Portal TFL
Premiki na evropskem podatkovnem področju
Rubrika
Članki
Pravna podlaga
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
Evropski uniji je v razmeroma kratkem času uspelo sprejeti predviden regulativni okvir za uresničevanje Evropske strategije za podatke. Začelo se je vzpostavljanje enotnega evropskega podatkovnega trga, ki želi zagotoviti izkoriščanje moči podatkov in umetne inteligence ob zagotavljanju pravičnosti, preglednosti in konkurenčnosti v digitalnem gospodarstvu. Za najodmevnejšega izmed evropskih podatkovnih predpisov se je izkazal Akt o umetni inteligenci, ki se je osredotočil na zagotavljanje odgovorne rabe umetne inteligence ter iskanje ravnovesja med inovacijami in etičnimi vidiki. Velik vpliv na področje upravljanja in varnosti podatkov pa gre pripisati Aktu o podatkih, ki poudarja pravično porazdelitev vrednosti podatkov, ter digitalnemu dvojčku – Aktu o digitalnih storitvah in Aktu o digitalnih trgih, ki postavljata nove standarde odgovornega ravnanja akterjev na digitalnem trgu. Z vzpostavitvijo regulativnega okvira je EU prevzel globalno vodstvo na področju digitalne podatkovne regulacije. Uspeh tega v praksi kljub temu ostaja odvisen od implementacije aktov in njihovega izvrševanja v državah članicah, pa tudi od sposobnosti nadaljnjega prilaganja regulativnega okvira hitremu tehnološkemu napredku.
BESEDILO
1. UVOD
S sprejemom Evropske strategije za podatke v letu 2020 je EU ubral celosten pristop k ureditvi evropskega podatkovnega prostora. Pri tem je podatke začel obravnavati v luči digitalizacije, zaradi česar se je področje urejanja razširilo na digitalne trge in storitve, umetno inteligenco in kibernetsko varnost. Za uresničitev enotnega evropskega podatkovnega trga je EU sprejel vrsto aktov, med katerimi se je za najodmevnejšega izkazal Akt o umetni inteligenci, velik vpliv na področje upravljanja in varnosti podatkov pa gre pripisati tudi Aktu o podatkih ter digitalnemu dvojčku Aktu o digitalnih storitvah in Aktu o digitalnih
Vsebino ključnih aktov, ki so bili v tistem trenutku že sprejeti, smo predstavili v lanski številki revije SIR*IUS,1 zato se v pričujočem prispevku osredotočimo predvsem na tiste akte, ki so bili v letu 2023 šele v pripravi, torej na Akt o umetni inteligenci in Akt o podatkih. Pri tem preverimo še razvoj na področju drugih ključnih aktov, ki jih pokriva omenjena strategija, tako v smislu implementacijske zakonodaje kot drugih aktivnosti Evropske komisije, kjer je smiselno, pa tudi izpostavimo pomen vsebine posameznih aktov za revizijsko stroko.
2. KLJUČNI NEDAVNO SPREJETI EVROPSKI PODATKOVNI AKTI
Na področje evropskega podatkovnega prostora so v zadnjem letu vplivali predvsem Uredba o tekmovalnih in pravičnih trgih v digitalnem sektorju (v nadaljevanju: Akt o digitalnih trgih), Uredba o evropskem upravljanju podatkov (v nadaljevanju: Akt o upravljanju podatkov), Uredba o enotnem trgu digitalnih storitev (v nadaljevanju: Akt o digitalnih storitvah), Uredba o določitvi ukrepov za visoko raven interoperabilnosti javnega sektorja v Uniji (v nadaljevanju: Akt o interoperabilni Evropi), Uredba o določitvi harmoniziranih pravil o umetni inteligenci (v nadaljevanju: Akt o umetni inteligenci) in Uredba o harmoniziranih pravilih za pravičen dostop do podatkov in njihovo uporabo (v nadaljevanju: Akt o podatkih; glejte Tabelo 1 na naslednji strani).
Vsi navedeni akti so bili sprejeti kot evropske uredbe, kar pomeni, da so v slovenskem pravnem redu, pa tudi v pravnih redih drugih držav članic EU-ja zavezujoči v celoti in se uporabijo neposredno. S pravno naravo aktov je EU tako poudaril pomembnost enotne ureditve in usklajenega ter sočasno usklajenega ravnanja držav članic na podatkovnem področju.
2.1. Akt o digitalnih trgih
Akt se primarno nanaša na zagotavljanje pravične konkurence na trgu digitalnih storitev, pri čemer z različnimi prepovedanimi in obveznimi praksami vratarjev (t. i. gatekeepers: vplivnejše organizacije, ki zagotavljajo jedrne platformne storitve) drugim akterjem na trgu omogoča širši dostop do podatkov ter s tem odpira pot boljšim potrošniškim storitvam in uporabniškim izkušnjam ter inovacijam.
