11.09.2020.

Zbog čega (još) nije donesena Uredba o e-privatnosti?

Jedan od zakonodavnih akata kojim se hrvatsko predsjedanje Vijećem EU-a bavilo za vrijeme svojega mandata bio je Prijedlog Uredbe o e-privatnosti. U članku autor pojašnjava razloge dugotrajnosti zakonodavnog postupka, iznosi što je napravljeno za vrijeme hrvatskog predsjedanja i daje svoju ocjenu o tome kako će se događaji u svezi s Uredbom razvijati u budućnosti, kao i ocjenu o potrebi donošenja posebnih propisa za zaštitu osobnih podataka u elektroničkim komunikacijama.

1. O PRIJEDLOGU UREDBE I DOSADŠNJEM POSTUPKU NJEZINA DONOŠENJA
Komisija EU-a je Prijedlog Uredbe o privatnosti i elektroničkim komunikacijama (u nastavku teksta: EPR)[1] usvojila 10. siječnja 2017. s ciljem da njime zamijeni postojeću Direktivu o e-privatnosti[2]. Komisija je snažno zagovarala brzo donošenje EPR-a i njezinu istodobnu primjenu s Uredbom o zaštiti osobnih podataka (u nastavku teksta: GDPR).

U obrazloženju Prijedloga Komisija je odnos EPR-a i GDPR-a definirala na sljedeći način: »Ovaj je prijedlog lex specialis u odnosu na GDPR te će se njime preciznije utvrditi i dopuniti GDPR u pogledu elektroničkih komunikacijskih podataka koji se smatraju osobnim podacima. Sva pitanja koja se odnose na obradu osobnih podataka koja nisu posebno riješena prijedlogom obuhvaćena su GDPR-om.[3]«.

Ključne odredbe EPR-a odnose se na zaštitu povjerljivosti elektroničkih komunikacija (članak 6.) te zaštitu terminalne opreme korisnika (članak 8.). Članak 6. odnosi se na pružatelje elektroničkih komunikacijskih usluga (osim tradicionalnih, obuhvaćeni su i tzv. OTT[4] pružatelji), dok se članak 8. odnosi na sve pravne i fizičke osobe. EPR sadržava i druge odredbe koje su dio važeće direktive te institucionalne odredbe o nadležnim tijelima za provedbu EPR-a u državama članicama.

EPR uredba donosi se u redovitom zakonodavnom postupku. Pojednostavnjeno, postupak funkcionira tako da se oko teksta moraju suglasiti oba EU zakonodavca, a to su Vijeće EU-a i Europski parlament. Obje institucije zasebno ispituju tekst i predlažu amandmane. Nakon što se u obje institucije usvoji mandat za pregovore, počinju tzv. trijalozi između Komisije, Vijeća i Parlamenta na kojima se pregovara o konačnom tekstu. Nakon što se postigne »politički dogovor« o tekstu, on se formalno usvaja u obje institucije.

U Europskom parlamentu za EPR je zadužen Odbor za građanske slobode, pravosuđe i unutarnje poslove (LIBE), koji je usvojio svoje izvješće i mandat za pregovore 19. listopada 2017., a mandat je potvrđen na plenarnom glasovanju 26. listopada 2017. Izvjestiteljica, tj. osoba zadužena za pregovore u ime Parlamenta je gđa Birgit Sippel (S&D, Njemačka).

U Vijeću je za EPR nadležna Radna skupina za telekomunikacije i informacijsko društvo. Prije Hrvatske, prijedlog se na radnoj skupini raspravljao za vrijeme malteškog, estonskog, bugarskog, austrijskog, rumunjskog i finskog predsjedanja. Tijekom gotovo tri godine rasprave nije postignut dogovor oko mandata za pregovore. Finsko predsjedništvo pokušalo je pred kraj svojega mandata postići donošenje odluke o tzv. »općem pristupu« kojom bi Vijeće usvojilo mandat za pregovore. No, prijedlog nije prošao, jer ga je blokirala većina država članica.

