Bruxelles, 9. listopada – Europski odbor za zaštitu podataka (EDPB) na posljednjoj plenarnoj sjednici usvojio je Mišljenje o određenim obvezama koje proizlaze iz odnosa voditelja, izvršitelja i podizvršitelja obrade, Smjernice o legitimnom interesu, izjavu o utvrđivanju dodatnih postupovnih pravila za provedbu Opće uredbe o zaštiti podataka i program rada EDPB-a za razdoblje 2024.-2025. Također, usvojen je i zahtjev Agencije za informiranje i privatnost Kosova da postane promatrač u aktivnostima Europskog odbora za zaštitu podataka (EDPB-a).
Punu podršku da se nadzornom tijelu Kosova dodijeli status promatrača, pružio je ravnatelj Agencije za zaštitu osobnih podataka i potpredsjednik Europskog odbora za zaštitu podataka Zdravko Vukić. Naglasio je kako Agencija za informiranje i privatnost Kosova ispunjava sve propisane kriterije odnosno da Agencija djeluje samostalno i da je interes Odbora imati nadzorno tijelo Kosova kao promatrača te da je Kosovo potencijalni kandidat za članstvo u EU koje je preuzelo obvezujuće međunarodne obveze da u potpunosti uskladi svoja pravila o zaštiti podataka s onima u EU.
„Jedan od prioriteta Agencije za zaštitu osobnih podataka je poboljšanje standarda zaštite podataka na Zapadnom Balkanu u skladu sa standardima EU. Uložili smo znatne napore u Sjevernoj Makedoniji i voljni smo učiniti isto na Kosovu. Usklađivanje standarda zaštite osobnih podataka na Zapadnom Balkanu sa standardima EU važno je za cijelu EU i članice EDPB-a. Vjerujem da će dodjeljivanje statusa promatrača Kosovu značajno doprinijeti ovom cilju i dodatno poboljšati praksu zaštite podataka u regiji.“, rekao je potpredsjednik EDPB-a Zdravko Vukić te istaknuo kako je Agencija za zaštitu osobnih podataka do sada uspješno surađivala s Agencijom za informiranje i privatnost.
Europski odbor za zaštitu podataka usvojio je Smjernice o obradi osobnih podataka na temelju legitimnog interesa, a u čijem je timu izrade Smjernica sudjelovala i Agencija za zaštitu osobnih podataka.
U ovim se Smjernicama analiziraju kriteriji utvrđeni u članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka koje voditelji obrade moraju ispuniti kako bi zakonito obrađivali osobne podatke na temelju legitimnog interesa. U obzir se uzima i nedavna presuda Suda Europske unije o tom pitanju (C-621/22, 4. listopada 2024.).
Kako bi se mogao osloniti na legitimni interes, voditelj obrade mora ispuniti tri kumulativna uvjeta:
1. ostvarivanje legitimnog interesa voditelja obrade ili treće strane;
2. nužnost obrade osobnih podataka u svrhu ostvarivanja legitimnog interesa;
3. interesi ili temeljne slobode i prava pojedinaca nemaju prednost pred legitimnim interesima voditelja obrade ili treće strane (izvršavanje ravnoteže).
Prije svega, legitimnima se mogu smatrati samo zakoniti, jasno i precizno formulirani, stvarni i sadašnji interesi. Na primjer, takvi legitimni interesi mogli bi postojati u situaciji u kojoj je pojedinac klijent ili u službi voditelja obrade. Kao drugo, ako postoje razumne, jednako učinkovite, ali manje nametljive alternative za postizanje željenih interesa, obrada se ne može smatrati nužnom. Nužnost obrade također bi trebalo ispitati u skladu s načelom smanjenja količine podataka. Kao treće, voditelj obrade mora osigurati da njegov legitimni interes ne prevladava nad interesima pojedinca, temeljnim pravima sloboda. Pri tom odvagivanju voditelj obrade mora uzeti u obzir interese pojedinaca, učinak obrade i njihova razumna očekivanja, kao i postojanje dodatnih zaštitnih mjera kojima bi se mogao ograničiti učinak na pojedinca. Također, u ovim se Smjernicama objašnjava kako bi se ta procjena trebala provoditi u praksi, među ostalim u nizu posebnih konteksta kao što su sprečavanje prijevara, izravni marketing i informacijska sigurnost. U dokumentu se objašnjava i odnos između te pravne osnove i niza prava ispitanika u skladu s Općom uredbom o zaštiti podataka.
Smjernice će biti predmet javnog savjetovanja do 20. studenoga 2024.
