Početna Blog EDPB: međudjelovanje prava tržišnog natjecanja i zaštite podataka

EDPB: međudjelovanje prava tržišnog natjecanja i zaštite podataka

Svi članci
30.01.2025.

Tijekom svog plenarnog sastanka u siječnju 2025. Europski odbor za zaštitu podataka je, između ostaloga, usvojio Izjavu o međudjelovanju prava tržišnog natjecanja i zaštite podataka.

U ovom dokumentu EDPB objašnjava kako zaštita podataka i pravo tržišnog natjecanja moraju biti u interakciji, predlažući korake za uključivanje tržišnih čimbenika i čimbenika tržišnog natjecanja u prakse zaštite podataka, ali i za pravila o zaštiti podataka koja se trebaju uzeti u obzir u procjenama tržišnog natjecanja.

Također daje preporuke za poboljšanje suradnje između regulatora – na primjer, vlasti bi trebale razmotriti stvaranje jedinstvene kontaktne točke za koordinaciju odnosa s drugim regulatorima.

To će zahtijevati bolje razumijevanje odnosa između koncepata koji se koriste u zaštiti podataka i pravu tržišnog natjecanja, kako bi se ojačala sposobnost tijela za zaštitu podataka da uzmu u obzir gospodarski kontekst i sposobnost tijela za zaštitu tržišnog natjecanja da uključe potencijalno relevantna razmatranja zaštite podataka u svojim procjenama i odlukama.

Pravo EU-a o zaštiti podataka i pravo tržišnog natjecanja, jasno je, različiti su pravni okviri i pravna područja koja teže različitim ciljevima. Međutim, oni imaju niz potencijalnih zajedničkih karakteristika, kao što je zaštita pojedinaca i njihovih izbora. Dok politika zaštite podataka ima za cilj zaštititi pojedince od bilo kakve nezakonite ili nepoštene obrade njihovih osobnih podataka, politika tržišnog natjecanja ima za cilj zajamčiti uvjete za slobodno i nenarušeno tržišno natjecanje između tvrtki na relevantnim tržištima u interesu potrošača, promicanjem inovativnosti, raznolikosti ponude i atraktivne cijene. Ovaj cilj zaštite pojedinaca u njihovoj ulozi potrošača prema zakonu o tržišnom natjecanju izražen je u zabrani kartela, zlouporabe dominantnog položaja i suprotstavljanja spajanjima koja ugrožavaju tržišno natjecanje, što bez intervencije može dovesti do štete za potrošače, u obliku viših cijena, manjeg izbora ili niže kvalitete i inovacija. Jačanje veze između zaštite osobnih podataka i tržišnog natjecanja može pridonijeti zaštiti pojedinaca i dobrobiti potrošača jačanjem zajedničkog razmatranja poštivanja njihovih temeljnih prava i pravilnog funkcioniranja konkurentnih tržišta. Stoga bi se činilo korisnim ojačati suradnju između tijela za zaštitu podataka i tržišnog natjecanja, posebno u onim slučajevima u kojima postoji jasno raskrižje između primjene prava tržišnog natjecanja i primjene pravila o zaštiti podataka. Tako povećana suradnja između tijela mogla omogućiti poboljšanje dosljednosti i učinkovitosti u njihovim radnjama, u korist pojedinaca i subjekata koji moraju poštivati ​​zakonske zahtjeve u oba područja.

Evolucija zaštite podataka uz razvojem digitalnog gospodarstva

Digitalno gospodarstvo stavilo je osobne podatke u središte mnogih poslovnih modela. Zbog toga je zaštita podataka u nekim slučajevima postala važan parametar tržišnog natjecanja. Istodobno, regulativa EU-a o zaštiti podataka ima za cilj spriječiti nezakonitu i nepoštenu obradu osobnih podataka, uključujući i slučaj neravnoteže moći između voditelja obrade podataka i pojedinca čiji se osobni podaci prikupljaju. U dokumentu "Notice on the definition of the relevant market" Komisija priznaje da prilikom definiranja mjerodavnog tržišta zaštita privatnosti i osobnih podataka koji se nude potrošačima može biti jedan od parametara tržišnog natjecanja koji treba uzeti u obzir. Drugim riječima, privatnost se smatra jednim od parametara posebno “u ocjeni digitalnih i tehnoloških spajanja”.

Konkurentno tržište može biti odlučujući i olakšavajući čimbenik u stvaranju okolnosti za mogućnosti zaštite privatnosti. Ako potrošač ima različite opcije na tržištu, to može potaknuti minimiziranje količine prikupljenih osobnih podataka ili izbjeći masovne kombinacije i upotrebe osobnih podataka iz različitih izvora koje su štetne za korisnike.

