Ravnatelj Agencije za zaštitu osobnih podataka i potpredsjednik Europskog odbora za zaštitu podataka Zdravko Vukić sudjelovao je 11. i 12. veljače na sjednici Odbora na kojoj su Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) usvojili Zajedničko mišljenje o prijedlogu Uredbe o Digitalnom omnibusu. Cilj je ovog prijedloga pojednostaviti digitalni regulatorni okvir EU-a, smanjiti administrativno opterećenje i povećati konkurentnost europskih organizacija.
EDPB i EDPS usredotočuju se na aspekte koji se odnose na GDPR, EUDPR, Direktivu o ePrivatnosti i „data acquis”. Konkretnije, procjenjuju vodi li prijedlog 1) stvarnom pojednostavljenju i olakšava li usklađenost, 2) donosi li veću pravnu sigurnost i 3) utječe li na temeljna prava pojedinaca.
Izmjene koje izazivaju značajne zabrinutosti
Neke predložene izmjene izazivaju značajne zabrinutosti jer mogu negativno utjecati na razinu zaštite koju uživaju pojedinci, stvoriti pravnu nesigurnost i otežati primjenu prava zaštite podataka.
EDPB i EDPS snažno pozivaju suzakonodavce da ne usvoje predložene izmjene definicije osobnih podataka, jer one daleko nadilaze ciljanu ili tehničku izmjenu GDPR-a. Osim toga, ne odražavaju točno sudsku praksu Suda EU-a (CJEU) te je jasno nadilaze, a rezultirale bi značajnim sužavanjem pojma osobnih podataka. Europskoj komisiji ne bi trebalo povjeriti da provedbenim aktom odlučuje koji podaci nakon pseudonimizacije više nisu osobni podaci, jer to izravno utječe na područje primjene prava EU-a o zaštiti podataka.
Koraci u dobrom smjeru
EDPB i EDPS podržavaju povećanje praga rizika koji dovodi do obveze prijave povrede osobnih podataka nadležnom tijelu za zaštitu podataka (DPA) te produljenje roka za podnošenje takve prijave. To bi značajno smanjilo administrativno opterećenje organizacija, bez utjecaja na zaštitu osobnih podataka pojedinaca. Također, pozitivni su predloženi zajednički predlošci i popisi za povrede osobnih podataka i procjene učinka na zaštitu podataka.
EDPB i EDPS pozdravljaju i predloženo uvođenje nove iznimke za obradu posebnih kategorija podataka radi biometrijske autentifikacije, kada su sredstva provjere pod isključivom kontrolom pojedinca.
Naposljetku, podržavaju usklađivanje pojma „znanstveno istraživanje” i druge povezane izmjene, jer povećavaju pravnu sigurnost i doprinose većoj harmonizaciji.
Izmjene koje treba dodatno doraditi
Kako je navedeno u Mišljenju EDPB-a 28/2024 o AI modelima, legitimni interes može se u određenim slučajevima koristiti kao pravna osnova u kontekstu razvoja i primjene AI modela ili sustava. Stoga EDPB i EDPS ne smatraju nužnim uvrstiti posebnu odredbu o tome u GDPR.
EDPB i EDPS pozdravljaju cilj prijedloga da se uvede posebna iznimka od zabrane obrade osjetljivih podataka, uz uvjete, koja obuhvaća incidentalnu i rezidualnu obradu takvih podataka u kontekstu razvoja i rada AI sustava ili modela. Međutim, preporučuju nekoliko poboljšanja, poput pojašnjenja opsega iznimke i osiguravanja zaštitnih mjera tijekom cijelog životnog ciklusa.
EDPB i EDPS slažu se s ciljem Komisije da se voditeljima obrade pruži pravna jasnoća kada se suočavaju sa zlouporabom prava od strane ispitanika. Ipak, smatraju da ostvarivanje prava na pristup u svrhe koje nisu zaštita osobnih podataka ne bi smjelo biti element koji definira što je zlouporaba. U vezi s novom iznimkom za transparentnost, EDPB i EDif delimarne preporuke: podržavaju pojednostavljenje informativnih zahtjeva i smanjenje administrativnog opterećenja, posebno za MSP-ove, ali predlažu pojašnjenja radi pravne sigurnosti i kako bi pojedinci i dalje mogli po potrebi dobiti relevantne informacije o svojim podacima.
