Pravna revija št. 90 – december 2025. 

 

Podatki, umetna inteligenca, kibernetska varnost: kdo je kdo, smernice in predpisi, ki jih je treba upoštevati leta 2026.

Številni predpisi, sprejeti v zadnjih letih, bodo zdaj v celoti začeli veljati ali pa bodo dosegli odločilne faze izvajanja.

Hkrati nove pobude Evropske komisije, zlasti Digital Omnibus in Digital Fairness Bill, napovedujejo nove regulativne prilagoditve, namenjene dopolnitvi ali spremembi obstoječih predpisov.

GDPR, ki velja od leta 2018, ostaja temelj okvira za varstvo podatkov, skupaj z direktivo o e-zasebnosti, katere revizija je trenutno opuščena.

Komisija namerava s svojim predlogom poenostaviti Omnibus več vidikov GDPR, povezanih z razvojem umetne inteligence (UI): načrtuje priznanje razvoja in delovanja sistemov UI kot "legitimnega interesa" v smislu GDPR in uvedbo nove pravne podlage za obdelavo občutljivih podatkov, namenjenih usposabljanju modelov UI.

Na splošno velja, da Digitalni omnibus bi zmanjšalo breme skladnosti za podjetja, na primer z sprostitvijo praga, od katerega je treba prijaviti kršitev varnosti podatkov, in z razširitvijo primerov, v katerih se podatki lahko štejejo za "anonimne".

Predpisi digitalnega paketa, natančneje uredba o digitalnih trgih (DMA) in uredba o digitalnih storitvah (DSA), pojasnjujejo pravila, ki veljajo za digitalno gospodarstvo, in odgovornost platform.

Veljajo od leta 2024, Komisija pa je sankcije začela uvajati leta 2025.

DSA velja za zelo velike spletne platforme (VLOP) in zelo velike spletne iskalnike (VLOSE) ter za vse posrednike, ki ponujajo svoje storitve uporabnikom s sedežem v EU.

Več obveznosti iz Zakona o podatkovnih storitvah se prekriva z obveznostmi iz GDPR.

Na primer, obstajajo podobne ali dopolnilne obveznosti glede „temnih vzorcev“, ciljnega oglaševanja na podlagi občutljivih podatkov ali v zvezi z mladoletniki, preglednosti, profiliranja, analize tveganja in odstranjevanja nezakonitih vsebin.

Leta 2025 je Evropski odbor za varstvo podatkov (EDPB) objavil smernice o teh prekrivajočih se vprašanjih.

Glavni cilj DMA je preprečiti tehnološkim velikanom ali "varuhom vrat", da bi izkoristili svoj prevladujoči položaj.

Nekatere od teh obveznosti krepijo tiste, ki jih določa Zakon o digitalizaciji podatkov (DSA) v zvezi z varstvom uporabnikov, zlasti glede profiliranja.

Cilj strategije EU za podatke je ustvariti enotni trg podatkov, spodbujati inovacije ter zagotoviti varno in učinkovito izmenjavo podatkov po vsej Evropski uniji.

Naslednja besedila vplivajo na osebne podatke: uredba o upravljanju podatkov (DGA), uredba o varstvu podatkov (DA), uredba o elektronskih transakcijah (eIDAS) in uredba o evropskem prostoru zdravstvenih podatkov (EHDS). 

Namen predloga Komisije Omnibus je poenostaviti zakonodajni okvir na tem področju.

Besedilo zlasti določa razveljavitev DGA in direktivo o odprtih podatkih iz leta 2019.

TA DA bi ostala osrednja referenca in bi vključevala bistvene elemente, ohranjene iz drugih besedil.

Poleg uskladitve opredelitev bi bila mala in srednje velika podjetja (do 750 zaposlenih) oproščena nekaterih obveznosti.

Zakon o delitvi podatkov, ki velja od 12. septembra 2025, precejšen del svojih obveznosti začne veljati 12. septembra 2026: uredba določa obveznost zasnove povezanih izdelkov in z njimi povezanih storitev tako, da so podatki, ki se nanašajo na izdelke in z njimi povezane storitve, uporabnikom privzeto dostopni, od septembra pa bodo morali proizvajalci zagotoviti, da je dostop do podatkov tehnično zagotovljen že od faze razvoja in načrtovanja izdelka.

