Bruxelles, 9. listopada – Europski odbor za zaštitu podataka (EDPB) na svojoj je posljednjoj plenarnoj sjednici donio mišljenje o određenim obvezama koje proizlaze iz oslanjanja na izvršitelje i podizvršitelje obrade, smjernice o legitimnom interesu, izjavu o utvrđivanju dodatnih postupovnih pravila za provedbu Opće uredbe o zaštiti podataka i program rada EDPB-a za razdoblje 2024. 2025.
Prvo, Europski odbor za zaštitu podataka donio je mišljenje o određenim obvezama koje proizlaze iz oslanjanja na izvršitelje i podizvršitelje obrade na temelju zahtjeva danskog tijela za zaštitu podataka upućenog Odboru u skladu s člankom 64. stavkom 2. Opće uredbe o zaštiti podataka. Člankom 64. stavkom 2. Opće uredbe o zaštiti podataka predviđa se da svako tijelo za zaštitu podataka može zatražiti od Odbora da izda mišljenje o pitanjima opće primjene ili s učincima u više država članica.
Mišljenje se odnosi na situacije u kojima se voditelji obrade oslanjaju na jednog ili više izvršitelja i podizvršitelja obrade. Konkretno, bavi se osam pitanja o tumačenju određenih dužnosti voditelja obrade koji se oslanjaju na izvršitelje i podizvršitelje obrade, kao i tekstom ugovora između voditelja obrade i izvršitelja obrade, koja osobito proizlaze iz članka 28. Opće uredbe o zaštiti podataka.
U Mišljenju se objašnjava da bi voditelji obrade trebali u svakom trenutku imati lako dostupne informacije o identitetu (tj. ime, adresu, osobu za kontakt) svih izvršitelja obrade, podizvršitelja obrade itd. kako bi mogli najbolje ispuniti svoje obveze u skladu s člankom 28. Opće uredbe o zaštiti podataka. Osim toga, obveza voditelja obrade da provjeri postoje li (pod)izvršitelji obrade „dostatna jamstva” trebala bi se primjenjivati bez obzira na rizik za prava i slobode ispitanika, iako opseg takve provjere može varirati, posebno na temelju rizika povezanih s obradom.
U Mišljenju se također navodi da, iako bi prvotni izvršitelj obrade trebao osigurati da predloži podizvršitelje obrade s dostatnim jamstvima, konačnu odluku i odgovornost o angažiranju određenog podizvršitelja obrade i dalje donosi voditelj obrade.
Europski odbor za zaštitu podataka smatra da u skladu s Općom uredbom o zaštiti podataka voditelj obrade nije dužan sustavno tražiti da se ugovorima o podobradi provjerava jesu li obveze zaštite podataka prenesene niz lanac obrade. Voditelj obrade trebao bi procijeniti je li potrebno zatražiti kopiju takvih ugovora ili ih preispitati kako bi mogao dokazati usklađenost s Općom uredbom o zaštiti podataka.
Osim toga, ako se prijenosi osobnih podataka izvan Europskog gospodarskog prostora odvijaju između dvaju (pod)izvršitelja obrade, izvršitelj obrade kao izvoznik podataka trebao bi pripremiti relevantnu dokumentaciju, kao što je ona koja se odnosi na upotrijebljenu osnovu prijenosa, procjenu učinka prijenosa i moguće dopunske mjere. Međutim, budući da voditelj obrade i dalje podliježe obvezama koje proizlaze iz članka 28. stavka 1. Opće uredbe o zaštiti podataka o „dostatnim jamstvima”, osim onih iz članka 44. kako bi se osiguralo da se prijenosom osobnih podataka ne ugrozi razina zaštite, trebao bi procijeniti tu dokumentaciju i moći je pokazati nadležnom tijelu za zaštitu podataka.
Nadalje, Odbor je donio Smjernice o obradi osobnih podataka na temelju legitimnog interesa.
Voditeljima obrade podataka potrebna je pravna osnova za zakonitu obradu osobnih podataka. Legitimni interes jedna je od šest mogućih pravnih osnova.
U ovim se Smjernicama analiziraju kriteriji utvrđeni u članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka koje voditelji obrade moraju ispuniti kako bi zakonito obrađivali osobne podatke na temelju legitimnog interesa. U obzir se uzima i nedavna presuda Suda Europske unije o tom pitanju (C-621/22, 4. listopada 2024.).
Kako bi se mogao osloniti na legitimni interes, voditelj obrade mora ispuniti tri kumulativna uvjeta:
- ostvarivanje legitimnog interesa voditelja obrade ili treće strane;
- nužnost obrade osobnih podataka u svrhu ostvarivanja legitimnog interesa;
- Interesi ili temeljne slobode i prava pojedinaca nemaju prednost pred legitimnim interesima voditelja obrade ili treće strane (izvršavanje ravnoteže).
