Pravna ura št. 93 – marec 2026. 

 

Dostop do osebnih podatkov: prepoznavanje zlorabe pravic?

Nedavna odločitev Sodišča Evropske unije pojasnjuje pogoje pravice posameznikov do dostopa do njihovih osebnih podatkov, zlasti pa okoliščine, v katerih lahko upravljavec podatkov zahtevo za dostop šteje za zlorabo.

Čeprav 12. člen GDPR povezuje zlorabo zahtev z njihovim ponavljajočim se vidikom, je Sodišče EU 19. marca v zadevi C-526/24 – Brillen Rottler pojasnilo, da je to merilo ponavljanja ilustrativno: število zahtev ni odločilno in da se lahko začetna zahteva za dostop šteje za zlorabo, če posameznik, na katerega se nanašajo osebni podatki, to pravico uporabi za pridobitev prednosti, na primer če si prizadeva umetno ustvariti pravico do odškodnine zoper upravljavca podatkov. V takem primeru gre za zlorabo pravic.

Zavrnitev odgovora na zahtevo za dostop pa mora v skladu s Splošno uredbo o varstvu podatkov ostati izjemna, upravljavec podatkov pa mora biti sposoben dokazati zlorabni namen prosilca.

V tem konkretnem primeru je morala odgovorna oseba na podlagi konkretnih dokazov ugotoviti, da zahteva ni bila namenjena preverjanju obdelave podatkov, temveč umetnemu ustvarjanju pogojev za odškodninski zahtevek.

Znano je bilo, da je prosilec po tem, ko je posredoval svoje podatke, pri številnih upravljavcih podatkov vložil več zahtevkov za pridobitev pravnega sredstva.

Sodišče ponovno poudarja, da morajo biti za dodelitev odškodnine izpolnjeni trije pogoji:

• Kršitev GDPR,
• Škoda
• In vzročna zveza med obema.

Neoprijemljiva škoda lahko nastane zaradi izgube nadzora ali negotovosti glede obdelave podatkov, vendar mora tožnik dokazati škodo in je ne sme povzročiti tožnikovo ravnanje.

V tem konkretnem primeru je bila vzročna zveza prekinjena zaradi ravnanja zadevne osebe, ki je delovala z namenom umetnega ustvarjanja pogojev za nastanek škode.

Ko so izpolnjeni zgornji trije pogoji, lahko kršitev pravice do dostopa povzroči pravico do pravnega sredstva, tudi če ta kršitev ne izhaja neposredno iz obdelave podatkov v ožjem pomenu besede.

Zavrnitev odgovora na zahtevo za dostop lahko odgovorno osebo izpostavi zahtevku za odškodnino s strani dobrovernega prosilca.

Upravljavec podatkov, ki sumi na zlorabo zahteve, mora zato biti še posebej previden in hraniti dokaze o tej zlorabi, preden zavrne dostop. 

Pojasnila Sodišča EU so skladna s smernicami, ki jih je leta 2022 objavil Evropski odbor za varstvo podatkov (EDPB) na to temo in ki zagotavljajo dodatna navodila.

Tako je lahko pretirana narava zahtev odvisna od posebnih značilnosti sektorja, v katerem upravljavec podatkov deluje.

"Pogostejše kot so spremembe v podatkovni zbirki upravljavca podatkov, večja je verjetnost, da bo posamezniku, na katerega se nanašajo osebni podatki, dovoljeno zahtevati dostop do svojih podatkov, ne da bi se to štelo za pretirano."

V primeru ponavljajočih se zahtev se lahko upravljavec podatkov namesto zavrnitve dostopa odloči, da zadevni osebi zaračuna pristojbino, ki ustreza stroškom upravnih postopkov, ki jih povzročajo zahteve.

Nazadnje je treba opozoriti, da namerava Evropska komisija v svojem predlogu za digitalni omnibus upravljavcem podatkov zagotoviti tudi večjo pravno varnost, kadar se soočajo z zlorabami pravic s strani posameznikov, na katere se nanašajo osebni podatki.