Europski odbor za zaštitu podataka usvojio je i Mišljenje o određenim obvezama koje proizlaze iz odnosa voditelja, izvršitelja i podizvršitelja obrade, na temelju zahtjeva danskog tijela za zaštitu podataka upućenog Odboru u skladu s člankom 64. stavkom 2. Opće uredbe o zaštiti podataka. Mišljenje se odnosi na tumačenje određenih dužnosti voditelja obrade koji se oslanjaju na izvršitelje i podizvršitelje obrade, kao i tekst ugovora između voditelja obrade i izvršitelja obrade. U Mišljenju se objašnjava da bi voditelji obrade u svakom trenutku trebali imati lako dostupne informacije o identitetu (tj. imenu, adresi, osobi za kontakt) svih izvršitelja obrade, podizvršitelja obrade itd. kako bi mogli najbolje ispuniti svoje obveze iz članka 28. Opće uredbe o zaštiti podataka. Osim toga, obveza voditelja obrade da provjeri postoje li „dostatna jamstva” (pod)izvršitelja obrade trebala bi se primjenjivati bez obzira na rizik za prava i slobode ispitanika, iako opseg takve provjere može varirati, posebno na temelju rizika povezanih s obradom. U Mišljenju se također navodi da, iako bi prvotni izvršitelj obrade trebao osigurati da predloži podizvršitelje obrade s dostatnim jamstvima, konačnu odluku i odgovornost o angažiranju određenog podizvršitelja obrade i dalje donosi voditelj obrade.
Europski odbor za zaštitu podataka smatra da u skladu s Općom uredbom o zaštiti podataka voditelj obrade nije dužan sustavno tražiti da se ugovorima o podobradi provjerava jesu li obveze zaštite podataka prenesene niz lanac obrade. Voditelj obrade trebao bi procijeniti je li potrebno zatražiti kopiju takvih ugovora ili ih preispitati kako bi mogao dokazati usklađenost s Općom uredbom o zaštiti podataka.
Osim toga, ako se prijenosi osobnih podataka izvan Europskog gospodarskog prostora odvijaju između dva (pod)izvršitelja obrade, izvršitelj obrade kao izvoznik podataka trebao bi pripremiti relevantnu dokumentaciju, kao što je ona koja se odnosi na upotrijebljenu osnovu prijenosa, procjenu učinka prijenosa i moguće dopunske mjere. Međutim, budući da voditelj obrade i dalje podliježe obvezama koje proizlaze iz članka 28. stavka 1. Opće uredbe o zaštiti podataka o „dostatnim jamstvima”, osim onih iz članka 44. kako bi se osiguralo da se prijenosima osobnih podataka ne ugrozi razina zaštite, trebao bi procijeniti tu dokumentaciju i moći je pokazati nadležnom tijelu za zaštitu podataka.
Nadalje, Odbor je usvojio Izjavu nakon izmjena koje su Europski parlament i Vijeće unijeli u Komisijin Prijedlog uredbe o utvrđivanju dodatnih postupovnih pravila u vezi s provedbom OUZP-a.
U Izjavi se općenito pozdravljaju izmjene koje su uveli Europski parlament i Vijeće te se preporučuje daljnje razmatranje posebnih elemenata kako bi se novom uredbom ostvarili ciljevi pojednostavnjenja suradnje među tijelima i poboljšanja provedbe Opće uredbe o zaštiti podataka.
U Izjavi se navode praktične preporuke koje se mogu upotrijebiti u kontekstu predstojećih trijaloga. Konkretno, EDPB ponovno ističe potrebu za pravnom osnovom i usklađenim postupkom za sporazumna rješenja te daje preporuke kako bi se osiguralo da se konsenzus o sažetku ključnih pitanja postigne na najučinkovitiji način. Odbor pozdravlja i uključivanje dodatnih rokova te podsjeća da oni moraju biti realistični i potiče suzakonodavce da uklone odredbe povezane s relevantnim i obrazloženim prigovorima i „obrazloženjem” u postupku rješavanja sporova.
Iako se u Izjavi pozdravlja cilj postizanja veće transparentnosti, uvođenje zajedničkog spisa predmeta, kako je predložio Europski parlament, zahtijevalo bi složene promjene sustava upravljanja dokumentima i komunikacijskih sustava koji se upotrebljavaju na europskoj i nacionalnoj razini. Trebalo bi pažljivo procijeniti tehnička rješenja za njegovu provedbu i dodatno pojasniti načine za odobravanje pristupa tim rješenjima.
Europski odbor za zaštitu podataka pozdravlja izmjenu Vijeća kojom se vodećem tijelu za zaštitu podataka omogućuje da se izuzme iz takozvane pojačane suradnje u jednostavnim slučajevima, ali ističe potrebu za dodatnim pojašnjenjem područja primjene tog izuzeća.
Predsjednica Europskog odbora za zaštitu podataka Anu Talus izjavila je: „Nacrtom uredbe mogla bi se znatno pojednostavniti provedba Opće uredbe o zaštiti podataka povećanjem učinkovitosti rješavanja predmeta. Potrebna je veća usklađenost na razini EU-a kako bi se u najvećoj mogućoj mjeri povećala učinkovitost mehanizama suradnje i konzistentnosti iz Opće uredbe o zaštiti podataka.”
Naposljetku, Odbor je donio svoj program rada za razdoblje 2024.-2025. To je prvi od dva programa rada kojima će se provesti strategija EDPB-a za razdoblje 2024.-2027. donesena u travnju 2024. Temelji se na prioritetima utvrđenima u strategiji Europskog odbora za zaštitu podataka i uzima u obzir potrebe koje su utvrđene kao najvažnije za dionike.
