Slovenska nacionalna strategija za umetno inteligenco do leta 2020

Slovenija je prejšnji teden sprejela Nacionalno strategijo umetne inteligence do 2030, katere cilj je pospešiti uporabo AI v gospodarstvu in javnem sektorju ter hkrati razvijati varno, zaupanja vredno in digitalno suvereno AI, usklajeno z evropskimi politikami in strategijo spodbujanja lastne EU AI.

Strategija ima več konkretnih implikacij:

Prvič, država želi pospešiti razvoj in implementacijo AI v gospodarstvu, zato lahko podjetja pričakujejo več javnih razpisov, pilotnih projektov in javno-zasebnih partnerstev za razvoj in uvajanje AI rešitev. Poseben poudarek je na prenosu tehnologije iz raziskav v realne produkte in storitve.

Drugič, strategija predvideva investicije v infrastrukturo in podatkovne ekosisteme – od superračunalniških kapacitet in podatkovnih prostorov do večje dostopnosti odprtih podatkov. Cilj je podjetjem omogočiti lažji razvoj, treniranje in testiranje AI modelov.

Tretjič, strategija je tehnološko nevtralna, vendar jasno poudarja evropsko digitalno suverenost. Ne spodbuja specifičnih globalnih platform (npr. ameriških AI ponudnikov), ampak podpira okolje, kjer lahko podjetja uporabljajo kombinacijo komercialnih modelov, open-source rešitev in evropske infrastrukture, ob tem pa ohranjajo nadzor nad podatki in ključnimi sistemi.

Četrtič, velik poudarek je na “trustworthy AI”. To pomeni, da bodo morali AI produkti upoštevati zahteve glede transparentnosti, upravljanja podatkov, varnosti in odgovorne uporabe, skladno z evropskim AI Act. Za podjetja to pomeni, da bo skladnost z regulativo postala pomemben del razvoja AI produktov.

Petič, strategija identificira več prednostnih sektorjev, kjer država posebej spodbuja razvoj AI rešitev: zdravstvo, industrija in robotika (Industry 4.0), jezikovne tehnologije, javna uprava, prehranski sistemi in kmetijstvo ter okolje in prostorsko načrtovanje.

Šestič, Država bo posebej spodbujala AI v: zdravstvu, industriji in robotiki (Industry 4.0), jezikovnih tehnologijah, javni upravi, prehranskih sistemih in kmetijstvu ter okolju in prostorskem načrtovanju.

Sedmič, strategija spodbuja razvoj AI na podlagi odprtih podatkov, standardov in interoperabilnih platform, kar v praksi pogosto pomeni tudi uporabo open-source komponent.

Slovenija želi do leta 2030 ustvariti ekosistem, v katerem je umetna inteligenca strateška tehnologija gospodarstva. Za IT podjetja to pomeni več priložnosti za financiranje, sodelovanje v evropskih projektih in razvoj novih produktov – hkrati pa tudi večji poudarek na varni, regulativno skladni in podatkovno suvereni uporabi AI.

Analitiki opozarjajo, da dokument postavlja predvsem vizijo in cilje, medtem ko konkretni ukrepi še niso določeni. Akcijski načrt z dejanskimi projekti, proračunom in časovnicami bo pripravljen šele naknadno, zato kritiki menijo, da je strategija za zdaj bolj politični okvir kot operativni program. Sama strategija priznava, da je največja ovira za širšo uporabo AI v Sloveniji pomanjkanje strokovnjakov. Po raziskavah podjetja kot ključne ovire navajajo: - pomanjkanje znanja (66 % podjetij), pomanjkanje financiranja (55 %) in omejen dostop do podatkov (47 %). Strategija poudarja digitalno suverenost in zmanjšanje odvisnosti od velikih globalnih platform, kar pomeni razvoj lastnih zmogljivosti (infrastruktura, modeli, podatki). Kritiki opozarjajo, da je to zelo ambiciozen cilj za majhno državo, saj razvoj temeljnih AI modelov zahteva ogromne investicije, računsko infrastrukturo in talent, ki jih trenutno obvladujejo predvsem globalni igralci.

Čeprav torej strategija še ne prinaša vseh operativnih ukrepov, jasno kaže smer razvoja: umetna inteligenca bo postala osrednja infrastruktura digitalnega gospodarstva. Podjetja, ki bodo AI pravočasno vključila v svoje produkte in poslovne modele, bodo bolje pozicionirana za prihodnje evropske projekte, partnerstva in nove tržne priložnosti.

Poročilo SI-CERT o kibernetski varnosti v letu 2024

Na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT so izdali Poročilo o kibernetski varnosti za leto 2024. Tudi tokrat je poročilo razširjeno s podatki slovenske policije o številu spletnih goljufij in finančnem oškodovanju, da ponudi čim celovitejši pregled nad dogajanjem v slovenskem kibernetskem prostoru.

V letu 2024 je bilo obravnavanih 4.587 incidentov, kar predstavlja 7-odstotni porast glede na leto 2023. Nadaljuje se zaznani trend preusmerjanja fokusa napadalcev na mobilne naprave (izvabljanje podatkov pod krinko lažnih SMS-sporočil, zlonamerne aplikacije, namenjene zlorabi mobilnih bank ipd.)

V letu 2024 so prvič zaznali primere naprednih phishing napadov na podjetja. Napad se kot običajno začne z lažnim elektronskim sporočilom banke, običajno pod krinko obvestila o posodobitvi digitalnega bančništva. Elektronska sporočila so razposlana na javno dostopne e-naslove podjetij. Po vpisu začetnih podatkov se pojavi obvestilo, da vas bodo poklicali iz banke. Nato sledi telefonski klic, kjer se klicatelj predstavi kot bančni uslužbenec in ponudi, da pomaga pri postopku posodobitve. Pogovor v lepi slovenščini dodatno pripomore k verodostojnosti poslanega sporočila. Klici so opravljeni iz slovenskih telefonskih številk, ki pa so praviloma potvorjene (t. i. spoofing). 

 Napadalci lahko ponaredijo celo telefonsko številko banke. Preko klica poskušajo izvabiti še dodatne avtentikacijske kode ali žrtev nagovoriti, da sama potrdi dostop. Tovrsten napad omogoči dostopi do bančnega računa podjetja in posledično visoko finančno oškodovanje.

Spremljenje učinkovitosti dela zaposlenih z vidika GDPR

Digitalni sistemi so danes ključen del organizacije dela in upravljanja uspešnosti (CRM, HRM etc). Omogočajo pregled nad poslovnimi procesi, boljše sodelovanje med zaposlenimi, različnimi oddelki in zagotavljajo s tem večjo učinkovitost. Hkrati pa lahko, če niso ustrezno upravljani, posežejo na področje varstva osebnih podatkov in delovnopravnih pravic zaposlenih. V evropskem pravnem prostor je zato bistveno razlikovati med dopustnim spremljanjem dela in nedopustnim nadzorom zaposlenih.

Evropska pravila ne prepovedujejo uporabe podatkov o zaposlenih, temveč zahtevajo, da je njihova uporaba zakonita, nujna, sorazmerna in pregledna. Ključno načelo je odgovornost delodajalca, ki mora biti sposoben dokazati, da je tveganja prepoznal, jih ocenil in sprejel premišljene odločitve. Spremljanje delovnih rezultatov in dokumentiranje poslovnih dogodkov, ki so vezani na projekte, stranke ali procese, je praviloma dopustno, saj je usmerjeno v izide dela in ne v vedenje posameznika.

Pravna tveganja nastanejo, ko informacijski sistemi omogočajo stalno ali sistematično spremljanje vedenja zaposlenih, kot so merjenje količine aktivnosti v določenem časovnem obdobju, analiza pogostosti prijav (log in), odzivnosti ali delovnih vzorcev ter primerjanje zaposlenih med seboj. V takih primerih regulatorji presojajo dejanski učinek sistema in ne njegovega namena ali poimenovanja. Če sistem omogoča rekonstrukcijo delovnega ritma ali ustvarja pritisk stalnega opazovanja, se praviloma šteje za nadzor zaposlenih, kar pomeni bistveno višje pravno tveganje. 

Takšen nadzor je pod pravilom tehtanja zakonitega interesa težko utemeljiti, saj močno posega v avtonomijo zaposlenih, pogosto obstajajo manj invazivne alternative, psihološki pritisk pa se šteje kot pravno relevantna škoda. Poleg tega lahko uvedba ali uporaba sistemov, ki omogočajo nadzor vedenja ali uspešnosti, pomeni bistveno spremembo organizacije dela in sproži obveznosti obveščanja in posvetovanja z zaposlenimi ali njihovimi predstavniki, kot to zahteva evropsko delovno pravo. 

Zato je priporočljivo, da podjetja pred uvedbo ali razširitvijo uporabe informacijskih sistemov, ki obdelujejo podatke o zaposlenih, izvedejo oceno zakonitega interesa in po potrebi oceno učinka v zvezi z varstvom podatkov. Namen teh ocen ni potrjevanje že sprejetih odločitev, temveč strukturirana presoja nujnosti, sorazmernosti in tveganj ter opredelitev morebitnih omejitev ali zaščitnih ukrepov. Tudi v primerih, ko se po presoji izkaže, da so obstoječe rešitve sprejemljive, dejstvo, da je bila presoja opravljena in dokumentirana, predstavlja pomemben element skladnosti in dolgoročne pravne varnosti. 

V evropskem kontekstu je ključno, da informacijski sistemi podpirajo poslovne procese in rezultate dela, ne pa nadzora nad posamezniki. Podjetja, ki to razliko upoštevajo in jo vključijo v svoje notranje upravljavske in informacijske prakse, bistveno zmanjšajo pravna, organizacijska in kulturna tveganja ter ustvarijo stabilen in zaupanja vreden okvir za uporabo digitalnih orodij. 

AI in avtorske pravice v EU: ključna vprašanja in pregled sodne prakse

Pravno okolje na področju umetne inteligence (UI) in avtorskih pravic v Evropski uniji se razvija izjemno hitro. Število sporov narašča, sodišča pa se prvič soočajo z vprašanji, ki jih klasično avtorsko pravo še ne pozna. Spodaj predstavljamo pregled najpomembnejših trendov, odločitev in odprtih vprašanj, ki oblikujejo prihodnost razvoja generativne UI v EU.

1. Izjema za rudarjenje besedil in podatkov: glavno bojišče

Osrednje vprašanje v skoraj vseh AI–avtorskih sporih je, ali izjeme za rudarjenje besedil in podatkov, določene v Direktivi o avtorski in sorodnih pravicah na enotnem digitalnem trgu, dovoljujejo uporabo avtorsko varovanih del za treniranje modelov UI.

Kaj kažejo prve sodbe? 

Prve odmevne odločitve nakazujejo razmeroma široko razlago izjem za rudarjenje besedil in podatkov – a z omejitvami, zlasti kjer gre za »memoriranje« (opisano spodaj):

• GEMA proti OpenAI (Nemčija, 2025): sodišče v Münchnu je presodilo, da izjema za rudarjenje besedil in podatkov načeloma zajema tudi treniranje modelov. Vendar pa izjema odpove tam, kjer model reproducira celotna dela iz učnih podatkov.

• LAION (Nemčija, 2025): hamburgško sodišče je potrdilo, da ustvarjanje podatkovnih nizov za znanstvene raziskave predstavlja dopustno izjemo rudarjenja.

• Dutch Media Publishers proti Howards Home (Nizozemska, 2024): Izjema rudarjenja se lahko uporabi tudi za storitve, ki ustvarjajo AI–povzetke, pod pogojem, da imajo imetniki pravic možnost učinkovitega izstopa (opt-out).

Skupni imenovalec: Izjema rudarjenja lahko pokrijejo treniranje AI, vendar je ključno vprašanje, ali model v procesu dejansko »reproducira« varovana dela.

2. Opt-out mehanizmi: kako jasno je dovolj jasno?

Imetniki pravic lahko skladno z zgoraj cirirano Direktivo (čl. 4) prepovejo rudarjenje njihovih vsebin, vendar mora biti opt-out tehnično in pravno veljaven.

Sodni trendi:

• Opt-out mora biti jasen, specifičen in tehnično ustrezen.

• Splošne ali nejasne prepovedi niso dovolj.

• Še vedno ni enotnega standarda, a robots.txt postaja možni prihodnji minimum.

Primeri sodb:

• LAION (Nemčija): sodišče je začasno sprejelo tudi opt-out zapisan v naravnem jeziku, a pritožbeno sodišče nakazuje strožji pristop, ki bi lahko zahteval robots.txt.

• Howards Home (Nizozemska): sodišče je poudarilo, da mora imetnik pravic dokazati, da je opt-out pravilno in strojno berljivo implementiral.

• Madžarski primer (2024): opt-out je bil neustrezen, zato je bilo rudarjenje dopustno.

3. “Memorisation”: ali modeli dejansko shranjujejo varovana dela?

Eden od najbolj kontroverznih vidikov je vprašanje, ali veliki jezikovni modeli v svojih parametrih ohranijo delčke avtorsko varovanih del.

• GEMA proti OpenAI: sodišče je zaključilo, da je ChatGPT reproduciral zaščitena besedila pesmi in jih zato moral »memorirati«.

• Getty proti Stability AI (UK): britansko sodišče je zavzelo povsem nasprotno stališče – modeli ne shranjujejo del, temveč zgolj vzorce.

Gre za pomemben razkorak med evropskimi in britanskimi razlagami, ki bi lahko v prihodnje povzročil večje regulatorne izzive.

4. Usposabljanje vs. izhod (output): kdo odgovarja za kršitev?

Sodišča razlikujejo med dvema fazama:

1. Usposabljanje modela na avtorsko zaščitenih delih.

2. Ustvarjanje rezultatov (outputov), ki lahko vsebujejo zaščiteno vsebino.

Ključno vprašanje: če UI ustvari varovano vsebino, kdo je odgovoren – uporabnik ali ponudnik modela?

• GEMA proti OpenAI: sodišče je odgovornost pripisalo OpenAI, ker ima ključno vlogo pri nastanku outputa.

• Like Company proti Google (CJEU): CJEU bo odločal, ali prikaz del v odgovoru chatbota pomeni dejanje reproduciranja s strani ponudnika storitve.

• Getty proti Stability AI: model teoretično lahko predstavlja "infringing article", vendar je sodišče odločilo, da Stable Diffusion ne vsebuje kopij zaščitenih del.

5. Onkraj avtorskih pravic: osebnostne pravice, blagovne znamke, pogodbeni pogoji

Ker avtorsko pravo ne pokrije vseh primerov, imetniki pravic posegajo tudi po drugih pravnih podlagah:

• Primer imitacije glasu (Nemčija, 2025): nepooblaščena uporaba AI-ustvarjenega glasu, ki zveni kot glas igralca, krši osebnostne pravice.

• Getty proti Stability AI: poleg avtorskega prava je Getty uspel z zahtevki kršitve blagovnih znamk.

• Primer nemških novinarjev: novinarji izpodbijajo pogoje medija, ki od njih zahtevajo pravico do uporabe njihovih del za treniranje UI – trdijo, da je tak pogoj nepošten.

6. Gibljiva pokrajina, ki se šele oblikuje

Pravni razvoj na področju UI in avtorskih pravic je hkrati pretirano obširen in preveč skromen:

• Obširen, ker se zdi, da se odpira nešteto novih vprašanj,

• skromen, ker so trenutne sodbe šele prvi poskusi reševanja izjemno kompleksnih problemov.

Jasno pa je nekaj: vprašanja, povezana z uporabo avtorsko varovanih vsebin v AI, bodo z nami še dolgo. EU bo morala v prihodnjih letih postopno oblikovati jasnejšo regulacijo, ki bo omogočala istočasen razvoj inovacij ter bo hkrati varovala ustvarjalce.

Objavljen seznam kritičnih IKT ponudnikov -kaj to pomeni za SaaS podjetja, ki tržijo svoje storitve finančnim institucijam

Evropski nadzorni organi so objavili seznam kritičnih IKT tretjih ponudnikov za namen DORA regulative.

Kaj to pomeni za SaaS podjetja, ki uporabljajo tehnično infrastrukturo kritičnih IKT tretjih ponudnikov za svoje rešitve/produkte, ki jih tržijo finančnim institucijam

Evropski nadzorni organi (EBA, EIOPA in ESMA – skupaj ESAs) so objavili dolgo pričakovani seznam kritičnih IKT tretjih ponudnikov (CTPP) v skladu z Uredbo o digitalni operativni odpornosti (DORA). Gre za pomemben mejnik v uvajanju nadzornega okvira DORA, ki takoj in neposredno spreminja regulatorno okolje za vsa tehnološka podjetja, ki svoje storitve zagotavljajo bankam, zavarovalnicam, investicijskim družbam in ponudnikom plačilnih storitev v EU. 

