Uredba (EU) 2016/6793 in Direktiva (EU) 2016/6804 sta namenjeni uravnoteženju (človekove) pravice do varstva osebnih podatkov z drugimi pravicami in interesi (tudi) na digitalnem trgu Evropske unije. Sprejeti leta 2016 sta pravzaprav začetek dolge zakonodajne poti urejanja digitalnega trga. Ta je v postkovidnih letih dobila nov zagon:
V nadaljevanju izpostavljam glavne novosti zakonodaje in in njihov potencialni vpliv na varstvo osebnih podatkov po Splošni uredbi o varstvu podatkov.
Akt o upravljanju podatkov se je začel uporabljati 24. septembra 2023. Sloni na predpostavki o izjemnem gospodarskem in družbenem potencialu, ki ga imajo podatki; omogočijo lahko nove izdelke in storitve, ki temeljijo na novih tehnologijah, povečajo učinkovitost proizvodnje in zagotovijo orodja za boj proti različnim družbenim izzivom. Da bi resnično izkoristili ta ogromen potencial, bi moralo biti podatke lažje deliti na zaupanja vreden in varen način. Namen Akta o upravljanju podatkov je ureditev ponovne uporabe javno dostopnih/zaščitenih podatkov. Nova regulacija spodbuja izmenjavo podatkov z uvedbo instituta podatkovnih posrednikov in posameznikom daje možnost, da sodelujejo v izmenjavi podatkov v altruistične namene.
Z vidika varstva osebnih podatkov se je gotovo treba vprašati, ali so posamezniki dovolj opolnomočeni, da lahko premišljeno odločajo o svojih osebnih podatkih. Definicija osebnega podatka v Splošni uredbi o varstvu podatkov je namenoma zelo široka. Upajmo, da se bomo posamezniki, spodbujeni k delitvi podatkov, znali pravilno odločati in bomo pravilno razumeli tudi postopek anonimizacije – razosebljenja osebnih podatkov. Tveganje, ki ga je treba nagovoriti, se nanaša na možnost ponovne identifikacije posameznikov zaradi vse večjih količin podatkov v obtoku, prek povezav z različnimi podatkovnimi bazami oziroma podatki, ki so sicer sami zase razosebljeni.
Na področje uporabe Akta o upravljanju podatkov sicer sodijo tako osebni kot neosebni podatki. Ko gre za osebne podatke, veljajo določila Splošne uredbe o varstvu podatkov.
Na ravni Evropske unije10 že imamo Direktivo o odprtih podatkih, ki pa ureja ponovno uporabo javno dostopnih informacij javnega sektorja, t. i. odprtih podatkov. 11 Javni sektor ima tudi veliko t. i. zaščitenih podatkov (npr. osebnih podatkov in drugače zaupnih podatkov, kot so poslovne skrivnosti, statistična zaupnost, varstvo pravic intelektualne lastnine). Teh ni mogoče uporabiti pod pogoji direktive, ker ne gre za t. i. odprte podatke. Akt o upravljanju podatkov določa pravila in zaščitne ukrepe za olajšanje ponovne uporabe zaščitenih podatkov, kadar je to mogoče v skladu z drugo zakonodajo.
Ključna je vzpostavitev enotne informacijske točke (8. člen Akta o upravljanju podatkov), prek katere so na voljo pogoji za ponovno uporabo (5. člen Akta o upravljanju podatkov) in pristojbine (6. člen Akta o upravljanju podatkov) ter prek katere se sprejemajo tudi poizvedbe in zahtevki za ponovno uporabo podatkov. Enotna informacijska točka da na voljo tudi seznam virov, na katerem so ustrezne informacije, ki opisujejo razpoložljive podatke, med drugim vsaj format in velikost podatkov ter pogoje za njihovo ponovno uporabo.
Akt o podatkih (uveljavljen 11. januarja 2024) se bo z nekaj izjemami začel uporabljati 12. septembra 2025 in dopolnjuje Akt o upravljanju podatkov. Do datuma začetka uporabe bo Komisija pripravila nezavezujoče vzorčne pogodbene pogoje za dostop do podatkov in njihovo uporabo ter nezavezujoče standardne pogodbene klavzule za pogodbe na področju računalništva v oblaku, ki bodo strankam v pomoč pri pripravi pogodb s poštenimi, razumnimi in nediskriminatornimi pogodbenimi pravicami in obveznostmi ter pogajanjih o njih.