Moguće je i obrnuto. Ovo je slučaj sa strategijama isključivanja, koje ograničavaju broj igrača na tržištu i tako mogu umjetno utjecati na broj rješenja koja štite privatnost. Nedostatak komercijalnih alternativa može navesti korisnike da se odluče za proizvode koji manje štite privatnost. U digitalnom sektoru ponašanje tvrtki u dominantnom položaju može izazvati pitanja o ulozi obrade osobnih podataka u jačanju i iskorištavanju tog položaja.

Prednosti koje proizlaze iz kombinacije i uzajamne upotrebe osobnih podataka iz različitih izvora „gatekeepersa” na digitalnim tržištima i rizici koje takve prednosti predstavljaju za poštenje i konkurentnost takvih tržišta istaknuti su zabranama u članku 5. stavku 2. DMA.

Zaštita pojedinaca i njihovo donošenje odluka

U presudi Bundeskartellamt, CJEU je pojasnio ulogu dominantnog položaja u kontekstu valjanosti privole prema GDPR-u. Kao takav, dominantan položaj ne znači sustavno da je pristanak nevažeći. Ipak, potrebni su određeni uvjeti kako bi se osigurala valjanost privole jer dominantan položaj može utjecati na "slobodu izbora tog korisnika, koji možda neće moći odbiti ili povući privolu bez štete" i "može stvoriti jasnu neravnotežu ( ...) između ispitanika i voditelja obrade”. Na primjer, „tamo gdje postoji jasna neravnoteža moći, privola se može koristiti samo u 'iznimnim okolnostima' i kada voditelj obrade, u skladu s načelom odgovornosti, može dokazati da nema štetnih posljedica za ispitanike ako ne pristanu, osobito ako se ispitanicima ponudi alternativa koja nema nikakav negativan učinak”, uključujući mogućnost diskriminacije ili društvene isključenosti, posebno u slučajevima kada digitalne usluge imaju istaknutu ulogu, ili presudni su za sudjelovanje pojedinaca u društvenom životu ili pristup profesionalnim mrežama. Dominacija bi stoga mogla biti korisna za utvrđivanje kada voditelj obrade podataka može utjecati na korisnike. Međutim, ovaj koncept nije sam po sebi dovoljan za procjenu valjanosti privole prema GDPR-u ali je koristan u široj procjeni neravnoteže moći prema GDPR-u. Štoviše, voditelj obrade ne mora imati „dominantan položaj” u smislu članka 102. UFEU-a da bi se njegov položaj na tržištu smatrao relevantnim za provedbu GDPR-a.

Zakonitost: primjena slučaja Meta u okviru GDPR-a

U svojoj presudi CJEU je presudio da, kada tijela za zaštitu tržišnog natjecanja procjenjuju zlorabi li poduzeće svoj vladajući položaj u smislu članka 102. Ugovora o Funkcioniranju Europske unije (TFEU), podložno ispunjavanju njihovih dužnosti iskrene suradnje s nadzornim tijelima za zaštitu podataka, mogu procijeniti jesu li opći uvjeti korištenja poduzeća koji se odnose na obradu osobnih podataka i njihova provedba u skladu s GDPR-om.

Međutim, ocjene tijela nadležnih za zaštitu tržišnog natjecanja o usklađenosti općih uvjeta korištenja s GDPR-om u svrhu članka 102. TFEU-a ne mogu zamijeniti ocjenu nadležnog tijela za zaštitu podataka, posebno vodećeg nadzornog tijela u slučaju prekogranične obrade unutar Europske unije.

Suradnja tijela za zaštitu osobnih podataka i onih za zaštitu tržišnog natjecanja su nekada obvezna!

Na temelju članka 4. stavka 3. Ugovora o Europskoj uniji, CJEU je smatrao da su različita uključena nacionalna tijela vezana obvezom iskrene suradnje i da su tijela za tržišno natjecanje dužna konzultirati se i surađivati ​​s DPA-ima kada su pozvani, u izvršavanju svojih ovlasti, ispitati je li ponašanje poduzeća u skladu s odredbama GDPR-a. Stoga je, u skladu s presudom CJEU-a, suradnja između regulatornih tijela u nekim slučajevima obvezna a ne izborna.

Prema ustaljenoj sudskoj praksi Suda, načelo iskrene suradnje sadržano u članku 4. stavku 3. UEU-a podrazumijeva da, u regulatornim područjima obuhvaćenim pravom EU-a, Europska unija i države članice, uključujući njihova upravna tijela, moraju, uz puno uzajamno poštovanje, pomagati jedni drugima u obavljanju svojih zadaća koje proizlaze iz Ugovora. Konkretno, države članice moraju poduzeti sve odgovarajuće mjere kako bi ispunile svoje obveze koje proizlaze iz prava EU-a i suzdržati se od poduzimanja bilo kakvih mjera koje bi mogle ugroziti postizanje ciljeva prava EU-a.

