52022DC0530

EUROPSKA KOMISIJA

Bruxelles, 14.10.2022.

COM(2022) 530 final

KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU

Prvo izvješće o primjeni Uredbe o zaštiti podataka za institucije, tijela, urede i agencije Europske unije (Uredba 2018/1725)

Sadržaj

1. Uvod

2. Zasebna pravila o zaštiti podataka za institucije, tijela, urede i agencije EU-a usklađena sa zakonodavstvom EU-a o zaštiti podataka

3. Provedba Uredbe EU-a o zaštiti podataka u institucijama, tijelima, uredima i agencijama EU-a

3.1. Uloga institucija, tijela, ureda i agencija EU-a kao voditelja obrade

3.2. Ostvarivanje prava ispitanika

3.3. Ograničavanje prava ispitanika unutarnjim pravilima

3.4. Službenici za zaštitu podataka

3.5. Procjene učinka na zaštitu podataka

3.6. Međunarodni prijenosi podataka

4. Aktivnosti Europskog nadzornika za zaštitu podataka

4.1. Europski nadzornik za zaštitu podataka kao nadzorno tijelo za zaštitu podataka za EUIB-ove

4.2. Europski nadzornik za zaštitu podataka kao savjetnik zakonodavca EU-a

4.3. Suradnja između Europskog nadzornika za zaštitu podataka i nacionalnih tijela za zaštitu podataka

4.4. Resursi Europskog nadzornika za zaštitu podataka

5. Komisijina upotreba ovlasti za donošenje delegiranih i provedbenih akata

6. Pravila o zaštiti podataka za tijela i agencije koje se bave policijskom suradnjom i pravosudnom suradnjom u kaznenim stvarima

6.1. Proširenje primjene poglavlja EUDPR-a o izvršavanju zakonodavstva

6.2. Pojašnjenje primjenjivosti određenih odredbi EUDPR-a na obradu operativnih podataka……………………………………………………………………………………….

6.3. Ovlasti Europskog nadzornika za zaštitu podataka u nadzoru tijela i agencija EU-a

7. Daljnji koraci

PRILOG

1.Uvod

Uredba o zaštiti podataka za institucije, tijela, urede i agencije Europske unije 1 („EUDPR”) glavni 2 je okvir za zaštitu podataka institucija, tijela, ureda i agencija EU-a („EUIB-ovi”) kada obrađuju osobne podatke kao voditelji obrade ili izvršitelji obrade. Uredba je stup dobrog upravljanja i dobrog upravnog postupanja na razini EU-a. Primjenjuje se od 11. prosinca 2018. 3 , kada je stavila izvan snage i zamijenila prethodnu Uredbu (EZ) 45/2001 4 .

U ovoj se Komunikaciji predstavlja prvo izvješće o primjeni EUDPR-a u skladu s člankom 97. Uredbe. U skladu s člankom 98. EUDPR-a, Komunikacijom se i preispituju pravni akti doneseni na temelju Ugovora kojima se uređuje obrada operativnih osobnih podataka 5 u tijelima, uredima ili agencijama EU-a pri obavljanju aktivnosti u okviru policijske i pravosudne suradnje u kaznenim stvarima 6 .

Komisija je prikupila informacije o primjeni EUDPR-a u okviru ankete pokrenute u listopadu 2021., u kojoj su EUIB-ovi pozvani da podijele svoja iskustva u primjeni EUDPR-a. Odgovorilo je ukupno 56 7 EUIB-ova, a statistički podaci o EUIB-ovima predstavljeni u izvješću temelje se na tim odgovorima 8 . Zaseban zahtjev za doprinos poslan je Europskom nadzorniku za zaštitu podataka (EDPS) kao nadzornim tijelom 9 . Naposljetku, Komisija je objavila i poziv na očitovanje 10 , što je omogućilo i javnosti da iznese svoje primjedbe. Pitanja iz vrlo malog broja podnesaka koji su zaprimljeni kao odgovor na poziv na očitovanje razmotrena su u ovom izvješću.

U ovom se izvješću daje pregled položaja EUDPR-a u pravu EU-a o zaštiti podataka, predstavljaju način na koji ga primjenjuju EUIB-ovi i aktivnosti EDPS-a te analizira primjena poglavlja koje se odnosi na tijela i agencije EU-a koje provode aktivnosti u okviru policijske suradnje i pravosudne suradnje u kaznenim stvarima. U izvješću se navode daljnji koraci.

2.Zasebna pravila o zaštiti podataka za institucije, tijela, urede i agencije EU-a usklađena sa zakonodavstvom EU-a o zaštiti podataka

Glavni instrumenti za zaštitu podataka u EU-u su Opća uredba o zaštiti podataka („OUZP”) 11 , Direktiva o zaštiti podataka pri izvršavanju zakonodavstva („LED”) 12 i Direktiva o e-privatnosti 13 . Međutim, ne primjenjuju se na obradu osobnih podataka koju provode EUIB-ovi 14 . Stoga su potrebna zasebna, ali usklađena pravila o zaštiti podataka za EUIB-ove. Ta su pravila predviđena EUDPR-om.

Kako bi se osigurao dosljedan pristup zaštiti osobnih podataka i njihovu slobodnom kretanju u EU-u, EUDPR je u najvećoj mogućoj mjeri usklađen s pravilima o zaštiti podataka donesenima za javni sektor, utvrđenima u OUZP-u i LED-u. Kad god EUDPR slijedi ista načela kao i OUZP, trebao bi se tumačiti na isti način kao i OUZP 15 . Isto se može pretpostaviti i za pravila usklađena s LED-om.

EUDPR je prilagođen specifičnom kontekstu EUIB-ova kako je opisano u točkama u nastavku.

·Budući da su njegovo područje primjene isključivo institucije, tijela, uredi i agencije EU-a kao javna tijela, izostavljeno je nekoliko odredaba OUZP koje su relevantne samo za privatni sektor. Na primjer, mogućnost obrade na temelju pravne osnove „legitimnih interesa” voditelja obrade ne postoji u EUDPR-u 16 .

·Nekoliko ovlaštenja Komisiji za donošenje provedbenih ili delegiranih akata ne ponavlja se kao takvo, nego se umjesto toga u EUDPR-u upućuje na OUZP ili LED. Na primjer, EUDPR ne sadržava mehanizam za donošenje odluka o primjerenosti za međunarodne prijenose, ali se institucije, tijela, uredi i agencije EU-a mogu osloniti i na odluke o primjerenosti donesene na temelju OUZP-a ili LED-a.

·EUDPR-om se izravno uspostavlja i Europski nadzornik za zaštitu podataka te se utvrđuju njegove zadaće, ovlasti i postupci imenovanja. U skladu s OUZP-om i LED-om odgovarajuća nadzorna tijela uspostavljena su na temelju nacionalnog prava, u skladu sa zahtjevima tih dvaju akata.

·Poglavlje EUDPR-a koje se primjenjuje na tijela i agencije EU-a u području kaznenog progona 17 funkcionalno je ekvivalentno LED-u za ta tijela i agencije. Međutim, kao izravno primjenjiva uredba formulirana je na drugačiji način. Njome se predviđaju opća pravila koja se prema potrebi dopunjuju posebnim odredbama u osnivačkim aktima tijela i agencija koji djeluju u tom području. Njome se predviđa prilagođen režim za obradu operativnih osobnih podataka uzimajući u obzir posebnu prirodu tog sektora, na primjer pravila o informiranju ispitanika, kojima se osigurava zaštita istrage.

3.Provedba Uredbe EU-a o zaštiti podataka u institucijama, tijelima, uredima i agencijama EU-a

3.1.Uloga institucija, tijela, ureda i agencija EU-a kao voditelja obrade

Opće povratne informacije institucija, tijela, ureda i agencija EU-a pokazuju da su prve godine primjene EUDPR-a općenito uspješno doprinijele jačanju njihove kulture zaštite podataka. U tom pogledu 94 % EUIB-ova izjavilo je da su stupanjem na snagu EUDPR njihove organizacije informiranije o pravilima o zaštiti podataka u određenoj mjeri ili u velikoj mjeri. Općenito, EUIB-ovi su naveli da je EUDPR imao pozitivan učinak na njihove politike zaštite podataka, a osoblje EUIB-ova svjesnije je odgovornosti svoje organizacije kao voditelja obrade podataka i zahtjeva za obradu osobnih podataka.

EUIB-ovi su istaknuli provedbu procjena učinka na zaštitu podataka, utvrđivanje povreda podataka i upravljanje njima te tehničku i integriranu zaštitu podataka kao glavne učinke EUDPR-a u usporedbi s Uredbom 45/2001 koja je stavljena izvan snage. EUDPR, na isti način kao i OUZP, omogućuje vidljivije zajedničko vođenje obrade, tj. više organizacija koje zajedno definiraju svrhe i sredstva za obradu osobnih podataka. Europski nadzornik za zaštitu podataka dao je smjernice 18 o toj temi, a Komisija je razvila interne predloške za mehanizme zajedničkog vođenja obrade.

