c S
U središtu

Zakon o potvrđivanju dodatnog Protokola uz Konvenciju 108

24.09.2020 Dana 3. listopada 2019. u Hrvatskom saboru izglasan je Konačni Prijedlog Zakona o potvrđivanju dodatnog Protokola kojim se mijenja i dopunjuje Konvencija za zaštitu osoba glede automatizirane obrade osobnih podataka iz 1981. godine.1 Zakon je objavljen u „Narodnim Novinama – Međunarodni ugovori“ broj 8/2019 od 30. listopada 2019. Za njegovu provedbu nadležna je Agencija za zaštitu osobnih podataka.

Republika Hrvatska je ratificirala Protokol uz Konvenciju ne samo kao članica Vijeća Europe, nego i kao članica Europske unije. Naime, Komisija je donijela Odluku (EU) 2019/682 od 9. travnja 2019. o ovlašćivanju država članica da u interesu Europske unije ratificiraju Protokol o izmjeni Konvencije Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka.

Osim što ratificiranjem i prenošenjem tog značajnog međunarodnog akta ispunjava svoje međunarodne obveze, Republika Hrvatska će dodatno i na svom teritoriju unaprijediti zaštitu osobnih podataka. U tekstu se daje kratak pregled onoga što za obradu osobnih podataka donosi spomenuti Protokol, odnosno izmijenjena Konvencija 108 (Konvencija 108+), te se ukratko razmatra odnos izmijenjene Konvencije i zakonodavstva EU-a u području zaštite osobnih podataka.

Konvencija Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka („Konvencija br. 108”) jedini je pravno obvezujući multilateralni sporazum u području zaštite osobnih podataka. Cilj Konvencije je zaštita prava na privatnost priznatog člankom 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda.

Konvencijom br. 108 od stranaka se zahtijeva da u svoje nacionalno zakonodavstvo uvrste nužne mjere kako bi osigurale poštovanje ljudskih prava svih osoba u pogledu obrade osobnih podataka. To je ujedno bio i jedan od glavnih izvora nadahnuća za razvoj pravne stečevine EU-a u području zaštite podataka. Jedan od ciljeva Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka bio je prema njezinoj uvodnoj izjavi 11. upravo „dati sadržaj i jačati [načela i prava] iz [Konvencije br. 108]”.

Trenutačno je Konvenciju br. 108 ratificirala 51 država, uključujuc´i 28 država članica EU-a, četiri države članice EFTA-e, sve zemlje zapadnog Balkana, Armenija, Gruzija, Ruska Federacija, Turska te nekoliko zemalja u Africi (npr. Senegal i Tunis) i Latinskoj Americi (Urugvaj).

Konvencija br. 108 otvorena je za potpisivanje 1981., mnogo prije doba interneta i elektroničke komunikacije. Razvoj tehnologije i globalizacija informacija sa sobom nose nove izazove u području zaštite osobnih podataka. Protokolom o izmjeni želi se modernizirati Konvencija br. 108 kako bi se pronašli odgovori na te izazove.

Protokol o izmjeni

VE je u Obrazloženju uz Protokol navelo kako „konvenciju treba modernizirati u svrhu boljeg rješavanja nastalih izazova u pogledu privatnosti koji proizlaze iz sve veće uporabe novih informacijsko-komunikacijskih tehnologija (IT), globalizacije postupaka obrade i sve većeg protoka osobnih podataka, i istovremeno, ojačati mehanizam za evaluaciju i praćenje Konvencije.“2

Modernizirana Konvencija (tj. Konvencija br. 108+) imat će ujednačeno područje primjene za sve njezine stranke, bez mogućnosti da se iz primjene u potpunosti izuzmu neki sektori ili aktivnosti (npr. u području nacionalne sigurnosti), kao što je slučaj s tekstom važeće Konvencije (članak 29. izmijenjene Konvencije).

