Bruselj, 24.1.2018

COM(2018) 43 final

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

Okrepljeno varstvo, nove priložnosti – navodila Komisije o neposredni uporabi splošne uredbe o varstvu podatkov od 25. maja 2018


Sporočilo Komisije Evropskemu parlamentu in Svetu

Okrepljeno varstvo, nove priložnosti – navodila Komisije o neposredni uporabi splošne uredbe o varstvu podatkov od 25. maja 2018

Uvod

EU je 6. aprila 2016 sklenila, da bo opravila večjo reformo svojega okvira za varstvo podatkov, in sicer s sprejetjem svežnja ukrepov za reformo varstva podatkov, ki ga sestavljajo splošna uredba o varstvu podatkov 1 , ki nadomešča dvajset let staro Direktivo 95/46/ES 2 (v nadaljnjem besedilu: direktiva o varstvu podatkov), in policijska direktiva 3 . Dne 25. maja 2018 se bo novi vseevropski instrument varstva podatkov, tj. splošna uredba o varstvu podatkov (v nadaljnjem besedilu: uredba), začela neposredno uporabljati, dve leti po sprejetju in začetku veljavnosti 4 .

Nova uredba bo okrepila varstvo pravic posameznikov do varstva osebnih podatkov, kar odraža dejstvo, da je varstvo podatkov za Evropsko unijo ena od temeljnih pravic 5 . 

Z enotnim naborom pravil, ki se neposredno uporabljajo v pravnih redih držav članic, bo zagotavljala prost pretok osebnih podatkov med državami članicami EU in krepila zaupanje in varnost potrošnikov, ki sta nujni sestavini resnično enotnega digitalnega trga. Na ta način bo uredba odprla nove priložnosti za podjetja in družbe, zlasti za manjše med njimi, tudi z jasnejšimi pravili za mednarodne prenose podatkov.

Čeprav novi okvir za varstvo podatkov temelji na obstoječi zakonodaji, bo imel obsežen vpliv in bo narekoval znatne prilagoditve nekaterih vidikov. Zato uredba določa prehodno obdobje 2 let – do 25. maja 2018 –, da se lahko države članice in deležniki v celoti pripravijo na nov pravni okvir.

V zadnjih dveh letih so vsi deležniki, od nacionalnih uprav in nacionalnih organov za varstvo podatkov do upravljavcev in obdelovalcev podatkov, sodelovali v številnih dejavnostih, s katerimi naj bi se zagotovilo, da vsi akterji dobro razumejo pomen in obseg sprememb, ki jih je prinesla nova zakonodaja o varstvu podatkov in da so vsi pripravljeni za njeno uporabo. Glede na to, da se približuje rok za začetek uporabe, tj. 25. maj, Komisija meni, da je potrebno proučiti te dejavnosti ter obravnavati nadaljnje ukrepe, ki bi lahko bili koristni za zagotovitev vseh elementov za uspešen začetek veljavnosti novega okvira 6 .

To sporočilo:

·povzema glavne novosti in priložnosti, ki jih omogoča nova zakonodaja EU o varstvu podatkov,

·ocenjuje pripravljalno delo, ki je bilo do zdaj opravljeno na ravni EU,

·prikazuje, kaj bi morali Evropska komisija, nacionalni organi za varstvo podatkov in nacionalne uprave še storiti za uspešen zaključek pripravljalnih del,

·določa ukrepe, ki jih Komisija namerava izvesti v naslednjih mesecih.

Vzporedno s sprejetjem tega sporočila je Komisija uvedla spletno orodje za pomoč deležnikom pri pripravi na uporabo uredbe in, s podporo predstavništev, začela informacijsko kampanjo v vseh državah članicah.

1.NOVI OKVIR EU ZA VARSTVO PODATKOV – OKREPLJENO VARSTVO in NOVE PRILOŽNOSTI

Uredba še naprej uporablja pristop iz direktive o varstvu podatkov, vendar na podlagi 20-letnih izkušenj z izvajanjem zakonodaje EU o varstvu podatkov in ustrezne sodne prakse pojasnjuje in posodablja predpise o varstvu podatkov. Uvaja številne nove elemente, ki krepijo varstvo pravic posameznikov in odpirajo priložnosti za podjetja in družbe, zlasti:

·Harmoniziran pravni okvir, ki bo omogočal enotno uporabo pravil v korist enotnega digitalnega trga EU. To pomeni en sam sklop pravil za državljane in podjetja. To bo odpravilo današnje stanje, ki je nastalo zaradi tega, ker so države članice EU različno prenesle pravila Direktive. Za zagotovitev enotne in dosledne uporabe v vseh državah članicah je uveden mehanizem „vse na enem mestu“.

·Enaki konkurenčni pogoji za vsa podjetja, ki delujejo na trgu EU. Uredba določa, da morajo družbe s sedežem zunaj EU spoštovati ista pravila kot podjetja s sedežem v EU, če ponujajo blago in storitve v zvezi z osebnimi podatki ali spremljajo vedenje posameznikov v Uniji. Podjetja, ki poslujejo zunaj EU in so dejavna na enotnem trgu EU, morajo v nekaterih okoliščinah imenovati zastopnika v EU, na katerega se lahko poleg podjetja, ki ima sedež v tujini, ali namesto tega podjetja obrnejo državljani in organi.

·Načeli vgrajenega in privzetega varstva podatkov ustvarjata spodbude za inovativne rešitve z namenom obravnavanja vprašanj varstva podatkov od začetka.

·Večje pravice posameznikov: Uredba uvaja nove zahteve glede preglednosti; okrepljene pravice do informacij, dostopa in izbrisa („pravica do pozabe“), molk ali nedejavnost ne bosta več štela kot veljavna privolitev, kot znak soglasja bo potrebno jasno pritrdilno dejanje; zaščita otrok v spletnem okolju.

·Več nadzora nad osebnimi podatki za posameznike. Ta uredba določa novo pravico do prenosljivosti podatkov, ki bo državljanom omogočila, da od podjetja ali organizacije zahtevajo, da jim osebne podatke, ki so jim jih zagotovili na podlagi privolitve ali pogodbe, vrnejo nazaj. Omogočila bo tudi, da se taki osebni podatki posredujejo neposredno drugemu podjetju ali organizaciji, če je to tehnično izvedljivo. Ker uredba omogoča neposreden prenos osebnih podatkov od enega do drugega podjetja ali organizacije, bo ta pravica podpirala tudi prost pretok osebnih podatkov v EU, s čimer bi preprečili vezanost osebnih podatkov, ter spodbujala konkurenco med podjetji. Ker bo prehod med različnimi ponudniki storitev za državljane lažji, bo uredba spodbujala tudi razvoj novih storitev v okviru strategije za enotni digitalni trg.

