„Digital Omnibus“ je posljednji prijedlog Europske komisije, objavljen 19. studenog 2025., koji ima za cilj sveobuhvatno izmijeniti digitalni regulatorni okvir EU-a na način da sreže administrativne troškove usklađivanja s nizom propisa u području digitalnog tržišta te da potakne inovacije i pospješi konkurentnost EU-a. Paket „Digital Omnibus“ sastoji se od dva predložena propisa: (i) Digitalni omnibus uredba koja bi pokrivala područje osobnih podataka, kibernetičke sigurnosti te pravila o privatnosti, te (ii) Digitalni omnibus o umjetnoj inteligenciji koji bi izmijenio relativno novu Uredbu o umjetnoj inteligenciji.
19. studenoga 2025. Europska komisija službeno je predstavila svoj „Digital Omnibus“ paket1, odnosno Prijedlog za sveobuhvatnu digitalnu uredbu koja ima za cilj sveobuhvatno ažurirati digitalni regulatorni okvir EU-a. Ukratko, „Digital omnibus“ mogao bi biti pravi gamechanger uvodeći značajne promjene u obvezama zaštite osobnih podataka, pravilima o kolačićima koji neumoljivo iskaču prilikom svakog posjeta web stranicama (sve dok ih konačno ne prihvatite), propisima o kibernetičkoj sigurnosti i u pogledu uređenja umjetne inteligencije, koja je tek nedavno regulirana po prvi put u povijesti EU-a Uredbom o umjetnoj inteligenciji (a evo, sad će se uskoro, kako stvari stoje, već i mijenjati).
Dakle, paket „Digital omnibus“ sastoji se od dva predložena propisa: (i) Uredbe digitalni omnibus, koja bi, između ostalim, izmijenila Opću uredbu o zaštiti podataka (GDPR)2, Direktivu o privatnosti i elektroničkim komunikacijama (ePrivacy)3, Direktivu NIS24 i Akt o podacima5; te (ii) zaseban Digitalni omnibus o umjetnoj inteligenciji koji bi izmijenio Uredbu o umjetnoj inteligenciji6. U nastavku pročitajte najvažnije informacije.
Zašto?
Sve je započelo s izvješćem Marija Draghija7 o budućnosti EU konkurentnosti, kojeg je Europska komisija postavila kao posebnog izvjestitelja za tu temu, jednako kao što je ranije o drugim temama izvješće dao Enrico Letta o jedinstvenom europskom tržištu ili Noyer o uniji tržišnog kapitala. Mario Draghi u svom je izvješću koje je objavljeno u rujnu 2024. upozorio kako EU zaostaje u ključnim tehnologijama, kako nema dovoljno brzog rasta mladih tech kompanija, a da fragmentiranost i složenost postojećeg pravnog okvira ima značajan (negativan) utjecaj na EU konkurentnost.
Europska komisija ozbiljno je shvatila kritike iz Draghijevog izvješća te je rezultat toga Digital Omnibus paket koji ima za cilj pretvoriti regulatornu usklađenost u konkurentnu prednost na globalnoj razini. Valja naglasiti da su najavljene promjene zaista značajne i da sigurno možemo očekivati kako će upravo „Digital Omnibus“ biti uskoro tema o kojoj će svi u svijetu tehnologije pričati.
Koje su promjene na vidiku?
- Revidirana definicija osobnih podataka
Jedna od najkomentiranijih prijedloga promjene odnosi se bez sumnje na promjene u Općoj uredbi o zaštiti osobnih podataka, poznatijoj kao GDPR (eng. General Data Protection Regulation). Naime, „Digital Omnibus“ predlaže redefiniranje pojma „osobnih podataka” tako da isključuje informacije za koje subjekt koji njima raspolaže nema „sredstva koja se razumno mogu upotrijebiti” za identifikaciju pojedinca. U skladu s presudom Suda Europske unije (SEU) u predmetu EDPS vs. SRB (C-413/23)8, informacija se ne bi smatrala osobnim podatkom za taj subjekt – te bi time bila izuzeta iz područja primjene GDPR-a – ako je identifikacija zakonski zabranjena ili bi zahtijevala nerazmjeran napor.
Prijedlog također predlaže EU Komisiju kao nadležno tijelo za donošenje provedbenih akata kojima bi se pojašnjavalo u kojim se slučajevima pseudonimizirani podaci ipak ne smatraju osobnim podacima, za određene subjekte.