Iako su dodatni zahtjevi u pogledu odgovornosti potrebni za dokazivanje usklađenosti s EUDPR-om za EUIB-ove općenito dobro primljeni, neki su EUIB-ovi napomenuli da su pravila EUDPR-a dovela do povećanog radnog opterećenja. Istaknuli su i da se u EUDPR-u utvrđuju relativno složena pravila, što znači da je potrebno više stručnog znanja u EUIB-ovima, uključujući među njihovim službenicima za zaštitu podataka, kao i u mrežama koordinatora za zaštitu podataka u onim EUIB-ovima koji imaju takve mreže.

Svi EUIB-ovi, osim dvaju, vode evidenciju o postupcima obrade u središnjem registru. Iako to nije poseban zahtjev u okviru EUDPR-a, to je primjer dobre prakse koju preporučuje i Europski nadzornik za zaštitu podataka 19 . Nadalje, 72 % EUIB-ova evidentiralo je sve svoje obavijesti službeniku za zaštitu podataka u skladu s prethodnom Uredbom 20 . Oni koji još nisu dovršili tu zadaću trebali bi pregledati i ažurirati dokumentaciju o svojim postupcima obrade kako bi se osiguralo da je potpuna i ažurirana.

3.2.Ostvarivanje prava ispitanika

EUDPR ispitanicima pruža mnoga prava na obradu njihovih osobnih podataka, u skladu s OUZP-om. EUIB-ovi kao voditelji obrade imaju posebnu obvezu olakšati ostvarivanje tih prava 21 . Zbog toga je 96 % EUIB-ova navelo da je provelo aktivnosti informiranja, kao što je ažuriranje javno dostupnih informacija o postupcima obrade, informativnih poruka ili vodiča za ispitanike.

Brojni EUIB-ovi, kao što su Komisija, Europska središnja banka i Europska služba za vanjsko djelovanje, izvijestili su o očitom porastu zahtjeva pojedinaca u razdoblju od 2018. do 2021. 22 Međutim, kod drugih, kao što su Sud Europske unije, Europski gospodarski i socijalni odbor te Agencija Europske unije za azil, brojke su bile stabilne ili oscilirale bez jasnog trenda. Još nije moguće utvrditi jasan trend u broju zahtjeva ispitanika nakon stupanja na snagu EUDPR-a s obzirom na to da se način bilježenja različitih vrsta zahtjeva razlikuje ovisno o EUIB-u.

3.3.Ograničavanje prava ispitanika unutarnjim pravilima

Slično OUZP-u, EUDPR-om 23 se predviđa mogućnost ograničavanja određenih prava ispitanika. To se može postići zakonodavnim aktima i internim pravilima 24 . Na takva unutarnja pravila primjenjuju se strogi kriteriji. Moraju biti jasna i precizna, a njihova primjena mora biti predvidljiva osobama na koje se odnose. Pravila se moraju objaviti u Službenom listu i ispunjavati zahtjeve utvrđene u Povelji o temeljnim pravima i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda 25 .

Ograničenja koja se temelje na internim pravilima mogu se odnositi samo na djelovanje EUIB-ova. Ta ograničenja moraju poštovati temeljna prava, činiti nužne i razmjerne mjere u demokratskom društvu i nastojati zaštititi jedan od ciljeva koji su posebno navedeni u EUDPR-u 26 . Svaki ispitanik čija su prava ograničena ima pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka 27 .

Većina (84 %) EUIB-ova donijela je interna pravila. Na primjer, takva su pravila uvedena kako bi se omogućilo odgađanje pružanja informacija osobi pod internom upravnom istragom 28 . Kod drugih, cilj takvih pravila bio je osigurati kontinuiranu učinkovitu suradnju s državama članicama u onim područjima u kojima se aktivnosti EUIB-ova oslanjaju na informacije dobivene od nadležnih tijela država članica. Na primjer, interna pravila koja je Komisija donijela za obradu osobnih podataka u svojim aktivnostima tržišnog natjecanja, borbe protiv prijevara i unutarnje revizije uključuju mogućnost uvođenja ograničenja prava ispitanika kada se osobni podaci dobivaju od nadležnih tijela država članica 29 . Tim se pravilima utvrđuje mogućnost uvođenja sličnih ograničenja ako su nacionalna tijela nametnula ograničenja na temelju zakonodavne mjere moguće na temelju OUZP-a 30 ili LED-a 31 .

Ako su EUIB-ovi donijeli interna pravila kojima se ograničavaju prava ispitanika, ona se obično primjenjuju od slučaja do slučaja u skladu s njihovim internim pravilima. Međutim, 69 % EUIB-ova s važećim pravilima iz članka 25. navodi da ih još nisu primijenili. Oni koji su primijenili pravila prijavili su manje od 10 slučajeva ograničenja, ne uključujući Europski parlament i Komisiju. Potreba za ograničenjima češće se javlja u OLAF-ovim aktivnostima, posebno u pogledu prosljeđivanja informacija ispitanicima o obradi njihovih osobnih podataka kada je istraga još uvijek u ranoj fazi kako se ne bi dovelo u pitanje prikupljanje dokaza. OLAF je primijenio i nekoliko ograničenja u pogledu zahtjeva ispitanika za pristup vlastitim osobnim podacima, koja su odbijena samo kako bi se zaštitila prava i slobode drugih 32 , npr. kad bi otkrivanje podataka izložilo pružatelja podataka riziku od odmazde.

Prema svojim unutarnjim pravilima EUIB obično mora obavijestiti svoje službenike za zaštitu podataka o svim primijenjenim ograničenjima te im omogućiti pristup evidenciji i svim dokumentima o tim ograničenjima 33 .

3.4.Službenici za zaštitu podataka

U prethodnoj Uredbi 45/2001 već je utvrđeno da svaki EUIB mora imati službenika za zaštitu podataka. EUDPR-om dana je veća vidljivost toj ulozi uvođenjem načela odgovornosti. To znači da voditelj obrade mora moći dokazati usklađenost s pravilima o zaštiti podataka i da je odgovoran za to.

U 46 % EUIB-ova njihovi službenici za zaštitu podataka podupiru mreže koordinatora za zaštitu podataka ili slične strukture 34 . Vjerojatnije je da će veći EUIB-ovi imati takve mreže (npr. Europski parlament, Glavno tajništvo Vijeća, Komisija i Europska služba za vanjsko djelovanje [ESVD]). ESVD organizira i održava mrežu dopisnika za zaštitu podataka u delegacijama EU-a.

Brojni EUIB-ovi primijetili su povećanje odgovornosti i radnog opterećenja njihovih službenika za zaštitu podataka (a time i koordinatora za zaštitu podataka). Prepoznali su potrebu da se službenicima za zaštitu podataka (i koordinatorima za zaštitu podataka) osigura više resursa kako bi učinkovito mogli provoditi EUIB-ove politike zaštite podataka. Spomenuta je i potreba da se osigura neovisnost službenika za zaštitu podataka.

U tom kontekstu postoje dva trenda: s jedne strane, u EUDPR-u dodatno se naglašava odgovornost voditelja obrade, npr. uklanjanjem postupka prethodne provjere koji je postojao u okviru prijašnje Uredbe 45/2001, čime se smanjuje administrativno opterećenje. S druge strane, od službenika i koordinatora za zaštitu podataka voditelji obrade traže dodatne smjernice o tome kako najbolje ispunjavati zahtjeve EUDPR-a. U tom je pogledu istaknuto da je mreža službenika za zaštitu podataka EUIB-a organizirala važan forum za raspravu i pojašnjenje određenih pravnih i tehničkih aspekata specifičnih za obradu podataka koju provode EUIB-ovi. U okviru mreže uspostavljena je platforma za razmjenu informacija između službenika za zaštitu podataka i Europskog nadzornika za zaštitu podataka te između samih službenika za zaštitu podataka. Članovi mreže kontinuirano surađuju i sastaju se dvaput godišnje.

Više od polovine (54 %) EUIB-ova dodijelilo je općenito više sredstava svojim službenicima za zaštitu podataka i funkcijama zaštite podataka. Većina (84 %) EUIB-ova prilagodila je svoje interne postupke kako bi osigurala da njihovo osoblje informira službenike za zaštitu podataka i s njima se savjetuje o novim postupcima obrade osobnih podataka. To se obično postiže uključivanjem službenika za zaštitu podataka u postupke upravljanja promjenama ili u upravljačke odbore projekata.

3.5.Procjene učinka na zaštitu podataka

Najveći broj procjena učinka na zaštitu podataka proveli su Europska središnja banka, Europska investicijska banka i Komisija. U usporedbi s nekadašnjim sustavom „prethodne provjere” 35 u skladu s Uredbom 45/2001, broj predmeta poslanih Europskom nadzorniku za zaštitu podataka znatno se smanjio. To je bila očekivana posljedica te promjene, kao i smanjenje savjetovanja s Europskim nadzornikom za zaštitu podataka o postupcima administrativne obrade, poput postupka ocjenjivanja osoblja.

U tablici 1. u Prilogu prikazan je pregled procjena učinka na zaštitu podataka koje su proveli EUIB-ovi u razdoblju od 2019. do 2021.