Čeprav EDPB in ENVP (Evropski nadzornik za varstvo podatkov) v svojem mnenju z dne 10. februarja podpirata to željo po pojasnitvi, menita, da uveljavljanje pravice do dostopa za namene, ki niso varstvo osebnih podatkov, ne bi smelo biti odločilni element za to, kaj pomeni zloraba ... dokler ni vprašljiva dobra vera prosilca.

 

Izvedbeni odlok za zakon SREN, objavljen 24. marca, uvaja dodatne zahteve. za gostovanje zdravstvenih podatkov (HDS) izključno na ozemlju EU ali EGP, zahteve, ki jih CNIL pozdravlja, saj so namenjene povečanju preglednosti do zadevnih oseb in krepitvi nadzora nad zdravstvenimi podatki s strani strank pogodbe o gostovanju glede tveganja dostopa izven Evrope.

Na splošno namerava celoten državni IT sistem preiti na suverene rešitve.

Medresorski digitalni direktorat (DINUM) je tako en teden po objavi uvedbe sodelovalne platforme LaSuite za 80.000 agentov zdravstvenega zavarovanja 9. aprila uradno napovedal svojo namero, da bo pred koncem leta namesto sistema Windows prešel na suvereno rešitev.

Ti cilji so postali bolj konkretni od seminarja 8. aprila, na katerem so se prvič zbrali ministrstva, javni operaterji in zasebni akterji, da bi ugotovili, od katere tuje programske opreme in storitev je država danes odvisna, da bi jutri lahko shajala brez njih.

"Od te jeseni naprej bo moralo vsako ministrstvo (in javni organi, ki so od njega odvisni) predložiti svoj načrt za zmanjšanje svoje digitalne odvisnosti od tujine."

Državni načrt za digitalno varnost za obdobje 2026–2027 je bil objavljen v začetku aprila.

To je del prizadevanj za uskladitev državnih uprav z direktivo NIS2 in njihovo vključitev v prehod na postkvantno kriptografijo. 

"V kontekstu visoke grožnje in slabšanja geopolitičnih razmer so opredeljena prednostna prizadevanja ministrstev na področju digitalne varnosti: utrjevanje upravljanja, krepitev upravljanja dostopa, nadzor nad okoljem informacijskih sistemov itd."

CNIL je 3. aprila objavil svoje prednostne kontrolne teme za leto 2026.  Osredotočila se bo na

• Zaposlovanje,
• Enotni volilni imenik
• Športne zveze.

Nadaljnje objave v zvezi s kibernetsko varnostjo bodo podane maja, ko bo objavljeno letno poročilo.

Objavila je tudi svoj delovni program za podporo strokovnjakomki bo poudaril

• Uporaba umetne inteligence,
• Zdravstveni podatki,
• Pogoji pravice dostopa
• Kibernetska varnost.

Na njihovi spletni strani je objavljen tudi nov vodnik glede obdobij hrambe podatkov o človeških virih. Nazadnje CNIL v publikaciji z dne 20. marca ponovno poudarja zelo omejevalne pogoje za snemanje zvoka z video nadzornimi kamerami.

Čeprav je bil vdor v regionalne zdravstvene agencije (ARS) uradno potrjen septembra 2025, so razmere danes še bolj zaskrbljujoče. medtem ko hekerska skupina DumpSec prevzema odgovornost za napad in zdaj prodaja ogromno podatkovno bazo francoskega zdravstvenega sistema.

Prizadetih bi bilo več kot 35 milijonov pacientov, podatki pa bi vključevali občutljive informacije v zvezi s poteki oskrbe.

Kršitev podatkov izhaja iz kraje poverilnic zdravnikov na strežnikih GRADeS (regionalne skupine za podporo e-zdravju).

Sodišče EU je 19. marca izdalo sodbo, ki vpliva na pogoje za zbiranje biometričnih podatkov s strani francoske policije.

V zadevi C 371/24 – Comdribus je razsodilo, da nacionalna zakonodaja ni združljiva z evropsko direktivo o „policijskem pravosodju“, kadar organu pregona dovoljuje sistematično obdelavo biometričnih podatkov osumljencev, ne da bi od pristojnega organa zahtevala, da utemelji absolutno nujnost in sorazmernost te obdelave.