·Večje varstvo pred kršitvami varnosti podatkov. Uredba določa celovit sklop pravil o kršitvah varnosti osebnih podatkov. Jasno opredeljuje, kaj je „kršitev varnosti osebnih podatkov“, in določa obveznost uradnega obveščanja nadzornega organa najpozneje v 72 urah, če je verjetno, da bi kršitev varnosti pomenila tveganje za pravice in svoboščine posameznika. V nekaterih okoliščinah uredba določa obveznost obveščanja osebe, katere podatke zadeva kršitev. To močno krepi varstvo glede na sedanje stanje v EU, ko so samo ponudniki elektronskih komunikacijskih storitev, izvajalci osnovnih storitev in ponudniki digitalnih storitev dolžni obveščati o kršitvah varstva podatkov v skladu z direktivo o zasebnosti in elektronskih komunikacijah (v nadaljnjem besedilu: direktiva o e-zasebnosti) 7 in direktivo o varnosti omrežij in informacijskih sistemov (direktiva NIS) 8 ;

·Z uredbo bodo vsi organi za varstvo podatkov dobili pooblastila za naložitev glob upravljavcem in obdelovalcem. Trenutno nimajo vsi teh pooblastil. To bo omogočilo boljše izvajanje pravil. Globe lahko dosežejo 20 milijonov EUR oziroma, v primeru podjetja, 4 % svetovnega letnega prometa.

·Več prožnosti za upravljavce in obdelovalce podatkov, ki obdelujejo osebne podatke zaradi nedvoumne določbe o pristojnosti (načelo odgovornosti). Uredba odpravlja sistem obveščanja in ga nadomešča z načelom odgovornosti. To načelo se izvaja prek obsežnih obveznosti, ki so odvisne od tveganja (npr. prisotnost uradne osebe za varstvo podatkov ali obveznost izvedbe ocene učinka v zvezi z varstvom podatkov). Uvaja se novo orodje, ki bo pomagalo oceniti tveganje pred začetkom obdelave: ocena učinka v zvezi z varstvom podatkov. Takšna ocena je obvezna, kadar bi obdelava lahko povzročila veliko tveganje za pravice in svoboščine posameznikov. Uredba izrecno določa tri primere, ki bi lahko povzročili omenjeno tveganje: ko podjetje sistematično in obsežno ocenjuje osebne vidike posameznika (vključno z oblikovanjem profilov), kadar v velikem obsegu obdeluje občutljive podatke ali kadar v velikem obsegu sistematično spremlja javne površine. Nacionalni organi za varstvo podatkov bodo morali objaviti sezname primerov, pri katerih je potrebna ocena učinka o varstvu podatkov 9 .

·Večja jasnost glede obveznosti obdelovalcev in pristojnosti upravljavcev pri izbiri obdelovalca.

·Sodoben sistem upravljanja za zagotovitev, da se pravila izvajajo bolj dosledno in odločno. To vključuje usklajena pooblastila organov za varstvo podatkov, vključno z možnostjo izrekanja glob, in nove mehanizme za sodelovanje navedenih organov v mreži.

·Varstvo osebnih podatkov, ki ga zagotavlja ta uredba, skupaj s podatki potuje tudi zunaj EU, kar zagotavlja visoko raven varstva 10 . Čeprav struktura pravil o mednarodnih prenosih v uredbi ostaja v bistvu enaka tisti iz direktive iz leta 1995, reforma pojasnjuje in poenostavlja uporabo teh pravil ter uvaja nova orodja za prenos. Kar zadeva sklepe o ustreznosti uredba uvaja natančen in podroben seznam elementov, ki jih mora Komisija upoštevati pri presojanju, ali tuji sistem ustrezno varuje osebne podatke. Uredba tudi formalizira in razširja svoje področje uporabe na več alternativnih instrumentov za prenos, kot so standardne pogodbene klavzule in zavezujoča poslovna pravila.

Revidirana uredba za institucije, organe, urade in agencije EU 11 in uredba o zasebnosti in elektronskih komunikacijah (v nadaljnjem besedilu: uredba o e-zasebnosti) 12 , o katerih trenutno potekajo pogajanja, bosta po sprejetju zagotavljali, da bo imela EU trden in celovit sklop pravil o varstvu podatkov 13 .

2.Pripravljalno delo, ki je bilo do zdaj opravljeno na ravni EU

Uspešna uporaba uredbe zahteva sodelovanje med vsemi, ki sodelujejo pri varstvu podatkov: države članice, vključno z javnimi upravami, nacionalni organi za varstvo podatkov (OVP), podjetja, organizacije, ki obdelujejo osebne podatke, posamezniki in tudi Komisija.

2.1 Ukrepi, ki jih uvede Evropska komisija

Da bi se pripravili na uporabo uredbe je Komisija kmalu po tem, ko je uredba začela veljati sredi leta 2016, sodelovala z organi držav članic, organi za varstvo podatkov in deležniki, ter zagotavljala podporo in svetovanje.

a) Podpora državam članicam in njihovim organom

Da bi zagotovili najvišjo možno raven doslednosti, Komisija s tesnim sodelovanjem z državami članicami zagotavlja pomoč pri njihovem delu v prehodnem obdobju. V ta namen je Komisija ustanovila skupino strokovnjakov, ki bo spremljala države članice v njihovih prizadevanjih za pripravo na uporabo uredbe. Skupina, ki se je sestala že 13-krat, deluje kot forum, kjer lahko države članice izmenjajo svoje izkušnje in znanje 14 . Komisija se je udeležila tudi dvostranskih srečanj z organi držav članic, da bi razpravljali o vprašanjih, ki se pojavljajo na nacionalni ravni.

b) Podpora posameznim organom za varstvo podatkov in ustanovitev Evropskega odbora za varstvo podatkov

Komisija je dejavno podpirala delo Delovne skupine iz člena 29 tudi zato, da bi se zagotovil nemoten prehod na Evropski odbor za varstvo podatkov 15 .

c) Mednarodno ozaveščanje

Uredba bo še naprej krepila zmožnost EU za dejavno promoviranje svojih vrednot na področju varstva podatkov in omogočala lažji čezmejni pretok podatkov s spodbujanjem zbliževanja pravnih sistemov po vsem svetu 16 . Pravila EU o varstvu podatkov se vse bolj priznavajo na mednarodni ravni kot tista, ki določajo nekatere najvišje standarde varstva podatkov v svetu. Konvencija Sveta Evrope št. 108, ki je edini pravno zavezujoč večstranski akt na področju varstva osebnih podatkov, se prav tako posodablja. Komisija si prizadeva, da bi odražala enaka načela, kot so vključena v nova pravila EU o varstvu podatkov, kar bi prispevalo k vzpostavitvi enotnih visokih standardov varstva podatkov. Komisija bo dejavno spodbujala hitro sprejetje posodobljenega besedila Konvencije z namenom, da bi EU postala njena pogodbenica 17 . Komisija spodbuja tretje države k ratifikaciji Konvencije Sveta Evrope št. 108 in njenega dodatnega protokola.