Čeprav je bil seznam CTPP pričakovan – in večina imen preseneča malo – ima njegova objava daljnosežne posledice tudi za vse ostale ponudnike, ki na seznamu niso navedeni. Vsako SaaS podjetje, vključeno v verigo finančnih storitev, zdaj deluje v jasneje definiranem regulatornem okolju, kjer postajajo pričakovanja, odgovornosti in tveganja bistveno bolj konkretna.

Kaj pomeni oznaka CTPP – in za koga?

Oznaka CTPP sproži neposreden nadzor na ravni EU, ki ga izvajajo ESAs – vendar zgolj nad označenimi ponudniki. SaaS ponudniki, ki uporabljajo njihove storitve, sami ne padejo pod neposreden nadzor, vendar se tveganja prenašajo posredno, prek njihovih strank iz finančnega sektorja.

SaaS podjetja, ki uporabljajo AWS, Azure, Google Cloud infrastrukturo za svoje rešitve, ki jih tržijo - POMEMBNO

Velik del SaaS ekosistema temelji (v celoti ali delno) na velikih ponudnikih oblačnih storitev. Ti »hiperskalerji« – ali posamezni deli njihove infrastrukture – se skoraj zagotovo znajdejo na seznamu CTPP, vključno z:

- Microsoft Azure,

- Amazon Web Services,

- Google Cloud Platform.

Ko je vaš infrastrukturni ponudnik označen kot CTPP, to za vas pomeni naslednje: 

1. Prevzamate regulativno izpostavljenost kot drugi v vrsti

Finančne institucije, ki jim zagotavljate svoje storitve, morajo oceniti:

- vašo odvisnost od CTPP,

- kaj bi se zgodilo v primeru izpada CTPP ali večjega kibernetskega incidenta,

- ali imate ustrezne načrte odpornosti, skladne z njihovimi obveznostmi po DORA,

- kako hitro lahko obnovite delovanje v primeru sistemske motnje pri vašem hiperskalerju.

SaaS podjetja morajo zato pokazati, kako obvladujejo svoje odvisnosti od AWS/Azure/GCP.

2. Stranke bodo postavljale več vprašanj – in zahtevale konkretne dokaze

Pričakujte povečanje:

- vprašalnikov za skrbni pregled (due diligence),

- zahtev za arhitekturne diagrame vaše storitve,

- vprašanj o testiranju BCP/DRP,

- revizij ali pregledov na lokaciji,

- zahtev za eksplicitnejše pogodbene klavzule, ki se sklicujejo na DORA.

To ne pomeni, da morate razkriti lastni IP ali občutljive tehnične podrobnosti — pomeni pa, da morate imeti strukturirano, regulatorjem primerno dokumentacijo.

 3. Multicloud, prenosljivost in izstopne strategije bodo v ospredju

Finančne institucije morajo dokazati, da njihove ključne storitve niso kritično odvisne od enega samega CTPP.

To pomeni, da boste kot SaaS ponudnik deležni vprašanj, kot so:

- »Ali lahko vaša storitev deluje na več hiperskalerjih?«

- »Ali podpirate prenosljivost ali selitev storitve?«

- »Kakšen je vaš izstopni načrt, če izbrani hiperskaler postane nedosegljiv?«

Če je vaša storitev strogo vezana na enega ponudnika, morate imeti jasno, dokumentirano utemeljitev, skladno z načelom sorazmernosti iz DORA.

Tri stvari, ki jih morajo SaaS ponudniki narediti:

1. Ugotovite svoje odvisnosti (zlasti hiperskalerje)

Identificirajte vse plasti infrastrukture:

- IaaS / PaaS ponudniki,

- zunanje API-je,

- podizvajalce in subprocesorje,

- ključne knjižnice ali upravljane storitve,

- regije podatkovnih centrov in mehanizme preklopa (failover).

To je prva stvar, ki jo bodo stranke zahtevale.

2. Pripravite ali nadgradite svoj “DORA-ready” paket dokumentacije

Vzpostavite jasen, dobro organiziran nabor dokazil, npr.:

- politiko upravljanja IKT tveganj,

- BCP/DRP (s povzetki letnih testiranj),

- arhitekturne diagrame in podatkovne tokove,

- mapiranje varnostnih kontrol (NIST / ISO / DORA),

- register IKT tretjih ponudnikov,

- postopke upravljanja incidentov (skladne s členi 17–23 DORA).

Cilj: proaktivno odgovoriti na 80 % vprašanj strank.

3. Okrepite pogodbeno pripravljenost

Stranke bodo zahtevale vključitev novih klavzul, kot so:

- klasifikacija incidentov in roki za poročanje,

- pravica do revizije / pravica do informacij,

- RTO/RPO zahteve,

- določbe o izstopu in prenosljivosti,

- preglednost glede podizvajalcev.

Proaktivna posodobitev standardnih pogodbenih pogojev kaže na zrelost vaše družbe in zmanjšuje trenja v prodajnih procesih.

Evropa med željo po AI-preboju in grožnjo za zasebnost- Digitalni omnibus

Evropa med željo po AI-preboju in grožnjo za zasebnost: kaj prinašajo načrtovane spremembe GDPR?

 Osnutek prihajajočega svežnja Evropske komisije Digital Omnibus Package (Digitalni omnibus) je pred uradno predstavitvijo, predvideno za 19. november 2025, nedavno postal javno dostopen. Pobuda predstavlja eno najobsežnejših in najbolj celovitih prenov okvira digitalne regulacije EU po začetku uporabe Splošne uredbe o varstvu podatkov (GDPR) leta 2018. EU Komisija Digitalni omnibus predstavlja kot usmerjen poskus poenostavitve, katerega cilj je zmanjšati administrativna bremena in stroške skladnosti, izboljšati pravno predvidljivost za podjetja (zlasti za mala in srednja podjetja) ter narediti evropski digitalni regulativni okvir lažje razumljiv in uporabniku prijaznejši. Digitalni omnibus je v veliki meri odziv na ostro tehnološko konkurenco med EU, ZDA in Kitajsko – poskus, da Evropa poenostavi pravila, pospeši inovacije in ohrani korak v globalni digitalni tekmi. Medtem ko Evropska unija išče ravnotežje med inovacijami in regulacijo, ZDA napovedujejo precej bolj ”lahkoten” pristop k urejanju umetne inteligence, saj želijo preprečiti omejevanje razvoja in ostati konkurenčne; medtem ko Kitajska vodi centraliziran, strateško usmerjen, močan državni nadzor algoritmov in podatkov.

Čeprav se bo končna oblika Digitalnega omnibusa še spremenila, naj bi Digitalni omnibus uvedel daljnosežne spremembe, ki bodo vplivale na temeljna načela varstva podatkov in ključne obveznosti.

Digitalni omnibus je odziv na vedno glasnejše in pogostejše odzive evropske poslovne skupnosti, da je digitalni regulativni okvir EU postal razdrobljen, nepregleden in težko obvladljiv. Podobna priporočila je podalo tudi Draghijevo poročilo iz leta 2024, ki poziva k ukrepom za krepitev konkurenčnosti EU, spodbujanju inovacij ter poenostavitvi regulativnih zahtev. V odgovor na to je Komisija pripravila dva zakonodajna predloga, ki skupaj vzporedno spreminjata več digitalnih uredb EU, vključno z GDPR in nedavno sprejeto Uredbo o umetni inteligenci (AI Act). Po dostopnih osnutkih in pripravljalnih gradivih se Digitalni omnibus osredotoča na tri ključna regulativna področja: podatke, kibernetsko varnost in umetno inteligenco.

Osnutki predlogov zajemajo širok spekter regulativnih področij – od obdelave osebnih podatkov in upravljanja privolitev do upravljanja sistemov umetne inteligence ter povezanih obveznosti skladnosti. V nadaljevanju so predstavljeni izbrani vidiki, ki so posebej pomembni za podjetja, ki delujejo na digitalnem trgu EU.

- Utrujenost od privolitev in pravila o piškotkih – v smeri priznavanja avtomatiziranih signalov

V uvodnih obrazložitvah Komisija navaja, da želi nasloviti t. i. “utrujenost od privolitev” z revizijo pravil o piškotkih in primerljivih sledilnih tehnologijah. Predlog Digitalnega omnibusa uvaja dvodelni pristop:

širitev primerov, v katerih je mogoče piškotke in podobne tehnologije uporabljati brez privolitve – k obstoječim izjemam po okviru eZasebnosti bi se dodali dodatni nameni, kot so varnost, merjenje občinstva in zagotavljanje s strani uporabnika izrecno zahtevanih storitev; ter

vzpostavitev mehanizma, ki omogoča avtomatizirano in strojno berljivo izražanje uporabnikovih preferenc, s ciljem zmanjšati potrebo po ponavljajočih se pasicah s privolitvijo.

Upravljavci bi morali takšne avtomatizirane signale obvezno spoštovati, ko bodo sprejeti ustrezni tehnični standardi.

- Učenje in delovanje umetne inteligence – zakoniti interes kot pravna podlaga

Predlog Digitalnega omnibusa v GDPR uvaja novo določbo, ki določa, da razvoj in delovanje sistemov ali modelov umetne inteligence predstavlja zakoniti interes upravljavca za namen obdelave. Povedano drugače, Komisija izrecno opredeljuje učenje modelov umetne inteligence in njihovo uporabo kot priznano pravno podlago za podjetja – pod pogojem, da je obdelava osebnih podatkov za ta namen nujna in da tega interesa ne pretehtajo pravice in svoboščine posameznikov.

Če bo predlog potrjen, bo to pomenilo konec večletne razprave znotraj EU glede vprašanja, ali se zakoniti interes lahko zakonito uporablja kot podlaga za učenje modelov AI; hkrati pa bo razširilo to možnost tudi na njihovo delovanje.

- Avtomatizirano odločanje (ADM) – širitev izjem

GDPR posameznikom trenutno zagotavlja kvalificirano pravico, da niso podvrženi izključno avtomatiziranemu odločanju, ki ima zanje pravne ali podobno pomembne učinke (člen 22 GDPR), pri čemer veljajo tri omejene izjeme: kadar je odločitev nujna za sklenitev ali izvajanje pogodbe, kadar je določena z zakonom ali kadar temelji na izrecni privolitvi.

Predlog Digitalnega omnibusa bi razširil pogodbeno izjemo, saj bi pojasnil, da je avtomatizirana odločitev dopustna tudi v primerih, ko bi lahko enak rezultat dosegli z ročnimi (človeškimi) postopki. Ta sprememba bi znižala prag za sklicevanje na pogodbeno pravno podlago ter povečala pravno predvidljivost pri uvajanju avtomatiziranega odločanja v EU.

- Občutljivi podatki – zožitev področja uporabe člena 9. GDPR

Digitalni omnibus želi zožiti področje varstva posebnih vrst osebnih podatkov iz člena 9 GDPR. Po novem naj bi okrepljena zaščita veljala le za podatke, ki neposredno razkrivajo posameznikovo rasno ali etnično pripadnost, politična mnenja, verska ali filozofska prepričanja, članstvo v sindikatu, zdravstveno stanje ali spolno usmerjenost.

Nasprotno pa značilnosti, pridobljene z sklepanjem, denimo informacije, izpeljane z profiliranjem ali s križnim povezovanjem podatkov, ne bi bile več samodejno obravnavane kot “občutljivi podatki”.

To predstavlja pomemben odmik od trenutne prakse, v kateri se pojem občutljivih podatkov razlaga široko – skladno s sodno prakso Sodišča EU.

- Zakon o umetni inteligenci (AI Act) – olajšanje izvajanja in nadzora

Za zagotovitev nemotenega uvajanja Uredbe o umetni inteligenci (AI Act) predlog uvaja več ciljno usmerjenih prilagoditev, namenjenih lažji začetni implementaciji. Predlog določa enoletno prehodno obdobje za ponudnike, da izpolnijo obveznosti glede označevanja vsebin in vgrajevanja vodnih žigov, kar jim daje dodatni čas za tehnično prilagoditev.

Na institucionalni ravni predlog krepi nadzorni mandat Urada za umetno inteligenco (AI Office), saj mu podeljuje neposredni nadzor nad modeli umetne inteligence splošnega namena ter nad sistemi AI, ki so vgrajeni v zelo velike spletne platforme in spletne iskalnike. Nazadnje predlog stremi k večji skladnosti z drugo digitalno zakonodajo EU – predvsem s Cyber Resilience Act – ter k uskladitvi časovnic izvrševanja med povezanimi regulativnimi okviri.

Splošna usmeritev Digitalnega omnibusa naj bi bila ugodna za podjetja, ki delujejo v digitalnem gospodarstvu EU. V praksi lahko podjetja utemeljeno pričakujejo manj postopkovnih prekrivanj, bolj jasno razmejitev in usklajenost obstoječih pravnih okvirov ter bolj predvidljivo okolje skladnosti. Hkrati pa lahko nekateri elementi uvedejo nova tveganja in negotovosti. Čeprav Digitalni omnibus poenoti določene instrumente in pojasni njihovo medsebojno delovanje, se v veliki meri naslanja na obstoječa pravila, namesto da bi jih nadomestil. Na določenih področjih, kot je GDPR, lahko pristop dodajanja novih določb k obstoječim celo poveča strukturno kompleksnost. Poleg tega bi lahko predvideni mehanizem za avtomatizirane signale privolitve v okviru prenovljenih pravil o piškotkih bistveno spremenil način, kako digitalne storitve zbirajo in uporabljajo podatke na ravni posameznika, kar bi lahko vplivalo na njihovo sposobnost zagotavljanja in ohranjanja kakovosti svojih storitev.

Velik del strokovne javnosti in zagovorniki varstva osebnih podatkov in človekovih pravic predlogom EU Komisije nasprotujejo, saj naj bi po njihovo šlo za slabljenje temeljnih pravic zagotovljenih v Listini EU o temeljnih pravicah. Spremembe bi lahko pomenile občuten odmik od dosedanjih standardov. Več civilnih iniciativ opozarja, da spremembe nastajajo hitro, brez zadostnih javnih posvetov ali celovitih ocen vpliva. Nekatere države vidijo reformo kot priložnost za tehnološki razvoj, druge pa kot grožnjo pravicam državljanov.

Da – Evropa mora ostati konkurenčna v svetu, kjer se umetna inteligenca razvija izjemno hitro. A če v tem procesu dovolimo, da postopno popuščanje regulativnih varovalk postane nova norma, tvegamo, da bomo kot družba prehitro zdrsnili od zaupanja v tehnologijo do tega, da bo tehnologija začela nadzorovati nas. »Digitalni omnibus« ne sme postati eufemizem za erozijo podatkovne zaščite. Poenostavitev ne sme pomeniti deregulacije. Hkrati pa je prav, da si priznamo: birokratskih ovir v GDPR je res veliko. Nekatere med njimi bi lahko brez tveganja za pravice posameznikov poenostavili ali povsem odstranili.

Primer? Vodenje evidenc dejavnosti obdelave, ki je pogosto formalistična obveznost in obremenjuje predvsem mala podjetja, ne da bi prinesla realno dodano vrednost.

Zato potrebujemo pametno reformo: odstranitev nesmiselne birokracije, hkrati pa okrepitev jedra – zaščite posameznika, preglednosti in odgovornosti.

Oktober – mesec kibernetske varnosti!

V današnjem digitalnem svetu so grožnje kibernetske varnosti stalnica, ne izjema. Napadi so vedno bolj sofisticirani, tarče so tudi manjša podjetja, saj so storitve in sistemi vse bolj integrirani. Zato je prav, da v mesecu oktobru (in vselej!) opozorimo, kako se lahko podjetja zaščitijo pred digitalnimi tveganji.

Spodaj so izbrane ključne ugotovitve iz najnovejšega poročila ENISA (agencije EU za kibernetsko varnost), ki ilustrirajo resnost in naravo tveganj. Poročilo zajema obdobje od 1. julija 2024 do 30. junija 2025, v katerem je bilo evidentiranih 4.875 incidentov v EU/evropskem prostoru. 

Najpogostejši tip incidentov so bili tim. DDoS napadi (poskus, da sestrežnik, spletna stran ali digitalna storitev preobremeni z ogromnim številom zahtevkov, tako da se zakoniti uporabniki do nje ne morejo več povezati), ki predstavljajo kar 77 % vseh prijavljenih incidentov. 

Večina teh napadov je bila izvedena s stran hekerskih aktivistov, medtem ko so cyber kriminalne skupine v številu manj zastopane pri DDoS napadih. 

Čeprav je DDoS prevladujoč po številu, ostaja ransomware ena najvplivnejših groženj, zlasti zaradi škode, ki jo povzroča (izguba dostopnosti, izsiljevanje, finančne posledice). 

Poročilo poudarja, da se različne grožnje in napadalne skupine vse bolj konvergirajo — uporablja se isti nabor orodij in tehnik, sodelovanje med akterji, recikliranje napadnih metod in izgradnja hibridnih modelov napada. 

Pri metodah vdorov so phishing (socialni inženiring) zasedel zelo visoko mesto — pogosto prva točka vdora.

Izkoriščanje ranljivosti (vključno z nul-dnevnimi ranljivostmi) prav tako ostaja ključna taktika napadalcev. 

