Pitanje odgovornosti nije novo u zakonima EU-a. Prisutno je i u postojećoj regulativi, prvenstveno u trenutno važećoj Direktivi 95/46/EZ, no u GDPR-u (Općoj uredbi o zaštiti podataka) temeljito je prerađeno.
Pravnik Brendan Van Alsenoy u svom je znanstvenom članku pokušao objasniti promjene koje nas čekaju.
Direktiva 95/46/EZ
Trenutna pravila nalažu da su voditelji obrade odgovorni za svu štetu nastalu obradom podataka, osim ako mogu dokazati da ta šteta nije nastala zbog njihove krajnje nepažnje. Izvršitelji obrade nisu odgovorni u toj mjeri, čak i ako se ponašaju suprotno naredbama voditelja obrade.
Nadalje, voditelji obrade snose odgovornost prema ispitanicima (pojedincima) u bilo kojem slučaju u kojem je došlo do nedozvoljene obrade podataka, neovisno o tome je li tu obradu počinio voditelj ili netko drugi.
Čak i da je izvršitelj obrade odgovoran za nezakonite radnje, voditelj obrade jest taj na kojeg pada sva odgovornost. Direktiva 95/46/EZ na izvršitelje obrade gleda kao na pasivne sudionike u postupcima obrade podataka. Budući da se odgovornost voditelja obrade ne može prenijeti, nazivamo je ‘neprenosivom obvezom primjene dužne pažnje’.
‘Odmetnuti’ izvršitelji
Direktiva 95/46/EZ uglavnom ne štiti voditelje obrade od izvršitelja obrade koji ne rade ono što im je naloženo, ili rade protivno tome. Nacionalni zakoni, s druge strane, često imaju propise koji izvršitelje obrade također proglašavaju odgovornima za posljedice obrade. U većini će slučajeva ipak voditelji obrade biti ti koji će morati podmiriti svu nastalu štetu, a potom tražiti regres od izvršitelja obrade prema ugovoru koji su međusobno sklopili.
No nisu sve radnje izvršitelja obrade jednako zaštićene. Izvršitelje obrade koji nepropisno rukuju podacima koje im je voditelj obrade povjerio i koriste ih u svoje svrhe protivno ugovornim obvezama zakon tretira kao zasebne voditelje obrade. Tako se ti ‘odmetnuti izvršitelji’ mogu tužiti za nanesenu štetu od strane ispitanika, no prvotni su voditelji i dalje odgovorni jer se primjenjuje načelo stroge odgovornosti.
Nasreću po maliciozne voditelje i izvršitelje obrade, ispitanicima (data subjects) je uglavnom jako teško dokazati štetne radnje, jer su ispitanici ti koji moraju dokazati nezakonitu obradu, zatim činjenicu da su zaista pretrpjeli štetu koja je posljedica nezakonite obrade i na kraju utvrditi da je tuženik zaista odgovoran voditelj obrade.
Izvršitelji podataka sada moraju biti pažljivi tijekom obrade – i njih se može tužiti!
GDPR i odgovornost
GDPR propisuje neograničenu odgovornost za svu štetu nastalu nepropisnom obradom koja je posljedica krajnje nepažnje ili obrade u lošoj vjeri.
U članku 5. st. 2. propisano je da voditelj obrade snosi glavnu odgovornost za podatke koji su mu povjereni. No može se osloboditi odgovornosti ako, prema čl. 82. st. 2., „dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu“.
Naravno, breme ovih propisa za odgovornost za štetu uglavnom pada na leđa voditelja obrade. Kao odgovor, voditelji su počeli s izvršiteljima obrade sklapati ugovore koji sadrže klauzule o neograničenoj odgovornosti. To u teoriji izgleda dobro, no jasno je da većina izvršitelja obrade nije u stanju ispuniti obaveze koje bi zaista proizašle da se ta klauzula aktivira.
No u usporedbi s Direktivom 95/46/EZ, GDPR uvodi institut ‘kumulativne odgovornosti’ što znači da i izvršitelji obrade također mogu uz voditelje snositi dio odgovornosti. To je ipak pirova pobjeda za izvršitelje jer se sad oboje može tužiti za njihov dio odgovornosti (a oboje mogu biti odgovorni za svu nastalu štetu).
Kiber osiguranje moglo bi uskoro postati sve značajnije i važnije, jer će tvrtke željeti smanjiti svoj rizik plaćanjem premija u zamjenu za relativnu sigurnost.
Sve u svemu, GDPR se ne razlikuje značajno po osnovnim načelima stroge odgovornosti kako je propisano u trenutnom zakonodavstvu.
Teret dokaza
Odgovornost voditelja obrade ovisi o procjeni rizika za svoje aktivnosti obrade. Voditelji moraju provesti sve potrebne korake kako bi obavijestili ostale voditelje o željama ispitanika za ostvarivanjem prava na zaborav, naprimjer.
Voditelji obrade moraju moći dokazati usklađenost s GDPR-om, a jednom kad ispitanik podastre dokaze da je došlo do nepropisne obrade, teret dokaza svaljuje se na voditelja obrade koji mora dokazati suprotno.
Općenito, vrlo je uzak spektar uvjeta u kojima bi se voditelj obrade mogao uspješno ograditi od odgovornosti. To su uglavnom slučajevi više sile i greške od strane ispitanika.
GDPR također kodificira važno pravo za ispitanike. Oni sada, naime, mogu tražiti naknadu pretrpljene štete i za materijalnu i za nematerijalnu štetu.
