EU uvodi stroža pravila za bržu provedbu GDPR-a u prekograničnim slučajevima

Europska unija dodatno uređuje način na koji se GDPR provodi u prekograničnim slučajevima, nakon godina kritika da je jedan od najvažnijih europskih digitalnih propisa u praksi često nailazio na spore, složene i neujednačene postupke. Nova pravila ne mijenjaju samu Opću uredbu o zaštiti podataka, ne uvode nova temeljna prava građana i ne mijenjaju pravne osnove za obradu osobnih podataka. Njihova je svrha mnogo praktičnija: ubrzati i ujednačiti postupke kada se jedan slučaj odnosi na više država članica.

Takvi su predmeti posebno važni u digitalnom gospodarstvu jer se osobni podaci korisnika rijetko zadržavaju unutar jedne nacionalne granice. Velike internetske platforme, pružatelji usluga u oblaku, oglašivačke mreže, društvene mreže, e-trgovine, financijske aplikacije i brojne SaaS usluge posluju na razini cijele Europske unije. U praksi to znači da korisnik može živjeti u Hrvatskoj, tvrtka imati europsko sjedište u Irskoj, obrada podataka se odvijati kroz infrastrukturu u nekoliko država članica, a dio poslovnih procesa biti povezan s dobavljačima izvan Europskog gospodarskog prostora.

Upravo su takvi slučajevi dosad pokazivali slabosti provedbenog modela. GDPR je od početka predvidio takozvani one-stop-shop mehanizam, prema kojem u prekograničnim predmetima jedno nacionalno nadzorno tijelo preuzima ulogu vodećeg tijela, dok ostala uključena tijela sudjeluju u postupku. Ideja je bila izbjeći paralelne istrage i omogućiti jedinstvenu primjenu pravila na razini EU-a. No u praksi su se pojavile razlike u nacionalnim procedurama, različita tumačenja postupovnih prava, spora razmjena informacija i dugotrajno usuglašavanje među tijelima.

Nova uredba zato uvodi jasniji proceduralni okvir. Ujednačavaju se pravila o tome koje informacije pritužba mora sadržavati da bi bila prihvatljiva, kako se uključuje podnositelj pritužbe, u kojim fazama postupka se mora čuti organizacija protiv koje se vodi postupak i kako se među nadzornim tijelima razmjenjuju ključni elementi predmeta. Time se želi izbjeći situacija u kojoj isti tip pritužbe u jednoj državi prolazi kroz jedan postupovni režim, a u drugoj kroz drukčiji, što je stvaralo pravnu nesigurnost i za građane i za tvrtke.

Važna novost su i rokovi. Prema novim pravilima, istrage bi u pravilu trebale biti dovršene u roku od 15 mjeseci, uz mogućnost produljenja za dodatnih 12 mjeseci u najsloženijim predmetima. Za jednostavnije slučajeve predviđa se pojednostavljeni postupak suradnje, koji bi trebao omogućiti brže rješavanje predmeta bez nepotrebnog administrativnog opterećenja. Time se regulatorni sustav pokušava približiti stvarnosti digitalnog tržišta, u kojem višegodišnje istrage često gube učinak jer se poslovni modeli, tehnologije i načini obrade podataka mijenjaju brže od samih postupaka.

Za građane bi promjena trebala značiti jasniji i učinkovitiji put od pritužbe do odluke. Do sada je jedan od glavnih problema bio osjećaj da se predmeti protiv velikih međunarodnih digitalnih kompanija predugo zadržavaju u regulatornoj proceduri, osobito kada je vodeće nadzorno tijelo bilo u državi u kojoj tvrtka ima europsko sjedište. Nova pravila ne ukidaju taj model, ali pokušavaju osigurati da ostala zainteresirana tijela imaju bolji uvid u predmet, da se ključna pitanja otvore ranije i da se odluke donose u predvidljivijem roku.

Za tvrtke nova pravila donose dvostruki učinak. S jedne strane, postupci bi trebali biti jasniji, a regulatorna očekivanja ujednačenija. To je važno za svaku organizaciju koja posluje u više država članica i želi znati prema kojim se pravilima vodi postupak ako dođe do pritužbe ili istrage. S druge strane, manje prostora za proceduralno odugovlačenje znači i veći pritisak na uredno vođenje evidencija, dokumentiranje pravnih osnova obrade, upravljanje privolama, obradu zahtjeva ispitanika i nadzor nad dobavljačima koji sudjeluju u obradi podataka.

Posebno će pod povećalom biti organizacije koje se oslanjaju na složene podatkovne tokove, profiliranje korisnika, personalizirano oglašavanje, umjetnu inteligenciju i prekograničnu podatkovnu infrastrukturu. GDPR se u takvim slučajevima sve češće preklapa s drugim europskim digitalnim pravilima, uključujući regulaciju digitalnih tržišta, digitalnih usluga, umjetne inteligencije i kibernetičke otpornosti. To ne znači da svaka obrada podataka automatski postaje sporna, ali znači da će tvrtke morati preciznije pokazati što prikupljaju, zašto to rade, koliko dugo podatke čuvaju, s kim ih dijele i na temelju koje pravne osnove.

Treba pritom razlikovati prekograničnu provedbu GDPR-a unutar Europske unije od prijenosa osobnih podataka u treće zemlje. Nova uredba primarno uređuje način suradnje nadzornih tijela u predmetima koji imaju prekogranični element unutar europskog sustava provedbe. Pitanje prijenosa podataka izvan Europskog gospodarskog prostora i dalje se uređuje posebnim pravilima GDPR-a, standardnim ugovornim klauzulama, odlukama o primjerenosti i dodatnim zaštitnim mjerama kada su potrebne. Drugim riječima, nije riječ o jednom općem “pojačanju protiv slanja podataka u inozemstvo”, nego o preciznijem postupovnom mehanizmu za provedbu postojećih pravila.

Najveća vrijednost novih pravila bit će vidljiva tek kada počnu u punoj primjeni. Formalno, europski okvir zaštite osobnih podataka već godinama slovi kao jedan od najstrožih na svijetu, ali njegova stvarna snaga ovisi o tome koliko brzo i dosljedno nadzorna tijela mogu provoditi odluke. Upravo je to područje na kojem je EU sada odlučio intervenirati. GDPR ostaje isti u svojoj osnovi, ali bi provedba u složenim prekograničnim predmetima trebala postati brža, urednija i manje ovisna o razlikama među nacionalnim procedurama.

Za europsko digitalno tržište to je važan signal. Privatnost više nije samo pravno pitanje, nego dio povjerenja u digitalne usluge, umjetnu inteligenciju, podatkovnu ekonomiju i prekogranično poslovanje. Tvrtke koje su zaštitu osobnih podataka do sada tretirale kao formalnu usklađenost morat će je sve više promatrati kao operativni rizik i sastavni dio upravljanja poslovanjem. Građani, s druge strane, dobivaju okvir u kojem bi njihove pritužbe trebale imati jasniji put kroz sustav, osobito kada se odnose na velike organizacije koje posluju izvan granica jedne države članice.