13.10.2017   

HR

Službeni list Europske unije

C 345/138

Izvjestiteljica:

Laure BATUT

1.1.

EGSO izražava snažno negodovanje zbog činjenice da upućivanje na različite dokumente o zaštiti podataka, njihova dužina i složenost te skakanje s jednog dokumenta na drugi koje je potrebno da bi se sadržaj shvatio rezultira smanjenom vjerojatnošću da će ih bilo tko izvan uskog kruga upućenih osoba pročitati i primjenjivati, te zbog toga što dodana vrijednost tih dokumenata nije lako vidljiva prosječnom građaninu, a to se odnosi na cijeli Prijedlog uredbe. Preporučuje da se na internetu objavi sažeta brošura u kojoj će ti dokumenti biti opisani za javnost i na taj način postati svima dostupni.

1.2.

EGSO ističe da je među opcijama predloženima u analizi učinka Komisija odabrala opciju koja će „odmjereno” ojačati poštovanje privatnog života. Je li to u cilju osiguravanja ravnoteže s interesima industrije? Komisija ne precizira koji bi elementi „dalekosežnog” jačanja poštovanja privatnog života štetili interesima industrije. To stajalište u samom začetku slabi dokument.

1.3.

EGSO preporučuje Komisiji da:

2.1.

Mreže elektroničke komunikacije uvelike su se promijenile od stupanja na snagu Direktive 95/46/EZ i Direktive 2002/58/EZ (2) o poštovanju privatnog života u elektroničkim komunikacijama.

2.2.

Opća uredba o zaštiti podataka (GDPR), usvojena 2016. [Uredba (EU) 2016/679], postala je temelj djelovanja i postavila glavna načela, i za sudske i kaznene podatke. Na temelju te uredbe osobni podaci moraju se prikupljati pod strogim uvjetima i u zakonite svrhe, uz poštovanje povjerljivosti (članak 5. GDPR-a).

2.2.1.

Komisija je u listopadu 2016. predstavila Prijedlog direktive o Europskom zakoniku elektroničkih komunikacija (3) (od 300 stranica) koji još nije usvojen, ali na koji se upućuje za određene definicije koje nisu iznesene niti u GDPR-u niti u predmetnom tekstu.

2.2.2.

Dva prijedloga Komisije iz siječnja 2017. utvrđuju određene aspekte na temelju GDPR-a; riječ je o Prijedlogu uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Unije [COM(2017) 8 final, izvjestitelj: g. Pegado Liz] i o predmetnom tekstu [COM(2017) 10 final] o poštovanju privatnog života i zaštiti osobnih podataka.

2.3.

Tri navedena dokumenta primjenjivat će se od istog datuma, 25. svibnja 2018., i svrha im je usklađivanje prava i nadzornih postupaka.

2.4.

Napominje se da je, kako bi se taj pristup pojednostavio, odlučeno da se u pogledu zaštite privatnog života donese europska uredba, a ne direktiva.

3.1.

Civilno društvo želi znati osigurava li Unija, u digitalnom svijetu koji je na obzoru, dodanu vrijednost koja jamči prostor u kojem se privatni život može odvijati bez bojazni.

3.2.

Zahvaljujući podacima koji se bez prestanka stvaraju, svim se korisnicima posvuda može ući u trag i utvrditi njihov identitet. Obrada podataka koja se provodi u fizičkim središtima, uglavnom smještenima izvan Europe, pobuđuje bojazan.

3.3.

Velika količina podataka (eng. big data) postala je valuta; ti podaci omogućuju da se pametnom obradom „profiliraju” fizičke i pravne osobe, da se one „pretvaraju u robu” te da se dolazi do zarade, često bez znanja korisnika.

3.4.

No, dokumente je potrebno revidirati prije svega zbog pojave novih aktera u sektoru obrade podataka, koji nisu samo pružatelji usluga pristupa internetu.

4.1.

Ovim dokumentom Komisija želi uspostaviti ravnotežu između potrošača i industrije:

4.2.

Svrha je Prijedloga uvođenje GDPR-a, koji ima opću primjenu, kao i povjerljivost privatnih podataka i pravo na brisanje, i odnosi se na poseban aspekt poštovanja privatnog života i zaštite osobnih podataka u telekomunikacijama; njime se predlaže uvođenje strožih pravila o zaštiti privatnosti te koordiniranih kontrola i sankcija.

