Pravna ura št. 89 – november 2025. 

 

Poenostavitev evropskih digitalnih pravil: kaj lahko pričakujemo?

Kako daleč bo šla Evropska komisija v svoji želji po poenostavitvi evropskega zakonodajnega okvira?

Od objave Draghijevega poročila septembra 2024 in v turbulentnem mednarodnem gospodarskem kontekstu evropska izvršna oblast množi ukrepe v korist industrije.

Nedavna objava svežnja "Digital Omnibus" je namenjena pomirjanju zasebnega sektorja glede pravnih omejitev v digitalnem sektorju, kar je na veliko razočaranje civilne družbe, ki se boji brez primere erozije temeljnih pravic.

Komisija je 19. novembra uradno objavila dva predloga, „Digitalni omnibus“ in „Digitalni omnibus o umetni inteligenci“, ter začela ocenjevanje digitalnih znanj in spretnosti.

Predlog glede digitalne tehnologije uvaja spremembe tako GDPR kot tudi uredbe o umetni inteligenci ter direktive o e-zasebnosti. Besedilo je zgoščeno; tukaj je nekaj ključnih točk.

• • Glede direktive o e-zasebnosti,

Komisija predlaga zlasti spremembe politike piškotkov. Cilj je zmanjšati število prikazov pasic in uporabnikom omogočiti, da z enim samim klikom podajo soglasje in shranijo svoje nastavitve prek centralnih nastavitev svojih brskalnikov in operacijskih sistemov. Ta določba je med najmanj spornimi.

Besedilo določa tudi enoten vmesnik za poročanje, ki podjetjem omogoča izpolnjevanje vseh obveznosti glede obveščanja o incidentih prek enotnega varnega portala, s ciljem poenostavitve konkurenčnih obveznosti direktive NIS2, GDPR in uredbe o digitalni operativni odpornosti.

Za mala in srednje velika podjetja je načrtovana sprostitev zakonskih obveznosti glede dokumentacije, sankcij in pravil o prehodu iz oblaka v oblak.

• • Glede GDPR-ja,

Predlog omejuje opredelitev osebnih podatkov z uvedbo subjektivnega pristopa k prepoznavnosti podatkov, kar bi lahko iz področja uporabe uredbe izključilo nekatere psevdonimne podatke ali identifikacijske številke.

Opredelitev občutljivih podatkov bi bila spremenjena tako, da bi se nanašala le na tiste, ki "neposredno" razkrivajo informacije o zdravju, rasnem poreklu itd., s tveganjem, da bi bili izključeni tisti, ki bi jih na primer lahko ugotovil algoritem.

Predlog si prizadeva tudi omejiti pravico posameznikov, da zahtevajo dostop do svojih podatkov le za "namene varstva podatkov".

Nova opredelitev pojma „znanstveno raziskovanje“ bi lahko vodila tudi do obsežnih izjem od GDPR v korist zasebnega sektorja: „vsaka raziskava, ki bi lahko podpirala inovacije, kot sta tehnološki razvoj in demonstracije“, bi tako lahko bila izvzeta iz obveznosti informiranja in omejitve namena.

Predlog vključuje spremembe, ki omogočajo avtomatizirano odločanje in uporabo osebnih podatkov za usposabljanje in upravljanje sistemov umetne inteligence na podlagi legitimnega interesa.

Besedilo določa tudi šestmesečno prehodno obdobje za člen 50(2) uredbe o umetni inteligenci (obveznosti glede preglednosti).

Digitalni omnibusni paket ostaja odprt za pripombe osem tednov, rok pa se dnevno podaljšuje, dokler predlog ne bo na voljo v vseh jezikih EU, trenutno do 29. januarja 2026.

Predlog bo nato sledil rednim zakonodajnim postopkom EU v Evropskem parlamentu in Svetu, kjer bo zagotovo predmet živahne razprave.

Kar zadeva GDPR natančneje, so nekatere države odprte za pregled predlogov Komisije, medtem ko so druge, vključno s Slovenijo, Estonijo in Avstrijo, že nakazale, da po njihovem mnenju GDPR "trenutno ne zahteva nadaljnjih sprememb".