Razloge zbog kojih su pregovori zapeli možemo podijeliti na one vezane uz sam prijedlog, a to su ponajprije odnos s GDPR-om i jasna linija razgraničenja dvaju propisa, područje primjene EPR-a, dopušteni razlozi za obradu podataka i pristup terminalnoj opremi. Osim njih, tijekom pregovora pojavile su se dvije teme koje nisu dio prijedloga Komisije, ali su ključne za neke države, a to je pitanje posebne odredbe kojom bi se dopustila obrada komunikacijskih podataka radi ranog detektiranja sadržaja koji predstavlja dječju pornografiju te odredba koja bi državama članicama omogućila donošenje propisa o obveznom zadržavanju komunikacijskih podataka, radi zaštite nacionalne sigurnosti i borbe protiv kriminala.

U ovom članku fokusirat ćemo se na dvije (suštinske) odredbe EPR-a, a to je obrada komunikacijskih podataka od pružatelja komunikacijskih usluga te zaštita podataka na terminalnoj opremi krajnjih korisnika.

Kako smo već naveli, pravila o obradi komunikacijskih podataka odnose se na pružatelje elektroničkih komunikacijskih usluga. Prema važećoj direktivi o e-privatnosti, to su klasični telekom operatori. Međutim, definicija iz EPR-a vezana je uz definiciju komunikacijske usluge iz Direktive o Europskom zakoniku elektroničkih komunikacija (u nastavku teksta: EECC)[5], pa ona obuhvaća i OTT pružatelje usluga.

Obje ključne odredbe EPR-a zasnivaju se na načelnoj zabrani korištenja podataka i pristupa podacima, osim uz taksativnu listu dopuštenih razloga. Osnovno načelo za korištenje i pristup podacima je privola.

2. KOMPROMISNI PRIJEDLOG HRVATSKOG PREDSJEDANJA I NJEGOV ISHOD
Dva događaja, neposredno prije početka hrvatskog predsjedanja, negativno su utjecala na rad na EPR uredbi. Prvi je bio neuspjeh finskog predsjedanja u postizanju općeg pristupa, pri čemu je tekst odbijen velikom većinom glasova država članica. Drugi događaj bila je izjava povjerenika Bretona na ministarskom sastanku Vijeća da je potreban novi prijedlog. Koliko god se Komisija kasnije trudila objasniti da povjerenik nije rekao ono što je rekao, odnosno nije mislio to što je rekao, ta njegova izjava ostavila je brojne nedoumice oko posvećenosti Komisije svom prijedlogu i time znatno otežala pregovore.[6]

U naknadnim interpretacijama Komisija je protumačila da se »novi prijedlog« zapravo odnosio na tekst koji će pripremiti hrvatsko predsjedanje, uz podršku Komisije. Međutim, osim temeljne tehničke podrške u izradi nacrta, Komisija nije uputila niti jedan supstancijalni prijedlog za poboljšanje teksta.

Treba napomenuti da formalno Komisija mora »braniti« svoj izvorni tekst. No, u stvarnosti Komisija ima ključnu aktivnu ulogu u pronalaženju kompromisa. Kada pregovori zapnu, Komisija vrlo često napravi dodatnu analizu ili neformalan prijedlog rješenja, koje predsjedništvo potom uključi u svoj tekst. Takvo nešto Komisija nije napravila za vrijeme hrvatskog predsjedanja.

Drugi način otključavanja pregovora su prijedlozi grupe država članica koje dijele isto stajalište. Često grupe država sa suprotnim stajalištima međusobno neformalno pregovaraju i predlože predsjedništvu moguće rješenje. Za vrijeme hrvatskog predsjedanja nije došao niti jedan takav prijedlog.