- Mogućnosti za razvoj i primjenu AI sustava
Predlažu se dvije ključne izmjene GDPR-a radi pojašnjenja pravila o obradi osobnih podataka u svrhu razvoja i primjene sustava umjetne inteligencije. „Digital Omnibus“ predlaže izričito priznati takvu obradu kao „legitiman interes” prema GDPR-u. No voditelji obrade bi i dalje morali dokazati nužnost i proporcionalnost obrade te primijeniti odgovarajuće zaštitne mjere, uključujući minimiziranje korištenih podataka za treniranje AI modela i osiguranje bezuvjetnog prava ispitanika na prigovor obradi osobnih podataka. Nadalje, predlaže se i uvođenje iznimke od zabrane obrade „posebnih kategorija osobnih podataka” u slučajevima kada skup podataka sadržava preostale osjetljive podatke, pod uvjetom da su primijenjene tehničke mjere za njihovo minimiziranje i uklanjanje.
- Jasnije odredbe o „znanstvenim istraživanjima”
Pojam „znanstveno istraživanje” bio bi široko definiran kao „svako istraživanje koje može poduprijeti inovacije, kao što su tehnološki razvoj i prikazivanje”9. Takvo istraživanje može „ciljati na komercijalni interes”, ali mora doprinositi postojećem znanstvenom znanju, širiti opću društvenu dobrobit te poštovati etičke standarde u dotičnom području. Nadalje, dodatna obrada u znanstvene svrhe smatrala bi se kompatibilnom s prvotnom svrhom obrade, a znanstveno istraživanje priznalo bi se kao legitiman interes. Time su trenutne postavke za GDPR usklađeno provođenje znanstvenih istraživanja značajno promijenjene, olakšavajući obradu osobnih podataka u znanstvene svrhe, ali i slabeći jedno od temeljnih načela GDPR-a, a to je načelo ograničenja svrhe.
- Proširene iznimke od prava ispitanika
Prijedlog proširuje postojeće iznimke u vezi s obvezama transparentnosti, osobito kada se obrada provodi u znanstvene svrhe. Također precizira okolnosti u kojima voditelji obrade mogu odbiti zahtjev za pristup prema članku 15. GDPR-a ili naplatiti razumnu naknadu, primjerice kada ispitanik „zloupotrebljava prava dodijeljena ovom Uredbom u druge svrhe osim zaštite svojih podataka”.
- Ažurirana pravila o kolačićima
„Digital Omnibus“ predlaže riješiti tzv. consent fatigue, odnosno problem napornih ishođenja privola i čestih pop-up prozora o kolačićima uvodeći fleksibilniji i usklađeniji pristup pravilima praćenja na internetu. Između ostalog, prijedlog bi dopustio pohranu osobnih podataka ili pristup njima bez privole korisnika u određenim slučajevima, primjerice, kada je nužno mjerenje publike ili osiguravanje sigurnosti sustava. U budućnosti se predviđa uvođenje mehanizama za univerzalne postavke privatnosti koji bi korisnicima omogućili da jednom izraze privolu ili isključe praćenje za sve internetske stranice i aplikacije.
Za tehničke specifikacije bili bi zaduženi relevantni standardizacijski subjekti, a pružatelji preglednika, operacijskih sustava i trgovina aplikacija morali bi podržavati te postavke. Operatori internetskih stranica i aplikacija morali bi ih provesti u roku od šest mjeseci od stupanja na snagu.
- Jedinstveni EU portal za prijavu povreda podataka
Kako sada stvari stoje, u slučaju incidenta, kibernetičkog napada ili povrede osobnih podataka, potrebno je ispuniti čitav niz obveza prijavljivanja takvog nepoželjnog događaja i to na niz različitih adresa. Komisija planira uspostaviti centralni EU portal za prijavu povreda podataka, prema modelu „jednom prijavi – široko dijeli”10, radi pojednostavljenja obveza prema GDPR-u, Direktivi NIS2, Uredbi o digitalnoj operativnoj otpornosti (DORA), Direktivi o otpornosti kritičnih entiteta i nadolazećem Aktu o kibernetičkoj otpornosti. Preklapajuće obveze izvješćivanja prema Direktivi o e-privatnosti za pružatelje komunikacijskih usluga bile bi ukinute. Voditelji obrade morali bi prijavljivati samo povrede koje predstavljaju visok rizik za ispitanike, a rok za prijavu bio bi produljen na 96 sati (u odnosu na sadašnjih 72 sata). Europski odbor za zaštitu podataka (EDPB) izradio bi standardizirani obrazac za prijavu, koji bi Komisija usvojila provedbenim aktom.
- Usklađene smjernice i predložak za procjenu učinka na zaštitu podataka (DPIA)
Prema prijedlogu, Europski odbor za zaštitu podataka (EDPB) bio bi nadležan za izradu EU popisa aktivnosti obrade koje zahtijevaju, odnosno ne zahtijevaju procjenu učinka na zaštitu osobnih podataka (eng. data protection impact assessment - DPIA), čime bi se zamijenili nacionalni popisi. Također bi razvio standardizirani predložak i metodologiju za provedbu DPIA, koje bi Komisija mogla usvojiti provedbenim aktom. Popisi i metodologija redovito bi se ažurirali, najmanje svake tri godine.
