Data scraping je proces izdvajanja sadržaja sa vebsajta i njegovog preuzimanja na računar. Sadržaj se zatim može analizirati ili koristiti za obuku algoritma veštačke inteligencije. Ovo je definicija data od strane Odbora za intelektualnu svojinu Radne grupe za inovaciju i komercijalizaciju GPAI (Global Partnership on Artificial Intelligence). Još 2022. godine objavili su smernice u vezi data scraping-a i zaštite autorskih prava, navodeći da ne postoji međunarodno ujednačeno rešenje i da razne jurisdikcije imaju različita rešenja.

Gledajući i šire od prava intelektualne svojine, u ovom tekstu navodimo nove slučajeve fokusirajući se pogotovo na evropsko tumačenje. Može se reći da se pravne praznine u vezi data scraping-a popunjavaju, bilo u slučaju zaštite prava intelektualne svojine, kršenja odredbi uslova korišćenja ili zaštite podataka, a sve u svetlu novih primera iz prakse.

hiQ Labs v. Linkedln 

Nakon više godina sudskog postupka, hiQ Labs i Linkedin završili su spor sa poravnanjem. U najmanju ruku turbulentno – od donošenja privremene mere 2017. godine do kasnijeg ukidanja odluke pred Vrhovnim sudom SAD-a, a u svetlu presude u predmetu Van Buren v. United States, kraj je došao 2022. godine.

Pitanje koje je Deveti okružni postavio bilo je – Da li, nakon što je hiQ primio Linkedlnovo pismo upozorenja, svako dalje prikupljanje i korišćenje podataka predstavlja kršenje zakona? Kompanija za analitku podataka hiQ pobedila je u pogledu pitanja neovlašćenog pristupa prema američkom Zakonu o računarskim prevarama i zloupotrebama (CFAA) u vezi sa podacima sa javno dostupnih veb stranica. Ipak u novembru 2022. godine, okružni sud za Severni okrug Kalifornije je utvrdio da su odredbe korisničkog sporazuma sa sajta koje zabranjuju data scraping tehniku i kreiranje lažnih profila primenjive u tužbi za povredu ugovora (hiQ Labs, Inc. v LinkedIn Corporation, predmet br. 17-cv-03301-EMC, 4. novembar 2022).

Evropski pristup

U Evropi imamo malo drugačiji pristup. U januaru 2025. godine, francuska agencija za zaštitu podataka (CNIL) izrekla je novčanu kaznu privrednom društvu KASPR zbog prikupljanja Linkedln kontakata, uključujući skrivene e-mail adrese, a bez obaveštavanja korisnika (Délibération de la formation restreinte n° SAN-2024-020 du 5 décembre 2024 concernant la société KASPR). Fokus ovde nije bio na uslovima korišćenja dostupnih na Linkedln vebsajtu već na usklađenosti sa GDPR-om. Agencija je obrazložila da je KASPR, pored javno dostupnih podataka, prikupljao i podatke korisnika koji su ograničili nivo vidljivosti te da nije postojala saglasnost za takvo prikupljanje podataka; njihove aktivnosti su pokazale nedostatak transparentnosti i nepoštovanje osnovnih prava koja fizičkim licima pripadaju po GDPR-u.

Strožiji pristup u vezi data scraping-a zauzela je i agencija za zaštitu podataka Holandije objavljivanjem smernica u maju 2024. godine te navodeći da sama činjenica da su podaci javno dostupni ne znači da postoji saglasnost za njihovo prikupljanje. Objavljivanje podataka na internetu nije ujedno i automatska dozvola za daljnje prikupljanje i obradu. Nadalje, scraping može da se zasniva na legitimnom interesu u izuzetnim slučajevima, ali ne tako često u komercijalnim pitanjima, a pogotovo kada se radi o masovnom prikupljanju podataka radi komercijalne upotrebe.

U Evropi činjenica da je nešto javno dostupno ne znači da je istovremeno i slobodno za korišćenje.

Šta ovo znači za pravna lica koja koriste data scraping tehniku? Ništa novo – praćenje propisa, usklađivanje sa relevantnom regulativom, preciznije čitanje uslova korišćenja i prepoznavanje značaja propisa o zaštiti podataka.

Da li su pravna lica baš uvek izuzeta iz sfere zaštite podataka?

Kada govorimo o data scraping-u i zaštiti podataka, uglavnom mislimo samo na fizička lica. Agencija za zaštitu podataka Španije (AEPD) je 14. aprila 2025. godine donelo zanimljivo rešenje (EXP202404644) – AEPD je izrekla novčanu kaznu u iznosu od 1.8 miliona evra kompaniji Informa D&B radi zloupotrebe ličnih podataka samozaposlenih lica. Podaci potiču od poreske uprave koja je nadležnim registrima dostavljala lične podatke samozaposlenih lica na osnovu legitimnih javnih svrha, a koji su potom završavali kod kompanije Informa D&B na osnovu ugovornog odnosa. AEPD je utvrdila da ova kompanija nije imala zakonit osnov za obradu podataka 1.67 miliona preduzetnika. Više informacija i objašnjenja okolnosti može da se sazna čitanjem ove odluke.

