Regulacija neosobnih podataka

U studenome 2018. godine, na temelju prijedloga Europske komisije, Europski parlament i Vijeće su donijeli Uredbu (EU) 2018/1807 o okviru za slobodan protok neosobnih podataka u Europskoj uniji („Uredba o slobodnom protoku neosobnih podataka“, odnosno, u daljnjem teksu: „Uredba“). Uredba se primjenjuje od 28. svibnja 2019. Kako je GDPR-om reguliran protok osobnih podataka, ovim dvjema uredbama uspostavljen je sveobuhvatan okvir za zajednički europski podatkovni prostor i slobodno kretanje svih podataka u Europskoj uniji. Uredba je nastala kao rezultat potrebe poslovanja novog vremena za brzim i nesmetanim protokom podataka koji je omogućio veliki napredak tehnologije.

NEOSOBNI PODACI

Uredba o slobodnom protoku neosobnih podataka daje definiciju neosobnih podataka. Definicija glasi: „podaci koji nisu osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679 [Opća uredba o zaštiti podataka]”. Stoga, neosobni podaci su svi podaci koji se NE odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. U to su uključeni podaci koji se nikad nisu odnosili na neku fizičku osobu, kao i podaci koji su se nekad odnosili na fizičku osobu, ali su u uspješnom i potpunom postupku anonimizacije izgubili značajku osobnih podataka.

Uredba u svom prvom članku kao svoj cilj navodi osiguranje slobodnog protoka podataka koji nisu osobni podaci unutar EU. I GDPR ima odredbu o slobodnom kretanju podatka. Odredbom je određeno da se slobodno kretanje osobnih podataka unutar EU ne ograničava ni zabranjuje iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka. Dakle, ove uredbe zajedno obuhvaćaju slobodan protok svih vrsta podataka unutar EU.

Područje primjene Uredbe je osiguravanje slobodnog protoka neosobnih podataka „u Uniji“. Uredba se primjenjuje u slučaju obrade elektroničkih neosobnih podataka u EU: a) koja se pruža kao usluga korisnicima s boravištem ili poslovnim nastanom u EU, bez obzira na to ima li pružatelj usluga poslovni nastan u EU ili nema; ili b) koju provodi fizička ili pravna osoba s boravištem odnosno poslovnim nastanom u EU za vlastite potrebe.

Razlika u odnosu na GDPR je ta da dok se Uredba ne primjenjuje ako se sve aktivnosti obrade neosobnih podataka odvijaju izvan EU, GDPR se mora poštivati ako su u skup podataka uključeni osobni podaci. Također se moraju poštivati sve odredbe GDPR-a koje se primjenjuju na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

MIJEŠANI PODACI

Postavlja se pitanje što je s miješanim skupovima podataka, odnosno skupovima podataka koji uključuju osobne i neosobne podatke. Uredbom i GDPR-om se zajedno omogućuje slobodno kretanje svih podataka u EU. Uredba određuje da se ona primjenjuje samo na neosobne podatke koji su dio miješanih skupova. To znači da će se u tom slučaju, a contrario, GDPR primjenjivati na dio skupa koji sadrži osobne podatke. Ako su osobni i neosobni podaci u skupu neraskidivo povezani, prava na zaštitu podataka i obveze koje proizlaze iz GDPR-a u potpunosti se primjenjuju na cijeli miješani skup podataka.

LOKALIZACIJA PODATAKA

Jedna od glavnih značajki Uredbe je zabrana zahtjeva u pogledu lokalizacije podataka. Zahtjevi za lokalizacijom podataka definirani su kao „bilo koja obveza, zabrana, uvjet, ograničenje ili drugi zahtjev koji je utvrđen zakonima ili drugim propisima država članica ili koji je rezultat općih i dosljednih administrativnih praksi u državi članici i u javnopravnim tijelima, među ostalim u području javne nabave[…]“. Zabrana zahtjeva za lokalizacijom može se odnositi na izravne (npr. obveza pohranjivanja podataka na određenom zemljopisnom području) i neizravne mjere, koje su usmjerene na ometanje obrade neosobnih podataka u drugim državama članicama (npr. zahtjev obvezne upotrebe postrojenja koja su certificirana ili odobrena u određenoj državi članici).

