Prema Europi zaštite podataka: put je dug.

Pravni nadzor br. 36 – Lipanj 2021.

Prema Europi zaštite podataka: put je dugOpća uredba o zaštiti podataka pobudila je mnoge nade u pogledu jasnoće i učinkovitosti kada je stupila na snagu.

Iako je europska direktiva koju je zamijenila već pružala relativno precizan i obvezujući pravni okvir, GDPR je imao za cilj omogućiti usklađenu provedbu tih načela, gdje god se dotične tvrtke nalaze u Europskoj uniji.

Nadzorna tijela su također morala procijeniti primjenjive sankcije, revidirane naviše, koristeći koherentnu mrežu za analizu.

Zapravo, čini se da postoje mnoge zamke koje još uvijek ograničavaju ovo dugo očekivano usklađivanje.

Njemački povjerenik Johannes Caspar, koji završava svoj mandat nakon dvanaest godina na čelu državnog nadzornog tijela u Hamburgu, ustraje i ovog lipnja potpisuje osuđujući nedostatke u provedbi GDPR-a.

Uzrok su dugi i složeni postupci prije nego što sva tijela koja se sastaju u okviru Europskog odbora za zaštitu podataka (EDPB) uspiju pronaći zajednički stav.

GDPR je uspostavio takozvani postupak „sve na jednom mjestu“, koji predviđa nadležnost vodećeg tijela, odnosno tijela zemlje glavnog sjedišta tvrtke na koju se istraga odnosi.

Ovo vodeće tijelo ipak mora surađivati s drugim uključenim nacionalnim tijelima u različitim fazama postupka.

U praksi postoji centralizacija istraga pod irskim tijelom, koje je nadležno za vođenje većine slučajeva protiv GAFAM-a osnovanog na njegovom teritoriju. Navodno je u tijeku dvadeset osam postupaka s navedenim tijelom, koje je kritizirano zbog sporih i blagih postupaka u vezi s velikim tehnološkim tvrtkama poput Facebooka i Twittera, što navodno dovodi do dugih i teških rasprava s njegovim kolegama unutar EDPS-a.

Povjerenik Hamburške uprave poziva nadzorna tijela da pravovremeno daju jasne i odvraćajuće signale kako bi se kontrolori podataka pridržavali propisa na sličan način gdje god se nalazili u Europskoj uniji, i bez narušavanja tržišnog natjecanja.

Treba napomenuti da je sam Odbor utvrdio ovo pitanje u svom godišnjem izvješću za 2020. godinu te da je poboljšanje suradnje među vlastima jedan od njegovih prioriteta za 2021. – 2022. godinu.

Dodajmo da, iako pati od proceduralne glomaznosti, sustav „sve na jednom mjestu“ ipak ima prednost za svakog građanina Europske unije da može podnijeti pritužbu svom nacionalnom nadzornom tijelu, čak i ako je kontrolor podataka osnovan u drugoj zemlji, pri čemu su nadležna tijela odgovorna za suradnju u rješavanju pritužbe.

Ako podnositelj pritužbe nije zadovoljan ishodom istrage, može tražiti pravnu zaštitu i u svojoj zemlji.

Europski sud pravde također je u presudi od 15. lipnja podsjetio na manevarski prostor tijela koja nisu vodeća tijela u rješavanju prekogranične pritužbe.

U kontekstu spora između Facebooka (sa sjedištem u Irskoj) i belgijskog tijela za zaštitu podataka, Sud je stoga smatrao da belgijsko tijelo, iako nije vodeće tijelo, može pred belgijskim sudovima pokrenuti postupak zbog određenih kršenja GDPR-a od strane Facebooka.

Ti su uvjeti ipak ograničeni na slučajeve koji predstavljaju hitan slučaj (članak 66. GDPR-a) ili na lokalne slučajeve (članak 56.2. GDPR-a). Ova presuda stoga ne označava kraj sustava sveobuhvatnog kontakta, već nastoji odrediti iznimke od njegove primjene. Načelo suradnje između tijela stoga ostaje norma.