Oseba, ki zavrne zbiranje biometričnih podatkov, je lahko sankcionirana le, če načrtovano zbiranje izpolnjuje te pogoje, ocenjene glede na okoliščine v času, ko pristojni organi odločijo o tem zbiranju.

Razlog za zbiranje je potreben, da lahko zadevna oseba uveljavlja svojo pravico do učinkovitega pravnega sredstva.

V tem konkretnem primeru so organi pregona med akcijo, ki so jo maja 2020 v Parizu izvedli podnebni aktivisti, aretirali več udeležencev, vključno s pritožnikom, zaradi organiziranja neprijavljenih demonstracij.

Pritožnik je bil pridržan v policijskem pridržanju in ni hotel odvzeti prstnih odtisov in fotografiranja.

Minister za notranje zadeve je 3. aprila v senatu med vprašanji vladi izjavil, da uporaba programske opreme za prepoznavanje obrazov s strani organov pregona na njihovih napravah za nadzor identitete Neo ni zakonita, razen v okviru preiskave pod vodstvom sodnika.

Minister je navedel, da CNIL to vprašanje trenutno preučuje.

Vodjo podjetja za kibernetsko varnost, ki je zmagalo na francoskem programu Tech 2030, so konec marca aretirali v okviru obsežne evropske akcije proti platformi za otroško pornografijo.

Inženir, ki vodi zagonsko podjetje, specializirano za predvidevanje kibernetskih groženj – med njegovimi strankami sta FBI in Evropska komisija – je osumljen, da je kupoval slike in videoposnetke otroške pornografije prek platforme za otroško pornografijo na temnem spletu.

V okviru usklajene operacije so organi pregona po vsej Evropi izvedli več kot 200 aretacij, zahvaljujoč plačilom s kriptovalutami, ki so jih preiskovalci izsledili in deanonimizirali.

 

Evropske institucije in organi

Evropski parlament se je 11. marca strinjal z razširitvijo (izjemnih) pravil, ki omogočajo nadzor elektronskih komunikacij ("nadzor klepeta"). hkrati pa omejujejo njihov obseg.

Namesto da bi podelil splošno dovoljenje za tehnologije skeniranja, je parlament zahteval, da se ta orodja uporabljajo le proti znanim osumljencem in izključno za odkrivanje znanega otroškega pornografskega gradiva.

Medtem so Google, Meta, Microsoft in Snap (Chat) v skupnem sporočilu za javnost kljub temu potrdili, "da bodo še naprej prostovoljno ukrepali glede svojih prizadetih storitev medosebne komunikacije".

Medinstitucionalna pogajanja še vedno potekajo: ciprsko predsedstvo Sveta namerava projekt dokončati do julija 2026, o tem vprašanju pa se trenutno pogaja v okviru trialoga med Parlamentom, Svetom in Komisijo.

Poslanci Evropskega parlamenta so 26. marca na plenarnem zasedanju zavzeli stališče o komponenti umetne inteligence v svežnju Digital Omnibus.

Glasovali so za odložitev začetka veljavnosti več določb uredbe o umetni inteligenci.

Sistemi umetne inteligence, ki vključujejo biometrijo in tiste, ki se uporabljajo v kritični infrastrukturi, izobraževanju, zaposlovanju, bistvenih storitvah, organih pregona, pravosodju in upravljanju meja, bi tako bili preloženi z avgusta 2026 na 2. december 2027.

Poslanci predlagajo, da se skladnost drugih sistemov, za katere velja sektorska regulacija (varnost in nadzor trga), odloži do 2. avgusta 2028.

Cilj trialogov med Evropsko komisijo, Parlamentom in Svetom je doseči začasni dogovor o besedilu do 28. aprila.

Velja opozoriti, da so bistvena načela uredbe že začela veljati in so predmet nadzora s strani CNIL (francoskega organa za varstvo podatkov).

Evropska komisija je 24. marca zaznala kibernetski napad, ki je prizadel oblačno infrastrukturo, na kateri gostuje njeno spletno mesto na platformi Europa.eu, in se je izkazal za resnejšega, kot je bilo sprva navedeno v njenem sporočilu za javnost.