Septembra 2023 je Evropska komisija določila prvih šest vratarjev, in sicer družbe Alphabet, Amazon, Apple, ByteDance, Meta in Microsoft,2 ki so svoje poslovanje morali uskladiti z določili Akta o digitalnih trgih do marca 2024. Maja 2024 je komisija določila še sedmega vratarja, družbo Booking.3 V letu 2024 je Evropska komisija že začela tudi nadzorovati prakse imenovanih vratarjev. Tako je obravnavala prakso družbe Apple4 glede omejevanja prodaje drugih aplikacij za uporabo v njihovem operacijskem sistemu (aplikacija App Store), ki bi bila po mnenju komisije lahko v nasprotju z določbami Akta o digitalnih trgih, saj razvijalcem aplikacij preprečuje, da bi potrošnike prosto usmerjali k nakupu drugih možnih aplikacij. Podobno je v okviru nadzora obravnavala tudi družbo Meta5 zaradi uporabe oglaševalskega modela »plačaj ali privoli«, ki je uporabnike storitev Meta silil k plačilu pristojbine v zameno za neuporabo njihovih podatkov pri ciljnem oglaševanju, kar je v nasprotju s prepovedjo obdelave osebnih podatkov končnih uporabnikov za oglaševalske namene, ki jo določa Akt o digitalnih trgih.
Tabela 1: Datumi objave, uveljavitve in začetka uporabe posameznega akta
|
Akt |
Objava v uradnem listu EU-ja |
Uveljavitev |
Uporaba |
|
Akt o digitalnih trgih |
12. 10. 2022 |
1. 11. 2022 |
1. 11. 2022, 2. 5. 2023, 25. 6. 20231 |
|
Akt o upravljanju podatkov |
3. 6. 2022 |
23. 6. 2022 |
24. 9. 2023 |
|
Akt o digitalnih storitvah |
27. 10. 2022 |
16. 11. 2022 |
16. 11. 2022, 17. 2. 20242 |
|
Akt o interoperabilni Evropi |
22. 3. 2024 |
11. 4. 2024 |
12. 7. 2024, 12. 1. 20253 |
|
Akt o umetni inteligenci |
12. 7. 2024 |
1. 8. 2024 |
2. 2. 2025, 2. 8. 2025, 2. 8. 2026 in 2. 8. 20274 |
|
Akt o podatkih |
22. 12. 2023 |
11. 1. 2024 |
12. 9. 2025 |
Vir: Navedeni akti.
- Akt se uporablja od 2. maja 2023, razen členov 3(6) in (7) ter členov 40, 46, 47, 48, 49 in 50, ki se uporabljajo od 1. novembra 2022, člen 42 in člen 43 pa od 25. junija 2023.
- Akt se uporablja od 17. februarja 2024, razen členi 24(2), (3) in (6), člen 33(3) do (6), člen 37(7), člen 40(13), člen 43 ter oddelki 4, 5 in 6 poglavja IV, ki se uporabljajo od 16. novembra 2022.
- Akt se uporablja od 12. julija 2024, razen člen 3(1) do (4) in člen 17, ki se uporabljata od 12. januarja 2025.
- Akt o umetni inteligenci uvaja zapleten sistem rokov za uskladitev poslovanja. Do 2. februarja 2025 bodo ponudniki morali zagotoviti spoštovanje določb o prepovedanih praksah (poglavji I, II), za druge obveznosti pa so roki določeni od 2. avgusta 2025 (poglavja III/4, V, VII, XII, člen 78), nadalje 2. avgusta 2026 (večina preostalih določb), za nekatere subjekte oziroma umetnointeligenčne sisteme pa je upoštevajoč njihovo tveganost trenutka dajanja na trg ter njihove vpetosti v druge sisteme in produkte rok za uskladitev še daljši. Tako je na primer najdaljši rok za zagotovitev skladnosti z uredbo določen za komponente obsežnih informacijskih sistemov, ki so bili dani na trg pred letom 2027. Ti morajo zagotoviti skladnost do konca decembra 2030. Ponudniki modelov umetne inteligence za splošne namene, ki so bili dani na trg pred 2. avgustom 2025, pa morajo sprejeti potrebne ukrepe za izpolnitev obveznosti iz te uredbe do 2. avgusta 2027.
Premike je bilo zaznati tudi na področju potencialne kolizije določb evropskih podatkovnih aktov. V luči sprejema Akta o umetni inteligenci je posebno svetovalno telo Evropske komisije6 sklenilo preučiti interakcije med predlogom Akta o umetni inteligenci in Aktom o digitalnih trgih ter si prizadevati, da bo razvoj umetne inteligence skladen s cilji Akta o digitalnih trgih.7 Vse večja uporaba umetne inteligence bo namreč vplivala na tekmovalnost in pravičnost digitalnih trgov ter bo zaradi še večje vrednosti podatkov lahko okrepila položaj vratarjev oziroma povzročila pojav novih vratarjev.
