Koncept zajedničkih voditelja i obrada osobnih podataka u sekundarne svrhe prema Općoj uredbi o zaštiti podataka (EU) 2016/679
Dr. sc. Hrvoje Lisičar, izvanredni profesor Pravnog fakulteta Sveučilišta u Zagrebu, Trg Republike Hrvatske 14, 10000 Zagreb; hrvoje.lisicar@pravo.unizg.hr; ORCID ID: orcid.org/0009-0003-7566-3538
Dr. sc. Marko Jurić, izvanredni profesor Pravnog fakulteta Sveučilišta u Zagrebu, Trg Republike Hrvatske 14, 10000 Zagreb; marko.juric@pravo.unizg.hr; ORCID ID: orcid.id/0000-0001-8499-4193
Sažetak
Iako je mogućnost sudjelovanja dvaju ili više subjekata u obradi osobnih podataka kao zajedničkih voditelja bila predviđena još u Direktivi 95/46/EZ, te unatoč tumačenjima Suda Europske unije koji u svojim presudama jasno upućuje na nužnost šire primjene navedenog koncepta, do donošenja Opće uredbe o zaštiti podataka, u praksi taj koncept nije u potpunosti zaživio. Tek nakon stupanja na snagu Opće uredbe, koja ima za cilj postizanje veće razine zaštite prava ispitanika te nameće odgovornim subjektima veću odgovornost za postupanje u obradi osobnih podataka, otvara se šira rasprava o primjeni koncepta zajedničkih voditelja. Cilj je ovog rada razmotriti bitne elemente u razgraničenju uloge zajedničkih voditelja i izvršitelja obrade, na temelju postojeće sudske prakse utvrditi koje je kriterije potrebno uzeti u obzir pri procjeni zajedničkog voditeljstva te konačno, na temelju dostupne literature, odluka nadzornih tijela i sudske prakse Suda Europske unije razmotriti koje su mogućnosti sekundarne uporabe osobnih podataka od strane jednog od voditelja obrade a koji je u svojstvu zajedničkog voditelja obrade sudjelovao u primarnoj obradi osobnih podataka.
Ključne riječi: Opća uredba o zaštiti podataka; GDPR; zaštita podataka; osobni podatci; zajednički voditelji; obrada u sekundarne svrhe; daljnja obrada
Doi: https://doi.org/10.3935/zpfz.74.4.6
Hrčak ID: 323784
URI: https://hrcak.srce.hr/323784
Stranice: 697-726
Concept of Joint Controllers and Data Processing for Secondary Purposes According to the General Data Protection Regulation (EU) 2016/679
Hrvoje Lisičar, Ph. D., Associate Professor, Faculty of Law, University of Zagreb, Trg Republike Hrvatske 14, 10000 Zagreb; hrvoje.lisicar@pravo.unizg.hr; ORCID ID: orcid.org/0009-0003-7566-3538
Marko Jurić, Ph. D., Associate Professor, Faculty of Law, University of Zagreb, Trg Republike Hrvatske 14, 10000 Zagreb; marko.juric@pravo.unizg.hr; ORCID ID: orcid.id/0000-0001-8499-4193
Summary
Although the possibility of participation of two or more subjects in the processing of personal data as joint controllers was already provided for in Directive 95/46/EC, and despite the interpretations of the Court of Justice of the European Union, which in its judgments clearly points to the necessity of a wider application of the above-mentioned concept, until the adoption of the General Data Protection Regulation (EU) 2016/679, in practice, this concept did not fully take root. Only after the entry into force of the General Data Protection Regulation, which aims to achieve a higher level of protection of data subjects' rights and imposes greater responsibility on the responsible entities for handling personal data, will a wider discussion on the application of the concept of joint controllers open. The aim of this paper is to consider the essential elements in the delimitation of the role of joint managers and processors, to determine, based on existing case law, which criteria need to be taken into account when assessing joint controllership, and finally, based on the available literature and judicial practice of supervisory bodies and the Court of Justice of the European Union, to consider the possibilities of secondary use of personal data by one of the controllers that participated in the primary data processing in the capacity of a joint controller.
Keywords: General Data Protection Regulation; GDPR; data protection; personal data; joint controllers; secondary purpose
Doi: https://doi.org/10.3935/zpfz.74.4.6
Hrčak ID: 323784
URI: https://hrcak.srce.hr/323784
Pages: 697-726