Gotovo svi (94 %) EUIB-ovi složili su se da kriteriji EUDPR-a 36 za slučajeve u kojima moraju provoditi procjene učinka na zaštitu podataka na odgovarajući način obuhvaćaju visokorizične postupke obrade. Oni koji se nisu složili istaknuli su da je potrebno da Europski nadzornik za zaštitu podataka pri tumačenju tih kriterija uzme u obzir tehnološki razvoj. Na primjer, računalstvo u oblaku više nije „nova” tehnologija i to bi trebalo uzeti u obzir pri procjeni je li potrebno provesti procjene učinka na zaštitu podataka. EUIB-ovi koji su postavili to pitanje obično smatraju da je sam pravni tekst dovoljno jasan i da je to pitanje tumačenja Europskog nadzornika za zaštitu podataka.

EUDPR ne sadržava posebnu obvezu objavljivanja rezultata procjena učinka na zaštitu podataka. Većina (84 %) EUIB-ova ne objavljuje procjene učinka na zaštitu podataka koje su proveli, dok ih njih 14 % objavljuje djelomično ili kao sažetak, čime se uklanjaju informacije koje bi mogle ugroziti donesene sigurnosne zaštitne mjere. Samo je jedan EUIB naveo da u cijelosti objavljuje svoje procjene učinka na zaštitu podataka. Objava procjena učinka na zaštitu podataka, prema potrebi uklanjanje informacija koje bi ugrozile sigurnost postupaka obrade, povećava transparentnost u pogledu usklađenosti EUIB-ova s pravilima EUDPR-a i dobra je praksa koju preporučuje Europski nadzornik za zaštitu podataka 37 .

3.6.Međunarodni prijenosi podataka

Gotovo svi EUIB-ovi (91 %) izvijestili su da njihove aktivnosti uključuju međunarodne prijenose osobnih podataka. To uključuje prijenose podataka zemljama koje nisu članice EU-a/EGP-a te međunarodnim organizacijama. Međutim, nekoliko EUIB-ova navelo je da su ti prijenosi rijetki ili se odnose samo na ograničenu količinu osobnih podataka. Kad je riječ o upotrijebljenim alatima za prijenos, EUIB-ovi su uglavnom upućivali na odluke o primjerenosti (donesene na temelju OUZP-a 38 ili Direktive o zaštiti podataka pri izvršavanju zakonodavstva 39 ) i ugovorne instrumente, na primjer za prijenose podataka privatnim poduzećima. Za prijenose podataka javnim tijelima upotrebljavaju se i drugi alati, kao što su pravno obvezujući sporazumi i administrativni dogovori. Osim toga, 51 % EUIB-ova navelo je da provode ograničene, povremene prijenose, primjerice radi organizacije osposobljavanja, na temelju zakonskih razloga za prijenose podataka („odstupanja”) 40 .

U praksi prijenose podataka obično ne obavljaju izravno EUIB-ovi, nego izvršitelji obrade podataka (koji nisu EUIB-ovi) koji djeluju u njihovo ime. Komisija se stoga posebno osvrnula na taj scenarij u standardnim ugovornim klauzulama donesenima na temelju OUZP-a u lipnju 2021. 41 kako bi pomogla voditeljima obrade i izvršiteljima obrade da ispune zahtjeve iz OUZP-a i EUDPR-a. Konkretno, izvršitelji obrade u Europskom gospodarskom prostoru (EGP) imaju mogućnost uključiti te standardne ugovorne klauzule za međunarodne prijenose podataka u ugovore sa svojim podizvršiteljima obrade u trećim zemljama 42 . Time se osigurava usklađenost s pravilima EUDPR-a 43 o angažiranju podizvršitelja obrade u ime EUIB-ova, pod uvjetom da su obveze zaštite podataka usklađene u ugovorima između: i. EUIB-a i izvršitelja obrade te ii. izvršitelja obrade i njegova podizvršitelja 44 . Konkretno, EUIB-ovi mogu osigurati takvo usklađivanje primjenom standardnih ugovornih klauzula koje je Komisija donijela za uređivanje odnosa između voditelja obrade i izvršitelja obrade 45 .

Kako bi se pružili dodatni alati kojima se osiguravaju odgovarajuće zaštitne mjere za izravne prijenose podataka iz EUIB-ova u treće zemlje (tj. bez sudjelovanja izvršitelja obrade iz EU-a/EGP-a), Komisija trenutačno razvija standardne ugovorne klauzule u skladu s člankom 48. stavkom 2. točkom (b) EUDPR-a. Te će klauzule u najvećoj mogućoj mjeri biti usklađene s postojećim klauzulama donesenima na temelju OUZP-a.

Naposljetku, s obzirom na posebna pitanja koja se javljaju pri prijenosu osobnih podataka međunarodnim organizacijama (na primjer zbog statusa međunarodnih organizacija i primjenjivih povlastica i imuniteta), Komisija surađuje sa službenicima za zaštitu podataka EUIB-a kako bi razvila posebne alate (npr. administrativne aranžmane) prilagođene takvim prijenosima.

4.Aktivnosti Europskog nadzornika za zaštitu podataka

4.1.Europski nadzornik za zaštitu podataka kao nadzorno tijelo za zaštitu podataka za EUIB-ove

Europski nadzornik za zaštitu podataka neovisno je nadzorno tijelo za zaštitu podataka za EUIB-ove 46 , koje odražava ulogu nacionalnih nadzornih tijela za zaštitu podataka osnovanih u državama članicama u skladu s OUZP-om i LED-om.

U tablici 2. u Prilogu prikazan je pregled aktivnosti Europskog nadzornika za zaštitu podataka u razdoblju od 2018. do 2021. Od stupanja na snagu EUDPR-a 11. prosinca 2018. 47 podaci za 2018. služe kao polazna točka za usporedbu sa stanjem iz prethodne Uredbe 45/2001.

Europski nadzornik za zaštitu podataka istaknuo je pomak prema glavnoj aktivnosti EUIB-ova kad je riječ o temama savjetovanja koje je od njih primio od početka primjene EUDPR-a. To znači pomak prema pitanjima o obradi osobnih podataka za obavljanje zadaća dodijeljenih EUIB-ovima u javnom interesu i udaljavanje od „administrativnih” tema, kao što je upravljanje osobljem.

Od 2019. do 2021. povećao se broj nedopuštenih pritužbi koje je zaprimio Europski nadzornik za zaštitu podataka 48 . Većina pritužbi koje su proglašene nedopuštenima podnesena je protiv voditelja obrade u državama članicama, koje ne nadzire Europski nadzornik za zaštitu podataka, nego njihova nacionalna tijela za zaštitu podataka. Brojke za 2018. bile su veće najvjerojatnije jer se OUZP počeo primjenjivati. To je dovelo do veće informiranosti o pravilima o zaštiti podataka među stanovništvom, ali i do povećanja broja nedopuštenih pritužbi. Europski nadzornik za zaštitu podataka može zaključiti i prihvatljive pritužbe ako je pronađeno sporazumno rješenje.

Kad je riječ o inspekcijama i revizijama, 2019. zabilježeno je povećanje u odnosu na polaznu vrijednost iz 2018., nakon čega je uslijedilo smanjenje 2020. i 2021. To se može objasniti time što je pandemija bolesti COVID-19 otežala provjere na licu mjesta i zamijenila ih revizijama na daljinu. Europski nadzornik za zaštitu podataka procjenjuje rizike kako bi odlučio koje će EUIB-ove provjeravati. Time se, primjerice, uzima u obzir broj podnesenih savjetovanja, posebno kada se posebne kategorije podataka obrađuju u okviru glavne aktivnosti EUIB-a. Europski nadzornik za zaštitu podataka može i odlučiti provesti istrage na vlastitu inicijativu, npr. o tome kako EUIB koristi pružatelje usluga u oblaku.

Kad je riječ o povredama podataka, Europski nadzornik za zaštitu podataka izvijestio je da je u većini slučajeva ljudska pogreška bila temeljni uzrok, nakon čega slijede tehničke pogreške i vanjski napadi 49 .

Europski nadzornik za zaštitu podataka iskoristio je većinu svojih ovlasti na temelju EUDPR-a, uključujući, na primjer, nametanje privremene zabrane postupaka obrade 50 . Do sada nije iskoristio svoju novu ovlast za izricanje administrativnih novčanih kazni, što je krajnja mjera u okviru EUDPR-a 51 .

Europski nadzornik za zaštitu podataka u svojem je doprinosu ovom izvješću istaknuo i da je uložio vrijeme u aktivnosti informiranja, kao što je osposobljavanje, u kojima je procijenjeni broj sudionika dosegnuo vrhunac 2019. (njih više od 4 600), nakon stupanja na snagu EUDPR-a. Iako se broj sudionika 2020. i 2021. smanjio u odnosu na taj vrhunac, i dalje je znatno viši od osnovnog iznosa od procijenjenih 1 000 sudionika 2018.

EUIB-ovi su uglavnom dali pozitivne povratne informacije o interakcijama s Europskim nadzornikom za zaštitu podataka i smjernicama dobivenima od njega, pri čemu je 86 % ispitanika navelo da su odgovori uvijek ili uglavnom bili lako razumljivi. EUIB-ovi su cijenili i povećane kontakte EDPS-a s mrežom službenika za zaštitu podataka.