Prije svega, legitimnima se mogu smatrati samo zakoniti, jasno i precizno formulirani, stvarni i sadašnji interesi. Na primjer, takvi legitimni interesi mogli bi postojati u situaciji u kojoj je pojedinac klijent ili u službi voditelja obrade.
Kao drugo, ako postoje razumne, jednako učinkovite, ali manje nametljive alternative za postizanje željenih interesa, obrada se ne može smatrati nužnom. Nužnost obrade također bi trebalo ispitati u skladu s načelom smanjenja količine podataka.
Kao treće, voditelj obrade mora osigurati da njegov legitimni interes ne prevladava nad interesima pojedinca, temeljnim pravima sloboda. Pri tom odvagivanju voditelj obrade mora uzeti u obzir interese pojedinaca, učinak obrade i njihova razumna očekivanja, kao i postojanje dodatnih zaštitnih mjera kojima bi se mogao ograničiti učinak na pojedinca.
Osim toga, u ovim se Smjernicama objašnjava kako bi se ta procjena trebala provoditi u praksi, među ostalim u nizu posebnih konteksta kao što su sprečavanje prijevara, izravni marketing i informacijska sigurnost. U dokumentu se objašnjava i odnos između te pravne osnove i niza prava ispitanika u skladu s Općom uredbom o zaštiti podataka.
Smjernice će biti predmet javnog savjetovanja do 20. studenoga 2024.
Nadalje, Odbor je donio izjavu nakon izmjena koje su Europski parlament i Vijeće unijeli u Komisijin Prijedlog uredbe o utvrđivanju dodatnih postupovnih pravila u vezi s provedbom OUZP-a.
U Izjavi se općenito pozdravljaju izmjene koje su uveli Europski parlament i Vijeće te se preporučuje daljnje razmatranje posebnih elemenata kako bi se novom uredbom ostvarili ciljevi pojednostavnjenja suradnje među tijelima i poboljšanja provedbe Opće uredbe o zaštiti podataka.
U Izjavi se navode praktične preporuke koje se mogu upotrijebiti u kontekstu predstojećih trijaloga. Konkretno, EDPB ponovno ističe potrebu za pravnom osnovom i usklađenim postupkom za sporazumna rješenja te daje preporuke kako bi se osiguralo da se konsenzus o sažetku ključnih pitanja postigne na najučinkovitiji način. Odbor pozdravlja i uključivanje dodatnih rokova te podsjeća da oni moraju biti realistični i potiče suzakonodavce da uklone odredbe povezane s relevantnim i obrazloženim prigovorima i „obrazloženjem” u postupku rješavanja sporova.
Iako se u Izjavi pozdravlja cilj postizanja veće transparentnosti, uvođenje zajedničkog spisa predmeta, kako je predložio Europski parlament, zahtijevalo bi složene promjene sustava upravljanja dokumentima i komunikacijskih sustava koji se upotrebljavaju na europskoj i nacionalnoj razini. Trebalo bi pažljivo procijeniti tehnička rješenja za njegovu provedbu i dodatno pojasniti načine za odobravanje pristupa tim rješenjima.
Europski odbor za zaštitu podataka pozdravlja izmjenu Vijeća kojom se vodećem tijelu za zaštitu podataka omogućuje da se izuzme iz takozvane pojačane suradnje u jednostavnim i jednostavnim slučajevima, ali ističe potrebu za dodatnim pojašnjenjem područja primjene tog izuzeća.
Predsjednik Europskog odbora za zaštitu podataka Anu Talus izjavio je: „Nacrtom uredbe mogla bi se znatno pojednostavniti provedba Opće uredbe o zaštiti podataka povećanjem učinkovitosti rješavanja predmeta. Potrebna je veća usklađenost na razini EU-a kako bi se u najvećoj mogućoj mjeri povećala učinkovitost mehanizama suradnje i konzistentnosti iz Opće uredbe o zaštiti podataka.”
Na posljednjoj plenarnoj sjednici Odbor je donio svoj program rada za razdoblje 2024. 2025. To je prvi od dva programa rada kojima će se provesti strategija EDPB-a za razdoblje 2024. 2027. donesena u travnju 2024. Temelji se na prioritetima utvrđenima u strategiji Europskog odbora za zaštitu podataka i uzima u obzir potrebe koje su utvrđene kao najvažnije za dionike.
Naposljetku, članovi EDPB-a složili su se da će kosovskoj Agenciji za informacije i privatnost (Kosovansko tijelo za zaštitu podataka) dodijeliti status promatrača u aktivnostima EDPB-a, u skladu s člankom 8. Poslovnika EDPB-a.
Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika. Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.