EU: Objavljen »digitalni omnibus«
Evropska komisija je objavila sveženj predlogov za poenostavitev digitalne zakonodaje, ki posegajo na tri ključna področja: umetno inteligenco, kibernetsko varnost in upravljanje podatkov.
Novica bila objavljena 19. 11. 2025.
Osrednji element paketa sprememb je niz dveh digitalnih omnibus predlogov – eden, ki naslavlja širša digitalna pravila, in drugi, ki je posebej osredotočen na področje umetne inteligence. Paket dopolnjujeta Strategija za podatkovno unijo, usmerjena v večjo dostopnost kakovostnih podatkov za razvoj umetne inteligence, ter evropske poslovne digitalne denarnice, ki bodo podjetjem omogočile enotno digitalno identiteto in tako zmanjšale administrativne postopke ter poenostavile poslovanje med državami članicami EU.
Generalni pregled bistvenih sprememb, ki jih prinaša digitalni omnibus
| Področje spremembe | Trenutno veljavni GDPR | Predlagana sprememba | Člen GDPR |
| Definicija osebnega podatka | Informacija je osebni podatek, kadar je posameznik določljiv neposredno ali posredno | Informacija ni osebni podatek za upravljavca, če posameznika ne more identificirati z razumnimi, verjetno uporabljenimi sredstvi | 4(1) |
| Obdelava posebnih vrst podatkov za AI | Obdelava posebnih vrst podatkov za AI praviloma prepovedana; izjeme zelo omejene | Za treniranje AI se lahko obdelujejo posebne vrste podatkov, če se uporabljajo najnaprednejši varnostni ukrepi in se podatki po uporabi odstranijo ali anonimizirajo | 9(2)(k) + 9(5) |
| Biometrični podatki za preverjanje identitete | Veljajo splošne prepovedi/omejitve kot za druge posebne kategorije | Nova izjema omogoča obdelavo biometričnih podatkov za verifikacijo, če so podatki izključno pod nadzorom posameznika | 9(2) – nova izjema |
| Pravna podlaga za AI (zakoniti interes) | Zakoniti interes se lahko uporabi, vendar ni posebne ureditve za AI | Nova ureditev omogoča obdelavo osebnih podatkov za razvoj in obratovanje AI na podlagi zakonitega interesa z obveznim testom tehtanja in brezpogojno pravico do ugovora | 88c (novi člen) + navezava na 6(1)(f) |
| Zloraba pravic posameznika | Zahtevka za uveljavljanje pravic ni mogoče zavrniti zaradi zlorabe namena | Upravljavec lahko zavrne zahtevo, če posameznik uveljavlja pravice z namenom, ki ni varstvo njegovih osebnih podatkov | 12 |
| Izjeme pri obveščanju posameznika | Obveščanje je obvezno v vseh primerih (13/14), z ozkimi izjemami | Pri omejenih razmerjih in raziskovalnih projektih je mogoče ne obvestiti posameznika, če bi to resno ogrozilo ali onemogočilo namen raziskave | 13 / 14 (razširjene izjeme) |
| Prijava varnostnih incidentov | Prijava nadzornemu organu ob vsakem tveganju; rok 72 ur | Prijava le ob visokem tveganju, rok 96 ur, poročanje prek enotne vstopne točke | 33 (posredno tudi 34) |
| Pseudonimizacija – standardi in smernice | GDPR ne določa enotnih kriterijev psevdonimizacije | Komisija in EDPB lahko določita metodologijo / standarde psevdonimizacije | 40 (novi odstavek) |
| DPIA (formati in seznami) | Ni enotnih EU predlog; odločitev prepuščena nacionalnim nadzornim organom | EDPB pripravi standardizirane predloge DPIA, enotne obrazce prijave kršitev in sezname obdelav, ki zahtevajo ali ne zahtevajo DPIA | 35 |
| Piškotki, shranjevanje podatkov na terminalni opremi | Ureja ePrivacy | ePrivacy se vključuje v GDPR – uvedenih je 6 mesecev za zmanjšanje “cookie fatigue”, obvezno upoštevanje avtomatiziranih signalov brskalnika | 88a in 88b (nova člena) |
| Posebna izjema – medijske storitve | Ni posebnega režima | Avtomatizirani signali brskalnika se lahko ne upoštevajo v primeru ponudnikov medijskih storitev | 88b (izjema) |
Čeprav digitalni omnibus obljublja večjo pravno predvidljivost, manj administrativnih bremen in hitrejši razvoj digitalnih tehnologij, predlog hkrati odpira številna vprašanja. Še posebej pozornost zbujata razširitev uporabe zakonitega interesa pri razvoju umetne inteligence ter nova izjema za obdelavo posebnih vrst osebnih podatkov pri treniranju modelov AI, ki v praksi zahtevata izjemno skrbno izvedbo varoval, če naj se prepreči neupravičena ali prikrita obdelava občutljivih podatkov.
Zelo odmeven je tudi predlog spremembe definicije osebnega podatka, ki bi kot osebni podatek obravnaval le tiste informacije, pri katerih lahko upravljavec posameznika identificira z »razumnimi, verjetno uporabljenimi sredstvi«. Ta pristop bi lahko podjetjem resnično olajšal delo pri uporabi psevdonimiziranih podatkov, a hkrati odpira vprašanja o tem, ali bi se raven zaščite posameznika lahko razlikovala glede na poslovne, tehnične in finančne zmožnosti upravljavca.
Pomembno je poudariti, da digitalni omnibus še ni sprejeta zakonodaja, temveč šele predlog Evropske komisije. O končni vsebini bo mogoče podati zanesljivo oceno šele po parlamentarnem in svetovnem usklajevanju ter sprejetju izvedbenih aktov, ki bodo določili operativna pravila. Do takrat ostaja ključno, da organizacije in strokovna javnost pozorno spremljajo zakonodajni postopek ter aktivno opozarjajo na področja, kjer bi lahko prizadevanja za poenostavitev digitalnega okvira nenamerno vodila do zmanjšanja varstva posameznikov ali povečanja regulatorne negotovosti namesto njenega zmanjšanja.
Predlog digitalnega omnibusa in povezane dokumentacije je dostopen tukaj.
Predlog UI omnibusa je dostopen tukaj.
Strategija za podatkovno unijo je dostopna tukaj.
Vir: Evropska komisija
Naslovna fotografija: Pexels
