4 minute read
Uvesti zaštitne mjere za usklađenost podataka
Zajednička izjava industrije o Zakonu o podacima: Zaštitne mjere potrebne su kako bi se osiguralo da se čuvaju temeljna prava vlasnika podataka. Kao predstavnici europskih tvrtki, potpisnici ove zajedničke izjave žele izraziti svoju duboku zabrinutost u vezi s Poglavljem V. Zakona o podacima EU o tome kako organizirati obvezno dijeljenje podataka Business-to-Government (B2G).
Ozbiljna zabrinutost proteže se na odredbe daleko izvan poglavlja V., no ova zajednička izjava bavi se samo onima koji se odnose na članke 14. do 22. Potvrđujemo da iznimne situacije, a posebno nepredvidivi hitni događaji, mogu zahtijevati od javnih tijela da koriste iznimne ovlasti za dobivanje posebnih podataka koje posjeduju privatni subjekti, a koji bi im omogućili saniranje takve krize.
Advertisement
Međutim, Poglavlje V. Zakona o podacima izaziva velike nedoumice u pogledu njegove usklađenosti s pravnim poretkom EU-a i Poveljom EU-a o temeljnim pravima. Ovu procjenu potvrđuje vrlo kritično mišljenje Europskog odbora za zaštitu podataka, koje naglašava nedostatak „zakonitosti, nužnosti i proporcionalnosti“ i nedostatak zaštitnih mjera za zaštitu vlasnika podataka od proizvoljnog uplitanja u njihova temeljna prava. Stoga pozivamo institucije EU-a da uvedu zaštitne mjere kako bi se osigurala usklađenost poglavlja V. s GDPR-om, Poveljom
EU-a o temeljnim pravima i ključnim načelima koja uređuju vladavinu prava. Ključna načela i mjere zaštite koje treba uvesti u Poglavlje V. Zakona o podacima:
Što se traži u zajedničkoj izjavi?
1. Precizno definirati što je iznimna potreba. Članak 15. trebao bi sadržavati pravno precizniju definiciju o tome što predstavlja iznimnu potrebu, a posebno što predstavlja izvanrednu javnu situaciju.
2. Uobičajena izrada zakona nije iznimna potreba. Članak 15(c) trebao bi jasno navesti da se ne može koristiti za prikupljanje podataka za podršku izradi nacrta zakona. Donošenje zakona temeljeno na dokazima, uobičajena je aktivnost u svim državama članicama i ne može se smatrati „iznimnim“.
3. Izričito dodjeljivanje nadležnosti javnom tijelu koje traži podatke. Zadaća od javnog interesa koja opravdava iznimnu potrebu prema članku 15(c) treba se izričito dodijeliti (javnom tijelu koje podnosi zahtjev) posebnim zakonodavnim aktom. Horizontalne kompetencije ne bi se trebale smatrati dovoljnima. Štoviše, nepostojanje podataka koji opravdavaju iznimnu potrebu, trebalo bi javnom tijelu učiniti ‘materijalno nemogućim’ ispunjavanje njegove zadaće od javnog interesa.
4. Ne bi se smjelo zaobići suzakonodavce EU-a. Institucije EU-a trebale bi se oslanjati na sektorsko zakonodavstvo Institucije EU-a i agencije EU-a ne bi trebale imati koristi od ovlasti dodijeljene člankom 15(c), jer bi to inače zaobišlo predviđena ustavna rješenja EU-a po ugovorima EU. Kao što je istaknuto u mišljenju Europskog odbora za zaštitu podataka (paragraf 92), oni bi trebali „jedino moći obvezati posjednike podataka da podatke učine dostupnima u skladu s ovlastima koje daje isključivo sektorsko zakonodavstvo“. Nedavno predložena horizontalna pravila za hitni instrument jedinstvenog tržišta (SMEI), imaju za cilj uspostaviti okvir mjera za predviđanje, pripremu i odgovor na učinke kriza na jedinstveno tržište. Pod određenim uvjetima, to bi omogućilo Komisiji da obveže gospodarske subjekte na dostavu informacija. Obveze razmjene informacija prema SMEI-ju temeljile bi se na takozvanoj „dvostrukoj aktivaciji“, tj. prije nego što se mogu zatražiti informacije/podaci, Vijeće bi aktiviralo hitnu fazu putem provedbenog akta Vijeća, a Komisija mora usvojiti provedbeni akt za konkretan zahtjev za informacijama. To pokazuje da kada se SMEI primijeni Poglavlje V. postaje zastarjelo i da će nadolazeće zakonodavstvo EU-a biti dovoljno.