Naposljetku, izmjene odredbe o automatiziranom pojedinačnom donošenju odluka treba pojasniti kako bi bile smislenе i pravno utemeljene.
Izmjene Direktive o ePrivatnosti
EDPB i EDPS snažno podupiru cilj pronalaska regulatornog rješenja za „zamор od privole” i proliferaciju „cookie” bannera. To se, primjerice, odnosi na predložene zahtjeve za korištenje automatiziranih i strojno čitljivih indikacija izbora pojedinaca u vezi s obradom njihovih podataka. Korištenje tehničkih sredstava može pojednostaviti usklađenost voditelja obrade i pomoći pojedincima da njihove online odluke budu učinkovite.
EDPB i EDPS također pozdravljaju ograničene dodatne iznimke od opće zabrane pohranjivanja ili pristupa osobnim podacima u terminalnoj opremi te dodatno pozivaju suzakonodavce da potiču kontekstualno oglašavanje umjesto bihevioralnog oglašavanja, dodavanjem posebne iznimke uz odgovarajuće zaštitne mjere.
EDPB i EDPS pozdravljaju činjenicu da će nadzor nad tim pitanjima biti povjeren tijelima za zaštitu podataka (DPA).
Istodobno, ističu pravne i tehničke poteškoće koje proizlaze iz koegzistencije dvaju različitih režima za osobne i neosobne podatke. Također daju dodatne preporuke za povećanje pravne sigurnosti, minimiziranje rizika i poticanje odgovorne inovacije.
Izmjene „data acquis”-a
EDPB i EDPS podržavaju pojednostavljenje „data acquis”-a kroz integraciju u Akt o podacima pravila iz Akta o upravljanju podacima i Direktive o otvorenim podacima o ponovnoj uporabi podataka i dokumenata koje posjeduju tijela javnog sektora.
U vezi s pristupom koji javna tijela odobravaju radi ponovne uporabe, preporučuju zadržati jasnoću koju pruža postojeći pravni okvir, odnosno da isti ne obvezuje tijela javnog sektora da dopuste ponovnu uporabu, niti pruža pravnu osnovu za odobravanje pristupa.
Što se tiče javnih izvanrednih situacija, EDPB i EDPS preporučuju potvrditi da se osobni podaci mogu dijeliti s tijelima javnog sektora samo u pseudonimiziranom obliku, u slučajevima kada anonimni podaci nisu dovoljni za odgovor na javnu izvanrednu situaciju.
U pogledu usluga posredovanja podacima i organizacija za data altruizam, EDPB i EDPS ističu važnost pouzdanog i odgovornog dijeljenja podataka. Preporučuju zadržavanje posebnih zaštitnih mjera te davanje prednosti transparentnosti i nadzoru.
EDPB i EDPS preporučuju dodatno pojednostavljenje odredbi o provedbi (npr. omogućavanjem međuregulatorne razmjene informacija o provedbi, uključujući s tijelima za zaštitu podataka, te pojašnjenjem uloge nadzornih tijela za zaštitu podataka u provedbi Akta o podacima).
EDPB i EDPS pozdravljaju potvrdu u prijedlogu o ulozi Europskog odbora za inovacije u području podataka (EDIB) u podupiranju dosljedne primjene Akta o podacima. U pogledu izrade smjernica, preporučuju ovlastiti Komisiju da izdaje smjernice o bilo kojoj temi koja se odnosi na Akt o podacima te pojasniti ulogu EDIB-a u pružanju pomoći Komisiji u tom procesu. To bi omogućilo Komisiji da razvija zajedničke smjernice s EDPB-om te da EDIB savjetuje i pomaže Komisiji u razvoju takvih smjernica.