Glede predpisov eIDASOd leta 2026 bodo morale države članice svojim državljanom in podjetjem zagotoviti vsaj eno digitalno denarnico za identiteto, ki je skladna z EU in uporabnikom omogoča varno shranjevanje njihovih identifikacijskih podatkov, identifikatorjev in atributov (osebna izkaznica, vozniško dovoljenje, podatki o plačilu itd.) ter njihovo selektivno posredovanje javnim organom in zasebnim ponudnikom.

Tudi podjetja, spletne platforme in upravne storitve se bodo morale prilagoditi tem novim oblikam digitalne identifikacije in avtentikacije.

LEHDS Veljati je začel 26. marca 2025, vendar se bodo njegove glavne določbe v celoti uporabljale od marca 2029.

Uredba o umetni inteligenci, ki velja od avgusta 2024, postane za podjetja odločilen od 2. avgusta 2026.

Nekatere obveznosti že veljajo, kot so preglednost pri interakciji s klepetalnimi roboti ali označevanje vsebin, ustvarjenih z umetno inteligenco, in zagotavljanje zadostne usposobljenosti zaposlenih na področju umetne inteligence, ki delajo s sistemi umetne inteligence.

Toda od avgusta naprej bi morale za visoko tvegane sisteme umetne inteligence, ki se uporabljajo na občutljivih področjih, kot so upravljanje s človeškimi viri, ocenjevanje uspešnosti ali dostop do bistvenih storitev, veljati obsežnejše zahteve.

Vendar pa Komisija v svojem predlogu Omnibus načrtuje, da bo uporabo teh pravil odložila do decembra 2027.

Nekatere obveznosti bi bile tudi tukaj poenostavljene za mala in srednje velika podjetja z do 750 zaposlenimi.

Kar zadeva varnost, bomo omenili direktiva o varnosti omrežij in informacijskih sistemov (NIS2) velja od oktobra 2024, uredba o digitalni operativni odpornosti (DORA) velja od januarja 2025, kot tudi Uredba o kibernetski odpornosti (CRA)).

Glede slednjega bodo glavne obveznosti proizvajalcev izdelkov, ki vsebujejo digitalne elemente, začele veljati 11. septembra 2026, vključno z obveznostjo obveščanja o aktivno izkoriščenih ranljivostih in resnih varnostnih incidentih.

Proizvajalci bodo zato morali pristojnim organom za nadzor trga v zelo kratkih rokih sporočiti ugotovljene ranljivosti in varnostne incidente, ki znatno ogrožajo varnost izdelkov.

Za zaključek tega seznama predpisov omenimo še predlog o uredbi o digitalni pravičnosti kar naj bi še povečalo kompleksnost pravnega okvira za ponudnike spletnih storitev.

Komisija je julija 2025 začela javno posvetovanje o tem projektu, katerega cilj bi bil boj proti „nepoštenim poslovnim praksam“, kot so temni vzorci, zasvojljive funkcije in zlorabna personalizacija, vključno s tistimi, ki so povezane z agenti umetne inteligence.

Kakšna je prihodnost teh predlogov? Prihodnji meseci bi morali biti odločilni: ciprsko predsedstvo si prizadeva do konca marca ali začetka aprila pridobiti mandat za pogajanja o Omnibusu z Evropskim parlamentom, kar odraža željo po njegovem sprejetju, preden avgusta začnejo veljati zahteve glede visokega tveganja iz uredbe o umetni inteligenci.

 

Opažamo več pomembnih sankcij CNIL, sprejetih tik pred in po prehodu na leto 2026, vse povezane z varnostjo podatkov.

CNIL (francoski organ za varstvo podatkov) je 13. januarja 2026 podjetjema Free Mobile in Free naložil globo v višini 27 milijonov evrov oziroma 15 milijonov evrov. glede na neustreznost ukrepov, sprejetih za zagotavljanje varnosti podatkov njihovih naročnikov.

Oktobra 2024 je napadalcu uspelo vdreti v informacijske sisteme podjetij in dostopati do osebnih podatkov o 24 milijonih naročniških pogodb, vključno z IBAN-i.

22. decembra 2025 je podjetju Nexpublica France naložila globo v višini 1.700.000 evrov.zaradi neuporabe zadostnih varnostnih ukrepov za svojo programsko opremo PCRM, orodje za upravljanje uporabniških odnosov na področju družbenega delovanja.

11. decembra 2025 je sankcionirala podjetje Mobius Solutions Ltd, podizvajalca, odgovornega za kršitev varnosti podatkov, ki je prizadela uporabnike Deezerja.Naložena ji je bila globa v višini enega milijona evrov zaradi neupoštevanja veljavnih pravil o podizvajanju: hramba podatkov po izteku pogodbe, nepooblaščena obdelava in nevodenje evidence o obdelavi.