5. Zaštitne mjere o tome kako zaštititi legitimne interese vlasnika podataka. Članak 17. trebao bi zahtijevati da zahtjevi za podatke sadrže sljedeće: a. Informacije o tome kako su svi zahtjevi iz članka 15. ispunjeni i kako zahtjev ne ometa nepotreban ili nerazmjeran način temeljna prava nositelja podataka. b. Informacije o primjerenim i učinkovitim tehničkim/organizacijskim mjerama koje će javno tijelo primijeniti za zaštitu legitimnog interesa i temeljnih prava posjednika podataka, uključujući zaštitu poslovnih tajni i povjerljivost komercijalno osjetljivih informacija.
6. Jasno pravo na odbijanje zahtjeva za podacima kada određeni uvjeti očito nisu ispunjeni. Ne dovodeći u pitanje obveze javnih tijela u skladu s člankom 17., članak 18. trebao bi vlasnicima podataka omogućiti jasno pravo da odbiju zahtjev za podacima djelomično ili u cijelosti ako:
• Uvjeti doneseni u člancima 15. i 17. očito nisu djelomično ili u cijelosti ispunjeni; ili
• Mjere koje je javno tijelo predložilo za zaštitu temeljnih prava i legitimnih interesa vlasnika podataka (uključujući zaštitu poslovnih tajni i povjerljivost osjetljivih informacija) očito su djelomično ili u cijelosti nedostatne; ili
• Pružanje (dijela) traženih podataka moglo bi dovesti do toga da posjednik podataka prekrši drugu zakonsku obvezu kojom je vezan (npr. pravila tržišnog natjecanja u slučaju zahtjeva za prikupljanjem podataka iz različitih dijelova tvrtke, ugovori o povjerljivosti prema trećim stranama). Posjednici podataka ne bi trebali riskirati građansku ili kaznenu odgovornost kada otkriju informacije prema Zakonu; ili
• Tijela javne vlasti nisu pružila dovoljno dokaza da su poduzela razumne korake za zaštitu podataka. Za tvrtke je ključna zaštita podataka njihovih kupaca.
7. Očuvanje vladavine prava bezuvjetnim pravom na pristup sudskom preispitivanju. Posjednici podataka trebali bi imati bezuvjetno pravo tražiti od suda da preispita zakonitost bilo kojeg zahtjeva za podacima (uključujući svako nerazmjerno miješanje u njihov legitimni interes/temeljna prava) ili bilo koju odluku koju je donijelo tijelo navedeno u članku 31. o zahtjevu za podatke koji su primili (tijekom kojega bi zahtjev za podacima trebao biti obustavljen dok se ne primi odluka Suda). Ovo je ključni aspekt za osiguranje vladavine prava. Na primjer, ovo je rješenje zadržano u prijedlogu Komisije za hitni instrument je - dinstvenog tržišta, kako bi se osiguralo da zahtjevi za podacima izdani u ovom okviru ispunjavaju standard EU-a za zaštitu temeljnih prava.
8. Minimizacija podataka trebala bi se primjenjivati na javna tijela koja traže podatke. Javna tijela koja koriste ovlasti dodijeljene Poglavljem V. trebala bi biti vezana načelom minimizacije podataka i pobrinuti se da ograniče svoj zahtjev na minimum podataka koji su apsolutno potrebni i naknadno biti obvezni izbrisati zatražene podatke čim i u mjeri u kojoj više nisu potrebni za iznimnu potrebu utvrđenu u zahtjevu za dijeljenje podataka.
9. Obveze javnih tijela u slučaju povrede podataka. Baš kao i svaki privatni operater koji rukuje podacima, javna tijela trebala bi imati obvezu obavijestiti vlasnika podataka bez nepotrebnog odgađanja od trenutka kada saznaju za bilo kakvu povredu podataka i/ili povredu bilo kojeg temeljnog prava vlasnika podataka (i/ili odgovarajućeg voditelja obrade podataka) kao što je povreda prava intelektualnog vlasništva, poslovne tajne ili obveze povjerljivosti u vezi s (dijelom) podataka koji su priopćeni nakon zahtjeva za podacima. To je još važnije, jer javna tijela mogu dijeliti podatke koje dobiju s drugim tijelima javne vlasti, što dodatno povećava rizik od povrede podataka i kršenja obveza povjerljivosti. Prije dijeljenja podataka s trećim stranama, odgovarajuće javno tijelo treba osigurati da je ta treća strana provela odgovarajuće i učinkovite tehničke/organizacijske mjere za zaštitu legitimnog interesa i temeljnih prava vlasnika podataka, uključujući zaštitu poslovnih tajni i povjerljivost komercijalno osjetljive informacije.
ST