Dakle, hrvatsko predsjedništvo preuzelo je rad na zakonodavnom prijedlogu u trenutku u kojem je izgledalo da su sve mogućnost postizanja kompromisa u okviru postojećeg teksta iscrpljene, i u kojem nitko od aktera nije nudio nova rješenja.

U tim okolnostima bilo je logično pokušati s promjenom koncepcije. Što znači promjena koncepcije? U dosadašnjem dijelu članka objasnili smo da se prijedlog Uredbe temelji na privoli kao osnovnom principu na temelju kojega je dopuštena obrada komunikacijskih podataka i pristup podacima na terminalnoj opremi.

Ta koncepcija podrazumijeva da svi ostali dopušteni razlozi obrade komunikacijskih podataka i pristupa terminalnoj opremi budu taksativno navedeni. Tijekom tri godine pregovora u Vijeću broj taksativno navedenih razloga stalno je rastao. Primjerice, izvorni članak 6. (obrada komunikacijskih podataka) razbijen je na pet zasebnih članaka s ukupno jedanaest dopuštenih razloga obrade podataka.

U članku 8. (pristup terminalnoj opremi) u stavku 1. dodane su tri nove točke, čime se ukupan broj taksativno dopuštenih razloga za pristup terminalnoj opremi popeo na sedam.

U tijeku rasprave na radnoj skupini, ali i u mišljenjima cjelokupne industrije, konstantno se isticalo da razlika između GDPR-a i EPR-a nije jasna, da je potrebno veće usklađenje s GDPR-om te pojednostavnjenje teksta.

Za razliku od EPR prijedloga, GDPR ima drukčiju koncepciju pravnih temelja za obradu osobnih podataka. Pojednostavnjeno rečeno, osim privole postoje i drugi dopušteni razlozi obrade, uključujući i legitiman interes, koji, uz važna ograničenja, može pokriti cijeli niz situacija koje se ne moraju unaprijed taksativno propisati.

Ideja hrvatskog predsjedanja sastojala se u uvođenju legitimnog interesa kao dopuštenog pravnog temelja za obradu komunikacijskih podataka i pristup terminalnoj opremi, čime bi se postiglo traženo ujednačavanje s GDPR-om te pojednostavnjenje teksta, jer bi pojedini taksativno navedeni razlozi ulazili u kategoriju legitimnog interesa. S obzirom na osjetljivost komunikacijskih podataka, zamišljeno je da korištenje legitimnog interesa ima još jače osigurače nego u GDPR-u.

Postojala je i ideja maksimalnog usklađivanja, pri čemu bi članak 8. (pristup terminalnoj opremi) bio u potpunosti ostavljen GDPR-u, ali se od nje odustalo.

U odnosu na ostala otvorena pitanja, ideja je bila raspravu o njima ostaviti za kraj, nadajući se da bi do tada Komisija mogla ponuditi alternativna rješenja kojima bi se omogućilo da se te odredbe maknu iz EPR-a i smjeste u posebne propise gdje zapravo pripadaju.

O ideji hrvatskog predsjedništva raspravljalo se prvo neformalno, a formalni kompromisni prijedlog predstavljen je na radnoj skupini početkom ožujka. Nažalost, zbog izbijanja epidemije bolesti COVID-19, svi sljedeći sastanci radne skupine otkazani su, tako da je izostala supstancijalna rasprava. Daljnje razmatranje prijedloga temeljilo se isključivo na pisanim očitovanjima država članica.

Analiza zaprimljenih pisanih očitovanja pokazala je da promjena koncepta nije dobila dovoljnu podršku, odnosno da postoji tzv. »blokirajuća manjina«[7]. Zanimljivo je da su se u toj »blokirajućoj manjini« našle i neke države koje su snažno kritizirale prethodni tekst. Također, neke su države podržale tekst, ali su tražile vraćanje pojedinih specifičnih razloga, kao dodatan osigurač.

U opisanim okolnostima te u nemogućnosti rasprave na sastancima, nije bilo moguće doći do teksta na temelju kojeg bi se mogao postići »opći pristup« i započinjanje pregovora s EP-om.