Medtem ko Akt o upravljanju podatkov ureja postopke, ki olajšujejo prostovoljno izmenjavo podatkov, Akt o podatkih pojasnjuje, kdo lahko ustvari dodano vrednost iz podatkov in pod kakšnimi pogoji. Cilj Akta o podatkih je zagotoviti enotni trg podatkov in razvoj podatkovnega gospodarstva, vključno z razvojem izdelkov na podlagi podatkov. Tudi Akt o podatkih (kot Akt o upravljanju podatkov) se nanaša na osebne in druge (neosebne) podatke, pri čemer pa izrecno ne posega v določila Splošne uredbe o varstvu podatkov in nacionalnih predpisov, ki urejajo varstvo osebnih podatkov. V primeru nasprotja med določbami Akta o podatkih in pravom Unije o varstvu osebnih podatkov in zasebnosti ali nacionalno zakonodajo, sprejeto v skladu s takim pravom Unije, prevlada pravo Unije ali nacionalno pravo o varstvu osebnih podatkov in zasebnosti.12
Vprašanje uporabe prava, tudi določb Splošne uredbe o varstvu podatkov, bo aktualno pri iskanju odgovorov na praktične izzive, na primer, kdo mora, če se izmenjujejo podatki, zagotoviti skladnost z določbami Splošne uredbe o varstvu podatkov, kdo mora zagotoviti skladnost namena ponovne uporabe, kakšno vlogo imajo podatkovni posredniki z vidika statusov oziroma položajev po Splošni uredbi o varstvu podatkov, kdo je upravljalec, obdelovalec ipd.
Akt o podatkih ne posega v predpise na področju varstva intelektualne lastnine in se ne uporablja za prostovoljne dogovore o izmenjavi podatkov med zasebnimi in javnimi subjekti ter ne posega vanje, zlasti v prostovoljne dogovore o souporabi podatkov, kot se tudi ne uporablja za področja, ki ne spadajo na področje uporabe prava Unije, in v nobenem primeru ne vpliva na pristojnosti držav članic v zvezi z javno varnostjo, obrambo ali nacionalno varnostjo.
Akt o podatkih vzpostavlja obveznost, da se uporabniku zagotovi dostop do podatkov iz izdelka in podatkov iz povezane storitve. Na ta način uporabnikom omogoča, da ohranijo nadzor nad svojimi osebnimi podatki tudi ob uporabi povezanih spletnih storitev, pri čemer se ob uporabi generirajo novi podatki. Akt o podatkih ureja prav dostop do podatkov, ki so nastali oziroma so bili pridobljeni z uporabo pametnih predmetov, strojev in naprav.
Uporabniki povezanih izdelkov oziroma storitev se bodo lahko odločili, da te podatke delijo s tretjimi osebami, s čimer naj bi se spodbujala poštena konkurenca s podobnimi storitvami, ki jih zagotavljajo drugi. Posledično naj bi imeli uporabniki povezanih izdelkov oziroma storitev (potrošniki, kmetje, letalski prevozniki, gradbena podjetja ...) možnost, da izberejo stroškovno učinkovitejše ponudnike popravil in vzdrževanja (ali pa potrebne popravke, nadgradnje ipd. opravijo sami), kar bi lahko pripeljalo do potencialno nižjih cen na trgu. Ponudniki storitev bodo strankam dolžni omogočiti tudi, da njihovo storitev zamenjajo z (enako) storitvijo obdelave podatkov, ki jo zagotavlja drug ponudnik, oziroma da za storitev hkrati uporabljajo več ponudnikov. V ta namen ne bodo smeli postavljati ovir, ki bi strankam preprečevale:
Zapisano pa ne velja v primerih storitve obdelave podatkov, kadar je bila večina glavnih lastnosti oblikovana po meri, prilagojena posebnim potrebam posamezne stranke ali kadar so bile vse komponente razvite za namene posamezne stranke ter kadar se te storitve obdelave podatkov ne ponujajo v širokem komercialnem obsegu prek kataloga storitev ponudnika storitev obdelave podatkov.