4.3.

U Prijedlogu se ne propisuju posebne mjere o „pukotinama” u zaštiti osobnih podataka koje uzrokuju sami korisnici, ali se već od prvih članaka (članak 5.) potvrđuje načelo povjerljivosti elektroničkih komunikacija.

4.4.

Pružatelji usluga mogu obrađivati sadržaj elektroničke komunikacije:

4.5.

Dužni su izbrisati ili anonimizirati sadržaj nakon što ih primatelji prime.

4.6.

Prema članku 4. stavku 11. GDPR-a „privola” ispitanika znači svako dobrovoljno, slobodno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

4.7.

Ovaj prijedlog zadržava zahtjev o izričito izraženoj privoli, definiran u GDPR-u, a teret dokazivanja je na operatorima.

4.8.

„Obrada” se temelji na toj privoli. „Obrada” se temelji na toj privoli. Voditelj obrade mora „moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka” (članak 7. stavak 1. GDPR-a).

4.9.

Pravom Unije ili nacionalnim pravom mogla bi se uvesti određena ograničenja (obveze i prava) povjerljivosti kako bi se osigurali javni interesi ili nadzor.

4.10.

Fizičke osobe moraju dati privolu da bi se pojavile u elektroničkom javno dostupnom imeniku, uz mogućnost provjere i ispravka podataka koji se odnose na njih (članak 15.).

4.11.

Pravo na prigovor omogućit će svakom korisniku da zaustavi upotrebu svojih podataka povjerenih trećoj osobi (na primjer, trgovcu) i pri svakom slanju poruke (članak 16.). Nova pravila omogućit će korisnicima da lakše upravljaju svojim parametrima (kolačići, korisnička imena), a nezatražene komunikacije (spam, poruke, SMS, pozivi) moći će se blokirati ako korisnik nije dao privolu.

4.12.

Što se tiče prikaza poziva i blokiranja neželjenih poziva (članci 12. i 14.), u Uredbi se ističe da ta prava imaju i pravne osobe.

4.13.

Strukturiranje sustava nadzora u skladu je s GDPR-om (poglavlje VI. o nadzornim tijelima i poglavlje VII. o suradnji među nadzornim tijelima).

4.13.1

. Države članice i njihova nacionalna tijela odgovorna za zaštitu podataka morat će osiguravati poštovanje pravila o povjerljivosti. Druga nadzorna tijela moći će, u okviru uzajamne pomoći, uložiti prigovore koji se eventualno podnose nacionalnim nadzornim tijelima. S potonjima i s Europskom komisijom surađuju u okviru mehanizma konzistentnosti (članak 63. GDPR-a).

4.13.2.

Europski odbor za zaštitu podataka zadužen je za osiguravanje dosljedne primjene predmetne uredbe (članak 68. i 70. GDPR-a).

4.14.

Fizičke i pravne osobe kao krajnji korisnici imaju na raspolaganju pravna sredstva za zaštitu svojih interesa u slučaju povrede; mogu dobiti naknadu za pretrpljenu štetu.

4.15.

Iznosi predviđeni za upravne novčane kazne odvraćajući su jer za prekršitelje mogu iznositi do deset milijuna eura, a za poduzeća do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu ako je potonji iznos veći (članak 23.). Ako upravne novčane kazne nisu predviđene, države članice određuju sankcije i o njima obavještavaju Komisiju.

4.16.

Novi dokument o poštovanju privatnosti i upotrebi osobnih podataka primjenjivat će se od 25. svibnja 2018., dakle, od istog dana kao i GDPR iz 2016. i Uredba o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Unije i Prijedlog direktive o Europskom zakoniku elektroničkih komunikacija [COM(2016) 590 final] ako budu usvojeni.

4.17.

Područje primjene lex specialisa kojim se provodi GDPR:

—

Ratione personae: dionici

—

Ratione materiae: podaci

—

Ratione loci: gdje?

4.18.

Ciljevi EU-a: jedinstveno digitalno tržište

5.1.

Odbor pozdravlja to što se u cijeloj Uniji uvode ujednačena pravila s ciljem zaštite fizičkih i pravnih osoba u pogledu upotrebe digitalnih podataka putem elektroničkih komunikacija.