Razlogi motivacije so pogosto ideološke narave (pri haktivistih), pa tudi državno-sponzorirane dejavnosti (kibernetsko vohunjenje, informacije manipulacija) v javnem sektorju. 

Poročilo opozarja na povečano kibernetsko medsebojno odvisnost sistemov, kjer motnja ali napaka v enem delu dobavne verige lahko sproži kaskadne učinke v celotnem ekosistemu. 

Ena od pogostih vzrokov za incident je človeška napaka: ENISA navaja, da so napake ljudi prispevale k 13 % prijavljenih incidentov!

Regulatorji po svetu postavljajo vedno višja merila – globe so rekordne, odgovornost pa vse strožja.

Deležniki danes pričakujejo več preglednosti in zaupanja kot kadarkoli prej. Stranke, zaposleni in poslovni partnerji vse bolj pozorno spremljajo, kako podjetja ravnajo z njihovimi podatki – zato postaja odgovorno upravljanje informacij temelj trajne verodostojnosti in zaupanja vrednih odnosov.

Na podlagi smernic, priporočil in dobrih praks, ki jih promovira ENISA in drugi strokovnjaki, so spodaj izpostavljene ključne konkretne akcije, ki jih lahko podjetja izvajajo, da zmanjšajo tveganja:Ocena tveganj in redni pregledi, uvajanje varnostnih politik, upravljanje z dostopi in pravicami (načelo najmanjšega prvilegija), redne posodobitve in zakrpe (patch management), ločevanje omrežij (npr. ločen segment za testiranje, produkcijo), več slojev zaščite (firewall, IDS/IPS, endpoint zaščita), redne in varne varnostne kopije (offline, izven glavnega sistema) in redno testiranje obnovitve, Usposabljanje zaposlenih in ozaveščanje, načrt odziva na incidente (incident response plan), testiranje (penetration test, red teaming, varnostne vaje), varnostne zahteve do partnerjev, vsaka komponenta ali storitev mora izpolnjevati varnostne kriterije, uporaba sistemov za zaznavanje težav (SIEM, log monitoring), analiziranje odstopanj, hitra eskalacija.

EU je začela posvetovanje o poenostavitvah v digitalnem svežnju

Evropska komisija je začela posvetovanje o t. i. Digitalnem omnibusu, s katerim želi poenostaviti pravila na področju podatkov, kibernetske varnosti in umetne inteligence. Cilj je zmanjšati administrativna bremena, povečati pravno predvidljivost in hkrati ohraniti visoke standarde varnosti ter varstva pravic uporabnikov. Posvetovanje je odprto do 14. oktobra 2025. 

Kaj je na mizi

• AI Act (Uredba o umetni inteligenci) – Komisija preučuje ciljno prilagoditev izbranih določb, da bi naslovila izzive, ki so se pokazali pri zgodnji implementaciji, in okrepila predvidljivost za deležnike. 

• ePrivacy (”piškotki” in sledenje) – posodobitve za zmanjšanje utrujenosti nad soglasji in bolj uravnoteženo uporabo piškotkov ter sorodnih tehnologij v korist uporabnikov in gospodarstva. 

• Kibernetska poročila – potencialne poenostavitve pri obveznostih poročanja o incidentih. 

Komisija je posvetovanje predstavila kot prvi korak v smeri poenostavitve digitalnega pravnega okvira; odzive zbirajo v okviru postopka Call for Evidence. 

Že spomladi je Komisija EU napovedala poenostavitev vodenja evidenc dejavnosti obdelave za manjša in srednja podjetja (razširitev obstoječe izjeme iz 30(5) GDPR na “small mid-caps”). Pobudo sta pozdravila EDPB in EDPS. Trenutni posvet pa teh predlogov ne širi, temveč se osredotoča na zgornje tri sklope. Evropski komisar Michael McGrath je na Global Privacy Assembly v Seulu poudaril, da je GDPR “primeren za svoj namen”; deležniki v praksi predvsem potrebujejo jasna, izvedljiva navodila, ne pa celovitega odpiranja uredbe. 

Zakaj so poenostavitve pomembne za podjetja

• Manj administracije, več predvidljivosti pri AI Act in kibernetskih pravilih. 

• Možna racionalizacija “cookie” režima, da se zmanjša (cookies fatigue)  in omogoči razumnejša uporaba tehnologij sledenja. 

• Nadaljnja razbremenitev pri GDPR evidencah obdelav za manjše subjekte (v pripravi). 

Kako sodelovati

• Oddaja mnenj: prek portala Have Your Say (Digital package – Digital Omnibus). Rok: 14. oktober 2025. 

• Osnovne informacije in sporočilo za javnost: stran Evropske komisije (DG CONNECT).

Uveljavljanje odškodnine po GDRP - sodna praka Sodišča Evropske unije

V današnjem ITLAW novičniku predstavljamo sodno prakso Sodišča Evropske unije glede uveljavljanja škode s strani posameznika zoper upravljavca ali obdelovalca zaradi njune kršitve obvez, kot jih določa GDPR (npr. obdelava brez pravnega temelja, nepooblaščeno razkritje ali drugačna zloraba osebnega podatka posameznika, kibernetski napad). Za uveljavitev oprostitve odgovornosti po 82(3). členu GDPR mora upravljavec oz. obdelovalec prepričljivo z dokazi pokazati, da ravna odgovorno (načelo odgovornosti): dokazati, da ima sorazmerne in dejansko operativne tehnične in organizacijske ukrepe (TOU) ter da iz dejanskega stanja izhaja, da škodni dogodek ni – niti deloma – pripisen pomanjkljivostim upravljanja ali varnosti na njuni strani. Navedba, da je do zlorabe osebnih podatkov prišlo zaradi »kibernetskega napada« sama po sebi ni obramba; obramba je zgolj le dokaz o ustrezni skrbnosti.

82. člen GDPR določa:

(i) da ima vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve GDPR uredbe, pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

(ii) da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, ki krši uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

(iii) Upravljavec ali obdelovalec je izvzet od odgovornosti, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

Sodišče Evropske unije je v zadnjih letih že postavilo glavne pravne standarde presoje kakšni pogoji morajo biti izpolnjeni za plačilo škode posamezniku zaradi kršitve GDPR in kako se lahko upravljavec/obdelovalec razbremenita odgovornosti za škodo nastalo posamezniku zaradi njihove kršitve GDPR (npr. obdelava brez pravnega temelja, nepooblaščeno razkritje, kibernetski napad). 

1) Pravni standard in dokazno breme

Odškodninska odgovornost po 82. členu temelji na treh kumulativnih predpostavkah: (i) kršitev GDPR, (ii) nastanek škode (materialne ali nematerialne) in (iii) vzročna zveza med kršitvijo in škodo. Ne gre za avtomatično odškodnino; funkcija 82. člena je kompenzacijska, ne kaznovalna, višina odškodnine pa je prepuščena nacionalnemu pravu.  

Oprostitev po 82(3). členu: upravljavec ali obdelovalec je odgovornosti oproščen samo, če dokaže, da ni na noben način odgovoren za dogodek, ki je povzročil škodo. Ni dovolj zgolj sklicevanje na ravnanje tretje osebe (npr. napadalca) ali na napako zaposlenega; treba je pozitivno izkazati, da ob upoštevanju vseh okoliščin škodnega dogodka ni mogoče pripisati pomanjkljivosti upravljavca/obdelovalca.

2) Kaj »ni na noben način odgovoren« pomeni v praksi

Za uspešno sklicevanje na 82(3) mora upravljavec/obdelovalec prepričljivo predložiti dokaze, da je pred in v času dogodka:

- Izvedel in vzdrževal ustrezne tehnične in organizacijske ukrepe -TOM (32. člen GDPR), sorazmerne realnim tveganjem, ter njihove učinkovitosti ne le določil na papirju, temveč jih tudi preizkušal in nadzoroval. Tipično to zajema: oceno tveganj, nadzor dostopov/MFA, šifriranje, upravljanje ranljivosti in nameščanje popravkov, dnevniške zapise/monitoring, odzivanje na incidente, varnostne kopije in preizkuse obnovitev, nadzor dobavne verige, usposabljanja ter varni razvoj (kjer je relevantno). Ključna sta dokumentiranje odločitev in periodično pregledovanje.

- Udejanjil načelo odgovornosti (5. in 24. člen GDPR): minimizacija podatkov, omejitev namena, omejitev hrambe, transparentnost, zmožnost izkazovanja skladnosti v praksi, audir reporti, zapisniki testiranj (ne zgolj izkazovanje skladnosti v sprejetih politikah/pravilnikih temveč dejansko izvajanje v praksi).

- Prekinil vzročno zvezo: izkazal, da je škoda nastala zaradi neodvrnljivega zunanjega dogodka, kljub razumno pričakovanemu naboru ukrepov (npr. hitra zloraba takrat neznane ranljivosti – »zero-day« – ob hkratni segmentaciji, MFA in aktivnem nadzoru) ali zaradi ravnanja osebe v nasprotju s jasnimi, izvrševanimi navodili pri vzpostavljenih razumnih preventivnih in detekcijskih ukrepih.

- Če nastopa kot obdelovalec: izkazal, da je deloval izključno po dokumentiranih navodilih upravljavca (28. in 29. člen GDPR), da je izpolnjeval lastne obveznosti (zaupnost, varnost, izbira in nadzor pod-obdelovalcev) in da škodni dogodek ni posledica opustitev na njegovi strani.

Kaj ne zadošča:

- Golo sklicevanje, da je bil dogodek posledica »hekerskega napada« ali »človeške napake«, brez materialnih dokazov o ustreznih in delujočih TOM ter nadzoru. 

- Sklicevanje na »resnost« kršitve kot razlog za znižanje odgovornosti. 

3) Seznam dokumentov/opravil za tožene stranke (upravljavci/obdelovalci) v primerih odškodninskih zahtevkov

Pri pripravi na sklicevanje na 82(3). člen GDPR - »ni na noben način odgovoren« je pomembno razpolagati (odvisno od primera do primera) z naslednjim primeroma navedenim naborom mogočih dokazov:

- oceno tveganj/DPIA za zadevne obdelave in tveganja;

- izvedeni in dokumentirani nadzori dostopov/MFA, načelo najmanjših potrebnih obdelav, varnostni nadzor in vodenje dnevniških zapisov na prizadetih sistemih;

- upravljanje popravkov/ranljivosti z določenimi SLA ter dokumentiranimi obravnavami konkretnih CVE(če obstajajo);

- dokazi o šifriranje pri prenosu in v mirovanju ter ustrezno upravljanje kriptografskih ključev, kjer je to primerno;

- vzdrževanje postopka odzivanja na incidente z časovnicami, ki izkazujejo pravočasno zaznavo, zamejitev, odpravo, obveščanje in naučene lekcije;

- upravljanje dobaviteljev/pod-obdelovalce (ocene tveganj, pogodbe, revizije, varnostna dokazila), ki so relevantni za dogodek;

- dokazi o usposabljanju zaposlenih in uveljavljanje politike/discipline (npr. sankcije za kršitve) z ustreznimi zapisi ali potrdili;

- obstoj varnostnih kopij in testov obnove (za incidente razpoložljivosti);

- za obdelovalce: hramba dokumentiranih navodil upravljavca in dokazila o spoštovanju teh navodil (za izključitev odgovornosti)

4) »Kibernetski napad« — kako pravno opredeliti dogodek

GDPR pojma »kibernetski napad« ne definira. Instrumenti EU s področja kibernetske varnosti (zlasti NIS2) in gradiva ENISA opredeljujejo incident kibernetske varnosti kot vsak dogodek, ki ogrozi razpoložljivost, avtentičnost, celovitost ali zaupnost podatkov ali storitev omrežnih/informacijskih sistemov. Kibernetski napad je praviloma naklepno povzročeni incident take vrste (npr. prevzem računa s pomočjo phishinga, ransomware, izraba programske ranljivosti, kompromitacija dobavne verige).

Zakaj je oznaka pravno pomembna: zgolj poimenovanje dogodka kot »kibernetski napad« samo po sebi ne zadošča za uporabo 82(3). člena GDPR. Sodišče EU jasno poudarja, da zunanji napad ne razbremeni avtomatično upravljavca/obdelovalca; sodišče bo še vedno presojalo, ali so obstajali ustrezni tehnični in organizacijski ukrepi in ali so dejansko delovali (bili izvajani).

Primer: Verjetnejša oprostitev odgovornosti: zero-day ranljivost je bila izkoriščena v nekaj urah v popolnoma posodobljenem, segmentiranem okolju, zaščitenem z MFA, z aktivnim nadzorom in hitro zajezitvijo, pri čemer konkretne zlorabe razumno ni bilo mogoče preprečiti ali pravočasno zaznati. Obstajata dokumentirana pripravljenost in analiza po incidentu.

Poudarek: izkažite ustreznost ukrepov in pravočasen odziv.

Oprostitev malo verjetna: Napadalcem uspe, ker avtomatizirano preizkušajo že razkrita uporabniška imena in gesla, sistem pa nima vklopljene večfaktorske avtentikacije; ransomware se širi zaradi ploskega (ne-segmentiranega) omrežja oziroma odsotnosti EDR; pride do odtekanja občutljivih podatkov, ker manjka šifriranje in pregledi dostopov; ali pa zaposleni pošlje podatke iz organizacije brez DLP, usposabljanja in nadzornih ukrepov. To praviloma kaže na odgovornost subjekta.

Zgornji povzetek temelji na naslednjih odločitvah Sodišča Evropske unije:

Österreichische Post (C-300/21)

MediaMarktSaturn (C-687/21):

NAP – Bulgarian NRA (C-340/21)

GP v juris (C-741/21)

 V primeru dodatnih vprašanj smo vam na voljo.

5 GDPR napak, ki jih ponudniki oblačnih storitev (SaaS) še vedno delajo

☁️ 5 GDPR napak, ki jih ponudniki oblačnih storitev (SaaS) še vedno delajo

GDPR velja že od 2018, pa vendar opažamo, da se pri ponudnikih SaaS in cloud rešitev vedno znova ponavljajo iste napake:

1. “Mi smo samo obdelovalci”

Mnogi SaaS ponudniki se vidijo samo kot obdelovalci in verjamejo, da vsa odgovornost leži na naročniku (upravljavcu). Resnica je drugačna: 

• Pogosto nastopate tudi kot upravljavci (npr. pri obračunu, uporabniških računih, dnevniških zapisih, analitiki).

• Ta dvojna vloga pomeni dodatne obveznosti – in regulatorji pričakujejo, da jo boste jasno prepoznali in dokumentirali.

  Naš nasvet: Natančno popišite svoje dejavnosti obdelave in ločite, kje ste obdelovalec in kje upravljavec. 

2. Generične DPA pogodbe

Pogodbe o obdelavi podatkov (DPA) so pogosto zgolj kopirane šablone. Napake: 

• Manjkajo podatki o pod-obdelovalcih ter neurejeni podgodbeni odnosi s pod-obdelovalci

• Zamegljene obveznosti glede varnosti

• Ni jasnih postopkov za revizije ali prijavo incidentov

Naš nasvet: Ne uporabljajte “copy-paste” vzorcev. DPA mora odražati vaš dejanski model storitev in infrastrukture.

3. Prenosi osebnih podatkov v tujino

Po razsodbi Schrems II in novih pravilih glede prenosa podatkov v ZDA mnogi še vedno:

• Gostijo podatke zunaj EGP brez ustreznih zaščite

• Uporabljajo zastarele standardne pogodbene klavzule (SCC).

• Pozabijo na oceno učinkov prenosa (TIA)

Naš nasvet: Bodite transparentni glede lokacij podatkov. Redno posodabljajte SCC in dokumentirajte ocene tveganja prenosa.

4. Varnost (le) na papirju

SaaS onudniki pogosto ponosno omenjajo ISO certifikate in šifriranje – a GDPR zahteva dejanske, na tveganju temelječe ukrepe:

• Slabi nadzori dostopa
• Nepopolno beleženje dostopov 
• Brez rednih penetracijskih testiranj
  
• Slabo obladovanje tveganj pri uporabi odprtokodnih rešitev
• pomankljive HR politike pri prihodu novih sodelavcev in odhodu zaposlenih
• Pooblaščena oseba za varstvo podatkov (DPO) samo formalnost na papirju brez prave vključenosti v delovne procese
• oseba, ki skrbi za izvajanje certifikatov je zaposlena še z ostalimi dolžnosti, kar privede do pomankanja fokusa na zadeve informacijske varnosti ali pa konflikta interesov

Naš nasvet: Dokumentirajte ne samo katere varnostne ukrepe imate, ampak tudi kako zmanjšujejo tveganja. Stranke in regulatorji pričakujejo dokaze, ne marketinških sloganov. 

5. Pravice posameznikov

Veliko SaaS ponudnikov na papirju ponuja pravico dostopa, popravka ali izbrisa podatkov – a v praksi: 

• Zahtevki se izgubijo med “support” karticami

• API-ji ne omogočajo popolnega izbrisa

• Roki (30 dni!) se zamujajo.