Akt o podatkih ureja tudi dostop javnega sektorja, Komisije, Evropske centralne banke ali organov Unije do nekaterih podatkov zasebnega sektorja, vključno z metapodatki, potrebnimi za razlago in uporabo teh podatkov, kadar gre za t. i. izjemne potrebe (iz 15. člena Akta o podatkih) in javni organi podatke potrebujejo za opravljanje svojih zakonsko predpisanih nalog v javnem interesu. Določba pa ne posega v siceršnje, že z zakonom določene obveznosti posredovanja podatkov (za dokazovanje izpolnjevanja predpisanih obveznosti).
Tako Akt o upravljanju podatkov kot Akt o podatkih se glede osebnih podatkov sklicujeta na Splošno uredbo o varstvu podatkov in neposredno ne posegata na to področje. Dejstvo pa je, da uvajata nova pravila na področju podatkov, nove položaje subjektov pri njihovi obdelavi, ne da bi vnaprej določala njihove vloge upravljalca, obdelovalca, drugega obdelovalca, iz česar bi jasno izhajale tudi njihove pravice in obveznosti. Šele praksa bo tako pokazala, kakšen položaj gre na primer ponudnikom povezanih izdelkov, kadar uporabnik deli podatke z njimi (so zgolj upravljalci, so skupni upravljalci?). Prav tako bo praksa pokazala, ali bo poleg anonimizacije osebnih podatkov, kot jo razumemo in izvajamo danes, ob vse večji količini podatkov, ki bodo krožili med ponudniki in uporabniki storitev, za onemogočanje ponovne določljivosti posameznikov treba dodati nove ukrepe oziroma prepovedi v zvezi z obdelavo takšnih podatkov.
Akt o digitalnih trgih naj bi zagotovil pošteno konkurenco med digitalnimi platformami, ne glede na njihovo velikost, s tem pa povečal izbiro za potrošnike in spodbudil nove priložnosti za mala podjetja (pravičen in konkurenčen digitalni sektor). Uporabljati se je začel 2. maja 2023. Določa pravila za velike platforme »vratarje«, ki nudijo t. i. jedrne platformne storitve. Namen regulacije je preprečiti zlorabo položaja s strani velikih ponudnikov pratformnih storitev, na primer dajanje prednosti lastnim proizvodom ali omejevanje uporabnikov oziroma preprečevanje, da namestijo zunanje aplikacije.
Vratarji so digitalne platforme, ki:
Vratarji imajo zaradi svoje velikosti znatne prednosti pred manjšimi konkurenti in prevladujoč položaj na digitalnem trgu. Evropska komisija je 6. septembra 2023 določila šest vratarjev, ki morajo svoje ravnanje z Aktom o digitalnih storitvah uskladiti do marca 2024: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft.13
Za jedrne platforme storitev pa je Evropska komisija določila Tiktok, Facebook, Instagram, LinkedIn (družbena omrežja), Whatsapp, Messenger (neodvisne medosebne komunikacijske storitve), Google Maps, Google Play, Google Shopping, Amazon Marketplace, App Store, Meta Marketplace (storitve posredovanja), Crome, Safari (brskalnik), Google Search (iskalnik), Google, Amazon, Meta (oglasi), Google Android, iOS, Windows PC OS (operacijski sistem).
Vratar z vidika obdelave osebnih podatkov ne sme (5. člen Akta o digitalnih trgih):
Kadar končni uporabnik zavrne podajo privolitve za prej opisane namene ali pa dano privolitev prekliče, vratar ne ponovi svoje zahteve za privolitev za isti namen več kot enkrat v obdobju enega leta. Lahko pa vratar obdelavo osebnih podatkov nasloni na druge pravne temelje iz prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, vendar ne na točko b. (pogodbeni pravni temelj) in točko f. (pravni temelj zakonitega interesa).
