Usklađivanje djelovanja visokoškolskih institucija s Općom uredbom o zaštiti podataka (GDPR)


Početkom 2012. godine europski je zakonodavac najavio potrebu unificiranja pravila o zaštiti osobnih podataka u državama članicama Europske unije kako bi pravni okvir držao korak s tehnološkim napretkom i novim načinima obrade osobnih podataka. Dodatni poticaj za takvo unificiranje i postrožavanje pravila o zaštiti osobnih podataka je bila međunarodna afera Snowden, tijekom koje su otkrivene informacije o ekstenzivnom korištenju osobnih podataka od strane središnjih obavještajnih agencija te značajne povrede ljudskih prava zajamčenih Europskom konvencijom za zaštitu ljudskih prava i temeljnih sloboda. U otprilike isto vrijeme Sud Europske unije potvrdio je postojanje "prava na zaborav" (the right to be forgotten) u presudi Google Spain (C-131/12, EU:C:2014:317). Riječ je o pravu pojedinaca zahtijevati od internetskih pretraživača brisanje s popisa rezultata pretraživanja onih informacija koje su, s obzirom na sve okolnosti slučaja, neprikladne, nisu relevantne odnosno nisu više relevantne ili su pretjerane u odnosu na svrhe obrade o kojoj je riječ koju provodi operater pretraživača. Povrh toga, 2015. godine u predmetu Schrems (C-362/14, EU:C:2015:650), Sud Europske unije proglasio je nevaljanom Odluku Komisije 2000/520/EZ od 26. srpnja 2000. (Safe Harbour). Navedeni sporazum temeljio se na Direktivi 95/46/EZ Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31–50), trenutno važećem instrumentu zaštite osobnih podataka na razini Europske unije. Sud je utvrdio da Safe Harbour ne osigurava adekvatnu razinu zaštite i da ne zadovoljava uvjete iz Povelje Europske unije o temeljnim pravima, a zamijenjen je tzv. sporazumom Privacy Shield.

U svjetlu opisanih zbivanja donesena je nova Uredba (EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (skraćeno: Opća uredba o zaštiti podataka; GDPR, SL L 119, 4.5.2016, str. 1–88) koja će zamijeniti Direktivu 95/46/EZ. Na snagu je stupila u svibnju 2016. godine, ali će se potpuno primjenjivati od 25. svibnja 2018. godine u svim državama članicama Europske unije. Budući da se radi o uredbi, to jest aktu koji je obvezujuć u cijelosti i izravno se primjenjuje u državama članicama, institucije u Republici Hrvatskoj morat će od navedenog datuma uskladiti svoje poslovanje s odredbama navedene Uredbe, što svakako uključuje i visokoškolske ustanove.

Od visokoškolskih ustanova zahtijevat će se značajne promjene u pristupu prikupljanju i obradi osobnih podataka zaposlenika, studenata te trećih strana s kojima ove ustanove surađuju u obavljanju svoje djelatnosti. To prije svega znači da će visokoškolske ustanove morati prilagoditi svoj dosadašnji način rada zahtjevima Uredbe. Za nadzor provođenja Uredbe bit će zadužena Agencija za zaštitu osobnih podataka, a nepoštivanje odredbi Uredbe povlači veoma ozbiljne kazne koje sežu do čak 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, koja god vrijednost bude viša, što svakako predstavlja dodatni poticaj institucijama za pravovremeno i ispravno usklađivanje sa zahtjevima Uredbe, u čemu pravni aspekt neupitno prevladava.


Istraživački tim
Danijela Vrbljanac dvrbljanac@pravri.hr
Ines Matić imatic@pravri.hr

dr. sc. Ines Matić univ. spec. crim.

Pravni fakultet
Pravni fakultet

e-pošta: imatic@pravri.hr