Postopek bo vključeval tudi stališča Evropskega odbora za varstvo podatkov in Evropskega nadzornika za varstvo podatkov, ki sicer nista zavezujoči, vendar naj bi vplivali na nadaljnje razprave.

 

Po začetnem poročilu, v katerem je ocenil, ali so Francozi pripravljeni plačati za spletne storitve brez ciljnega oglaševanja, je CNIL 17. novembra objavil drugi del, ki se nanaša na odnos Francozov do monetizacije njihovih podatkov.

65 % anketirancev (%) je navedlo, da so pripravljeni prodati svoje podatke. Najpogostejša vrednotenja so bila med 10 in 30 evri na mesec, kar je želelo 28 % teh anketirancev (%).

Po drugi strani pa 35 % posameznikov ne želi prodati svojih podatkov, ne glede na ceno, kar izraža načelno zavračanje monetizacije osebnih podatkov.

V zvezi s tem CNIL poudarja, da je sicer mogoče prenesti pravico do uporabe svojih podatkov, vendar „praksa 'monetizacije' osebnih podatkov v smislu prenosa lastniških pravic nad njimi v okviru trenutnega pravnega okvira ni mogoča, saj se pravicam nad svojimi podatki ni mogoče odpovedati.“

CNIL je 20. novembra 2025 francoskemu podjetju Conde Nast Publications naložil globo v višini 750.000 evrov zaradi neupoštevanja veljavnih pravil glede piškotkov, nameščenih na terminalih uporabnikov, ki obiščejo spletno mesto »vanityfair.fr«.

Podjetje je že prejelo uradno obvestilo po pritožbi združenja Noyb leta 2019, vendar ga ni upoštevalo.

Globa upošteva pomanjkanje odziva podjetja, število vpletenih ljudi in različne pomanjkljivosti: nepridobitev soglasja, neobveščanje uporabnikov in nedelovanje mehanizmov za zavrnitev in preklic soglasja.

CNIL je 27. novembra 2025 podjetju American Express Carte France naložil tudi globo v višini 1,5 milijona evrov zaradi neupoštevanja veljavnih pravil glede piškotkov.

ANSSI je 26. novembra objavil poročilo o stanju grožnje mobilnim telefonom.

Poročilo poudarja izkoriščanje ranljivosti s strani napadalcev, ki lahko ciljajo na omrežja, operacijski sistem ali aplikacije, in opredeljuje specifično grožnjo: vohunjenje in nadzorne operacije, ki jih izvajajo državni akterji.

Mobilni telefoni so tudi glavna tarča kibernetskih kriminalcev, ki s tem, ko jih ogrozijo, uspejo ukrasti denar svojim žrtvam.

Mobilni telefoni se zlorabljajo tudi za zasebni nadzor ali destabilizacijske operacije.

Poročilo vsebuje tudi varnostna priporočila za uporabnike.

To vključuje redno izklapljanje in ponovni vklop telefona brez uporabe funkcije ponovnega zagona, izogibanje klikanju povezav ali odpiranju datotek v neželenih sporočilih, previdnost pri odpiranju povezav, poslanih prek kod QR, nameščanje posodobitev operacijskega sistema, onemogočanje vmesnikov Wifi in Bluetooth, ko jih ne uporabljate, in izogibanje povezovanju z javnimi omrežji Wifi.

 

Evropske institucije in organi

Predstavniki držav članic EU so se 26. novembra dogovorili o stališču Sveta glede uredbe, katere cilj je preprečevanje in boj proti spolni zlorabi otrok.

Namen besedila je podjetjem v digitalnem sektorju naložiti obveznost preprečevanja širjenja otroške pornografije in nagovarjanja otrok.

Pristojni nacionalni organi bodo imeli pooblastilo, da od podjetij zahtevajo odstranitev in blokiranje dostopa do določenih vsebin ali, v primeru iskalnikov, odstranitev določenih rezultatov iskanja.