Poleg tega številne države in regionalne organizacije zunaj EU, od našega neposrednega sosedstva pa vse do Azije, Latinske Amerike in Afrike, sprejemajo nove zakonodaje o varstvu podatkov ali posodabljajo že obstoječe, da bi tako izkoristile priložnosti, ki jih ponuja svetovno digitalno gospodarstvo, in se odzvale na vse večje povpraševanje po močnejši varnosti podatkov in varstvu zasebnosti. Čeprav se pristopi držav in njihova raven zakonodajnega razvoja razlikujejo, obstajajo znaki, da uredba vse bolj služi kot izhodišče in vir navdiha 18 .

V tem okviru Komisija nadaljuje z mednarodnim ozaveščanjem v skladu s sporočilom iz januarja 2017 19 , in sicer z dejavnim sodelovanjem s ključnimi trgovinskimi partnerji, zlasti na vzhodu in jugovzhodu Azije in z državami Latinske Amerike, z namenom morebitnega sprejetja sklepov o ustreznosti 20 .

Komisija bo zlasti sodelovala z Japonsko, da bi do začetka 2018 obe strani lahko hkrati našli ustrezno raven zaščite, kot sta napovedala predsednik Juncker in predsednik vlade Abe v skupni izjavi z dne 6. julija 2017 21 . Pogovori so se začeli tudi z Južno Korejo z namenom morebitnega sprejetja sklepa o ustreznosti. Sprejetje sklepa o ustreznosti bi omogočilo prost pretok podatkov z zadevnimi tretjimi državami, pri čemer bi hkrati zagotavljali visoko raven varstva pri prenosu osebnih podatkov iz EU v navedene države.

Hkrati Komisija sodeluje z deležniki, da bi izkoristili celoten potencial orodij splošne uredbe o varstvu podatkov za mednarodne prenose z razvojem alternativnih mehanizmov za prenos, ki bi bili prilagojeni posameznim potrebam specifičnih industrij in/ali ponudnikov 22 .

d) Sodelovanje z deležniki

Komisija je organizirala več dogodkov za deležnike 23 . Nova delavnica, namenjena potrošnikom, je načrtovana za prvo četrtletje leta 2018. Potekale so tudi namenske sektorske razprave na področjih, kot so raziskave in finančne storitve.

Komisija je ustanovila tudi večdeležniško skupino o uredbi, ki jo sestavljajo predstavniki civilne družbe, predstavniki podjetij, akademiki in strokovnjaki iz prakse. Ta skupina bo Komisiji svetovala predvsem o tem, kako doseči ustrezno raven ozaveščenosti o uredbi med deležniki 24 .

Nazadnje Evropska komisija prek okvirnega programa za raziskave in inovacije Obzorje 2020 25 financira dejavnosti za razvoj orodij, ki prispevajo k učinkoviti uporabi pravil iz uredbe v zvezi s soglasjem in metodami za ohranjanje zasebnosti pri analizi podatkov, kot so večstransko kodiranje in homomorfno šifriranje.

2.2 Ukrepi, ki jih uvede delovna skupina iz člena 29 / Evropski odbor za varstvo podatkov

Delovna skupina iz člena 29, ki združuje vse nacionalne organe za varstvo podatkov, vključno z Evropskim nadzornikom za varstvo podatkov, ima ključno vlogo pri pripravljanju na uporabo uredbe z izdajo smernic za podjetja in druge deležnike. Kot izvajalci uredbe in neposredni stik za deležnike so nacionalni organi za varstvo podatkov najprimernejši za zagotovitev dodatne pravne varnosti v zvezi z razlago uredbe.

Smernice / delovni dokumenti delovne skupine iz člena 29 glede na začetek uporabe Uredbe 26

Pravica do prenosljivosti podatkov

sprejeto dne 4. in 5. aprila 2017

Pooblaščene osebe za varstvo podatkov

Določitev vodilnega nadzornega organa

Ocena učinka v zvezi z varstvom podatkov

sprejeto dne 3. in 4. oktobra 2017

Upravne globe

sprejeto dne 3. in 4. oktobra 2017

Določitev profila

tekoče delo

Kršitev varstva podatkov

tekoče delo

Privolitev

tekoče delo

Preglednost

tekoče delo

Potrjevanje in akreditiranje

tekoče delo

Referenčni dokument o ustreznosti

tekoče delo

Zavezujoča poslovna pravila za upravljavce

tekoče delo

Zavezujoča poslovna pravila za obdelovalce

tekoče delo

Delovna skupina iz člena 29 si prizadeva posodobiti obstoječa mnenja, vključno o orodjih za prenos podatkov v tretje države.

Ker je bistveno, da imajo nosilci dejavnosti skladen in enoten sklop smernic, je treba trenutne smernice na nacionalni ravni razveljaviti ali uskladiti s tistimi, ki jih je sprejela delovna skupina iz člena 29 / Evropski odbor za varstvo podatkov o isti temi.

Komisija pripisuje velik pomen dejstvu, da bo o navedenih smernicah pred zaključkom potekalo javno posvetovanje. Bistveno je, da so prispevki deležnikov v tem procesu čim bolj natančni in konkretni, saj bo to pripomoglo k opredelitvi dobrih praks, delovna skupina iz člena 29 pa bo seznanjena s sektorskimi značilnostmi in značilnostmi industrije. Končno odgovornost za navedene smernice še vedno nosi delovna skupina iz člena 29 in prihodnji Evropski odbor za varstvo podatkov, organi za varstvo podatkov pa se bodo nanje sklicevali pri zagotavljanju izvrševanja te uredbe.

Omogočiti bi bilo treba, da se smernice lahko spremenijo ob upoštevanju razvoja in prakse. V ta namen je bistvenega pomena, da organi za varstvo podatkov spodbujajo kulturo dialoga z vsemi deležniki, vključno s podjetji.

Opozoriti je treba, da bodo končno razlago uredbe glede vprašanj njene razlage in uporabe podala sodišča na nacionalni ravni in na ravni EU.

3.Preostali ukrepi, potrebni za uspešno pripravo

3.1 Države članice dokončno vzpostavijo pravni okvir na nacionalni ravni

Uredba se v državah članicah neposredno uporablja 27 . To pomeni, da začne veljati in se uporablja ne glede na kakršne koli nacionalne ukrepe: državljani, podjetja, javne uprave in druge organizacije, ki obdelujejo osebne podatke, se običajno lahko neposredno sklicujejo na določbe uredbe. Kljub temu morajo države članice v skladu z uredbo sprejeti potrebne ukrepe za prilagoditev svoje zakonodaje, in sicer z razveljavitvijo in spremembo obstoječe zakonodaje, vzpostavitvijo nacionalnih organov za varstvo podatkov 28 , izborom akreditacijskega organa 29 in določitvijo pravil za uskladitev svobode izražanja in varstva osebnih podatkov 30 .

