Novi zakon uvodi rokove za istrage: složeni slučajevi moraju biti završeni u roku od 15 mjeseci (uz mogućnost produženja za još 12), dok se jednostavniji slučajevi trebaju riješiti u 12 mjeseci, također uz moguću odgodu zbog pravnih procedura.

No, digitalni aktivisti i industrija su nezadovoljni – prvi jer smatraju da se time otežava podnošenje pritužbi, a drugi jer tvrde da se GDPR dodatno komplicira.

Nova pravila

Pregovarači su u ponedjeljak navečer u Strasbourgu usuglasili nova proceduralna pravila za provedbu GDPR-a, koja bi trebala pojednostaviti i ubrzati najsloženije prekogranične istrage povreda osobnih podataka. Spora provedba GDPR-a već godinama predstavlja ozbiljan problem za Uniju. Najkompleksniji slučajevi – osobito oni koji uključuju Big Tech – često traju godinama.

GDPR koristi tzv. mehanizam 'jedinstvene kontaktne točke', prema kojem je za prekogranične slučajeve nadležan jedan nacionalni regulator. U praksi to često znači da postupke vodi Irska komisija za zaštitu podataka (DPC), s obzirom na to da su brojne tehnološke kompanije, uključujući Metu, Google, Apple i X, registrirane u toj zemlji.

No irski oprez pri izricanju visokih kazni već je dugo trn u oku drugih europskih regulatora, koji traže odlučniji pristup u zaštiti privatnosti. Takva situacija stvorila je napetosti između Dublina i ostatka EU-a. Europska komisija predložila je nova pravila 2023. kao 'dozu steroida' za posustale GDPR slučajeve, osobito one s visokim ulozima.

Pregovarači iz Vijeća, Europskog parlamenta i Komisije postigli su dogovor nakon višemjesečnih rasprava. Dvije ključne točke prijepora bile su trajanje istraga i mehanizmi za pravnu zaštitu kada se rokovi ne poštuju.

Dogovoreno je da rok za završetak općih prekograničnih istraga iznosi 15 mjeseci, uz mogućnost produljenja za dodatnih 12 mjeseci u posebno složenim slučajevima, potvrdilo je Vijeće EU-a. Za jednostavnije slučajeve uvodi se pojednostavljena procedura suradnje između nacionalnih tijela, s rokom od 12 mjeseci (uz mogućnost dodatnog produljenja zbog nacionalnih pravnih procedura).

Pregovori su u svibnju gotovo propali, jer se Parlament zalagao za kraće rokove, dok su države članice tražile više vremena za istrage.

Novi zakon precizno definira načine suradnje nacionalnih regulatora u prekograničnim slučajevima, uključujući raniju razmjenu informacija. Također se uređuje pravo stranaka – kako podnositelja pritužbi, tako i onih pod istragom – da sudjeluju u postupku i pristupe dokumentaciji, uz propisane iznimke povjerljivosti.

Digitalne aktivističke organizacije brzo su kritizirale novi zakon. Max Schrems, jedan od najpoznatijih boraca za zaštitu podataka u Europi, izjavio je: 'Kad bi se dodjeljivala nagrada za najgore pisanje zakona u EU, ovaj bi propis bio favorit.' Njegova organizacija noyb (None of Your Business) upozorila je da će zakon otežati građanima ostvarivanje svojih prava te omogućiti regulatorima – poput irskog DPC-a – da masovno odbacuju pritužbe.

S druge strane, češka zastupnica Markéta Gregorová iz Piratske stranke, koja je vodila pregovore ispred Europskog parlamenta, poručila je kako novi zakon ide u smjeru 'pojednostavljenja postupaka' i bržeg rješavanja slučajeva 'bez narušavanja prava uključenih strana'.

No ni predstavnici industrije nisu zadovoljni. Udruženje CCIA Europe, koje zastupa interese mnogih velikih tehnoloških kompanija, tvrdi da će nova pravila otežati usklađivanje s GDPR-om. 'Umjesto da smanji birokraciju, ovaj privremeni dogovor vjerojatno će dodatno zakomplicirati usklađivanje s GDPR-om za tvrtke svih veličina', izjavila je Claudia Canelles Quaroni, voditeljica za privatnost i sigurnost u CCIA Europe.