Reakcije javnosti na prijedlog nisu bile osobito povoljne. Predstavnici nevladinih udruga za zaštitu privatnosti proglasili su tekst »alatom za nadzor«, »smanjivanjem zaštite koja je omogućena GDPR-om« i slično.

S druge strane, industrija je dala mlaku podršku, nezadovoljna ograničenjima legitimnog interesa koja su stroža nego u GDPR-u.[8] Teško je nagađati kakav bi razvoj događaja bio da nije došlo do epidemije bolesti COVID-19. Čak i pod pretpostavkom da je potrebna većina podržala promjenu koncepcije, nije sigurno da bi bio postignut opći pristup, jer bi trebalo naći odgovarajuća rješenja za ostala otvorena pitanja, posebice za odredbu o mjerama protiv dječje pornografije i odredbu o zadržavanju podataka.

No, ako zanemarimo epidemiju bolesti COVID-19, možemo ipak zaključiti da pokušaj hrvatskog predsjedništva nije bio uspješan.

Koji su razlozi za neuspjeh? Kao prvo, unatoč pozitivnim signalima država članica prema predloženom pristupu, trebalo je u obzir uzeti činjenicu da unutar samih država postoje suprotstavljeni interesi. Zbog toga je usvajanje nacionalnih pozicija otežano. Neke su države u službenim očitovanjima zauzele bitno drukčiju poziciju od očekivane, što je konačno dovelo do blokirajuće manjine.

Drugo, uvođenje legitimnog interesa uz dodatne osigurače nije za industriju, posebice industriju oglašavanja, predstavljalo zadovoljavajuće rješenje. Usto, postojala je bojazan da legitiman interes ne bi preživio pregovore s EP-om. U konačnici, snažan utjecaj na poziciju država članica ima i mišljenje EDPB-a[9], koji se ne slaže s postojanjem legitimnog interesa u EPR-u.

Je li pokušaj, unatoč neuspjehu u postizanju dogovora, imao i pozitivne aspekte? Smatramo da jest. Neuspjela promjena koncepcije pokazala je da za EPR nema čarobnog rješenja. Očito većina ipak želi nastaviti raditi na temelju koncepta koji je Komisija inicijalno predložila, a to je zatvorena lista razloga za obradu i pristup terminalnoj opremi, s naglaskom na privolu.

Promjena koncepcija pomogla je nekim državama da napokon jasnije artikuliraju svoja stajališta. Pritom, i dalje postoji dio država za koje se ne zna što zapravo žele. Neke države koje nisu bile spremne podržati finski tekst i koje su tražile nova i svježa rješenja, glatko su odbile i novi prijedlog.

Na kraju, potvrda da pristup hrvatskog predsjedništva nije bio pogrešan došla je od strane od koje se to najmanje moglo očekivati. Izvjestiteljica EP-a, Brigit Sippel, poznata po svojim beskompromisnim stajalištima oko EPR-a, izjavila je novinaru lista Politico: »Hrvati su za vrijeme svojeg predsjedanja pokušali malo odblokirati stvari. U jednom sam trenutku čak imala dojam da je napokon došlo do pomaka u Vijeću. Sa stajališta Parlamenta, taj pomak nije nužno bio u smjeru u kojem bismo mi to željeli. Međutim, bilo je barem svjetlo na kraju tunela, u smislu da bismo napokon mogli početi s trijalozima. Ali sada je ta nada nestala.«.[10]

3. HOĆE (I KADA) UREDBA O E-PRIVATNOSTI IPAK BITI DONESENA?
Naša je procjena da će Uredba o e-privatnosti u nekom obliku biti donesena, ali otvoreno je pitanje kada bi se to moglo dogoditi.

No, moguće je da će opća zasićenost EPR-om proizvesti i suprotan učinak. Također, treba uzeti u obzir i političku snagu Njemačke, koja preuzima predsjedanje i koja bi mogla pokrenuti stvari s mrtve točke.