Poleg tega uredba državam članicam omogoča, da dodatno opredelijo uporabo pravil o varstvu podatkov na posebnih področjih: javni sektor 31 , zaposlitev in socialna varnost 32 , preventivna medicina in medicina dela, javno zdravje 33 , arhiviranje v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene 34 , nacionalna identifikacijska številka 35 , dostop javnosti do uradnih dokumentov 36 in obveznost tajnosti 37 . Poleg tega za genetske podatke, biometrične podatke in podatke v zvezi z zdravjem, uredba državam članicam dopušča, da ohranijo ali uvedejo dodatne pogoje, vključno z omejitvami 38 .

Ukrepi držav članic v zvezi s tem so razdeljeni glede na dva elementa:

1.člen 8 Listine, kar pomeni, da morajo vsi zakoni, ki zadevajo nacionalno specifikacijo izpolnjevati zahteve iz člena 8 Listine (in splošne uredbe o varstvu podatkov, ki temelji na členu 8 Listine), in

2.člen 16(2) PDEU, na podlagi katerega nacionalna zakonodaja ne more vplivati na prost pretok osebnih podatkov v EU.

Uredba nudi priložnost za poenostavitev pravnega okolja, v katerem bi imeli manj nacionalnih pravil in večjo jasnost za izvajalce.

Pri prilagajanju nacionalne zakonodaje morajo države članice upoštevati dejstvo, da so vsi nacionalni ukrepi, ki bi ustvarili ovire za neposredno uporabo uredbe in ogrozili njeno hkratno in enotno uporabo v celotni EU, v nasprotju s Pogodbama 39 .

Ponavljanje dikcije predpisov v nacionalnem pravu prav tako ni dovoljeno (npr. ponovitev opredelitve ali pravic posameznikov), razen če je ponovitev nujno potrebna zaradi skladnosti in da bi nacionalna zakonodaja bila razumljiva za tiste, na katere se nanaša 40 . Dobesedno povzemanje dikcije uredbe v zakonodaji o nacionalni specifikaciji mora biti izjemna in upravičena ter se ne sme uporabljati za dodajanje pogojev ali pojasnil k besedilu uredbe.

Razlaga uredbe je prepuščena evropskim sodiščem (nacionalnim sodiščem in nazadnje Sodišču Evropske unije) in ne zakonodajalcem držav članic. Nacionalni zakonodajalec zato ne sme niti kopirati besedila uredbe, če to ni potrebno glede na merila, določena v sodni praksi, niti ga razlagati ali dodajati dodatne pogoje pravilom, ki se neposredno uporabljajo na podlagi uredbe. Če bi to storili, bi bili izvajalci v celotni Uniji ponovno soočeni z razdrobljenostjo in ne bi vedeli, katera pravila morajo spoštovati.

Na tej stopnji sta le dve državi članici že sprejeli ustrezno nacionalno zakonodajo 41 . Preostale države članice so na različnih stopnjah zakonodajnega procesa 42 in sledijo časovnemu razporedu za sprejetje zakonodaje do 25. maja 2018. Pomembno je, da vsem izvajalcem zagotovimo dovolj časa za pripravo na vse določbe, ki jih bodo morali upoštevati.

Če države članice ne sprejmejo potrebnih ukrepov, ki jih zahteva uredba, ali jih ne sprejmejo pravočasno ali uporabijo določila o natančnejši ureditvi iz uredbe v nasprotju z njo, bo Komisija uporabila vse instrumente, ki so ji na voljo, vključno z uporabo postopka za ugotavljanje kršitev.

3.2 Organi za varstvo podatkov zagotovijo, da bo novi neodvisni Evropski odbor za varstvo podatkov deloval v celoti

Bistvenega pomena je, da bo nov organ, ustanovljen z uredbo, tj. Evropski odbor za varstvo podatkov 43 , ki bo nasledil delovno skupino iz člena 29, v celoti deloval od 25. maja 2018.

Evropski nadzornik za varstvo podatkov, ki je organ za varstvo podatkov, pristojen za nadzor institucij in organov EU, bo zagotavljal sekretariat Evropskega odbora za varstvo podatkov, da se okrepijo sinergije in učinkovitost. V preteklih mesecih je Evropski nadzornik za varstvo podatkov začel potrebne priprave za ta namen.

Evropski odbor za varstvo podatkov bo osrednji organ varstva podatkov v Evropi. Prispeval bo k dosledni uporabi zakonodaje o varstvu podatkov in nudil trdno podlago za sodelovanje organov za varstvo podatkov, vključno z Evropskim nadzornikom za varstvo podatkov. Evropski odbor za varstvo podatkov ne bo zgolj izdajal smernic o tem, kako razlagati glavne koncepte iz uredbe, ampak bo lahko tudi sprejemal zavezujoče odločitve o sporih glede čezmejne obdelave. S tem se bo zagotovila enotna uporaba pravil EU in preprečilo, da bi se isti primer v različnih državah članicah obravnaval različno.

Nemoteno in učinkovito delovanje Evropskega odbora za varstvo podatkov je torej pogoj za dobro delovanje sistema kot celote. Bolj kot kdaj koli prej bo moral Evropski odbor za varstvo podatkov oblikovati skupno kulturo varstva podatkov med vsemi nacionalnimi organi za varstvo podatkov, da bi se zagotovilo, da se določbe uredbe razlagajo dosledno. Uredba spodbuja sodelovanje med organi za varstvo podatkov z zagotavljanjem orodij za učinkovito in uspešno sodelovanje; zlasti bodo organi lahko opravljali skupne operacije, sporazumno sprejemali odločitve in v okviru odbora z mnenji in zavezujočimi odločitvami reševali morebitna razhajanja glede razlage uredbe. Komisija spodbuja organe za varstvo podatkov, naj sprejmejo te spremembe in prilagodijo svoje delovanje, financiranje in delovno kulturo, da bodo lahko izpolnili nove pravice in obveznosti.

3.3 Države članice nacionalnim organom za varstvo podatkov zagotovijo potrebne finančne in človeške vire

Uvedba popolnoma neodvisnega nadzornega organa v vsaki državi članici je bistvenega pomena za zagotovitev varstva fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov v EU 44 . Nadzorni organi ne morejo učinkovito varovati pravic in svoboščin posameznikov, če ne delujejo popolnoma neodvisno. Kakršno koli neuspešno zagotavljanje njihove neodvisnosti in učinkovitega izvajanja njihovih pooblastil pa ima obsežen negativen vpliv na izvrševanje zakonodaje o varstvu podatkov 45 .