Presuda CJEU-a stvara važan poticaj vlastima da usmjere svoju suradnju i dogovore se o praktičnim načinima savjetovanja jednih i drugih.

Primjer jačanja razmatranja zaštite podataka

Nadovezujući se na praksu kao što je ona u predmetu Digital Clearinghousea, a koju je uspostavio EDPS (+ njegova ranija mišljenja o potrebi dosljedne provedbe), EDPB je 2020. objavio izjavu o implikacijama spajanja društava na privatnost, a koja naglašava rizik daljnje kombinacije i gomilanja osjetljivih osobnih podataka neke velike tehnološke tvrtke/ društva. EDPB podsjeća da je „ključno procijeniti dugoročne implikacije za zaštitu gospodarstva, zaštitu podataka i prava potrošača kad god se predlaže značajno spajanje”. Također se navodi da će  se "implikacije koje spajanje može imati za zaštitu osobnih podataka u Europskom gospodarskom prostoru" razmotriti i u tom predmetnom slučaju. S obzirom na mogući učinak zaštite podataka u EU-u u procjenama koncentracija moći, povećana suradnja između tijela za zaštitu tržišnog natjecanja i podataka - uključujući na razini EU-a - mogla bi pomoći regulatorima da budu bolje informirani o potencijalnim problemima s osobnim podacima.

EDPB je ispitao pitanje suradnje između tijela, npr. slušanjem stručnjaka iz ovog područja i pokretanjem ankete kako bismo saznali kako različita tijela međusobno surađuju. Iz toga je EDPB stekao sljedeći uvid: dobra suradnja između tijela promiče koherentnost i sinergiju između odluka donesenih u pitanjima tržišnog natjecanja i zaštite podataka. To ne koristi samo pojedincima, već i tvrtkama poboljšavajući razumijevanje načina na koji se regulatorni okviri primjenjuju. Štoviše, kako se zakonodavstvo i sudska praksa u dva pravna područja razvijaju, potreba za suradnjom između dotičnih nadležnih tijela može se čak povećati.

Postojeći modeli suradnje unutar država članica EU-a

Trenutačni stupanj suradnje između tijela ovisi i o pravnom okviru i o drugim elementima, kao što je primjerice stupanj međusobnog povjerenja između tijela. Stupanj suradnje znatno varira među državama članicama i nije usklađen s pravom EU-a. EDPB je proveo analizu postojećih modela suradnje u državama članicama EU-a u rujnu 2023. Na temelju istraživanja zaključeno je:

A. U nekim državama članicama ne postoji posebna zakonska odredba (propis) koja nalaže ili omogućuje suradnju između Agencije za zaštitu podataka i Agencije za zaštitu tržišnog natjecanja te nema redovite i strukturirane suradnje na dobrovoljnoj osnovi. Suradnja se odvija neformalno putem ad hoc konzultacija, npr. u kontekstu administrativnih postupaka ili sektorskih upita ili povremenih zajedničkih projekata u područjima preklapajućih regulatornih nadležnosti ili izrade dokumenata o politici.

B. Suradnja se također može odvijati bez posebne pravne osnove u nacionalnom pravu putem dogovora za redovitu, koordiniranu i strukturiranu suradnju. Suradnja se može utvrditi u zajednički izrađenim protokolima o suradnji, zajedničkim izjavama ili memorandumima o razumijevanju (MoU). Takvi dogovori, koji nisu nužno pravno obvezujući, detaljno navode modalitete poput zajedničkih radionica, obuka, događaja, redovitih sastanaka i razmjene najboljih praksi.

C. U nekim državama članicama postoje izričiti pravni zahtjevi koji uređuju suradnju. Konkretni oblik suradnje varira ovisno o pojedinom slučaju. Rezultati ove vrste suradnje obično su mišljenja o slučajevima na zahtjev drugog tijela.

D. Najviša razina formalizirane ili strukturirane suradnje nalazi se u državama članicama u kojima postoje i pravni zahtjevi i praktični aranžmani za suradnju među tijelima. Čak i minimalna razina formalizirane suradnje omogućuje tijelima da surađuju kroz povremene kontakte o određenim pitanjima. U određenim okolnostima mogu postojati slučajevi u kojima su ta tijela obvezna surađivati ​​zbog načela iskrene suradnje.

