Što je Digital omnibus? Ambiciozan plan EU komisije komentira stručnjakinja tech prava
O Digital Omnibusu, ambicioznom prijedlogu Europske komisije koji će transformirati digitalno tržište, za Lika Club piše odvjetnica za tehnološko pravo Natalija Babić.
19. studenoga 2025. Europska komisija službeno je predstavila svoj Digitalni omnibus paket[1], odnosno prijedlog za sveobuhvatnu digitalnu uredbu koja ima za cilj sveobuhvatno ažurirati digitalni regulatorni okvir EU. Ukratko, Digital omnibus mogao bi biti pravi gamechanger uvodeći značajne promjene u obvezama zaštite osobnih podataka, pravilima o kolačićima koji neumoljivo iskaču prilikom svakog posjeta webstranicama (sve dok ih konačno ne prihvatite), propisima o kibernetičkoj sigurnosti i u pogledu uređenja umjetne inteligencije, koja je tek nedavno regulirana po prvi put u povijesti EU Uredbom o umjetnoj inteligenciji.
Već se godinama nižu kritike na račun EU kao superregulatora koji sputava razvoj tehnologije i inovativnih rješenja svojim robusnim regulatornim okvirom te tako nameće brojne obveze i ograničenja europskim poduzetnicima i start-upovima. Posljedice nisu samo na poduzetničkoj strani, već ih osjeća i EU koja gubeći poduzetnike koji odlučuju jednostavno preseliti svoje poslovanje u npr. SAD, gubi i prihode, potencijalna zaposlenja, konkurentnost, itd. Gdje je granica između superregulacije i zdrave doze regulacije, to je pitanje na koje nitko nema odgovor koji bi zadovoljio obje strane (i regulatore i inovatore), međutim kako se čini, EU komisija je ipak shvatila da trenutna regulatorna ograničenja narušavaju EU konkurentnost, i to zahvaljujući izvješću Marija Draghija[2] o budućnosti EU konkurentnosti, kojeg je Europska komisija postavila kao posebnog izvjestitelja za tu temu. Draghi je u svom izvješću u rujnu 2024. upozorio kako EU zaostaje u ključnim tehnologijama, kako nema dovoljno brzog rasta mladih tech kompanija, a da fragmentiranost i složenost postojećeg pravnog okvira ima značajan (negativan) utjecaj na EU konkurentnost.
Rješenje za taj nimalo banalan problem EU komisija je izložila u prijedlogu nove sveobuhvatne digitalne uredbe pod nazivom Digital Omnibus. Drugim riječima – klin se klinom izbija, a superregulacija po toj logici, a čime drugim nego novom uredbom koja najavljuje zaista značajne promjene u svijetu digitalnog tržišta o kojima će uskoro svi pričati.
Paket „Digitalni omnibus“ sastoji se od dva predložena propisa: (i) Uredbe „Digitalni omnibus”, koja bi, između ostalim, izmijenila Opću uredbu o zaštiti podataka (GDPR)[3], Direktivu o privatnosti i elektroničkim komunikacijama (ePrivacy)[4], Direktivu NIS2[5] i Akt o podacima[6]; te (ii) zaseban „Digitalni omnibus o umjetnoj inteligenciji” koji bi izmijenio Uredbu o umjetnoj inteligenciji[7]. U nastavku pročitajte najvažnije informacije.
Koje su najavljene promjene?
- Revidirana definicija osobnih podataka
Digital Omnibus predlaže redefiniranje pojma „osobnih podataka” tako da isključuje informacije za koje subjekt koji njima raspolaže nema „sredstva koja se razumno mogu upotrijebiti” za identifikaciju pojedinca. Ukoliko ovaj prijedlog prođe, kompanije bi mogle autonomno odlučiti da se određeni podaci ne smatraju osobnim podacima te ih dalje slobodno obrađivati bez primjene GDPR ograničenja.
- Mogućnosti za razvoj i primjenu AI sustava
Predlažu se dvije ključne izmjene GDPR-a radi pojašnjenja pravila o obradi osobnih podataka u svrhu razvoja i primjene sustava umjetne inteligencije. Digitalni omnibus predlaže izričito priznati takvu obradu kao „legitiman interes” prema GDPR-u. No, voditelji obrade bi i dalje morali dokazati nužnost i proporcionalnost obrade te primijeniti odgovarajuće zaštitne mjere, uključujući minimiziranje korištenih podataka za treniranje AI modela i osiguranje bezuvjetnog prava ispitanika na prigovor obradi osobnih podataka. Nadalje, predlaže se i uvođenje iznimke od zabrane obrade „posebnih kategorija osobnih podataka” u slučajevima kada skup podataka sadržava preostale osjetljive podatke, pod uvjetom da su primijenjene tehničke mjere za njihovo minimiziranje i uklanjanje.
