Nadzorna tijela
Nadzorna tijela nezavisne su organizacije prisutne u svakoj od zemalja članica. Svaka zemlja članica dužna je imenovati nadzorno tijelo, a ako ih ima više (kao u Njemačkoj), mora odrediti koje će biti glavno. Prema čl. 51, zadaća nadzornog tijela je nadzor primjene GDPR-a, „kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije“.
Nadzorno tijelo u državi članici mora na dosljedan način primjenjivati propise iz GDPR-a. Za to postoje koordinacijski mehanizmi među samim nadzornim tijelima, kao i novoosnovani Europski odbor za zaštitu podataka.
Kontaktna točka
Nadzorna tijela prva su kontaktna točka za sve tvrtke. Nadzorno tijelo države u kojoj tvrtka ima poslovni nastan bit će glavno nadzorno tijelo za tu tvrtku. Poslovni nastan može biti teško definirati, ali odnosi se na državu iz koje se donose odluke od ključne važnosti za tvrtku, dakle najčešće zemlje u kojoj se nalazi uprava.
Naprimjer, ako se tvrtka iz Njemačke odluči proširiti u Francusku, oba nadzorna tijela mjerodavna su za tu tvrtku, ali ona komunicira samo s njemačkim nadzornim tijelom, koje je sâmo zaduženo za komunikaciju i koordinaciju sa svojim francuskim kolegama. Samo glavno nadzorno tijelo ovlašteno je donositi za tvrtku zakonski važeće odluke.
Sve usluge na jednom mjestu
Ako tvrtka nema nastan ni u jednoj državi članici EU-a, morat će komunicirati s nadzornim tijelima u svakoj od država u kojim posluje. Zato osnivanje podružnice u EU-u ima više smisla. To je novi regulatorni mehanizam u kojem se svi administrativni poslovi i obaveze ispunjavaju u komunikaciji samo s jednim nadzornim tijelom.
Nadzorna tijela obavljaju širok spektar poslova. Imaju ovlasti provođenja istrage, savjetodavnu ulogu, ali i ovlasti izdavanja kazni. Također obrađuju žalbe pojedinaca prema tvrtkama i organizacijama. Tvrtke imaju obavezu redovito komunicirati s nadzornim tijelom u slučaju da dođe do poteškoća ili povrede podataka. Komunikacija se uglavnom odvija preko službenika za zaštitu podataka (DPO-a).
Velik dio poslova odvija se iza kulisa kako bi tvrtke imale manje administrativnih poslova, i s time se ne trebaju zamarati. Glavno nadzorno tijelo zaslužno je za provođenje istraga i koordinaciju s ostalim nadzornim tijelima. Smatramo da je to jedno od većih postignuća GDPR-a.
Europski odbor za zaštitu podataka
Europski odbor za zaštitu podatka (EDPB) nova je stara agencija. Da objasnimo, trenutno važeća Direktiva 95/46/EZ iz 1995. propisuje stvaranje savjetodavnog tijela.
Preobraženje
To se tijelo trenutno naziva Radna skupina iz čl. 29, a sastoji se od predstavnika nacionalnih nadzornih tijela iz svake države članice, Europskog nadzornika za zaštitu podataka (trenutni nadzornik: Giovanni Buttarelli) i Europske komisije. Ono ima prvenstveno savjetodavnu funkciju – daje stručne upute nadzornim tijelima, koordinira primjenu načela zaštite podataka i Europskoj komisiji iznosi mišljenja o prijedlozima zakona vezanim uz privatnost i zaštitu podataka.
Kad GDPR stupi na snagu, Radnu skupinu iz čl. 29 zamijenit će Europski odbor za zaštitu podataka, tj. Radna će skupina promijeniti ime, ali uz to će dobiti i širi spektar obaveza i ovlasti. EDPB će biti nezavisno tijelo s ovlastima u cijeloj Uniji, umjesto obične savjetodavne organizacije.
Radna je skupina tu preobrazbu već uvela u svoj Radni plan za 2016-2018 u kojem navodi glavne promjene koje će morati provesti. Organizacija će se reorganizirati u nekoliko odjela od kojih će svaki imati svoje zadatke i ovlasti.
Kao i do sad, i EDPB će sačinjavati predstavnici nadzornih tijela svake države članice i Europski nadzornik za zaštitu podataka. Europskoj će komisiji pripasti status promatrača, bez prava glasa. U slučaju da države imaju više od jednog nadzornog tijela, morat će se dogovoriti oko predstavnika. EDPB će također pružiti administrativne usluge Europskom nadzorniku za zaštitu podataka.