Vratarja pa zadevajo tudi druge omejitve in prepovedi, ki se nanašajo: na ponujanje enakih proizvodov in storitev poslovnim in končnim uporabnikom po primerljivih cenah in pogojih prek spletnih posredniških storitev tretjih strani ali prek lastnega neposrednega spletnega prodajnega kanala; na brezplačno omogočanje poslovnim uporabnikom, da končnim uporabnikom predstavljajo in sporočajo ponudbe tudi pod drugačnimi pogoji; na omogočanje končnim uporabnikom, da imajo prek njegovih jedrnih platformnih storitev dostop do vsebine, naročnin, funkcij ali drugih elementov, ki jih uporabljajo s pomočjo programske aplikacije poslovnega uporabnika, tudi kadar so ti končni uporabniki takšne elemente pridobili od zadevnega poslovnega uporabnika, ne da bi uporabljali jedrne platformne storitve vratarja, ipd.
Če vratar krši pravila, določena z Aktom o digitalnih trgih, se mu lahko naloži globa v višini do 10 odstotkov njegovega skupnega prometa na svetovni ravni. V primeru ponovne kršitve se lahko naloži globa v višini do 20 odstotkov njegovega prometa na svetovni ravni.
Če vratar sistematično krši Akt o digitalnih trgih, tj. v osmih letih najmanj trikrat krši pravila, lahko Evropska komisija začne preiskavo trga in mu po potrebi naloži kakršnekoli ravnalne ali strukturne popravljalne ukrepe, ki so sorazmerni in potrebni za zagotovitev dejanske skladnosti z Aktom o digitalnih trgih.
Z vidika varstva osebnih podatkov je pomembna omejitev, po kateri lahko vratar obdeluje osebne podatke ali končne uporabnike vpisuje v storitev, opirajoč se na pravno podlago iz točk c., d. in e. prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, ne pa tudi iz točk b. in f. – torej ne več na do zdaj najbolj priljubljeno pravno podlago pogodbenega pravnega temelja in zakonitega interesa. Pomemben je tudi poudarek kvalitete privolitve v obdelavo osebnih podatkov (pravnega temelja iz točke a. prvega odstavka 6. člena Splošne uredbe o varstvu podatkov). Da bi bila veljavna, mora biti privolitev dana z jasnim pritrdilnim dejanjem ali izjavo, ki pomeni, da je končni uporabnik prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje. Ob dajanju privolitve, samo kadar bo to ustrezno, bo sicer dopustno končnega uporabnika obvestiti, da izostanek privolitve lahko vodi v manj personalizirano ponudbo, hkrati pa bo morala jedrna platformna storitev ostati nespremenjena in nobena funkcionalnost ne bi smela biti ukinjena. Preklic privolitve bo moral biti ravno tako enostaven kot njena podaja. Vratarji ne bodo smeli zasnovati, organizirati ali upravljati svojih spletnih vmesnikov na način, ki zavaja, manipulira ali kako drugače bistveno izkrivlja ali zmanjšuje zmožnost končnih uporabnikov, da prostovoljno dajo privolitev in jo prekličejo.
Na oblikovanje Akta o digitalnih trgih in Akta o digitalnih storitvah je vplivala tudi Študija o učinkih ciljnega oglaševanja na potrošnike (njihovo odločanje, možnost izbire) in oglaševalski trg,14 kot tudi razkritja Frances Haugen, nekdanje uslužbenke platforme Meta (Facebook), o praksah in zlorabah velikih tehnoloških podjetij.15
Akt o digitalnih storitvah ureja odgovornost družb za vsebine, objavljene na njihovih platformah. Prispeval naj bi k varnejšemu spletnemu okolju za digitalne uporabnike in uporabnice in podjetja ter zavaroval temeljne pravice v digitalnem prostoru. Uporablja se od 17. februarja 2024. Do tega datuma so morale države članice Evropske unije v delih, v katerih je to potrebno, implementirati Akt o digitalnih storitvah v nacionalne pravne rede, vključno z imenovanjem koordinatorjev digitalnih storitev. Slovenski parlament je 16. februarja 2024 opravil prvo obravnavo Zakona o izvajanju uredbe EU o enotnem trgu digitalnih storitev. V Sloveniji je to področje doslej urejal Zakon o elektronskem poslovanju na trgu (ZEPT).16
