Nacionalni regulatori ili nadležna tijela zaduženi za zaštitu podataka trebali bi u budućnosti ostvarivati lakšu suradnju u prekograničnim slučajevima u Europskoj uniji (EU) nakon što je postignut dogovor o ograničenju mogućeg trajanja istrage u takvim slučajevima.
Uredba o zaštiti podataka (GDPR) stupila je na snagu 2018. godine, a Europska komisija je odlučila ažurirati pravila kako bi se ubrzalo donošenje odluka i uskladile procedure.
Prema GDPR-u, nacionalni regulatori, što je u Hrvatskoj Agencija za zaštitu osobnih podataka (AZOP), moraju prebaciti slučajeve regulatoru u drugoj državi članici EU-a u slučaju da tvrtka koja je dio postupka ima sjedište u toj drugoj zemlji. No, taj prekogranični način suradnje je bio predmet kritika budući da za rješavanje pritužbi ponekad trebaju godine.
U razgovoru između Europske komisije, Europskog parlamenta i zemalja članica postignut je dogovor oko mehanizma koji bi trebao jamčiti brže rješavanje prekograničnih slučajeva.
Nove mjere uvode rok od 15 mjeseci u kojima istraga mora biti dovršena, a u posebno složenim slučajevima taj se rok može produljiti za dodatnih 12 mjeseci.
Glavni direktor europske zajednice udruga potrošača BEUC Agustin Reyna je rekao da je taj korak važan s obzirom na moć multinacionalnih tvrtki i pužev korak primjene GDPR-a zadnjih godina.
Prošloga je mjeseca Europska komisija predstavila pojednostavljivanje regulative kako bi smanjila teret za male i srednje tvrtke.
U ovome trenutku su tvrtke s manje od 250 zaposlenih izuzete obveze primjene nekih dijelova GDPR-a, a sada Bruxelles predlaže da se ta brojka podigne na 500 zaposlenih.
Nešto više o pitanju prekogranične suradnje u slučajevima istraga vezanih za GDPR pojasnili su za Financije.hr iz tvrtke Presido koja je među vodećim lokalnim tvrtkama za pitanja zaštite osobnih podataka.
“Opća uredba o zaštiti podataka koristi takozvani mehanizam ‘jedinstvene kontaktne točke’ prema kojem je za prekogranične slučajeve nadležno jedno nadzorno tijelo. Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Europskoj uniji, a voditelj obrade ili izvršitelj obrade imaju poslovni nastan u više od jedne države članice ili ako obrada koja se odvija u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade u Europskoj uniji bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo. Ono bi trebalo surađivati s drugim predmetnim tijelima zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području njihove države članice, zato što to bitno utječe na ispitanike koji imaju boravište na njihovom državnom području ili zato što im je podnesena pritužba”, navode iz tvrtke Presidio.
Također, ako je prigovor podnio ispitanik koji nema boravište u istoj državi članici, nadzorno tijelo kojem je takva pritužba podnesena također bi trebalo biti nadležno nadzorno tijelo.
“U praksi to često znači da postupke vodi Irska komisija za zaštitu podataka (DPC) s obzirom na to da su brojni tehnološki divovi, uključujući Metu, Google, Apple i X, registrirani u toj zemlji. Postupci znaju trajati mjesecima ili čak godinama zbog opsežnih analiza i suradnje s drugim nadzornim tijelima i institucijama. Upravo zbog toga je i uvedena nova mjera za prekogranične predmete. Dogovoreno je da rok za završetak općih prekograničnih istraga iznosi 15 mjeseci, uz mogućnost produljenja za dodatnih 12 mjeseci u posebno složenim slučajevima. Za jednostavnije slučajeve uvodi se pojednostavljena procedura suradnje između nacionalnih nadzornih tijela s rokom od 12 mjeseci uz mogućnost dodatnog produljenja zbog nacionalnih pravnih procedura”, objašnjavaju stručnjaci tvrtke Presidio.
Smatraju da je novina značajna iz više razloga. Važna je za kvalitetu rada nadzornih tijela, unosi se veća pravna sigurnost i predvidljivost, prekogranična suradnja postaje učinkovitija te raste povjerenje u institucije, a postupci pokrenuti pred tijelima kao što je AZOP neće biti blokirani zbog čekanja na druga nadzorna tijela.
“Prekogranični slučajevi su relativno česti, osobito kada su u pitanju velike tehnološke kompanije koje nude usluge diljem EU-a, kao što su Meta, Google ili TikTok, i koja imaju sjedišta u državama poput Irske ili Nizozemske. Prema izvješćima Europskog odbora za zaštitu podataka (EDPB), znatan broj važnih istraga provodi se kao prekogranične jer korisnici iz jedne države često podnose pritužbe na društva koje imaju sjedište u drugoj državi. Ujedno, najviše pojedinačne kazne koje su nadzorna tijela izrekla odnose se baš na takve slučajeve kao što je bio slučaj s Amazonom, Metom i Tik Tokom zbog kršenja GDPR-a”, ističu iz Presidia.
Pročitajte još:
Napominju da kod prigovora ispitanika ili nadzornog postupanja gdje nema prekograničnog elementa GDPR ne propisuje konkretne rokove za završetak istrage.
“No, AZOP i druga tijela dužna su postupati bez nepotrebnog odgađanja, u skladu s načelima učinkovitosti i proporcionalnosti. Neki nacionalni zakoni ili opća pravila upravnog postupka mogu propisivati okvirne rokove, primjerice 30 ili 60 dana za donošenje rješenja, ali kod složenijih slučajeva ti se rokovi mogu produljiti. Primjenjuju se i smjernice EDPB-a koje pozivaju na pravovremenost i transparentnost u postupanju”, navode pravni stručnjaci tvrtke Presidio.
2 Odgovora
Bravo.
Oni imaju previše informacija koje ne bi trebali imati