Naš nasvet: Vključite uveljavljanje pravic posameznikov v svoje procese in produktno zasnovo. Kar se da avtomatizirajte, ostalo pa podprite z usposobljeno podporo. 

Uredba o podatkih (Data Act)

Spodaj predstavljamo ključne obveznosti za IoT ponudnike po Uredbi o podatkih (Data Act), ki začne veljati v ponedeljek 1. septembra 2025.

Kdo so zavezanci:

- Proizvajalci povezanih naprav (IoT) - Vsak, ki proizvaja in daje na trg pametne naprave (npr. vozila, pametne ključavnice, sledilne naprave, pametne ure …).

- Ponudniki povezanih storitev (To so storitve, ki so neposredno vezane na delovanje teh naprav (npr. mobilne aplikacije, oblačne platforme, spremljevalne analitike).

- Ponudniki oblačnih in robnih storitev (cloud & edge) - Vsak ponudnik oblačnih rešitev mora omogočiti prenosljivost storitev (brez “vendor lock-in”), interoperabilnost in zaščito pred nezakonitim dostopom izven EU.

- Podjetja, ki sklepajo B2B pogodbe o deljenju podatkov (Posebej varovani so SME-ji (mala in srednja podjetja), da večji partnerji ne vsilijo nepoštenih pogodbenih pogojev).

- Javni sektor (V izrednih razmerah (poplave, pandemije) lahko organi zahtevajo dostop do zasebno ustvarjenih podatkov, vendar pod sorazmernimi pogoji in ob pravičnem nadomestilu.)

Za kakšne podatke velja:

Uredba o podatkih se uporablja za vse vrste podatkov, ki nastanejo v EU:

- Osebni podatki (ki so hkrati zajeti tudi v GDPR).

- Neosebni podatki (npr. podatki strojev, senzorjev, industrijski podatki).

To pomeni:

Če gre za osebne podatke → Uredba o podatkih se uporablja skupaj z GDPR. Uredba o podatkih nikoli ne izniči GDPR; GDPR še vedno ureja zasebnost in temeljne pravice.

Če gre za neosebne podatke → Uredba o podatkih se uporablja samostojno (npr. podatki senzorja o temperaturi, izhod industrijskega stroja).

Teritorijalni obseg:

Če je IoT ponudnik lociran v EU in prodaja naprave tako EU kot ne-EU uporabnikom:

- Za EU users’ data → Uredba velja.

- Za non-EU users’ data → Uredba ne velja. 

Podjetje naj razmisli, če ni morda smiselno aplicirati globalno politiko in ne razbijati regulatorne skladnosti po geografskem ključu?

 Povzetek obvez zavezancev:

1. Dostop uporabnikov do podatkov naprav

- Uporabniki (posamezniki in podjetja) morajo imeti možnost dostopa do podatkov, ki jih ustvarijo njihove povezane naprave – enostavno, varno in v realnem času.

- To vključuje surove podatke senzorjev in druge podatke o uporabi.

- Dostop mora biti za uporabnika zagotovljen brezplačno.

Primer: kmet, ki uporablja pametno kmetijsko napravo, mora imeti možnost pridobiti vse operativne podatke, ki jih ta naprava ustvari.

2. Deljenje podatkov s tretjimi osebami

- Na zahtevo uporabnika morajo ponudniki omogočiti deljenje podatkov s tretjimi osebami (npr. servisnimi podjetji, analitičnimi ponudniki).

- Pogoji deljenja morajo biti pošteni, razumni in nediskriminatorni (FRAND).

- Naprav ne smejo zasnovati tako, da bi omejevale dostop do uporabniško ustvarjenih podatkov.Posledica: IoT ponudniki bodo morali pripraviti API-je ali vmesnike za varen prenos podatkov.

3. Poštenost pogodb v B2B odnosih

- Konec enostranskih in nepoštenih pogodbenih pogojev.

- Klavzule, ki jih močni akterji vsilijo malim in srednjim podjetjem, bodo neizvršljive.

Namen: zaščita manjših igralcev, ki so odvisni od dostopa do podatkov v večjih IoT ekosistemih.

4. Preklapljanje med oblačnimi storitvami

- IoT ponudniki, ki nudijo oblačne storitve, morajo omogočiti strankam, da prenesejo svoje podatke in aplikacije k drugemu ponudniku brez ovir.

- Prepoved vezave na enega ponudnika (vendor lock-in): prehodi morajo biti tehnično izvedljivi, nadomestila se odpravljajo.

5. Dostop javnega sektorja v izrednih razmerah

- V primeru javnih izrednih razmer (npr. pandemija, poplave) bodo javni organi lahko zahtevali dostop do podatkov IoT ponudnikov.

Takšne zahteve morajo biti sorazmerne, ponudniki pa upravičeni do poštenega nadomestila. 

6. Varovanje podatkov pred dostopom tretjih držav

- Ponudniki morajo vzpostaviti ukrepe za preprečevanje nezakonitega dostopa tujih oblasti do podatkov (izven EU). To je še posebej pomembno za podatke IoT, ki se shranjujejo ali obdelujejo v oblakih zunaj EU.

7. Pravila za pametne pogodbe (smart contracts)

- Uredba uvaja posebna pravila za pametne pogodbe, ki se uporabljajo pri avtomatiziranem deljenju podatkov.

- IoT ponudniki, ki ponujajo« tržnice« s podatki ali avtomatizirano deljenje, morajo zagotoviti varnost, možnost prekinitve in revizijo teh pametnih pogodb.

Hiitra checklista aktivnosti za dosego skladnosti:

- Popis vseh podatkov, ki jih naprave ustvarjajo.

- Usposobljanje ekipe.

 - Posodobljene interne politike upravljanja s podatki, vključno s politiko zasebnosti.

 - Postopki za dostop uporabnikov in deljenje podatkov s tretjimi.

 - Posodobljene pogodbe in pogoji poslovanja.

 - Tehnične rešitve (API-ji, orodja za prenosljivost).

NIS2 in ZInfV-1: Kaj pomeni nova ureditev za IT ponudnike in proizvajalce pametnih naprav?

NIS2 in ZInfV-1: Kaj pomeni nova ureditev za IT ponudnike in proizvajalce pametnih naprav?

Slovenija je sprejela nov Zakon o informacijski varnosti (ZInfV-1), s katerim v naš pravni red vstopa evropska direktiva NIS2. Namen zakonodaje je dvigniti raven kibernetske varnosti v celotni EU, pa tudi razširiti krog podjetij, ki morajo aktivno skrbeti za skladnost.

NIS2 in ZInfV-1 zajemata precej širši krog subjektov kot prej. Med zavezance sodijo:

- Ponudniki IT storitev: ponudniki cloud storitev (IaaS, PaaS, SaaS), podatkovnih centrov, gostovanja, DNS storitev in podobne digitalne infrastrukture.

- Proizvajalci in ponudniki elektronskih naprav, povezanih v omrežje: če vaš produkt deluje prek interneta (npr. pametne naprave za sledenje, pametne ključavnice, IoT naprave), sodite v ekosistem, kjer so zahteve po varnosti še posebej stroge.

ZInfV-1 uvaja vrsto obveznosti, ki jih morajo zavezanci implementirati:

- Upravljanje tveganj – obvezna ocena tveganj za informacijske sisteme in podatke.

- Tehnični in organizacijski ukrepi – redni varnostni pregledi, patch management, zaščita pred napadi.

- Odzivanje na incidente – obvezna prijava kibernetskih incidentov v 24 urah, dopolnitve v 72 urah, končno poročilo v 30 dneh.

- Varnost v dobavni verigi – preverjanje varnosti vaših partnerjev in dobaviteljev.

- Izobraževanje – redna usposabljanja zaposlenih o kibernetski varnosti.

Kaj to pomeni za IT podjetja in proizvajalce naprav?

Ponudniki IT storitev:  - poleg tehničnih rešitev bodo morali dokazovati tudi skladnost – dokumentacija, politike, pogodbe z naročniki.

Proizvajalci pametnih naprav: - morajo zagotoviti, da je varnost vgrajena že v zasnovo (“security by design”), ter da so procesi za posodabljanje in odpravo ranljivosti urejeni.

Časovnica, na katero ne smete pozabiti

Po 8. členu ZInfV-1 imajo vsi zavezanci 6 mesecev časa, od začetka veljavnosti zakona (tj. od 19. junija 2025),  da opravijo samoregistracijo pri Uradu Vlade Republike Slovenije za informacijsko varnost (URSIV). V 1 letu pa morajo zavezanci  urediti organizacijsko skladnost in v 2 letih implementirati vse tehnične zahteve.

Če želite izvedeti ali ste zavezanec in  kako pripraviti praktični načrt skladnosti za vaše podjetje, nam pišite – skupaj lahko pripravimo pregled skladnosti, dokumentacijo in postopke, ki jih boste potrebovali za brezskrbno poslovanje.

Osnutek Zakona o izvajanju Uredbe (EU) o določitvi harmoniziranih pravil o umetni inteligenci (UI), ki je trenutno v javni obravnavi

Ministrstvo za digitalno preobrazbo je pripravilo osnutek Zakona o izvajanju Uredbe (EU) o določitvi harmoniziranih pravil o umetni inteligenci (UI), ki je trenutno v javni obravnavi na portalu eUprava.

Zakon ne prinaša novih pravil oziroma obveznosti za sisteme UI, saj jih določa že evropska uredba – Akt o umetni inteligenci (Akt). Njegov glavni namen je namreč določiti, kateri organi v Sloveniji bodo skrbeli za učinkovito izvajanje in nadzor nad pravili Akta. 

Ker določbe Akta veljajo neposredno v vseh državah članicah, osnutek zakona določa le pristojne organe za izvajanje in nadzor ter prekrške in globe, kot to od držav članic zahteva evropska uredba. V skladu z osnutkom zakona so kot organi za nadzor trga predvideni Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS), Informacijski pooblaščenec, Agencija za zavarovalni nadzor, Banka Slovenije in Tržni inšpektorat. 

Zakon določa tudi enotno kontaktno točko, pristojni organ za vodenje evidence visoko tveganih sistemov UI s področja kritične infrastrukture ter organ za vzpostavitev regulativnih peskovnikov za UI in njegove naloge. Poleg tega so predvideni tudi ukrepi ministrstva za izvedbo promocijskih kampanj, namenjenih širjenju znanja o Aktu – posebej prilagojeno malim in srednjim podjetjem, zagonskim podjetjem, uvajalcem ter organom lokalnih skupnosti. 

Akt o umetni inteligenci (AI) prične veljati 1.8.2024

Akt o umetni inteligenci (UI) EU je bil objavljen v Uradnem listu in bo začel veljati 1. avgusta 2024, pri čemer se bo skladnost postopoma uvajala v triletnem obdobju. Akt, ki ga EU slavi kot prvi tovrstni akt na svetu, je najobsežnejši poskus urejanja uporabe UI do zdaj. Temelji na pristopu, ki temelji na tveganjih, s ciljem uravnotežiti inovacije in regulacijo ter hkrati varovati temeljne pravice.

Kaj zajema? 

Akt o UI zajema vse sisteme umetne inteligence, ki so dani na trg EU, ne glede na to, ali jih je izdelalo podjetje iz EU (z omejenimi izjemami). 

Nekateri sistemi, ki predstavljajo nesprejemljivo tveganje, so prepovedani, na primer tisti, ki manipulirajo z odločitvami, izkoriščajo ranljivosti ali ocenjujejo socialno vedenje.

Večina obveznosti velja za visoko tvegane sisteme, ki bi lahko pomembno vplivali na varnost ljudi ali temeljne pravice. 

Posebna pravila veljajo za modele splošne umetne inteligence, pri čemer so dodatne obveznosti naložene za GPAI-je, ki predstavljajo sistemska tveganja.

Koga zadeva? 

Glavne obveznosti veljajo za ponudnike in uporabnike sistemov umetne inteligence (z omejenimi izjemami). Vendar pa so zajeti tudi uvozniki, distributerji in proizvajalci izdelkov. 

Katere so obveznosti? 

Tisti, ki so zajeti, bodo morali upoštevati širok nabor varnostnih dolžnosti, ki lahko glede na naravo sistema umetne inteligence vključujejo zahteve po registraciji, preglednosti, poročanje o incidentih, upravljanje tveganj, skladnost in spremljanje ter dokumentacijo in vodenje evidenc, če jih naštejemo le nekaj. 

Ali obstajajo kazni za neupoštevanje? 

Akt o UI določa kazni za neskladnost do 35 milijonov evrov ali 7 % letnega svetovnega prometa za prepovedane prakse UI, do 20 milijonov evrov ali 4 % za kršitve visoko tveganih sistemov in kazni do 7,5 milijona evrov ali 1,5 % za navajanje napačnih ali zavajajočih informacij. Manjše kazni veljajo za mala in srednja podjetja. 

Časovni načrt za skladnost 

Akt o UI bo začel veljati 1. avgusta 2024 in se bo večinoma uvajal v triletnem obdobju. 

Uporaba generativne umetne inteligence (GAI) v delovnih procesih

Kako primerno uporabljati orodja GAI v delovnem procesu upoštevaje zakonodajo na področju intelektualne lastnine, poslovnih skrivnosti, varstva osebnih podatkov in nelojalne konkurence

Generativna umetna inteligenca (GAI) je vrsta umetne inteligence, ki je sposobna ustvarjati nove in izvirne podatke, kot so besedilo, slike, glasba ali kode računalniških programov. Kot npr. OpenAI, Copilot, Bing AI in drugi. Namesto da bi zgolj izvajala določene naloge na podlagi vnaprej določenih pravil, kot to počne tradicionalna umetna inteligenca, generativna AI uporablja kompleksne modele in algoritme, da ustvari novo vsebino, ki je podobna naučeni. Ta tehnologija omogoča ustvarjanje avtomatičnih generativnih sistemov, ki lahko ustvarijo raznolike in kreativne rezultate, kar je lahko uporabno v različnih področjih, kot so pisanje, programiranje, glasba, umetnost in še več. 

Skoraj ni več segmenta družbe, kjer ne bi prihajalo do uporabe GAI. Hitro napredovanje in široka uporaba GAI postavljata kompleksna vprašanja v zvezi z avtorstvom, izvirnostjo in etično uporabo avtorskih materialov, ki se uporabljajo za učenje AI ter tudi rezultatov GAI.

Določitev pravil glede uporabe GAI v delovnem procesu postaja pomembno področje interne regulacije v družbi, saj uporaba prinaša številna tveganja in vprašanja. V tem prispevku se osredotočam na vprašanje uporabe GAI v delovnem procesu kot pomoč družbam, ki uvajajo orodja GenAI, pri razumevanju tveganj v povezavi z njihovo uporabo, postavljanju pravih vprašanj in razmišljanju o potencialnih zaščitnih ukrepih. Spodaj so glavni poudarki:

1. Podjetja in organizacije bi morale razmisliti o uvedbi ustrezne politike glede uporabe GAI ter usposabljanja zaposlenih glede priložnosti in omejitev te tehnologije. Torej proaktivni in strukturiran pristop je ključen pri premagovanju izzivov, povezanih z uporabo generativne AI. V nasprotnem je uporaba prepuščena posameznikom, ki so eni več ali manj iznajdljivi in eni več ali manj poučeni.  Predlagamo spodbujanje odgovornega eksperimentiranje in uporabo GAI.  
   

• V primerih uporabe GAI pri snovanju/produkciji novih storitev/produktov se izogibante uporabi zaupnih informacij v navodilih danih GAI. Izogibanje uporabe intelektualne lastnine tretjih oseb v navodilih GAI in izogibanjem tim. globokimim ponaredkom (ang. deep-fake) - tehnologijo, ki lahko umetno ustvari fotografije ali videoposnetke, ki dejansko ne odražajo resničnega dogodka, ampak z uporabo umetne inteligence v tolikšni meri spremenijo obstoječo sliko ali videoposnetek, da ta pridobi popolnoma drug pomen in uporabo 
  
• Vodite kategoriziran seznam orodij za umetno inteligenco v uporabi glede na tveganje. Redno ocenjujte in posodabljajte politike glede na razvijajoča se tveganja.  
  
