Recentna kretanja u zakonodavstvu i sudskoj praksi Europske unije upućuju na mogući zaokret u tumačenju pojma osobnih podataka – prema užem pristupu nego dosad. U središtu su prijedlog tzv. Digital Omnibus paketa te presuda Suda Europske unije iz rujna 2025. godine.

U toj je presudi Europski nadzornik za zaštitu podataka tužio Servis za radne baze – SRB, tijelo EU-a koje prikuplja i obrađuje podatke o financijskim institucijama i njihovim zaposlenicima radi nadzora i regulatornih analiza.

Spor je nastao jer je SRB tvrdio da pseudonimizirani podaci koje dijeli s trećim stranama nisu osobni podaci za primatelje. EDPS je osporio takvo tumačenje, upozoravajući da takav pristup ne osigurava zaštitu prava ispitanika, a Sud Europske unije presudio je da pseudonimizirani podaci mogu postati osobni podaci za primatelja ako on ima sredstva koja su razumno dostupna za identifikaciju pojedinca, potvrđujući relativni pristup zaštiti podataka i sprječavajući moguće zloupotrebe pseudonimizacije.

Jasna poruka

To znači da pseudonimizirani podaci nisu nužno osobni podaci za svakog sudionika u lancu obrade – ako primatelj podataka nema razumne načine za ponovnu identifikaciju pojedinca, za njega se ti podaci ne smatraju osobnima. Time se odstupa od dosadašnjeg „apsolutnog” pristupa, prema kojem je sama mogućnost identifikacije bilo kojem subjektu značila da su podaci osobni za sve.

Istodobno, Europska komisija u okviru prijedloga izmjena GDPR-a kroz Digital Omnibus predlaže preciziranje i moguće sužavanje definicije osobnih podataka, posebno u kontekstu razvoja i primjene sustava umjetne inteligencije.

Dok su dosadašnje smjernice Europskog odbora za zaštitu podataka – EDPB često smatrale i relativno anonimizirane podatke osobnima, novi pristup predlaže da se podaci koji se ne mogu razumno ponovno identificirati tretiraju kao anonimni.

To bi moglo smanjiti dio regulatornih obveza, poput prava ispitanika na pristup podacima ili potrebe za određenom pravnom osnovom obrade, ali obveza transparentnosti ostaje – voditelji obrade i dalje moraju informirati pojedince o dijeljenju njihovih podataka, čak i kada primatelj ne može sam identificirati osobu.

EDPB i Europski nadzornik za zaštitu podataka – EDPS usvojili su Zajedničko mišljenje o Digitalnom Omnibusu, podržavajući mjere koje pojednostavljuju sustav, poput višeg praga za prijavu povreda podataka, duljih rokova, zajedničkih predložaka i popisa, te pojašnjenja u području znanstvenog istraživanja i smanjenja „zamora od privole” kod cookie bannera.

Istovremeno, izražavaju zabrinutost zbog predložene izmjene definicije osobnih podataka, upozoravajući da bi takvo sužavanje moglo smanjiti razinu zaštite u odnosu na dosadašnju praksu Suda EU-a i ugroziti temeljno pravo na zaštitu podataka zajamčeno Poveljom EU o temeljnim pravima.

Posebno ističu da Komisiji ne bi trebalo prepustiti da provedbenim aktom odlučuje koji pseudonimizirani podaci više nisu osobni, jer bi to izravno utjecalo na područje primjene GDPR-a i Uredbe o zaštiti podataka u institucijama EU.

U kontekstu umjetne inteligencije i dijeljenja podataka, EDPB i EDPS podržavaju pojednostavljenje, ali traže dodatna pojašnjenja i snažne zaštitne mjere. Njihova poruka je jasna: jačanje konkurentnosti i smanjenje administrativnog opterećenja ne smiju ići na štetu temeljnih prava građana.

Sudjeluje i AZOP

U tom procesu sudjeluje i Agencija za zaštitu osobnih podataka – AZOP, nacionalno tijelo za zaštitu podataka u Hrvatskoj. Kao punopravna članica EDPB-a, AZOP sudjeluje u oblikovanju zajedničkih europskih stajališta i smjernica te istodobno provodi europska pravila o zaštiti podataka na nacionalnoj razini, čime je izravno uključen u raspravu o budućem smjeru zaštite osobnih podataka u EU-u.

– EDPB i EDPS upozoravaju da prijedlog ne odražava vjerno sudsku praksu Suda EU-a, osobito presudu u predmetu EDPS protiv SRB-a, jer uvodi tvrdnju da informacije ne postaju osobne samo zato što bi ih naknadni primatelj mogao razumno koristiti za identifikaciju – što Sud nije naveo.