5.1.1.

Zadovoljan je zbog toga što EU preuzima svoju ulogu zaštitnika prava građana i potrošača.

5.1.2.

Međutim, ističe da unatoč pokušaju usklađivanja tumačenje brojnih pojmova ostaje na državama članicama, što Uredbu pretvara u određenu vrstu direktive koja ostavlja mnogo prostora za pretvaranje osobnih podataka u robu. Područje zdravlja osobito otvara vrata prikupljanju ogromnih količina osobnih podataka.

5.1.3.

Članak 11. stavak 1, članak 13. stavak 2., članak 16. stavak 4. i 5. te članak 24. više nalikuju odredbama o „prijenosu” koje bi bile prikladne za direktivu, a ne za uredbu. Operatorima je ostavljeno previše manevarskog prostora u cilju poboljšanja kvalitete usluga (članci 5. i 6.). Ova bi uredba trebala biti sastavni dio Prijedloga uredbe o Zakoniku elektroničkih komunikacija [COM(2016) 590 final)].

5.1.4.

EGSO izražava snažno negodovanje zbog činjenice da upućivanje na različite dokumente, njihova dužina i složenost rezultiraju smanjenom vjerojatnošću da će ih izvan uskog kruga upućenih osoba netko čitati. Naime, nužno je neprestano skakati s jednog dokumenta na drugi. Povrh toga, građani ne mogu uočiti dodanu vrijednost tih dokumenata. Teško čitanje i složenost Prijedloga protivni su duhu programa prikladnosti i učinkovitosti propisa (REFIT) i cilju „bolje izrade zakonodavstva”, otežavaju njegovo tumačenje i omogućuju propuste u zaštiti.

5.1.5.

Na primjer, Prijedlog uredbe ne sadrži definiciju pojma „operator”; valja ga potražiti u Nacrtu europskog zakonika elektroničkih komunikacija (4), koji još nije stupio na snagu, a kojim će se izmijeniti pravila tog sektora u okviru jedinstvenog digitalnog tržišta, odnosno izmijenjena Okvirna direktiva 2002/21/EZ, izmijenjena Direktiva o ovlaštenju 2002/20/EZ, izmijenjena Direktiva o univerzalnoj usluzi 2002/22/EZ i izmijenjena Direktiva o pristupu 2002/19/EZ, Uredba (EZ) br. 1211/2009 o osnivanju BEREC-a, Odluka o radiofrekvencijskom spektru 676/2002/EZ, Odluka 2002/622/EZ o osnivanju Skupine za politiku radiofrekvencijskog spektra i Odluka 243/2012/EU o uspostavljanju višegodišnjeg programa za politiku radiofrekvencijskog spektra. Osnovni dokument je i dalje, naravno, GDPR (vidjeti stavak 2.2), koji se želi nadopuniti predmetnim prijedlogom koji je, stoga, u odnosu na njega pomoćni.

5.2.

EGSO posebice naglašava sadržaj članka 8. koji se odnosi na zaštitu informacija pohranjenih na terminalnoj opremi i potencijalne iznimke, koji je od ključnog značenja jer informacijskom društvu ostavlja mogućnost pristupa privatnim podacima, i članak 12. o prikazu i ograničenju prikaza broja pozivatelja i broja pozvane linije. Prosječnom čitatelju teško je razumjeti te članke.

5.2.1.

Direktivom iz 1995. (članak 2.) „osobni podaci” definirani su kao „bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi („osoba čiji se podaci obrađuju”)”. Predmetna se uredba, koja proširuje zaštitu podataka i na metapodatke, od sada odnosi kako na fizičke tako i na pravne osobe. Potrebno je ponovno naglasiti da ovaj prijedlog ima dva cilja: s jedne strane, zaštititi osobne podatke, a s druge, osigurati slobodno kretanje podataka i usluga elektroničke komunikacije unutar EU-a (članak 1.).

5.2.2.

EGSO ističe da će želja da se zaštite podaci pravnih osoba (članak 1. stavak 2.) biti u koliziji s drugim dokumentima u kojima se to ne spominje: nije jasno naglašeno da će se i ti dokumenti morati primjenjivati na pravne osobe (vidjeti GDPR, podaci u europskim institucijama).

5.3.

