2020. godina
- Datum: 16. srpnja 2020.
- Kontekst: Maximillian Schrems, koji je bio korisnik Facebook društvene mreže od 2008. godine podnio je tužbu protiv društva Facebook zbog prijenosa podataka u SAD, temeljeći pritužbu na tome da američki zakoni ne nude istu razinu zaštite osobnih podataka kao zakoni EU. Ova presuda imala je ključan utjecaj na sve prijenose podataka iz EU-a u SAD, budući da je sud poništio Privacy Shield.
- Ishod: Sud je presudio da EU-SAD Privacy Shield ne pruža dovoljno snažnu zaštitu u skladu s Općom uredbom o zaštiti podataka i Poveljom EU, posebno u pogledu nadzora od strane američkih vlasti, zbog američkih zakona koji su na snazi. Standardne ugovorne klauzule (SCCs) ostale su valjane, no kompanije moraju poduzeti dodatne mjere kako bi osigurale da prava osoba budu adekvatno zaštićena tijekom prijenosa podataka. Na portalu Olivia možete naći upitnik za analizu utjecaja prijenosa osobnih podataka u treće zemlje.
- Važnost: Tokovi osobnih podataka u zemlje izvan EU i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje. Povećanje tih prijenosa dovelo je do novih izazova i briga u vezi sa zaštitom osobnih podataka. Međutim, kada se osobni podaci prenose iz EU-a voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje odredbi Opće uredbe o zaštiti podataka. Ova presuda naglašava potrebu za procjenom zakonodavstva trećih zemalja (poput SAD-a) i moguće uspostavljanje dodatnih zaštitnih mjera za zaštitu osobnih podataka u kontekstu međunarodnih prijenosa podataka. Nakon presude je usvojen novi sporazuma Data Privacy Framework za prijenose osobnih podataka.
· La Quadrature du Net (C-511/18)
- Datum: 6. listopada 2020.
- Kontekst: Ova presuda bavila se zakonodavstvom o čuvanju podataka korisnika telekomunikacija u Francuskoj. Predmet je pokrenula organizacija za digitalna prava "La Quadrature du Net" koja je dovela u pitanje opće i neselektivno zadržavanje podataka građana za potrebe nacionalne sigurnosti.
- Ishod: Sud je zaključio da opće i neselektivno čuvanje podataka korisnika internetskih usluga i telekomunikacija nije u skladu s člancima 7. i 8. Povelje EU, osim u posebnim uvjetima koji su strogo potrebni za zaštitu nacionalne sigurnosti. U tim uvjetima, pohrana podataka mora biti proporcionalna i vremenski ograničena.
- Važnost: Presuda pojašnjava kako nacionalne vlade moraju balansirati između potrebe za zaštitom privatnosti građana i osiguranja nacionalne sigurnosti.
2021. godina
· Facebook Ireland Ltd v. Belgian Data Protection Authority (C-645/19)
- Datum: 15. lipnja 2021.
- Kontekst: Ovaj slučaj bavio se ovlastima nacionalnih tijela za zaštitu podataka u kontekstu prekogranične obrade osobnih podataka.
- Ishod: Sud je zaključio da nacionalna tijela za zaštitu podataka mogu pokrenuti pravne radnje protiv voditelja i izvršitelja obrade koji posluju u drugim državama članicama EU, čak i kad su podaci obrađeni izvan granica EU, ako se to odnosi na zaštitu privatnosti i zaštitu osobnih podataka državljana EU. Sud je pojasnio uvjete pod kojima nacionalno nadzorno tijelo koje nije vodeće nadzorno tijelo u pogledu prekogranične obrade mora izvršavati svoju ovlast obavještavanja suda države članice o svakoj navodnoj povredi Opće uredbe o zaštiti podataka, u slučaju potrebe, pokretanja sudskog postupka kako bi se osigurala primjena uredbe. Međutim, vodeće nadzorno tijelo prilikom izvršavanja svojih nadležnosti ne može zanemariti potreban dijalog te lojalnu i djelotvornu suradnju s drugim predmetnim nadzornim tijelima. Posljedično tomu, u okviru te suradnje, vodeće nadzorno tijelo ne može zanemariti stajališta drugih predmetnih nadzornih tijela, a svaki relevantan i obrazložen prigovor koji jedno od tih tijela iznese rezultira, barem privremeno, blokiranjem donošenja nacrta odluke vodećeg nadzornog tijela. Sud priznaje izravan učinak Opće uredbe na zaštitu podataka na temelju koje svaka država članica EU zakonom propisuje da je njezino nadzorno tijelo ovlašteno obavijestiti sudove o svakoj povredi te uredbe i, u slučaju potrebe, pokrenuti sudski postupak. Posljedično tomu, takvo tijelo može se pozvati na tu odredbu kako bi pokrenulo ili nastavilo postupak protiv pojedinaca, čak i ako navedena odredba nije posebno provedena u zakonodavstvu predmetne države članice.
