Izvješće Komisije o evaluaciji GDPR-a (Opće uredbe o zaštiti podataka)

29.06.2020.

Proteklo je malo više od dvije godine od stupanja na snagu Opće uredbe o zaštiti podataka (GDPR). Europska komisija upravo je objavila izvješće o evaluaciji GDPR-a. Izvješće pokazuje da je GDPR ispunio većinu svojih ciljeva: građani su dobili znatna i provediva prava te je stvoren novi europski sustav upravljanja i provedbe. GDPR je pokazao da je dovoljno fleksibilan instrument za digitalna rješenja u nepredvidljivim okolnostima, kao što je kriza uzrokovana koronavirusom.

Među zaključcima izvješća je da se države članice sve više usklađuju, ali i da postoji određena fragmentiranost koju treba kontinuirano pratiti. Zaključak je i da se u poduzećima širi kultura zaštite podataka i korištenje snažnih mjera za zaštitu podataka kao konkurentska prednost. U izvješću je popis mjera koje bi trebale pomoći svim dionicima, a osobito malim i srednjim poduzećima, da primjenjuju GDPR radi promicanja i razvijanja prave europske kulture zaštite podataka.

 

GDPR je uspješno ispunio svoje ciljeve i postao referencija na svjetskoj razini svim zemljama koje svojim građanima žele pružiti visoku razinu zaštite. Usprkos tome, kao što je vidljivo iz današnjeg izvješća, možemo postići još više. Na primjer, primjena pravila treba biti usklađenija u cijeloj Uniji: to je važno za građane i poduzeća, a posebno za mala i srednja poduzeća. Moramo se i pobrinuti da građani mogu potpuno iskoristiti svoja prava. Komisija će praćenjem napretka raditi na tome da se ispuni puni potencijal GDPR-a. U tome će joj pomagati Europski odbor za zaštitu podataka i redovita, kvalitetna komunikacija s državama članicama, izjavio je povjerenik za pravosuđe Didier Reynders.

 

Ključni zaključci evaluacije GDPR-a

Građani imaju veća prava, o kojima su dobro obaviješteni: GDPR povećava transparentnost i pojedincima daje provediva prava, kao što su prava na pristup, ispravak, brisanje, prigovor i prenosivost podataka. Prema nedavno objavljenim rezultatima istraživanja Agencije Europske unije za temeljna prava u EU-u više od 69 % populacije starije od 16 godina zna za GDPR, a 71 % ljudi je čulo za nacionalno tijelo za zaštitu podataka. Međutim, građanima se može pružiti veća pomoć u korištenju njihovih prava, a posebno prava na prenosivost podataka.

 

  • Pravila za zaštitu osobnih podataka primjerena su za digitalno doba: GDPR je pojedincima dao veću težinu kad je riječ o tome što se događa s njihovim podacima u digitalnoj tranziciji. Ujedno pomaže da inovacije budu pouzdane, prvenstveno zahvaljujući pristupu temeljenom na riziku i primjeni načela kao što je načelo da zaštita podataka bude uvijek integrirana i to od trenutka projektiranja.
  • Tijela za zaštitu podataka primjenjuju svoje veće korektivne ovlasti: GDPR je nacionalnim tijelima za zaštitu podataka pružio instrumente koji im omogućuju da sankcioniraju nepoštovanje pravila, od upozorenja i opomena do novčanih kazni. Tim su tijelima potrebni odgovarajući kadrovski, tehnički i financijski resursi. Mnoge im države to osiguravaju putem znatnih povećanja proračuna i broja zaposlenih. U razdoblju od 2016. do 2019. nacionalnim tijelima za zaštitu podataka u EU-u broj osoblja ukupno je povećan za 42 %, a proračun za 49 %. Međutim, postoje velike razlike među državama članicama.
  • Tijela za zaštitu podataka već surađuju u Europskom odboru za zaštitu podataka (EDPB), no ta se suradnja može poboljšati: Donošenjem GDPR-a osmišljen je i uspostavljen jedinstven sustav upravljanja čija je svrha dosljedna i efektivna primjena GDPR-a u obliku mehanizma koji poduzećima koja vrše prekograničnu obradu podataka daje kao kontaktnu točku samo jedno tijelo za zaštitu podataka, a to je tijelo države članice u kojoj se nalazi njihov glavni poslovni nastan. Između 25. svibnja 2018. i 31. prosinca 2019. putem tog „jedinstvenog mehanizma” upućen je 141 nacrt odluke, a rezultat 79 od tih nacrta bile su konačne odluke. Međutim, moguće je napraviti više da bi se stvorila prava, zajednička kultura zaštite podataka. Konkretno, kad je riječ o rješavanju prekograničnih predmeta, potrebno je imati efikasniji i usklađeniji pristup te djelotvorno iskoristiti alate iz GDPR-a za suradnju tijela za zaštitu podataka.
  • Savjeti i smjernice tijela za zaštitu podataka: EDPB izdaje smjernice o ključnim elementima Uredbe i novim temama. Nekoliko tijela za zaštitu podataka organiziralo je instrumente za rad, kao što su telefonske linije za pružanje pomoći pojedincima i poduzećima ili alati za mala i mikropoduzeća. Vrlo je važno da takve nacionalne smjernice budu potpuno dosljedne s EDPB-ovim smjernicama.
  • Iskorištavanje punog potencijala međunarodnih prijenosa podataka: Tijekom protekle dvije godine Komisijin međunarodni angažman na slobodnim i sigurnim prijenosima podataka bio je vrlo uspješan. To obuhvaća Japan, s kojim EU sad dijeli najveće svjetsko područje slobodnog protoka podataka. Komisija će sa svojim partnerima širom svijeta nastaviti raditi na pitanju primjerenosti. Uz EDPB-ove aktivnosti – i u suradnji s tim tijelom – Komisija razmatra modernizaciju drugih mehanizama za prijenos podataka, među kojima su standardne ugovorne klauzule, najkorišteniji alat za prijenos podataka. EDPB radi na specifičnim smjernicama za upotrebu certifikacije i kodeksa ponašanja za prijenose podataka izvan EU-a. Te smjernice treba dovršiti što prije. Budući da u presudi koja će se donijeti 16. srpnja Sud Europske unije može pružiti pojašnjenja koja mogu biti relevantna za neke elemente standarda primjerenosti, Komisija će zasebno izvijestiti o postojećim odlukama o primjerenosti nakon što Sud donese svoju presudu.
  • Promicanje međunarodne suradnje: Tijekom protekle dvije godine Komisija je pojačala bilateralnu, regionalnu i multilateralnu komunikaciju, promicala globalnu kulturu poštovanja i ujednačavanje različitih sustava za zaštitu privatnosti od koje koristi imaju i građani i poduzeća. Komisija namjerava ustrajati u tom radu putem svojeg šireg vanjskog djelovanja, na primjer u kontekstu partnerstva Afrike i EU-a i u potpori međunarodnim inicijativama, kao što je „slobodan protok podataka uz puno povjerenje”. U današnje doba kad kršenje propisa o privatnosti može odjednom utjecati na mnogo ljudi na svim stranama svijeta nužno je pojačati međunarodnu suradnju među tijelima za zaštitu podataka. Zbog toga će Komisija zatražiti odobrenje Vijeća za otvaranje pregovora s relevantnim trećim zemljama o sklapanju sporazuma o uzajamnoj pomoći i provedbenoj suradnji.

