Pravna ura št. 87 – september 2025. 

 

Pet let po brexitu: pogled na razmere v Združenem kraljestvu.

Odkar je Združeno kraljestvo izstopilo iz Evropske unije, se britanska zakonodaja o varstvu podatkov počasi, a vztrajno oddaljuje od evropskega regulativnega okvira.

Čeprav je na obeh straneh Rokavskega preliva opaziti trend poenostavitve standardov, je Združeno kraljestvo pred Evropsko unijo.

Po Brexitu je bil Zakon o varstvu podatkov iz leta 2018 (DPA) spremenjen tako, da je še naprej dopolnjeval "UK GDPR", britansko različico GDPR, ki je začela veljati 1. januarja 2021.

Združeno kraljestvo je sprejelo tudi predpise o zasebnosti in elektronskih komunikacijah (PECR), ki izvajajo evropsko direktivo o e-zasebnosti.

Zakon o uporabi in dostopu do podatkov (DUAA), sprejet 19. junija 2025, je pomembna reforma britanskega režima varstva osebnih podatkov.

Spreminja in dopolnjuje tako britansko GDPR, DPA in PECR ter predstavlja strateško prelomnico, s katero se Združeno kraljestvo odmika od vizije, osredotočene na temeljne pravice, in sprejema bolj pragmatičen in inovacijam naklonjen pristop.

Njegovi glavni cilji so:

• Predlagati širšo pravno podlago za "priznane legitimne interese" za nekatere dejavnosti obdelave, vključno z arhiviranjem v javnem interesu, javni varnosti ali obdavčitvi;
• Dajanje možnosti podjetjem, da začasno ustavijo odzivni čas na zahteve za dostop,
• Poenostavite pravila o piškotkih;
• Omogočanje mednarodnega prenosa podatkov;
• Spodbujati inovacije na področju digitalnih storitev in umetne inteligence z omilitvijo okvira za avtomatizirane odločitve;
• Uvesti "vgrajeno zasebnost" v digitalnih storitvah, namenjenih otrokom,
• Da bi omogočili implementacijo digitalne identitete,
• Poenostavite pravila glede policije in obveščevalnih služb.

Vendar pa nekateri opozarjajo na tveganja teh reform, zlasti na oslabitev individualnih pravic.

Na področju avtomatiziranega odločanja na primer opozarjajo na fiasko rezultatov izpita "A-level" leta 2020, kjer je algoritem podelil nepomembne ocene, in na napake v orodjih za odkrivanje goljufij Ministrstva za delo in pokojnine (DWP), ki so povzročile številne škode za vpletene.

Projekt digitalne identitete, ki ga je vlada napovedala v začetku oktobra, je sprožil vihar protestov, saj so milijoni britanskih državljanov podpisali peticijo, v kateri zahtevajo umik projekta.

Britanska vlada si že nekaj let prizadeva za vzpostavitev mehanizmov, ki omogočajo dostop do šifrirane vsebine komunikacij: javna razprava se osredotoča na kontroverzne tehnične pristope, kot je "skeniranje na strani odjemalca".

Treba je opozoriti, da Evropska unija trenutno razpravlja o sorodni temi: predlog CSAR, namenjen preprečevanju in boju proti spolni zlorabi otrok, je ponovno na dnevnem redu Evropskega sveta 14. oktobra.

Ta predlog, ki predvideva možnost skeniranja komunikacij na uporabnikovem terminalu, preden so poslane, mnogi znanstveniki in civilna družba menijo, da je neučinkovit in še posebej nevaren za temeljne pravice in samo šifriranje.

Evropska unija si trenutno prizadeva tudi za poenostavitev regulativnega okvira glede podatkov s svojim "digitalnim omnibus paketom".

Komisija je objavila poziv k oddaji prispevkov, ki se izteče 14. oktobra in zajema področja zakonodaje o podatkih, vključno s pravili o piškotkih in drugih tehnologijah sledenja, poročanjem o kibernetskih incidentih in nekaterimi vidiki zakonodaje o umetni inteligenci.

Kar zadeva GDPR natančneje, so med spornimi vprašanji na primer omejitev obveznosti vodenja registra na organizacije z več kot 500 zaposlenimi v primerjavi s trenutno omejitvijo 250. Evropska unija trenutno ne izpodbija temeljnih načel uredbe.

Na obeh straneh Rokavskega preliva so napovedane koristi za industrijo povezane z zmanjšanjem stroškov skladnosti.

