52021PC0021

EUROPSKA KOMISIJA

Bruxelles, 20.1.2021.

COM(2021) 21 final

2021/0009(COD)

Prijedlog

DIREKTIVE EUROPSKOG PARLAMENTA I VIJEĆA

o izmjeni Direktive 2014/41/EU radi njezina usklađivanja s pravilima EU-a o zaštiti osobnih podataka

OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

•Razlozi i ciljevi prijedloga

Direktiva (EU) 2016/680 1 (Direktiva o zaštiti podataka pri izvršavanju zakonodavstva) stupila je na snagu 6. svibnja 2016., a države članice morale su je prenijeti u nacionalno zakonodavstvo do 6. svibnja 2018. Njome je stavljena izvan snage i zamijenjena Okvirna odluka Vijeća 2008/977/PUP 2 kao opsežnijim i općenitijim instrumentom za zaštitu podataka. Važno je što se primjenjuje i na domaću i na prekograničnu obradu osobnih podataka koju provode nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje (članak 1. stavak 1.).

Na temelju članka 62. stavka 6. Direktive o zaštiti podataka pri izvršavanju zakonodavstva od Komisije se zahtijeva da do 6. svibnja 2019. preispita druge pravne akte kojima se uređuje obrada osobnih podataka od strane nadležnih tijela u svrhe izvršavanja zakonodavstva kako bi se procijenila potreba da se ti akti usklade s Direktivom i kako bi se, prema potrebi, dali prijedlozi za izmjenu tih akata s ciljem osiguravanja dosljednosti zaštite osobnih podataka u okviru Direktive.

Komisija je rezultate svojeg preispitivanja utvrdila u Komunikaciji pod naslovom „Daljnji koraci u usklađivanju nekadašnjeg trećeg stupa pravne stečevine s pravilima o zaštiti podataka” (od 24. lipnja 2020.) 3 , u kojoj se navodi deset pravnih akata koji bi se trebali uskladiti s Direktivom i vremenski raspored za to usklađivanje. Na tom je popisu navedena Direktiva 2014/41/EU Europskog parlamenta i Vijeća o Europskom istražnom nalogu u kaznenim stvarima 4 . Komisija je navela da će predložiti ciljane izmjene Direktive 2014/41/EU u posljednjem tromjesečju 2020.; to je svrha ovog prijedloga.

Ovo nije inicijativa u okviru Programa za primjerenost i učinkovitost propisa (REFIT).

•Dosljednost s postojećim odredbama politike u tom području

Cilj je Prijedloga uskladiti pravila o zaštiti podataka iz Direktive 2014/41/EU s načelima i pravilima utvrđenima Direktivom o zaštiti podataka pri izvršavanju zakonodavstva kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji.

•Dosljednost u odnosu na druge politike Unije

Nije primjenjivo

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

•Pravna osnova

Ovaj prijedlog temelji se na članku 16. stavku 2. Ugovora o funkcioniranju Europske unije (UFEU).

Izvorni akt temeljio se na bivšem članku 34. stavku 2. točki (b) bivšeg Ugovora o Europskoj uniji, koji odgovara članku 82. stavku 1. UFEU-a. Međutim, i cilj i sadržaj predložene izmjene jasno su ograničeni na zaštitu osobnih podataka.

U tom je pogledu članak 16. stavak 2. UFEU-a najprimjerenija pravna osnova. Tim se člankom omogućuje donošenje pravila o zaštiti pojedinaca u pogledu obrade osobnih podataka koju provode države članice pri obavljanju aktivnosti u skladu s pravom Unije, kao i pravila o slobodnom kretanju osobnih podataka.

U skladu s člankom 2.a Protokola br. 22 Dansku ne obvezuju pravila utvrđena na temelju članka 16. UFEU-a koja se odnose na obradu osobnih podataka pri provođenju aktivnosti obuhvaćenih područjem primjene poglavlja 4. i 5. glave IV. trećeg dijela UFEU-a. To vrijedi i za Irsku u skladu s člankom 6.a Protokola br. 21.

•Supsidijarnost (za neisključivu nadležnost)

Samo Unija može donijeti zakonodavni akt o izmjeni Direktive 2014/41/EU.

