabe storitve Microsoft 365 s strani Evropske komisije.

V izjavi ugotavlja znatno izboljšanje skladnosti z varstvom podatkov pri uporabi storitve Microsoft 365 s strani Komisije ter priznava in ceni tudi »Microsoftova prizadevanja za izpolnjevanje zahtev Komisije, ki izhajajo iz odločitve ENVP iz marca 2024«.

Poročilo Agencije Evropske unije za kibernetsko varnost (ENISA), objavljeno 26. junija, zagotavlja tehnične smernice za podporo izvajanju direktive NIS2 za več vrst subjektov v sektorjih digitalne infrastrukture NIS2, upravljanja storitev IKT in digitalnih ponudnikov.

Zbira seznam ustreznih evropskih in mednarodnih standardov in okvirov (ISO 27001, NIST, ETSI ali CEN).

 

Novice iz držav članic Evropske unije.

V Nemčiji je sodišče v Düsseldorfu posamezniku prisodilo 200 evrov odškodnine za nepremoženjsko škodo zaradi kršitve varnosti podatkov, ki jo je povzročila nezmožnost upravljavca podatkov, da bi zagotovil izbris osebnih podatkov, ki jih je obdeloval njegov podizvajalec, v zakonsko določenih rokih.

Podobno kot zgoraj omenjeni primer Mousse je sodišče v Frankfurtu razsodilo, da je nemška nacionalna železniška družba od svojih strank nezakonito zahtevala, da za nakup vozovnic posredujejo svoj e-poštni naslov ali številko mobilnega telefona.

Menil je, da to ni bilo potrebno za izvršitev pogodbe in da dana privolitev ni bila iskrena in svobodna.

Hrvaški organ za varstvo podatkov (APD) je komunalnemu podjetju naložil globo v višini 320.000 evrov, ker pri izdaji novih gesel svojim uporabnikom ni izvajalo zahtevanih varnostnih ukrepov in ker z njim ni sodelovalo.

Španska agencija za varstvo podatkov (APD) je podjetju, ki upravlja športne centre, naložila 96.000 evrov globe zaradi uvedbe obveznih sistemov za prepoznavanje obrazov pri vstopu in izstopu iz prostorov, ne da bi o tem predhodno obvestila svoje člane ali pridobila njihovo soglasje.

Tudi v Španiji je APD dobavitelju energije naložil globo v višini 1.380.000 evrov, ker je pogodbo o dobavi plina pomotoma oddal napačni stranki in ji zaračunal provizije, kar je v nasprotju z načeli točnosti podatkov in varnosti obdelave.

Irsko vrhovno sodišče je razsodilo, da lahko zahtevki za odškodnino za čustveno stisko, povezano s stisko, pretresom ali tesnobo, spadajo neposredno pod GDPR in da se nacionalne določbe, ki zahtevajo dovoljenje neodvisnega organa pred uveljavljanjem odškodnine za telesne poškodbe, ne uporabljajo.

Italijanski organ za varstvo konkurence je 22. julija začel preiskavo platform Meta v zvezi z dodajanjem storitev umetne inteligence v WhatsApp brez soglasja uporabnikov.

Spomnimo se, da je višje deželno sodišče v Kölnu 23. maja 2025 zavrnilo odredbo proti podjetju Meta glede usposabljanja umetne inteligence.

Sodišče je menilo, da kombinacija anonimiziranih podatkov iz Facebooka in Instagrama v učnem naboru podatkov ne predstavlja nezakonite "fuzije" podatkov v smislu člena 5(2) uredbe o digitalnih trgih (DMA).

Litovski organ za varstvo podatkov (DPA) je v primeru dveh sosedov menil, da občasno zbiranje osebnih podatkov z uporabo brezpilotnega letalnika za namene zbiranja dokazov za sodni postopek spada pod domačo izjemo, ki jo določa GDPR.

APD navaja, da se je v zvezi s tem skliceval na smernice Evropskega odbora za varstvo podatkov iz leta 2020.

Na Poljskem je Zvezno upravno sodišče stalo na strani varuha človekovih pravic in razsodilo, da je poljska zakonodaja, ki od sodnikov in tožilcev zahteva razkritje njihove pripadnosti verskim, sindikalnim in političnim organizacijam, nezdružljiva z njihovimi pravicami iz Listine EU in Evropske konvencije o človekovih pravicah.