EGSO se pita je li pravi cilj ovog Prijedloga staviti veći naglasak na njegov članak 1. stavak 2., odnosno na „slobodno kretanje elektroničkih komunikacijskih podataka i elektroničkih komunikacijskih usluga unutar Unije”, koje niti ograničava niti zabranjuje zbog poštovanja privatnog života i komuniciranja fizičkih osoba, a ne uistinu zajamčiti ono što je sadržano u njegovu članku 1. stavku 1., odnosno „prava na poštovanje privatnog života i komuniciranja i zaštita fizičkih osoba u pogledu obrade osobnih podataka”.

5.4.

Sve se temelji na izraženoj privoli fizičke ili pravne osobe. Prema tome EGSO smatra da se korisnici moraju informirati, educirati i ostati oprezni jer nakon što jednom daju privolu, pružatelj usluga moći će više obrađivati sadržaje i podatke kako bi postigao što više radnji i ostvario što veću dobit. Koliko korisnika zna, prije nego što ga prihvate, da je kolačić program za praćenje? Educiranje korisnika da se služe svojim pravima, ali i anonimizacija ili enkripcija, morala bi biti pitanja kojima se u ovoj uredbi daje prednost.

6.1.

Osobne podatke smjela bi prikupljati samo tijela koja se i sama pridržavaju vrlo strogih uvjeta i u poznate i opravdane svrhe (GDPR).

6.2.

Međutim, Odbor izražava žaljenje zbog „brojnih iznimki i ograničenja koji utječu na potvrđena načela o pravu na zaštitu osobnih podataka” (5). Obilježje Europske unije trebala bi i dalje biti ravnoteža između slobode i sigurnosti, a ne ravnoteža između temeljnih osobnih prava i industrije. Radna skupina iz članka 29. u svojoj je analizi prijedloga uredbe (WP247 od 4.4.2017., mišljenje 1/2017, točka17.) oštro napomenula da taj članak smanjuje razinu zaštite određenu u GDPR-u, naročito u pogledu lokalizacije terminala, nedostatka ograničenja područja podataka koji se mogu prikupljati, te ne uvodi automatsku zaštitu privatnosti (točka 19.).

6.3.

Podaci su kao produžetak osobe, fantomski identitet, njegov „identitet u sjeni” (eng. Shadow-ID). Podaci pripadaju osobi koja ih stvara, ali nakon obrade, te osobe više ne mogu utjecati na njih. Svaka država ostaje odgovorna za čuvanje podataka i nema usklađivanja zbog mogućih ograničenja prava koje Prijedlog uredbe omogućuje. Odbor ističe da postoji rizik da će doći do razlika zbog činjenice da se ograničenje prava prepušta na procjenu državama članicama.

6.4.

Postavlja se pitanje koje se naročito odnosi na ljude koji rade u poduzećima: kome pripadaju podaci koje oni stvore svojim radom? Na koji su način ti podaci zaštićeni?

6.5.

Ustroj nadzora nije pretjerano jasan (6); unatoč nadzoru Europskog nadzornika za zaštitu podataka jamstva protiv arbitrarnosti ne čine se dostatnima, a vrijeme potrebno da postupci urode sankcijom nije procijenjeno.

6.6.

EGSO poziva na osnivanje europskog portala na kojem bi bili prikupljeni i ažurirani svi europski i nacionalni dokumenti, sva prava, pravna sredstva, slučajevi iz sudske prakse i praktični elementi, a sve kako bi se pomoglo građanima i potrošačima da se snađu u šumi tekstova i praksi kako bi mogli ostvariti svoja prava. Taj bi se portal trebao temeljiti u najmanju ruku na odredbama Direktive (EU) 2016/2102 od 26. listopada 2016. o pristupačnosti internetskih stranica i mobilnih aplikacija tijela javnog sektora, kao i na načelima navedenima u uvodnim izjavama 12, 15 i 21 Prijedloga direktive o takozvanom Europskom aktu o pristupačnosti 2015/0278(COD) te svim krajnjim korisnicima ponuditi pristupačan i razumljiv sadržaj. EGSO je spreman sudjelovati u fazama definiranja portala.

6.7.

U članku 22. nedostaje upućivanje na „skupne radnje”, kao što je EGSO već istaknuo u svojem mišljenju o Europskom zakoniku elektroničkih komunikacija.

