Europski odbor za zaštitu podataka (EDPB) donio je nove smjernice za primjenu članka 60. s obzirom na činjenicu da broj nacionalnih postupaka koji se odnose na aktivnosti prekogranične obrade podataka raste, a sve je veće oslanjanje na mehanizam suradnje koji uspostavlja Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka). Članak 60. Opće uredbe u svojoj suštini predstavlja osnovu za suradnju vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela po sistemu One Stop Shop, odnosno „sve na jednom mjestu“.
Postupku suradnje mora prethoditi ispunjavanje sljedećih uvjeta: obrada mora biti prekogranična, prema čl. 4. st. 23. Opće uredbe o zaštiti podataka, odnosno obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj ima poslovni nastan u više od jedne države članice ili ako se takva obrada odvija u kontekstu aktivnosti jednog poslovnog nastana, ali bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jeden države članice. EDPB naglašava da se navedeni članak primjenjuje na suradnju nadzornih tijela u svim slučajevima prekogranične obrade, bez obzira na porijeklo predmeta na koji se odnosi. Daljnji uvjeti koje postavlja Opća uredba za zaštitu podataka navode kako je vodeće nadzorno tijelo prvenstveno odgovorno za postupanje, ali nije ovlašteno samostalno donositi odluke u konačnici te da takva suradnja ne utječe na neovisnost nadzornih tijela, koja zadržavaju vlastite diskrecijske ovlasti. Svrha suradnje je postizanje konsenzusa između nadzornih tijela, odnosno ujednačenje primjene pravila o zaštiti podataka kroz dosljedno tumačenje Opće uredbe za zaštitu podataka. Suradnji nadzornih tijela priključuju se i ustanove voditelja ili izvršitelja obrade koje se nalaze na njihovom teritoriju ili su uključene putem pritužbi stanovnika protiv aktivnosti obrade. Naime, ispitanici bi trebali moći jednostavno ostvariti svoja prava vezana uz zaštitu njihovih podataka i žaliti se nadzornom tijelu u mjestu njihova uobičajenog boravišta, koje će ostati kontaktna točka tijekom daljnjeg postupka.
Gledajući prvi stavak, važno je naglasiti da postizanje konsenzusa nadzornih tijela nije njihova obveza, ali nastojanje, korištenjem „ozbiljnog i odlučnog napora“, da se on postigne je sveobuhvatni cilj koji bi trebalo postići uzajamnom razmjenom relevantnih informacija. Takva razmjena informacija, koja je osobito važna ako nadzorna tijela nemaju zajedničke obrade podataka, obvezna je za sva nadzorna tijela, uključujući i vodeće, a informacije bi se trebale dijeliti što je brže moguće. EDPB navodi i mogućnost komuniciranja neformalnim sredstvima. O činjenici koje informacije se smatraju relevantnima, treba voditi računa ovisno o okolnostima konkretnog slučaja.
Drugi stavak proširuje suradnju nadzornih tijela i odnosi se na ulogu vodećeg nadzornog tijela koje može u bilo kojem trenutku od drugih nadzornih tijela zatražiti pružanje uzajamne pomoći u skladu s člankom 61. Opće uredbe i provoditi zajedničke operacije u skladu s člankom 62. Opće uredbe. Taj stavak naglašava dvije faze postupka suradnje u kojoj se navedene uloge koriste, prvo, tijekom faze istrage, prije donošenja konačne odluke i drugo, u fazi provedbe, nakon što je donesena konačna odluka o kojoj je obaviješten voditelj, odnosno izvršitelj obrade.
Treći stavak propisuje da vodeće nadzorno tijelo bez odgađanja obavješćuje o bitnim informacijama u vezi s predmetom, druga predmetna nadzorna tijela. Isto tako, mora bez odgađanja podnijeti nacrt odluke drugim nadzornim tijelima kako bi dali svoje mišljenje i kako bi se uvažila njihova stajališta. Termin „bez odgađanja“ nije pobliže definiran u tekstu Opće uredbe za zaštitu podataka. Prema stajalištu EDPB-a, to ne znači da se mora djelovati doslovno odmah, ali nadzorno tijelo mora djelovati proaktivno, odnosno, što je brže moguće u kontekstu slučaja. Što se tiče uzimanja u obzir mišljenja drugih nadzornih tijela, vodeće nadzorno tijelo dužno je to učiniti, ali nije dužno slijediti svaki izrečeni stav, osobito ako se uzme u obzir da postoje neka kontradiktorna mišljenja.