Uredba kodificira zahtevo, po kateri naj bi vsi organi za varstvo podatkov delovali popolnoma neodvisno 46 . Krepi neodvisnost nacionalnih organov za varstvo podatkov in jim zagotavlja enotna pooblastila po vsej EU, tako da so ustrezno opremljeni za učinkovito obravnavo pritožb, učinkovito izvajanje preiskav, sprejemanje zavezujočih odločitev ter nalaganje učinkovitih in odvračilnih sankcij. Prav tako jim daje pooblastila, da lahko upravljavcem ali obdelovalcem izrečejo upravne globe v višini do 20 milijonov EUR ali v primeru podjetja v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

Organi za varstvo podatkov so logični sogovorniki in prva kontaktna točka za vprašanja v zvezi z uredbo za širšo javnost, podjetja in javne uprave. Vloga organov za varstvo podatkov vključuje obveščanje upravljavcev in obdelovalcev o njihovih obveznostih ter povečanje ozaveščenosti širše javnosti in njenega razumevanja tveganj, pravil, zaščitnih ukrepov in pravic v zvezi z obdelavo podatkov. To pa nikakor ne pomeni, da lahko upravljavci in obdelovalci pričakujejo, da jim bodo organi za varstvo podatkov zagotavljali prilagojeno, individualizirano pravno svetovanje, ki ga lahko nudi samo odvetnik ali uradna oseba za varstvo podatkov.

Nacionalni organi za varstvo podatkov imajo tako osrednjo vlogo, vendar neravnovesja med človeškimi in finančnimi viri, ki jih imajo na voljo v različnih državah članicah, lahko ogrozijo njihovo učinkovitost in nazadnje popolno neodvisnost, ki jo zahteva uredba. Prav tako lahko negativno vplivajo na to, kako lahko organi za varstvo podatkov izvajajo pooblastila, kot so preiskovalna pooblastila. Države članice so pozvane, da izpolnijo svoje pravne obveznosti in svojim nacionalnim organom za varstvo podatkov zagotovijo človeške, tehnične in finančne vire ter prostore ter infrastrukturo, ki jih potrebujejo za učinkovito opravljanje svojih nalog in izvajanje svojih pooblastil 47 .

3.4 Podjetja, javne uprave in druge organizacije, ki obdelujejo podatke, se usposobijo za uporabo novih pravil

Uredba ni znatno spremenila glavnih konceptov in načel zakonodaje o varstvu podatkov, ki je bila sprejeta že leta 1995. To bi moralo pomeniti, da veliki večini upravljavcev in obdelovalcev, pod pogojem, da že spoštujejo obstoječo zakonodajo EU o varstvu podatkov, ne bo treba uvesti velikih sprememb v svoje postopke obdelovanja podatkov, da bi izpolnili obveznosti iz uredbe.

Uredba najbolj vpliva na izvajalce, katerih osnovna dejavnost je obdelava podatkov in/ali ravnanje z občutljivimi podatki. Vpliva tudi na tiste, ki v velikem obsegu redno in sistematično spremljajo posameznike. Ti izvajalci bodo morali najverjetneje imenovati uradno osebo za varstvo podatkov, opraviti oceno učinka v zvezi z varstvom podatkov in obvestiti o kršitvah varstva osebnih podatkov, če obstaja tveganje za pravice in svoboščine posameznikov. Nasprotno za izvajalce, zlasti za mala in srednja podjetja, ki se ne ukvarjajo z obdelavo z velikim tveganjem kot svojo temeljno dejavnostjo, predvidoma ne bodo veljale navedene posebne obveznosti uredbe.

Za upravljavce in obdelovalce je pomembno, da se temeljito pregleda njihov cikel politike glede podatkov, da bi se jasno opredelilo, katere podatke hranijo, zakaj in na kakšni pravni podlagi (npr. okolje oblaka, izvajalci v finančnem sektorju). Poleg tega morajo tudi oceniti veljavne pogodbe, zlasti med upravljavci in obdelovalci, možnosti za mednarodne prenose in splošno upravljanje (katere IT in organizacijske ukrepe je treba izvesti), vključno z imenovanjem uradne osebe za varstvo podatkov. Bistveni dejavnik tega procesa je zagotoviti, da je najvišja raven upravljanja vključena v te preglede, zagotavlja svoj prispevek in se redno posodablja ter, da se z njo opravi posvetovanje o spremembah podatkovne politike v podjetjih.

V ta namen nekateri izvajalci uporabijo sezname za skladnost (notranje ali zunanje), poiščejo nasvet svetovalne službe in odvetniške pisarne ter iščejo proizvode, ki izpolnjujejo zahteve vgrajenega in privzetega varstva podatkov. Vsak sektor mora ugotoviti, kakšna ureditev bi bila primerna za specifično naravo njihovega področja in prilagojena njihovim poslovnim modelom.

Podjetja in druge organizacije, ki obdelujejo podatke, bodo tudi lahko izkoristili nova orodja iz uredbe kot element za dokazovanje skladnosti, kot so kodeksi ravnanja in mehanizmi potrjevanja. Ta orodja predstavljajo pristope od spodaj navzgor, ki izhajajo iz poslovnega okolja, združenj ali drugih organizacij, ki predstavljajo vrste upravljavcev ali obdelovalcev, in odsevajo dobro prakso, pomemben razvoj v določenem sektorju ali lahko obveščajo o ravni varstva podatkov, ki jo zahtevajo nekateri proizvodi in storitve. Uredba določa poenostavljen sklop pravil za takšne mehanizme, pri tem pa upošteva tržne razmere (npr. potrjevanje s strani organa za potrjevanje ali organa za varstvo podatkov).

Vendar pa medtem, ko se velika podjetja dejavno pripravljajo na uporabo novih pravil, veliko MSP še ni v celoti seznanjenih s prihodnjimi pravili o varstvu podatkov.

Na kratko, izvajalci bi se morali pripraviti in prilagoditi novim pravilom in uredbo gledati kot:

·priložnost, da uredijo poslovanje, in sicer glede tega, katere osebne podatke obdelujejo in na kakšen način z njimi upravljajo,

·zahtevo za razvoj proizvodov, ki spoštujejo zasebnost in varstvo podatkov, in oblikovanje novih odnosov s svojimi strankami na podlagi preglednosti in zaupanja ter

·priložnost za ponovno vzpostavitev njihovih odnosov z organi za varstvo podatkov prek odgovornosti in proaktivne skladnosti.