- Važnost: Ova presuda ojačala je ulogu nacionalnih tijela u provedbi Opće uredbe o zaštiti podataka, dajući im ovlasti da interveniraju čak i u prekograničnim slučajevima.
· Meta Platforms Inc. v. Bundeskartellamt (C-252/21)
- Datum: 24. ožujka 2021.
- Kontekst: Ova presuda usmjerena je na pitanje obrade osobnih podataka i integracije više izvora podataka korisnika (npr. iz različitih platformi poput WhatsApp-a i Instagram-a). Njemačko tijelo za zaštitu tržišnog natjecanja osporilo je praksu Meta (Facebook) platformi povezivanja podataka iz različitih izvora bez adekvatne suglasnosti korisnika.
- Ishod: Sud je presudio da integracija podataka između različitih platformi bez korisničkog pristanka krši članke 7. i 8. Povelje EU te da takva praksa može ograničiti konkurenciju na tržištu. Članak 6. stavak 1. prvi podstavak točku (b) Opće uredbe o zaštiti podataka treba tumačiti tako da se: način na koji operator internetske društvene mreže obrađuje osobne podatke, a koji se sastoji u prikupljanju podataka korisnika te mreže proizišlih iz drugih usluga koncerna kojem pripada taj operator ili proizišlih iz posjećivanja tih korisnika internetskih stranica trećih strana ili njihova korištenja aplikacija trećih strana, u povezivanju tih podataka s računom navedenih korisnika na društvenoj mreži i u uporabi navedenih podataka, može smatrati nužnim za izvršavanje ugovora u kojemu su ispitanici stranke, u smislu te odredbe, samo pod uvjetom da je ta obrada objektivno neophodna za ostvarenje svrhe koja je sastavni dio ugovorne činidbe namijenjene tim korisnicima tako da se glavni predmet ugovora ne može ostvariti ako se ne izvrši ta obrada.
- Važnost: Ova presuda dodatno je pojačala važnost načela transparentnosti u obradi osobnih podataka i poštovanja temeljnih prava korisnika na privatnost i zaštitu osobnih podataka.
2022. godina
· WM i Sovim SA protiv Luxembourg Business Registers (C-37/20 i C-601/20)
- Datum: 22. studenog 2022.
- Kontekst: Slučaj se odnosi na pristup informacijama o stvarnim vlasnicima u svrhu sprječavanja pranja novca i financiranja terorizma. Sud je razmatrao zakonitost pristupa javnosti tim podacima, tvrdeći da objava takvih podataka može ugroziti prava zajamčena člancima 7. i 8. Povelje.
- Ishod: Sud je presudio da opći javni pristup informacijama o stvarnim vlasnicima predstavlja ozbiljno zadiranje u privatnost i osobne podatke, te je potrebno postići ravnotežu između transparentnosti i prava na privatnost. Konkretnije, izuzeća od zaštite osobnih podataka kao i njezina ograničenja moraju se kretati u granicama onoga što je strogo nužno, pri čemu kada postoji izbor između više prikladnih mjera za ostvarenje željenih legitimnih ciljeva, valja upotrijebiti najmanje ograničavajuću mjeru. Usto, cilj u općem interesu ne može se postići a da se u obzir ne uzme činjenica da se on mora pomiriti s temeljnim pravima na koja se mjera odnosi, tako da se cilj u općem interesu, s jedne strane, pravilno odvagne s predmetnim pravima, s druge strane, kako bi se osiguralo da nepovoljnosti uzrokovane tom mjerom nisu neproporcionalne u odnosu na ciljeve koje se želi postići. Tako, mogućnost opravdavanja ograničenja prava zajamčenih člancima 7. i 8. Povelje treba ocijeniti tako da se odmjeri ozbiljnost zadiranja takvog ograničenja i provjeri da je važnost cilja od općeg interesa koji se nastoji postići tim ograničenjem povezana s tom ozbiljnošću. Osim toga, da bi ispunio uvjet proporcionalnosti, predmetni propis koji sadržava zadiranje mora imati jasna i precizna pravila kojima se uređuje doseg i primjena u njemu predviđene mjere te propisivati minimalne uvjete, na način da dotične osobe raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu njihovih osobnih podataka od rizika zlouporabe.