Akt o digitalnih storitvah se nanaša na izvajalce storitev informacijske družbe, ki vključujejo prenos informacij (t. i. ponudniki posredniških storitev). Gre za ponudnike storitev, ki uporabnike povezujejo z vsebinami, proizvodi in storitvami na enotnem trgu EU, ne glede na to, ali imajo sedež v EU ali zunaj nje: spletne tržnice, družbena omrežja, platforme za izmenjavo vsebin, spletne platforme za potovanja in nastanitev. Pravila so sorazmerna z velikostjo podjetij in njihovim vplivom na družbo. Zelo majhne platforme so izvzete iz večine obveznosti.17
Pravila so posebej usmerjena v varstvo mladoletnikov. Ponudniki spletnih platform na svojem vmesniku ne smejo prikazovati oglasov na podlagi oblikovanja profilov po opredelitvi iz 4. točke 4. člena Splošne uredbe o varstvu podatkov z uporabo osebnih podatkov prejemnika storitve, ko z razumno gotovostjo vedo, da je prejemnik storitve mladoleten.18
Ponudnikom posredniških storitev se sicer ne nalaga splošna obveznost spremljanja informacij, ki jih prenašajo ali shranjujejo, niti obveznost aktivnega iskanja dejstev ali okoliščin, ki kažejo na nezakonito dejavnost, so pa dolžni ukrepati na podlagi odločbe, ki jo izda pristojni nacionalni organ,19 in vzpostaviti tudi mehanizme, prek katerih lahko uporabniki prijavijo nezakonite vsebine, ter objaviti, kateri avtorsko zaščiteni podatki so bili uporabljeni za usposabljanje.20
Za omogočenje komunikacij so ponudniki posredniških storitev dolžni določiti enotno kontaktno točko za neposredno komuniciranje z organi držav članic, Komisijo in Evropskim odborom za digitalne storitve prek elektronskih sredstev, ter enotno kontaktno točko za namen neposredne in hitre komunikacije s prejemniki storitve.21
Za krepitev položaja uporabnikov so postavljene jasne zahteve glede obveznih vsebin pogojev poslovanja ponudnikov posredniških storitev. Vanje morajo ponudniki vključiti informacije o vseh omejitvah glede uporabe svoje storitve v zvezi z informacijami, ki jih posredujejo prejemniki storitve; o vseh politikah, postopkih, ukrepih in orodjih, uporabljenih za moderiranje vsebin, vključno z algoritemskim odločanjem in človeškim pregledom; ter o notranjem postopku za obravnavo pritožb. Vse informacije morajo biti predstavljene v jasnem, preprostem, razumljivem, uporabniku prijaznem in nedvoumnem jeziku ter javno objavljene v preprosto dostopni in strojno berljivi obliki.
Na drugi strani za zelo velike spletne platforme in zelo velike spletne iskalnike veljajo dodatne obveznosti (33. člen Akta o digitalnih storitvah). Za takšne se štejejo spletne platforme in spletni iskalniki z več kot 45 milijoni aktivnih prejemnikov storitve v EU.
Evropska komisija seznam zelo velikih spletnih platform in zelo velikih spletnih iskalnikov objavi v Uradnem listu EU in ga posodablja.
Evropska komisija je v aprilu 2023 identificirala 17 zelo velikih spletnih platform in dva zelo velika spletna iskalnika: Alibaba AliExpress, Amazon Store, Apple AppStore, Bing, Booking.com, Facebook, Google Play, Google Maps, Google Search, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Wikipedia, X (prej znan kot Twitter), YouTube in Zalando.22 Nato je 20. decembra 2023 dodala še tri velike platforme: Pornhub, Stripchat in Xvideos.23
Zelo velike spletne platforme in zelo veliki spletni iskalniki morajo svoje pogoje poslovanja objaviti v uradnih jezikih vseh držav članic, v katerih ponujajo svoje storitve.
Morda najpomembnejša dodatna obveznost velikih platform in velikih iskalnikov pa je letna izdelava ocene tveganja, ki naj bo specifična za njihove storitve in sorazmerna s sistemskimi tveganji, ob upoštevanju njihove resnosti in verjetnosti, ter mora vključevati naslednja sistemska tveganja:
V oceni tveganja so dolžni analizirati tudi, ali in kako na zgoraj izpostavljena tveganja vpliva namerna manipulacija njihove storitve, vključno z neavtentično uporabo ali avtomatiziranim izkoriščanjem storitve, ter poudarjanje in potencialno hitro in obsežno razširjanje nezakonitih vsebin in informacij, ki so nezdružljive z njihovimi pogoji poslovanja.