3.5 Obveščati deležnike, zlasti državljane ter mala in srednja podjetja

Uspeh uredbe temelji na ustreznem ozaveščanju vseh, ki jih zadevajo nova pravila (poslovne skupnosti in drugih organizacij, ki obdelujejo podatke, javnega sektorja in državljanov). Na nacionalni ravni so za ozaveščanje in prvi stik z upravljavci, obdelovalci in posamezniki odgovorni predvsem organi za varstvo podatkov. Kot izvajalci pravil o varstvu podatkov na njihovem ozemlju lahko organi za varstvo podatkov podjetjem in javnemu sektorju tudi najbolje razložijo spremembe, ki jih uvaja uredba, državljane pa seznanijo z njihovimi pravicami.

Organi za varstvo podatkov so začeli obveščati deležnike v skladu s specifičnim nacionalnim pristopom. Nekateri organizirajo seminarje z javnimi upravami, tudi na regionalni in lokalni ravni, ter vodijo delavnice z različnimi poslovnimi sektorji, da bi povečali ozaveščenost o glavnih določbah uredbe. Nekateri za uradne osebe za varstvo podatkov organizirajo posebne programe za usposabljanje. Večina na svojih spletnih straneh zagotavlja informativno gradivo v različnih oblikah (kontrolni seznami, video posnetki itd.).

Vendar pa trenutna raven ozaveščenosti med državljani o spremembah in okrepljenih pravicah, ki jih prinašajo nova pravila o varstvu podatkov, še ni dovolj visoka. S pobudo za usposabljanje in ozaveščanje, ki so jo začeli organi za varstvo podatkov, bi morali nadaljevati in jo še okrepiti, in sicer s posebnim poudarkom na MSP. Poleg tega lahko nacionalne sektorske uprave podpirajo dejavnosti organov za varstvo podatkov in na podlagi njihovega prispevka same opravljajo dejavnosti ozaveščanja med različnimi deležniki.

4.Naslednji koraki

V naslednjih mesecih bo Komisija še naprej dejavno podpirala vse akterje pri pripravi na uporabo uredbe.

a) Sodelovanje z državami članicami

Komisija bo v obdobju pred majem 2018 še naprej sodelovala z državami članicami. Od maja 2018 dalje pa bo Komisija spremljala, kako države članice uporabljajo nova pravila in sprejemajo potrebne ukrepe.

b) Nova spletna navodila v vseh jezikih EU in dejavnosti ozaveščanja

Komisija daje na voljo praktična navodila 48 , da bi podjetjem, zlasti MSP, javnim organom in javnosti pomagala pri spoštovanju in izkoriščanju prednosti novih pravil o varstvu podatkov.

Navodila so v obliki praktičnega spletnega orodja, ki je na voljo v vseh jezikih EU. Spletno orodje, ki se bo redno posodabljalo, bo služilo trem glavnim ciljnim skupinam: državljanom, podjetjem (zlasti MSP) in drugim organizacijam ter javnim upravam. Orodje zajema vprašanja in odgovore, izbrane na podlagi prejetih povratnih informacij s strani deležnikov, ter praktične primere in povezave do različnih virov informacij (npr. členi uredbe, smernice delovne skupine iz člena 29 / Evropskega odbora za varstvo podatkov in gradivo, zasnovano na nacionalni ravni).

Komisija bo redno posodabljala orodje ter dodajala vprašanja in posodabljala odgovore na podlagi prejetih povratnih informacij in ob upoštevanju kakršnih koli novih vprašanj, ki izhajajo iz uporabe.

Navodila se bodo promovirala prek dejavnosti obveščanja in razširjanja informacij v vseh državah članicah, usmerjenih na podjetja in javnost.

Glede na to, da uredba določa več pravic posameznikov, bo Komisija sodelovala tudi v dejavnostih ozaveščanja in se bo udeleževala dogodkov v državah članicah, da bi državljanom prikazala koristi in učinek uredbe.

c) Finančna podpora za nacionalne kampanje in ozaveščanje

Komisija podpira prizadevanja za ozaveščanje in skladnost na nacionalni ravni z dodeljevanjem nepovratnih sredstev, ki se lahko uporabijo za zagotavljanje usposabljanja za organe za varstvo podatkov, javne uprave, pravosodne poklice in uradne osebe za varstvo podatkov 49 ter njihovo seznanjanje z uredbo.

Približno 1,7 milijona EUR bo dodeljeno šestim upravičencem, ki pokrivajo več kot polovico držav članic EU. Financiranje bo namenjeno lokalnim javnim organom, vključno z njihovimi uradnimi osebami za varstvo podatkov, uradnim javnim osebam javnih organov in iz zasebnega sektorja ter sodnikom in odvetnikom. Nepovratna sredstva bodo uporabljena za pripravo gradiva za usposabljanje organov za varstvo podatkov, uradnih oseb za varstvo podatkov in drugih strokovnjakov ter za programe usposabljanja izvajalcev usposabljanja.

Komisija je prav tako objavila razpis za zbiranje predlogov, ki je posebej usmerjen na organe za varstvo podatkov. Njegov celotni proračun bo znašal največ 2 milijona EUR in bo organom za varstvo podatkov pomagal pri vzpostavitvi stikov z deležniki 50 . Cilj je zagotoviti 80-odstotno sofinanciranje za ukrepe, ki jih sprejmejo organi za varstvo podatkov v obdobju 2018–2019, da bi okrepili ozaveščenost med podjetji, zlasti MSP, in odgovorili na njihova vprašanja. Ta sredstva se lahko uporabijo tudi za ozaveščanje splošne javnosti.

d) Ocena potrebe po uporabi pooblastil Komisije

Uredba 51 Komisiji omogoča, da sprejme izvedbene ali delegirane akte za dodatno podporo izvajanju novih pravil. Komisija bo ta pooblastila uporabila le, če obstaja jasno izkazana dodana vrednost, ki temelji na povratnih informacijah s posvetovanja z deležniki. Komisija bo zlasti preučila vprašanje potrjevanja, ki temelji na študiji, ki so jo opravili zunanji strokovnjaki, ter na prispevku in nasvetih o tem vprašanju, ki jih je podala večdeležniška skupina o uredbi, ustanovljena konec leta 2017. V tem okviru se bo upoštevalo tudi delo, ki ga je opravila Agencija Evropske unije za varnost omrežij in informacij (ENISA) na področju kibernetske varnosti.

e) Vključitev uredbe v Sporazum EGP

Komisija bo nadaljevala svoja prizadevanja s tremi državami Efte (Islandija, Lihtenštajn in Norveška) v Evropskem gospodarskem prostoru (EGP) za vključitev uredbe v Sporazum EGP 52 . Šele po začetku veljavnosti vključitve uredbe v Sporazum EGP se lahko osebni podatki prosto pretakajo med državami EU in EGP na enak način, kot je to mogoče med državami članicami EU.

f) Izstop Združenega kraljestva iz EU

V okviru pogajanj o sporazumu o izstopu med EU in Združenim kraljestvom na podlagi člena 50 Pogodbe o Evropski uniji, si bo Komisija še naprej prizadevala za cilj, ki je zagotoviti, da se določbe prava Unije o varstvu osebnih podatkov, ki veljajo na dan pred datumom izstopa, še naprej uporabljajo za osebne podatke, ki so se v Združenem kraljestvu obdelovali pred datumom izstopa 53 . Na primer, zadevne osebe bi na podlagi ustreznih določb zakonodaje Unije, ki velja na datum izstopa, še naprej morale imeti pravico do obveščenosti, do dostopa, do popravka, do izbrisa, do omejitve obdelave, do prenosljivosti podatkov, do ugovora zoper obdelavo in pravico, da zanje ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi. Navedeni osebni podatki bi morali biti shranjeni le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.