Međutim, neki EUIB-ovi napomenuli su da je savjet Europskog nadzornika za zaštitu podataka ponekad stigao prekasno 52 . Istaknuli su važnost stalne potpore i savjeta Europskog nadzornika za zaštitu podataka te pozvali na pravodobne i praktične smjernice o određenim pitanjima zaštite podataka. To uključuje provedbu pristupa na temelju procjene rizika za voditelje obrade, međunarodne prijenose i odnos između voditelja obrade (uključujući zajedničke voditelje obrade) i njihovih izvršitelja obrade.

4.2.Europski nadzornik za zaštitu podataka kao savjetnik zakonodavca EU-a

Komisija se službeno savjetuje 53 s Europskim nadzornikom za zaštitu podataka, posebno o zakonodavnim prijedlozima koji utječu na obradu osobnih podataka, nakon što ih Kolegij 54 donese. Europski nadzornik za zaštitu podataka na ta savjetovanja daje mišljenja ili primjedbe 55 . Europski nadzornik za zaštitu podataka izdaje i samoinicijativna mišljenja, kao što je svoje preliminarno mišljenje o europskom prostoru za zdravstvene podatke 56 . Ako je prijedlog od posebne važnosti za zaštitu podataka, Komisija se može savjetovati i s Europskim odborom za zaštitu podataka (EDPB). U tom bi slučaju Europski nadzornik za zaštitu podataka i Europski odbor za zaštitu podataka trebali izdati zajedničko mišljenje 57 kako bi se osiguralo da zakonodavac EU-a dobije dosljedne savjete.

Komisija se i neformalno savjetuje s Europskim nadzornikom za zaštitu podataka prije nego što Kolegij donese akte koji podliježu zahtjevima za savjetovanje. Kao odgovor na takva savjetovanja Europski nadzornik za zaštitu podataka Komisiji daje neslužbene primjedbe. Ta mogućnost pomaže osigurati potpunu usklađenost akata Komisije s pravilima o zaštiti podataka prije njihova donošenja. Neformalna savjetovanja koriste se posebno za osjetljive akte ili akte koji imaju veći utjecaj na zaštitu podataka.

Djelovanje Europskog nadzornika za zaštitu podataka kao savjetnika zakonodavca EU-a ovisi o broju novih prijedloga koje priprema Komisija. Nakon manjeg broja primjedbi u posljednjoj godini mandata Komisije na odlasku, znatan porast službenih primjedbi u 2021. posljedica je povećanog broja zakonodavnih prijedloga i nastojanja Komisije da osigura dosljednu provedbu obveze savjetovanja s Europskim nadzornikom za zaštitu podataka 58 . To obuhvaća provedbene i delegirane akte koji uključuju obradu osobnih podataka. Nakon što je EUDPR stupio na snagu, Glavno tajništvo Komisije izradilo je postupke i informiralo službe o obvezi savjetovanja s Europskim nadzornikom za zaštitu podataka. To je dovelo do sustavnijeg savjetovanja, među ostalim za provedbene i delegirane akte. U svrhu planiranja Europski nadzornik za zaštitu podataka i službe Komisije održavaju godišnje sastanke o predstojećem programu rada i prijedlozima za koje će biti potrebno savjetovanje.

4.3.Suradnja između Europskog nadzornika za zaštitu podataka i nacionalnih tijela za zaštitu podataka

Europski nadzornik za zaštitu podataka član je Europskog odbora za zaštitu podataka i ima ulogu njegovog tajništva. Surađuje s nacionalnim nadzornim tijelima u izvršavanju njihovih zadaća na druge načine 59 . Primjeri uključuju upućivanje pritužbi nadležnom nadzornom tijelu za zaštitu podataka ili slučajeve koji uključuju vanjske pružatelje usluga kojima se koriste i EUIB-ovi i voditelji obrade na koje se primjenjuje OUZP. Europski nadzornik za zaštitu podataka i aktivno pridonosi radu EDPB-a tako što, na primjer, preuzima ulogu glavnog izvjestitelja ili suizvjestitelja za smjernice ili na drugi način pridonosi njegovu radu.

Nekoliko opsežnih informacijskih sustava i agencija osnovanih u skladu s pravom EU-a zahtijeva da EDPS i nacionalna nadzorna tijela, od kojih svako djeluje u okviru svojih nadležnosti, aktivno surađuju kako bi osigurali koordinirani nadzor 60 . U prošlosti su akti o osnivanju svakog sustava ili agencije sadržavali posebne odredbe u tu svrhu. EUDPR-om 61 se uspostavlja usklađeni sustav za koordinaciju nadzora na koji se može upućivati u drugim aktima. To je učinjeno za Informacijski sustav unutarnjeg tržišta 62 , ECRIS-TCN 63 , Eurojust 64 , a odnedavno i za Europol 65 . U drugim sustavima i dalje postoje skupine za koordinaciju nadzora s detaljnim pravilima u aktima o osnivanju ili detaljnim upućivanjima na sastanke u okviru EDPB-a 66 .

Europski nadzornik za zaštitu podataka pridonosi i mehanizmu evaluacije Schengena uspostavljenom Uredbom Vijeća 1053/2013 67 . U skladu s tom uredbom Komisija može pozvati Europskog nadzornika za zaštitu podataka da imenuje promatrača koji će sudjelovati u posjetu na licu mjesta u području obuhvaćenom njegovim mandatom, tj. u evaluacijama zaštite podataka 68 . To odgovara mogućnosti da Frontex i Europol imenuju promatrače za evaluacije upravljanja granicama i policijske suradnje. Komisija smatra da je stručno znanje promatrača Europskog nadzornika za zaštitu podataka vrijedno sredstvo za evaluacije zaštite podataka.

4.4.Resursi Europskog nadzornika za zaštitu podataka

Broj osoblja Europskog nadzornika za zaštitu podataka (uključujući tajništvo EDPB-a 69 ) stabilno je rastao tijekom izvještajnog razdoblja 70 , što odražava opći trend u nacionalnim nadzornim tijelima za zaštitu podataka. Aktivnosti tajništva EDPB-a s vremenom su se povećavale zbog sve većeg broja objava smjernica, preporuka, mišljenja i drugih dokumenata Europskog odbora za zaštitu podataka kojima pridonosi tajništvo. S obzirom na to da se očekuje da će ono imati veću ulogu u djelotvornoj provedbi OUZP-a, ključno je osigurati dostatna sredstva za tajništvo Europskog odbora za zaštitu podataka. To se posebno odnosi na cilj Europskog odbora za zaštitu podataka da se razvije bliskija suradnja u strateškom radu i upotrebljavaju novi alati kojima se podupire suradnja među tijelima za zaštitu podataka 71 . Konkretno, postojanje snažnog tajništva s dostatnim resursima za poticanje rada Europskog odbora za zaštitu podataka važno je kako bi se osiguralo da Europski odbor za zaštitu podataka može obavljati svoj posao prema potrebi, posebno u kontekstu mehanizma dosljednosti 72 , za čiju se upotrebu očekuje da će se nastaviti povećavati.

U svojem doprinosu ovom izvješću EDPS je posebno smatrao da bi mu, ako mu se povjere dodatne zadaće, npr. kao tijelo za nadzor tržišta u skladu sa zakonodavnim prijedlogom o umjetnoj inteligenciji 73 , trebalo osigurati odgovarajuća dodatna sredstva.

5.Komisijina upotreba ovlasti za donošenje delegiranih i provedbenih akata

EUDPR sadržava nekoliko ovlasti Komisije za donošenje provedbenih akata i utvrđivanje standardnih klauzula, kao i unakrsna upućivanja na ovlasti u skladu s OUZP-om 74 .

EUDPR 75 sadržava odredbe kojima je se ovlašćuje za utvrđivanje standardnih ugovornih klauzula o zaštiti podataka za ugovore između voditelja obrade i izvršitelja obrade, u skladu s ovlastima iz OUZP-a 76 . Komisija je iskoristila tu ovlast i u lipnju 2021. 77 donijela standardne ugovorne klauzule o odnosima između voditelja obrade i izvršitelja obrade kojima su obuhvaćeni OUZP i EUDPR. Te klauzule voditeljima obrade pružaju lako dostupne alate za učinkovito upravljanje odnosima s izvršiteljima obrade.

EUDPR-om se 78 Komisija ovlašćuje i za donošenje standardnih ugovornih klauzula o zaštiti podataka kako bi se osigurale odgovarajuće zaštitne mjere za prijenos osobnih podataka izvan EU-a/EGP-a. Komisija trenutačno priprema takve klauzule.

6.Pravila o zaštiti podataka za tijela i agencije koje se bave policijskom suradnjom i pravosudnom suradnjom u kaznenim stvarima

Poglavlje IX. EUDPR-a sadržava pravila za EUIB-ove koji obrađuju operativne osobne podatke pri obavljanju aktivnosti u okviru policijske i pravosudne suradnje u kaznenim stvarima („poglavlje o izvršavanju zakonodavstva”). Cilj mu je smanjiti rascjepkanost:

·između sustava zaštite podataka koji se primjenjuju na obradu operativnih podataka koju provode agencije EU-a u tom području

·i sustava zaštite podataka koji se primjenjuje na nacionalne aktivnosti kaznenog progona u skladu s LED-om.