Na podlagi ocene tveganja ponudniki zelo velikih spletnih platform in zelo velikih spletnih iskalnikov uvedejo razumne, sorazmerne in učinkovite ukrepe za zmanjševanje tveganj, prilagojene specifičnim sistemskim tveganjem, s posebnim poudarkom na učinkih takšnih ukrepov na temeljne pravice. Med drugim morajo ukrepi za zmanjševanje sistemskih tveganj obsegati tudi:
Kot pristojni organ v Republiki Sloveniji je predviden AKOS, postopek za odstranitev nezakonitih vsebin pa bo v sodni pristojnosti.24
Akt o umetni inteligenci je bil v kompromisnem besedilu na Svetu Evropske unije potrjen 2. februarja 2024, Evropski parlament pa naj bi o sprejemu odločal aprila letos. Če bo šlo vse po načrtih, se bo akt začel uporabljati v letu 2026.
Sistemi umetne inteligence so obravnavani glede na tveganje, ki je lahko: nesprejemljivo, visoko, omejeno ali minimalno.
Sistemi umetne inteligence z nesprejemljivim tveganjem bodo prepovedani. Kot takšne Akt o umetni inteligenci določa sisteme umetne inteligence, ki uporabljajo subliminalne komponente, kot so zvok, slika in video dražljaji, ki jih ljudje ne moremo zaznati, saj ti dražljaji presegajo človeško zaznavo, ali druge manipulativne ali zavajajoče tehnike, ki spodkopavajo ali škodijo človekovi avtonomiji odločanja na načine, ki se jih ljudje zavestno ne zavedajo ali pa se jih zavedajo šele, ko so že prevarani, ali pa se ne morejo nadzorovati oziroma se ne morejo upreti. Sistemi umetne inteligence z nesprejemljivim tveganjem so torej sistemi, ki veljajo za grožnjo ljudem, in bodo prepovedani. Ti vključujejo:
Za namene kazenskega pregona so predvidene nekatere izjeme. Sistemi biometrične identifikacije na daljavo »v realnem času« bodo dovoljeni v omejenem številu resnih primerov, medtem ko bodo sistemi biometrične identifikacije na daljavo »za nazaj«, kjer do identifikacije pride naknadno, dovoljeni za pregon hudih kaznivih dejanj in le po odobritvi sodišča.
Splošna uredba o varstvu podatkov nima določb o specifičnih vrstah obdelave osebnih podatkov, kot je na primer obdelava osebnih podatkov ob uporabi biometrije. Države članice so se na te izzive odzivale v nacionalnih predpisih relativno samostojno. Evropski odbor za varstvo podatkov je maja 2022 izdal Smernice 5/2022 o uporabi tehnologije za avtomatsko prepoznavo obrazov na področju pregona kaznivih dejanj, 25 sicer pa Akt o umetni inteligenci predstavlja pomembno dopolnitev Splošne uredbe o varstvu podatkov in Direktive (EU) 2016/680 o obdelavi podatkov za namen pregona kaznivih dejanj, predvsem z vidika postavljanja meje med dovoljeno in nedovoljeno obdelavo osebnih podatkov tudi s strani organov pregona.
Sistemi umetne inteligence z visokim tveganjem so sistemi, ki negativno vplivajo na varnost ali temeljne pravice. Razdeljeni so v dve kategoriji:
Preden sistem umetne inteligence z visokim tveganjem dajo na trg EU ali ga kako drugače začnejo uporabljati, morajo ponudniki oceniti njegovo skladnost. Na ta način dokažejo, da je njihov sistem skladen z obveznimi zahtevami za zaupanja vredno umetno inteligenco (npr. kakovost podatkov, dokumentacija in sledljivost, preglednost, človeški nadzor, natančnost, kibernetska varnost in robustnost). Oceno morajo narediti na novo, če sta sistem ali njegov namen bistveno spremenjena.