Ujedno se zanemaruje i druga relevantna praksa, poput tri sudska slučaja, OC protiv Komisije, Scania i Breyer, koji potvrđuju relativni pristup definiciji osobnih podataka – podaci koji sami po sebi nisu osobni mogu postati osobni ako postoje razumna sredstva za identifikaciju osobe, što je temeljni princip koji se koristi u tumačenju GDPR-a.

Sud EU-a je u presudi EDPS protiv SRB-a potvrdio da podaci koji sami po sebi nisu osobni mogu to postati ako su dostupni primatelju koji ima sredstva razumno vjerojatna za identifikaciju ispitanika – tada su osobni podaci i za primatelja i, neizravno, za subjekt koji ih je učinio dostupnima, navode u AZOP-u.

Predložena izmjena mogla bi potaknuti traženje „rupa” u sustavu zaštite podataka radi izbjegavanja primjene GDPR-a ili EUDPR-a, te zanemaruje ključne elemente iz uvodne izjave 26. GDPR-a, te bi stvorila pravnu nesigurnost.

Prema uvodnoj izjavi 26. GDPR-a, osobni podaci su sve informacije koje se mogu koristiti za identifikaciju osobe, izravno ili neizravno, uzimajući u obzir sredstva koja su razumno dostupna. EDPB i EDPS smatraju da definicija treba jasno navesti što osobni podaci jesu, a ne što nisu.

– Prijedlog ne navodi konkretne vrste podataka koje bi prestale biti osobni podaci, već uvodi „subjektivni” pristup prema kojem bi određeni pseudonimizirani podaci u praksi mogli ispasti iz područja primjene Opće uredbe o zaštiti podataka – GDPR-a, ako voditelj obrade tvrdi da ne može ili ne namjerava ponovno identificirati pojedince.

Time bi status osobnog podatka postao relativan i ovisan o perspektivi konkretnog aktera. Takav pristup odstupa od dosadašnjeg shvaćanja prema kojem su pseudonimizirani podaci i dalje osobni podaci jer mogućnost ponovne identifikacije može postojati – bilo uz korištenje dodatnih informacija od strane istog subjekta, bilo od strane drugog aktera u podatkovnom ekosustavu.

U praksi bi to značilo da isti skup podataka za neke voditelje obrade ima status osobnih podataka, a za druge ne, pojašnjavaju iz AZOP-a.

Dalekosežne posljedice

Posljedice bi bile dalekosežne, dodaju. Došlo bi do nedosljedne raspodjele uloga i odgovornosti između voditelja i izvršitelja obrade te pravne nesigurnosti u slučajevima zajedničke obrade.

Pravila o međunarodnim prijenosima mogla bi se zaobilaziti pokušajima „reklasifikacije” podataka kako bi se izbjegli propisani mehanizmi i odgovornost, a smanjila bi se i razina sigurnosnih obveza iz članka 32. GDPR-a, jer bi se dio aktera mogao pozivati na to da se propisi ne primjenjuju na podatke koje oni smatraju „neosobnima”, unatoč stvarnom riziku za pojedince.

– Istodobno bi se oslabila prava ispitanika, uključujući pravo na pristup, brisanje, prigovor, ograničenje obrade i transparentnost, jer bi se ta prava mogla uskratiti uz obrazloženje da podaci iz perspektive određenog voditelja nisu osobni.

Naposljetku, otežala bi se i provedba propisa, budući da bi nadzorna tijela morala od slučaja do slučaja procjenjivati tvrdnje o nemogućnosti identifikacije, što je teško provjeriti i otvara prostor za izbjegavanje primjene GDPR-a, navode iz Agencije.

Predloženi članak 41.a dao bi Europskoj komisiji ovlast da provedbenim aktima utvrđuje sredstva i kriterije prema kojima bi se određeni pseudonimizirani podaci mogli smatrati ne-osobnima za pojedine subjekte.

Time bi Komisija de facto utjecala na materijalni i osobni opseg primjene Opće uredbe o zaštiti podataka i drugih propisa EU-a o zaštiti podataka, nadopunjujući izmijenjenu definiciju osobnih podataka.

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka upozoravaju da nije jasno bi li takvi akti doista povećali pravnu sigurnost.

– Iako bi Komisija precizirala kriterije za procjenu identifikabilnosti, tekst istodobno predviđa da bi njihova primjena bila tek „element” u dokazivanju da podaci ne omogućuju ponovnu identifikaciju.

Nije razjašnjeno bi li to značilo oborivu pretpostavku da podaci nisu osobni ili samo jedan od više čimbenika, što otvara prostor za različita tumačenja, kazali su iz AZOP-a.

Umjesto pojednostavljenja, to bi moglo dovesti do dodatne složenosti i pravne nesigurnosti za javne i privatne subjekte. Ujedno bi se time zadiralo u nadležnost neovisnih nadzornih tijela, koja prema članku 8. stavku 3. Povelja Europske unije o temeljnim pravima primjenjuju pravila o zaštiti podataka pod sudskim nadzorom.

