Analitika, Digitalni marketing

Ali je Evropa obupala nad GDPR-jem?

Da je GDPR neumnost – birokratska tvorba ljudi, ki ne razumejo interneta – se je med IT-jevci govorilo že ob prvih osnutkih. In kot se je kasneje izkazalo, so imeli prav: GDPR je močno poslabšal uporabniško izkušnjo, obremenil mala podjetja in spregledal tiste, ki jim je bil v resnici namenjen.

Uradni cilj? Zaščita osebnih podatkov pred uhajanjem v ZDA. Rezultat? Podatki še naprej odtekajo – danes tudi na Kitajsko.

Medtem ko so evropski birokrati zapletali obrazce in predpise, so Meta, TikTok in drugi našli luknje, zakonske obvoze in inovativne razlage. Internet pa je medtem že prestopil v novo fazo: umetna inteligenca danes podatke črpa kar “med vrsticami” – brez da se kdorkoli sploh zaveda, kaj vse daje od sebe.

Da je bil GDPR napaka, danes dokazujejo prav vsi podatki:

  • Tisti, ki jim je bil namenjen, so ostali nedotaknjeni.
  • Osebni podatki se še vedno brez težav selijo čez meje.
  • Veliki igralci so se hitro prilagodili, mali pa plačujejo ceno.

Negativne posledice nosijo predvsem manjša podjetja – in končni uporabniki, ki so dobili internet, poln “cookie” pasic, pogojenih prijav in lažnih soglasij.

Zgodba je v svojem bistvu povsem tipično evropska. Napake pri zasnovi bi še razumeli. A kar je resnično zaskrbljujoče, je to, da v tej napaki – kot pogosto – vztrajamo. Do kdaj?

GDPR kot velik obljubljeni ščit uporabnika

Na začetku je GDPR obljubljal:

  • večjo preglednost nad tem, kako podjetja obdelujejo podatke,
  • večji nadzor uporabnika nad lastnimi podatki,
  • visoke kazni za kršitelje,
  • ter obsežno vlogo nacionalnih nadzornih organov.

A hitro se je pokazalo, da so podjetja, predvsem največja (Google, Meta, TikTok), našla poti okoli predpisov – bodisi s kompleksnimi pristopnimi pogoji, selektivno interpretacijo ali pravnimi manevri.

Na primer, Meta je po uveljavitvi GDPR enostransko spremenila pogoje uporabe in utemeljila obdelavo osebnih podatkov za oglaševanje s t.i. »pogodbeno nujnostjo« (contractual necessity) – torej, da je personalizirano oglaševanje bistveni del njihove storitve. S tem so se izognili pridobivanju izrecne privolitve za targetirano oglaševanje, saj naj bi se uporabnik z obdelavo podatkov samodejno strinjal že ob registraciji. Ta interpretacija je bila kasneje izrčrpno izpodbijana s strani organizacij, kot je NOYB, in je šele več let kasneje dočakala obsodbo Sodišča EU ter visoke kazni. A medtem je podjetje z novimi obrazci in t.i. »psevdosoglasji« nadaljevalo z zbiranjem podatkov skoraj nespremenjeno.

Uredba se ne uveljavlja

Ključni problem ostaja uveljavljanje uredbe. Medtem ko se posamezna zagovorniška združenja (npr. NOYB Maxa Schremsa) borijo proti velikim igralcem, so postopki dolgotrajni, pogosto večletni. Tudi same kazni so redke in pogosto nižje od pričakovanega (glede na potencialni dobiček kršiteljev).

Nacionalni organi (npr. Irska kot glavni regulator za tehnološke gigante) so pod drobnogledom zaradi počasnosti, kompromisov in občasne pasivnosti.

GDPR povzročil otopelost uporabnikov

Z množico cookie obvestil, avtomatiziranimi “sprejmi vse” obrazci in dolgotrajnimi pogoji, je večina uporabnikov otopela. GDPR je v očeh mnogih postal birokratska ovira, ne pa dejansko orodje za zaščito.

Namesto preglednosti imamo digitalno utrujenost. Tudi podjetja so pogosto osredotočena zgolj na formalno skladnost, ne pa na dejansko etično ravnanje z uporabniškimi podatki.

AI, biometrija in digitalna identiteta

GDPR je bil napisan v času pred razcvetom umetne inteligence. Danes pa imamo:

  • masovno uporabo algoritmov za profiliranje,
  • uporabo biometričnih podatkov (npr. v trgovinah, na mejah),
  • in digitalne identitete, ki bodo povezale še več osebnih podatkov v enoten profil.

Pri vseh teh tehnologijah prihaja do tihega premika iz privolitve k sistemski obdelavi podatkov brez dejanske izbire uporabnika.