• Vodenje evidenc - dokumentirajte, kako so bila orodja za umetno inteligenco uporabljena. Označite output (rezultat), generiran s pomočjo umetne inteligence in vodite evidence uporabljenih navodil. Dokumentirajte vlogo človeka v procesu ustvarjanja. 
•  Podjetja in organizacije, ki uporabljajo orodja GAI, lahko nenamerno razkrijejo poslovne skrivnosti ali osebne podatke oziroma opustijo zaupnost komercialno občutljivih informacij, če se takšne informacije uporabljajo pri razvijanju storitev in produktov in pri tem družbe uporabljajo pomoč AI orodij. Podjetja in organizacije bi morale razmisliti o uvedbi kombinacije tehničnih, pravnih in praktičnih varnostnih ukrepov, da preprečijo tovrstna razkrivanja. Prvi korak pa je seveda strukturiranje/segmentiranje podatkovnih baz v družbi na tiste, ki vsebujejo osebne podatke in tiste, ki vsebujejo poslovne skrivnosti ter dosledno izvajanje ukrepov varstva osebnih podatkov in poslovnih skrivnosti (kot npr. omejitev dostopa, psevdoanonimizacija) 

• Še vedno obstaja pomembno pravno nerazumevanje AI orodja, njihovo učenje, uporaba in rezultati lahko predstavljajo kršitve intelektualne lastnine, kršitev poslovnih skrivnosti in nelojalno konkurenco.    
• o EU AI Akta ( EU Uredbe o določitvi harmoniziranih pravil o umetni inteligenci uredbe) se v majhnem obsegu opredeli do vprašanj intelektualne lastnine ko priznava obstoječe pravne okvire za varovanje imetnikov pravic intelektualne lastnine kot veljavne tudi za primere AI. EU AI Akt pa naredi zelo malo za vzpostavitev novih pravil glede vprašanj intelektualne lastnine. Na primer, splošnim modelom umetne inteligence po AI zakonu naloži, da poročajo o podatkih, uporabljenih v njihovih modelih za usposabljanje, ki jih je treba dokumentirati "brez škode za potrebo po spoštovanju in varovanju pravic intelektualne lastnine ter zaupnih poslovnih informacij ali poslovnih skrivnosti v skladu s pravom Unije in nacionalnim pravom”.   
  
• Družbe bi morali razmisliti o zmanjšanju tveganja z uporabo GAI orodij, skladnih s pravom intelektualne lastnine, iskanju primernih pogodbenih zavez od proizvajalcev AI orodij , če je mogoče, preverjanju naborov podatkov ter uvedbi tehničnih in praktičnih ukrepov za zmanjšanje verjetnosti kršitve. 

• Programska koda, ki jo generira AI, je lahko predmet obveznosti odprtokodnih (open-source) rešitev saj je lahko GAI učena na kodi, ki je predmet zahtev odprte kode, kot so omejitve glede komercialne uporabe ali avtorstva. V ZDA poteka trenutno pravni spor glede tega. Ko je programska aplikacija ali koda odprtokodna, to pomeni, da je izvorna koda na voljo javnosti, in uporabnikom pogosto daje določene pravice in svobode za uporabo, spreminjanje in distribucijo programske opreme. Vendar pa te pravice in svobode prinašajo obveznosti, ki jih morajo uporabniki spoštovati, kot je navedba avtorstva, in te obveznosti se razlikujejo glede na konkretno odprtokodno licenco, ki ureja programsko opremo. Zato morajo družbe pretehtati, ali je to tveganje primerno za njihovo kodo, preučiti morebitne odškodninske odgovornosti ter uvesti tehnične in praktične ukrepe za zmanjšanje verjetnosti nastanka obveznosti odprtokodne programske opreme. 

• GAI ima potencial, da posnema podobo ali glas določenih ljudi, pri čemer so nekatera orodja izrecno zasnovana za ta namen. Družbe bi morale upoštevati tveganja, povezana s takšnimi sposobnostmi. 

• Obstoj in lastništvo pravic intelektualne lastnine v rezultatih GAI sta nejasna. Družbe bi morale iskati pogodbene jasnosti glede lastništva ter razmisliti o uporabi GAI le v primerih, ko lastništvo intelektualne lastnine v rezultatih ni ključno za njihov poslovni model. Ni nujno, da je avtorsko pravo opremljeno za obravnavo vseh scenarijev AI-generirane vsebine.  
  

• Dela, ki jih program AI ustvari na podlagi neposrednih navodil, pomoči ali s prispevkom človeka, so praviloma varovana z avtorskimi pravicami. V takšnem primeru je AI zgolj orodje, ki človeku pomaga pri ustvarjanju vnaprej določenega oziroma napovedanega cilja oziroma rezultata. Rezultati, ki nastanejo s pomočjo GAI, v skladu z veljavnim avtorskim pravom EU uživajo varstvo, če se izkaže, da so rezultat človeških kreativnih odločitev, ki so izražene v teh produktih, pri čemer mora človeški avtor imeti vlogo vsaj v eni izmed treh faz ustvarjalnega procesa v produkciji, ki ji pomaga AI. Te faze so: (i) zasnova (zasnova in specifikacije),(ii) izvedba (izdelava osnutkov različic) in (iii) redakcija (urejanje, dokončanje). AI ima ponavadi prevladujočo vlogo v fazi izvedbe; vloga človeških avtorjev je ponavadi bistvena v fazi zasnove in v številnih primerih tudi v fazi redakcije. Ali je vloga človeškega avtorja dovolj pomembna oziroma ali je v posamezni fazi imel oziroma prispeval zadostno ustvarjalno izbiro, je treba presojati od primera do primera. Končni rezultat procesa bo užival avtorskopravno varstvo samo ob predpostavki, da so ustvarjalne odločitve človeškega avtorja (ki jih stori v eni izmed faz) v končnem produktu, ki nastane s pomočjo GAI, tudi izražene. Samo produkti, ki jih pomaga ustvariti AI, se lahko klasificirajo kot “avtorsko dela” skladno z avtorskim pravom EU v skladu s splošnim načelom avtorskega prava, kjer so samo fizične osebe lahko avtorji avtorskih del. 
• Glede na vedno večjo uporabo GAI v praksi in z uporabo povezana tveganja postaja področje uporabe GAI tudi eno od področij, ki se jim posveča vedno več kupcev v postopkih nakupa družb (M&A) v postopkih skrbnega pregleda. 
  

V primeru dodatnih vprašanj ali v primeru, da potrebujete pomoč pri razvoju pravil uporabe GAI v vaši družbe smo na voljo.

Vesna Stanković, univ. dipl. pravnica

Več si lahko preberete tudi na:

- https://op.europa.eu/en/publication-detail/-/publication/394345a1-2ecf-11eb-b27b-01aa75ed71a1/language-en

- https://www.wipo.int/export/sites/www/about-ip/en/frontier_technologies/pdf/generative-ai-factsheet.pdf

- https://op.europa.eu/en/publication-detail/-/publication/cc293085-a4da-11ec-83e1-01aa75ed71a1/language-en/format-PDF/source-search

Novi pravni okvir prenosa osebnih podatkov med EU in ZDA

Evropska komisija je 10. julija 2023 sprejela odločitev o ustreznosti prenosa osebnih podatkov med EU-ZDA. Zaključek sklepa je, da ZDA zagotavljajo ustrezno raven zaščite – primerljivo z Evropsko unijo – za osebne podatke, prenesene iz EU v ameriška podjetja v skladu z novim okvirom. Na podlagi nove odločbe o ustreznosti, ki je pričela veljati 11.7.2023 lahko osebni podatki varno prehajajo iz EU v podjetja iz ZDA, ki sodelujejo v programu, ne da bi bilo treba uvesti dodatne zaščitne ukrepe za varstvo podatkov (t.i. SCC).

 Nova odločba o ustreznosti je pomembna pridobitev tako za mala in srednje velika podjetja kot za velika podjetja v oblaku. Odpravlja negotovost glede pravne podlage za čezatlantske prenose podatkov ter ponuja cenejšo in predvsem manj zapleteno alternativo dodatnim mehanizmom prenosa, kot so standardne pogodbene klavzule. Nov pravni okvir bo poenostavil prenose podatkov iz EU k certificiranim uvoznikom podatkov v ZDA. Vendar pa bodo zaradi negotovosti glede veljavnosti okvira (tožbe so že napovedane) verjetno številni izvozniki podatkov iz EU morda raje uporabili alternativne mehanizme prenosa, kot so SCC-ji EU v povezavi z ocenami učinka prenosa (transfer impact assessment).

Ključni poudarki:

- Neoviran in varen pretok podatkov: Nov okvir omogoča neoviran in varen pretok osebnih podatkov med EU in sodelujočimi podjetji iz ZDA;

- Omejitve dostopa do podatkov: Dostop ameriških obveščevalnih organov do podatkov je omejen na tisto, kar je potrebno in sorazmerno za zaščito nacionalne varnosti.

- Mehanizem pravnih sredstev: Vzpostavljen je nov dvotirni sistem pravnih sredstev za preiskovanje in reševanje pritožb Evropejcev glede dostopa do njihovih podatkov in njihove uporabe s strani ameriških obveščevalnih agencij.

- Obveznosti podjetja: podjetja, ki obdelujejo podatke, prenesene iz EU, ki se želijo zanašati na novipravni okvir, morajo samocertificirati svojo spoštovanje standardov prek Ministrstva za trgovino ZDA.

- Mehanizmi spremljanja in pregleda: Novi pravni okvir vključuje posebne mehanizme spremljanja izvajanja in pregleda za zagotavljanje skladnosti.

Ob tem pa pripominjamo, da je skrbnost še vedno na mestu:

- novi pravni okvir velja samo za tisto USA podjetja, ki se bodo po novem režimu tudi certificirala pri pristojnem ameriškem ministrstva (US Department of Commerce). Trenutno na listi še ni nobenega podjetja iz ZDA in pravila prehoda iz obstoječega Privacy shealda na nov pravni okvir niso jasna;

- pravni okvir ne velja za prenose osebnih podatkov v javni sektor.

PRELOMNA ODLOČITEV EU SODIŠČA -PRAVICA POSAMEZNIKA DO SEZNANITVE

EU sodišče je ta teden sprejelo prelomno odločitev glede obveze upravljalca osebnih podatkih, da seznani posameznika s kom vse konkretno je delil osebne podatke.

Avstrijska pošta je vzdrževala ogromno bazo podatkov o prebivalcih Avstrije. Podatke je delila s tretjimi osebami. Ko pa so posamezniki, na katere se nanašajo osebni podatki, zahtevali informacije o takšnih prejemnikih podatkov tretjih oseb, je avstrijska poštna služba zavrnila razkritje teh informacij. Namesto tega se je odzvala na pravico posameznikov, na katere se nanašajo osebni podatki, in do zahtev za dostop tako, da je zgolj navedla »kategorije prejemnikov«, kot so »oglaševalci, ki trgujejo po pošti in stacionarnih mestih, IT podjetja, ponudniki poštnih seznamov in združenja, kot so dobrodelne organizacije, nevladne organizacije. (NVO) ali politične stranke.« Vrhovno sodišče Avstrije ni bilo prepričano, ali ta praksa izpolnjuje zahteve 15. člena GDPR.

 EU sodišče pa je sedaj jasno presodilo, da ima posameznik pravico vedeti konkretno komu so bili podatki posredovani. Sodišče je postavilo še nekaj izjem če je:

- Nemogoče je identificirati prejemnike;

- Upravljavec dokaže, da so zahteve posameznika za dostop očitno neutemeljene;

- Upravljavec dokaže, da so zahteve posameznika za dostop pretirane.

 Sodišče teh omejitev sicer ni pojasnilo. Vendar pa bo dokazno breme v zvezi s temi omejitvami vendarle nosil upravljavec podatkov.

Gre za izredno pomembno odločitev. Pravilno izvrševanje te pravice je pomembno tudi v luči zahtev ZVOP-2 glede vodenja dnevnikov obdelav, ki prične veljati ta četrtek, 26.1. 2023.

Vesna Stanković, univ. dipl. pravnica s p.d.i.

ZVOP-2 sprejet!

Državni Zbor je 15.12.2022 sprejel Zakon o varstvu osebnih podatkov (ZVOP-2), s katerim se prenaša evropsko Uredbo o varstvu podatkov (GDPR) v slovensko zakonodajo, ter ureja nacionalne posebnosti varstva osebnih podatkov. Besedilo ZVOP-2 v Uradnem listu še ni objavljeno. Začetek veljavnosti se pričakuje v drugi polovici januarja 2023.

Objavljen je osnutek sklepa o ustreznosti ravni varstva osebnih podatkov v ZDA

EU komisija je 13.12. 2022 sprejela osnutek sklepa o ustreznosti, da ZDA zagotavlja ustrezno raven varstva osebnih podatkov.

 Skladno z določbami Splošne uredbe o varstvu podatkov se lahko prenos osebnih podatkov v tretje države (države izven EU oz. EGP) izvrši, če Evropska komisija za določeno državo, ozemlje oz. mednarodno organizacijo odloči, da ta zagotavlja ustrezno raven varstva osebnih podatkov (t.i. adequacy decision; spisek držav, ozemelj oz. mednarodnih organizacij, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov, se nahaja tu). Če take odločitve o ustreznosti za določeno državo, ozemlje ali mednarodno organizacijo ni, se lahko prenos izvede, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki na voljo izvršljive pravice in učinkovita pravna sredstva. Eden od mehanizmov, ki zagotavlja take ustrezne zaščitne ukrepe, so t.i. standardne pogodbene klavzule (tipske pogodbe), ki jih sprejme Evropska komisija (člen 46/2/(c) Splošne uredbe o varstvu podatkov).

Osnutek sklepa o ustreznosti bo zdaj šel v postopek sprejemanja. Kot prvi korak je Komisija svoj osnutek odločitve predložila Evropskemu odboru za varstvo podatkov (EDPB). Nato bo Komisija zaprosila za odobritev odbora, ki ga sestavljajo predstavniki držav članic EU. Poleg tega ima Evropski parlament pravico do nadzora nad odločitvami o ustreznosti. Ko je ta postopek zaključen, lahko Komisija nadaljuje s sprejetjem končne odločitve o ustreznosti.

Več pa tukaj.

Organizacija Noyb (noyb.eu) v kateri deluje znani aktivist Max Schrems pa je v prvem odzivu že zapisala, da predlagani osnutek sklepa o ustreznosti ravni vrstva osebnih podatkov v ZDA ne bo prestal preizkušnje pred EU sodiiščem

Obseg uporabe legitimnega interesa

Obseg uporabe zakonitega interesa, kot enega od dopustnih pravnh podlag za obdelavo osebnih podatkov še vedno sproža veliko dilem. Spomnimo, da uporaba točke (f) člena 6(1) GDPR zahteva, da so kumulativno izpolnjeni trije pogoji:

– da se z obdelavo zasleduje legitimen (zakonit) interes upravljavca ali tretjih oseb; in 

– da je obdelava potrebna za uresničitev tega interesa; ter

– da ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se podatki nanašajo. 

V pomoč nam je zdaj lahko tudi interpretacija Evropske komisije.  

Evropska komisija je namreč pisala nizozemskemu organu za varstvo podatkov, ki je sprejel zelo restriktiven obseg uporabe legitimnega interesa, saj je odločil, da izključno komercialni interesi upravljavca ne morejo veljati za zakonit interes. 

Evropska komisija poudari, da namen GDPR ni oviranje poslovnih dejavnosti, temveč omogočanje poslovanja ob hkratnem zagotavljanju visoke ravni varstva podatkov. Stroga razlaga, ki jo določa nizozemski regulatorni organ, močno omejuje možnosti podjetij za obdelavo osebnih podatkov za komercialne interese, saj bi morala pridobiti soglasje posameznika, na katerega se nanašajo osebni podatki, v vsakem primeru, ko se zasleduje gospodarski interes, saj druge ustrezne pravne podlage v Členu 6(1) GDPR nii vsled česar bi ta člen dejansko postal neuporaben. 

Evropska komisija podrobno razloži namen in obseg uprabe zakonitega interesa. Komisija svoje pojasnilo temelji na tridelnem preizkusu zanašanja na zakonite interese v kontekstu GDPR in sicer iz primerov odločenih pred EU Sodiščem v zadevi Rigas satiksme in Google Španija ter FashionID.  

Poudarja dejstvo, da sicer lahko povsem komercialni interesi zadostijo prvemu delu testa (ugotavljanje zakonitega interesa za obdelavo) prav tako pa vprašanju, ali je obdelava potrebna, in tehtanju, da se ugotovi, ali ta interes prevlada nad pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki. Če naj bi veljala interpretacija nizozemskega nadzornega organa bi bila izvedba testa sploh povsem onemogočena.  Evropska komisija pa meni nasprotno, da nobeden od drugih dveh delov preizkusa namreč ne izključuje čisto komercialnih interesov, ki izpolnjujejo vse tri dele preizkusa.

Evropska komisija pojasnjuje nove standardne pogodbene klavzule

Evropska komisija je 25. maja 2022 objavila vrsto vprašanj in odgovorov o SCC-jih, ki naj bi se uporabljali med upravljavci in obdelovalci znotraj Evropskega gospodarskega prostora ("EGP"), in o SCC-jih, ki naj bi se uporabljali za prenose v države, ki po mnenju Evropske unije niso ustrezne. Komisija ("tretje države").

Vprašanja in odgovori so sestavljeni iz 44 vprašanj in odgovorov, ki pokrivajo teme, vključno z ozadjem SCC; kako SCC povezovati s širšimi komercialnimi sporazumi (v katere so lahko vključeni); uporaba klavzule o pristopu; in vrste prenosov v tretje države, za katere je treba uporabiti SCC.