Vendar pa so stroški same izvedbe reforme, stroški napak ali sporov in stroški za zaupanje potrošnikov manj razumljeni. Ta argument je bil izpostavljen tudi med "dialogom o izvajanju", ki ga je sredi julija organizirala Evropska komisija. Zasebni sektor je navedel, da je "vložil v skladnost in da bi splošno ponovno odprtje lahko ustvarilo negotovost, zlasti v okviru mednarodnih prenosov podatkov".

Danes ostajata razmerje med koristmi in tveganji britanskih reform ter njihov vpliv na mednarodna partnerstva in, še bolj odločilno, na ohranitev odločitve Združenega kraljestva o ustreznosti z EU, negotovi.

Osnutek sklepa Evropske komisije o ustreznosti pa podpira priznavanje ravni varstva Združenega kraljestva.

Vendar pa ga je treba predložiti v mnenje Evropskemu odboru za varstvo podatkov in o njem razpravljati v Svetu.

Upajmo, da bo končna odločitev glede upoštevanih meril še posebej pregledna, glede na posledične spremembe britanske zakonodaje.

To se zdi bistveno za zagotovitev zadostne pravne varnosti v prihodnosti tako za evropska podjetja kot za tista s sedežem zunaj EU.

 

      

CNIL je 18. septembra 2025 podjetju Samaritaine SAS naložil globo v višini 100.000 evrov zaradi skrivanja kamer v skladiščnem prostoru trgovine.

Te kamere so bile prikrite kot detektorji dima in so lahko snemale zvok.

CNIL je spomnil, da lahko delodajalec namesti skrite kamere v izjemnih okoliščinah in pod pogojem, da se doseže pravično ravnovesje med zastavljenim ciljem (varovanje premoženja in oseb) in varstvom zasebnosti zaposlenih.

Tak sistem bi lahko bil na primer odobren pod pogojem, da je začasen in uveden po dokumentirani analizi njegove združljivosti z GDPR ter ob upoštevanju izjemnih okoliščin.

V tem primeru je podjetje res poročalo o obstoju tatvin v rezervatih in pojasnilo, da je sistem začasen, vendar ni izvedlo nobene predhodne analize skladnosti z GDPR niti ni dokumentiralo začasne narave namestitve.

CNIL je objavil tudi več vsebin o upravljanju neaktivnih računov za strokovnjake na področju avdiovizualnih in video iger, o video napravah v šolah in o geolokaciji otrok.

Državni zbor je 9. septembra v posebnem odboru sprejel zakon o odpornosti na kibernetsko varnost. 

Philippe Latombe, predsednik odbora, je sprejel amandma, katerega cilj je vključiti šifriranje od konca do konca v člen 16bis: "Ponudnikom storitev šifriranja, vključno s ponudniki kvalificiranih storitev zaupanja, ni mogoče naložiti vključevanja tehničnih naprav, katerih namen je namerno oslabiti varnost informacijskih sistemov in elektronskih komunikacij, kot so glavni ključi za dešifriranje ali kateri koli drug mehanizem, ki omogoča dostop do zaščitenih podatkov brez soglasja."

To besedilo, ki v francosko zakonodajo prenaša evropske direktive NIS2, DORA in REC, bi moralo znatno povečati splošno raven kibernetske varnosti.

 

Evropske institucije in organi

Ursula von der Leyen je 10. septembra imela govor o stanju v Uniji, v katerem je ponovno potrdila, da bo Evropa ostala suverena pri določanju lastnih pravil in standardov, s čimer je zavrnila čezatlantsko kritiko.

Istega dne je 39 evropskih industrijskih voditeljev in združenj podpisalo Evropsko deklaracijo o umetni inteligenci in tehnologiji, s katero se je zavezalo k vlaganju v evropsko tehnološko suverenost.

Ga. von der Leyen je ponovila ključne prednostne naloge strategije EU za umetno inteligenco, vključno s prihodnjo uredbo o razvoju oblaka in umetne inteligence, pobudo "Kvantni peskovnik" in znatnimi naložbami v evropske "gigatovarne" umetne inteligence.

Prihodnja uredba o razvoju računalništva v oblaku in umetne inteligence bi lahko vključevala ukrepe za suverenost in lokalizacijo podatkov, usklajene s prihodnjo podatkovno strategijo Unije.

Predsednik Komisije je izpostavil tudi cilje poenostavitve evropske regulacije, pri čemer je izpostavil nedavne predloge reform, ki bi lahko vplivale na varstvo podatkov, kot sta zmanjšanje obveznosti glede registra podatkov in poenostavitev zahtev glede poročanja o incidentih v digitalni zakonodaji.