- Važnost: Potrebno je provjeriti u nacionalnim zakonodavstvima EU je li pristup cjelokupne javnosti informacijama o stvarnim vlasnicima prikladan za ostvarenje cilja u općem interesu koji se želi ostvariti, kao drugo, je li zadiranje u prava zajamčena člancima 7. i 8. Povelje ograničeno na ono što je strogo nužno, u smislu da se cilj ne može razumno ostvariti na jednako učinkovit način drugim sredstvima koja manje ugrožavaju ta temeljna prava dotičnih osoba i, kao treće, je li to zadiranje neproporcionalno u odnosu na prethodno navedeni cilj, što uključuje, posebice, odvagivanje njegove važnosti s ozbiljnošću navedenog zadiranja.
· Vyriausioji tarnybinės etikos komisija (C-184/20)
- Datum: 1. kolovoza 2022.
- Kontekst: Ovaj slučaj bavio se obvezom javne objave osobnih podataka osoba koje rade u javnoj službi ili vode organizacije koje primaju javna sredstva. Sud je morao odlučiti je li takva objava u skladu s pravima na privatnost i zaštitu osobnih podataka.
- Ishod: Sud je utvrdio da obvezna objava takvih informacija može predstavljati ozbiljnu povredu privatnosti i mora biti proporcionalna svrsi koju nastoji postići, kao što je sprječavanje sukoba interesa. Opću uredbu o zaštiti podataka treba tumačiti na način da objava, na internetskoj stranici tijela javne vlasti odgovornog za prikupljanje i provjeru sadržaja izjava o privatnim interesima, osobnih podataka koji neizravno mogu dovesti do otkrivanja seksualne orijentacije pojedinca predstavlja obradu koja se odnosi na posebne kategorije osobnih podataka u smislu tih odredbi.
- Važnost: Ozbiljnost zadiranja u pravo na privatnost i pravo na zaštitu osobnih podataka treba odvagnuti s važnošću ciljeva sprečavanja sukoba interesa i korupcije u javnom sektoru.
· Ligue des droits humains (C-817/19)
- Datum: 21. lipnja 2022.
- Kontekst: Sud je razmatrao prikupljanje i pohranu podataka o zračnim putnicima radi borbe protiv terorizma i ozbiljnog kriminala. Pitanje je bilo može li takvo masovno prikupljanje podataka kršiti prava iz članaka 7. i 8. Povelje.
- Ishod: Sud je presudio da takvo prikupljanje podataka mora biti strogo ograničeno i proporcionalno kako bi se poštovala prava na privatnost i zaštitu osobnih podataka. Budući da podaci iz PNR‑a sadržavaju informacije o fizičkim osobama čiji je identitet utvrđen, to jest dotičnim zrakoplovnim putnicima, različitim postupcima kojima mogu biti podvrgnute te informacije zadire se u temeljno pravo na poštovanje privatnog života zajamčeno člankom 7. Povelje EU.
- Važnost: Da bi ispunio uvjet proporcionalnosti, propisi moraju imati jasna i precizna pravila kojima se uređuje doseg i primjena predviđene mjere te propisivati minimalne uvjete, na način da osobe čiji se podaci prenose raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu njihovih osobnih podataka od rizika zlouporabe. Također, mora osobito navoditi u kojim se okolnostima i pod kojim uvjetima mjera kojom se predviđa obrada takvih podataka može donijeti, jamčeći time da će zadiranje biti ograničeno na ono što je strogo nužno. Nužnost raspolaganja takvim jamstvima još je i značajnija kad su osobni podaci podvrgnuti automatskoj obradi.
· Commissioner of An Garda Síochána i drugi (C-140/20)
- Datum: 5. travnja 2022.
- Kontekst: Sud je razmatrao nacionalne zakone koji omogućuju pristup telekomunikacijskim podacima građana radi istrage kaznenih djela, analizirajući njihov utjecaj na privatnost.
- Ishod: Sud je utvrdio da opći i neselektivni pristup podacima nije u skladu s člancima 7. i 8. Povelje, osim u posebnim uvjetima, kao što je nacionalna sigurnost.