Uredba določa tudi ustanovitev nove evropske agencije, Evropskega centra za otroško pornografijo, katere naloga je pomagati državam članicam in ponudnikom spletnih storitev pri izvajanju zakona.

Svet želi tudi, da bi bil trenutno začasni ukrep, ki podjetjem omogoča prostovoljno skeniranje njihovih storitev za ugotavljanje spolne zlorabe otrok, trajen.

Čeprav je besedilo manj vsiljivo kot prejšnja različica, ga kritiki še vedno smatrajo za napad na šifriranje od konca do konca in zaupnost komunikacij.

O projektu je treba še razpravljati v trialogih s Komisijo in Evropskim parlamentom.

Evropska komisija je 5. decembra družbi X naložila globo v višini 120 milijonov evrov zaradi neizpolnjevanja obveznosti glede preglednosti v skladu z zakonom o digitalnih storitvah (DSA).

Med pomanjkljivostmi so zavajajoča zasnova »modre validacije« za preverjene račune, pomanjkanje preglednosti v imeniku oglaševalskih oglasov in nezmožnost dostopa raziskovalcev do javnih podatkov.

Sodišče Evropske unije (CJEU) je v svoji odločitvi v zadevi Russ media z dne 2. decembra razsodilo, da je založnik na tržnici odgovoren za obdelavo oglasov, objavljenih na njegovi platformi, in mora pred objavo preveriti, ali vsebujejo občutljive podatke in ali je njihova obdelava v skladu z GDPR.

1/ Upravljavec tržnice je odgovoren za obdelavo objavljenih oglasov: to opredelitev Sodišča EU upravičuje več elementov:

• Oglas je dostopen samo na spletu zaradi storitve, ki jo ponuja platforma.
• Založnik sledi svojemu namenu, predvsem komercialnemu in oglaševalskemu, in ni omejen na tehnično storitev.
• Določa bistvena sredstva: predstavitev, trajanje spletne objave, rubrike, klasifikacijo, načine distribucije.
• Tako sta upravljavec in oglaševalec skupno odgovorna za obdelavo oglasov.

2/ Kot upravljavec podatkov mora upravljavec opredeliti morebitna tveganja obdelave podatkov in izvajati ukrepe in zaščitne ukrepe, ki ustrezajo opredeljenemu tveganju: Sodišče EU navaja, da mora upravljavec pred začetkom postopka:

• Zaznajte, ali oglas vsebuje občutljive podatke.
• Preverite, ali se ti podatki nanašajo na oglaševalca oziroma ali ima oglaševalec izjemo, zlasti izrecno soglasje zadevne osebe.
• Zavrnite objavo, če ti pogoji niso izpolnjeni.

V okviru svojih varnostnih obveznosti mora upravljavec izvajati tudi ukrepe za omejitev nezakonitega kopiranja in reprodukcije oglasov, ki vsebujejo občutljive podatke.

Sodišče EU je 20. novembra v zadevi Policejní prezidium razsodilo o praksah češke policije pri zbiranju in neomejenem shranjevanju biometričnih in genetskih podatkov vseh oseb, osumljenih storitve naklepnih kaznivih dejanj.

Cilj je bil ugotoviti, ali evropska direktiva o policiji zahteva oceno potrebe po hrambi za vsak primer posebej, ali so dovoljena nedoločena obdobja hrambe in kakšna pravna varovala bi morala urejati obdelavo teh občutljivih podatkov.

Sodišče načeloma ne ugotavlja prepovedi, temveč postavlja vrsto pogojev: upravljavec podatkov mora upoštevati vsa načela in posebne zahteve, ki veljajo za obdelavo občutljivih podatkov, nacionalna zakonodaja pa mora določiti ustrezne roke za redni pregled stroge nujnosti hrambe teh podatkov.

Agencija Evropske unije za temeljne pravice je 4. decembra objavila poročilo o varstvu temeljnih pravic pri uporabi umetne inteligence na območjih z visokim tveganjem. V njem je poudarjeno pomanjkanje ozaveščenosti o teh pravicah.

 

Novice iz držav članic Evropske unije.

