2.3.2018   

HR

Službeni list Europske unije

C 81/209

Izvjestitelj:

Cristian PÎRVULESCU

1.1.

Na temelju svojih osnovnih vrijednosti i osnivačkih dokumenata EU ima odgovornost da postane globalni akter u promicanju poštovanja temeljnih prava i odgovarajuće zaštite privatnog života i osobnih podataka. U tom pogledu EGSO potiče Europsku komisiju da na bilateralnoj i multilateralnoj razini proaktivno promiče najviše standarde zaštite osobnih podataka.

1.2.

EGSO smatra da su četiri glavna kriterija koje Komisija treba uzeti u obzir pri procjeni zemalja s kojima treba nastaviti dijalog o primjerenosti uravnotežena i osnovana. Međutim, važno je te kriterije tumačiti s obzirom na stvarnu predanost vlada, parlamenata i sudova u tim zemljama ostvarivanju ekvivalentne i funkcionalne razine zaštite osobnih podataka.

1.3.

EGSO poziva na veću transparentnost i sudjelovanje u procesu donošenja odluka o primjerenosti. Predstavnici poslovnog sektora, posebice MSP-ovi, kao i skupine za zaštitu potrošača, skupine građana i druge organizacije civilnog društva, moraju biti uključeni te se s njima mora savjetovati. EGSO je spreman biti posrednik u procesu savjetovanja.

1.4.

EGSO pozdravlja dijalog koji je Komisija započela s ključnim trgovinskim partnerima u istočnoj i jugoistočnoj Aziji, uključujući Japan i Koreju te možda Indiju, kao i sa zemljama Latinske Amerike i zemljama obuhvaćenima europskom politikom susjedstva koje su izrazile interes za dobivanje „zaključka o primjerenosti”.

1.5.

EGSO se nada da će Komisija, Vijeće, nacionalne vlade i parlamenti država članica te vlada i Kongres SAD-a pozdraviti prijedloge iznesene u Rezoluciji Europskog parlamenta od 6. travnja 2017. o primjerenosti zaštite koju pruža europsko-američki sustav zaštite privatnosti. Europski parlament u svojoj rezoluciji izražava ozbiljnu zabrinutost, posebice u pogledu toga da se sporazumom i trenutačnim zakonodavnim okvirom SAD-a u praksi ne štite prava građana EU-a.

1.6.

S obzirom na brz tehnološki napredak i kontinuirano širenje infrastrukture IKT-a potrebni su poman državni nadzor i praćenje. Iako se odluke o primjerenosti ocjenjuju svake četiri godine (vidjeti članak 45. stavak 3. Opće uredbe o zaštiti podataka), EGSO preporučuje stalni kontakt između Komisije, tijela za zaštitu podataka i državnih tijela trećih zemalja u cilju utvrđivanja novih izazova u vrlo dinamičnom tehnološkom i gospodarskom okruženju.

1.7.

EGSO smatra da bi promicanje standarda zaštite podataka putem multilateralnih instrumenata trebalo biti prioritet Europske komisije i da bi tu zadaću trebalo poduprijeti sredstvima kako bi se stvarna zaštita ljudskih prava mogla ostvariti a priori te kako bi se a posteriori mogao uspostaviti djelotvoran pravni lijek za naknadu štete.

1.8.

Odbor ističe da Komisija u Komunikaciji ne razlikuje različite vrste i namjene osobnih podataka, osim u kaznenim stvarima.

1.9.

Konvencija Vijeća Europe br. 108 iz 1981., uz Dodatni protokol iz 1999., jedini je obvezujući multilateralni instrument u području zaštite podataka. Taj instrument treba dodatno razraditi te potaknuti više trećih zemalja da mu se pridruže.

1.10.

Potrebno je unaprijediti multilateralne napore u okviru Organizacije za gospodarsku suradnju i razvoj (OECD), skupine G20 i organizacije Azijsko-pacifička gospodarska suradnja (APEC) u svrhu izgradnje istinski globalnog multilateralnog sustava zaštite podataka. Suradnja s posebnim izvjestiteljem UN-a za pravo na privatnost treba biti snažna i funkcionalna.

