U eri digitalizacije i masovnog prikupljanja podataka, pitanja privatnosti i zaštite osobnih podataka postaju sve važnija i složenija. Tehnike poput pseudonimizacije, koje imaju za cilj smanjiti rizik identifikacije pojedinca bez uklanjanja mogućnosti ponovne identifikacije, otvaraju složena pitanja o otvaraju složena pitanja o normativnom razgraničenju između osobnih i neosobnih podataka te o tome u kojoj mjeri tehničke mjere mogu utjecati na opseg primjene pravnih obveza. Istovremeno, dostupnost ogromnih količina osobnih podataka stvara rizik od zloupotrebe, posebno u kontekstu umjetne inteligencije i naprednih algoritama za profiliranje.

Europski propisi poput Opće uredbe o zaštiti podataka, koja je poznata i po engleskom akronimu – GDPR, postavili su jasna pravila za obradu osobnih podataka, ali digitalni ekosustavi poput Digitalnog omnibusa te nadolazeća puna primjena Akta o UI dodatno kompliciraju pravni okvir.

Digitalni omnibus, platforma za prikupljanje i analizu potrošačkih podataka, i Akt o UI, regulativa koja nastoji definirati sigurno i etičko korištenje umjetne inteligencije, stavljaju pred tvrtke i institucije izazove u balansiranju inovacija i zaštite privatnosti građana.

Kako se granice između tehnološkog napretka i zaštite osobnih prava sve više brišu, pseudonimizacija, dostupnost podataka i GDPR međusobno se isprepliću.

O implikacijama koje ove regulative imaju na svakodnevni život korisnika i poslovne prakse u digitalnom okruženju razgovarali smo s Ivanom Kunda, profesoricom s riječkog Pravnog fakulteta.

Dopuna odredbe GDPR-a

Trenutno, po samoj odredbi GDPR-a, osobni podaci su bilo koja informacija koja se odnosi na prepoznatljivu fizičku osobu, neovisno o tome tko ih posjeduje. Čak i ako netko nije u stanju odmah identificirati osobu, podatak se i dalje smatra osobnim ako je moguće identifikaciju ostvariti razumnim sredstvima.

U Digitalnom omnibusu predložena je dopuna odredbe GDPR-a kojom se definiraju osobni podaci. Prema toj dopuni, ako treća osoba ima informacije o nekoj osobi, ali ne može praktično identificirati tu osobu koristeći razumna sredstva, te informacije ne smatraju se osobnim podacima za tu treću osobu, pojasnila je Ivana Kunda.

– Usporedimo li taj prijedlog s praksom Suda EU-a, posebno presudom u predmetu EDPS protiv SRB iz rujna 2025. godine, uočavamo bitne sličnosti. U tom predmetu, u kojem je Europski nadzornik za zaštitu podataka – EDPS tužio Servis za radne baze – SRB, Sud je zauzeo stajalište da pseudonimizirani podaci nisu nužno osobni podaci za sve koji ih posjeduju.

Primjerice, ako koristite aplikaciju za trčanje koja mjeri rutu, udaljenost, vrijeme i brzinu dok trčite te učestalost trčanja, pružatelj te usluge prikuplja ove osobne podatke i povezuje ih s vama te su za njega to vaši osobni podaci.

Međutim, kad navedene podatke o trčanju, ali ne i ime, e-mail adresu i slično, prenese oglašivaču, oglašivač vas ne može razumnim sredstvima identificirati pa za njega učestalost, udaljenost, vrijeme i brzina vašeg trčanja nisu osobni podaci.

Ovom dopunom je jasnije zacrtan smjer relativne definicije osobnih podataka, kojim je već krenula i praksa Suda EU-a, pojasnila je pravnica.

Iako prethodno objašnjeno sužavanje pojma osobnih podataka nije vezano uz vrste podatka, nego uz osobe koje ih primaju i obrađuju, posljedice po naša prava mogu biti značajne.

Na primjeru aplikacije za trčanje – prema ranijem shvaćanju oglašivač bi i dalje bio obvezan GDPR-om u postupanju s vašim podacima o trčanju pa ih ne bi mogao dalje prenositi bez pravne osnove, a vi biste imali pravo na uvid u podatke, brisanje podataka itd.

Veće mogućnosti oglašivača

Prema novopredloženim odredbama, a i prema spomenutoj praksi Suda EU-a, oglašivač bi, ako ima pseudonomizirane podatke, njih mogao obrađivati bez ograničenja koristeći vašu rutu i obrasce kretanja za analitiku ili reklamne kampanje, kombinirajući ih s drugim podacima, primjerice demografijskim ili meteorološkim, jer ne bi bio obvezan GDPR-om.