Ob pridržku morebitnih prehodnih določb, ki bi jih vseboval morebitni sporazum o izstopu, se bodo od datuma izstopa za Združeno kraljestvo uporabljali predpisi uredbe za prenose osebnih podatkov v tretje države 54 .

g) Pregled stanja maja 2019

Po 25. maju 2018 bo Komisija pozorno spremljala uporabo novih pravil in bo pripravljena ukrepati ob kakršnih koli pomembnih težavah. Eno leto po začetku uporabe uredbe (leta 2019) bo Komisija organizirala srečanje, na katerem bo pregledala izkušnje raznih deležnikov pri izvajanju uredbe. To bo tudi podlaga za poročilo, ki ga mora Komisija predložiti do maja 2020 o oceni in pregledu uredbe. To poročilo se bo osredotočilo zlasti na mednarodne prenose ter določbe o sodelovanju in doslednosti, ki se nanašajo na delo organov za varstvo podatkov.

Sklep

Nov enotni sklop pravil o varstvu podatkov bo 25. maja začel veljati po vsej EU. Novi okvir bo prinesel znatne koristi za posameznike, podjetja, javne uprave in druge organizacije. To je obenem tudi priložnost za EU, da na področju varstva osebnih podatkov prevzame vodilno vlogo na svetovni ravni. Toda reforma lahko uspe le, če bodo vsi vključeni akterji sprejeli svoje obveznosti in pravice.

Od sprejetja uredbe maja 2016 je v zvezi z uporabo novih pravil Komisija dejavno sodelovala z vsemi zadevnimi akterji, na primer vladami, nacionalnimi organi, podjetji in civilno družbo. Znaten del prizadevanj je bil namenjen zagotovitvi široke ozaveščenosti in celovite pripravljenosti, vendar je treba še marsikaj postoriti. Priprave v državah članicah napredujejo z različno hitrostjo, enako velja za različne akterje. Poleg tega vedenje o koristih in priložnostih, ki jih prinašajo nova pravila, ni enakomerno porazdeljeno. Še zlasti je treba povečati ozaveščenost in spremljati prizadevanja za skladnost pri MSP.

Komisija zato poziva vse udeležene akterje, naj okrepijo prizadevanja za zagotovitev dosledne uporabe in razlage novih pravil po vsej EU ter povečajo ozaveščenost med podjetji in državljani. Komisija bo ta prizadevanja podprla s financiranjem in upravno podporo ter bo prispevala k izboljšanju ozaveščenosti javnosti, predvsem z vzpostavitvijo navodil v obliki spletnega orodja.

Podatki postajajo zelo dragoceni za današnje gospodarstvo in so bistveni za vsakdanje življenje državljanov. Novi predpisi ponujajo enkratno priložnost za podjetja in javnost. Podjetja, zlasti manjša, bodo lahko izkoristila inovacijam prijazen enoten sklop pravil in v zvezi z osebnimi podatki uredila poslovanje, s čimer bodo ponovno vzpostavila zaupanje potrošnikov in to uporabila kot svojo konkurenčno prednosti po vsej EU. Državljani bodo lahko izkoristili boljše varstvo osebnih podatkov in pridobili boljši nadzor nad tem, kako podjetja ravnajo s podatki.

V sodobnem svetu, kjer je digitalno gospodarstvo v razcvetu, morajo biti Evropska unija, njeni državljani in podjetja v celoti opremljeni, da bi lahko izkoristili prednosti podatkovnega gospodarstva in razumeli njegove posledice. Nova uredba nudi potrebna orodja, da bo Evropa pripravljena na 21. stoletje.

Komisija bo sprejela naslednje ukrepe:

v zvezi z državami članicami

·Komisija bo še naprej sodelovala z državami članicami, da bi se spodbujala doslednost in omejila razdrobljenost pri uporabi uredbe ob upoštevanju manevrskega prostora držav članic za natančnejšo ureditev v skladu z novo zakonodajo.

·Po maju 2018 bo Komisija skrbno spremljala uporabo uredbe v državah članicah in po potrebi sprejela ustrezne ukrepe, vključno z uporabo postopkov za ugotavljanje kršitev.

v zvezi z organi za varstvo podatkov

·Do maja 2018 bo Komisija podpirala delo organov za varstvo podatkov v okviru delovne skupine iz člena 29 in pri prehodu k prihodnjemu Evropskemu odboru za varstvo podatkov, po maju 2018 pa bo Komisija prispevala k delu Evropskega odbora za varstvo podatkov.

·V obdobju 2018–2019 bo Komisija sofinancirala (skupni proračun do 2 milijona EUR) dejavnosti ozaveščanja, ki jih izvajajo organi za varstvo podatkov na nacionalni ravni (projekti, ki se izvajajo od sredine leta 2018 dalje).

v zvezi z deležniki

·Komisija bo vzpostavila navodila v obliki praktičnega spletnega orodja, ki vključuje vprašanja in odgovore, namenjene državljanom, podjetjem in javnim upravam. Da bi znotraj ciljnih skupin Komisija promovirala ta navodila, namerava v obdobju pred majem 2018 in tudi po njem izvajati dejavnosti obveščanja, usmerjene na podjetja in javnost.

·V letu 2018 in pozneje bo Komisija še naprej dejavno sodelovala z deležniki, zlasti prek večdeležniške skupine, v zvezi z izvajanjem uredbe in ravnijo ozaveščenosti o novih pravilih.

v zvezi z vsemi akterji

·V obdobju 2018–2019 bo Komisija ocenila potrebo po uporabi svojih pooblastil za sprejetje delegiranih ali izvedbenih aktov.

·Maja 2019 bo Komisija pregledala izvajanje Uredbe in o uporabi novih pravil poročala v letu 2020.