Trije zaposleni v podjetju so po koncu pogodbenega razmerja obdržali kopijo podatkov več kot 46 milijonov uporabnikov Deezerja, s čimer so jih izpostavili varnostnim pomanjkljivostim, ki so privedle do objave podatkov na temnem spletu.

Upravno pritožbeno sodišče v Versaillesu je 11. decembra razsodilo, da pacient ne more zahtevati od bolnišnice popravka zdravniške ocene, saj ta predstavlja subjektivno mnenje.

To načelo ostane uporabno tudi, če se diagnoza osebe, odgovorne za zdravljenje, razlikuje od poznejših diagnoz.

Sodniki včasih dojemajo halucinacije umetne inteligence v sklepih odvetnikov z odobravanjem, vsaj tako je menilo sodišče v Périgueuxu v svoji odločbi z dne 18. decembra.

Slednje ugotavlja, da se zdi, da sklicevanja na sodno prakso, ki jih je navedel vlagatelj, vendar jih ni predložil v svojih dokumentih, ne ustrezajo objavljenim odločitvam. (...).

Sodišče bo zato pozvalo vlagatelja in njegovega odvetnika, naj v prihodnje preverita, ali reference, ki sta jih našla v iskalnikih ali s pomočjo umetne inteligence, niso "halucinacije".

To stališče je v nasprotju z nedavno belgijsko odločitvijo, omenjeno spodaj.

Ministrstvo za notranje zadeve je sredi decembra utrpelo obsežen kibernetski napad.

Minister za notranje zadeve je v sredo, 17. decembra, potrdil, da so bile "službe na ministrstvu za notranje zadeve tarča obsežnega kibernetskega napada", in ga opisal kot zelo resno dejanje, ki je povzročilo objavo datotek, vključno s kazenskimi evidencami" in iskanimi osebami. Do kibernetskega vdora je prišlo prek e-poštnih računov uslužbencev ministrstva.

Na področju kibernetskih napadov je treba opozoriti tudi, da je CNIL v svoji omejeni sestavi 18. decembra 2025 zahteval sankcijo v višini 5 milijonov evrov proti družbi France Travail zaradi pomanjkanja varnosti, kar je povzročilo kršitev varnosti podatkov, ki je prizadela 36,8 milijona ljudi.

 

Evropske institucije in organi

Uredba EU, ki določa dodatna postopkovna pravila v zvezi z uporabo GDPR, je bila objavljena 12. decembra in se bo uporabljala od 2. aprila 2027.

Cilj tega besedila je poenostaviti postopkovno obravnavo čezmejnih primerov v skladu s Splošno uredbo o varstvu podatkov s strani nacionalnih organov za varstvo podatkov, izboljšati sodelovanje med njimi s strukturiranimi postopki, jasnejšimi vlogami in opredeljenimi roki ter okrepiti postopkovna jamstva in pravno varnost za pritožnike in stranke, ki so predmet preiskave, vključno s pravico do zaslišanja, dostopom do spisov in učinkovitostjo sodnih sredstev.

Evropska komisija je 17. decembra objavila svoj prvi osnutek kodeksa dobrih praks o označevanju in etiketiranju vsebin, ustvarjenih z umetno inteligenco.

Projekt je sestavljen iz dveh delov.

Prvi razdelek zajema pravila v zvezi z označevanjem in zaznavanjem vsebin, ustvarjenih z umetno inteligenco, ki veljajo za ponudnike generativnih sistemov umetne inteligence.

• Drugi zajema označevanje ponaredkov in nekaterih besedil, ki jih ustvarja ali manipulira umetna inteligenca o zadevah javnega interesa, in se nanaša na ponudnike generativnih sistemov umetne inteligence.

Komisija bo zbirala pripombe do 23. januarja, s ciljem, da bi kodeks dokončala do junija.

Evropska komisija je 19. decembra 2025 napovedala podaljšanje obeh sklepov o ustreznosti v zvezi z Združenim kraljestvom. prvotno sprejet leta 2021, ki je ponovno potrdil, da se lahko osebni podatki še naprej prosto pretakajo med Evropskim gospodarskim prostorom in Združenim kraljestvom.

Sodišče Evropske unije je v sodbi Storstockholms Lokaltrafik (C-422/24) z dne 18. decembra pojasnilo koncept neposrednega zbiranja osebnih podatkov.