Ona stoga sada obuhvaća sve vrste obrade podataka u okviru nadležnosti stranaka, i u javnom i u privatnom sektoru (članak 3.). Iako Konvencija pruža zaštitu samo u odnosu na fizičke osobe, ne postoji zapreka za države da tu zaštitu prošire na pravne osobe, ali i umrle osobe.3

Kao što je to slučaj sa Općom uredbom o zaštiti podataka (uvodna izjava 18. i čl. 2. st. 1. toč. c. Uredbe), ni izmijenjena Konvencija se ne primjenjuje na slučajeve obrade podataka koje provodi fizička osoba u sklopu isključivo osobnih ili kućanskih aktivnosti. U Obrazloženju Konvencije (koje je njen sastavni dio i predstavlja osnovu za njeno tumačenje) navodi se kako se u ovom članku prihvaća praksa Suda Unije koju je razvio u ovoj domeni.4

Protokolom o izmjeni znatno se povećava razina zaštite podataka osigurana Konvencijom br. 108. Konkretno, u Konvenciji 108+ pobliže se određuje načelo zakonite obrade (posebice u pogledu zahtjeva za pristanak -  čl. 5. stavak 2.), dok se člankom 6. dodatno jača zaštita posebnih kategorija podataka, te se ujedno kategorije zaštite proširuju na one priznate kao posebne kategorije osobnih podataka u zakonodavstvu Unije (v. čl. 9. Opće uredbe).

Osim toga, moderniziranom Konvencijom predviđaju se dodatne zaštitne mjere za osobe pri obradi njihovih osobnih podataka (posebice, obveze ispitivanja mogućeg utjecaja planiranog postupka obrade podataka i provedbe odgovarajućih tehničkih i organizacijskih mjera u članku 7. st.1., i čl. 10. st. 3.; obveza prijavljivanja ozbiljnih povreda tajnosti podataka – čl. 7. st. 2.), te bi se trebala ojačati prava ispitanika posebice u pogledu transparentnosti i pristupa podacima (čl. 8.).

Uvedena su i nova prava osoba čiji se podaci obrađuju, kao što je pravo da se na njih ne primjenjuje odluka koja se temelji isključivo na automatiziranoj obradi i znatno utječe na njih (čl. 9. st. 1. točka a.), pravo prigovora na obradu (toč. d. istog članka) i pravo na pravni lijek u slučaju povrede prava pojedinca (toč. f. u vezi sa čl. 12. Protokola).

Modernizirana Konvencija sadržava izmijenjene odredbe u svom članku 16., kojima se države članice obvezuju uspostaviti jedno ili više neovisnih tijela odgovornih za osiguravanje usklađenosti s odredbama Konvencije br. 108. Uloga tih tijela bila bi ojačana tako što bi se stranke obvezalo da im dodijele dodatne ovlasti, npr. ovlast za donošenje odluka u vezi s povredama Konvencije br. 108 te izricanje administrativnih sankcija.

Sustav izuzeća od gore navedenih prava i obveza kako su formulirana u Protokolu o izmjeni ispunjava tri osnovna uvjeta:5

-          očuvanje sveobuhvatne primjene Konvencije br. 108 (bez opc´ih iznimki),

-          istovremena fleksibilnost (što omogućuje usklađivanje visokih standarda zaštite podataka s drugim važnim javnim interesima, na primjer, kad se radi o interesima nacionalne sigurnosti – v. npr. čl. 11. toč. a.) i

-          sveukupna usklađenost sa sudskom praksom Europskog suda za ljudska prava (posebice nepostojanje ograničenja koja utječu na bit temeljnog prava na zaštitu podataka).

Izmijenjena Konvencija stupit će na snagu prvog dana mjeseca nakon isteka roka od tri mjeseca koji teče od datuma kada se pet država članica Vijeća Europe obvezalo biti vezano odredbama Konvencije (čl. 26. st. 2.).

Zanimljivo je da se, nakon što stupi na snagu, Protokolom o izmjeni, odnosno člankom 26. istog, uvodi mogućnost da Unija postane stranka (modernizirane) Konvencije, dok članak 27. predviđa to za međunarodne organizacije i države koje nisu članice Vijeća Europe.

Moderniziranom će se Konvencijom pospješiti i učinkovitost zaštite podataka tako što se propisuje da Odbor Konvencije može ocijeniti učinkovitost poduzetih mjera u nacionalnom zakonodavstvu u pogledu provedbe odredbi Konvencije (članak 23. točka f.).

Člankom 29. propisuje kako u odnosu na odredbe izmijene konvencije strankama nisu dopuštene rezerve, jer se radi o minimalnim uvjetima koji su potrebni za osiguranje zaštite prava pojedinaca u pogledu njihovih osobnih podataka.

Jedna od najvažnijih značajki ovog Protokola je činjenica da je on svojim sadržajem potpuno u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) i Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka (Direktiva o zaštiti podataka koje obrađuje policija), čime se isključuje mogućnost da države članice podliježu različitim ili čak suprotnim obvezama prema pravu Unije i Vijeća Europe.

Konvencija br. 108 koja je otvorena, dakle, i za neeuropske države, dobila je veliku potporu od zemalja diljem svijeta koje pripremaju ili planiraju donijeti zakonodavstvo o zaštiti podataka.

Odnos konvencije i zakonodavstva unije u području zaštite osobnih podataka

Područje uređeno izmijenjenom Konvencijom sada je uglavnom obuhvaćeno zakonodavnim okvirom Unije o zaštiti podataka. U Općoj uredbi o zaštiti podataka koja se primjenjuje od 25. svibnja 2018. i u Direktivi o zaštiti podataka koje obrađuje policija za koju je razdoblje prenošenja završilo 6. svibnja 2018. predviđa se sveobuhvatni sustav pravila u području zaštite podataka i osigurava barem podjednak, a u mnogim slučajevima i viši standard zaštite. U skladu s člankom 13. modernizirane Konvencije stranke mogu osobama čiji se podaci obrađuju dodijeliti „širu mjeru zaštite od one propisane ovom Konvencijom” te stoga mogu slobodno donijeti strože mjere zaštite.

S obzirom na to da modernizirana Konvencija sadrži uglavnom slične zaštitne mjere kao Opća uredba o zaštiti podataka i Direktiva o zaštiti podataka koje obrađuje policija, smatra se da će njeno stupanje na snagu pridonijeti promicanju Unijinih standarda za zaštitu osobnih podataka diljem svijeta.

Naime, Konvencija br. 108 imala je ključnu ulogu u širenju „europskog modela zaštite podataka” u svijetu jer se često koristi kao izvor inspiracije za zemlje koje namjeravaju donijeti ili modernizirati svoje zakone o privatnosti. To je danas još važnije s obzirom na to da se u sve više zemalja u mnogim regijama svijeta donosi takvo zakonodavstvo (zanimljiv je primjer Indije). Pojačanjem standarda zaštite među strankama Konvencije olakšao bi se i protok podataka između stranaka Konvencije koje su članice EU-a i onih koje to nisu.

Nadalje, za Uniju je itekako važno da modernizirana Konvencija bude u potpunosti u skladu s odredbama Opće uredbe o zaštiti podataka i Direktive o zaštiti podataka koje obrađuje policija, kako bi se državama članicama EU-a omogućilo da ostanu stranke Konvencije i poštuju njezine odredbe, a da pritom ne povređuju zakonodavstvo Unije.

To se posebice odnosi na odredbe o slobodnom protoku podataka među strankama s obzirom na to da modernizirana Konvencija sadržava izuzeće od tog pravila za stranke „obvezane harmoniziranim pravilima zaštite koje dijele države koje su dio regionalne međunarodne organizacije” (čl. 14. st.1.). Time se u osnovi osigurava da države članice EU-a poštuju mjerodavne odredbe unatoč uvjetima u pogledu međunarodnih prijenosa propisanima u zakonodavstvu Unije o zaštiti podataka.

Tihana Kozina Barišić



^ 1 Dostupno na poveznici

^ 2 Obrazloženje uz Konvenciju 108+, točka 1.

^ 3 Op. cit. bilj. 2., toč. 30.

^ 4 Op. cit. bilj. 2., toč. 28. 

^ 5 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52018PC0451