Besedilo vprašanj in odgovorov je na voljotukaj. 

Kmalu novi pravni okvir prenosa osebnih podatkov med EU in ZDA?

Komisar za pravosodje EU  in ameriška ministrica za trgovino  sta sporočila, da pospešujeta pogajanja za iskanje rešitve za izziv prenosa podatkov med EU in ZDA po razveljavitvi zasebnostnega ščita leta 2020.

Po predvidenjih naj bi novi okvir EU-ZDA prenosa osebnih podatkov bil sprejet do konca pomladi.

Več na https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_21_1443

Objavljen je bil novi osnutek ZVOP-2

Osnutek ZVOP-2 je bil konec decembra 2021 predložen v obravnavo pri vladnem delovnem telesu. To je prvi osnutek, ki je prišel tako daleč. Upamo, da zato ne bo prihajalo do pomembnejših sprememb oziroma celo do umika predloga.

Med drugim trenutni predlog ZVOP-2 vsebuje naslednje določbe:

- Posameznik bo imel pravico do sodnega varstva svojih pravic, ne da bi mu bilo treba pred tem izkoristiti kakršna koli druga pravna sredstva. Trenutno je sodno varstvo predvideno le na upravnem sodišču in se ne šteje več za nujni in prednostni postopek, kot je bil/je po veljavnem zakonu o varstvu podatkov (ZVOP-1).

- Starost za privolitev mladoletnikov bo 15 let, kar je tudi skladno z določbami Družinskega zakonika. Za osebe mlajše od 15 let, bo poleg zakonitega zastopnika lahko soglasje podal tudi rejnik ali predstavnik institucije, v katero je nameščen mladoletnik. 

- Določbe o varstvu osebnih podatkov pokojnika bodo veljale še 20 let po smrti posameznika. 

- Za povezovanje s podatki v matičnih registrih (Centralni register prebivalstva, davčni register, ipd.) tako kljub rabi uradnih povezovalnih znakov več ne bo potrebno ne dovoljenje ne notifikacija Informacijskega pooblaščenca, le še zakonska določba, da sme upravljavec določene zbirke za te in te namene pridobivati tudi te in te podatke iz matičnega registra.

- Osnutek predvideva posebna pravila o varnosti osebnih podatkov na področju posebnih vrst obdelave, ki med drugim vključuje upravljavce/obdelovalce, ki v svojih zbirkah hranijo večinoma posebne kategorije osebnih podatkov.

- Evidence obdelave je treba voditi v primeru (i) obsežne obdelave posebnih kategorij osebnih podatkov ali (ii) rednega ali sistematičnega spremljanja posameznikov ali (iii) če je z oceno učinka obdelave podatkov ugotovljeno, da bi bilo ugotovljeno tveganje mogoče uspešno zmanjšati z vodenjem evidenc ali (iv) če tako določa zakon. Po sedanjem osnutku bi morali evidence obdelav hraniti najmanj 2 leti in ne več kot 5 let.

- V zvezi s pooblaščeno osebo za varstvo osebnih podatkov osnutek izrecno določa, kaj se šteje kot konflikt interesob in katere funkcije so nezdružljive z imenovanjem na funkcijo pooblaščene osebe za varstvo osebnih podatkov.

- Za zasebni sektor je predviden krajši rok za odgovor na zahtevo posameznika po dostopu do podatkov glede na tistega, ki je določen v GDPR – razen v posebnih okoliščinah je rok za odgovor 15 dni (namesto 30 dni, kot to določa GDPR).

- .Spremenjeno je tudi poglavje o videonadzoru, saj bo  posnetke po novem dovoljeno hraniti največ 1 leto (sedanji ZVOP-1 predvideva 2 leti), obvestilo o videonadzoru pa bo moralo vsebovati vse podatke, predvidene v 13. členu GDPR (vendar bodo podjetja lahko vključila povezavo do spletnega mesta, ki vključuje vse takšne informacije, namesto da bi vse to vključila v samo obvestilo na lokaciji).

- V zvezi s postopkom certificiranja (izdani certifikat lahko uporabi za izkazovanje, da so dejanja obdelave osebnih podatkov s strani upravljavca ali obdelovalca skladna s Splošno uredbo) bo Slovenska akreditacija podeljevala akreditacije certifikacijskim organom. Postopek akreditacije se bo začel 1. januarja 2024.

- Novi osnutek ZVOP-2 še vedno predvideva globe ne le za pravne osebe, temveč tudi za odgovorne osebe teh pravnih oseb (kot so direktorji ali osebe, odgovorne za posamezno področje, na katerega se kršitev nanaša). 

Najvišje nemško sodišče razširi področje uporabe zahtevkov za dostop do lastnih osebnih podatkov v Nemčiji

Najvišje nemško civilno sodišče, Zvezno vrhovno sodišče (Bundesgerichtshof, FCJ), je izdalo odločbo, s katero je določilo obseg zahtev za dostop do lastnih osebnih podatkov. Sodišče je odločilo, da ima 15. člen Splošne uredbe o varstvu podatkov (v nadaljevanju, GDPR) širše področje uporabe, kot je bilo v Nemčiji doslej razumljeno. V skladu z odločitvijo sodišča, pravica dostopa posameznika, na katerega se nanašajo osebni podatki, iz 15. člena GDPR zajema tudi že znane informacije o posamezniku, na katerega se nanašajo osebni podatki, prejšnjo korespondenco in zapiske o notranjih postopkih ali notranjih komunikacijah, povezanih s posameznikom, na katerega se nanašajo osebni podatki.

Dejansko stanje:

Tožena stranka je bila zavarovalnica, ki je ponujala življenjsko zavarovanje, tožnik pa njen zavarovanec. Na prvi stopnji se je tožnik skliceval na zakonodajo, ki je veljala pred uredbo GDPR in v sporu izgubil, na drugi stopnji pa je svoj zahtevek za dostop do lastnih osebnih podatkov oprl na 15. člen GDPR in zahteval informacije o vseh osebnih podatkih, ki jih je tožena stranka dejansko imela, ter podrobneje opredelil svojo zahtevo. Sodišče druge stopnje, deželno sodišče v Kölnu, je tožbeni zahtevek zavrnilo, saj je menilo, da je tožena stranka predložila vse informacije, ki jih zahteva 15. člen GDPR. Menilo je, da tožnik ni dokazal, da so bile informacije, ki jih je upravljavec že zagotovil, nepopolne. Tožeča stranka se je na to odločitev pritožila na Zvezno vrhovno sodišče.

Zvezno vrhovno sodišče je menilo, da tožena stranka ni ustrezno odgovorila na tožnikovo zahtevo, in podrobno opisalo obseg posameznikove pravice do dostopa do lastnih osebnih podatkov, v skladu s 15. členom GDPR. Sodišče je menilo zlasti naslednje:

• Ni zahteve po "bistvenih biografskih podatkih": V zvezi z obsegom pravice dostopa posameznika, na katerega se nanašajo osebni podatki, se sodišče sklicuje na pravno opredelitev osebnih podatkov iz 4/1 GDPR. Poudarja, da je treba ta izraz razlagati široko in da ni omejen na občutljive ali zasebne informacije, temveč potencialno vključuje vse vrste informacij, tako objektivne kot subjektivne, v obliki mnenj ali ocen, pod pogojem, da se te informacije nanašajo na posameznika, na katerega se nanašajo osebni podatki. To velja, če je mogoče informacije zaradi njihove vsebine, namena ali učinka povezati z določeno osebo. V skladu s tem, področja uporabe 15. člena GDPR ni mogoče omejiti na "bistvene biografske podatke", saj takšna razlaga ne bi bila skladna s sodno prakso Sodišča Evropske unije (v nadaljevanju, SEU) o pojmu osebnih podatkov.
• Znanje posameznika, na katerega se nanašajo podatki, o informacijah ni pomembno: Nadalje sodišče navaja, da lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svojo pravico do dostopa, četudi je že seznanjen z določeno korespondenco (vključno z osebnimi podatki) med strankama. V skladu s 1. stavkom 63. uvodne izjave GDPR je namen pravice do dostopa zagotoviti, da "se lahko posameznik, na katerega se nanašajo osebni podatki, seznani z zakonitostjo obdelave in jo preveri". Poleg tega iz 63. uvodne izjave in 2. stavka 5. odstavka 12. člena GDPR izhaja, da je mogoče informacije zahtevati večkrat. V skladu s tem lahko posameznik, na katerega se nanašajo osebni podatki, zahteva predložitev informacij, tudi če se zaveda predhodne korespondence.
• Pravica do dostopa tudi za osebne podatke, vključene v "notranje postopke": Sodišče je prav tako odločilo, da je treba zagotoviti tudi informacije v internih zapiskih, npr. o zdravju posameznika, na katerega se nanašajo osebni podatki, ali o izjavah posameznika, na katerega se nanašajo osebni podatki, v telefonskih pogovorih. Izjava tožene stranke, da gre za "notranje procese", je nepomembna. Niti besedilo, niti namen 15/1 GDPR ne določata, da morajo biti osebni podatki dostopni navzven.
• Ocena pravnega okvira ne predstavlja osebnega podatka: Nazadnje se sodišče sklicuje na sodno prakso SEU (sodba z dne 17. julija 2014, opr. št. C-141/12 in C-372/12), v skladu s katero pravna analiza sicer lahko vsebuje osebne podatke, vendar ne pomeni osebnega podatka v primeru, da je zagotovljen povzetek informacij o osebnih podatkih, ki jih ima, saj gre za informacije o oceni in uporabi prava za položaj posameznika, na katerega se nanašajo osebni podatki. V skladu s tem pravna ocena plačil provizij, ki jih je upravljavec opravil tretjim osebam, čeprav je vsebovala imena posameznikov, na katere se nanašajo osebni podatki, v skladu s sodno prakso SEU ni ustrezala zahtevi.

Nemško Zvezno vrhovno sodišče se je vzdržalo predložitve zadeve SEU, ker je opredelitev tega, kaj so "osebni podatki", jasno urejena v sodni praksi SEU (acte éclairé).

Pomen in komentar sodbe:

Sodišče je s svojo odločitvijo razširilo obseg informacij, ki jih je treba predložiti v odgovor na zahtevo za dostop do lastnih osebnih podatkov v Nemčiji.

Sodba FCJ pravzaprav ni presenetljiva, saj le pojasnjuje, da je treba zagotoviti vse osebne podatke, povezane s posameznikom, na katerega se nanašajo osebni podatki. V skladu s tem se morajo podjetja na zahteve posameznikov, na katere se nanašajo osebni podatki, odzvati z zagotavljanjem izčrpnih informacij, kar bo zahtevalo več truda. To prinaša tudi tveganje (ki je že tako razširjeno v Združenem kraljestvu in na Irskem), da se bodo zahteve po dostopu do lastnih osebnih podatkov uporabljale za "lovljenje" dokazov za stranske spore in zahtevke. V zvezi s tem je dobro, da podjetja skrbno preučijo možnost sklicevanja na morebitne omejitve in izključitve zahteve za dostop do podatkov zaradi nesorazmernosti ali prevladujočih pravic in svoboščin tretjih oseb. Delodajalci lahko na primer od zaposlenih zahtevajo, da opredelijo dejavnosti obdelave ali informacije, ki jih iščejo, namesto da bi zagotovili vse informacije. Nemško zvezno Vrhovno sodišče se do teh vprašanj ni opredelilo, zelo verjetno pa bodo v bližnji prihodnosti postala predmet sporov med posamezniki, na katere se nanašajo osebni podatki, in upravljavci.

Ana Novinec

Smernice IP glede izpolnjevanja PCT pogojev

V zvezi z vprašanji varstva osebnih podatkov in zasebnosti zaposlenih in obiskovalcev pri preverjanju izpolnjevanja PCT pogojev je Informacijski Pooblaščenec v petek prejšnji teden izdal smernice, ki nakazujejo, kako naj družba organizira izpolnjevanje preverjanja PCT pogojev.

Glavni poudarki:

- Vladni odloki, ki urejajo ukrepe za zajezitev epidemije COVID-19, določajo, kdaj mora delavec izpolnjevati PCT pogoje, kar pomeni, da urejajo dodatne »pravice in obveznosti iz delovnega razmerja«. Zato je podlaga za dopustno obdelavo osebnih podatkov delavcev, do katere pride s preverjanjem pogoja PCT, že v 48. členu ZDR-1 v povezavi z (b) točko drugega odstavka 9. člena Splošne uredbe o varstvu podatkov in s trenutno veljavnimi predpisi. Odloki namreč delavcu nalagajo obveznost, da v zvezi s svojim delovnim razmerjem izkaže, da izpolnjuje pogoj PCT, delodajalcu pa obveznost, da te pogoje preveri pri svojih zaposlenih in tudi pri uporabnikih storitev (npr. pri strankah, ki obiščejo podjetje).

- Ponudnik storitev ne sme beležiti nobenih podatkov glede izpolnjevanja pogojev PCT obiskovalcev/uporabnikov, temveč lahko v dokazilo le vpogleda. Če se dokazovanje izvaja z evropskimi digitalnimi potrdili, si ob vpogledu lahko pomaga še z aplikacijo za odčitavanje QR kode zato, da se prepriča, ali je potrdilo pristno oziroma veljavno. Aplikacija upravljavcu ne omogoča vpogleda v centralne zbirke zdravstvenih podatkov.

- Delodajalec mora pri preverjanju PCT pogojev čim manj poseči v zasebnost posameznika in zato lahko preveri le tiste podatke, ki so relevantni za uresničitev namena njegove obveznosti glede preverjanja PCT pogojev. Gre za temeljno načelo varstva osebnih podatkov – načelo najmanjšega obsega podatkov – v skladu s katerim lahko delodajalec v dokazila glede izpolnjevanja pogojev PCT svojih delavcev (enako velja tudi za dokazila obiskovalcev in uporabnikov storitev) le VPOGLEDA, ne sme pa jih hraniti. Predloženih dokazil v papirni ali digitalni obliki torej delodajalec ne sme kopirati, preslikati, fotografirati ali drugače reproducirati njihove vsebine.

- Delodajalec lahko zbira oziroma obdeluje le tiste osebne podatke, ki so nujno potrebni za namen organiziranja preverjanja pogojev PCT (npr. predpisan evidenčni list za samotestiranje, izjavo o izpolnjevanju pogoja PCT, ime in priimek ter do kdaj oseba izpolnjuje pogoj PCT (brez beleženja drugih podatkov, ki niso ključni, npr. vrsta cepiva in izvajalec cepljenja )). Gre za spoštovanje načela najmanjšega obsega podatkov.

- Tudi pri samem preverjanju dokazil je priporočljivo, da se delodajalec seznani le z najnujnejšimi podatki iz dokazil (npr. na koga se dokazilo nanaša, časovna veljavnost potrdila za prebolevnike, in za cepljene podatek o polni cepljenosti - odmerek 1/1 ali odmerek 2/2).

- Podatke pa lahko obdeluje le za preverjanja izpolnjevanja PCT pogoja in ne za druge namene. Hrani jih lahko le toliko časa, kot je to nujno potrebno za namen njihovega zbiranja. Primeren rok hrambe teh podatkov v delovnih razmerjih je lahko do 2 leti.

- Delodajalec mora pred preverjanjem izpolnjevanja pogojev PCT svojih zaposlenih ter obiskovalcev in uporabnikov storitev tem omogočiti, da se seznanijo z osnovnimi informacijami glede obdelave podatkov, s dopolnijo politik zasebnosti zlasti pa:

• kdo obdeluje njihove podatke (tj. naziv upravljavca in morebitnih zunanjih uporabnikov),

• zakaj jih obdeluje,

• katere konkretne podatke obdeluje in koliko časa jih bo hranil ter druge informacije o obdelavi (13.

člen Splošne uredbe o varstvu podatkov).

Načrtovani evropski Akt o podatkih bi povečal dostop do podatkov in njihovo izmenjavo med podjetji

Evropska komisija je že oblikovala začetno oceno učinka in trenutno v okviru postopka javnega posvetovanja zbira mnenja o Aktu o podatkih, katerega cilj je povečati izmenjavo podatkov, kar bi lahko vključevalo tudi sektorsko izmenjavo podatkov med podjetji.

Predlog za regulacijo izhaja iz izkušenj, pridobljenih med pandemijo Covid-19, v smislu bistvene vloge uporabe podatkov za krizno upravljanje. Komisija želi spodbuditi večjo izmenjavo podatkov, da bi lahko več javnih in zasebnih akterjev izkoristilo tehnike, kot so masovni podatki (Big Data) in strojno učenje. Predlog naj bi bil v celoti skladen z uredbo GDPR in pravili o e-zasebnosti.