Podatki vplivajo na 71 strank storitve gostovanja Europa. CERT-EU, služba EU za varnost podatkov, potrjuje prisotnost imen, uporabniških imen, e-poštnih naslovov in vsebine e-pošte v razkritih informacijah.

Na temnem spletu je bilo objavljenih 340 GB podatkov in skoraj 52.000 e-poštnih datotek.

Dve pomembni sodbi Sodišča EU z dne 19. marca, Brillen Rottler in Comdribus, sta bili obravnavani zgoraj v uvodniku in novicah v Franciji.

Evropski konzorcij za digitalno infrastrukturo »Digital Commons« (EDIC) dobi obliko s pristopom novih držav in začetkom prvih projektov, vključno s pilotnim projektom za evropski suvereni tehnološki sklad.

Cilj konzorcija je pomagati državam članicam Evropske unije pri razvoju odprte digitalne infrastrukture in krepitvi digitalne suverenosti Evrope.

 

Novice iz držav članic Evropske unije.

Nemško sodišče je razsodilo, da je Meta nezakonito obdelovala osebne podatke neregistriranih posameznikov prek svoje funkcije »Najdi prijatelje« na Facebooku.

Poleg tega podjetje ne bi imelo pravne podlage za obdelavo osebnih podatkov uporabnikov z lastne platforme za namene oglaševanja.

V nedavnem primeru je avstrijsko sodišče razsodilo, da je organ za varstvo podatkov pravilno zavrnil obravnavo pritožbe v skladu s členom 57(4) GDPR, potem ko je posameznik poskušal zlorabiti mehanizem za pritožbe, da bi odložil izterjavo dolga.

Belgijski organ za varstvo podatkov (APD) je menil, da je delodajalec v zadostni meri ugodil zahtevi zaposlenega za dostop, tako da mu je podatke posredoval z reprodukcijo in ne s popolnim izvlečkom zadevnih e-poštnih sporočil.

Na Finskem je organ za varstvo podatkov izdal opozorilo bonitetni agenciji zaradi nepravilnega obravnavanja zahtev za dostop do podatkov.

Upravljavec podatkov je posameznike, na katere se nanašajo osebni podatki, brez nadaljnjega ukrepanja napotil na svoj portal za dostop do podatkov in navedel, da se bo za vsako zahtevo, vloženo več kot enkrat v dvanajstmesečnem obdobju, zaračunala pristojbina.

Španska agencija za varstvo podatkov (APD) je ponudnika storitev digitalne identifikacije in preverjanja starosti (YOTI) oglobila z 950.000 evri zaradi zbiranja biometričnih podatkov brez veljavnega soglasja (pomanjkanje zadostne podrobnosti in zaščitnih ukrepov glede podatkov, ki se nanašajo na mladoletnike) in ker ni omejila obdobja hrambe podatkov.

Belgijski organ za varstvo podatkov (APD) je Hyundaiu naložil tudi globo v višini 2.000.000 evrov, potem ko je kibernetski napad razkril podatke več kot milijona ljudi, vključno z njihovimi imeni, kontaktnimi podatki in identifikacijskimi številkami vozil. Ugotovil je, da upravljavec podatkov ni zagotovil ustrezne ravni varnosti, zlasti ker zadevni podatki niso bili šifrirani.

Nazadnje je belgijski organ za varstvo podatkov (APD) upravljavcu letališča Aena naložil še posebej visoko globo (10 milijonov evrov) zaradi načina, kako je uvedel sistem za prepoznavanje obrazov vkrcanja. Sistem potnikom omogoča vkrcanje zgolj s pogledom v kamero. Organ je ugotovil, da je bil ta biometrični sistem uveden brez predhodne ocene učinka na varstvo podatkov.

Italijanski organ za varstvo podatkov (APD) je banki naložil globo v višini 31.800.000 evrov, ker ni uvedla zadostnih varnostnih ukrepov, s katerimi bi zaposlenemu preprečila dostop do finančnih podatkov več kot 3500 ljudi za namene, ki niso povezani z njegovimi delovnimi nalogami.