Ta zakon "ne zahteva, da zadevna oseba zavestno posreduje podatke ali da s svoje strani sprejme kakršno koli posebno dejanje. Zato se podatki, pridobljeni z opazovanjem osebe, ki je njihov vir, štejejo za zbrane neposredno od te osebe."

Ta pojasnila vplivajo na časovni okvir in obseg obveznosti zagotavljanja informacij, ki morajo biti takojšnje in obsežnejše.

V konkretnem primeru je šlo za preverjanje prevoznega lista s strani agenta, opremljenega s telesno kamero.

Sodišče predlaga, da so najpomembnejše informacije navedene na opozorilnem znaku, druge informacije pa na lahko dostopnem mestu.

Trumpova administracija je 23. decembra uvedla sankcije proti petim evropskim državljanom. Zaradi nedavne globe, ki jo je Evropska komisija naložila podjetju X v skladu z Zakonom o digitalnih storitvah (DSA), je Thierryju Bretonu, nekdanjemu evropskemu komisarju za digitalno gospodarstvo, ter več članom civilne družbe, ki delajo za nevladne organizacije HateAid, Center za boj proti digitalnemu sovraštvu in The Global Disinformation Index, prepovedan vstop v Združene države Amerike.

Washington obsoja obveznosti moderiranja, poročanja in odgovornosti platform, ki jih določa Zakon o digitalnih storitvah (DSA), in ki se tukaj štejejo za ukrepe ekstrateritorialne cenzure.

Evropska komisija je 5. decembra družbi X naložila globo v višini 120 milijonov evrov zaradi neizpolnjevanja obveznosti glede preglednosti v skladu z zakonom o digitalnih storitvah.

Med pomanjkljivostmi so zavajajoča zasnova »modre validacije« za preverjene račune, pomanjkanje preglednosti v imeniku oglaševalskih oglasov in nezmožnost dostopa raziskovalcev do javnih podatkov.

 

Novice iz držav članic Evropske unije.

Deželno sodišče v Darmstadtu v Nemčiji je z odločbo z dne 10. novembra znižalo stroške izvedenca, ki je v veliki meri uporabljal umetno inteligenco za pripravo sodnega poročila, ne da bi ga razkril, na 0 evrov.

Sodišče je za znižanje taks navedlo naslednje dejavnike:

1. Nenavedba uporabe umetne inteligence in odsotnost pravega avtorja je pomenila kršitev procesnih obveznosti.
2. Poročilo je bilo ocenjeno kot neuporabno: pomanjkanje osebnega pregleda, dejanske napake in očitni znaki besedila, ustvarjenega z umetno inteligenco.
3. Preglednost in odgovornost sta bistvenega pomena pri strokovnih mnenjih.

Nemško sodišče v Lübecku je tožniku prisodilo 5000 evrov odškodnine za nepremoženjsko škodo proti družbi Meta zaradi obdelave osebnih podatkov brez predhodne pridobitve soglasja z uporabo orodij Meta Business Tools.

Prenos podatkov s spletnih mest tretjih oseb na Meta poteka neodvisno od aktivacije aplikacij Meta s strani uporabnika in pridobitve njegovega soglasja.

Sodišče je ugotovilo, da je Meta kršila člen 6(1) GDPR, kar je povzročilo dovolj konkretno grožnjo posamezniku, na katerega se nanašajo osebni podatki, ki je utrpel utemeljen strah pred zlorabo svojih osebnih podatkov v obliki izgube nadzora.

V Avstriji je vrhovno sodišče 26. novembra razsodilo, da mora Meta svojim uporabnikom zagotoviti popoln dostop do vseh njihovih osebnih podatkov, vključno z njihovimi viri, prejemniki in nameni.

Preprost okvirni seznam ni dovolj.

Sodišče je tudi razsodilo, da je za personalizirano oglaševanje in obdelavo (občutljivih) osebnih podatkov s spletnih mest tretjih oseb potrebno soglasje zadevne osebe.

Nedavna belgijska odločitev je tožnikom naložila globo v višini več kot 25.000 evrov zaradi uporabe generativnih orodij umetne inteligence za pripravo pritožbenih vlog, zaradi očitne zlorabe postopka, neresne pritožbe in zlorabe pravnih sredstev.

Pritožbeno sodišče v Antwerpnu ugotavlja nastanek "neskladnih in popolnoma nesmiselnih" argumentov, ki jih podpira neobstoječa sodna praksa in izmišljeni pravni viri.