No, postoje također jaki argumenti protiv brzog dovršetka postupka. Ponajprije, tu je razina ustupaka koje je potrebno napraviti da bi se udobrovoljile neke velike države koje štite interese industrije, osobito izdavaštva i industrije oglašavanja, zatim sasvim suprotna pozicija EP-a, koji u svojim amandmanima traži još veću zaštitu i još veća ograničenja za industriju.

Ipak, da ne bi sve ostalo na neodređenoj ocjeni, dajemo nekoliko scenarija i procjenu postotka njihova ostvarenja.

Kao najrealniji (60 %) čini se ishod u kojem će njemačko predsjedništvo tijekom svojega mandata usvojiti opći pristup i početi trijaloge. No, zbog razlika u stajalištima između EP-a i Vijeća realno je očekivati da će trijalozi biti teški i da će se međuinstitucionalni pregovori nastaviti za vrijeme portugalskog, a možda i slovenskog predsjedanja. U ovom scenariju EPR se donosi početkom 2022.

Drugi je realan ishod (30%) da niti njemačko predsjedništvo neće uspjeti usvojiti opći pristup te da će se agonija nastaviti za vrijeme trajanja portugalskog predsjedanja i dalje. Uredba u tom scenariju ostaje u zakonodavnom postupku do daljnjeg, s potpuno neizvjesnim datumom donošenja.

Najmanje je realan (10 %) ishod koji industrija, ali i pojedine države članice najviše priželjkuju, a to je da Komisija povuče prijedlog. Naime, stupanje nove Komisije na dužnost bio je pravi trenutak za takvu odluku. U međuvremenu Komisija je usvojila svoj program rada i uvrstila EPR na listu prioritetnih zakonodavnih prijedloga.

4. TREBA LI NAM POSEBNA UREDBA O E-PRIVATNOSTI?
Tri godine pregovora u Vijeću, za vrijeme kojih uopće nije došlo do faze međuinstitucionalnih pregovora, pokazuju da s prijedlogom EPR-a nešto ozbiljno ne valja. Stoga je opravdano postaviti pitanje treba li nam uopće ta uredba. U ovom članku nudimo argumente za tezu da EPR, kao lex specialis, nije potreban.

Jedan od glavnih razloga za posebnu EPR uredbu jest razlika između temeljnog prava na poštovanje privatnog života i komuniciranja iz članka 7. Povelje o temeljnim pravima EU i prava na zaštitu osobnih podataka, kao posebnog prava iz članka 8. Povelje. Budući da GDPR predstavlja zakonsku razradu prava na zaštitu osobnih podataka, EPR je po toj logici potreban za razradu prava na privatnost i zaštitu komunikacija.[11]

Međutim, ta dva prava usko su povezana. Tome u prilog govori činjenica da u Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda pravo na zaštitu osobnih podataka ne postoji kao zasebno pravo, već je sadržano u okviru prava na poštovanje privatnog i obiteljskog života iz članka 8. Konvencije. Priručnik o europskom zakonodavstvu o zaštiti podataka tako navodi: »Pravo na poštovanje privatnog života i pravo na zaštitu osobnih podataka su usko povezana. Oba teže zaštiti sličnih vrijednosti, autonomiji i ljudskom dostojanstvu pojedinaca, jamčeći im osobnu sferu u kojoj mogu slobodno razviti svoje osobnosti, razmišljati oblikovati svoja mišljenja«[12]. U odnosu na razliku između njih, navodi se: »Pravo na zaštitu osobnih podataka uzima se u obzir kada god je riječ o obradi osobnih podataka; stoga je ono šire od prava na poštovanje privatnog života. Bilo kakva obrada osobnih podataka je podložna odgovarajućoj zaštiti.«.