- EU digitalni poslovni novčanik
Zajedno s „Digitalnim Omnibusom“, Komisija usporedno radi na prijedlogu Uredbe o europskim poslovnim novčanicima. Ideja iza poslovnih novčanika je pojednostaviti usklađivanje s regulatornim okvirom i smanjiti administrativna opterećenja za poduzeća, na način da djeluju kao jedinstvena platforma za pojednostavljenu interakciju diljem EU-a. Implementacijom jedinstvenog i trajnog identifikatora koji će djelovati kao digitalni poslovni novčanik, poduzeća će biti ovlaštena digitalno provjeravati identitete, potpisivati dokumente, dodavati vremenske pečate i besprijekorno razmjenjivati provjerene digitalne informacije preko granica korištenjem jedinstvenog rješenja. Usvajanjem europskih poslovnih novčanika, poduzeća, posebno mala i srednja poduzeća, moći će se s lakoćom snalaziti u usklađivanju, oslobađajući vitalne resurse koji se mogu preusmjeriti prema rastu i inovacijama.
Kada će promjene stupiti na snagu?
„Digital Omnibus“ tek je prijedlog EU Komisije koji će se razmatrati sukladno redovitom zakonodavnom postupku u Europskom parlamentu i Vijeću. Konačni tekst ovisit će o njihovoj ocjeni i izmjenama tijekom zakonodavnog procesa, a okvirna procjena EU Komisije je da će promjene efektivno ugledati svjetlo dana krajem 2027. godine.
No ono što je sigurno jest da će prigovori u samom tijeku zakonodavnog postupka biti brojni, kao i zahtjevi za izmjenu. Iako je ideja EU Komisije srezati administrativne troškove u digitalnom sektoru, i to za cca 2,4 milijarde EUR, mnogi su skeptični prema novom prijedlogu ističući kako će inicijalna adaptacija poduzećima donijeti nove troškove, a bez jasnih praktičnih olakšica koje su zazivali svih ovih godina. Osim toga, najavljena promjena definicije „osobnih podataka“ u smislu GDPR-a u startu je problematična zbog moguće posljedice višeslojne klasifikacije i neujednačenih interpretacija od strane voditelja obrade osobnih podataka čija će subjektivna ocjena biti od presudne važnosti. Na kraju, bit će zanimljivo pratiti kako će EU Komisija odgovoriti na kritike da se privatnost u online svijetu koja je trenutno regulirana Direktivom 2002/58/EZ o privatnosti i elektroničkim komunikacijama gubi u prijedlogu „Digital Omnibus“ i de facto izjednačuje s etabliranim pravom na zaštitu osobnih podataka, a koje je regulirano GDPR-om.
U svakom slučaju, prijedlog „Digital Omnibus“ ima potencijal donijeti tektonske promjene u digitalnom tržištu mijenjajući regulatorni okvir kakvog poznajemo, nada(j)m(o) se za dobrobit tog tržišta, a ne tek kao nastavak superregulacije bez efektivnih promjena s praktičnom vrijednosti.
Natalija Babić, LL.M., odvjetnica
^ 1 https://digital-strategy.ec.europa.eu/hr/policies/digital-rulebook
^ 2 Uredba(EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ
^ 3 Direktiva 2002/58/EZ o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama)
^ 4 Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)
^ 5 Uredba 2023/2854 o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima):
^ 6 Uredba (EU) 2024/1689 o utvrđivanju usklađenih pravila o umjetnoj inteligenciji i o izmjeni uredaba (EZ) br. 300/2008, (EU) br. 167/2013, (EU) br. 168/2013, (EU) 2018/858, (EU) 2018/1139 i (EU) 2019/2144 te direktiva 2014/90/EU, (EU) 2016/797 i (EU) 2020/1828 (Akt o umjetnoj inteligenciji)
^ 7 Izvješće posebnog izvjestitelja Mario Draghi iz 2024. o budućnosti EU konkurentnosti: https://commission.europa.eu/topics/competitiveness/draghi-report_en
^ 8 https://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?uri=CELEX:62023CJ0413
^ 9 Prijedlog Uredbe Digital Omnibus, Članak 3. – izmjene i dopune Opće uredbe o zaštiti podataka, str. 61.: “scientific research” means any research which can also support innovation, such as technological evelopment and demonstration. These actions shall contribute to existing scientific knowledge or apply existing knowledge in novel ways, be carried out with the aim of contributing to the growth of society´s general knowledge and wellbeing and adhere to ethical standards in the relevant research area. This does not exclude that the research may also aim to further a commercial interest.
https://digital-strategy.ec.europa.eu/hr/library/digital-omnibus-regulation-proposal
^ 10 eng. „report once, share many“, str. 58. Prijedloga Digital Omnibus