Dunajsko regionalno sodišče za civilne zadeve je razsodilo, da je treba tožbo zoper upravljavca podatkov, ki nima sedeža v EU, vročiti upravljavcu in ne njegovemu zastopniku v EU.

Obvestilo zastopniku v skladu s členom 27 GDPR ni zadostno, razen če nacionalno procesno pravo določa to možnost.

Hrvaški organ za varstvo podatkov (APD) je 14. novembra telekomunikacijskemu operaterju kot upravljavcu podatkov naložil upravno globo v skupni višini 4.500.000,00 EUR zaradi prenosa osebnih podatkov v tretjo državo, kar je v nasprotju z GDPR.

Prenos na srbskega podizvajalca je bil izveden brez veljavne pravne podlage in brez preglednega obveščanja zadevnih oseb, obdelava kopij osebnih izkaznic in potrdil o kazenski evidenci zaposlenih pa brez pravne podlage ter brez ustreznih predhodnih preverjanj podizvajalca.

Mednarodna univerza v Valencii v Španiji je bila kaznovana s 750.000 evri zaradi uporabe prepoznavanja obrazov in umetne inteligence za identifikacijo udeležencev izpitov brez ustrezne pravne podlage.

Tudi v Španiji je APD zdravstveno kliniko oglobil s 30.000 evri zaradi kršitve člena 5(1)(f) GDPR, ker je brez predhodnega soglasja in ustreznih ukrepov za zaupnost razkrila telefonske številke in zdravstvene podatke približno 90 strank v skupini WhatsApp.

Sodišče je 87 španskim medijskim hišam prisodilo več kot 480.000.000 evrov odškodnine, potem ko je ugotovilo, da je Meta nezakonito uporabila osebne podatke, zbrane na njenih družbenih omrežjih, za ustvarjanje podrobnih uporabniških profilov in ponujanje učinkovitejšega prilagojenega oglaševanja kot njeni konkurenti, s čimer je pridobila nepošteno konkurenčno prednost.

Sodišče je menilo, da je obdelava osebnih podatkov ključni konkurenčni dejavnik v digitalnem gospodarstvu in da lahko kršitve GDPR pomenijo nelojalno konkurenco, kadar dajejo znatno prednost.

Italijanski organ za varstvo podatkov (APD) je pokrajini Bolzano naložil globo v višini 32.000 evrov zaradi nezakonitega delovanja mreže kamer za spremljanje prometa. Pokrajina ni imela veljavne pravne podlage za obdelavo osebnih podatkov, zlasti registrskih tablic.

 

V Združenem kraljestvu je 73 akademikov, odvetnikov, strokovnjakov za varstvo podatkov in nevladnih organizacij v pismu, naslovljenem na spodnji dom britanskega parlamenta, pozvalo k preiskavi britanskega organa za varstvo podatkov (ICO), potem ko so, kot so ga opisali, "zlomili izvršilne ukrepe", zlasti po škandalu z vdorom podatkov v Afganistan.

Opozarjajo na "globlje strukturne napake", ki presegajo to kršitev podatkov.

To je predstavljalo še posebej resno uhajanje informacij o Afganistancih, ki so sodelovali z britanskimi silami, preden so talibani avgusta 2021 prevzeli nadzor nad državo, kar je ogrozilo življenja 100.000 ljudi, katerih imena je razkrilo ministrstvo za obrambo.

Urad ICO je kritiziran, ker kljub ponavljajočim se pomanjkljivostim ni sprožil formalnih pravnih postopkov proti ministrstvu. 

V Argentini so nekatera sodišča v zadnjih mesecih odločala o uporabi umetne inteligence v odvetniških vlogah in poročilih.

V primerih so bili vključeni odvetniki, ki so vključili citate sodne prakse, ki so se zaradi halucinacij umetne inteligence izkazali za napačne ali netočne.

Tako kot zlasti v Združenih državah Amerike tudi argentinska sodišča začenjajo ocenjevati obseg poklicne odgovornosti odvetnikov: tudi kadar delujejo v dobri veri, predložitev vlog, ki navajajo neobstoječo sodno prakso, spodkopava temeljna načela poklica, vključno s poštenostjo, zvestobo in iskrenostjo, kot so določena v kodeksih etike različnih argentinskih jurisdikcij.