Iz navedenih citata proizlazi da između prava na zaštitu privatnosti i prava na zaštitu osobnih podataka nema razlike koja bi nužno zahtijevala postojanje različitih propisa za njihovu razradu. Nije sporno da pravo na zaštitu osobnih podataka postoji i kao samostalno pravo, bez potrebe dokazivanja ugrožavanja privatnosti. No, kada god su osobni podaci relevantni za pravo na privatnost, tada se ta dva prava trebaju promatrati zajednički. U prilog toj tezi govori i praksa Suda EU-a, koji je u predmetu Digital Rights miješanje u ta dva prava upravo tako promatrao, ustvrdivši pritom: »U tom pogledu valja podsjetiti na to da zaštita osobnih podataka koja proizlazi iz izričite obveze predviđene u članku 8. stavku 1. Povelje ima osobitu važnost za pravo na poštovanje privatnog života iz njezinog članka 7.«[13]

Drugi važan razlog zašto nam ne treba posebna EPR uredba jest pravna sigurnost. Odredbe EPR-a nespretno su razapete između dva druga propisa, GDPR-a i EECC direktive. To će u praksi dovesti do velikih problema i stalnog nesnalaženja subjekata primjene i nadzornih tijela oko pitanja što je čime regulirano i tko je za što nadležan. EPR bio je predviđen za primjenu istodobno s GDPR-om. Međutim, to se nije dogodilo. Adresati su u međuvremenu uložili znatna sredstva u prilagodbu GDPR-u i donošenje EPR-a, a suočit će ih se s novim troškovima i zahtjevima prilagodbe.

Treći je razlog sve teže razlikovanje pojedinih vrsta usluga, pogotovo iz perspektive krajnjih korisnika. Vremena su se promijenila i svi traže način da uđu u različite djelatnosti koje se mahom temelje na internetu. To se pogotovo odnosi na digitalne platforme koje istovremeno pružaju komunikacijske usluge, usluge informacijskog društva, a sve više i financijske usluge[14]. S druge strane, i klasični telekomi pružaju sve više objedinjenih usluga.

Četvrti razlog je paradoks velikih igrača. Naime, EPR svojim odredbama usmjeren je na poslovne modele kojima upravljaju tehnološki divovi poput Googlea, Applea i Facebooka. No, ti divovi imaju dovoljno financijskih resursa da se prilagode svakom propisu, pa tako i EPR-u. S druge strane, brojna mala i srednja poduzeća mogla bi postati kolateralne žrtve novih pravila.

  1. Treba li nam uopće zaštita privatnosti?

Prethodna razmatranja ne znače da zaštita privatnosti nije potrebna. Upravo suprotno, ona je potrebna možda više no ikada.

Naviknuli smo se na »besplatan« sadržaj i brojne korisne, a besplatne aplikacije. Štoviše, postali smo ovisni o tim uslugama i spremni smo zauzvrat dati gotovo neograničenu privolu za korištenje naših podataka i za pristup našoj terminalnoj opremi. Pritom, ne znamo kakvi se sve poslovni modeli vrte u pozadini i u koje se svrhe koriste naši podaci. Realnost je da u ovom trenutku postoje digitalni profili svih nas, sa svim našim navikama, željama, potrebama i, što je najvažnije, potencijalnom tržišnom vrijednosti.[15]

Iluzija je očekivati da će se ti poslovni modeli promijeniti preko noći, odnosno da će neki novi propis, poput EPR-a, riješiti stvar sam po sebi. To se neće dogoditi. Međutim, provođenje postojećih propisa, ponajprije GDPR-a, može pomoći. Aktivnosti nadzornih tijela moraju biti usklađene i moraju se usredotočiti na one koji iniciraju i stvaraju poslovne modele koji počivaju na zloporabi osobnih podataka. Apstraktne definicije i pojmove kao što je npr. »legitimni interes« potrebno je konkretizirati kroz upravnu i sudsku praksu. Pod upravnom praksom ovdje mislimo na upute i smjernice, a ne nužno i jedino na kažnjavanje. Samo tako će se razjasniti što je dopušteno, a što je zabranjeno.