Na primer, umetna inteligenca danes brez težav kategorizira posameznike po spolu, starosti, čustvenem stanju, lokaciji in celo socialno-ekonomskem statusu – brez da bi uporabnik to sploh vedel.

Biometrični podatki (prepoznavanje obraza, prstni odtisi) se pogosto uporabljajo za varnostne namene, a hkrati omogočajo stalno sledenje in identifikacijo v realnem času.

Digitalne identitete (kot jih razvijajo EU in zasebne platforme) obljubljajo poenostavitev identifikacije, a hkrati združujejo zdravstvene, davčne, bančne in potovalne podatke v eno točko, kar pomeni izjemen varnostni in etični izziv. GDPR sicer pokriva tudi te tehnologije, vendar so njegova načela pogosto preširoka, preveč splošna ali premalo usmerjena na konkretne tehnološke prakse.

Zakonodaja ni dovolj agilna, da bi ustrezno odgovorila na te izzive. Evropska komisija sicer pripravlja AI Act, Data Governance Act in druge dopolnilne uredbe, a vprašanje ostaja: bo to dovolj hitro – in predvsem dovolj odločno?

Je GDPR mrtev?

Ne. A je pod vprašajem njegovo jedro: ali lahko zagotovi varstvo digitalno nepismenega posameznika (kakršnim je GDPR pravzaprav namenjen v svoji ideji) v digitalni dobi?

Evropa se še ni formalno odrekla GDPR, a praksa kaže, da sta potrebna:

  • temeljita prenova izvajanja in nadzora,
  • poenotenje praks med državami,
  • ter okrepitev pravic uporabnikov tudi v kontekstu novih tehnologij.

Ali je čas za GDPR 2.0?

Če želi Evropa ostati vzor na področju digitalnih pravic in vodilna na področju zaviranja rasti gospodarstva, bo morala najti način, da zakonodaja ne ostane samo črka na papirju. Potrebujemo torej bolj kompliciran GDPR sistem, ki bo v praksi neuresničljiv, kjer bo integracija skladnosti dražja predvsem za manjša podjetja, kjer bo potrebno poročanje o pridobljenih soglasjih, hkrati pa hkrati pa več inšpektorjev, ki bodo lahko preverjali skladnost poslovanja.

Kaj se dogaja z GDPR v letu 2025?

1. Poenostavitve za mala in srednje velika podjetja (MSP)

Evropska komisija je maja 2025 predstavila predlog za poenostavitev nekaterih obveznosti GDPR za MSP. Cilj je zmanjšati administrativna bremena, zlasti glede vodenja evidenc obdelave podatkov, brez ogrožanja temeljnih pravic posameznikov. Predlog vključuje razširitev obstoječih oprostitev za podjetja z manj kot 250 zaposlenimi na podjetja z do 500 zaposlenimi, pri čemer bi bile določene obveznosti omejene na primere z visokim tveganjem, kot so obdelava zdravstvenih podatkov. euronews.com

2. Kritike glede izvrševanja GDPR

Kljub obstoju GDPR se pojavljajo kritike glede njegovega izvrševanja, zlasti v primerih čezmejnih kršitev. Postopki so pogosto dolgotrajni in zapleteni, kar zmanjšuje učinkovitost zakonodaje. Evropska komisija je zato predlagala novo uredbo za izboljšanje postopkov izvrševanja GDPR, vendar so nekateri kritiki opozorili, da bi lahko predlagane spremembe dodatno zapletle že tako kompleksne postopke. euronews.com

3. Integracija z drugimi zakonodajnimi okviri

EU si prizadeva za uskladitev GDPR z drugimi zakonodajnimi pobudami, kot sta Zakon o umetni inteligenci (AI Act) in Zakon o digitalnih storitvah (DSA). Cilj je zagotoviti celovit in usklajen pristop k regulaciji digitalnega okolja, ki bo hkrati varoval pravice posameznikov in spodbujal inovacije.

Čeprav se GDPR sooča z izzivi in potrebo po prilagoditvah, ni nobenih indikacij, da bi EU načrtovala njegovo opustitev. Namesto tega se osredotoča na reforme, ki bi zakonodajo naredile bolj učinkovito in prilagojeno sodobnim tehnološkim izzivom, hkrati pa ohranile visoko raven varstva osebnih podatkov.

Stopite v stik
Miklavčič
Marketing d.o.o.
Učinkovite rešitve za digitalni marketing.

NASLOV

Zgornji Brnik 130H, 4210 Zgornji Brnik

KONTAKT

info@digitalni-marketing.si

+ 386 (0)41 414 847