U tu se svrhu u poglavlju EUDPR-a o izvršavanju zakonodavstva navodi skup horizontalnih pravila na temelju LED-a. Ta se pravila prema potrebi mogu dopuniti posebnim pravilima u osnivačkim aktima agencija, ovisno o njihovim mandatima i specifičnoj prirodi njihovih zadaća i postupaka obrade podataka.

U EUDPR-u se navodi da je potrebno osigurati ujednačenu i dosljednu zaštitu pojedinaca pri obradi njihovih osobnih podataka 79 . U tu se svrhu izričito upućuje na cilj proširenja primjene poglavlja EUDPR-a o izvršavanju zakonodavstva na agencije koje su u svojim aktima o osnivanju imale zasebne okvire za zaštitu podataka u trenutku donošenja EUDPR-a, odnosno na Europol i Ured europskog javnog tužitelja (EPPO). Upućuje se i na moguću izmjenu poglavlja o izvršavanju zakonodavstva, ako je potrebno.

6.1.Proširenje primjene poglavlja EUDPR-a o izvršavanju zakonodavstva

U trenutku sastavljanja ovog dokumenta poglavlje EUDPR-a o izvršavanju zakonodavstva primjenjuje se na obradu operativnih osobnih podataka koju provode:

·Eurojust 80 , dopunjeno posebnim pravilima uključenima u Uredbu o Eurojustu,

·Europol 81 , dopunjeno posebnim pravilima iz Uredbe o Europolu, koja je izmijenjena 82 od stupanja na snagu EUDPR-a,

·Frontex za mali dio svojih aktivnosti koje su dio kaznenog progona 83 .

Međutim, poglavlje EUDPR-a o izvršavanju zakonodavstva još se ne primjenjuje na Ured europskog javnog tužitelja, čija je Uredba o osnivanju donesena prije EUDPR-a. Uredbom o EPPO-u predviđa se zaseban režim za obradu operativnih podataka. To ima dvije posljedice: prvo, neke odredbe Uredbe o EPPO-u sadržajno se razlikuju od poglavlja EUDPR-a o izvršavanju zakonodavstva, kao što je obrada „ograničenih” osobnih podataka 84 . Drugo, neke odredbe Uredbe o EPPO-u, iako su sadržajno slične, formulirane su drukčije od poglavlja EUDPR-a o izvršavanju zakonodavstva, što bi moglo dovesti do različitih tumačenja.

U interesu dosljednosti i u skladu s općim ciljem smanjenja rascjepkanosti pravila o zaštiti podataka, za EPPO bi trebalo slijediti sličan pristup kao i za Eurojust i Europol. Cilj je osigurati da EPPO izravno primijeni poglavlje EUDPR-a o izvršavanju zakonodavstva, s tim da se u Uredbi o EPPO-u zadrže samo potrebne specifikacije. Istodobno, s obzirom na to da je EPPO u funkciji samo godinu dana, kratkoročno je potrebno prikupiti više informacija o praktičnoj primjeni sustava zaštite podataka EPPO-a. Time će se omogućiti precizno utvrđivanje tih specifikacija, uzimajući u obzir prirodu EPPO-a kao neovisnog ureda javnog tužiteljstva EU-a 85 .

6.2.Pojašnjenje primjenjivosti određenih odredbi EUDPR-a na obradu operativnih podataka

U EUDPR-u 86 se navodi sljedeće: „samo se članak 3. [definicije] i poglavlje IX. [poglavlje o izvršavanju zakonodavstva] ove Uredbe primjenjuju na obradu operativnih osobnih podataka”.

Poglavlje o izvršavanju zakonodavstva sadržava bitne odredbe koje odgovaraju većini odredaba poglavlja od II. do V. EUDPR-a (opća načela, prava ispitanika, određene obveze voditelja obrade i izvršitelja obrade, međunarodni prijenosi podataka), uz određene razlike kako bi se uzela u obzir posebna narav izvršavanja zakonodavstva (npr. pravila o informiranju ispitanika i o njihovu pravu na pristup svojim podacima).

Važno je pojasniti da se izmjenom EUDPR-a u poglavlju o izvršavanju zakonodavstva utvrđuju posebna pravila samo u odnosu na odgovarajuće odredbe drugih poglavlja EUDPR-a koja imaju izravan ekvivalent u poglavlju o izvršavanju zakonodavstva. Na taj se način, ako zakonodavac ne uključi posebna pravila u akt o osnivanju agencije, na obradu operativnih podataka primjenjuju odredbe u poglavljima koja nisu poglavlje o izvršavanju zakonodavstva, a koja u potonjem 87 nisu izravni ekvivalent.

Ovom bi se izmjenom poboljšala pravna sigurnost i osigurao cjelovit okvir (npr. o položaju službenika za zaštitu podataka, suradnji s nacionalnim nadzornim tijelima za zaštitu podataka), među ostalim za sve buduće agencije u tom području 88 . Takvim cjelovitim okvirom smanjili bi se i rizici od rascjepkanosti.

6.3.Ovlasti Europskog nadzornika za zaštitu podataka u nadzoru tijela i agencija EU-a

Trenutačno uredbe o osnivanju EPPO-a, Eurojusta i Europola sadržavaju posebne odredbe o ovlastima Europskog nadzornika za zaštitu podataka 89 .

Ažuriranom Uredbom o Europolu Europskom nadzorniku za zaštitu podataka dodjeljuju se ovlasti koje su usklađene s onima iz članka 58. EUDPR-a 90 . To se posebno odnosi na ovlast za izricanje administrativnih novčanih kazni i ovlast da se voditelju obrade ili izvršitelju obrade naloži da, prema potrebi, na određeni način i u određenom roku uskladi postupke obrade.

Međutim, u slučaju EPPO-a ovlasti Europskog nadzornika za zaštitu podataka formulirane su drukčije nego u EUDPR-u. Europski nadzornik za zaštitu podataka nema dvije prethodno navedene ovlasti 91 .

Uredba o Frontexu, za mali dio aktivnosti Frontexa obuhvaćenih poglavljem o izvršavanju zakonodavstva 92 , ne sadržava posebne odredbe o ovlastima Europskog nadzornika za zaštitu podataka, što dovodi do nesigurnosti u pogledu tih ovlasti.

Dodjeljivanje svih ovlasti Europskom nadzorniku za zaštitu podataka iz članka 58. EUDPR-a moglo bi se postići slijedeći dva koraka u nastavku.

1.Pojašnjavajući da se EUDPR-om, kao zadanom opcijom, Europskom nadzorniku za zaštitu podataka povjeravaju nadzor nad poglavljem o izvršavanju zakonodavstva i ovlasti koje su mu dodijeljene na temelju članka 58. EUDPR-a 93 . Za to je potrebna izmjena EUDPR-a kako je predloženo u prethodnom odjeljku.

Time bi se uklonio i jaz u Uredbi o Frontexu.

2.Uklanjanjem odredbi o ovlastima Europskog nadzornika za zaštitu podataka iz osnivačkih akata agencija i tijela, cjelokupan opseg ovlasti EDPS-a na temelju izmijenjenog EUDPR-a izravno bi se primjenjivao na Eurojust i EPPO. Cilj je uskladiti ih u najvećoj mogućoj mjeri kako bi se smanjila rascjepkanost pravila o zaštiti podataka.

7.Daljnji koraci

Općenito, EUDPR dobro funkcionira i svrsishodan je. U ovoj fazi Komisija neće predlagati izmjene onih dijelova koji su istovjetni odgovarajućim pravilima iz OUZP-a, čime će se zadržati najbliža moguća usklađenost između EUDPR-a i OUZP-a 94 . Moguće izmjene koje se razmatraju u ovom izvješću odnose se na druge dijelove, posebno na povezanost poglavlja EUDPR-a o izvršavanju zakonodavstva s drugim odredbama ove Uredbe.

Komisija je u proljeće 2022. predložila pravila za jačanje informacijske sigurnosti u EUIB-ovima 95 , što će pozitivno utjecati na informacijsku sigurnost, među ostalim na zaštitu osobnih podataka. Cilj je tog prijedloga dodatno poboljšati otpornost i sposobnost EUIB-ova da odgovore na kiberprijetnje.