•Proporcionalnost

Ovaj je prijedlog ograničen na ono što je potrebno za usklađivanje Direktive 2014/41/EU sa zakonodavstvom Unije o zaštiti osobnih podataka (posebno s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva), a da se područje primjene Direktive 2014/41/EU ni na koji način ne promijeni. Ova Direktiva ne prelazi ono što je potrebno za ostvarivanje ciljeva u skladu s člankom 5. stavkom 4. Ugovora o Europskoj uniji.

•Odabir instrumenta

Za izmjenu Direktive 2014/41/EU najprikladniji je instrument direktiva.

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA

•Ex post evaluacije/provjere primjerenosti postojećeg zakonodavstva

Ovaj prijedlog temelji se na rezultatima Komisijina preispitivanja u skladu s člankom 62. stavkom 6. Direktive o zaštiti podataka pri izvršavanju zakonodavstva, kako su predstavljeni u Komunikaciji „Daljnji koraci u usklađivanju nekadašnjeg trećeg stupa pravne stečevine s pravilima o zaštiti podataka”. U toj su komunikaciji navedene točke u pogledu kojih je potrebno usklađivanje. Konkretnije, utvrđena je potreba za pojašnjenjem da je svaka obrada osobnih podataka u skladu s Direktivom 2014/41/EU dopuštena samo pod uvjetima iz Direktive o zaštiti podataka pri izvršavanju zakonodavstva ili Uredbe (EU) 2016/679 5 (Opća uredba o zaštiti podataka), ovisno o tome odvija li se u kontekstu kaznenih ili nekaznenih postupaka. Usklađivanjem bi se trebalo pojasniti da se podaci dobiveni u skladu s Direktivom 2014/41/EU mogu obrađivati u druge svrhe osim onih za koje su prikupljeni samo pod uvjetima utvrđenima u Direktivi o zaštiti podataka pri izvršavanju zakonodavstva (članak 4. stavak 2. ili članak 9. stavak 1.) ili Općoj uredbi o zaštiti podataka (članak 6.).

Budući da se u njemu predlaže brisanje članka 20. Direktive 2014/41/EU, ovaj je prijedlog ograničen na ono što je potrebno u skladu s prethodno navedenim točkama.

•Savjetovanja s dionicima

Nije primjenjivo

•Prikupljanje i primjena stručnog znanja

Komisija je u preispitivanju uzela u obzir studiju provedenu u okviru pilot-projekta o „preispitivanju instrumenata i programa EU-a za prikupljanje podataka s obzirom na temeljna prava” 6 . U toj su studiji navedeni akti Unije obuhvaćeni člankom 62. stavkom 6. Direktive o zaštiti podataka pri izvršavanju zakonodavstva te su utvrđene odredbe koje bi moglo biti nužno uskladiti radi zaštite podataka.

•Procjena učinka

Učinak ovog prijedloga ograničen je na obradu osobnih podataka koju provode nadležna tijela u posebnim slučajevima uređenima Direktivom 2014/41/EU. Učinak novih obveza koje proizlaze iz Direktive o zaštiti podataka pri izvršavanju zakonodavstva procijenjen je u kontekstu pripremnog rada za tu direktivu. Za ovaj prijedlog stoga nije potrebna posebna procjena učinka.

•Primjerenost i pojednostavnjenje propisa

Nije primjenjivo

•Temeljna prava

Pravo na zaštitu osobnih podataka utvrđeno je u članku 8. Povelje Europske unije o temeljnim pravima i članku 16. UFEU-a. Kao što je istaknuo Sud Europske unije 7 , pravo na zaštitu osobnih podataka nije apsolutno pravo, već se mora razmatrati u vezi s njegovom funkcijom u društvu 8 . Zaštita podataka usko je povezana i s poštovanjem privatnog i obiteljskog života, koji je zaštićen člankom 7. Povelje.

Ovim se prijedlogom osigurava da svaka obrada osobnih podataka na temelju Direktive 2014/41/EU podliježe „horizontalnim” načelima i pravilima iz zakonodavstva EU-a o zaštiti podataka, čime se dodatno provodi članak 8. Povelje. Tim zakonodavstvom nastoji se osigurati visoka razina zaštite osobnih podataka i pojasniti da će načela i pravila Direktive (EU) 2016/680 koja se primjenjuju na obradu podataka u skladu s Direktivom imati pozitivan učinak na temeljna prava na privatnost i zaštitu podataka.