Upravljavec podatkov tudi ni pravočasno obvestil APD in posameznikov, na katere se nanašajo osebni podatki, o tej kršitvi varnosti podatkov.

Druga banka je bila kaznovana z 17.628.000 evri, ker je brez njihovega soglasja prenesla račune 275.000 strank na svojo hčerinsko družbo. Banka je s profiliranjem izbrala posameznike, ki so veljali za "predvsem digitalne" stranke.

V Luksemburgu je vrhovno upravno sodišče razveljavilo globo v višini 746 milijonov evrov, ki je bila naložena Amazonu. Odločitev ne postavlja pod vprašaj nezakonite obdelave osebnih podatkov za namene ciljnega oglaševanja, vendar od organa za varstvo podatkov (APD) zahteva, da pred naložitvijo novih sankcij ponovno oceni kršitev in sorazmernost.

V skrajšanem postopku je sodišče na Nizozemskem platformi družbenih medijev X prepovedalo ustvarjanje in distribucijo intimnih vsebin brez privolitve in otroške pornografije prek platforme Grok. Sodišče je X prepovedalo tudi ponujanje funkcionalnosti platforme Grok, dokler te kršitve trajajo.

Romunski organ za varstvo podatkov (APD) je družbi Renault Romania naložil globo v višini 637.262,50 RON (125.000 EUR), ker ni uvedla ustreznih varnostnih ukrepov po kršitvi podatkov v zvezi z aplikacijo, ki jo upravlja podizvajalec, kar je povzročilo objavo osebnih podatkov, razkritih na spletni platformi.

 

Brazilski zakon o zaščiti mladoletnikov na spletu je uradno začel veljati, z njim pa tudi odlok ministra za pravosodje, ki neposredno cilja na oblikovalske odločitve, ki jih tehnološki velikani uporabljajo za pritegnitev pozornosti mladih.

Uredba preusmerja spletno varnost otrok z reaktivnega moderiranja vsebin na ex ante regulacijo arhitekture platforme, vključno z omejitvami neskončnega pomikanja, samodejnim predvajanjem, manipulativnimi obvestili, ciljnim oglaševanjem s profiliranjem, namenjenim mladoletnikom, in strožjimi zahtevami glede preverjanja starosti.

Kitajsko ministrstvo za industrijo in informacijsko tehnologijo je v začetku aprila skupaj z osmimi drugimi ministrstvi objavilo dokument »Eksperimentalni ukrepi v zvezi z etičnim vrednotenjem in zagotavljanjem tehnologij umetne inteligence«.

Dokument ponuja pregled tega, kaj Kitajska razume z "etičnim upravljanjem umetne inteligence", in vrste politik in tehničnih ukrepov, ki jih meni, da so potrebni za boj proti trivializaciji etike s trženjskimi strategijami, ki obljubljajo spoštljive storitve, a v resnici niso v skladu s predpisi o umetni inteligenci.

Porota v ameriški zvezni državi Nova Mehika je 24. aprila družbi Meta naložila plačilo 375 milijonov dolarjev civilne kazni, saj je ugotovila, da podjetje ni ustrezno zaščitilo otrok na svojih platformah. Ta kazen je izhajala iz kršitev zakona o nepoštenih poslovnih praksah.

Zvezno pritožbeno sodišče v Washingtonu, DC, je 8. aprila zavrnilo uvrstitev podjetja za umetno inteligenco Anthropic na črni seznam Pentagona, kar je zmaga za Trumpovo administracijo.

Vendar pa je drugo pritožbeno sodišče v ločenem sodnem postopku, ki ga je sprožila družba Anthropic, izdalo nasprotno odločitev.

Podjetje, razvijalec pomočnika umetne inteligence Clauda, trdi, da je minister za obrambo prekoračil svoja pooblastila, ko je podjetje označil za nacionalno varnostno tveganje v dobavni verigi.

Družba Anthropic je zavrnila odpravo nekaterih omejitev glede uporabe svojih izdelkov glede na njihovo uporabo s strani ameriške obrambe.