Komisija će poduzeti i korake navedene u točkama u nastavku:

-pri ažuriranju akata o osnivanju za opsežne informacijske sustave koji i dalje uključuju detaljna pravila o modelu koordinacije nadzora osigurati da se primjenjuje model EUDPR-a 96 za koordinaciju nadzora kako bi se pojednostavnili postupci,

-razmotriti izmjene EUDPR-a kako bi se:

opoboljšala pravna sigurnost i dopunio okvir za obradu operativnih podataka pojašnjavanjem u članku 2. stavku 2. da se opće odredbe EUDPR-a primjenjuju i na obradu operativnih osobnih podataka, osim ako poglavlje o izvršavanju zakonodavstva sadržava posebne odredbe (npr. o pravu na pristup). Time bi se pružio i cjelovit okvir za sve buduće agencije u području pravosudne suradnje u kaznenim stvarima i policijske suradnje,

oosiguralo sudjelovanje Europskog nadzornika za zaštitu podataka kao promatrača u svim evaluacijama zaštite podataka u okviru mehanizma za evaluaciju Schengena,

-naknadno razmotrilo izmjenu uredaba o EPPO-u i Eurojustu u budućoj reviziji kako bi se osigurala cjelovita primjena pravila o obradi operativnih osobnih podataka u izmijenjenom EUDPR-u, uzimajući u obzir posebnu narav tih tijela. Time će se uskladiti ovlasti EDPS-a nad tim tijelima i agencijama s ovlastima koje ima nad drugim EUIB-ovima,

-predložiti standardne ugovorne klauzule za međunarodne prijenose osobnih podataka 97 za EUIB-ove,

-nastaviti bliska suradnja s Europskim nadzornikom za zaštitu podataka (i, prema potrebi, Europskim odborom za zaštitu podataka) kako bi se osiguralo pravodobno i ciljano savjetovanje o novim prijedlozima 98 te prije njihova donošenja nastaviti neformalno savjetovati s Europskim nadzornikom za zaštitu podataka o važnim tekstovima.

Europski nadzornik za zaštitu podataka poziva se da:

-pruži dodatne i pravodobne praktične smjernice EUIB-ovima, među ostalim o međunarodnim prijenosima podataka,

-nastavi informirati voditelje obrade i izvršitelje obrade o njihovim obvezama na temelju EUDPR-a te savjetovati službenike za zaštitu podataka,

-pojača nastojanja za učinkovitu provedbu EUDPR-a kako bi se osigurala potpuna zaštita ispitanika.

Institucije, tijela, uredi i agencije EU-a pozivaju se da:

-nastave provoditi i, prema potrebi, pojačaju aktivnosti informiranja kako bi se osigurala dostatna razina internog stručnog znanja o pravilima EUDPR-a,

-razmotre objavljivanje procjena učinka na zaštitu podataka, isključujući informacije koje bi mogle ugroziti sigurnosne zaštitne mjere donesene prema potrebi,

-osiguraju da službenici za zaštitu podataka (kao i koordinatori za zaštitu podataka) imaju dostatne resurse i položaj u EUIB-ovima koji im omogućuju učinkovito i neovisno obavljanje njihovih zadaća,

-dovrše pretvaranje preostalih obavijesti u skladu s prethodnom uredbom o zaštiti podataka u evidenciju o zaštiti podataka.

PRILOG

Tablica 1. – Procjene učinka na zaštitu podataka i prethodna savjetovanja koja su proveli EUIB-ovi

	2019.	2020.	2021.
Prihvaćeni preostali rizik	30	50	77
Prethodno savjetovanje Europskog nadzornika za zaštitu podataka	3	3	5
Projekt otkazan	2	2	0

Tablica 2. – Nadzorne aktivnosti Europskog nadzornika za zaštitu podataka

	2018.	2019.	2020.	2021.
Savjetovanja	50 99	75	59	52
Prethodna savjetovanja	0	0	1	4
Odobrenja za prijenos	0	1	0	4
Zaprimljene prihvatljive pritužbe	58	59	43	44 100
Odluke 101 o prihvatljivim pritužbama	23	48	35	22
Zaprimljene neprihvatljive pritužbe	240	151	203	269
Provedene inspekcije/revizije	5	9	4	4
Provedene službene istrage	0	4	1	2
Primljene obavijesti o povredi podataka	7	95	121	82 102

Tablica 3. – Savjetodavne aktivnosti Europskog nadzornika za zaštitu podataka

	2018.	2019.	2020.	2021.
Primjedbe	13	3	19	72
Mišljenja	7	6	8	12
Samoinicijativna mišljenja	1	1	2	0
Zajednička mišljenja s EDPB-om	0	1	0	5
Neslužbene primjedbe	33 103	16	13	25

Tablica 4. – Sredstva Europskog nadzornika za zaštitu podataka

	2018.	2019.	2020.	2021.	2022. (procijenjeno)
Ukupan broj osoblja EDPS-a (uključujući tajništvo EDPB-a)	98	100	118	126	139
Osoblje Europskog nadzornika za zaštitu podataka u tajništvu EDPB-a	19	22	27	34	38
Proračun 104	13 539 302 EUR (izvršeno)	15 301 687 EUR (izvršeno)	14 211 719 EUR (izvršeno)	16 761 285 EUR (izvršeno)	20 202 000 EUR (planirano)

(1)

Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (Tekst značajan za EGP), SL L 295, 21.11.2018., str. 39.–98., http://data.europa.eu/eli/reg/2018/1725/oj .

(2)

Neke agencije u području pravosuđa i unutarnjih poslova u svojim aktima o osnivanju imaju posebna pravila o zaštiti podataka koja dopunjuju EUDPR ili se umjesto njega primjenjuju, vidjeti odjeljak 6.

(3)

U skladu s člankom 101. stavkom 2. EUDPR-a, na Eurojust se primjenjuje tek od 12. prosinca 2019.

(4)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka, SL L 8, 12.1.2001., str. 1.–22., https://eur-lex.europa.eu/eli/reg/2001/45/oj?locale=hr# .

(5)

Članak 3. stavak 2. EUDPR-a.

(6)

Poglavlje 4. ili poglavlje 5. trećeg dijela glave V. Ugovora o funkcioniranju Europske unije (UFEU).

(7)

Anketa je poslana EUIB-ovima koji su postojali u to vrijeme (popis: http://publications.europa.eu/code/hr/hr-5000900.htm ).

(8)

Postotci navedeni u ovom izvješću uvijek se temelje na EUIB-ovima koji su odgovorili na to konkretno pitanje u anketi.

(9)

Europski nadzornik za zaštitu podataka, Doprinos Europskog nadzornika za zaštitu podataka Izvješću o primjeni Uredbe (EU) 2018/1725, „EUDPR”, 21. prosinca 2021., https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf

(10)

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13256-Uredba-o-zastiti-podataka-za-institucije-tijela-urede-i-agencije-EU-a-izvjesce-o-primjeni_hr .

(11)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), SL L 119, 4.5.2016., str. 1.–88.), https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=hr .

(12)

Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, SL L 119, 4.5.2016., str. 89.–131.), https://eur-lex.europa.eu/eli/dir/2016/680/oj?locale=hr .

(13)

Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija, SL L 201, 31.7.2002., str. 37.–47., https://eur-lex.europa.eu/eli/dir/2002/58/oj?locale=hr .

(14)

Članak 2. stavak 3. OUZP-a, članak 2. stavak 3. točka (b) LED-a. Direktiva o e-privatnosti kao takva ne primjenjuje se, ali se člankom 37. EUDPR-a EUIB-ovi obvezuju na zaštitu informacija koje se prenose, pohranjuju, obrađuju i odnose na terminalnu opremu korisnika, koje se na njoj pohranjuju, obrađuju s pomoću te terminalne opreme za korisnike koji pristupaju njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama, a koje se od nje prikupljaju u skladu s člankom 5. stavkom 3. Direktive 2002/58/EZ.

(15)

Vidjeti uvodnu izjavu 5. EUDPR-a.

(16)

To odražava situaciju iz prethodne Uredbe (EZ) 45/2001, koja isto tako nije sadržavala osnovu „legitimnog interesa”. U drugoj rečenici uvodne izjave 22. EUDPR-a pojašnjava se da „obrada osobnih podataka radi izvršavanja zadataka koje institucije i tijela Unije obavljaju u javnom interesu uključuje i obradu osobnih podataka potrebnu za upravljanje [tim] institucijama i tijelima te za njihovo djelovanje”, što znači da su obuhvaćeni i takvi postupci obrade, npr. za osiguravanje fizičke kontrole pristupa prostorijama institucija, tijela, ureda i agencija EU-a.

(17)

Poglavlje IX. o obradi operativnih osobnih podataka u tijelima, uredima i agencijama EU-a pri obavljanju aktivnosti obuhvaćenih područjem primjene dijela trećeg glave V. poglavlja 4. ili 5. UFEU-a.

(18)

Pojmovi voditelja obrade, izvršitelja obrade i zajedničkog vođenja obrade u skladu s Uredbom (EU) 2018/1725, https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint .

(19)

Odgovornost: Smjernice za dokumentiranje postupaka obrade za institucije, tijela i agencije EU-a – dio I.: Zapisi i procjena praga, str. 7., https://edps.europa.eu/sites/default/files/publication/19-07-17_accountability_on_the_ground_part_i_en.pdf .

(20)

Članak 25. Uredbe (EZ) 45/2001.

(21)

Članak 14. EUDPR-a.

(22)

To obuhvaća zahtjeve za opće informacije i zahtjeve za ostvarivanje prava ispitanika u skladu s poglavljem II. EUDPR-a, kao što je pravo na pristup njihovim osobnim podacima u posjedu EUIB-a.

(23)

Članak 25. EUDPR-a.

(24)

To odgovara mogućnostima ograničavanja prava ispitanika na nacionalnoj razini u nekim državama članicama, npr. ministarskim uredbama.