Nova odredba bi, prema stajalištu EDPB-a i EDPS-a, u praksi omogućila Komisiji da utječe na te nadležnosti.

– Takva izmjena mogla bi u praksi oslabiti prava građana zajamčena Općom uredbom o zaštiti podataka ako bi se pseudonimizirani podaci prestali smatrati osobnima, iako i dalje postoji rizik ponovne identifikacije.

U tom slučaju ti podaci više ne bi bili obuhvaćeni zaštitnim režimom GDPR-a. To bi značilo da građani ne bi mogli učinkovito ostvarivati svoja prava, poput prava na pristup ili ispravak podataka, dok voditelji obrade ne bi bili obvezni primjenjivati temeljna načela obrade, uključujući zakonitost, transparentnost i ograničenje svrhe.

Istodobno bi oslabila i uloga nadzornih tijela, jer bi dio obrade izmaknuo njihovoj kontroli, unatoč stvarnim rizicima za pojedince, ističu u AZOP-u.

Zadiranje u samu srž

Predložene izmjene nisu samo tehničke naravi, već zadiru u samu srž Opće uredbe o zaštiti podataka. Ako bi bile usvojene bez dorade, mogle bi sniziti razinu zaštite osobnih podataka zajamčenu pravom EU-a te otežati građanima ostvarivanje njihovih prava.

Konkretni rizici uključuju slabiju primjenu temeljnih načela obrade, sužavanje opsega prava ispitanika i manju učinkovitost nadzora. Time bi pravo na privatnost i zaštitu osobnih podataka moglo biti oslabljeno i u Hrvatskoj, kao državi članici koja primjenjuje GDPR.

Zato Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka traže dorade prijedloga kako bi se postiglo pojednostavljenje i poticanje inovacija, ali bez narušavanja temeljnih prava građana Europske unije, pa tako i Republike Hrvatske.

– Postoji realna opasnost „regulatornog razvodnjavanja” Opće uredbe o zaštiti podataka pod krinkom pojednostavljenja. Pojedine predložene izmjene ne bi bile samo tehničke, već bi zahvatile samu srž sustava zaštite podataka, oslabile prava građana i povećale pravnu nesigurnost u primjeni pravila, naveli su iz AZOP-a.

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka načelno podržavaju ideju da se u Opću uredbu o zaštiti podataka uvede posebno odstupanje za incidentalnu i rezidualnu obradu posebnih kategorija podataka u razvoju i radu AI sustava, uz stroge uvjete i zaštitne mjere – cilj je izbjeći namjerno prikupljanje osjetljivih podataka te dopustiti njihovu obradu samo kada se ona doista ne može izbjeći, primjerice pri treniranju i testiranju određenih modela.

Kako bi se spriječile zlouporabe, EDPB i EDPS traže jasnije definiranje opsega tog odstupanja. Posebno naglašavaju da se ono mora strogo ograničiti, osobito kod sustava koji nisu visokorizični, i dopustiti samo kada postoji ozbiljan rizik štetnih učinaka, primjerice zbog pristranosti, koji opravdava takvu obradu. Bez preciznih granica postoji opasnost da se iznimka koristi preširoko i izvan svoje izvorne svrhe.

– Važno je jasno naglasiti da Akt o podacima sam po sebi ne obvezuje javna tijela da dopuštaju ponovnu uporabu osobnih podataka niti predstavlja pravnu osnovu za njihovo dijeljenje.

Prvo, time se sprječava stvaranje „automatizma” pristupa osobnim podacima, odnosno pogrešno uvjerenje da javna tijela moraju omogućiti ponovnu uporabu čim postoji zahtjev. Drugo, izbjegava se pogrešno tumačenje da Akt o podacima predstavlja samostalan pravni temelj za obradu, pojasnili su u AZOP-u.

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka upozoravaju da i u slučaju ponovne uporabe mora postojati valjana pravna osnova iz članka 6. stavka 1. Opće uredbe o zaštiti podataka.

U suprotnom bi se moglo tvrditi da su javna tijela zakonski dužna dijeliti osobne podatke, što nije svrha Akta o podacima i moglo bi dovesti do nezakonite obrade.

– U ovoj fazi riječ je tek o zakonodavnom prijedlogu Europske komisije, pa konkretni učinci još nisu izvjesni. Ako bi izmjene bile usvojene, najveći praktični utjecaj na rad Agencije za zaštitu osobnih podataka, kao i drugih nadzornih tijela, imala bi promjena definicije osobnog podatka jer bi mogla izmijeniti sam opseg primjene Opće uredbe o zaštiti podataka.

Ostale predložene izmjene zasad se ne procjenjuju kao one koje bi bitno promijenile svakodnevni rad nadzornih tijela, naveli su iz AZOP-a.