- Jasnije odredbe o „znanstvenim istraživanjima”
Pojam „znanstveno istraživanje” bio bi široko definiran kao svako istraživanje koje može poduprijeti inovacije, kao što su tehnološki razvoj. Takvo istraživanje može „ciljati na komercijalni interes”, ali mora doprinositi postojećem znanstvenom znanju, širiti opću društvenu dobrobit te poštovati etičke standarde u dotičnom području. Nadalje, dodatna obrada u znanstvene svrhe smatrala bi se kompatibilnom s prvotnom svrhom obrade, a znanstveno istraživanje priznalo bi se kao legitiman interes. Time su trenutne postavke za GDPR usklađeno provođenje znanstvenih istraživanja značajno promijenjene, olakšavajući obradu osobnih podataka u znanstvene svrhe, ali i slabeći jedno od temeljnih načela GDPR-a, a to je načelo ograničenja svrhe.
- Proširene iznimke od prava ispitanika
Prijedlog proširuje postojeće iznimke u vezi s obvezama transparentnosti, osobito kada se obrada provodi u znanstvene svrhe. Također precizira okolnosti u kojima voditelji obrade mogu odbiti zahtjev za pristup prema članku 15. GDPR-a ili naplatiti razumnu naknadu, primjerice kada ispitanik „zloupotrebljava prava dodijeljena ovom Uredbom u druge svrhe osim zaštite svojih podataka”. Drugim riječima, kompanije više neće morati udovoljavati svakom zahtjevu za pristup osobnim podacima, već samo onima koje ocijeni da su usmjereni prema zaštiti prava pojedinaca.
- Ažurirana pravila o kolačićima
Digital omnibus predlaže riješiti tzv. consent fatigue, odnosno problem napornih ishođenja privola i čestih pop-up prozora o kolačićima uvodeći fleksibilniji i usklađeniji pristup pravilima praćenja na internetu. Između ostalog, prijedlog bi dopustio pohranu osobnih podataka ili pristup njima bez privole korisnika u određenim slučajevima, primjerice kada je nužno mjerenje publike ili osiguravanje sigurnosti sustava. U budućnosti se predviđa uvođenje mehanizama za univerzalne postavke privatnosti koji bi korisnicima omogućili da jednom izraze privolu ili isključe praćenje za sve internetske stranice i aplikacije.
Za tehničke specifikacije bili bi zaduženi relevantni standardizacijski subjekti, a pružatelji preglednika, operacijskih sustava i trgovina aplikacija morali bi podržavati te postavke. Operatori internetskih stranica i aplikacija morali bi ih provesti u roku od šest mjeseci od stupanja na snagu.
- Jedinstveni EU portal za prijavu povreda podataka
Trenutno je u slučaju incidenta, kibernetičkog napada ili povrede osobnih podataka, potrebno ispuniti čitav niz obveza prijavljivanja takvog nepoželjnog događaja i to na niz različitih adresa. Komisija planira uspostaviti centralni EU portal za prijavu povreda podataka, prema modelu „jednom prijavi – široko dijeli”[8], radi pojednostavljenja obveza prema GDPR-u, Direktivi NIS2, Uredbi o digitalnoj operativnoj otpornosti (DORA), Direktivi o otpornosti kritičnih entiteta i nadolazećem Aktu o kibernetičkoj otpornosti. Preklapajuće obveze izvješćivanja prema Direktivi o e-privatnosti za pružatelje komunikacijskih usluga bile bi ukinute. Voditelji obrade morali bi prijavljivati samo povrede koje predstavljaju visok rizik za ispitanike, a rok za prijavu bio bi produljen na 96 sati (u odnosu na sadašnjih 72 sata). Europski odbor za zaštitu podataka (EDPB) izradio bi standardizirani obrazac za prijavu, koji bi Komisija usvojila provedbenim aktom.