I također

Francuska:

Dana 30. lipnja, CNIL je objavio treću verziju svog softvera osmišljenog za olakšavanje analiza utjecaja na privatnost.

Ova nova verzija vodi menadžere u provođenju analize utjecaja i omogućuje razvoj baza znanja paralelnih s onima koje pruža CNIL.

Uži odbor CNIL-a izrekao je tvrtki kaznu od 500.000 eura Bricoprivé za

• Slanje e-poruka s potencijalnim klijentima bez pristanka pojedinaca i nepoštivanje nekoliko drugih obveza iz GDPR-a:
  • Nepoštivanje rokova čuvanja podataka koje je tvrtka sama sebi odredila,
  • Nepoštivanje obveza informiranja i prava na brisanje podataka, te
  • Nedostatak jakih lozinki u pogledu sigurnosti podataka.

CNIL je također primijetio korištenje kolačića bez pristanka korisnika.

Europa:

Europska komisija je 4. lipnja objavila novu verziju standardnih ugovornih klauzula, namijenjenih olakšavanju međunarodnog prijenosa podataka.

Ove klauzule uzimaju u obzir posljedice presude Europskog suda u predmetu Schrems II u vezi s rizicima pristupa podacima od strane vlasti trećih zemalja, posebno u kontekstu nacionalne sigurnosti.

Istovremeno, Europski odbor za zaštitu podataka izdao je 18. lipnja preporuke s ciljem usmjeravanja kontrolora podataka u analizi takvih rizika presretanja podataka i omogućavanja im usvajanja dodatnih zaštitnih mjera.

Umjetna inteligencija:

Europski nadzornik za zaštitu podataka i Europski odbor za zaštitu podataka zajednički su objavili poziv za zabranu korištenja umjetne inteligencije za

• Automatsko prepoznavanje biometrijskih podataka u javnim prostorima,
• Socijalno bodovanje, uključujući putem društvenih medija, i
• Korištenje umjetne inteligencije za prepoznavanje emocionalnog stanja ljudi.

Ovaj stav odražava objavu prijedloga Europske komisije o umjetnoj inteligenciji 21. travnja.

Međunarodni prijenosi podataka:

Europska komisija objavila je svoje preporuke 28. lipnja odluke o adekvatnosti koje se odnose na Ujedinjenu Kraljevinu.

Jedan se odnosi na zahtjeve GDPR-a, a drugi na europsku direktivu o policijskoj obradi podataka.

Novi element je da Komisija ubacuje "klauzula o zalasku sunca" koji ograničava rok važenja odluka na četiri godine.

Odluke se mogu obnoviti ako razina zaštite u Ujedinjenoj Kraljevini i dalje zadovoljava europske zahtjeve.

Područja koja izazivaju zabrinutost uključuju britanske planove za nove sporazume o trgovini i slobodnom protoku podataka s gospodarstvima u nastajanju.

Belgija nalazi se u fokusu Europske komisije koja je pokrenula postupak zbog kršenja GDPR-a u vezi s neovisnošću svog tijela za zaštitu podataka.

Razlog je članstvo nekoliko njegovih članova u vladinim tijelima.

Međunarodno:

Međunarodna koalicija od više od 55 organizacija za zaštitu potrošača, građanskih sloboda i nevladinih organizacija poziva na zabrana oglašavanja temeljenog na praćenju i profiliranju pojedinaca.

Razlog za ovaj stav bilo je izvješće Norveškog vijeća za zaštitu potrošača, koje je otkrilo posljedice nadzornih praksi u komercijalnim stvarima za društvo.

Europska komisija je 16. lipnja pokrenula postupak s ciljem priznavanja adekvatnost zaštite podataka u Južnoj Koreji.

Kineske vlasti su 10. lipnja objavile donošenje zakona o sigurnosti podataka, koji također ima za cilj zaštitu prava i interesa osoba čiji se podaci obrađuju.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.