- Važnost: Nacionalne zakone je potrebno uskladiti s člancima 7. i 8. Povelje na način da se odrede jasni i proporcionalni uvjeti za ostvarivanje svrhe.
2023. godina
- Datum: 24. srpnja 2023.
- Kontekst: Ovaj slučaj bavi se zaštitom financijskih interesa EU u kontekstu poreznih prijevara, gdje je nacionalni zakon koji je poništio odredbe o zastari kriminalnih djela ugrozio učinkovitost borbe protiv poreznih prijevara.
- Ishod: Sud je presudio da nacionalni sudovi moraju odbaciti presude nacionalnih ustavnih sudova ako su one u suprotnosti s pravom EU, uključujući Povelju EU, posebno članak 49. koji štiti pravnu sigurnost i načela predvidljivosti kaznenih zakona.
- Važnost: Ova presuda jača primat prava EU nad nacionalnim zakonima i sudskim odlukama u pitanjima zaštite temeljnih prava, uključujući zaštitu osobnih podataka u kaznenim postupcima.
· ZS protiv Zweckverband 'Kommunale Informationsverarbeitung Sachsen' (C-560/21)
- Datum: 9. veljače 2023.
- Kontekst: Ova presuda bavi se pitanjem otpuštanja službenika za zaštitu podataka (DPO) zbog potencijalnog sukoba interesa. ZS, koji je radio kao službenik za zaštitu podataka i obavljao druge funkcije u organizaciji, otpušten je jer je istovremeno bio i član radničkog vijeća, što je poslodavac smatrao sukobom interesa.
- Ishod: Sud je presudio da Opća uredba o zaštiti podataka ne dopušta otpuštanje službenika za zaštitu podataka samo zbog obavljanja drugih funkcija, osim ako se dokaže stvarni sukob interesa. Postoji li sukob interesa u smislu članka 38. stavka 6. Opće uredbe o zaštiti podataka treba odrediti u svakom pojedinom slučaju, na temelju ocjene svih relevantnih okolnosti, a osobito organizacijske strukture voditelja obrade ili izvršitelja obrade i s obzirom na sve primjenjive propise, uključujući njihova eventualna unutarnja pravila.
- Važnost: Ova presuda naglašava zaštitu službenika za zaštitu podataka i sprječava njihovo neopravdano otpuštanje zbog navodnih sukoba interesa.
· Gesamtverband Autoteile-Handel e.V. protiv Scania CV AB (C-319/22)
- Datum: 9. studenog 2023.
- Kontekst: Ova presuda odnosi se na pitanje je li identifikacijski broj vozila (VIN) osobni podatak prema Općoj uredbi o zaštiti podataka. Sud je analizirao može li se VIN smatrati osobnim podatkom u situacijama kada postoji mogućnost da se on poveže s određenom osobom.
- Ishod: Sud je presudio da VIN sam po sebi nije osobni podatak, osim ako postoje sredstva ili informacije koje mogu omogućiti povezivanje tog broja s određenom osobom. Stoga, ovisno o kontekstu i raspoloživim informacijama, VIN može postati osobni podatak. Kad je riječ o uvjetu zakonitosti obrade osobnih podataka iz članka 6. stavka 3. Opće uredbe o zaštiti podataka kojim se zahtijeva da obrada bude „razmjerna zakonitom cilju koji se želi postići”, dovoljno je istaknuti, s jedne strane, da se podaci koji se odnose na određeno vozilo mogu točno identificirati samo pretraživanjem s pomoću VIN‑a i, s druge strane, da se u spisu kojim raspolaže Sud EU ne navodi drugi, manje zadirujuć identifikator kojim bi se ujedno osigurala učinkovitost pretrage na temelju VIN‑a i postizanje cilja od javnog interesa, koji je utvrđen u prethodnoj točki ove presude.
- Važnost: Presuda je važna jer definira širu primjenu pojma osobnih podataka i naglašava potrebu za analizom konkretnog konteksta kako bi se utvrdilo je li određeni podatak osobni podatak.
· Presuda C-634/21: Autoriteit Persoonsgegevens protiv CRIF GMBH
· Datum: 4. svibnja 2023.
