Tehnologija

NOVA PRAVILA ZA UPRAVLJANJE PODACIMA: Države članice EU inzistiraju na odredbama za zaštitu poslovnih tajni

Autor Euractiv/Luca Bertuzzi

U najnovijoj verziji predloženog Zakona o podacima, kojeg je Euractiv dobio na uvid, pojašnjavaju se dijelovi koji se odnose na zaštitu poslovnih tajni, promjenu pružatelja cloud usluga, i odnos novih odredbi s postojećom regulativom.

Izvor: Unsplash/Philipp Katzenberger

Švedsko predsjedništvo u srijedu je objavilo šestu verziju teksta o novom Zakonu o zaštiti podataka Europske unije, s namjerom da se o njemu povede razgovor 14. ožujka, na sastanku radne skupine za telekomunikacije (Telecom Working Party), tehničkog tijela Vijeća EU.

Novi zakon je jedan od glavnih legislativnih prijedloga u mandatu švedskog predsjedništva, a cilj mu je regulirati pristup i obradu korisničkih podataka. Ako sljedeći tjedan ne bude bilo nikakvih većih prigovora, tekst bi u ovom obliku trebao otići u sljedeću fazu donošenja, a to je Odbor stalnih predstavnika (COREPER) država članica EU, koji se sastaje 22. ožujka.

Namjera tog prijedloga je da se pokrenu razgovori o tom području s Europskim parlamentom, koji bi pak trebao na plenarnoj sjednici sljedeći tjedan formulirati svoj stav o toj temi.

Opseg zakona

Zakon o podacima (Data Act) uvodi princip po kojem korisnici uređaja spojenih na internet moraju imati pristup i mogućnost dijeljenja podataka koje generiraju. Međutim, postoje prijepori oko pitanja koje sve vrste podataka trebaju biti pokrivene tom odredbom.

Sporno je što takvi podaci mogu sadržavati komercijalno osjetljive informacije ili poslovne tajne, iz kojih bi se moglo vidjeti kako pojedina organizacija koja upravlja podacima obrađuje te podatke kako bi iz njih došla do novih spoznaja i drugih informacija.

Imajući to na umu, u ranijem kompromisnom tekstu prijedloga švedsko predsjedništvo je predložilo da se iz opsega kojeg pokrivaju nova pravila maknu svi podaci koji se obrađuju upotrebom sustava za koje vrijede prava intelektualnog vlasništva (IP) ili koji koriste metode specifične za svaku pojedinu organizaciju koja podacima upravlja (data holder).

Rečenica koja je ranije spominjala "specifične metode" nestala je iz šeste verzije teksta, jer se smatralo da vodi u pravnu nesigurnost - jer taj koncept u samom prijedlogu uopće nije definiran.

Poslovne tajne

U posljednjoj verziji teksta švedsko predsjedništvo je također uvelo mogućnost da svaki data holder odbije dijeliti podatke s drugim stranama, pod izuzetnim okolnostima, tj. ako mogu demonstrirati da bi im prosljeđivanje podataka moglo nanijeti značajnu štetu, unatoč svim zaštitnim okvirima od strane primatelja podataka.

Obujam takve iznimne odbijenice je sada proširen - od, kako se ranije navodilo, nezakonite zloupotrebe ili otkrivanja informacija koje spadaju pod intelektualno vlasništvo, do bilo kakvog oblika poslovne tajne. Organizacija u posjedu podataka bi u takvim slučajevima morala obrazložiti razloge svojeg odbijanja, i o tome obavijestiti nadležnu nacionalnu službu.

"Ozbiljna šteta" se u tekstu definira kao "šteta s negativnim posljedicama na obavljanje ekonomske aktivnosti, uslijed koje bi data holder mogao imati značajne ekonomske gubitke, i koji bi mogli ugroziti održivost njegovog poslovanja ili ga dovesti u opasnost od bankrota."

U predgovoru teksta navodi se popis faktora koje se pri tome mora uzeti u obzir - primjerice, kad nema mogućnosti da se provode pravila o zaštiti poslovne tajne u jurisdikcijama gdje se podaci šalju, razina povjerljivosti traženih podataka, jedinstvena priroda i stupanj inovacije proizvoda kojim su se podaci prikupili, te cyber sigurnost.

Kompatibilnost s GDPR-om

Još jedan ključni aspekt razgovora bavi se odnosom između novog Zakona o podacima i Općom uredbom o zaštiti podataka (GDPR). Nova formulacija jasnije navodi da u slučajevima kad korisnici pribave tuđe osobne podatke, Zakon ne pruža pravni temelj koji dopušta da se ti podaci i obrađuju.

Stranke u posjedu podataka trebale bi osigurati da njihovo prosljeđivanje osobnih podataka uvijek bude u skladu s pravilima za zaštitu podataka Europske unije, a to znači da se osobni podaci moraju učiniti anonimnima, ili da korisnici mogu isključivo dijeliti vlastite podatke.

Mijenjanje cloud servisa

Novi Zakon bi također trebao potaknuti konkurentnost na tržištu cloud usluga, i to smanjenjem prepreka pred korisnicima kad žele jedan cloud servis zamijeniti drugim. To znači da se u roku tri godine od stupanja na snagu novi Zakon propisuje ukidanje bilo kakvih naknada za "izvlačenje" podataka iz starog cloud servisa, ili drugih naknada za promjenu pružatelja usluge.

No, u tekst je sad dodan i novi odjeljak u kojem se preciznije kaže da odredbe EU ipak ne sprečavaju "da ugovorne stranke pristanu na uslugu obrade podataka u fiksno određenom periodu, što uključuje i naknade za prijevremeni raskid ugovora, u skladu s nacionalnim i EU zakonodavstvom."

Business-to-Government (B2G)

Novi Zakon o podacima daje ovlasti tijelima javne uprave da traže pristup podacima koje drže privatne kompanije samo u iznimnim okolnostima. Prije svega, radi se o slučajevima vezane za neku nepogodu ili hitnu situaciju, ili ako tijelo javne uprave treba podatke za obavljanje zadaće koja je u javnom interesu i koje ne bi moglo prikupiti na nijedan drugi način.

Međutim, odredba po kojoj tijela javne uprave ne smiju kupovati podatke na tržištu ne vrijedi za sastavljanje službenih statističkih izvješća, u slučajevima kad statistički zavodi mogu dokazati da im postojeći zakon onemogućava drugačiju nabavu podataka. 

(Preveo David Spaić-Kovačić. Originalan članak pročitajte ovdje: Data Act: EU Council insists on trade secret protection in semi-final text)