Izuzeće od odgovornosti
Valja imati na umu da internetski posrednici, kao što su Google i usluge hostinga, uglavnom nemaju obvezu utvrđivanja zakonitosti obrade podataka na njihovim poslužiteljima. Takav nadzor obrade s njihove bi strane zapravo mogao sam po sebi biti nezakonit.
No to izuzeće ovisi o stupnju obrade i uslugama koje se nude. Ako pružatelj hosting usluga nije pasivan, nego nudi i aktivne usluge obrade, pružatelj bi se mogao smatrati izvršiteljem obrade, zajedno sa svom odgovornosti koja iz toga proizlazi.
Izvršitelji obrade
Ovo je polje doživjelo najviše izmjena. Dok je odgovornost voditelja obrade ostala uglavnom nepromijenjena, sada i izvršitelji obrade snose više odgovornosti za svoje postupke. Kao posljedica, voditelji obrade mogu se donekle manje brinuti, jer će od sada i izvršitelji obrade trebati više paziti.
Proporcionalnost
Voditelji obrade i dalje snose najviše odgovornosti, npr. odgovorni su i za svoje i za radnje izvršitelja obrade, ali su i izvršitelji odgovorni za svoje radnje obrade. Drugim riječima, izvršitelji obrade ne moraju se brinuti o radnjama voditelja od kojih primaju naredbe za obradu dok god su one zakonite, no moraju paziti kako oni sami postupaju s podacima.
No valja pripaziti: izvršitelji obrade trebali bi voditeljima prijaviti svaku osnovanu sumnju u zakonitost naredbi za obradu podatka koju su dobili od voditelja.
Također, ako izvršitelji obrađuju podatke na nezakonit način ili van okvira određenih ugovorom s voditeljima obrade, odgovorni su za sve prekršaje koje počine. To se razlikuje od prvotnog prijedloga GDPR-a, koji je propisivao da su i voditelji odgovorni po načelu dijeljene odgovornosti.
Izvršitelji ne moraju izravno dokazivati usklađenost s GDPR-om, ali trebaju pružiti dokaze da ispunjavaju očekivanja voditelja obrade. Ipak, morat će dokazati usklađenost ako ispitanici podastru dokaze o nedozvoljenoj obradi podataka.
Pod-obrađivanje
Ako izvršitelji obrade svoje obveze obrade povjeravaju trećim stranama, odgovorni su za taj dio obrade, baš kao što je voditelj obrade odgovoran za aktivnosti svojeg izvršitelja. Uobičajeno je tražiti izričitu dozvolu od strane voditelja obrade prije davanja podataka na obradu trećim stranama.
Naknada šteta za ispitanike
Ispitanici sada mogu tužiti i voditelje i izvršitelje obrade za nezakonite aktivnosti izvršitelja, dok je za aktivnosti voditelja obrade moguće tužiti samo voditelje obrade.
Fizičke osobe mogu tražiti naknadu štete od svih strana uključenih u obradu, no to je u praksi iznimno zamršeno.
Upravljanje rizikom od odgovornosti u praksi
Kako smo već prije naveli, dobro sročeni ugovori od ključne su važnosti za voditelje obrade kako bi zaštitili svoje interese. U slučaju nezakonite obrade kazne su ogromne, a k tome su još i proporcionalne, bez propisanog novčanog maksimuma (do 20 milijuna eura, ali i do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu).
Stoga je bitno imati papirnati trag o svemu. Prilikom ugovaranja usluga s izvršiteljima, potrebno je unaprijed odrediti koji će se podaci obrađivati i obujam obrade. Očekuje se da će u bliskoj budućnosti nadzorna tijela predstaviti predloške za ugovore koji su usklađeni s GDPR-om.
Postojeće ugovori između voditelja i izvršitelja treba pregledati i utvrditi jesu li i dalje adekvatni, uzevši u obzir promjene koje GDPR donosi.
Sadržaj ugovora
Svi ugovori trebaju jasno navesti obujam, prirodu i svrhu obrade, kao i navesti obaveze obiju strana. Treba navesti i vrste podataka koji se obrađuju. Izvršitelji smiju izvršavati obradu samo prema pisanim uputama voditelja obrade, osim ako zakonom nije drugačije regulirano.
Postoje i obavezne klauzule koje od izvršitelja obrade zahtijevaju korištenje odgovarajućih sigurnosnih mjera i pomaganje voditeljima u osiguravanju osobnih prava ispitanika. Sve aktivnosti obrade smatraju se povjerljivima.
Pri isteku ugovora izvršitelj obrade mora sve podatke ili obrisati ili vratiti voditelju obrade. Revizije i inspekcije su dozvoljene i preporučuju se.
Zaključak
GDPR zaista donosi nekoliko važnih promjena koje se tiču odgovornosti. Izvršitelji obrade sada imaju više odgovornosti prema ispitanicima, što znači da voditelji obrade više neće nužno plaćati kazne za tuđe pogreške.
Nadalje, i voditelji i izvršitelji mogu biti suodgovorni za kazne, ovisno o stupnju upletenosti.
Na kraju, prema Direktivi o elektroničkoj trgovini iznimke za ‘samo posrednike’ (mere conduits), tj. pasivne poslužitelje i ostale pružatelje usluga ostaju na snazi. Oni ne moraju nadzirati promet koji prenose i za isti nisu odgovorni.
Tvrtke bi se trebale pobrinuti da na vrijeme ažuriraju ugovore prije nego GDPR stupi na snagu, 25. svibnja 2018. U suprotnom snose rizik od tužbi i kazni.