 

Usklađivanje prava EU-a s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva

Komisija je uz to objavila Komunikaciju u kojoj je navedeno deset pravnih akata kojima se uređuje kako nadležna tijela obrađuju osobne podatke radi sprečavanja, istraživanja, otkrivanja ili progona kaznenih djela, a koje bi trebalo uskladiti s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva. Tim će se usklađivanjem postići pravna sigurnost i jasno odgovoriti na dvojbe kao što su svrha radi koje nadležna tijela obrađuju osobne podatke i koje se vrste podataka smije tako obrađivati.

 

Kontekst

U GDPR-u (Općoj uredbi o zaštiti podataka) je propisano da je Komisija dužna podnositi izvješća o ocjenjivanju i preispitivanju te uredbe. Rok za prvo takvo izvješće je nakon prve dvije godine primjene uredbe, a zatim svake četiri godine za kasnija izvješća.

GDPR je jedinstven skup pravila u pravu EU-a kojim se uređuje zaštita pojedinaca s obzirom na obradu osobnih podataka i slobodan protok takvih podataka. Tim su aktom pojačane zaštitne mjere za zaštitu podataka, uvedena su dodatna i veća prava pojedinaca, povećana transparentnost i stavljena je veća odgovornost na svakoga tko na bilo koji način obrađuje osobne podatke. Nacionalna tijela za zaštitu podataka dobila su njime veće i usklađene provedbene ovlasti. Uspostavljen je novi sustav upravljanja među tijelima za zaštitu podataka. Uspostavljeni su jednaki uvjeti za sva poduzeća aktivna na tržištu EU-a, neovisno o tome gdje im je poslovni nastan, osiguran je slobodan protok podataka unutar EU-a i pojednostavnjeni su međunarodni protoci podataka. GDPR je postao referencija na svjetskoj razini.

Kako je propisano u članku 97. stavku 2. GDPR-a, u današnjem izvješću osobito su obuhvaćeni međunarodni prijenosi i mehanizmi „suradnje i konzistentnosti”, iako je Komisija preispitivanju pristupila šire kako bi razmotrila teme koje su razni subjekti otvorili tijekom posljednje dvije godine. Među tim su temama one koje su otvorili Vijeće, Europski parlament, EDPB, nacionalna tijela za zaštitu podataka i dionici.

 

Dodatne informacije

Izvješće o provedbi GDPR-a

Komunikacija: Akti EU-a za usklađivanje s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva

Pitanja i odgovori o izvješću o GDPR-u nakon dvije godine primjene

Internetske smjernice za GDPR – pravila EU-a za zaštitu podataka

Infografika: Što vaše društvo mora učiniti

vrh stranice