Glavni koordinator
EDPB će koordinirati nadzornim tijelima. Iako će jedno nadzorno tijelo biti odgovorno za pojedinu tvrtku, budući da tvrtke mogu poslovati diljem cijele Europske unije, može se pokazati potreba za suradnjom tijela. Do toga može doći u slučaju sporova ili odluka nadzornih tijela koje bi mogle imati utjecaj na cijelu Europsku uniju. U tim slučajevima EDPB može intervenirati i dati svoje mišljenje, ali i donijeti obvezujuće odluke (za što je potrebna kvalificirana većina). Te se odluke, naravno, mogu pobijati na sudu.
Koordinacija i ujednačavanje propisa odvijat će se pomoću mehanizma konzistentnosti, kako je navedeno u čl. 63. GDPR-a. Mehanizam konzistentnosti aktivira se samo ako odluka nadzornog tijela ima utjecaj na cijelu EU. To tvrtkama otvara prostor za traženje što ‘blažeg’ nadzornog tijela. Kazne su ogromne i unatoč jednakom slovu zakona u cijeloj EU, kulturološke bi razlike mogle igrati ulogu tako što bi neka nadzorna tijela mogla zauzeti blaži stav prema kažnjavanju, naprimjer.
S druge strane, odluke EDPB-a u većini će slučajeva biti javno dostupne. U načelu će EDPB stupiti u kontakt sa svim relevantnim dionicima na koje se odluka odnosi prije nego je donese, kad god je to prikladno.
Može li se EU prilagoditi modernom, digitalnom dobu?
Europska komisija
Kako je navedeno iznad, Europska će komisija i dalje biti dio EDPB-a, gdje će imati ulogu ‘zaštitne mreže’ kao nadnacionalni faktor koji sprečava da Odbor preraste u međudržavni klub. Na Komisiji je da osigura da Odbor postupa u interesu europskih građana i zaštite njihovih osobnih podataka. Nadalje, Komisija je jedina koja ima ovlasti donositi obvezujuće odluke. Kad bi to radio Odbor, to bi tehnički bilo protivno Ugovorima EU-a.
Pažljivi promatrač
Naglašava se da Europska komisija neće utjecati na neovisnost nadzornih tijela. Tek trebamo vidjeti u kojoj će se to mjeri ostvariti. EK se nikako ne bi trebala miješati u pojedinačne slučajeve, a osobito one bez utjecaja na cijelu EU. Komisija smije dati svoje mišljenje u slučajevima kad dođe do aktivacije mehanizma konzistentnosti prema odluci EDPB-a ako to smatra potrebnim, no smije se uključiti samo ako njezino mišljenje nadzorna tijela ne razmotre.
Ako bilo Komisija bilo Odbor sumnjaju da bi mjere koje nadzorno tijelo poduzme za posljedicu imale nepravilnu primjenu GDPR-a, Komisija može od nadzornog tijela tražiti izuzimanje te mjere na razdoblje od najviše godinu dana. Dva su slučaja u kojima to Komisija smije napraviti: kako bi se usuglasila različita mišljenja nadzornih tijela i Odbora te za usvajanje implentirajuće mjere ako je došlo do poteškoća u funkcioniranju unutarnjeg tržišta EU-a.
Zaključak
Novi propisi i pristup koji za cilj ima osiguravanje koordinacije među nadzornim tijelima znače da se većina regulatornog posla odvija van pogleda tvrtki i organizacija i ne predstavlja nešto čime bi se tvrtke trebale zabrinjavati. To je jedan od značajnih uspjeha GDPR-a.
Tvrtke će tako trebati komunicirati samo s jednim nadzornim tijelom. Nadalje, mogu biti sigurni da će odluke koje od nadzornog tijela dobiju važiti u cijeloj EU. Teret dokazivanja da će ostala nadzorna tijela uvažiti odluku je na nadzornom tijelu koje ju je izdalo, a ne na tvrtki. Time se drastično olakšava usklađivanje s propisima i širenje u druge zemlje.
Otvoreno je pitanje rada koordinacijskog mehanizma u praksi, što ćemo tek vidjeti. Moguće je da će neka nadzorna tijela biti popustljivija od ostalih, a to bi moglo utjecati na dosljednost provođenja propisa. U početku se, naravno, očekuju određene poteškoće dok se svi uhodaju, ali (osim strogih propisa) regulatorni okoliš je znatno povoljniji u smislu da više neće biti toliko nepoznanica i skrivenih uvjeta.