- Usklađene smjernice i predložak za procjenu učinka na zaštitu podataka (DPIA)
Prema prijedlogu, Europski odbor za zaštitu podataka (EDPB) bio bi nadležan za izradu EU popisa aktivnosti obrade koje zahtijevaju, odnosno ne zahtijevaju procjenu učinka na zaštitu osobnih podataka (eng. data protection impact assessment – DPIA), čime bi se zamijenili nacionalni popisi. Također bi razvio standardizirani predložak i metodologiju za provedbu DPIA, koje bi Komisija mogla usvojiti provedbenim aktom. Popisi i metodologija redovito bi se ažurirali, najmanje svake tri godine.
- EU digitalni poslovni novčanik
Zajedno s Digitalnim omnibusom, Komisija usporedno radi na prijedlogu Uredbe o europskim poslovnim novčanicima. Ideja iza poslovnih novčanika je pojednostaviti usklađivanje s regulatornim okvirom i smanjiti administrativna opterećenja za poduzeća, na način da djeluju kao jedinstvena platforma za pojednostavljenu interakciju diljem EU. Implementacijom jedinstvenog i trajnog identifikatora koji će djelovati kao digitalni poslovni novčanik, poduzeća će biti ovlaštena digitalno provjeravati identitete, potpisivati dokumente, dodavati vremenske pečate i besprijekorno razmjenjivati provjerene digitalne informacije preko granica korištenjem jedinstvenog rješenja. Usvajanjem europskih poslovnih novčanika, poduzeća, posebno mala i srednja poduzeća, moći će se s lakoćom snalaziti u usklađivanju, oslobađajući vitalne resurse koji se mogu preusmjeriti prema rastu i inovacijama.
Kada će promjene stupiti na snagu?
Digital Omnibus tek je prijedlog EU Komisije koji će se razmatrati sukladno redovitom zakonodavnom postupku u Europskom parlamentu i Vijeću. Konačni tekst ovisit će o njihovoj ocjeni i izmjenama tijekom zakonodavnog procesa, a okvirna procjena EU Komisije je da će promjene efektivno ugledati svjetlo dana krajem 2027. godine.
No, ono što je sigurno jest da će prigovori u samom tijeku zakonodavnog postupka biti brojni, kao i zahtjevi za izmjenu. Iako je ideja EU Komisije srezati administrativne troškove u digitalnom sektoru, i to za cca 2,4 milijarde EUR, mnogi su skeptični prema novom prijedlogu ističući kako će inicijalna adaptacija poduzećima donijeti nove troškove, a bez jasnih praktičnih olakšica koje su zazivali svih ovih godina. Osim toga, najavljena promjena definicije „osobnih podataka“ u smislu GDPR-a u startu je problematična zbog moguće posljedice višeslojne klasifikacije i neujednačenih interpretacija od strane voditelja obrade osobnih podataka čija će subjektivna ocjena biti od presudne važnosti. Na kraju, bit će zanimljivo pratiti kako će EU Komisija odgovoriti na kritike da se privatnost u online svijetu koja je trenutno regulirana Direktivom 2002/58/EZ o privatnosti i elektroničkim komunikacijama gubi u prijedlogu Digital Omnibus i de facto izjednačuje s etabliranim pravom na zaštitu osobnih podataka, a koje je regulirano GDPR-om.
U svakom slučaju, prijedlog Digital Omnibus ima potencijal donijeti tektonske promjene u digitalnom tržištu mijenjajući regulatorni okvir kakvog poznajemo, nada(j)m(o) se za dobrobit tog tržišta, a ne tek kao nastavak superregulacije bez efektivnih promjena koje poduzetnicima, ali i pojedincima donose praktičnu vrijednost.
[1] https://digital-strategy.ec.europa.eu/hr/policies/digital-rulebook
[2] Izvješće posebnog izvjestitelja Mario Draghi iz 2024. o budućnosti EU konkurentnosti: https://commission.europa.eu/topics/competitiveness/draghi-report_en
[3] Uredba(EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ
[4] Direktiva 2002/58/EZ o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama)
[5] Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)
[6] Uredba 2023/2854 o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima):
[7] Uredba (EU) 2024/1689 o utvrđivanju usklađenih pravila o umjetnoj inteligenciji i o izmjeni uredaba (EZ) br. 300/2008, (EU) br. 167/2013, (EU) br. 168/2013, (EU) 2018/858, (EU) 2018/1139 i (EU) 2019/2144 te direktiva 2014/90/EU, (EU) 2016/797 i (EU) 2020/1828 (Akt o umjetnoj inteligenciji)
[8] eng. „report once, share many“, str. 58. Prijedloga Digital Omnibus
Izvor: Natalija Babić
Čitaj najbolje ličke vijesti. Skini aplikaciju Lika app.
Hrvatski
English