– Moguće posljedice predložene odredbe su umanjenje kontrole ispitanika nad podacima, pa se tako neće moći zahtijevati brisanje podataka kod oglašivača.

Usporedno s time veće su mogućnosti oglašivača za profiliranje i ciljano oglašavanje, jer se vaša lokacija dalje može kombinirati u obrasce ponašanja koji potiču određene oglase, čak i ako vi niste izravno prepoznatljivi, rekla je Kunda.

Provedbeni akti Komisije služe za definiranje tehničkih standarda i metoda, a ne za uređivanje subjektivnih prava i obveza, koja se reguliraju propisima u zakonodavnim postupcima pred nadležnim tijelima EU-a.

Digitalni omnibus predložen je kao uredba EU-a koja mijenja postojeće definicije i predviđa ovlast Komisiji za donošenje provedbenih akata. Tim aktima Komisija bi utvrdila načine i kriterije za procjenu hoće li podaci dobiveni pseudonimizacijom i dalje biti osobni za određene subjekte.

Komisija pritom ne bi odlučivala je li pojedini podatak osobni, već bi postavljala metode za procjenu rizika od reidentifikacije i mjere za njegovo smanjenje. Takve smjernice imale bi praktičnu vrijednost za one koji obrađuju pseudonimizirane podatke, jer bi im pružale zaštitu u slučaju nadzora ili pravnog spora.

Na pitanje doprinosi li Digitalni omnibus pravnoj sigurnosti ili prijeti normativna fragmentacija, Kunda navodi kako učinak Digitalnog omnibusa može ići u oba smjera, ovisno o kvaliteti njegovih odredbi i načinu provedbe.

– Kada se radi o propisima koji uređuju tehničke aspekte društva, standardizacija i jasne preporuke često osiguravaju najveću pravnu sigurnost. Omnibus može pojačati sigurnost ako kriteriji primjene budu precizni, praktični i dosljedno primijenjeni u cijelom EU-u.

Poduzetnici bi tada točno znali koje tehnike, poput maskiranja, agregiranja, pseudonimizacije ili diferencijalne privatnosti, trebaju primijeniti kako bi podaci prestali biti osobni i time izbjegli obveze GDPR-a.

Provedbeni akti Komisije u tom kontekstu imaju ključnu ulogu jer detaljno propisuju standarde, daju preporuke i omogućuju brzu prilagodbu u slučaju tehnoloških ili poslovnih promjena.

S druge strane, slabom provedbom Digitalnog omnibusa može doći do normativne fragmentacije, odnosno nekonzistentne primjene pravila među državama članicama. Za ublažavanje takvih rizika postoje mehanizmi poput Europskog odbora za zaštitu podataka i Suda EU-a, pojasnila je pravnica.

U literaturi se često koristi pojam „erozije“ članka 9. GDPR-a, koji se bavi se obradom osjetljivih podataka, koji upozorava na rizik da bi zabrana obrade posebnih kategorija osobnih podataka, poput zdravstvenih, biometrijskih, rasnih, etničkih ili političkih podataka, mogla biti oslabljena. Iznimke kada je takva obrada dopuštena strogo su definirane i ograničene, no pojavom umjetne inteligencije situacija se komplicira.

– UI modeli obrađuju velike količine podataka, pa i osjetljivi podaci, iako nisu ciljani, mogu biti incidentalno uključeni u treniranje modela. Na primjer, jezični model trenira se na raznim internetskim sadržajima koji mogu sadržavati podatke o zdravlju ili etničkoj pripadnosti.

Digitalni omnibus predlaže novi izuzetak koji bi omogućio takvu incidentalnu obradu u razvoju i radu UI sustava. Problem je u tome što bi, ako se izuzetak primijeni široko, zabranjena obrada osjetljivih podataka mogla postati uobičajena praksa.

Poduzetnici često nastoje uključiti što više podataka uz minimalnu intervenciju, što nije samo tehničko ili ekonomsko pitanje – radi se o podacima iz najintimnije sfere ljudskog života, koji su posebno zaštićeni člankom 9. GDPR-a.

Postavljanjem izuzetka za UI, zaštita osjetljivih prava ispitanika ozbiljno bi se mogla narušiti, jer naknadne korekcije teško mogu zamijeniti preventivnu zaštitu, navela je Kunda.

Novi odnosi snaga

Članak 8. Povelje Europske unije o temeljnim pravima štiti privatnost i osobne podatke, pa svaka obrada, uključujući osjetljive podatke, mora poštovati načelo proporcionalnosti: ograničenje prava smije postojati samo ako je prikladno za ostvarenje legitimnog cilja, nužno jer nema blaže jednako učinkovite mjere, te razmjerno – koristi od mjere ne smiju biti nerazmjerno manje od štete nanesene pravu.