(25)

Članak 25. stavak 5. i uvodna izjava 24. EUDPR-a.

(26)

Članak 25. stavak 1. EUDPR-a.

(27)

Članak 25. stavak 6. EUDPR-a.

(28)

Vidjeti npr. Odluku br. 59/2021 glavnog tajnika Vijeća Europske unije o utvrđivanju provedbenih pravila u vezi s primjenom Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća i ograničavanjem prava ispitanika za potrebe administrativnih istraga te stegovnih i sudskih postupaka, 2022/C 25/02, SL C 25, 18.1.2022., str. 2.–7.

(29)

Odluka Komisije (EU) 2018/1961, SL L 315/35, 12.12.2018.; Odluka Komisije (EU) 2018/1962, SL L 315/41, 12.12.2018.; Odluka Komisije (EU) 2018/1927, SL L 313/39, 10.12.2018.

(30)

Članak 23. OUZP-a.

(31)

Članak 13. stavak 3., članak 15. ili 16. LED-a.

(32)

Vidjeti članak 2. stavak 2. Odluke Komisije 2018/1962 koji se odnosi na zaštitu trećih strana kako je navedeno u članku 25. stavku 1. točki (h) EUDPR-a.

(33)

To se preporučuje i u smjernicama Europskog nadzornika za zaštitu podataka o članku 25. EUDPR-a, koje su dostupne na: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en .

(34)

Na primjer, Europska komisija ima službenika za zaštitu podataka koji je pridružen Glavnom tajništvu, a potporu mu pružaju koordinatori za zaštitu podataka u svakoj glavnoj upravi.

(35)

Članak 27. Uredbe (EZ) 45/2001. U okviru tog sustava postupke obrade, npr. one koji su uključivali obradu osobnih podataka koji se odnose na zdravlje i sumnje na kaznena djela, kaznena djela, kaznene osude ili sigurnosne mjere ili čija je svrha bila ocijeniti osobne aspekte povezane s ispitanikom, uključujući njegovu sposobnost, učinkovitost i ponašanje, morao je „prethodno provjeriti” EDPS. To je dovelo do velikog broja obavijesti (i odgovarajućih mišljenja Europskog nadzornika za zaštitu podataka) o vrlo sličnim postupcima obrade, npr. postupci odabira i ocjenjivanja osoblja obuhvaćeni su tom odredbom.

(36)

Članak 39. EUDPR-a.

(37)

Iako objavljivanje (sažetih) izvješća o procjeni učinka na zaštitu podataka nije obveza na temelju EUDPR-a, to je dobra praksa koju preporučuje Europski nadzornik za zaštitu podataka, vidjeti odgovornost na terenu, dio II., str. 18. i 19., https://edps.europa.eu/node/4582_en .

(38)

Članak 45. stavak 3. OUZP-a.

(39)

Članak 36. stavak 3. LED-a.

(40)

Članak 50. EUDPR-a.

(41)

Provedbena odluka Komisije (EU) 2021/914 оd 4. lipnja 2021. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća.

(42)

Primjenom „modula 3” standardnih ugovornih klauzula.

(43)

Članak 29. stavak 4. EUDPR-a.

(44)

Vidjeti uvodnu izjavu 8. Provedbene odluke Komisije 2021/914 i bilješku 1. Priloga toj odluci.

(45)

(46)

Osim za Sud Europske unije kada djeluje u okviru svojih pravosudnih dužnosti, vidjeti članak 57. stavak 1. točku (a) i uvodnu izjavu 74. EUDPR-a. U tim se slučajevima nadzor provodi posebnim mehanizmima, uspostavljenima Odlukom Suda od 1. listopada 2019. o uspostavi internog mehanizma nadzora u području obrade osobnih podataka u okviru pravosudnih dužnosti Suda (SL 2019., C 383, str. 2.) i Odlukom Općeg suda od 16. listopada 2019. o uspostavi internog mehanizma nadzora u području obrade osobnih podataka u okviru pravosudnih dužnosti Općeg suda (SL 2019., C 383, str. 4.). Osim toga, i dalje postoji Zajedničko nadzorno tijelo za carinski informacijski sustav osnovano Odlukom Vijeća 2009/917/PUP.

(47)

Iznimka je Eurojust, na koji se EUDPR primjenjuje od 12. prosinca 2019., vidjeti članak 101. stavak 2. EUDPR-a.

(48)

Vidjeti tablicu 2. u Prilogu.

(49)

Za 2020. (zadnja godina s potpunim statističkim podacima): 52 % povreda podataka prouzročeno je ljudskom pogreškom 21 % tehničkim pogreškama 17 % vanjskim napadima i ostatak je nastao zbog drugih razloga, npr. zbog zlouporabe povlaštenih računa.

(50)

Na primjer, postupaka obrade za praćenje društvenih medija koje je provodio tadašnji Europski potporni ured za azil (EASO): https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf . Kao odgovor na to, tadašnji EASO obustavio je predmetne postupke obrade.

(51)

U skladu s OUZP-om novčane kazne mogu se izreći izravno za povredu, npr. ako voditelj obrade ne obavijesti ispitanike na odgovarajući način o obradi njihovih osobnih podataka (članci od 12. do 14. OUZP-a). U skladu s EUDPR-om, Europski nadzornik za zaštitu podataka može samo izreći novčane kazne za nepoštovanje naloga, npr. za ispravljanje propusta informiranja ispitanika na odgovarajući način u skladu s člancima 14., 15. i 16. EUDPR-a.

(52)

67 % EUIB-ova izjavilo je da je pravodobno ili uglavnom pravodobno primilo informacije od Europskog nadzornika za zaštitu podataka, dok je 33 % njih bilo neutralno ili navelo da su informacije (uglavnom) stigle prekasno.

(53)

Članak 42. EUDPR-a.

(54)

Za provedbene i delegirane akte službeno savjetovanje može se održati usporedno s razdobljem za davanje povratnih informacija javnosti o nacrtima provedbenih i delegiranih akata.

(55)

EDPS smatra odgovore na zakonodavne prijedloge i preporuke u skladu s člankom 218. UFEU-a „mišljenjima”. Odgovori u vezi s provedbenim ili delegiranim aktima nazivaju se „primjedbe”, vidjeti i Odluku Europskog nadzornika za zaštitu podataka od 15. svibnja 2020. o usvajanju Poslovnika EDPS-a, SL L 204/49, 26.6.2020., https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:32020Q0626(01) .

(56)

Preliminarno mišljenje Europskog nadzornika za zaštitu podataka 8/2020 o europskom prostoru za zdravstvene podatke, https://edps.europa.eu/data-protection/our-work/publications/opinions/preliminary-opinion-82020-european-health-data-space_en .

(57)

Članak 42. stavak 2. EUDPR-a.

(58)

Članak 42. EUDPR-a.

(59)

U skladu s člankom 61. EUDPR-a Europski nadzornik za zaštitu podataka surađuje i sa Zajedničkim nadzornim tijelom osnovanim na temelju članka 25. Odluke Vijeća 2009/917/PUP.

(60)

Na primjer Schengenski informacijski sustav, vizni informacijski sustav i Eurodac. Vidjeti Uredbu (EU) 2018/1862 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području policijske suradnje i pravosudne suradnje u kaznenim stvarima, izmjeni i stavljanju izvan snage Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EZ) br. 1986/2006 Europskog parlamenta i Vijeća i Odluke Komisije 2010/261/EU, SL L 312, 7.12.2018., str. 56.–106., Uredbu (EZ) br. 767/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o viznom informacijskom sustavu (VIS) i razmjeni podataka među državama članicama o vizama za kratkotrajni boravak, SL L 218, 13.8.2008., str. 60.–81. i Uredbu (EU) br. 603/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o uspostavi sustava „Eurodac” za usporedbu otisaka prstiju za učinkovitu primjenu Uredbe (EU) br. 604/2013 o utvrđivanju kriterija i mehanizama za određivanje države članice odgovorne za razmatranje zahtjeva za međunarodnu zaštitu koji je u jednoj od država članica podnio državljanin treće zemlje ili osoba bez državljanstva i o zahtjevima za usporedbu s podacima iz Eurodaca od strane tijela kaznenog progona država članica i Europola u svrhu kaznenog progona te o izmjeni Uredbe (EU) br. 1077/2011 o osnivanju Europske agencije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde, SL L 180, 29.6.2013., str. 1.–30.

(61)

Članak 62. EUDPR-a.

(62)

Uredba (EU) 2018/1724 Europskog parlamenta i Vijeća od 2. listopada 2018. o uspostavi jedinstvenog digitalnog pristupnika za pristup informacijama, postupcima, uslugama podrške i rješavanja problema te o izmjeni Uredbe (EU) br. 1024/2012, SL L 295, 21.11.2018., str. 1.–38.

(63)

Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726, SL L 135, 22.5.2019., str. 1.–26.

(64)

Članak 42. stavak 2. Uredbe (EU) 2018/1727 Europskog parlamenta i Vijeća od 14. studenoga 2018. o Agenciji Europske unije za suradnju u kaznenom pravosuđu (Eurojust) te zamjeni i stavljanju izvan snage Odluke Vijeća 2002/187/PUP, SL L 295, 21.11.2018., str. 138.–183.

