Što to donosi tzv. Postupovna uredba GDPR-a?
1. siječnja stupila je na snagu Uredba (EU) 2025/2518 Europskog parlamenta i Vijeća od 26. studenog 2025. kojom se utvrđuju dodatna postupovna pravila o provedbi Uredbe (EU) 2016/679 (tzv. „Postupovna uredba“). U primjeni će biti od 2. travnja 2027. Nova proceduralna pravila primjenjuju se na nadzore po službenoj dužnosti pokrenute nakon 2. travnja 2027. i na pritužbe podnesene nakon tog datuma. Stoga tekuće istrage odnosno nadzori nisu podložne ovom novom režimu.
Uredba je isključivo proceduralna - materijalna pravila GDPR-a ostaju nepromijenjena. Za isključivo lokalne povrede ograničene na jednu državu članicu, nacionalna proceduralna pravila ostaju na snazi.
Društva ne trebaju odmah, osim ako ne postoje drugi razlozi, ažurirati svoje politike zaštite podataka, međutim trebala bi procijeniti svoje interne procese za rješavanje zahtjeva ispitanika i odgovaranje na pritužbe kako bi bila spremna za strože rokove i formalne zahtjeve od 2027. nadalje.
Postupovna uredba ima za cilj poboljšanje provedbe GDPR-a putem pojačane suradnje nadzornih tijela i ovlasti donošenja odluka EDPB-a kako bi se osiguralo dosljedno tumačenje i primjena u slučajevima koji se odnose na prekograničnu obradu. Postupovna uredba utvrđuje postupovna pravila koja će temeljno preoblikovati način na koji prekogranična provedba GDPR-a funkcionira diljem EU-a.
Preliminarna procjena pritužbe
Pritužba u vezi s prekograničnom obradom mora sadržavati određene specifične informacije da bi bila dopuštena prema Postupovnoj uredbi. Nadzorno tijelo koje primi pritužbu provest će preliminarnu procjenu pritužbe i, u slučajevima kada se radi o prekograničnoj obradi, mora je proslijediti pretpostavljenom vodećem nadzornom tijelu u roku od šest tjedana od primitka pritužbe, a rješavanje sporova putem EDPB-a dostupno je u slučaju sukobljenih mišljenja o nadležnosti vodećeg nadzornog tijela.
Važno je napomenuti da Postupovna uredba priznaje da podnositelji pritužbe ne moraju kontaktirati stranku koja je predmet istrage prije podnošenja pritužbe, međutim, kada se pritužba odnosi na zahtjev ispitanika, taj zahtjev mora se podnijeti voditelju obrade prije podnošenja pritužbe.
Rješavanje zahtjeva brže i efikasnije
Kako bi se olakšalo brzo rješavanje pritužbi na prava ispitanika koje se odnose na prekograničnu obradu, nadzorna tijela sada imaju mogućnost utvrditi da su takve pritužbe „bez svrhe/neutemeljena“ ako je, na temelju potkrepljujućih dokaza, navodno kršenje okončano. Ako se pritužba smatra „bez svrhe/neutemeljena“, podnositelj pritužbe obavještava se da je pritužba riješena i ima priliku prigovoriti. Odluku može donijeti ili nadzorno tijelo kojem je pritužba podnesena prije slanja pretpostavljenom vodećem nadzornom tijelu ili vodeće nadzorno tijelo. Odluka nadzornog tijela kojem je podnesena pritužba ne sprječava vodeće nadzorno tijelo da koristi ovlasti iz članka 58. GDPR-a u vezi s istim predmetom.
Jednostavan postupak suradnje
U slučajevima kada postupak ranog rješavanja nije prikladan i ako ne postoji razumna sumnja u opseg istrage ili uključena pravna i činjenična pitanja, vodeće nadzorno tijelo može odlučiti surađivati s drugim nadzornim tijelima putem jednostavnog postupka suradnje kako bi riješilo pritužbu. Učinak korištenja jednostavnog postupka suradnje jest da se neka od postupovnih pravila u Postupovnoj uredbi (kao što je zahtjev za podnošenje sažetka ključnih pitanja, o kojima se raspravlja u nastavku) ne primjenjuju. Međutim, rok za vodeće nadzorno tijelo da podnese svoj nacrt odluke dotičnim nadzornim tijelima u skladu s člankom 60. stavkom 3. GDPR-a je 12 mjeseci od trenutka kada je vodeće nadzorno tijelo potvrdilo nadležnost u pritužbi.