Načini poboljšanja suradnje

Može se pokazati korisnim da vlasti uče jedna od druge, identificiraju pitanja od zajedničkog interesa i moguća područja međusobnog djelovanja bez obzira na ad hoc konzultacije; minimiziraju prepreke suradnji i zajednički razvijaju strateške akcije. U tu svrhu mogu se dogovoriti radionice, neformalni ili redoviti sastanci ili posebne stručne radne skupine u okviru suradnje, npr. administrativne sporazume, zajedničke deklaracije ili memorandume. Ovi instrumenti također mogu utvrditi ključna načela, metode i pravila suradnje između tijela (npr. s obzirom na oblik komunikacije koji će se koristiti, rokove koje treba poštovati za odgovore - uključujući sve relevantne prigovore - zajedničke smjernice, političke preporuke itd.), kao i razmatranje odluka i kazni koje je prethodno izreklo pojedino tijelo. Spomenuti ugovori također mogu određivati ​​koliko se informacija dijeli, što se može razmjenjivati ​​(npr. osobni podaci) i koji se stupanj koordinacije o određenoj temi očekuje između regulatornih tijela. Uzimajući u obzir ustavni i upravni okvir u relevantnoj državi članici, nacionalni zakonodavac i/ili vlada također bi trebali biti svjesni potrebe da regulatorna tijela surađuju pogotovo u digitalnom sektoru. To bi moglo biti važno i kako bi se osiguralo da vlastima budu dostavljeni potrebni alati i resursi za učinkovitu suradnju te kako bi se odgovorilo na zakonske zahtjeve koji bi mogli spriječiti tijela da dijele informacije i time učinkovito surađuju tijekom istraga. Unutar regulatornih tijela, interne mjere kao što je uspostava namjenskog tima za koordinaciju zadataka suradnje i djelovanje kao jedinstvena kontaktna točka za druga tijela, mogle bi promicati suradnju s drugim nadzornim tijelima. Također bi se moglo pokazati korisnim ako kontaktna točka ima redovitu obuku o relevantnom pravnom okruženju i povezanom pravnom razvoju suradnje općenito te sudjeluje u odgovarajućim radnim skupinama ili mrežama.

Dodatno, s ciljem osiguranja učinkovite suradnje, vlasti bi trebale razviti osnovno razumijevanje i poznavanje regulatornog okvira koji nadziru njihove kolege u različitim pravnim područjima. Na primjer, prije ulaska u rasprave s tijelom nadležnim za tržišno natjecanje o određenom pitanju, bilo bi korisno da tijela za zaštitu podataka imaju preliminarno razumijevanje koncepta relevantnog tržišta općenito, zauzimaju li određeni subjekti na tom tržištu (ili mogu zauzimati) dominantan položaj, itd.

Što dalje misli EDPB...

Uspostavljanje protokola suradnje između različitih nadležnih tijela pod obvezom iskrene suradnje može biti najučinkovitiji način da se osiguraju uzajamna savjetovanja u pravom opsegu i u odgovarajuće vrijeme. To također može pomoći u izbjegavanju slučajeva kada dva nadležna tijela odluče nametnuti sankcije protiv istog subjekta za isto ponašanje prema dva ili više zasebnih pravnih okvira.

Naposljetku, također bi se mogle provoditi zajedničke sektorske istrage ili druge zajedničke istrage, u mjeri u kojoj je to moguće i u skladu s relevantnim pravnim okvirom, kao pojačaniji oblik suradnje među tijelima.

Zaključak

EDPB smatra i ističe kako promicanje sinergije između regulatornih tijela zaštite osobnih podataka i tijela za tržišno natjecanje može poboljšati sposobnost oba sustava da zaštite ispitanike i korisnike. Zapravo, kako se poslovni modeli tvrtki razvijaju, osobni podaci i pravila primjenjiva na njihovu obradu postaju sve bitniji. Stoga je preporuka EDPB-a razmotriti načine povećanja koherentnosti odvojenih, ali međusobno povezanih propisa, imajući na umu učinke njihove nekoherentne primjene na individualnoj i društvenoj razini. Konkretno, to će zahtijevati bolje razumijevanje odnosa između koncepata koji se koriste u zaštiti podataka i pravu tržišnog natjecanja, kako bi se ojačala sposobnost tijela za zaštitu podataka da uzmu u obzir trenutačni gospodarski kontekst i sposobnost tijela za zaštitu tržišnog natjecanja da uključe potencijalno relevantna razmatranja zaštite podataka u svoje procjene i odluke.

Za očekivati je, zaključno svemu, da nas svakako očekuje vrijeme u kojem će sva regulatorna tijela međusobno u još većoj mjeri surađivati, posebno tijela nadležna za zaštitu osobnih podataka i ona koja su zadužena za zaštitu tržišnog natjecanja. Zasigurno ni RH neće biti izuzeta od ove prakse.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.