4.UTJECAJ NA PRORAČUN

Nije primjenjivo

5.DRUGI ELEMENTI

•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Nije primjenjivo

•Dokumenti s objašnjenjima (za direktive)

Za ovaj prijedlog nisu potrebni dokumenti s objašnjenjima o prenošenju jer uključuje brisanje jednog članka Direktive 2014/41/EU.

•Detaljno obrazloženje posebnih odredaba prijedloga

Člankom 1. briše se članak 20. Direktive 2014/41/EU. U skladu s time ovaj je prijedlog ograničen na ono što je potrebno s obzirom na prethodno navedene točke. Člankom 20. zahtijeva se da svaka obrada podataka na temelju Direktive bude u skladu s Okvirnom odlukom Vijeća 2008/977/PUP i načelima Konvencije Vijeća Europe (od 28. siječnja 1981.) za zaštitu osoba glede automatske obrade osobnih podataka te njezina Dodatnog protokola.

Direktivom o zaštiti podataka pri izvršavanju zakonodavstva Okvirna odluka Vijeća 2008/977/PUP stavljena je izvan snage s učinkom od 6. svibnja 2018. U skladu s člankom 59. Direktive o zaštiti podataka pri izvršavanju zakonodavstva, upućivanja na tu okvirnu odluku smatraju se upućivanjima na Direktivu o zaštiti podataka pri izvršavanju zakonodavstva.

U skladu s njezinim člankom 2. stavkom 1. Direktiva o zaštiti podataka pri izvršavanju zakonodavstva primjenjuje se na obradu osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Međutim, Direktiva 2014/41/EU primjenjuje se i na određene vrste nekaznenih postupaka, a ti su postupci uređeni Općom uredbom o zaštiti podataka.

U članku 20. Direktive 2014/41/EU upućuje se na Okvirnu odluku, što bi moglo uzrokovati nejasnoću o tome primjenjuje li se Direktiva o zaštiti podataka pri izvršavanju zakonodavstva i na obradu osobnih podataka povezanih s europskim istražnim nalozima u kontekstu nekaznenih postupaka (koji nisu obuhvaćeni područjem primjene Direktive o zaštiti podataka pri izvršavanju zakonodavstva). Brisanjem članka 20. na dostatan se način rješava ta situacija. Direktiva o zaštiti podataka pri izvršavanju zakonodavstva i dalje se primjenjuje na obradu osobnih podataka na temelju Direktive 2014/41/EU unutar njezina područja primjene.

Budući da se Direktiva o zaštiti podataka pri izvršavanju zakonodavstva o zaštiti podataka (unutar njihovih područja primjene) primjenjuju na obradu osobnih podataka na temelju Direktive 2014/41/EU, obrada tih podataka u svrhe različite od onih za koje su prikupljeni provodit će se u skladu s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva (članak 4. stavak 2. i članak 9. stavak 1.) ili Općom uredbom o zaštiti podataka (članak 6. stavak 4.). Za to nisu potrebne nove odredbe.

U skladu s člankom 20. Direktive 2014/41/EU zahtijeva se i da se pristup osobnim podacima ograniči, ne dovodeći u pitanje prava ispitanika, i da samo ovlaštene osobe imaju pristup tim podacima. Direktivom o zaštiti podataka pri izvršavanju zakonodavstva i Općom uredbom o zaštiti podataka uspostavlja se sveobuhvatan okvir o pravima ispitanika i obvezama voditelja obrade podataka, među ostalim u pogledu tehničke i integrirane zaštite podataka te sigurnosti obrade. Stoga je drugi stavak članka 20. suvišan.

Budući da Direktiva 2014/41/EU ne sadržava posebna pravila o zaštiti podataka, nisu potrebne daljnje izmjene povezane sa zaštitom podataka.

U članku 2. utvrđuje se rok za prenošenje predložene nove direktive.

U članku 3. utvrđuje se datum stupanja na snagu ove Direktive.

U članku 4. propisano je da je Direktiva upućena državama članicama.