Iznimno, zabrana zahtjeva za lokalizacijom ne obuhvaća one zahtjeve koji su u skladu s načelom proporcionalnosti opravdani iz razloga javne sigurnosti. Međutim, Uredbom se ne dovode u pitanje zakoni i drugi propisi koji se odnose na unutarnju organizaciju država i koji dodjeljuju ovlasti i odgovornosti tijelima javne vlasti i javnopravnim tijelima. Zabrana zahtjeva za lokalizacijom se, dakle, ne smije se shvatiti kao obveza država članica za eksternalizacijom usluga u vezi s neosobnim podacima koje same žele pružati ili organizirati na način koji ne uključuje javnu nabavu. Uredbom se potiče razmatranje gospodarske učinkovitosti i druge dobrobiti korištenja vanjskih pružatelja usluga.

CERTIFIKACIJA

Druga važna značajka Uredbe je da potiče industriju da provodi sigurnosnu certifikaciju te izradi samoregulatorne kodekse ponašanja koji se odnose na promjenu pružatelja usluga i prijenos podataka. Samoregulacija doprinosi inovaciji i povjerenju među subjektima na tržištu i omogućuje bržu reakciju na tržišne promjene. Samoregulacijom bi se trebala izbjeći praksa ovisnosti o određenom pružatelju usluga (npr. zbog toga jer su podaci blokirani u sustavu određenog pružatelja usluga ili zbog specifičnog formata podataka i odredaba ugovora). Pri izradi samoregulatnornih kodeksa, odnosno „kodeksa ponašanja“, potrebno je uzeti u obzir:

  1. najbolje prakse za olakšavanje promjene pružatelja usluga i prijenosa podataka u strukturiranom, uobičajenom i strojno čitljivom formatu;
  2. minimalne zahtjeve za informacijama u vezi s postupcima, tehničkim zahtjevima, rokovima i naknadama koje se primjenjuju kad korisnik poželi promijeniti pružatelja usluga,
  3. pristupe programima certifikacije radi bolje usporedivosti usluga u oblaku (cloud),
  4. planove komunikacije namijenjene jačanju osviještenosti o kodeksima ponašanja.

RADNE SKUPINE

Komisija je već potaknula osnivanje radnih skupina relevantnih dionika industrije cloud usluga. Radne skupine okupljaju stručnjake cloud tehnologije te profesionalne korisnike tih tehnologija, a među njima se nalaze i mala i srednja poduzeća. Dobro je spomenuti radnu skupinu imenom SWIPO, koja radi na samoregulatornim kodeksima ponašanja, te radnu skupinu CSPCERT, koja se bavi sigurnosnom certifikacijom.

SURADNJA DRŽAVA ČLANICA

Treća glavna značajka Uredbe je uspostavljanje mehanizma suradnje državnih tijela država članica. Svaka država članica uspostavlja jedinstvenu kontaktnu točku koja se povezuje s jedinstvenim kontaktnim točkama ostalih država članica i Europskom komisijom u pogledu primjene Uredbe. Jedinstvene kontaktne točke dakle služe kao čvorišta komunikacije nadležnih tijela država članica.

Uredbom se stvara pravna sigurnost kojom se povećava povjerenje u usluge obrade podataka i sprječava ovisnost o određenom pružatelju usluga. Korisnicima će se na taj način povećati izbor pružatelja usluga, a kvaliteta usluge će porasti te će se tako omogućiti primjena novih tehnologija. Sve to sa sobom može pridonijeti nižim troškovima poslovanja.

Author image
Marija Boskovic Batarelo