· Kontekst: Ova presuda bavi se pitanjem zaštite osobnih podataka u kontekstu financijskih podataka koji su korišteni za izradu kreditnih izvješća. Slučaj se odnosi na CRIF GmbH, tvrtku koja je obrađivala financijske podatke pojedinaca, te nizozemsko tijelo za zaštitu podataka, Autoriteit Persoonsgegevens. Glavni spor bio je oko zakonitosti obrade osobnih podataka u svrhu kreditne procjene i je li ta obrada u skladu s Općom uredbom o zaštiti podataka i člancima 7. i 8. Povelje o temeljnim pravima Europske unije. CRIF GmbH je u ovom slučaju obrađivao osobne podatke građana kako bi izradio kreditna izvješća koja su bila dostupna financijskim institucijama i trećim stranama za procjenu kreditne sposobnosti tih pojedinaca. Autoriteit Persoonsgegevens je tvrdio da takva praksa krši Opću uredbu o zaštiti podataka, jer podaci nisu adekvatno zaštićeni, a subjekti podataka nisu dovoljno obaviješteni o načinu i svrsi obrade njihovih osobnih podataka.
· Ishod: Sud Europske unije je presudio da obrada podataka od strane CRIF GmbH mora biti transparentna i usklađena s osnovnim načelima iz Opće uredbe o zaštiti podataka. Sud je naglasio da subjekti podataka moraju biti adekvatno informirani o načinu na koji se njihovi podaci obrađuju i u koju svrhu se koriste. Posebno je važno da financijske institucije koje koriste te podatke u svrhu kreditne procjene moraju osigurati da postoji zakonita osnova za takvu obradu, te da subjekti podataka imaju jasna prava na pristup, ispravak i, u određenim slučajevima, brisanje svojih podataka. Članke Opće uredbe o zaštiti podataka treba tumačiti na način da nije usklađena praksa agencija s uredbom za provjeru kreditne sposobnosti da za razdoblje koje nadilazi ono tijekom kojeg su podaci pohranjeni u javnom registru u vlastitim bazama podataka pohranjuju informacije iz javnih registara o odobrenju otpisa duga u korist fizičkih osoba kako bi mogle dostaviti informacije o njihovoj kreditnoj sposobnosti; da ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako je uložio prigovor na obradu u skladu s člankom 21. stavkom 1. uredbe i ne postoje jači legitimni razlozi koji bi iznimno mogli opravdati predmetnu obradu te da je voditelj obrade dužan bez nepotrebnog odgađanja izbrisati osobne podatke koji su nezakonito obrađeni.
· Važnost: Ova presuda ističe važnost transparentnosti u obradi osobnih podataka, osobito kada je riječ o financijskim informacijama. Sud je jasno dao do znanja da tvrtke poput CRIF-a moraju osigurati da su njihovi postupci obrade podataka u skladu s Općom uredbom o zaštiti podataka, a posebno da ispitanici moraju imati pravo na jasne informacije o tome kako se njihovi podaci koriste. Presuda također jača prava pojedinaca na zaštitu njihovih osobnih podataka u financijskom sektoru, što je od ključne važnosti za zaštitu privatnosti u digitalnom dobu.
2024. godina
· IAB Europe i TC String (C-604/22)
· Datum: 7. ožujka 2024.
· Kontekst: Ova presuda se bavi pitanjem može li niz znakova, poput "TC String" (Transparency and Consent String), koji bilježi korisničke preferencije u vezi s obradom osobnih podataka, biti klasificiran kao osobni podatak. Ova presuda je ključna za područje ad-tech industrije i upravljanje privolom korisnika.
· Ishod: Sud je presudio da TC String, kada se može kombinirati s drugim informacijama, poput IP adrese, omogućuje identifikaciju korisnika i stoga predstavlja osobni podatak. IAB Europe je proglašena "zajedničkim voditeljem obrade podataka", iako sama organizacija nema izravan pristup osobnim podacima, jer utječe na pravila i okvir unutar kojeg se prikupljaju korisničke preferencije.
· Važnost: Ova presuda dodatno pojašnjava široku definiciju osobnih podataka te potvrđuje da i sektorski okviri poput onog koji IAB Europe nudi mogu stvoriti obveze za upravljanje podacima u skladu s Općom uredbom o zaštiti podataka, čak i ako organizacija nema izravan pristup podacima.
· Újpesti Polgármesteri Hivatal (C-46/23)
· Datum: 14. ožujka 2024.