Sistemi umetne inteligence z omejenim tveganjem bodo morali izpolnjevati minimalne zahteve glede preglednosti, kar naj bi uporabnikom omogočilo sprejemanje premišljenih odločitev. Uporabniki morajo biti obveščeni, da komunicirajo z umetno inteligenco, in imeti možnost, da se po interakciji s takšno aplikacijo odločijo, ali jo želijo še naprej uporabljati. Sistemi umetne inteligence z omejenim tveganjem vključujejo sisteme umetne inteligence, ki ustvarjajo ali manipulirajo s slikovno, zvočno ali video vsebino, na primer globoke ponaredke (deepfakes) in t. i. chatbote (klepetalne robote, ki komunicirajo z uporabniki prek tekstovnih sporočil).
Vsi drugi sistemi umetne inteligence z minimalnim tveganjem so lahko razviti in uporabljani v skladu z obstoječo zakonodajo brez dodatnih zakonskih obveznosti. Po splošnih ocenah velika večina sistemov umetne inteligence, ki se trenutno uporabljajo ali se bodo verjetno uporabljali v Evropski uniji, spada v to kategorijo. Ponudniki teh sistemov se lahko prostovoljno odločijo za uporabo zahtev za zaupanja vredno umetno inteligenco in upoštevanje prostovoljnih kodeksov ravnanja.
Z vidika varstva osebnih podatkov naj poudarim, da je svoje mnenje in priporočila k predlogu Akta o umetni inteligenci dal tudi Evropski nadzornik za varstvo podatkov. 26 Poudaril je pomen prepovedi sistemov umetne inteligence z nesprejemljivim tveganjem in potrebo po pravici do vložitve pritožbe pri pristojnem organu, če ponudniki in uporabniki sistemov umetne inteligence kršijo Akt o umetni inteligenci. Z Aktom o umetni inteligenci so Evropskemu nadzorniku za varstvo podatkov dana tudi nadzorna pooblastila, predvsem pri uporabi sistemov umetne inteligence s strani organov in institucij Evropske unije.
Države članice bodo morale vzpostaviti (predlagati) enega ali več nadzornih organov. Evropski nadzornik za varstvo podatkov je predlagal, naj bodo to nacionalni nadzorni organi na področju varstva osebnih podatkov.
Regulatorni val, ki ga na kratko nagovarjam v tem prispevku, vsekakor zadeva tudi osebne podatke. Pri tem je treba poudariti, da pravila, kot so bila vzpostavljena s Splošno uredbo o varstvu podatkov, veljajo še naprej, novi zakoni pa subjekte na obeh straneh postavljajo v nove položaje, nalagajo jim nove obveznosti, naklanjajo nova upravičenja. Čakajo nas torej novi izzivi na področju varstva osebnih podatkov, pri katerih ne bo več zadoščalo le poznavanje prava, pač pa bomo pravniki, da bi lahko pomagali svojim strankam, prisiljeni vse bolj spoznavati in tudi razumeti tehnične vidike obdelave osebnih (in drugih) podatkov.
1 Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij – Strategija za enotni digitalni trg za Evropo, COM/2015/0192 final: https://eur-lex.europa.eu/legal-content/SL/TXT/?uri=celex%3A52015DC0192 (23. 2. 2024).
2 Glej Evropska komisija, Generalni direktorat za komuniciranje, Leyen, U.: Bolj ambiciozna Unija, Moj načrt za Evropo: politične usmeritve naslednje Evropske komisije za obdobje 2019–2024, Urad za publikacije, 2019, https://data.europa.eu/doi/10.2775/965012.
3 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).
4 Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ.
5 Uredba (EU) 2022/868 Evropskega parlamenta in Sveta z dne 30. maja 2022 o evropskem upravljanju podatkov in spremembi Uredbe (EU) 2018/1724 (Akt o upravljanju podatkov).
6 Uredba (EU) 2022/1925 Evropskega parlamenta in Sveta z dne 14. septembra 2022 o tekmovalnih in pravičnih trgih v digitalnem sektorju in spremembi direktiv (EU) 2019/1937 in (EU) 2020/1828 (Akt o digitalnih trgih).
7 Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah).
8 Uredba (EU) 2023/2854 Evropskega parlamenta in Sveta z dne 13. decembra 2023 o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo ter spremembi Uredbe (EU) 2017/2394 in Direktive (EU) 2020/1828 (Akt o podatkih).
9 Uredba Evropskega parlamenta in Sveta o določitvi harmoniziranih pravil o umetni inteligenci (Akt o umetni inteligenci).