Javno posvetovanje o predlogu je razdeljeno na osem delov:

1. Souporaba podatkov med podjetji in državnimi upravami za javni interes;

2. Souporaba podatkov med podjetji;

3. Orodja za souporabo podatkov: pametne pogodbe;

4. Pojasnitev pravic v zvezi z neosebnimi podatki interneta stvari (IoT), ki izhajajo iz poklicne uporabe;

5. Izboljšanje prenosljivosti storitev v oblaku za poslovne uporabnike;

6. Dopolnitev pravice do prenosljivosti v skladu z 20. členom GDPR;

7. Pravice intelektualne lastnine – varstvo zbirk podatkov;

8. Zaščitni ukrepi za neosebne podatke v mednarodnem okviru;

Mnenja deležnikov se pričakujejo do 3. septembra 2021.

Ana Novinec

Evropski odbor za varstvo podatkov sprejel Smernice o kodeksih ravnanja kot orodje za prenos osebnih podatkov

Evropski odbor za varstvo podatkov (EDPB) je 7.6.2021 sprejel Smernice o kodeksih ravnanja kot orodje za prenose. Glavni namen Smernic je pojasniti uporabo členov 40/3 in 46/2 (e) Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR). Ta člena določata, da lahko po odobritvi pristojnega nadzornega organa in po tem, ko mu je Komisija podelila splošno veljavnost v EGP, kodeks ravnanja upoštevajo in uporabljajo tudi upravljavci in obdelovalci, za katere GDPR ne velja, da zagotovijo ustrezne zaščitne ukrepe za prenose podatkov zunaj EU.

Smernice dopolnjujejo Smernice EDPB 1/2019 o kodeksih ravnanja, ki določajo splošni okvir za sprejemanje kodeksov ravnanja ter postopke in pravila, povezana s predložitvijo, odobritvijo in objavo kodeksov na nacionalni in evropski ravni.

Poleg tega, da so kodeksi učinkovito orodje za ugotavljanje odgovornosti, lahko zagotovijo tudi dosledne pristope k skladnosti z GDPR na ravni celotnega sektorja. Spoštovanje odobrenega kodeksa ravnanja bo tudi dejavnik, ki ga bodo nadzorni organi upoštevali pri ocenjevanju posebnih značilnosti obdelave podatkov, kot je varnost podatkov, ocenjevanju učinka obdelave v okviru ocene učinka v zvezi z varstvom podatkov ali pri izrekanju upravne globe.

Nove smernice bodo kmalu na voljo na spletni strani EDPB.

Ana Novinec

EK odločila: prenos podatkov med EU in Združenim kraljestvom se lahko nadaljuje

Evropska komisija (v nadaljevanju, EK) je 28.6.2021 s sklepom o ustreznosti (v nadaljevanju, sklep) uradno priznala, da je zakonodaja Združenega kraljestva o varstvu podatkov ustrezna za omogočanje prostega pretoka osebnih podatkov iz Evropskega gospodarskega prostora v Združeno kraljestvo. To pomeni, da se lahko osebni podatki še naprej prosto prenašajo iz EU v Združeno kraljestvo, ne da bi morali upravljalci in obdelovalci sprejeti dodatne ukrepe.

Zaenkrat se sklep ne nanaša na osebne podatke, ki se posredujejo za namene nadzora priseljevanja v Združeno kraljestvo ali ki so drugače izvzeti iz nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, za namene vzdrževanja učinkovitega nadzora priseljevanja (izjema za priseljevanje). Izjema za priseljevanje je bila med komentatorji pogosto kritizirana kot sporna izjema v Zakonu o varstvu podatkov Združenega kraljestva iz leta 2018. Zaradi tega je organizacija Open Rights Group (ORG) proti vladi sprožila pravni postopek, v katerem je trdila, da ministrstvo za notranje zadeve izjemo uporablja z namenom, da ljudem onemogoča dostop do njihovih osebnih podatkov, ter da je "veliko preširoka in nenatančna". Prizivno sodišče Združenega kraljestva je 26.5.2021 potrdilo, da se strinja z ORG, in navedlo, da izjema za priseljevanje v sedanji obliki ni združljiva z zakonodajo Združenega kraljestva. Sodišče je navedlo, da izjema za priseljevanje ne vsebuje potrebnih zakonodajnih zaščitnih ukrepov, ki so navedeni v členu 23(2) Splošne uredbe o varstvu podatkov Združenega kraljestva. V sklepu EK je navedeno, da bosta, ko bo Združeno kraljestvo odpravilo to nezdružljivost, izjema za priseljevanje in področje uporabe sklepa ponovno ocenjena.

Namigovanja Združenega kraljestva na morebitno odstopanje od evropskih standardov, določenih v Splošni uredbi o varstvu podatkov (v nadaljevanju, GDPR), je imelo za posledico, da je EK v sklepu o ustreznosti prvič uporabila štiriletno klavzulo o prenehanju veljavnosti. Sklep EK se bo namreč uporabljal za začetno obdobje štirih let. Podaljša se lahko za štiri leta, če EK pri spremljanju izvajanja sklepa ugotovi, da Združeno kraljestvo še vedno ustrezno varuje osebne podatke, vendar se v tem primeru postopek sprejemanja sklepa začne znova. Če pa EK meni, da Združeno kraljestvo ne ohranja več ustreznega varstva in da državni organi v določenem časovnem okviru ne sprejmejo ustreznih korektivnih ukrepov, lahko EK delno ali v celoti začasno ali trajno razveljavi odločbo.

Posledice sklepa o ustreznosti:

Čeprav je sklep nedvomno dobra novica, še vedno obstajajo področja ureditve varstva podatkov v Združenem kraljestvu, ki so lahko predmet pravnega izpodbijanja in ogrožajo dolgoročni status ustreznosti ureditve Združenega kraljestva. Tako so na primer skupine za varstvo pravice do zasebnosti in parlament EU izrazili pomisleke glede režima Združenega kraljestva za množični nadzor. Vendar pa bi vsi takšni izzivi potrebovali nekaj časa, da bi se prebili skozi sodni postopek do Sodišča EU.

Bolj neposredno grožnjo predstavlja delovanje vlade Združenega kraljestva, ki pregleduje pristop Združenega kraljestva k regulaciji v svetu po Brexitu.

Delovna skupina za inovacije, rast in regulativno reformo (ki jo vodijo različni člani parlamenta) je prejšnji mesec objavila poročilo vladi, v katerem poziva k "pogumnemu novemu regulativnemu okviru Združenega kraljestva, ki bo temeljil na temeljnih načelih prava Združenega kraljestva". V poročilu je bilo predlagano, da se GDPR nadomesti z novo ureditvijo Združenega kraljestva za varstvo podatkov, ki bi bila "bolj sorazmerna". V poročilu je GDPR kritizirana kot "normativna in neprilagodljiva ter še posebej obremenjujoča za delovanje manjših podjetij in dobrodelnih organizacij".

Poleg tega je vlada Združenega kraljestva javno sporočila, da želi z novimi partnerji po svetu skleniti lastne "dogovore o ustreznosti ureditve Združenega kraljestva", da bi svojim organizacijam olajšala mednarodno pošiljanje podatkov. To je sprožilo zaskrbljenost, saj bi se lahko Združeno kraljestvo uporabljalo kot "zadnja vrata" za prenos podatkov EU v "nevarne" jurisdikcije. Sklep EK se te zaskrbljenosti zelo dobro zaveda, zato Komisija pravi, da bo "pozorno spremljala razmere", da bi "ocenila, ali se različni mehanizmi prenosa uporabljajo na način, ki zagotavlja kontinuiteto varstva, in po potrebi sprejela ustrezne ukrepe za odpravo morebitnih negativnih učinkov za takšno kontinuiteto", vendar da "se pričakuje, da bi se problematičnim razhajanjem lahko izognili tudi s sodelovanjem ter izmenjavo informacij in izkušenj med Uradom informacijskega pooblaščenca Združenega kraljestva in Evropskim odborom za varstvo poudarkov".

Strokovnjaki za varstvo podatkov si lahko torej oddahnejo, ker je bila v zadnjem trenutku sprejeta odločitev o ustreznosti, vendar pa lahko prihodnji politični dogodki pretresejo njeno stabilnost.

Ana Novinec

Nacionalni nadzorni organi lahko sprožijo postopek proti upravljalcu, katerega vodilni nadzorni organ je iz druge države članice

Sodišče Evropske unije (v nadaljevanju, SEU) je 15.6.2021 s sodbo v postopku predhodnega odločanja potrdilo, da lahko nacionalni nadzorni organ za varstvo osebnih podatkov v skladu z GDPR in pod določenimi pogoji začne sodni postopek proti upravljavcu v svoji državi, tudi če ni vodilni nadzorni organ. To se nanaša na čezmejne primere, ko je sedež evropskega podjetja v drugi državi članici.

Dejansko stanje:

Vprašanje se je pojavilo v postopku, ki ga je leta 2015 začela belgijska komisija za varstvo podatkov proti družbi Facebook, ki ima sedež v EU na Irskem. Komisija za varstvo podatkov je pred belgijskim sodiščem vložila tožbo zaradi domnevnih kršitev belgijske zakonodaje o varstvu podatkov s strani družbe Facebook. Zatrjevane kršitve so obsegale zbiranje in uporabo informacij o spletnem obnašanju belgijskih internetnih uporabnikov, ne glede na to, ali so bili slednji imetniki računa na Facebooku. Predložitveno sodišče ni bilo prepričano, ali uporaba mehanizma "vse na enem mestu" vpliva na pristojnosti organa za varstvo podatkov in zlasti, ali lahko organ za varstvo podatkov vloži tožbo proti družbi Facebook Belgium, glede na to, da je bila za upravljavca zadevnih podatkov določena družba Facebook Ireland. Pravilo GDPR "vse na enem mestu" namreč določa, da je lahko samo pooblaščenec za varstvo podatkov (Irska) pristojen za uvedbo postopka za izdajo odredbe, ki ga lahko preverijo irska sodišča.

Sodba SEU:

1. Nacionalni nadzorni organ, ki ima v skladu z 58. členom GDPR pooblastilo za predložitev domnevnih kršitev sodišču njegove države članice in po potrebi sprožitev sodnega postopka, lahko to pooblastilo izvršuje v zvezi s čezmejno obdelavo podatkov, čeprav glede take obdelave podatkov ni vodilni nadzorni organ, če gre za enega od primerov, v katerih je temu nadzornemu organu podeljena pristojnost za sprejemanje odločb o ugotovitvi, da so z navedeno obdelavo kršena pravila o varstvu osebnih podatkov, ter ob spoštovanju postopka sodelovanja in postopka za skladnost iz te uredbe.

V zvezi s čezmejno obdelavo GDPR določa mehanizem "vse na enem mestu", ki temelji na razdelitvi pristojnosti med enim vodilnim nadzornim organom in drugimi zadevnimi nacionalnimi nadzornimi organi. Ta mehanizem zahteva tesno, iskreno in učinkovito sodelovanje med temi organi, da se zagotovi dosledno in homogeno varstvo pravil o varstvu osebnih podatkov ter tako ohrani njegova učinkovitost. Splošno pravilo je, da ima vodilni nadzorni organ pristojnost za sprejetje odločitve, s katero se ugotovi, da primer čezmejne obdelave pomeni kršitev pravil GDPR, medtem ko pristojnost drugih zadevnih nadzornih organov za sprejetje take odločitve, tudi začasne, predstavlja izjemo od pravila. Vseeno pa se vodilni nadzorni organ pri izvajanju svojih pristojnosti ne sme izogibati bistvenemu dialogu ter iskrenemu in učinkovitemu sodelovanju z drugimi zadevnimi nadzornimi organi. Posledično v okviru tega sodelovanja vodilni nadzorni organ ne sme zanemariti stališč drugih nadzornih organov, vsak ustrezen in utemeljen ugovor enega od drugih nadzornih organov pa ima za posledico vsaj začasno preprečitev sprejetja osnutka odločitve vodilnega nadzornega organa.

2. V primeru čezmejne obdelave podatkov sedež upravljalca ne predstavlja pogoja za izvajanje pooblastila nadzornega organa, ki ni vodilni nadzorni organ, da začne postopke, ki spadajo v okvir njegovih pristojnosti v skladu z 58. členom GDPR. Vseeno pa mora izvajanje te pristojnosti spadati na ozemeljsko področje GDPR, ki predpostavlja, da ima upravljavec ali obdelovalec v zvezi s čezmejno obdelavo sedež v EU.

3. Pooblastilo nadzornega organa države članice, ki ni vodilni nadzorni organ, da sodišče te države članice opozori na vsakršno domnevno kršitev in po potrebi začne sodni postopek, je mogoče izvrševati tako glede glavne poslovne enote upravljavca, ki je v državi članici tega organa, kot glede druge poslovne enote tega upravljavca, če se sodni postopek nanaša na obdelavo podatkov, ki se izvaja v okviru dejavnosti teh poslovnih enot, in če je navedeni organ pristojen za izvrševanje tega pooblastila.

Sodišče je dodalo, da izvajanje tega pooblastila predpostavlja uporabo GDPR. Ker so bile v konkretnem primeru dejavnosti skupine Facebook s sedežem v Belgiji neločljivo povezane z obdelavo osebnih podatkov, ki se obravnava v postopku v glavni stvari, pri čemer je družba Facebook Ireland upravljavec znotraj EU, je to obdelava, ki se izvaja "v okviru dejavnosti poslovne enote upravljavca" in zato spada na področje uporabe GDPR.

4. Kadar je nadzorni organ države članice, ki ni vodilni nadzorni organ, sodni postopek v zvezi s čezmejno obdelavo osebnih podatkov začel pred 25.5.2018 (pred datumom uporabe GDPR), je ta postopek mogoče nadaljevati na podlagi določb Direktive 95/46/ES, ki se še naprej uporablja za kršitve njenih pravil, ki so bile storjene do datuma njene razveljavitve. Poleg tega lahko ta organ navedeni postopek začne zaradi kršitev, ki so bile storjene po tem datumu, če gre za enega od primerov, v katerih je z GDPR nadzornemu organu države članice, ki ni vodilni nadzorni organ, izjemoma podeljena pristojnost za sprejetje odločbe o ugotovitvi, da so z zadevno obdelavo podatkov kršena pravila, ki jih navedena uredba vsebuje v zvezi z varstvom pravic posameznikov pri obdelavi osebnih podatkov, ob spoštovanju postopka sodelovanja in postopka za skladnost, določenih v tej uredbi, kar pa mora preveriti predložitveno sodišče.

5. 58. člen GDPR, v skladu s katerim mora vsaka država članica z zakonom določiti, da je njen nadzorni organ pristojen za opozarjanje sodnih organov na kršitve te uredbe in po potrebi za sprožitev sodnega postopka ali za drugačno sodelovanje v njem, je treba razlagati tako, da ima ta določba neposredni učinek, tako da se nacionalni nadzorni organ na navedeno določbo lahko sklicuje, da bi začel ali nadaljeval postopek proti posameznikom, tudi če ta določba ni bila posebej prenesena v zakonodajo zadevne države članice.

Posledice odločitve:

Konkretna sodba ponuja pomembno pojasnilo o tem, kako je mogoče razlagati uredbo GDPR in njeno pravilo "vse na enem mestu".

Sodba pozitivno učinkuje na spoštovanje zasebnosti posameznikov, ne glede na to, kje v EU ima podjetje sedež. Ker v sistemu čezmejnega izvrševanja uredbe GDPR obstajajo ozka grla, je SEU odločilo, da morajo imeti vsi nacionalni organi možnost, da pod določenimi pogoji ravnajo proaktivno in uporabijo vsa svoja pooblastila, kadar so posameznikove pravice kršene. Glede na to, da ima večina velikih tehnoloških podjetij sedež na Irskem, je bila do sedanje odločitve sodišča zaščita 500 milijonov evropskih potrošnikov odvisna samo od nadzornega organa te države.

Ana Novinec

Nove standardne pogodbene klavzule

Evropska komisija (v nadaljevanju, EK) je 4.6.2021 izdala posodobljene standardne pogodbene klavzule (SCC), ki na podlagi Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDPR) veljajo za prenos podatkov od upravljavcev ali obdelovalcev iz EU/EGP (za katere sicer velja GDPR) k upravljavcem ali obdelovalcem s sedežem zunaj EU/EGP (za katere GDPR ne velja). Te posodobljene standardne pogodbene klavzule bodo nadomestile tri sklope standardnih pogodbenih klavzul, ki so bile sprejete na podlagi prejšnje Direktive o varstvu podatkov 95/46/ES.

V skladu z GDPR, se pogodbene klavzule, ki zagotavljajo ustrezne zaščitne ukrepe za varstvo podatkov, lahko uporabijo kot podlaga za prenos podatkov iz EU v tretje države. Te nove pogodbene klavzule je predhodno odobrila EK.