· Kontekst: Ova presuda odnosi se na pravo na brisanje podataka, poznato i kao "pravo na zaborav", prema članku 17. Opće uredbe o zaštiti podataka. Mađarsko tijelo za zaštitu podataka (Nemzeti Adatvédelmi és Információszabadság Hatóság) donijelo je nalog o brisanju osobnih podataka koje je nepravilno obrađivala gradska uprava Budimpešte.
· Ishod: Sud je presudio da nadzorna tijela za zaštitu podataka imaju ovlasti narediti brisanje podataka kada je obrada osobnih podataka nezakonita. Sud je također pojasnio da države članice moraju osigurati odgovarajuće mjere za zaštitu ispitanika.
· Važnost: Ova presuda jača pravo na brisanje podataka i potvrđuje važnost djelotvornog nadzora nad obradom osobnih podataka. Ujedno pruža smjernice o tome kada i kako nadzorna tijela mogu narediti brisanje podataka.
· Presuda C-479/22 P – OC protiv Europske komisije
· Datum: 7. ožujka 2024.
· Kontekst: Ova presuda odnosi se na pravo na pristups osobnim podacima u postupku pred Europskom komisijom. Tužitelj, OC, bio je uključen u slučaj pred Komisijom, u kojem su osobni podaci bili prikupljeni i obrađivani. OC je tvrdio da je Komisija povrijedila njegovo pravo na zaštitu osobnih podataka time što nije omogućila pristup svim osobnim podacima koje je Komisija prikupila i koristila u tom postupku. OC je podnio žalbu protiv ranije presude Općeg suda, koja je odbila njegov zahtjev za pristup svim osobnim podacima, tvrdeći da je odluka povrijedila njegove temeljne slobode i pravo na zaštitu osobnih podataka u skladu s Općom uredbom o zaštiti podataka.
· Ishod:Sud Europske unije presudio je da OC nije imao pravo na pristup svim osobnim podacima koje je Europska komisija koristila u tom postupku. Sud je naveo da pravo na pristup podacima nije apsolutno i da se mora uravnotežiti s pravima i interesima drugih strana uključenih u postupak te s obvezama Komisije prema zaštiti povjerljivih informacija. Presuda je potvrdila da Komisija ima pravo ograničiti pristup određenim osobnim podacima kada postoji opravdana potreba za zaštitom povjerljivosti i učinkovitosti istrage. Sud je također naglasio da Komisija mora osigurati da se osobni podaci obrađuju na zakonit, pošten i transparentan način, ali ne mora omogućiti neograničen pristup svim prikupljenim podacima.
· Važnost: Ova presuda je važna jer naglašava granice prava na pristup osobnim podacima u složenim postupcima pred institucijama Europske unije. Sud je jasno definirao što predstavlja osobni podatak te da pravo na pristup podacima nije apsolutno te da institucije EU imaju obvezu zaštititi povjerljive informacije i osigurati uravnotežen pristup podacima. To daje jasnije smjernice o tome kako Komisija i druge institucije trebaju postupati s osobnim podacima tijekom svojih istraga.
· Presuda C-21/23 – Lindenapotheke
· Datum: 4. srpnja 2023.
· Kontekst: Ova presuda odnosi se na pitanje privole u vezi s obradom posebnih kategorija osobnih podataka, osobito u kontekstu online prodaje i marketinga farmaceutskih proizvoda. Lindenapotheke, njemačka online ljekarna, bila je optužena da prikuplja i obrađuje osobne podatke kupaca bez odgovarajuće privole. Ključno pitanje bilo je vezano uz to je li se osobni podaci kupaca koji su prikupljeni putem online narudžbi lijekova smatraju zdravstvenim podacima i jesu li obrađeni u skladu s odredbama Opće uredbe o zaštiti podataka, posebno u vezi s člankom 9., koji se odnosi na posebne kategorije osobnih podataka.
· Ishod: Sud Europske unije presudio je da Lindenapotheke nije postupila u skladu s Općom uredbom o zaštiti podataka jer nije pribavila izričitu privolu kupaca za obradu zdravstvenih podataka. Sud je zaključio da prikupljanje i obrada takvih osjetljivih podataka moraju biti temeljeni na jasnoj i aktivnoj privoli korisnika, koji moraju biti potpuno informirani o svrsi i načinu obrade njihovih podataka. Također, korisnicima mora biti omogućeno da jednostavno povuku svoju privolu u bilo kojem trenutku.