Poljska agencija za zaštitu podataka (UODO) je u martu 2019. godine donela rešenje o izricanju novčane kazne kompaniji Bisnode radi neispunjavanja obaveze informisanja i kršenja člana 14 GDPR. Bisnode (sada Dun & Bradstreet) je putem svog ogranka u Poljskoj prikupio podatke iz javnih registra i baza koji se odnose na 6 miliona vlasnika kompanija, a u svrhu ocenjivanja njihove kreditne sposobnosti. Podaci su uključivali njihova imena, identifikacione brojeve i informacije vezane za poslovanje pravnih lica. Bisnode je poslao obaveštenja putem elektronske pošte za samo 90.000 ljudi, a od kojih je 12.000 njih uložilo prigovor, te je kompanija postavila na svoj sajt javno dostupan dokument kao dodatni način obaveštavanja.

Poljski organ za zaštitu podataka je tvrdio da je Bisnode kao rukovalac bio svestan svoje obaveze pružanja informacija, ali da nije pravilno postupio i ispunio obavezu nametnutu GDPR-om. Bisnode je osporio te navode, tvrdeći da bi troškovi obaveštavanja putem telefona ili pošte bili previsoki i predstavljali nesrazmeran napor.

Ne ulazeći dalje u suštinu i sve okolnosti ovog predmeta, nakon više od 4 godine sudskog spora, Vrhovni upravni sud u Poljskoj je odbio žalbu kompanije Bisnode protiv presude upravnog suda u Varšavi. Ono što je ovde bitno za napomenuti, slično kao i kod pomenutog španskog predmeta, jeste da je ovaj predmet izazvao velike reakcije; pogotovo s obzirom na činjenicu da je Bisnode prikupljao podatke iz javno dostupnih registara. Sa druge strane, organ za zaštitu podataka nije dovodio u pitanje izvore pribavljanja podataka nego je reagovao na propust u obaveštavanju većine lica čiji su podaci pribavljeni. Upravni sud je utvrdio da je tuženi bio dužan da ispuni obavezu prema članu 14 GDPR, ali samo u odnosu na lica koja su aktivno obavljala privrednu delatnost ili su privremeno obustavila obavljanje delatnosti u trenutku donošenja odluke. Vrhovni upravni sud je naglasio da je prema GDPR-u transparentnost obrade pravilo i da se svaka iznimka od ovog pravila mora tumačiti restriktivno. Odluka je poništena u delu koji se odnosi na obradu podataka lica koja su u prošlosti obavljala privrednu delatnost i u delu koji se odnosi na visinu izrečene kazne (III OSK 2538/21).

CK v. Dun & Bradstreet – Šta kaže CJEU? 

Još jedna novost iz 2025. godine – dana 27. februara 2025. godine, Sud pravde Evropske Unije (CJEU) doneo je presudu u predmetu CK protiv Dun & Bradstreet (C-203/22). Ova presuda se najviše odnosi na pravo pristupa ličnim podacima (član 15 (h) GDPR) i obaveza rukovaoca u slučajevima automatizovanog donošenja odluka i profilisanja (član 22 GDPR). Presuda se bavila i balansom između zahteva transparentnosti i zaštite poslovnih tajni. Ukratko, tužilac kao fizičko lice je tužio Dun & Bradstreet Austria GmbH jer mu je odbijen ugovor za mobilni telefon na osnovu automatizovane procene kreditne sposobnosti izvršene od strane tuženog. Tužilac je tražio pravo pristupa, ali tuženi je odbio, navodeći da je algoritam korišćen u procesu odlučivanja zaštićen poslovnom tajnom.

CJEU je zaključio da se član 15 (1) (h) mora tumačiti tako da, u slučaju automatizovanog donošenja odluka, uključujući profilisanje (u smislu člana 22 (1) GDPR), lice na koje se podaci odnose može zahtevati od rukovaoca, kao ‘značajne informacije o logici koja je uključena’, da objasni, putem relevantnih informacija i u sažetom, transparentnom, razumljivom i lako dostupnom obliku, postupak i principe koji su stvarno primenjeni kako bi se, putem automatizovanih sredstava koristili lični podaci tog lica radi dobijanja određenog rezultata, kao što je ocena kreditne sposobnosti. Navedeni član mora da se tumači tako da, kada rukovalac smatra da informacije koje treba pružiti licu na koje se podaci odnose u skladu sa tom odredbom sadrže podatke trećih lica zaštićene GDPR-om ili poslovne tajne, rukovalac je dužan da navodno zaštićene informacije dostavi nadležnom organu ili sudu, radi uspostavljanja balansa između predmetnih prava i interesa i određivanja obima prava na pristup licu na koje se podaci odnose. U paragrafu 59 ove presude, sud navodi da samo pružanje matematičke formule ili opis koraka automatizovanog odlučivanja ne zadovolja kriterijum sažetog i razumljivog objašnjenja. Poslednje ali ne manje bitno – CJEU je dodao da država članica ne može odrediti rezultat procene balansa i obima prava na pristup koristeći isključivo svoje domaće zakonodavstvo već nadležni organ mora da vrši procenu u svakom slučaju pojedinačno, uzimajući u obzir sve specifične okolnosti.

Napomena: Ovaj tekst odražava lično mišljenje autora i ne predstavlja pravni savet.