Zakaj je vsebina Akta o digitalnih trgih pomembna tudi za revizorje? Večina organizacij pri svojem poslovanju uporablja jedrne platformne storitve, ki jih zagotavljajo vratarji. Tako organizacije na primer za oglaševanje obdelujejo osebne podatke, ki jih pridobijo prek svojega računa na družbenih omrežjih, te podatke združujejo in navzkrižno povezujejo s podatki iz drugih platform. Tudi te organizacije so dolžne uporabnikom izkazati skladnost poslovanja z Aktom o digitalnih trgih, kar pomeni, da morajo od uporabnikov pridobiti soglasje za takšno obdelavo njihovih podatkov. Drugače tvegajo, da prek vratarja izgubijo dostop do njegovih storitev, s tem pa podatke o uporabnikih in dostop do potencialnih strank.
2.2. Akt o upravljanju podatkov
Akt o upravljanju podatkov je bil prvi izmed aktov, sprejetih neposredno s ciljem uresničevanja Evropske strategije za podatke. Osnovna ideja akta je bila ustvariti ustrezne pogoje, ki bodo omogočali tistim, ki želijo deliti podatke, da to storijo na način, ki mu lahko zaupajo. Akt naj bi vzpostavil alternativni model deljenja informacij, ki bi bil neodvisen od velikih tehnoloških organizacij, ter tako obravnaval probleme, kot so visoki transakcijski stroški in nezadostna količina podatkov, ki so na voljo za ponovno uporabo. Akt je bil sprejet kot uredba s ciljem poenotenja regulativne razpršenosti med državami članicami in uvaja štiri različne sklope ukrepov.
Prvi sklop se nanaša na vzpostavitev pogojev za ponovno uporabo občutljivih podatkov javnega sektorja, pri čemer od držav članic zahteva, da določijo t. i. nacionalne pristojne organe, ki bodo odobrili dostop do ponovne uporabe teh podatkov. Komisija pa je ustanovila tudi evropski register teh podatkov, ki naj bi olajšal njihovo ponovno uporabo.
Drugi sklop določa pravila in okvir za ustanovitev neodvisnih in zaupanja vrednih posrednikov podatkov. Posredniki podatkov, ki delujejo v skladu s temi pravili, lahko o tem obvestijo pristojni organ, ki jim po potrditvi izpolnjevanja zahtev dovolijo uporabljati evropski logotip zaupanja vrednega posrednika.
Tretji sklop ukrepov se nanaša na vzpostavitev pogojev za prostovoljno deljenje podatkov oz. t. i. podatkovni altruizem, ki pa za zdaj še ni zaživel (ne v Sloveniji ne v EU-ju), saj je v register za zdaj prijavljena le ena organizacija.8
Četrti sklop ukrepov pa je namenjen zagotovitvi koordinacije in interoperabilnosti na področju deljenja podatkov. Zato je bil ustanovljen Evropski odbor za podatkovne inovacije.9
V Sloveniji poslovni modeli, ki jih predvideva Akt o upravljanju podatkov, za zdaj še niso pomembno prepoznavnejši. Vendar pa v EU-ju narašča število registriranih posrednikov podatkov,10 ki svoje storitve ponujajo tudi v Sloveniji. Poleg tega je od roka za izvedbo nekaterih obveznosti držav članic v okviru nacionalnega prava preteklo že eno leto.11 Ministrstvo za digitalno preobrazbo je za zdaj pripravilo osnutek predloga Zakona o izvajanju uredbe (EU) o evropskem upravljanju podatkov (torej Akta o upravljanju podatkov), ki je bil po izvedeni javni obravnavi 1. julija 2024 poslan v nadaljnje medresorsko usklajevanje. Evropska komisija pa je medtem že začela postopke zoper države, ki uredbe še niso implementirale.12
2.3. Akt o digitalnih storitvah
Akt o digitalnih storitvah je bil sprejet predvsem s ciljem omejiti razširjanje nezakonite vsebine na spletu, zagotoviti varno spletno okolje in zaščititi potrošnike. Njegov namen je torej predvsem zamejiti sovražni govor, širjenje terorističnih vsebin, spletno prodajo oziroma posredovanje nevarnih in prepovedanih proizvodov, storitev in vsebin ter v povezavi s tem še posebej ščititi interese mladoletnih.
Pravila se nanašajo na posredniške storitve, storitve spletnega gostovanja in na storitve spletnih platform, kar v praksi med drugim zajema spletne tržnice, družbena omrežja, platforme za deljenje vsebine, platforme za posredovanje potovanj in nastanitev ter spletno gostovanje. V aktu določene obveznosti ponudnikov digitalnih storitev so odvisne od velikosti posameznega ponudnika in vrste storitev, v grobem pa jih lahko razdelimo na dve skupini, in sicer na ponudnike zelo velikih spletnih platform in iskalnikov (poglavje 2.3.1.) ter druge ponudnike digitalnih storitev (poglavje 2.3.2).