Tudi na Poljskem je bil McDonald's Polska Sp. z oo kaznovan s 3.955.000 evri zaradi neupoštevanja splošnih načel glede obdelave podatkov, zlasti zaradi neustreznih ukrepov za varstvo osebnih podatkov.

 

V Združenem kraljestvu bi lahko vlada pod pritiskom ZDA opustila svoj ukaz, ki je usmerjen v Applovo napredno funkcijo varstva podatkov.

Zahteva notranjega ministrstva je bila vložena v skladu z Zakonom o preiskovalnih pooblastilih (IPA), ki britansko vlado pooblašča, "da izdaja tajne odredbe, ki od dobaviteljev zahtevajo, da zaobidejo šifriranje z vstavljanjem zadnjih vrat v svoje programske izdelke".

Po poročanju Ars Technice ameriški uradniki, vključno s podpredsednikom JD Vanceom, pritiskajo na Združeno kraljestvo, naj prekliče svojo odločitev. »To je nekaj, kar podpredsednika zelo moti in je treba rešiti,« je po poročanju dejal uradnik britanskega ministrstva.

Wetransfer, ki ga številni strokovnjaki in posamezniki uporabljajo za deljenje dokumentov, je sredi julija spremenil svoje pogoje uporabe: podjetje je nakazalo, da bo od avgusta dalje uporabljalo vsebino podatkov svojih uporabnikov za učenje svojega sistema umetne inteligence.

Zaradi odzivov, ki jih je sprožila ta informacija, in vprašanj glede zaupnosti podatkov naj bi podjetje v naslednjih dneh umaknilo svoje odločitve.

Uporaba ChatGPT lahko privede do razkritja podatkov brez vednosti uporabnikov: to razkriva objava Digital Digging z dne 31. julija.

Preiskava poroča o 512 pogovorih ChatGPT, ki so bili javno objavljeni z uporabo ciljno usmerjenih iskanj po ključnih besedah, pri čemer so bile razkrite kompromitirajoče informacije in zaupni podatki.

Zahvaljujoč funkciji »deljenja« so uporabniki nevede svoje interakcije s ChatGPT naredili javne in jih iskalniki lahko indeksirajo.

Skupni pogovori bi se nanašali na primere trgovanja z notranjimi informacijami, podrobne finančne informacije o podjetjih, priznanja goljufij in dokaze o kršitvah predpisov, vse to pa bi se hranilo v obliki trajno dostopnih javnih arhivov.

V Indiji, vpliv geopolitike na digitalno tehnologijo IAPP poroča, da je Microsoft konec julija podjetju Nayara Energy, tretji največji indijski rafineriji s 6000 bencinskimi servisi, brez predhodnega obvestila zavrnil dostop do svojih podatkov, čeprav je v celoti plačalo licence.

Rosneft, ruska družba, ima v lasti 49,13 tone delnic družbe Nayara Energy v višini %. Domneva se, da je ta poteza posledica sankcij, uvedenih proti Rusiji zaradi vojne v Ukrajini.

Drug incident se nanaša na odvzem dovoljenja za opravljanje storitev, ki ga je indijski nacionalni center za promocijo in avtorizacijo vesolja podelil dvema satelitoma družbe Asia Satellite Telecommunications Company po 31. marcu 2026.

Glavni delničar družbe AsiaSat je subjekt v lasti kitajske vlade.

Ta odločitev ima posledice za nekatere največje indijske zabavne izdajatelje, kot sta Zee in Jiostar, ki bodo zdaj morali iskati alternative.

Ti dogodki so odražanje Microsoftove blokade e-poštnega računa generalnega tožilca Mednarodnega kazenskega sodišča (ICC) lani spomladi.

Ta blokada je bila neposredna posledica ukrepov, ki jih je ameriški predsednik Donald Trump februarja sprejel proti haaškemu sodišču, potem ko je senat sodnikov Mednarodnega kazenskega sodišča izdal nalog za prijetje izraelskega premierja Benjamina Netanjahuja in njegovega nekdanjega obrambnega ministra Yoava Gallanta zaradi vojnih zločinov v Gazi.

Avgustovska izdaja mednarodnega poročila PL&B vsebuje članek Marie Tzanou, predavateljice prava na britanski univerzi v Sheffieldu in vodje projekta nadzora FemTech.

Postavlja vprašanja o nadzoru žensk prek izdelkov in storitev, kot so aplikacije za sledenje plodnosti in menstruacije, ter navaja, da obstajajo "problematične in pogosto nezakonite prakse zbiranja podatkov".