Kao ilustraciju mogućnosti sankcioniranja, koje postoji u važećim propisima, upućujemo na možda najpoznatiji slučaj zloporabe osobnih podataka, famozni Cambridge Analytica skandal, u kojem su brojni osobni podaci s Facebooka zloupotrijebljeni u svrhu izbornog inženjeringa. U konačnici, slučaj je riješen na temelju odredaba o zaštiti osobnih podataka još iz vremena prije GDPR-a.

Činjenice utvrđene od UK nadzornika za zaštitu osobnih podataka[16] pokazuju da je većina podataka koje je naknadno koristila Cambridge Analytica bila prikupljena na temelju privole korisnika aplikacije Thisisyourdigitallife.

Na temelju podataka prikupljenih od korisnika Facebooka, aplikacija je generirala osobne profile tih korisnika. Dodatno, aplikacija je tražila dozvolu za pristup osobnim podacima njihovih Facebook prijatelja te generirala i njihove osobne profile

U konačnici UK nadzornik za zaštitu osobnih podataka zaključio je da je navodna privola u odnosu na Facebook prijatelje korisnika aplikacije bila nevaljana. No, što je još važnije, nadzornik je utvrdio da je korištenje osobnih podataka bilo ne samo suprotno zakonu, već i suprotno pravilima samog Facebooka, koji je to priznao, ali nije ništa učinio da takvu zloporabu spriječi.[17] Iz toga primjera možemo zaključiti da za sprječavanje ponavljanja sličnog skandala nisu nužno potrebna nova pravila, već konzistentna primjena postojećih, uključujući i interna pravila samih pružatelja usluga.

5. ZAKLJUČAK
Umjesto zaključka, ponudit ćemo rješenje problema EPR-a. Rješenje je zapravo vrlo jednostavno. Materija zaštite osobnih podataka treba biti uređena GDPR-om i nema potrebe donositi lex specialis. To se posebice odnosi na materiju članka 8. i zaštitu terminalne opreme od tzv. kolačića, jer postavljanje kolačića nije samo sebi svrha, već je njihova svrha daljnja obrada tako prikupljenih podataka. Zato taj problem treba gledati kao jedinstvenu cjelinu, a ne kao dvije odvojene faze.

S druge strane, ako postoje specifične obveze pružatelja elektroničkih komunikacijskih usluga u odnosu na komunikacijske podatke koje ne mogu biti uređene GDPR-om, one se trebaju urediti propisom koji je za te pružatelje relevantan, a to je Direktiva o Europskom zakoniku elektroničkih komunikacija. To se odnosi i na brojne posebne odredbe koje EPR prijedlog sadržava, a koje su tipične odredbe telekomunikacijskog zakonodavstva.

To jednostavno rješenje, nažalost, ne vodi računa o političkim realnostima. Prva politička realnost je banalna, ali u stvarnom svijetu vrlo bitna. Za GDPR i EPR zadužene su različite glavne uprave Komisije, pa stoga nije realno očekivati da će uprava zadužena za EPR tek tako odustati od propisa iz svoje nadležnosti. Druga politička realnost je proklamirani uspjeh GDPR-a i osjetljivi balans koji je GDPR-om uspostavljen.

Otvoriti GDPR značilo bi staviti ponovno na stol sva pitanja oko kojih je postignut kompromis, među kojima je i pravna osnova na temelju legitimnog interesa. Na to trenutačno nitko nije spreman.

Stoga će, po svemu sudeći, EPR prijedlog i dalje nastaviti svoj pravni put. Preko njega ponovno će se voditi bitke koje su već vođene oko GDPR-a. Jednom kada bude donesen, EPR će za industriju predstavljati novi izazov za prilagodbu, a za građane će predstavljati veću razinu zaštite njihove privatnosti samo u onoj mjeri u kojoj će nadzorna tijela biti spremna i kapacitirana tu privatnost štititi na razini EU-a.