Nazadnje je spregovorila o vprašanju spletne varnosti otrok in napovedala, da bo Komisija do konca leta zaprosila za strokovno mnenje, pri čemer se bo morda zgledovala po avstralskem pristopu k omejitvam družbenih medijev.

Uredba o varstvu podatkov (Zakon o varstvu podatkov) je začela veljati 12. septembra 2025.

To besedilo daje uporabnikom povezanih izdelkov (podjetjem ali posameznikom, ki imajo v lasti, najemajo ali zakupujejo tak izdelek) večji nadzor nad podatki, ki jih ustvarjajo, hkrati pa ohranja spodbude za tiste, ki vlagajo v podatkovne tehnologije.

Prav tako določa splošne pogoje, ki veljajo za primere, v katerih ima podjetje zakonsko obveznost deliti podatke z drugim podjetjem.

Evropski odbor za varstvo podatkov je objavil smernice o interakciji med uredbo o digitalnih storitvah in GDPR, ki so na voljo za javno posvetovanje do konca oktobra.

Sodišče EU je Evropski komisiji naložilo plačilo 50.000 evrov odškodnine osebi, vpleteni v sporočilo za javnost Evropskega urada za boj proti goljufijam (OLAF).

Čeprav v sporočilu za javnost ni bilo omenjeno nobeno ime, so kontekstualni namigi omogočili identifikacijo raziskovalca. V obravnavanem primeru, OC proti Komisiji [C-479/22 P], je bil naveden v nedavnem primeru EDPS proti SRB, ki zdaj sproža ostre odzive glede obsega določljive narave osebnih podatkov.

 

Novice iz držav članic Evropske unije.

V Nemčiji je Zvezno delovno sodišče razsodilo, da je podjetje nezakonito preneslo osebne podatke svojega zaposlenega na matično podjetje, da bi testiralo programsko opremo za upravljanje s človeškimi viri.

Tega prenosa ni bilo mogoče upravičiti z legitimnim interesom, saj bi zadostovali izmišljeni podatki. Sodišče je zaposlenemu prisodilo 200 evrov odškodnine za čustveno stisko.

V Avstriji je sodišče razsodilo, da pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa preneha z njegovo smrtjo in se ne prenese na pravnega naslednika. Sodišče je tako med pritožbenim postopkom razveljavilo odločitev organa za varstvo podatkov glede kršitve pravice do dostopa po smrti posameznika, na katerega se nanašajo osebni podatki.

Avstrijska organizacija za pravice potrošnikov VSV je v Avstriji in Nemčiji vložila skupinsko tožbo proti podjetju Meta, v kateri zahteva do 5000 evrov odškodnine za posameznike, starejše od 18 let. Tožba se nanaša na profesionalna orodja podjetja Meta, za katera VSV trdi, da se uporabljajo za "nezakonit nadzor" zasebnega življenja uporabnikov.

Belgijski organ za varstvo podatkov je lastniku študentskega doma naložil globo v višini 9.700 evrov zaradi nezakonitega upravljanja sistema video nadzora, ki ni bil potreben za zaščito nepremičnine ali za spremljanje skladnosti s hišnim redom in ki ni mogel temeljiti na legitimnem interesu ali izvajanju najemne pogodbe.

Španska agencija za varstvo podatkov (APD) je naložila globo v višini 1.800.000 evrov podjetju, ki je brez pravne podlage obdelovalo osebne podatke samozaposlenih, ki jih je zbral javni organ.

Menila je, da čeprav je bila španska davčna agencija (AEAT) zakonsko upravičena do posredovanja določenih podatkov Gospodarski zbornici, poznejši prenos na podjetje Camerdata in uporaba teh podatkov v komercialne in trženjske namene nista imela veljavne pravne podlage.

Zakoniti interes, na katerega se je sklicevalo podjetje, ni odtehtal tveganj za pravice in svoboščine delavcev, katerih podatki so bili razkriti.

V Estoniji je bilo farmacevtsko podjetje Allium UPI kaznovano s 3.000.000 evri, ker ni uvedlo ustreznih tehničnih in organizacijskih ukrepov, kot je večfaktorska avtentikacija, kar je povzročilo kršitev varnosti podatkov, ki je prizadela 750.000 ljudi, vključno z otroki in ranljivimi skupinami.

Na Finskem je APD banki (S-Pankki Oyj) naložil globo v višini 1.800.000 EUR, ker ni uvedla zadostnih tehničnih in organizacijskih ukrepov v zvezi z novo funkcijo prijave v svojo aplikacijo, kar je povzročilo nepooblaščen dostop njenih strank do računov drugih strank.