Stavci 4.-6. članka 60., odnose se na različite scenarije uslijed podnošenja nacrta odluke vodećeg nadzornog tijela i osiguravanja dosljednog pristupa postupku između podnošenja nacrta odluke i pokretanja obvezujućeg učinka u nedostatku relevantnih i obrazloženih prigovora ili pokretanja postupka rješavanja spora. Također, smjernice predviđaju mogućnost da vodeće nadzorno tijelo prilagodi i ponovo podnese nacrt u skladu s čl. 60 st. 4. Opće uredbe o zaštiti podataka, prije isteka razdoblja od četiri tjedna, pod uvjetom da novi čimbenici ili razmatranja opravdavaju takvu prilagodbu. Jedan od ključnih faktora za razumijevanje ovih članka je determiniranje pojmova „relevantnog i obrazloženog prigovora“ koje definira Opća uredba o zaštiti podataka u članku 24. stavku 4. kao prigovore na nacrt odluke te je li došlo do kršenja Uredbe ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, a koji jasno pokazuju važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika. Stavak 5. daje mogućnost vodećem nadzornom tijelu da slijedi takve prigovore podnijete od strane drugih nadzornih tijela, a slijediti takav obrazložen prigovor znači zapravo slijediti ga točno onakvog kakav jest, a to vodi prema postizanju konsenzusa, odnosno ispunjenju svrhe članka 60. U stavku 6. opisuje se završni korak postupka donošenja odluke u kojoj je postignut konsenzus između vodećeg i drugih nadzornih tijela kojeg karakterizira izostanak primjedbi na nacrt odluke. Navedeno rezultira činjenicom da se vodeće i druga nadzorna tijela smatraju suglasnima i da ih predmetna odluka obvezuje. Međutim, ishod određenog postupka suradnje ne može se automatski proširiti na druge postupke, unatoč mogućim sličnostima. Ali, svako nadzorno tijelo doprinosi dosljednosti primjene Opće uredbe o zaštiti podataka tako da može ponovno koristiti tekst i zaključke nacrta odluke dogovorene u prethodnom postupku suradnje, ako smatra da to može olakšati postizanje konsenzusa i u konkretnom slučaju.
Nakon toga, stavci 7.-9. odnose se na različite situacije koje mogu nastati nakon što je nacrt neke odluke postao obvezujuć za vodeće i druga predmetna nadzorna tijela. Pojašnjeno je i koje nadzorno tijelo mora donijeti konačnu nacionalnu odluku na temelju nacrta odluke koja je postala obvezujuća i koje nadzorno tijelo mora obavijestiti voditelja, odnosno izvršitelja obrade ili podnositelja pritužbe. Do poduzimanja navedenih radnji može doći nakon što je zaključen postupak i postignut konsenzus ili nakon što je EDPB zaključio rješavanje spora. Stavak 7. prvenstveno se bazira na radnje vodećeg nadzornog tijela povezane s donošenjem odluke i njenim dostavljanjem u glavni ili jedini poslovni nastan voditelja ili izvršitelja obrade, a to nadzorno tijelo obavještava podnositelja pritužbe o odluci. Stavci 8. i 9. usmjereni su na slučajeve koji se temelje na pritužbama. Stavak 8. odnosi se na situaciju u kojoj su vodeće nadzorno tijelo i druga nadzorna tijela pristala odbaciti ili odbiti žalbu u cijelosti, ili ako je takvu odluku donio EDPB. Uvodi tri obveze koje se nameću nadzornom tijelu kojem je pritužba uložena: donijeti odluku, o tome obavijestiti podnositelja pritužbe i obavijestiti voditelja obrade. Stavak 9. predstavlja procesni korak navedenog postupka, koji se primjenjuje nakon što su se nadzorna tijela dogovorila i obvezala nacrtom odluke koja se sastoji od dijela po kojem je postupano i dijelova koji su odbijeni ili odbačeni. U praksi, navedeno znači da je u ovoj fazi postupka već donesena odluka o dijelovima koji su odbačeni ili odbijeni i da su ti dijelovi, ali i dijelovi koji zahtijevaju daljnje postupanje, jasno naznačeni u nacrtu odluke. Nadzorna tijela onda samo trebaju formalizirati odluku kroz propisane postupke usvajanja kako bi se donijela konačna nacionalna odluka.
Deseti stavak opisuje dužnosti voditelja ili izvršitelja obrade, odnosno mjere koje trebaju poduzeti kako bi osigurali da se odluka poštuje u odnosu na aktivnosti obrade, a o tim mjerama obavještavaju vodeće nadzorno tijelo koje izvješćuje druga nadzorna tijela. Iako Opća uredba o zaštiti podataka ne propisuje rok za davanje te obavijesti, informacije bi se trebale objaviti čim ih vodeće nadzorno tijelo dobije od voditelja ili izvršitelja obrade.
Stavak 11. upućuje na primjenu hitnog postupka iz članka 66. Opće uredbe o zaštiti podataka do koje dolazi u izuzetnim okolnostima, ako predmetno nadzorno tijelo ima razloga smatrati da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi ispitanika. „Iznimne okolnosti“ postoje u situacijama u kojima je onemogućeno djelovanje standardne suradnje ili dosljednosti procedure u određenom vremenskom okviru. Navedeno se posebno primjenjuje ako predmetno nadzorno tijelo, unatoč postupku suradnje iz članka 60., namjerava zatražiti hitno mišljenje ili obvezujuću odluku od EDPB-a, odnosno, kada se smatra da nadležno nadzorno tijelo, najvjerojatnije vodeće, nije poduzelo odgovarajuću mjeru.
Više možete pročitati na:
