U europskoj pravnoj i posebno sudskoj praksi iznimno je rašireno takozvano ciljno tumačenje, kažemo još i teleološko (ne teološko!), gdje se norma tumači na način “kako je zakonodavac htio nešto riješiti”, dakle koji je cilj norme, a ne kakvo je usko jezično značenje. Time se sprječava da netko zloporabljuje možda neprecizan jezični izričaj, a norma se može primijeniti i ako se društveni odnosi ili tehnologija promijene – jer je jasno navedeno što i kako se želi regulirati.

Kod Opće uredbe o zaštiti osobnih podataka nakon “budući da”, nalazimo čak 173 razloga, obrazloženja i posljedica uvođenja te Uredbe, što znači iznimnu želju zakonodavca da odredbe Uredbe budu svima jasne i primjenjive dugi niz godina, kada se razviju i tehnologije koje su sada tek u razvojnim laboratorijima.

Od tih 173 recitala, koji objašnjavaju zašto je uveden GDPR i što se time mijenja, navodimo samo temeljne.

Temelj – bolja zaštita

Na samom početku navode se ciljevi nove Uredbe. Zaštita pojedinaca s obzirom na obradu osobnih podataka, temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima (“Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca.

Prema preambuli Uredbe, obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima, u skladu s načelom proporcionalnosti. Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka.

Široka primjena

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Ta se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti.

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija, trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Prema Uredbi, “pseudonimizacija” znači obrada osobnih podataka tako da se osobni podaci ne mogu više pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve, dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.

Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput, primjerice, selekcije, koja voditelj obrade ili bilo koja druga osoba mogu, prema svemu sudeći, upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca.

Privola ispitanika

Privola bi se trebala davati jasnom, potvrdnom radnjom, kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva, ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka.

Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade.

Zaključno o načelima

Ovdje smo naveli neka od načela na kojima se temelji Opća uredba (u samoj Uredbi ih je nekoliko puta više). Kako se prema tim načelima odnositi? Jednostavno je – kada čitate normativni dio uredbe (članke i stavke) i nešto vam nije jasno ili ne znate kako i koliko široko primijeniti Uredbu, onda pogledate načela koja se tiču tog dijela teksta i pročitate što je zakonodavac htio postići.

Tada se, uz odredbu, načela i malo iskustva (primjerice, poznavanja sustava informacijske sigurnosti) lako može doći do zaključka kako treba u konkretnom slučaju primijeniti odredbu Opće uredbe – jednostavno, treba je primijeniti tako da budu ispunjena načela, svrha donošenja propisa. Dakle, Uredbu ispred sebe, pošteno analizirati stvarno stanje u tvrtki/organizaciji (a ne ono “pa mi ne sakupljamo osobne podatke”, a tamo, primjerice, baza od 10.000 kupaca radi ostvarivanja jamstva za uređaje!), i članak po članak – primijeniti Opću uredbu.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.