Konferencijom pod nazivom "Zaštita osobnih podataka u sustavima umjetne inteligencije" Agencija za zaštitu osobnih podataka (AZOP) nedavno je, već dvadeseti put dosad, obilježila Europski dan zaštite osobnih podataka.
S njezinim ravnateljem Zdravkom Vukićem razgovarali smo o kaznama koje Agencija izriče, neinformiranosti kršitelja, pravima i obvezama građana, najnovijoj situaciji u Janafu, novoj regulativi zaštite osobnih podataka i sve raširenijoj primjeni umjetne inteligencije.
Koliko je AZOP izrekao kazni u protekloj i posljednjih pet godina?
Tijekom protekle godine Agencija je izrekla 13 upravnih novčanih kazni, u ukupnom iznosu većem od 6,7 milijuna eura. Upravo po visini izrečenih kazni u 2025. godini Hrvatska je na šestome mjestu, i to ispred zemalja sa znatno više financijskih i ljudskih resursa. To pokazuje da se Agencija posljednjih godina itekako profilirala kao relevantno nadzorno tijelo na razini Europske unije.
Naime, kada sam sredinom 2020. godine preuzeo čelnu funkciju, bila je izrečena samo jedna upravna novčana kazna. Danas je iza nas 98 izrečenih kazni, u ukupnom iznosu od 16,3 milijuna eura, a naplaćeno ih je 75 posto, što nije slučajnost nego rezultat sustavnoga rada.
Radi li se uglavnom o neznanju ili o klasičnoj zloupotrebi osobnih podataka?
U najvećem broju slučajeva povrede proizlaze iz nepažnje i neznanja. No to organizacije ne oslobađa od odgovornosti. Obveze u području zaštite osobnih podataka jasno su propisane i poznate, a odgovornost za njihovu primjenu na svakom je voditelju i izvršitelju obrade, neovisno o veličini ili djelatnosti organizacije. Najveći broj upravnih novčanih kazni izrečen je zbog nepoduzimanja odgovarajućih organizacijskih i tehničkih mjera zaštite, kao i kršenja prava ispitanika. Mnoge organizacije nisu bile u potpunosti svjesne stvarnih rizika ili su ih svjesno zanemarivale.
Prati li AZOP situaciju u Janafu i jeste li reagirali?
Agencija postupa po svakoj zaprimljenoj prijavi ispitanika, kao i po službenoj dužnosti. Aktivno pratimo sve događaje u javnom prostoru te kad god postoji sumnja u nezakonitu obradu osobnih podataka, poduzimamo odgovarajuće korake. U konkretnom slučaju postupanje je u tijeku i ne možemo iznositi detalje do njegova okončanja.
Europska komisija donosi novu regulativu vezanu uz zaštitu osobnih podataka. O čemu se točno radi?
Na razini Europske unije prepoznata je potreba za dodatnim normativnim razjašnjenjima kako bi se potaknule inovacije i povećala konkurentnost europskih poduzeća.
U tom kontekstu Komisija je u okviru Digitalnog omnibusa predložila izmjene nekoliko propisa, uključujući Opću uredbu o zaštiti podataka, Akt o umjetnoj inteligenciji i Direktivu o e-privatnosti. Među najznačajnijim predloženim izmjenama Opće uredbe o zaštiti podataka izdvojit ću redefiniranje pojma osobnog podatka, uvođenje definicije znanstvenog istraživanja i preciziranje pravila o obradi osobnih podataka u tom kontekstu. Zatim se predlaže uvođenje izuzetaka od zabrane obrade posebnih kategorija osobnih podataka za potrebe razvoja i rada AI sustava i modela uz određene uvjete. Nadalje, predlaže se mogućnost da se u slučaju zlouporabe prava na pristup osobnim podacima naplati naknada ili odbije postupanje po zahtjevu.
Također, predlažu se izmjene pravila o prijavljivanju povreda podataka. No ovo je isključivo zakonodavni prijedlog Europske komisije. O njemu će se odlučivati u redovitom zakonodavnom postupku u Europskom parlamentu i Vijeću, a konačni tekst ovisit će o kompromisima postignutima tijekom tog procesa. Bez obzira na ishod, temeljna struktura i svrha Opće uredbe o zaštiti podataka neće se dovoditi u pitanje.
Koliko je sve raširenija primjena sustava umjetne inteligencije poremetila sustav zaštite osobnih podataka?
Svaka nova tehnologija, pa tako i sustavi umjetne inteligencije, donosi nove rizike u pogledu obrade osobnih podataka. Riječ je ne samo o rizicima za sigurnost obrade nego i o širim rizicima za temeljna prava i slobode pojedinaca.
Upravo zato je za organizacije ključno da prije i tijekom uporabe sustava umjetne inteligencije provedu odgovarajuće procjene rizika u kontekstu zaštite osobnih podataka te poduzmu tehničke i organizacijske mjere kojima će se ti rizici ublažiti. Opća uredba o zaštiti podataka od samog je početka zamišljena kao tehnološki neutralan i dovoljno fleksibilan regulatorni okvir koji se primjenjuje i na obrade osobnih podataka u sustavima umjetne inteligencije.
Nacionalna nadzorna tijela za zaštitu osobnih podataka, uključujući Agenciju za zaštitu osobnih podataka i Europski odbor za zaštitu podataka, već pružaju smjernice i edukacije o obradi osobnih podataka u sustavima umjetne inteligencije, a takve će se aktivnosti nastaviti i dodatno razvijati.
Može li ta regulativa usporiti primjenu inovacija?
Regulativa sama po sebi ne mora usporavati inovacije, ali loše dizajnirana ili nejasno primijenjena regulativa to svakako može. U slučaju zaštite osobnih podataka i umjetne inteligencije cilj europskog regulatornog okvira nije zaustavljanje inovacija, nego njihovo usmjeravanje na način koji je siguran, zakonit i poštuje europske vrijednosti.
Koliko vremena prođe do naplate kazni?
Kada Agencija izrekne novčanu kaznu, voditelj ili izvršitelj obrade ima zakonski rok od 15 dana za uplatu kazne u korist državnog proračuna. Ako smatra da je rješenje neutemeljeno, ima pravo u roku od 30 dana pokrenuti upravni spor pred nadležnim sudom. U praksi većina subjekata koji su kažnjeni visokim iznosima koristi upravo tu zakonsku mogućnost. Sudski postupci u takvim predmetima često traju godinama, tijekom kojih naplata kazne ne može biti provedena jer se čeka pravomoćna sudska odluka.
Unatoč tome, Agencija je dosad naplatila većinu izrečenih kazni, što pokazuje da većina subjekata priznaje odgovornost za svoje propuste.