· Važnost:Ova presuda pojašnjava ključne aspekte vezane uz privolu u kontekstu obrade posebnih kategorija osobnih podataka, posebno u zdravstvenom sektoru. Naglašava potrebu za izričitom privolom, osobito u osjetljivim slučajevima poput prikupljanja zdravstvenih podataka putem online ljekarni.
· Presuda C-741/21 – Staatssecretaris van Justitie en Veiligheid protiv Iuris
· Datum: 7. ožujka 2024.
· Kontekst: Ova presuda odnosi se na tumačenje članka 82. Opće uredbe o zaštiti podataka, koji predviđa pravo na naknadu štete, uključujući nematerijalnu štetu, u slučaju povrede prava na zaštitu osobnih podataka. Tužitelj, odvjetnik, tvrdio je da je pretrpio nematerijalnu štetu zbog povrede njegovih prava na zaštitu osobnih podataka nakon što je tuženik neovlašteno obrađivao njegove osobne podatke unatoč njegovom prigovoru. Odvjetnik je najprije opozvao sve svoje privole za primanje promidžbenih poruka, osim za newsletters koje je želio i dalje primati. Međutim, unatoč tome, u nekoliko navrata tijekom 2019. godine, Iuris mu je poslao promidžbene letke, u kojima su korišteni njegovi osobni podaci, uključujući „osobni testni kod” koji je omogućavao pristup dodatnim informacijama na njihovoj internetskoj stranici. Iuris je podnio tužbu pred sudom u Saarbrückenu, tražeći naknadu za materijalnu štetu (troškove javnog bilježnika i sudskog ovršitelja) i nematerijalnu štetu zbog gubitka nadzora nad svojim osobnim podacima.
· Ishod: Sud je presudio da sama povreda Opće uredbe o zaštiti podataka nije dovoljna da bi se priznala naknada nematerijalne štete. Šteta mora biti stvarna i dokazana, iako ne mora dosegnuti određeni stupanj ozbiljnosti. Sud je također odbacio tvrdnju da voditelj obrade može izbjeći odgovornost jednostavno pozivajući se na ljudsku pogrešku zaposlenika. Sud je također odlučio da se kriteriji za izricanje novčanih kazni iz članka 83. Opće urebe o zaštiti podataka ne mogu primjenjivati na izračun iznosa naknade štete. U konačnici, kada postoji više povreda, Sud je presudio da se procjena štete treba temeljiti na ukupnoj šteti, a ne na zbrajanju pojedinačnih iznosa.
· Važnost: Ova presuda razjašnjava da nematerijalna šteta zbog povrede Opće uredbe o zaštiti podataka mora biti dokazana. Također, potvrđuje da voditelji obrade ne mogu izbjeći odgovornost jednostavnim pozivanjem na ljudsku pogrešku i daje smjernice za procjenu iznosa naknade štete u slučajevima višestrukih povreda.
· Presuda C-340/22 – OL protiv Agencije za održavanje trgovačkog registra
· Datum: 4. listopada 2024.
· Kontekst: Ova presuda odnosi se na pravo na zaštitu osobnih podataka u kontekstu objavljivanja osobnih podataka u trgovačkom registru. OL, kao član trgovačkog društva, tražio je brisanje svojih osobnih podataka iz trgovačkog registra jer su ti podaci bili objavljeni bez privole i nisu bili obvezni prema zakonima EU-a ili Bugarske.
· Ishod: Tijelo koje održava trgovački registar smatra se "primateljem" i "voditeljem obrade" osobnih podataka. OL ima pravo tražiti brisanje osobnih podataka iz trgovačkog registra ako ti podaci nisu obvezni prema direktivi EU ili nacionalnom pravu. Sud je također pojasnio da gubitak kontrole nad osobnim podacima, čak i na kratko vrijeme, može uzrokovati nematerijalnu štetu koja može biti nadoknadiva, pod uvjetom da se dokaže stvarna šteta.
· Važnost: Ova presuda jača prava pojedinaca na zaštitu osobnih podataka i definira granice između prava na objavu podataka u trgovačkim registrima i prava na privatnost i zaštitu osobnih podataka. Također, presuda naglašava važnost odgovornosti tijela koja upravljaju trgovačkim registrima.
· Presuda CG protiv Bezirkshauptmannschaft Landeck (C-548/21)
· Datum: 4. listopada 2024.