2021/0009 (COD)

Prijedlog

DIREKTIVE EUROPSKOG PARLAMENTA I VIJEĆA

o izmjeni Direktive 2014/41/EU radi njezina usklađivanja s pravilima EU-a o zaštiti osobnih podataka

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

u skladu s redovnim zakonodavnim postupkom,

budući da:

(1)U skladu s člankom 62. stavkom 6. Direktive (EU) 2016/680 9 Komisija preispituje druge akte prava Unije kojima se uređuje obrada od strane nadležnih tijela u svrhe iz članka 1. stavka 1. te direktive kako bi se procijenila potreba da se usklade s tom direktivom i kako bi se, prema potrebi, dali potrebni prijedlozi za izmjenu tih akata s ciljem osiguravanja dosljednog pristupa zaštiti osobnih podataka unutar područja primjene te direktive. U tom je preispitivanju Direktiva 2014/41/EU 10 utvrđena kao jedan od tih akata koje treba izmijeniti.

(2)Radi dosljednosti i djelotvorne zaštite osobnih podataka obrada osobnih podataka na temelju Direktive 2014/41/EU trebala bi biti u skladu s pravilima iz Direktive (EU) 2016/680, ako je to primjenjivo. Uredba (EU) 2016/679 11 trebala bi se primjenjivati na obradu osobnih podataka u vezi s postupcima iz članka 4. točaka (b), (c) i (d) Direktive 2014/41/EU ako nisu obuhvaćeni Direktivom (EU) 2016/680.

(3)U skladu s člancima 1. i 2. i člankom 4.a stavkom 1. Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, i ne dovodeći u pitanje članak 4. navedenog protokola, Irska ne sudjeluje u donošenju ove Direktive te ona za nju nije obvezujuća niti se na nju primjenjuje.

(4)U skladu s člancima 1. i 2. Protokola br. 22 o stajalištu Danske, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, Danska ne sudjeluje u donošenju ove Direktive te ona za nju nije obvezujuća niti se na nju primjenjuje.

(5)Direktivu 2014/41/EU trebalo bi stoga na odgovarajući način izmijeniti.

(6)Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. Uredbe (EU) 2018/1725 12 te je on dao mišljenje XX XXXX 13 ,

DONIJELI SU OVU DIREKTIVU:

Članak 1.

Izmjene Direktive 2014/41/EU

Članak 20. Direktive 2014/41/EU briše se.

Članak 2.

1.Države članice stavljaju na snagu zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom najkasnije do [godinu dana nakon njezina donošenja]. One Komisiji odmah dostavljaju tekst tih odredaba.

Kada države članice donose te odredbe, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Države članice određuju načine tog upućivanja.

2.Države članice Komisiji dostavljaju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 3.

Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Članak 4.

Ova je Direktiva upućena državama članicama u skladu s Ugovorima.

Sastavljeno u Bruxellesu,

Za Europski parlament Za Vijeće

Predsjednik Predsjednik

(1) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(2) Okvirna odluka Vijeća 2008/977/PUP od 27. studenoga 2008. o zaštiti osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima (SL L 350, 30.12.2008., str. 60.).

(3) COM(2020) 262 final.

(4) SL L 130, 1.5.2014, str. 1.

(5) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(6)

Pilot-projekt je zatražio Europski parlament, njime je upravljala Komisija, a proveo ga je izvođač (skupina neovisnih stručnjaka). Komisija je izvođača odabrala na temelju kriterija koje je utvrdio Europski parlament. Rezultati projekta odražavaju samo stajališta i mišljenja izvođača te se Komisija ne može smatrati odgovornom ni za kakvu upotrebu navedenih informacija. Rezultati su objavljeni na http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes .

(7)

Presuda Suda EU-a, 9. studenoga 2010., Volker und Markus Schecke i Eifert, spojeni predmeti C-92/09 i C-93/09 (ECLI:EU:C:2009:284, točka 48.).

(8)

U skladu s člankom 52. stavkom 1. Povelje moguća su ograničenja prava na zaštitu podataka, ali samo ako su ta ograničenja predviđena zakonom, ako se njima poštuje bit prava i sloboda te, podložno načelu proporcionalnosti, ako su potrebna i ako zaista odgovaraju ciljevima od općeg interesa koje priznaje Unija ili potrebi zaštite prava i sloboda drugih osoba.

(9) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(10) Direktiva 2014/41/EU Europskog parlamenta i Vijeća od 3. travnja 2014. o Europskom istražnom nalogu u kaznenim stvarima (SL L 130, 1.5.2014., str. 1.).

(11) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(12) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).