(65)

Vidjeti izmjene članka 44. stavka 2. Uredbe o Europolu uvedene Uredbom (EU) 2022/991 Europskog parlamenta i Vijeća od 8. lipnja 2022. o izmjeni Uredbe (EU) 2016/794 u pogledu suradnje Europola s privatnim stranama, obrade osobnih podataka koju provodi Europol radi potpore kaznenim istragama i uloge Europola u području istraživanja i inovacija, SL L 169, 27.6.2022., str. 1.–42.

(66)

Članak 57. Uredbe (EU) 2018/1861 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području granične kontrole i o izmjeni Konvencije o provedbi Schengenskog sporazuma te o izmjeni i stavljanju izvan snage Uredbe (EZ) br. 1987/2006, SL L 312, 7.12.2018., str. 14.–55. i članak 71. Uredbe (EU) 2018/1862 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području policijske suradnje i pravosudne suradnje u kaznenim stvarima, izmjeni i stavljanju izvan snage Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EZ) br. 1986/2006 Europskog parlamenta i Vijeća i Odluke Komisije 2010/261/EU, SL L 312, 7.12.2018., str. 56.–106.

(67)

Uredba Vijeća (EU) br. 1053/2013 od 7. listopada 2013. o uspostavi mehanizma evaluacije i praćenja za provjeru primjene schengenske pravne stečevine i stavljanju izvan snage Odluke Izvršnog odbora od 16. rujna 1998. o uspostavi Stalnog odbora za ocjenu i provedbu Schengena, SL L 295, 6.11.2013., str. 27.–37.

(68)

Vidjeti članak 10. stavak 5. Uredbe Vijeća (EU) br. 1053/2013 od 7. listopada 2013.

(69)

Članak 57. stavak 1. točka (l) EUDPR-a.

(70)

Vidjeti tablicu 4. u Prilogu.

(71)

Izjava Europskog odbora za zaštitu podataka o pojačanoj suradnji u strateškim predmetima, 29. travnja 2022.: DPAs decide on closer cooperation for strategic files | Europski odbor za zaštitu podataka (europa.eu) .

(72)

Poglavlje VII. OUZP-a.

(73)

COM(2021) 206 final.

(74)

Vidjeti članak 47. EUDPR-a kojim se EUIB-ovima omogućuje oslanjanje na odluke o primjerenosti donesene na temelju OUZP-a i LED-a te članak 14. stavak 8. EUDPR-a o delegiranim aktima o ikonama na temelju članka 12. stavka 8. OUZP-a.

(75)

Članak 29. stavak 7. EUDPR-a.

(76)

Članak 28. stavak 7. OUZP-a.

(77)

Provedbena odluka Komisije (EU) 2021/915 оd 4. lipnja 2021. o standardnim ugovornim klauzulama između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavka 7. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća i članka 29. stavka 7. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (Tekst značajan za EGP), SL L 199, 7.6.2021., str. 18.–30., https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX%3A32021D0915 .

(78)

Članak 48. stavak 2. točka (b) EUDPR-a.

(79)

Članak 98. stavak 2. EUDPR-a.

(80)

Članak 26. Uredbe (EU) 2018/1727 Europskog parlamenta i Vijeća od 14. studenoga 2018. o Agenciji Europske unije za suradnju u kaznenom pravosuđu (Eurojust) te zamjeni i stavljanju izvan snage Odluke Vijeća 2002/187/PUP, SL L 295, 21.11.2018., str. 138.–183.

(81)

Članak 28. izmijenjene Uredbe o Europolu (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP.

(82)

Uredba (EU) 2022/991 Europskog parlamenta i Vijeća od 8. lipnja 2022. o izmjeni Uredbe (EU) 2016/794 u pogledu suradnje Europola s privatnim stranama, obrade osobnih podataka koju provodi Europol radi potpore kaznenim istragama i uloge Europola u području istraživanja i inovacija, SL L 169, 27.6.2022., str. 1.–42.

(83)

Vidjeti članak 10. stavak 1. točku (q) i članak 90. Uredbe (EU) 2019/1896 Europskog parlamenta i Vijeća od 13. studenoga 2019. o europskoj graničnoj i obalnoj straži i stavljanju izvan snage uredaba (EU) br. 1052/2013 i (EU) 2016/1624, SL L 295, 14.11.2019., str. 1.–131., https://eur-lex.europa.eu/eli/reg/2019/1896/oj?locale=hr .

(84)

U skladu s člankom 61. stavkom 4. Uredbe o EPPO-u dopuštena je obrada „ograničenih” podataka „uz iznimku pohranjivanja, samo [...] s ciljem zaštite pravâ ispitanika ili druge fizičke ili pravne osobe koja je stranka u postupku EPPO-a ili u svrhe [dokaza]”. U odgovarajućem članku 82. stavku 3. EUDPR-a navodi se da se „podaci obuhvaćeni ograničenjem obrađuju [...] samo u onu svrhu zbog koje nisu bili izbrisani”, što uključuje zadržavanje podataka kao dokaza, ali se ne odnosi na zaštitu prava ispitanika ili drugih.

(85)

Iskustvo stečeno u suradnji s Eurojustom i Europolom nije izravno prenosivo na EPPO s obzirom na to da mandat EPPO-a nije podupiranje i jačanje suradnje među nacionalnim tijelima, nego istraga i kazneni progon kaznenih djela kojima se šteti financijskim interesima EU-a.

(86)

Članak 2. stavak 2. EUDPR-a.

(87)

Npr. u pogledu dužnosti voditelja obrade da surađuju u skladu s člankom 32. EUDPR-a, pravila o službenicima za zaštitu podataka iz članaka od 43. do 45. EUDPR-a, članka 31. o vođenju evidencije o aktivnostima obrade i o suradnji s drugim nadzornim tijelima u skladu s člankom 61. EUDPR-a.

(88)

Poseban pravni okvir tih agencija i dalje bi trebalo utvrditi u skladu sa zahtjevima iz EUDPR-a, npr. člankom 72. o utvrđivanju razdoblja pohrane. Međutim, ne bi bilo potrebe za reguliranjem prava ispitanika ili ovlasti Europskog nadzornika za zaštitu podataka, osim ako bi zakonodavac izričito odlučio odstupiti od pristupa iz EUDPR-a.

(89)

Članak 85. Uredbe o EPPO-u, članak 40. Uredbe o Eurojustu i članak 43. Uredbe o Europolu.

(90)

Određene se zadaće Europskog nadzornika za zaštitu podataka koje nisu relevantne za Europol, npr. odobravanje standardnih ugovornih klauzula, ne ponavljaju.

(91)

U skladu s člankom 85. stavkom 3. točkom (b) Uredbe o EPPO-u i člankom 40. stavkom 3. točkom (b) Uredbe o Eurojustu, u slučaju navodnog kršenja odredaba kojima se uređuje obrada operativnih osobnih podataka, Europski nadzornik za zaštitu podataka može samo uputiti predmet EPPO-u ili Eurojustu i, prema potrebi, dati prijedloge za uklanjanje tog kršenja i poboljšanje zaštite ispitanika.

(92)

Vidjeti članak 10. stavak 1. točku (q) i članak 90. Uredbe o Frontexu.

(93)

Na temelju članka 1. stavka 3. EUDPR-a Europski nadzornik za zaštitu podataka „prati primjenu odredaba ove Uredbe na sve postupke obrade koje provode institucije ili tijela Unije”. Iako se ta odredba može tumačiti kao da se primjenjuje i na aktivnosti obuhvaćene poglavljem o izvršavanju zakonodavstva, bilo bi korisno izričito je utvrditi kako bi se osigurala pravna sigurnost.

(94)

Ako se OUZP izmijeni u kasnijoj fazi, Komisija će razmotriti potrebne izmjene EUDPR-a kako bi oba teksta bila usklađena.

(95)

Prijedlog Uredbe Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu kibersigurnosti u institucijama, tijelima, uredima i agencijama Unije, COM(2022) 122 final.

(96)

Članak 62. EUDPR-a.

(97)

U skladu s člankom 48. stavkom 2. točkom (b) EUDPR-a.

(98)

U skladu s člankom 42. EUDPR-a.

(99)

Dvije koje su uslijedile nakon stupanja na snagu EUDPR-a.

(100)

do 15. studenoga 2021.

(101)

Uključujući predmete koji su zaključeni sporazumnim rješenjem, upućivanjem službeniku za zaštitu podataka i drugim sredstvima zaključivanja.

(102)

do sredine studenoga 2021.

(103)

U skladu s prethodnom Uredbom 45/2001 Europski nadzornik za zaštitu podataka razvrstao je savjetovanja o delegiranim/provedbenim aktima u „neslužbene” primjedbe. Određeni broj primjedbi navedenih u neslužbenim primjedbama za 2018. brojao bi se pod „službene primjedbe” u narednim godinama.

(104)

Ti su brojevi ažurirani u usporedbi s brojevima iz doprinosa Europskog nadzornika za zaštitu podataka ovom izvješću.