[1]*  HAKOM. Prijedlog Uredbe o poštovanju privatnog života i zaštiti osobnih podataka u elektroničkim komunikacijama te stavljanju izvan snage Direktive 2002/58/EZ (Uredba o privatnosti i elektroničkim komunikacijama) COM/2017/010 final - 2017/03 (COD).
[2]    U Republici Hrvatskoj Direktiva o e-privatnosti prenesena je u Zakon o elektroničkim komunikacijama (Nar. nov., br. 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17); v. članke 99.-110.
[3]    Ibid 1., str. 2.
[4]    »Over the top« su komunikacijske usluge (npr. Skype, WhatsApp, Viber) ili platforme poput Facebooka, koje omogućavaju komunikaciju koristeći internet, bez posjedovanja vlastite mreže.
[5]    Direktiva o Europskom zakoniku elektroničkih komunikacija br. 2018/1972 od 11. prosinca 2018., sveobuhvatni je zakonodavni akt kojim je kodificirano i reformirano EU telekomunikacijsko zakonodavstvo. Rok za prenošenje direktive u nacionalna zakonodavstva je prosinac 2020.
[6]    V. Euroactiv https://www.euractiv.com/section/data-protection/news/commission-to-present-revamped-eprivacy-proposal/ (pristupljeno 6. svibnja 2020.).
[7]    »Blokirajuća manjina« postoji kada se prijedlogu protive najmanje četiri države članice čiji zbroj glasova predstavlja više od 35 % EU stanovništva.
[8]    Vidi, primjerice, https://iapp.org/news/a/critics-on-croatias-eprivacy-proposal-legitimate-interest-provisions-not-legitimate/ (pristupljeno 19. svibnja 2020.).
[9]    EDPB (European Data Protection Board) odnosno EOZP (Europski odbor za zaštitu podataka) neovisno je europsko tijelo koje pridonosi dosljednoj primjeni pravila o zaštiti podataka diljem Europske unije. U svojoj izjavi o EPR-u od 25. svibnja 2018. izričito se protivi mogućnosti obrade podataka odnosno pristupu terminalnoj opremi na temelju legitimnog interesa.
[10]  Razgovor je objavljen na PoliticoPro Internet portalu pod naslovom: »Hungary situation looms over talks on e-evidence sharing, says lead MEP«, autor Vincent Manancourt, 30. travnja 2020.
[11]  Ibid 1., str. 5.: Dok se GDPR-om osigurava zaštita osobnih podataka, Direktivom o e-privatnosti osigurava se povjerljivost komunikacija, koje isto tako mogu sadržavati neosobne podatke i podatke povezane s pravnom osobom. Stoga bi zasebnim instrumentom trebalo osigurati učinkovitu zaštitu članka 7. Povelje.
[12]  Priručnik, str. 19.
[13]  Vidi presudu u spojenim predmetima C‑293/12 i C‑594/12, Digital Rights Ireland Ltd., stavak 53.
[14]  Vidi, primjerice, članak: https://www.forbes.com/sites/ronshevlin/2020/05/11/google-the-next-big-fintech-vendor/#1627cf94cbdeFintech (pristupljeno 6. lipnja 2020.).
[15]  Vidi, primjerice: Wolfie Christl, Corporate Surveillance in Everyday Life: How Companies Collect, Combine, Analyze, Trade, and Use Personal Data on Billions A Report by Cracked Labs, Vienna, June 2017. https://crackedlabs.org/dl/CrackedLabs_Christl_CorporateSurveillance.pdf, pregledano 8. lipnja 2020.
[16]  UK Information Commissioner https://ico.org.uk/.
[17]  Vidi obavijest UK nadzornika za zaštitu podataka o financijskoj kazni od 24. listopada 2018., stavci 28. i 29.