(1) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016).
(2) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995).
(3) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).
(4) Uredba je začela veljati 24. maja 2016 in se bo uporabljala od 25. maja 2018.
(5) Člen 8 Listine o temeljnih pravicah in člen 16 PDEU.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_sl.pdf.
(7) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37–47). V skladu s členom 95 splošne uredbe o varstvu podatkov, slednja fizičnim ali pravnim osebam ne nalaga dodatne obveznosti v zvezi z zadevami, za katere velja posebna obveznost z istim ciljem, ki jo določa Direktiva 2002/58/ES. To na primer pomeni, da za subjekte, za katere se uporablja direktiva o e-zasebnosti, velja obveznost obveščanja o kršitvi varnosti osebnih podatkov iz navedene direktive, če ta kršitev zadeva storitev, ki je vsebinsko zajeta v direktivi o e-zasebnosti. V zvezi s tem jim splošna uredba o varstvu podatkov ne nalaga nobene dodatne obveznosti.
(8) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1–30). Subjekti, za katere velja direktiva NIS, bi morali obveščati o incidentih, ki imajo pomemben ali velik vpliv na zagotavljanje nekaterih njihovih storitev. Obvestila o incidentu v skladu z direktivo NIS ne posegajo v prijavo kršitev na podlagi uredbe.
(9) Člen 35 Uredbe.
(10) Sporočilo Komisije o izmenjavi in varovanju osebnih podatkov v globaliziranem svetu (COM(2017) 7 final).
(11) Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (COM(2017) 8 final).
(12) Predlog uredbe Evropskega parlamenta in Sveta o spoštovanju o spoštovanju zasebnega življenja in varstvu osebnih podatkov na področju elektronskih komunikacij ter razveljavitvi Direktive 2002/58/ES (uredba o zasebnosti in elektronskih komunikacijah), (COM(2017) 10 final).
(13) Do sprejetja uredbe o e-zasebnosti in začetka njene uporabe se Direktiva 2002/58/ES uporablja kot lex specialis glede na navedeno uredbo.
(14) Za popoln seznam srečanj, dnevne rede, povzetke razprav in pregled trenutnega stanja zakonodaje v različnih državah članicah, glej http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=SL .
(15) Komisija bo na primer Evropskemu odboru za varstvo podatkov omogočila uporabo informacijskega sistema za notranji trg (IMI) za komunikacijo med njegovimi člani.
(16) Dokument za razmislek o izkoriščanju globalizacije COM(2017) 240.
(17) Konvencija Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (ETS št. 108) in Dodatni protokol h Konvenciji o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov, ki se nanaša na nadzorne organe in čezmejni prenos podatkov, (ETS št. 181) iz leta 2001. Konvencijo, h kateri lahko pristopijo tudi nečlanice Sveta Evrope, je ratificiralo že 51 držav (tudi Urugvaj, Mauricius, Senegal in Tunizija).
(18) Glej npr. standardi za varstvo podatkov iberoameriških držav, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf.
(19) COM(2017) 7 final.
(20) COM(2017) 7, prav tam, str. 10–11.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22) COM(2017) 7, prav tam, str. 10–11.
(23)

Dve delavnici z industrijo julija 2016 in aprila 2017, dve okrogli mizi za podjetja decembra 2016 in maja 2017, delavnica o zdravstvenih podatkih oktobra 2017 in delavnica s predstavniki MSP novembra 2017.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26) Vse sprejete smernice so na voljo na spletnem naslovu: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
(27) Člen 288 PDEU.
(28) Člen 54(1) uredbe.
(29) Člen 43(1) uredbe državam članicam omogoča dva možna načina za akreditacijo organov za potrjevanje, tj. s strani nacionalnega nadzornega organa za varstvo podatkov, ustanovljenega v skladu z zakonodajo o varstvu podatkov in/ali s strani nacionalnega akreditacijskega organa, ustanovljenega na podlagi Uredbe (ES) št. 765/2008 o akreditaciji in nadzoru trga. Evropsko združenje za akreditacijo (v nadaljnjem besedilu: EA, priznano v skladu z Uredbo št. 765/2008), ki združuje nacionalne akreditacijske organe, in nadzorni organi splošne uredbe o varstvu podatkov bi morali tesno sodelovati v ta namen.
(30) Člen 85(1) uredbe.
(31) Člen 6(2) uredbe.
(32) Člen 88 in člen 9(2)(b) uredbe. Evropski steber socialnih pravic navaja tudi, da „[imajo delavci] pravico do varovanja njihovih osebnih podatkov v okviru zaposlitve.“ (2017/C 428/09, UL C 428, 13.12.2017, str. 10–15).
(33) Člen 9(2)(h) in (i) uredbe.
(34) Člen 9(2)(j) uredbe.
(35) Člen 87 uredbe.
(36) Člen 86 uredbe.
(37) Člen 90 uredbe.
(38) Člen 9(4) uredbe.
(39) Zadeva 94/77, Fratelli Zerbone Snc / Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 in 101.
(40) Uvodna izjava 8 uredbe.
(41) Avstrija ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Nemčija ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42) Za pregled trenutnega stanja zakonodajnega postopka v različnih državah članicah glej http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461
(43) Evropski odbor za varstvo podatkov bo organ EU s statusom pravne osebe, pristojen za zagotavljanje dosledne uporabe uredbe. Sestavljali ga bodo vodje vseh organov za varstvo podatkov in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.
(44) Uvodna izjava 117 in predhodno navedeno že v uvodni izjavi 62 Direktive 95/46.
(45) Sporočilo Komisije Evropskemu parlamentu in Svetu o nadaljevanju delovnega programa za boljše izvajanje Direktive o varstvu podatkov (COM(2007) 87 final z dne 7. marca 2007).
(46)  Člen 52 uredbe.
(47) Člen 52(4) uredbe.
(48) Navodila bodo prispevala k boljšemu razumevanju predpisov EU o varstvu podatkov, pravno veljavo pa ima zgolj besedilo uredbe. Zato lahko le uredba ustvarja pravice in obveznosti za posameznike.
(49)  Nepovratna sredstva, dodeljena v okviru programa za pravice in državljanstvo, 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).
(50)   http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html .
(51) Delegirani akt, ki se sprejme z namenom določitve informacij, ki se navedejo v standardiziranih ikonah, in postopkov za določitev standardiziranih ikon. (člen 12(8) uredbe). Delegirani akt, s katerim se določi zahteve, ki se upoštevajo za mehanizme potrjevanja (člen 43(8) uredbe); izvedbeni akt, s katerimi se določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb (člen 43(9) uredbe); izvedbeni akt, s katerim se za zavezujoča poslovna pravila določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi (člen 47(3) uredbe); izvedbeni akti, s katerimi se določi obliko in postopke medsebojne pomoči ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi (člen 61(9) in člen 67 uredbe).
(52) Za informacije o trenutnem stanju glej http://www.efta.int/eea-lex/32016R0679.
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_sl.
(54) Glej Obvestilo Komisije deležnikom: izstop Združenega kraljestva in predpisi EU na področju varstva podatkov (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).