6.8.

Ograničenje glavnog područja primjene (članak 2. stavak 2.), proširenje ovlasti obrade podataka bez privole vlasnika (članak 6. stavci 1. i 2.) i nevjerojatnost da se može dobiti pristanak svih korisnika (članak 6. stavak 3. točka (b)) i članak 8. stavci 1., 2. i 3.), ograničenja prava koja mogu provesti države članice ako ocijene da je ta mjera „nužna, prikladna i proporcionalna”, pravila su čiji je sadržaj podložan toliko brojnim tumačenjima da je u suprotnosti s istinskom zaštitom privatnosti. Povrh toga, osobita pozornost mora se posvetiti zaštiti podataka maloljetnika.

6.9.

EGSO pozdravlja pravo na kontrolu navedeno u članku 12., no smatra da je formulacija posebno nerazumljiva jer se čini da prednost daje korištenju nepoznatih ili skrivenih telefonskih poziva, kao da je anonimnost preporučljiva, dok bi načelo zapravo trebalo biti identifikacija poziva.

6.10.

Nezatražene komunikacije (članak 16.) i izravni marketing već su obrađeni u „Direktivi o nepoštenoj poslovnoj praksi” (7). Pravilo bi se trebalo temeljiti na načelu prihvaćanja (eng. opt-in), a ne odbijanja (eng. opt-out).

6.11.

Predviđeno je da Komisija provodi evaluaciju svake tri godine, što je u digitalnom području predugo razdoblje. Nakon dvije evaluacije digitalni svijet u potpunosti će se promijeniti. Međutim, delegiranje (članak 25.), koje se može proširiti, moralo bi imati određeno trajanje koje se po potrebi može produljiti.

6.12.

Zakonodavstvo mora zaštititi prava korisnika (članak 3. UEU-a), jamčeći istodobno pravnu stabilnost potrebnu za trgovačku djelatnost. EGSO izražava žaljenje što se u Prijedlogu ne spominje prijenos podataka između strojeva (M2M): to valja provjeriti u Europskom zakoniku elektroničkih komunikacija (Prijedlog direktive, članci 2. i 4.).

6.12.1

Zbog interneta stvari (8) velika količina podataka (eng. Big Data) postat će golema količina podataka (eng. Huge Data), a zatim i „svi podaci” (eng. All Data). U tome leži ključ za buduće valove inovacija. Mali ili veliki strojevi komuniciraju i međusobno si šalju osobne podatke (vaš sat i podaci o otkucajima srca koje on bilježi i šalje liječnikovu računalu itd.). Brojni dionici u digitalnom području pokrenuli su vlastite platforme namijenjene „povezanim stvarima”: Amazon, Microsoft, Intel, a u Francuskoj Orange i La Poste.

6.12.2

. Internet stvari može lako postati predmetom zlonamjernih napada, a količina osobnih informacija koje se mogu prikupiti na daljinu u porastu je (geolokacija, zdravstveni podaci, video i audio emitiranje). Nedostaci u zaštiti podataka tiču se, među ostalim, i osiguravajućih društava koja svojim klijentima počinju nuditi da se opskrbe s „povezanim stvarima” i odgovorno se ponašaju.

6.13.

Brojni internetski divovi nastoje svoje izvorne aplikacije razviti u platformu: tako treba razlikovati aplikaciju Facebook od platforme Facebook, koja omogućuje programerima da dizajniraju aplikacije dostupne iz profila korisnika. Amazon je, pak, bio internetska aplikacija specijalizirana za prodaju na internetu. Danas je to platforma koja trećim osobama – od pojedinaca do velikih grupacija – omogućuje da stavljaju na tržište svoje proizvode koristeći se sredstvima Amazona: ugledom, logistikom itd. Sve se to odvija kroz prijenos osobnih podataka.

6.14.

U ekonomiji dijeljenja platforme se razvijaju u velikom broju: „posrednička platforma koja povezuje, prvenstveno elektroničkim putem, brojne osobe koje nude robu ili usluge s brojnim korisnicima” (9). Iako su tražene zbog aktivnosti i radnih mjesta koja stvaraju, EGSO se pita kako će se prijenosi podataka koje stvaraju moći kontrolirati, kako kroz primjenu GDPR-a, tako i ove uredbe.