16. siječnja 2025. – na plenarnoj sjednici Europskog odbora za zaštitu podataka (EDPB) koja je vođena iz Zagreba, pod predsjedanjem potpredsjednika Europskog odbora za zaštitu podataka i ravnatelja Agencije za zaštitu osobnih podataka Zdravka Vukića, Europski odbor za zaštitu podataka usvojio je Smjernice o pseudonimizaciji, kao i izjavu o međudjelovanju prava tržišnog natjecanja i zaštite podataka.
Potpredsjednik Europskog odbora za zaštitu podataka Zdravko Vukić izjavio je: “S razvojem poslovnih modela potreba za zaštitom osobnih podataka postaje sve važnija. Europski odbor za zaštitu podataka promiče usklađenost među zasebnim, ali međusobno povezanim područjima regulacije kako bi se osigurala najbolja moguća zaštita pojedinaca. U tu ćemo svrhu nastaviti surađivati s tijelima nadležnima za tržišno natjecanje kako bismo ojačali sposobnost tijela za zaštitu podataka da uzmu u obzir gospodarski kontekst i sposobnost tijela za tržišno natjecanje da u svoje procjene i odluke uključe pitanja zaštite podataka.”
Općom uredbom o zaštiti podataka uvodi se pojam „pseudonimizacija”* i upućuje na njega kao na zaštitnu mjeru koja može biti primjerena i učinkovita za ispunjavanje obveza u pogledu zaštite podataka. EDPB u svojim smjernicama pojašnjava definiciju i primjenjivost pseudonimizacije i pseudonimiziranih podataka te prednosti pseudonimizacije.
Smjernice sadržavaju dva važna pravna pojašnjenja:
1. Pseudonimizirani podaci koji bi se mogli pripisati pojedincu upotrebom dodatnih informacija ostaju informacije povezane s fizičkom osobom čiji se identitet može utvrditi te su stoga i dalje osobni podaci. Naime, ako voditelj obrade podataka ili netko drugi može povezati podatke s pojedincem, oni ostaju osobni podaci.
2. Pseudonimizacija može smanjiti rizike i olakšati upotrebu legitimnih interesa kao pravne osnove (članak 6. stavak 1. točka (f) Opće uredbe o zaštiti podataka), pod uvjetom da su ispunjeni svi ostali zahtjevi Opće uredbe o zaštiti podataka. Isto tako, pseudonimizacija može pomoći u osiguravanju usklađenosti s izvornom svrhom (članak 6. stavak 4. Opće uredbe o zaštiti podataka).
U smjernicama se objašnjava i kako pseudonimizacija može pomoći organizacijama da ispune svoje obveze koje se odnose na provedbu načela zaštite podataka (članak 5. Opće uredbe o zaštiti podataka), tehničku i integriranu zaštitu podataka (članak 25. Opće uredbe o zaštiti podataka) i sigurnost (članak 32. Opće uredbe o zaštiti podataka).
Naposljetku, u smjernicama se analiziraju tehničke mjere i zaštitne mjere pri primjeni pseudonimizacije kako bi se osigurala povjerljivost i spriječila neovlaštena identifikacija pojedinaca.
Smjernice će biti predmet javnog savjetovanja do 28. veljače 2025.
Tijekom plenarne sjednice Europski odbor za zaštitu podataka usvojio je i dokument o stajalištu o međudjelovanju prava o zaštiti podataka i prava tržišnog natjecanja.
U presudi Suda EU-a Meta protiv Bundeskartellamta od 4. srpnja 2023. jasno je navedeno da tijela za zaštitu podataka i tijela nadležna za tržišno natjecanje moraju surađivati, u nekim slučajevima, kako bi se postigla učinkovita i koordinirana provedba prava o zaštiti podataka i tržišnom natjecanju.
Iako je riječ o zasebnim pravnim područjima kojima se nastoje ostvariti različiti ciljevi u različitim okvirima, u nekim se slučajevima mogu primjenjivati na iste subjekte. Stoga je važno procijeniti situacije u kojima se zakoni mogu preklapati.
U predmetnom dokumentu Europski odbor za zaštitu podataka objašnjava međudjelovanje zaštite podataka i prava tržišnog natjecanja. U njemu se predlažu koraci za uključivanje čimbenika tržišta i tržišnog natjecanja u prakse zaštite podataka te za razmatranje pravila o zaštiti podataka u procjenama tržišnog natjecanja. U njemu se navode i preporuke za poboljšanje suradnje među regulatornim tijelima, primjerice nadležna tijela trebala bi razmotriti uspostavu jedinstvene kontaktne točke za upravljanje koordinacijom s drugim regulatornim tijelima.
*„Pseudonimizacija” je u članku 4. stavku 5. Opće uredbe o zaštiti podataka definirana kao „obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi”.