· Kontekst: Ova presuda Suda EU odnosi se na pitanje zaštite osobnih podataka u kontekstu policijskih istraga. Konkretno, raspravljalo se o pravu pristupa podacima na mobilnim telefonima prilikom istrage vezane uz trgovinu narkoticima.
· Ishod: Sud je utvrdio da je pristup policije podacima s mobilnog telefona moguć, ali samo ako nacionalni zakoni jasno definiraju okolnosti u kojima je takav pristup opravdan. Policijski pristup mora biti proporcionalan, a u slučajevima koji nisu hitni, potreban je nadzor suda ili neovisnog tijela prije odobrenja. Pristup podacima koji otkrivaju intimne detalje života osobe, poput komunikacijskih sadržaja i lokacija, smatra se ozbiljnim zadiranjem u prava na privatnost i zaštitu osobnih podataka. Taj pristup mora biti rezerviran za istrage teških kaznenih djela i mora biti striktno proporcionalan cilju istrage. Sud je također naglasio da ispitanci moraju biti informirani o pristupu tim podacima čim to više ne bi ometalo istragu, kako bi se omogućilo korištenje pravnog lijeka, u skladu s člankom 47. Povelje EU-a. Isključivanje ove obveze bilo bi protivno načelu učinkovitog pravnog lijeka.
· Ishod: Presuda osigurava dodatnu zaštitu osobnih podataka i privatnosti građana u kontekstu istraga i pojačava obvezu policijskih organa da se pridržavaju načela proporcionalnosti i transparentnosti.
· Presuda Schrems protiv Meta Platforms Ireland Ltd -bivši Facebook Ireland Ltd (C-446/21)
· Datum: 4. listopada 2024.
· Kontekst: Ovaj slučaj se odnosi na spor između austrijskog aktivista za zaštitu podataka, Maximiliana Schremsa, i tvrtke Meta Platforms Ireland (prethodno Facebook Ireland Ltd). Schrems je pokrenuo pravni postupak zbog obrade njegovih osobnih podataka na platformi Facebook, konkretno vezano uz način na koji je Meta prikupljala i koristila osjetljive podatke o njemu, poput njegove seksualne orijentacije, za svrhe ciljanja personaliziranog oglašavanja. G. Schrems je sudjelovao u javnoj panel diskusiji gdje je spomenuo svoju seksualnu orijentaciju, a Meta je potom koristila te podatke zajedno s podacima prikupljenima s drugih platformi i internetskih aktivnosti za oglašavanje.
· Ishod: Sud EU presudio je da se načelo minimizacije podataka mora poštovati. To znači da Meta ne smije koristiti sve prikupljene podatke o korisnicima (bilo s platforme ili s drugih stranica i aplikacija) bez vremenskog ograničenja i bez razlike o vrsti podataka za ciljano oglašavanje. Sud je također naglasio da činjenica da je g. Schrems javno spomenuo svoju seksualnu orijentaciju ne daje Meti automatsku dozvolu za obradu drugih sličnih podataka izvan tog konteksta.
· Važnost: Ova presuda ima dalekosežne posljedice za društvene mreže i druge platforme, posebno u pogledu korištenja posebnih kategorija podataka za komercijalne svrhe poput ciljanog oglašavanja, naglašavajući važnost transparentnosti i pristanka korisnika u skladu s Općom uredbom o zaštiti podataka.
KNLTB protiv Dutch DPA (C-621/22)
· Datum: 4. listopada 2024.
· Kontekst: Ovaj slučaj bavi se interpretacijom legitimnih interesa kao osnove za obradu osobnih podataka. Nizozemsko tijelo za zaštitu podataka (Dutch DPA) zauzelo je stajalište da komercijalni interesi ne mogu biti legitimni razlog za obradu osobnih podataka.
· Ishod: Sud je presudio da komercijalni interesi, poput obavljanja marketinških aktivnosti, mogu biti legitimni interes, pod uvjetom da se ispune dodatni kriteriji, kao što su nužnost obrade podataka za ostvarenje tog interesa i uravnoteženje s pravima i slobodama ispitanika. Sud je upozorio da se komercijalni interesi ne smiju automatski isključiti kao pravna osnova za obradu podataka.
· Važnost: Ova presuda pruža jasnoću za voditelje obrade koji obrađuju osobne podatke u marketinške svrhe na temelju legitimnog interesa, potvrđujući da komercijalni interesi mogu biti legitimni razlog za obradu podataka, što olakšava poslovanje u skladu s Općom uredbom o zaštiti podataka.