10 Države članice imajo lahko ponovno uporabo podatkov javnega sektorja kot tudi dostop do informacij javnega značaja urejena na nacionalni ravni.
11 Odprti podatki so definirani v petem odstavku 3.a člena Zakona o dostopu do informacij javnega značaja (ZDIJZ): »Izraz odprti podatek pomeni, da je podatek v datotečnem formatu, katerega struktura je določena v dogovorjenih odprtih standardih, ki jih je sprejela organizacija za standarde in ki se lahko uporabijo in implementirajo brez tehničnih omejitev. Poleg tega je prosto dostopen ter na voljo za uporabo in razširjanje brez omejitev po zakonu, ki ureja avtorske in sorodne pravice, razen navedbe avtorstva in vira.«
12 Glej peti odstavek 1. člena Akta o podatkih.
13 Glej tudi obvestilo Evropske komisije na povezavi: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_4328 (23. 2. 2024).
14 Online advertising: the impact of targeted advertising on advertisers, market access and consumer choice; Policy Department for Economic, Scientific and Quality of Life Policies Directorate-General for Internal Policies. Avtorji: Niklas Fourberg in drugi (PE 662.913 – junij 2021).
15 Glej Whistle-blower's testimony: negative impact of big tech companies’ products on users, https://www.europarl.europa.eu/committees/sl/whistle-blower-stestimony- negative-impa/product-details/20211104CHE09662 (23. 2. 2024).
16 Zakon o elektronskem poslovanju na trgu – ZEPT (Ur. l. RS, št. 96/09 – UPB, 19/15, 189/21 – ZDU‑1M in 18/23 – ZDU‑1O).
17 Člen 29 Akta o digitalnih storitvah ureja izključitve za mikro ali mala podjetja, kakor so opredeljena v Priporočilu 2003/361/ES.
18 Glej 28. člen Akta o digitalnih storitvah.
19 Glej 8. in 9. člen Akta o digitalnih storitvah.
20 O primeru tožbe ameriških avtorjev umetniških del, v kateri tožniki zatrjujejo, da je podjetje OpenAI ob ustvarjanju aplikacije umetne inteligence ChatGPT kršilo njihove avtorske pravice, piše na portalu Ius-Info dr. Maja Brkan: Pravni spori zaradi uporabe umetne inteligence, 16. 10. 2023; https://www.iusinfo.si/medijskosredisce/ kolumne/pravni-spori-zaradi-uporabe-umetne-inteligence-308425. Avtorji v tožbi navajajo, da je podjetje OpenAI v fazi usposabljanja aplikacije nezakonito uporabilo njihova avtorsko zaščitena dela.
21 Glej 11. in 12. člen Akta o digitalnih storitvah.
22 Glej sporočilo za javnost o prvem setu velikih platform oziroma velikih iskalnikov: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2413.
23 Glej sporočilo za javnost o drugem setu velikih platform oziroma velikih iskalnikov: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6763.
24 Predlog Zakona o izvajanju Uredbe (EU) o enotnem trgu digitalnih storitev je dostopen na: https://e-uprava.gov.si/si/drzava-in-druzba/e-demokracija/predlogipredpisov/ predlog-predpisa.html?id=15669.
25 Glej Smernice 5/2022: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-052022-use-facial-recognition_en.
26 Končna priporočila EDPS (Evropskega nadzornika za varstvo podatkov) z dne 23. 10. 2023: https://www.edps.europa.eu/press-publications/press-news/pressreleases/ 2023/edps-final-recommendations-ai-act_en.
Tax-Fin-Lex d.o.o.
pravno-poslovni portal,
založništvo in
izobraževanja
Tax-Fin-Lex d.o.o.
Železna cesta 18
1000 Ljubljana
Slovenija
T: +386 1 4324 243
E: info@tax-fin-lex.si
PONUDBA
Predstavitev portala
Zakonodaja
Sodna praksa
Strokovne publikacije
Komentarji zakonov
Zgledi knjiženj
Priročniki
Obveščanja o zakonodajnih novostih
TFL AI
TFL IZOBRAŽEVANJA
TFL SVETOVANJE
TFL BREZPLAČNO
Brezplačne storitve
Preizkusite portal TFL
E-dnevnik Lex-Novice
E-tednik TFL Glasnik