V preučenih konkretnih primerih so se sodišča odločila, da odvetnikom ne bodo naložila neposrednih sankcij.

Kljub temu so menili, da je primerno obvestiti lokalne odvetniške zbornice, da bi se ozavestile o tveganjih in odgovornostih, povezanih z uporabo umetne inteligence, in spodbudile širšo razpravo o odgovorni uporabi umetne inteligence v pravni praksi.

Avstralska vlada je zadnja, ki je predstavila načrt za umetno inteligenco.

Po preučitvi strategije, osredotočene na varnost, se je vlada na koncu odločila, da bo poudarek dala naložbam in gospodarstvu.

Namesto uvedbe obveznih zaščitnih ukrepov v okoljih z visokim tveganjem bo Avstralija gradila "na obstoječih trdnih pravnih in regulativnih okvirih".

Nacionalni načrt, objavljen 2. decembra, si prizadeva okrepiti ugled Avstralije kot lokacije za naložbe v umetno inteligenco in spodbuja cilje za široko uporabo umetne inteligence po vsej državi, zlasti v javnih storitvah.

Opisuje tudi vlogo Inštituta za varnost umetne inteligence pri testiranju in izmenjavi informacij o zmogljivostih, tveganjih in nevarnostih umetne inteligence.

Tudi v Avstraliji otroci in najstniki, mlajši od 16 let, od 10. decembra ne bodo več smeli uporabljati družbenih omrežij.

Platforme morajo izvajati ukrepe za preverjanje starosti.

Neupoštevanje lahko povzroči globe v višini do 28 milijonov evrov.

Tej prepovedi bi lahko sledile še druge: Evropski parlament je 26. novembra pozval k določitvi minimalne starosti 16 let po vsej Evropski uniji za družbena omrežja, platforme za deljenje videoposnetkov in pomočnike z umetno inteligenco, hkrati pa k dovoljevanju dostopa za 13–16-letnike s soglasjem staršev.

Poslanci Evropskega parlamenta sicer izražajo podporo Komisiji glede evropske aplikacije za preverjanje starosti in evropske denarnice za digitalno identiteto (eID), vendar vztrajajo, da morajo sistemi za preverjanje starosti varovati zasebnost mladoletnikov.

V Združenih državah Amerike sta v Zvezni trgovinski komisiji (FTC) ostala le dva od petih komisarjev.

Tretji odstop, odstop Melisse Holyoak, je FTC dejansko objavila 17. novembra 2025.

Ta odstop sledi temu, da je predsednik Trump odpustil dva demokratska komisarje, tako da sta na mestu ostala le še dva republikanska komisarja.

Zadevo je obravnavalo vrhovno sodišče, njegova odločitev pa bi lahko imela širše posledice za predsednikovo oblast nad neodvisnimi agencijami.           

Potniki iz držav, kot so Velika Britanija, Francija ali Južna Koreja, držav, ki so upravičene do programa za odpravo vizumov ZDA, bodo morda kmalu morali pregledati svojo dejavnost na družbenih omrežjih do pet let nazaj, v skladu s predlogom, ki ga je 9. decembra vložila ameriška carinska in mejna zaščita (CBP).

CBP namerava od prosilcev zahtevati tudi dolg seznam osebnih podatkov, vključno z njihovimi e-poštnimi naslovi za zadnjih deset let, pa tudi imena, datume rojstva, kraje prebivališča in kraje rojstva njihovih staršev, zakoncev, bratov, sester in otrok.

Indijsko ministrstvo za elektroniko in informacijsko tehnologijo je 13. novembra 2025 objavilo izvedbena pravila Zakona o varstvu digitalnih osebnih podatkov iz leta 2023.

Po navedbah podjetja Nishith Desai Associates določajo zahteve glede preglednosti, soglasja in registracije, obveznosti obveščanja v primeru kršitve varnosti podatkov, pravice zadevnih oseb in podrobnosti o Indijskem svetu za varstvo podatkov.