Italijanski organ za varstvo podatkov (APD) je razsodil, da ima stranka podjetja pravico preklicati soglasje za uporabo svoje slike v oglaševanju podjetja. Pojasnil je, da se soglasje lahko prekliče ne glede na kakršne koli negativne ekonomske posledice za upravljavca podatkov.

Z glasovanjem senata 17. septembra je Italija postala prva evropska država, ki je sprejela zakon o umetni inteligenci.

Po opredelitvi okvira splošnih načel zakon posveča posebno pozornost ključnim sektorjem, kot so delo, zdravje in pravosodje.

Prav tako ureja uporabo umetne inteligence s strani mladoletnikov in vključuje kazenske določbe.

Nizozemski organ za varstvo podatkov (DPA) trenutno v sodelovanju z italijanskim, luksemburškim in madžarskim organom za varstvo podatkov izvaja preiskavo o tem, kako povezani televizorji obdelujejo osebne podatke.

V poročilu je zlasti navedeno, da povezani televizorji med namestitvijo, vsakodnevno uporabo, ko so v stanju pripravljenosti in celo ko so izklopljeni, pošiljajo znatno količino podatkov ter da delujejo v nepreglednem internetnem ekosistemu, ki vključuje različne strani: proizvajalce, ponudnike operacijskih sistemov, razvijalce aplikacij itd.

Poudarja, da uporabniki pogosto nimajo druge izbire, kot da sprejmejo politike zasebnosti, in imajo težave pri prepoznavanju odgovornih za obdelavo podatkov.

Prednameščene aplikacije (včasih jih je nemogoče odstraniti) sprožajo vprašanja glede minimizacije podatkov in uporabniških pravic.

Po lansiranju Apertus AI, švicarskega odprtokodnega klepetalnika, se je pojavil še en pomemben odprtokodni model strojnega učenja, ki ga podpira javna institucija v Evropi: TildeOpen LLM.

To je temeljni jezikoslovni model, zasnovan za kompenzacijo slabosti obstoječih jezikoslovnih programov LLM v zvezi z nordijskimi in vzhodnoevropskimi jeziki, ki so trenutno premalo zastopani.

Ta model s 30 milijardami parametrov je bil razvit s sredstvi Evropske komisije in usposobljen na superračunalniku LUMI.

Ta dva modela sta sporočila, da sta skladna z evropsko uredbo o umetni inteligenci.

 

 

47. generalna skupščina o varstvu zasebnosti, ki je potekala septembra lani v Seulu, je ponovno potrdila, da sta zasebnost in varnost podatkov ključni vprašanji, s katerima se sooča današnji svet.

Letni dogodek združuje regulatorje ter podjetja in organizacije z vsega sveta.

Dvajset organov za varstvo podatkov je ob tej priložnosti sprejelo skupno izjavo, da bi zgradili zanesljiv okvir upravljanja za zaupanja vredno umetno inteligenco.

Zagovarjajo vključevanje načel varstva podatkov že od faze načrtovanja, vzpostavitev robustnega upravljanja podatkov in predvidevanje obvladovanja tveganj.

Izjava poudarja tudi vse večjo kompleksnost obdelave podatkov v tem kontekstu in poudarja raznolikost vključenih akterjev ter potrebo po regulativnem okviru, prilagojenem tehnološkemu napredku.

V Združenih državah Amerike ima "zaprtje" znatne posledice za varstvo podatkov.

Nekatere zvezne agencije so skoraj v celoti zaprte, vključno z Zvezno trgovinsko komisijo (FTC), glavnim organom, odgovornim za uveljavljanje zasebnosti podatkov.

Znotraj FTC je Urad za varstvo potrošnikov najbolj prizadet zaradi prisilnih odpuščanj.

Razen v primerih, ko se škoda oceni kot izjemno resna, bodo zadeve varstva potrošnikov začasno ustavljene, ne glede na to, ali gre za predhodne preiskave, upravne postopke ali tožbe na zveznih sodiščih.

Ameriški uporabniki ChatGPT Plus, Pro in Free lahko zdaj kupujejo neposredno na prodajni platformi Etsy, kmalu pa bodo dostopni tudi številni drugi prodajalci.

To pomeni, tako za ChatGPT kot za druge agentne sisteme umetne inteligence, da uporabnik tretjim osebam omogoči dostop do svojih osebnih podatkov, zlasti bančnih podatkov, z vsemi težavami ranljivosti podatkov, ki jih to implicira.