Нова уредба за спровођење ГДПР-а
Имамо нову Уредбу, овај пут о додатним процедуралним правилима за спровођење ГДПР-а
Када је Општа уредба о заштити података (ГДПР) почела да се примењује 2018. године, многи су је доживели као најамбициознији регулаторни пројекат Европске уније у дигиталној сфери. И та процена није била претерана, јер је ГДПР поставио високе стандарде заштите података, проширио права појединаца и увео изузетно високе административне новчане казне за кршење правила. Међутим, иако је Уредба направила велики помак и знатно подигла ниво заштите података, временом су испливали и њени ограничени домети, који се огледају првенствено у примени неких права, са акцентом на процедуре и прекограничну обраду. Из тог разлога је Европска унија 2025. године усвојила нову Уредбу − Regulation (EU) 2025/2518, којом је увела нова правила у примени ГДПР-а. Њена примена почиње 2. априла 2027. године, а циљ јој је да отклони неке од најчешће критикованих слабости постојећег система.
Где је запело са ГДПР-ом?
Једна од кључних иновација ГДПР-а био је такозвани one-stop-shop механизам, који се састојао у томе да би компанија која послује у више држава чланица ЕУ требало да комуницира пре свега са једним националним надзорним органом унутар ЕУ (Lead Supervisory Authority), најчешће у држави у којој има главно седиште.
Примена тог механизма довела је до тога да се велики број најважнијих поступака по основу ГДПР-а води у Ирској. Разлог је релативно једноставан − многе велике технолошке компаније као што су Мета, Гугл, Епл, Тик-ток, Линкедин, имају своја европска седишта у Даблину. Дакле, по правилима ГДПР-а, у прекограничним случајевима надлежан је, пре свега, надзорни орган државе у којој се налази главно седиште компаније у ЕУ, што у пракси значи да је Irish Data Protection Commission, ни крив ни дужан, постао кључни регулатор за велики део европских поступака против глобалних дигиталних платформи.
Из истог разлога су и неки од најпознатијих спорова у области заштите података покренути управо пред ирским регулатором. На пример, аустријски правник и активиста Максимилијан (Макс) Шремс је још почетком претходне деценије подносио притужбе против Фејсбука пред ирским органом за заштиту података, па су из тих поступака касније произашле две историјске пресуде Суда правде Европске уније – Schrems I (2015) и Schrems II (2020) – којима су поништена два режима преноса података између Европске уније и Сједињених Држава, Safe Harbor и Privacy Shield. Иначе, цела прича датира из времена када је Шремс као студент права у Бечу од Фејсбука затражио приступ свим подацима које компанија поседује о њему. У одговору је добио више од хиљаду страница ПДФ документације са информацијама о његовим активностима на платформи. Баш тај захтев за приступ подацима био је почетак правне борбе која ће касније значајно обликовати међународно право заштите података.
У теорији, овакав модел успостављања надлежности надзорног органа требало је да поједностави примену правила Уредбе и учини је ефикаснијом. У пракси, међутим, систем је често доводио до спорих и компликованих поступака, нарочито у предметима који се односе на велике технолошке компаније. Различити национални процесни режими, недовољно јасна подела надлежности и комплексна координација између надзорних органа доводили су до ситуације у којој су поједини случајеви трајали годинама.
Критике су долазиле са више страна. Организације цивилног друштва тврдиле су да велики дигитални актери користе процедуралне недоумице како би пролонгирали поступке. А чак су и биг-тек (Big Tech) гиганти указивали на недостатак правне сигурности и различите процедуралне стандарде међу државама чланицама.
Дакле, ова институционална концентрација надлежности довела је до парадокса који се огледао у томе да је регулатор једне релативно мале државе чланице, каква је Ирска, добио централну улогу у спровођењу једног од најамбициознијих регулаторних пројеката Европске уније. Истовремено, спорост појединих поступака и честе интервенције Европског одбора за заштиту података (ЕДПБ) додатно су отвориле питање да ли постојећи систем прекограничне примене ГДПР-а функционише довољно ефикасно.
Иако се Уредба (ЕУ) 2025/2518 формално представља као техничка процедурална реформа, нема сумње да су њено доношење убрзали дуготрајни поступци против великих дигиталних платформи. Најпознатији пример су вишегодишње истраге против компаније Мета, које је углавном водио ирски надзорни орган за заштиту података, с обзиром на то да је европско седиште Мете у Даблину. У појединим предметима, укључујући спорове око правне основе за тзв. behavioral advertising на Фејсбуку и Инстаграму, поступци су трајали годинама и често су се завршавали интервенцијом Европског одбора за заштиту података (ЕДПБ), који је морао да решава неслагања између националних регулатора. Једна од тих одлука довела је и до казне од 1,2 милијарде евра против компаније Мета због незаконитог преноса података корисника из ЕУ у Сједињене Државе – до сада највеће казне изречене на основу ГДПР-а.
Такви случајеви отворили су питање да ли систем прекограничне примене ГДПР-а може ефикасно да функционише када је реч о глобалним дигиталним платформама. Управо је ово контекст у ком треба посматрати и доношење нове Уредбе, којом Европска унија покушава да прецизније уреди и убрза поступке у којима учествује више националних регулатора.
Шта заправо прописује нова Уредба 2025/2518
Regulation (EU) 2025/2518 суштински не мења ГДПР, не уводи нова права појединаца нити нове обавезе за руковаоце или обрађиваче. Уместо тога, фокус је на процедуралној димензији примене права заштите података, на пример увођењу стандардизованих правила за поступање по притужбама у прекограничним предметима. Национални надзорни органи овим документом добијају јасније дефинисане фазе поступка, рокове за размену информација и прецизније механизме координације.
Посебна пажња посвећена је улози водећег надзорног органа (Lead Supervisory Authority). Нова правила детаљније уређују начин на који овај орган води истрагу и сарађује са другим надзорним органима у државама чланицама чији су грађани погођени обрадом података.
Уредба јача и процесна права учесника у поступку. Подносиоци притужби добијају јаснији статус у поступку, укључујући право на информације о току предмета и могућност изјашњавања пре доношења одлуке.
Коначно, прецизирана је и улога Европског одбора за заштиту података (ЕДПБ) у решавању спорова између надзорних органа, што би требало да смањи институционалне блокаде које су до сада успоравале доношење одлука.
За компаније (махом Tech) које послују на европском тржишту ова промена значи већу процедуралну предвидивост у прекограничним предметима. За појединце и организације које покрећу поступке против великих дигиталних актера она потенцијално значи брже и ефикасније одлучивање.
Ако је ГДПР поставио нормативни оквир заштите података, Regulation 2025/2518 је покушај да се тај оквир учини оперативно ефикасним. Нова уредба уклапа се у ширу стратегију Европске уније у дигиталном окружењу. Последњих година ЕУ је донела читав низ регулатива − Digital Services Act, Digital Markets Act, AI Act − са циљем да успостави квалитетан правни оквир будуће дигиталне економије. Важно је истаћи да у тој мрежи прописа ГДПР и даље остаје централни инструмент заштите приватности.