Složeniji slučajevi
U složenijim slučajevima poduzimaju se dodatni koraci prema Postupovnoj uredbi, uključujući zahtjev da vodeće nadzorno tijelo podijeli sažetak ključnih pitanja s drugim dotičnim nadzornim tijelima radi komentara u ranoj fazi istražnog postupka. Ta ključna pitanja uključuju preliminarnu identifikaciju opsega istrage i odredbi GDPR-a na koje se istražuje navodno kršenje, pravna i činjenična pitanja te analizu relevantnih stajališta stranke koja je predmet istrage ili podnositelja pritužbe (ako je dostupno). Posebno, to uključuje i preliminarnu identifikaciju korektivnih mjera, gdje je to primjenjivo.
Vremenski rok za vodeće nadzorno tijelo za pripremu ovog sažetka je tri mjeseca od potvrde svoje nadležnosti za djelovanje kao vodeće nadzorno tijelo, a dotična nadzorna tijela zatim imaju četiri tjedna za davanje komentara na sažetak, što se može produžiti za dva tjedna za složene slučajeve. S obzirom na to da je ukupni rok za vodeće nadzorno tijelo za podnošenje nacrta odluke 15 mjeseci od potvrde nadležnosti, što se može produžiti samo jednom za 12 mjeseci u iznimnim slučajevima, to su kratki rokovi u kontekstu složenih istraga koje se odnose na prekograničnu obradu.
Pojačana suradnja i razmjena informacija, pristup spisima predmeta i pravo na saslušanje
Ponavljajuća tema u cijeloj Postupovnoj uredbi je promicanje suradnje i konsenzusa među nadzornim tijelima. Kako bi se olakšalo postizanje ovog cilja, tijekom istrage, vodeći nadzorni organ i dotični nadzorni organi razmjenjivat će relevantne informacije u 14 kategorija putem daljinski dostupne datoteke namijenjene svakoj pritužbi, dostupne nadzornim organima i EDPB-u u određenim okolnostima, ali ne i strankama pod istragom, podnositeljima pritužbi ili trećim stranama.
U slučajevima kada se ne postigne konsenzus ili okolnosti zahtijevaju da EDPB donese obvezujuću odluku ili hitno mišljenje u skladu s člancima 65. i 66. GDPR-a, poglavlja V. i VI. Postupovne uredbe propisuju detaljne postupke za te radnje.
Postupovna uredba sadrži pravila za ostvarivanje prava na saslušanje od strane podnositelja pritužbe i stranaka pod istragom. Na zahtjev, strankama pod istragom ili negativno pogođenim podnositeljima pritužbi mora se odobriti pristup administrativnom spisu kako bi ostvarili svoje pravo na saslušanje. Administrativni spis, koji se razlikuje od spisa o suradnji, uključuje sve dokaze prikupljene tijekom istrage od strane vodećeg i dotičnog tijela, isključujući internu komunikaciju, ali uključujući sve optužujuće i oslobađajuće dokaze.
Novim pravilima za postupanje s povjerljivim informacijama, Uredba ima za cilj zaštititi poslovne tajne – kako je definirano u Direktivi (EU) 2016/943 o zaštiti neotkrivenog znanja i poslovnih informacija (poslovne tajne) – i druge povjerljive informacije. Stranka koja je pod istragom mora doprinijeti zaštiti povjerljivih informacija jasnom identifikacijom takvih informacija u trenutku njihove dostave (članak 25. stavak 3. Uredbe). Zaštita povjerljivih informacija ojačana je odredbom da se informacije koje se smatraju povjerljivima prema nacionalnom pravu nadzornog tijela kojem se dostavljaju moraju i dalje tretirati kao povjerljive informacije od strane svakog nadzornog tijela koje ih prima (članak 25. stavak 8. Uredbe).
Zaključak
Unatoč naglasku na rokovima i suradnji između nadzornih tijela, rješavanje pritužbe na prekograničnu obradu podataka i dalje može uključivati dugotrajan angažman s više stranaka. U tom kontekstu važno je napomenuti da, kada nadzorno tijelo poduzme postupovne korake nakon isteka odgovarajućih rokova, Uredba propisuje da se to ne može smatrati osnovom za nezakonitost ili nevaljanost postupovnog koraka ili konačne odluke. Međutim, neuspjeh u podnošenju nacrta odluke ili nedonošenju konačne odluke u roku predviđenom Postupovnom uredbom ili člankom 65. stavkom 6. GDPR-a bit će uzet u obzir pri procjeni je li nadzorno tijelo riješilo pritužbu u skladu s pravom ispitanika na učinkovit sudski lijek protiv nadležnog nadzornog tijela.
Uredba (EU) 2025/2518 označava fazu zrelosti u provedbi GDPR-a. Za organizacije to znači veću pravnu sigurnost, ali i veću potrebu za pravnom prilagodljivošću. Rokovi za odgovor na optužbe postaju kraći i stroži. Preporučljivo je iskoristiti razdoblje do travnja 2027. za fino podešavanje internih procesa.
Neusklađenost će postati skuplja s obzirom na postojeće rizike neusklađenosti mnogih društava.