– Primijenimo li ova načela na iznimke za incidentalnu obradu u kontekstu umjetne inteligencije, iznimka bi trebala biti strogo ograničena na slučajeve kada treniranje UI modela nije moguće bez incidentalne obrade.

Obrada bi se trebala odnositi samo na najmanju potrebnu količinu podataka, odnosno isključivo na one podatke koji su stvarno nužni za treniranje. Osim toga, obavezne su tehničke mjere poput pseudonimizacije, agregacije i diferencijalne privatnost

i. Prije početka obrade, potrebno je provesti i procjenu utjecaja na privatnost (DPIA) prema GDPR-u kako bi se prepoznali, procijenili i ublažili rizici za prava i slobode ispitanika, istaknula je.

Granicu na kojoj izmjena GDPR-a krši članak 8. Povelje EU-a o temeljnim pravima nije jednostavno iscrtati, no Kunda ju je objasnila kroz nekoliko primjera.

– Granica bi svakako bila dosegnuta ako bi se Digitalnim omnibusom stavio izvan snage GDPR, zatim ako bi se propisala nova definicija osobnih podataka koja obuhvaća samo one identifikatore na temelju kojih se osobu može izravno i samostalno identificirati, ili ako bi se omogućila masovna obrada osjetljivih podataka bez ograničenja za potrebe sustava umjetne inteligencije.

Ili ako bismo zbog umanjenja prava ili mehanizama zaštite imali samo formalnu, ali ne i faktičnu kontrolu nad svojim osobnim podatcima, rekla je Kunda.

– Nakon dugogodišnjeg proučavanja pravnog zakonodavstva i prakse na europskom digitalnom tržištu, mogu nedvojbeno ustvrditi da se Digitalnim omnibusom žele uspostaviti novi odnosi snaga između suprotstavljenih interesa.

Kao i brojni drugi, i ovaj propis Europske unije reflektira postglobalne i ubrzano dehumanizirane društvene promjene, koje zazivaju preraspodjelu dobara, a time i prava i obveza sudionika na tržištu. Još od kraja devedesetih Europska unija započela je s ozbiljnijom regulacijom digitalne ekonomije i digitalnog tržišta, da bi ju nastavila sve intenzivnije do danas, upozorila je.

Dok se Europska unija dugo fokusirala na pravno uređenje digitalnog prostora, Sjedinjene Američke Države i Kina ostvarile su značajnu prednost u razvoju umjetne inteligencije, tehnoloških platformi i start-up ekosustava.

Nova ravnoteža

Budući da su inovacije i poslovni modeli u Europu pretežno dolazili iz tih država, europski regulatorni pristup bio je uglavnom reaktivan – usmjeren na ograničavanje štetnih učinaka digitalne transformacije i kontrolu moći velikih tehnoloških aktera.

Danas se taj pristup mijenja, a naglasak se sve više premješta s isključivo zaštitne paradigme prema poticanju inovacija, rasta i konkurentnosti europskih poduzetnika.

U tom kontekstu treba promatrati Komisijin prijedlog Digitalnog omnibusa, navela je Kunda.

– Deklarativno, cilj je pojednostaviti i uskladiti postojeća pravila EU-a u digitalnom sektoru, smanjiti administrativno opterećenje poduzetnika i povećati konkurentnost gospodarstva.

No istovremeno, prijedlog priznaje da je EU pretjerala sa složenošću i količinom regulative u digitalnoj sferi. U posljednjih nekoliko godina doneseni su brojni propisi, prvenstveno usmjereni velikim tehnološkim divovima iz SAD-a i sve više iz Kine.

Iako svaki propis ima smisla sam za sebe, zajedno su teško razumljivi i preskupi za provedbu, osobito manjim poduzetnicima, koji često poručuju Bruxellesu -Ne možemo rasti ako stalno plaćamo pravnike umjesto inženjera, istaknula je Kunda.

Rasprava se na koncu svodi na pitanje ravnoteže – poduzetnici upozoravaju da previše regulacije guši inovacije, dok korisnici strahuju da premalo regulacije ugrožava njihova prava.

Digitalni omnibus nastoji uspostaviti novu ravnotežu između zaštite digitalnih prava i konkurentnosti gospodarstva. Budući da promiče veću konkurentnost, posljedica može biti smanjenje prava građana – posebno u području osobnih podataka, gdje se nastoji balansirati između privatnosti i razvoja UI-a te digitalne ekonomije.

Rasprava je posebno žestoka jer je zaštita osobnih podataka jedno od područja u kojem EU globalno prednjači.

– Kako bi se smanjenje prava ostvarilo „diskretno“, Komisija ne mijenja izravno GDPR, već predlaže Digitalni omnibus koji posredno prilagođava pravila za potrebe podatkovne industrije i UI-a, navela je Ivana Kunda.