V izjavi EK je pojasnjeno, da lahko upravljavec ali obdelovalec, ki posreduje osebne podatke v tretjo državo (»izvoznik podatkov«), in upravljavec ali obdelovalec, ki prejema osebne podatke (»uvoznik podatkov«), te standardne pogodbene klavzule vključita v širšo pogodbo in dodata druge klavzule ali dodatne zaščitne ukrepe, če ti niso neposredno ali posredno v nasprotju s standardnimi pogodbenimi klavzulami ali ne posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

Pomemben vidik novih prilagodljivih SCC je, da Priloga strankam omogoča »kombiniranje splošnih klavzul z modularnim pristopom, pri čemer se upoštevajo različni scenariji prenosa in zapletenost sodobnih verig obdelave. Poleg splošnih klavzul morajo upravljavci in obdelovalci izbrati modul, ki ustreza njihovemu položaju, da svoje obveznosti iz standardnih pogodbenih klavzul prilagodijo svoji vlogi in odgovornostim v zvezi z zadevno obdelavo podatkov.«

26 uvodnih izjav pojasnjuje, kako naj izvozniki in uvozniki uporabljajo nove SCC. V prilogah so navedene podrobnosti za različne scenarije in ustrezne module:

• Zaščitni ukrepi za varstvo podatkov: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
• Uporaba pod-obdelovalcev: prenos podatkov upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Pravice posameznikov, na katere se nanašajo osebni podatki: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu/ obdelovalca upravljavcu;
• Pravna sredstva: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Odgovornost: prenos podatkov upravljavca upravljavcu/ obdelovalca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;
• Nadzor: prenos podatkov upravljavca upravljavcu/ upravljavca obdelovalcu/ obdelovalca obdelovalcu;

SCC v nadaljevanju vsebujejo poglavja glede:

• obveznosti v primeru dostopa javnih organov,
• nespoštovanja klavzul in odpovedi,
• veljavnega prava,
• izbire sodišča in pristojnosti ter
• besedila, ki ga je treba vključiti v priložene dokumente.

Upravljavci oziroma obdelovalci bodo imeli 18 mesecev časa, da se prilagodijo oziroma preidejo iz starih na nove standardne pogodbene klavzule.

Sklep EK začne veljati 20 dni po objavi v Uradnem listu EU.

Ana Novinec

Zahteva za dostop do podatkov – v Nemčiji ni potrebna kopija službenih elektronskih sporočil

Nemško zvezno delovno sodišče zavrnilo tožbo delavca:

Nemško zvezno delovno sodišče je 27.4.2021 odločilo, da delavci od delodajalca ne morejo zahtevati, da jim zagotovi kopije (i) celotne elektronske korespondence delavca in (ii) vseh elektronskih sporočil, v katerih je delavec omenjen z imenom.

Zvezno sodišče je navedlo, da v skladu z veljavnimi pravili civilnega postopka zahteva ni bila dovolj konkretizirana - elektronskih sporočil ni bilo mogoče opredeliti na način, da bi bilo mogoče izvršiti katero koli odredbo. Sodišče je svojo odločitev oprlo na zakon o civilnem postopku in ne na zakon o varstvu osebnih podatkov.

Dejansko stanje: 

Delavec je pri nekdanjem delodajalcu vložil zahtevo za dostop do podatkov v skladu s 15. členom Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju, GDRP). Zahteval je "kopijo svojih osebnih podatkov, ki se obdelujejo". Delodajalec je delavcu posredoval kopijo njegovih osebnih podatkov in nekaj elektronskih sporočil, vendar je delavec trdil, da po njegovem mnenju kopija ni zadostovala zahtevi. Delavec je proti nekdanjemu delodajalcu vložil tožbo, v kateri je trdil, da mu delodajalec ni zagotovil popolne kopije njegove celotne elektronske korespondence in elektronskih sporočil, v katerih je bil omenjen po imenu.

Stranki sta del spora rešili sporazumno, vendar je zahtevek v zvezi s tem, ali je delodajalec moral zagotoviti celotno elektronsko korespondenco delavca, ostal odprt.

Delovno sodišče prve stopnje je tožbo zavrnilo. Ugotovilo je namreč, da zahteva po predložitvi celotne kopije elektronske pošte v skladu z nemškimi pravili civilnega postopka ni bila dovolj konkretizirana.

Pritožbeno sodišče pa je delodajalcu naložilo, naj delavcu zagotovi kopije njegove elektronske pošte, vendar le tiste, ki vsebujejo osebne podatke delavca, ker je to zajeto v pravici do dostopa, ki jo zagotavlja GDPR. Pritožbeno sodišče je menilo, da delodajalcu ni treba zagotoviti popolne kopije celotnih dokumentov in elektronskih sporočil (npr. kadrovskih map). 3. odstavek 15. člena GDPR namreč omenja le zahtevo po zagotovitvi "kopije osebnih podatkov, ki se obdelujejo", zato naj posamezniki, na katere se nanašajo osebni podatki, ne bi bili upravičeni do dostopa do celotnih zbirk podatkov. Menilo je tudi, da GDPR zahteva določeno stopnjo informativne vrednosti podatkov o posamezniku, na katerega se nanašajo osebni podatki, zlasti ker 63. uvodna izjava h GDPR določa, da morajo posamezniki, na katere se nanašajo osebni podatki, v primeru večjih količin podatkov določiti tudi, katere kopije je treba zagotoviti. Poleg tega je pritožbeno sodišče navedlo, da posameznikom, na katere se nanašajo osebni podatki, ni treba zagotoviti celotne elektronske korespondence, kadar so bili slednji njeni prejemniki ali avtorji, saj 15. člen GDPR ne zajema informacij, ki so posamezniku, na katerega se nanašajo osebni podatki, že znane.

Pomen in komentar sodbe:

Ta sodba je nedvomno omejila obseg pravice do dostopa posameznika, na katerega se nanašajo osebni podatki, česar druga nemška sodišča prej niso obravnavala. Prav tako je v sodbi poudarjeno, da je treba pri izvajanju GDPR upoštevati načela nacionalnega prava. Sodišče je očitno uporabilo predpise o civilnem postopku kot "enostaven izhod" iz zadeve, s čimer se je tudi izognilo temu, da bi moralo vprašanje o dosegu 15. člena GDPR predložiti Sodišču Evropske unije. Vseeno pa bi sodba evropskega sodišča v glavnem vplivala na zahteve posameznikov, na katere se nanašajo osebni podatki, ki so bile vložene v skladu z nemškim pravom.

Ana Novinec

Objavljen nov predlog ZVOP-2

Ministrstvo za pravosodje je v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016. Osnutek je na voljo na:

https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208

Bavarski informacijski pooblaščenec je prvi nadzorni organ v EU, ki je ugotovil nezakonitost prenosa osebnih podatkov iz EU v ZDA na temelju "Schrems II" odločitve.

Naj spomnimo - Sodišče Evropske unije (SEU) 16. julija 2020 izdalo težko pričakovano sodbo v zadevi C-311/18 (DPC Ireland v. Facebook Ireland and Schrems). S to sodbo je razveljavilo predhodno odločbo Evropske komisije (EK) 2016/1250 o ustreznosti varstva v okviru EU-ZDA dogovora Ščit zasebnosti (Privacy Shield), ki je služil kot ena izmed podlag za prenos osebnih podatkov iz EU v ZDA. Posledično so vsi prenosi osebnih podatkov v ZDA na tem pravnem temelju od 16.7.2020 naprej nezakoniti. SEU je svojo odločitev utemeljilo z dvomi v ameriško zakonodajo za zagotavljanje ustrezne ravni varstva, ki jo zahteva 45. člen GDPR, pri čemer je SEU posebej navedlo, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA, ni ekvivalentno ravni varstva v EU.

SEU je v isti zadevi, sicer v načelu, potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države, torej tudi ZDA, ki ne zagotavljajo ustreznega varstva osebnih podatkov. Po drugi strani pa je SEU izvozniku osebnih podatkov naložilo obvezo, da v vsakem posamičnem primeru izvoza podatkov, preveri in oceni ali je z izvozom zagotovljena ustrezna raven varstva podatkov. V primeru ugotovitve, da raven varstva ni ustrezna in primerljiva z evropsko, mora izvoznik osebnih podatkov s takšnimi iznosi osebnih podatkov prenehati, pristojni nadzorni organi pa lahko v takšnih primerih prepovedo iznos.

Konkretna odločitev sodišča o razveljavitvi Ščita zasebnosti ne predstavlja prepovedi prenosa osebnih podatkov v ZDA, saj je z njo odpadla zgolj ena izmed podlag, ki jih predvideva GDPR. Je pa pomembno, da izvozniki, ki so do sedaj podatke izvažali na podlagi Sporazuma o zasebnostnem ščitu, utemeljijo izvoz na eni izmed preostalih pravno-veljavnih podlag.

Bavarski informacijski pooblaščenec (DPA) je 15.3.2021 v pritožbenem postopku, ki ga je vodil na podlagi 77. člena GDPR, presodil, da je bila uporaba Mailchimpa za prenos e-poštnih naslovov v ZDA nezakonita. Mailchimp je ameriška avtomatizirana tržna platforma in ponudnik storitev e-trženja. Pri uporabi Mailchimpa za prenos podatkov iz Nemčije v ZDA se je nemško podjetje FOGS Magazin opiralo na standardne pogodbene klavzule EU. Toda Mailchimp bi se lahko po ameriškem zakonu o nadzoru kvalificiral za "ponudnika elektronskih komunikacijskih storitev", navaja DPA. Zato bi moralo nemško podjetje kot izvoznik podatkov ob sklicevanju na odločitev SEU v zadevi "Schrems II" oceniti dodatne ukrepe, ki bi jih bilo treba sprejeti za zagotovitev, da so bili preneseni podatki zaščiteni pred nadzorom pristojnih služb v ZDA.

Ker je toženec (podjetje FOGS Magazin) izjavil, da bo takoj prenehal z uporabo Mailchimpa, je bila morebitna kršitev zakona manjša in ker EK ni dokončala novih standardnih pogodbenih klavzul, Bavarski DPA ni naložil globe.

Več o zadevi si lahko preberete na naslednji povezavi: https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

V primeru vprašanj o vaši uporabi ameriških tehnoloških rešitev nas lahko kontaktirate.

Ana Novinec

Študija o odgovornosti spletnih platform

Evropski parlament je 8. februarja 2020 objavil, da je Odbor za prihodnost znanosti in tehnologije Evropske parlamentarne raziskovalne službe objavil svojo študijo o odgovornosti spletnih platform. Študija zlasti ugotavlja, da se glede na osrednjo vlogo, ki jo imajo spletne platforme v digitalnem gospodarstvu, postavljajo vprašanja o njihovi odgovornosti v zvezi z nezakonito / škodljivo vsebino ali izdelki, ki jih gostijo v okviru njihovega delovanja ter, da je zato treba oceniti ustreznost in učinkovitost obstoječega pravnega okvira EU, zlasti v zvezi z izjemami glede odgovornosti iz Direktive 2000/31 / ES z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe. Poleg tega, študija ponuja klasifikacijo obstoječih platform, opredeljuje in ocenjuje ustreznost pravnega okvirja na evropski ravni ter ponuja vrsto možnosti o razpoložljivih alternativnih pristopih do regulacije spletnih platform.

Kako obdelovati podatkovne nize, ki vsebuje osebne in ne-osebne podatke

Uredba o prostem pretoku neosebnih podatkov in Splošna uredba o varstvu podatkov (GDPR) vsebujeta različna pristopa k prostemu pretoku podatkov v EU.

Osebni podatki, so tisti, ki jih kot take opredeljuje GDPR. Neosebni podatki, pa so vsi, ki niso osebni po GDPR.

Mešani podatkovni niz je sestavljen iz osebnih in neosebnih podatkov. Mešani podatkovni nizi predstavljajo večino podatkovnih nizov, ki se uporabljajo v podatkovnem gospodarstvu, in so pogosti zaradi tehnoloških dosežkov, kot so internet stvari (tj. digitalno povezovanje objektov), umetna inteligenca in tehnologije, ki omogočajo analizo velepodatkov (metadata).

V primeru podatkovnega niza, ki vsebuje osebne in neosebne podatke, velja naslednje:

• uredba o prostem pretoku neosebnih podatkov se uporablja za del podatkovnega niza, ki obsega neosebne podatke;
• določba o prostem pretoku26 iz splošne uredbe o varstvu podatkov se uporablja za del podatkovnega niza, ki obsega osebne podatke, ter
• če sta del, ki obsega neosebne podatke, in del, ki obsega osebne podatke, “neločljivo povezana“, se pravice in obveznosti v zvezi z varstvom podatkov, ki izhajajo iz GDPR, v celoti uporabljajo za celotni mešani podatkovni niz, tudi če osebni podatki predstavljajo samo majhen del podatkovnega niza.

Pojem „neločljivo povezan“ ni opredeljen v nobeni od navedenih uredb. Iz praktičnih razlogov se lahko nanaša na položaj, v katerem podatkovni niz vsebuje osebne in neosebne podatke, pri čemer bi bilo ločevanje teh dveh vrst podatkov nemogoče ali pa bi bilo ločevanje po mnenju upravljavca ekonomsko neučinkovito ali tehnično neizvedljivo.

Ločevanje podatkovnega niza bi verjetno bistveno zmanjšalo njegovo vrednost. Poleg tega je zaradi spreminjajoče se narave podatkov težje jasno razlikovati med različnimi kategorijami podatkov in jih tako ločiti.

Pomembno je, da nobena od uredb podjetij ne zavezuje k ločevanju podatkovnih nizov, ki jih upravljajo ali obdelujejo.

Zato bodo za mešani podatkovni niz na splošno veljale obveznosti iz GDPR za upravljavcev in obdelovalcev podatkov ter zahteve glede spoštovanja pravic posameznikov, na katere se nanašajo osebni podatki, iz splošne uredbe o varstvu podatkov.

Z namenom pojasniti povezavo med osebnimi in neosebnimi podatki je EU Komisija izdala Smernice k uredbi o okviru za prosti pretok neosebnih podatkov v Evropski uniji

Predlog zakonodajnega akta o enotnem trgu za digitalne storitve in akta o digitalnem trgu

Evropska komisija je decembra 2020 po javnem posvetovanju objavila predlog zakonodajnega akta o enotnem trgu za digitalne storitve (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC) in predlog zakonodajnega akta o digitalnem trgu ( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on contestable and fair markets in the digital sector (Digital Markets Act).

Nemško sodišče odločilo o uporabi modela za določanje višine globe zaradi kršitev GDPR, ki ga je sprejel nemški zvezni informacijski pooblaščenec

Nemški model za izračunavanje in določanje glob zaradi kršitev GDPR, kot ga je sprejel Nemški zvezni informacijski pooblaščenec, ki sloni predvsem na kriteriji velikosti prihodkov kršitelja, je bil kritiziran s strani nemškega sodišča v Bonnu. Sodišče je konec leta 2020 jasno reklo, da model izračunavanja glob vodi k nesorazmernim globam in zato ni primeren.

Decembra je nemški zvezni informacijski pooblaščenec oglobil nemško telekomunikacijsko družbo 1&1 Telecom v višini € 9.55m. Regionalno sodišče v Bonnu pa je znižalo globo na 900.000 EUR na temelju ugotovitve, da je bila nesorazmerna, ni upoštevala vse okoliščine primera ter je bazirala primarno na vrednosti prihodkov podjetja in ne drugih okoliščinah.

Odziv zveznega informacijskega pooblaščenca je bil, da jih veseli, da je sodišče ugotovila kršitve GDPR ne glede na zmanjšanje kazni.

EU komisija je izdala oceno učinka o uporabi umetne inteligence v produktih in storitvah

Evropska komisija je izdala začetno oceno učinka za novi predlog uredbe o etičnem in pravnem temelju umetne intelligence, ki sledi Resoluciji Evropskega parlamenta z dne 12. februarja 2019 o celoviti evropski industrijski politiki na področju umetne inteligence in robotike Umetna inteligenca je hitro razvijajoča se in strateška tehnologija z izjemnim potencialom. Vendar nekatere vrste njene uporabe predstavljajo posebno veliko tveganje pri uporabi različnih pravil EU, namenjenih varstvu temeljnih pravic, zagotavljanju varnosti in pripisovanju odgovornosti.

S to pobudo se bo zagotovilo, da je umetna inteligenca varna, zakonita in v skladu s temeljnimi pravicami EU. Splošni cilj je spodbuditi uporabo zaupanja vredne umetne inteligence v gospodarstvu EU.

Umetna inteligenca je prednostna naloga Evropske unije, saj bo imela glede na napovedi ključno vlogo v digitalni preobrazbi gospodarstva in družbe.

Začetna ocena učinka in odzivi industrije so dostopni na: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12527-Requirements-for-Artificial-Intelligence

Prenos osebnih podatkov v/iz Velike Britanije po 1. 1. 2021

The Trade and Cooperation Agreement (TCA) which sets out the future relationship between the EU and UK, contains provision in Article FINPROV.10A, for a data bridge to last no more than six months. This will allow personal data to flow freely between the EU and the UK without the need for additional transfer mechanisms as the UK will not be considered a third country for data export purposes during this period. In a statement, the ICO advised organisations to put transfer mechanisms in place to protect against any future disruption which suggests that EU adequacy is not a 'done deal'. She also confirmed that the UK has deemed the EU, EEA and EFTA countries to be adequate for the purposes of transfers of personal data from the UK.