Tudi v Belgiji je APD izdal opomin podjetju, ker je med telefonskim pogovorom z drugim podjetjem v okviru postopka zaposlovanja nezakonito posredovalo informacije o nekdanjem zaposlenem.

APD je obema podjetjema tudi očital, ker se nista odzvali na zahteve posameznika za dostop.

Na Hrvaškem je bila banka AZOP kaznovana z 1.500.000 evri zaradi večkratnih kršitev GDPR.

Banka je brez pravne podlage, brez posredovanja zahtevanih informacij uporabnikom obdelala osebne podatke 433.922 uporabnikov in ni izvedla ustreznih tehničnih in organizacijskih ukrepov.

 

Britanski organ za varstvo podatkov (DPA) je ponudnika upravljalnikov gesel LastPass UK Ltd oglobil z 1,2 milijona funtov zaradi kršitve varnosti podatkov leta 2022, v kateri so bili ogroženi osebni podatki skoraj 1,6 milijona uporabnikov v Združenem kraljestvu.

ICO je ugotovil, da LastPass ni uvedel dovolj robustnih tehničnih in varnostnih ukrepov, kar je hekerju na koncu omogočilo nepooblaščen dostop do njegove varnostne baze podatkov.

Združene države so ponovno zahtevale dostop do nacionalnih biometričnih podatkovnih zbirk držav EU, ki sodelujejo v programu za odpravo vizumov (VWP), in nameravajo o tej zadevi skleniti sporazum pred koncem leta 2026.

Washington ta dostop zahteva že od leta 2022 v okviru ameriških "okrepljenih partnerstev za varnost meja" (EBSP) in grozi z odpravo vizumske oprostitve, če bo zavrnjen.

Obseg dostopa ostaja negotov.

Zdi se, da evropsko stališče na tej stopnji želi omejiti potovanje na ljudi, ki potujejo v Združene države.

Dostop bi vključeval biometrične podatke, kot so prstni odtisi in skeniranje obraza, pa tudi druge občutljive podatke, ki razkrivajo rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja, članstvo v sindikatu ali podatke o zdravju ali spolnem življenju, kadar je to potrebno in sorazmerno "za preprečevanje ali boj proti kaznivim dejanjem in terorističnim dejanjem".

Evropske prestolnice so se decembra dogovorile, da bodo Evropski komisiji podelile mandat za pogajanja o okviru tega sporazuma, o podrobnostih katerega bodo odločale države članice.

V Združenih državah Amerike je imela uporaba umetne inteligence za prepisovanje poročil s policijskih kamer v Heber Cityju v Utahu neprimerne posledice.

Programska oprema Draft One, ki temelji na Open AI LLM, je poročala, da se je agent preobrazil v žabo.

Programska oprema je dejansko zaznala film, ki se je predvajal v ozadju, in sicer "Princesa in žabec".

Poleg ironije situacije ta poseben primer sproža vprašanja, na katera opozarja Cybernews. »Čeprav je cilj zmanjšati količino papirjev, agenti z napakami, kot je bila tista v Heber Cityju, tvegajo, da bodo porabili še več časa za pregled poročil.« Preiskava, ki jo je lani izvedla fundacija Electronic Frontier Foundation (EFF), je pokazala, da je bil osnutek ena »očitno namerno zasnovan tako, da bi se izognili revizijam, ki bi lahko zagotovile javno odgovornost«.

"Pogosto je nemogoče vedeti, katere dele policijskega poročila je ustvarila umetna inteligenca in katere dele je napisal policist."

Končno poročilo organizacije Privacy Laws & Business kaže, da se regulacija zasebnosti v Združenih državah Amerike kljub temu krepi, saj je 19 zveznih držav sledilo zgledu Kalifornije pri sprejemanju zakonov o zasebnosti, ki se pogosto osredotočajo na vprašanja v zvezi z otroki.

Malo držav je zainteresiranih za zbiranje in uporabo biometričnih podatkov.

Illinois je dolgo časa imel vodilni položaj, zdaj pa mu sledita Teksas in zvezna država Washington.

Še vedno ni soglasja o novih zveznih predpisih o zasebnosti, "vendar je FTC sprejela izvršilne ukrepe, ki vključujejo več sto milijonov dolarjev odškodnine in denarnih kazni v poravnavah z velikimi spletnimi podjetji Epic Games, Amazon in Microsoft" ali nedavno z Disney Worldwide Services, s poravnavo v višini 10 milijonov dolarjev zaradi kršitve Zakona o zaščiti otrok na spletu (COPPA).