1.11.

U pogledu razmjene osobnih podataka u okviru sprečavanja, istrage i progona kaznenih djela EGSO snažno podupire uspostavu čvrstih mjera za zaštitu podataka, ali ne odbacuje ni mogućnost uvođenja zaključaka o primjerenosti u sektor kaznenog progona. Zaštita podataka i sprečavanje, istraga i progon kaznenih djela, uključujući kiberkriminal i terorizam, moraju biti povezani.

1.12.

EGSO podsjeća na važnost zaštite osobnih podataka te podataka o zdravlju i rehabilitaciji osoba s invaliditetom, u skladu s člankom 22. Konvencije UN-a o pravima osoba s invaliditetom.

2.1.

Zaštita osobnih podataka dio je europske zajedničke ustavne strukture i ugrađena je u članak 8. Povelje EU-a o temeljnim pravima. Središnji je dio prava EU-a već više od 20 godina, od Direktive o zaštiti osobnih podataka iz 1995. (dalje u tekstu „Direktiva iz 1995.”) do donošenja Opće uredbe o zaštiti podataka i Direktive o policiji 2016.

2.2.

Reformom zakonodavstva EU-a o zaštiti podataka usvojenom u travnju 2016. uspostavlja se sustav kojim se osigurava visoka razina zaštite kako unutar EU-a tako i u međunarodnoj razmjeni osobnih podataka u komercijalne svrhe i u svrhu izvršavanja zakonodavstva. Nova će pravila stupiti na snagu u svibnju 2018.

2.3.

Nakon što je završila s radom u području pravila EU-a o zaštiti podataka, Komisija sada iznosi strategiju za promicanje međunarodnih standarda zaštite podataka. U Komunikaciji se predstavljaju različiti instrumenti za razmjenu osobnih podataka na međunarodnoj razini koji se temelje na reformiranim pravilima o zaštiti podataka, kao i strategija za suradnju s odabranim trećim zemljama u budućnosti u cilju donošenja odluka o primjerenosti te za promicanje standarda zaštite podataka putem multilateralnih instrumenata.

2.4.

Opća uredba o zaštiti podataka iz 2016. predviđa niz mehanizama (tzv. skup alata) za prijenos osobnih podataka iz EU-a u treće zemlje: odluke o primjerenosti, standardne ugovorne odredbe, obvezujuća korporativna pravila, mehanizme certificiranja i kodekse ponašanja. Primarna je svrha tih mehanizama osigurati da osobni podaci Europljana budu zaštićeni pri prijenosu u inozemstvo. Iako je struktura međunarodnih prijenosa osobnih podataka slična onoj iz Direktive o zaštiti podataka iz 1995., reformom se pojednostavnjuje i proširuje njihova upotreba te uvode novi alati za međunarodne prijenose (npr. kodeksi ponašanja i mehanizmi certificiranja).

3.1.

EGSO odaje priznanje nastojanjima EU-a da zaštiti osobne podatke svojih građana, a da pritom ostane otvoren i uključen u svijet koji je sve više povezan.

3.2.

Na temelju svojih osnovnih vrijednosti i osnivačkih dokumenata EU ima odgovornost da postane globalni akter u promicanju poštovanja temeljnih prava i visoke razine zaštite privatnog života i osobnih podataka. U tom pogledu EGSO potiče Europsku komisiju da na bilateralnoj i multilateralnoj razini proaktivno promiče najviše standarde zaštite osobnih podataka svojih građana i građana trećih zemalja.

3.3.

EU treba podupirati globalni program zaštite osobnih podataka i njegove glavne postavke: da je zaštita podataka temeljno pravo te da se zaštita ostvaruje donošenjem sveobuhvatnog zakonodavstva u tom području, uvođenjem izvršivih prava pojedinaca na privatnost te osnivanjem neovisnih nadzornih tijela.

3.4.

Najviša moguća razina zaštite osobnih podataka nije samo pravna odgovornost već i sjajna prilika. Digitalno gospodarstvo, međunarodni tokovi robe i usluga i e-uprava – sva navedena područja imaju koristi od povjerenja građana u uspostavljene institucionalne i regulatorne zaštitne mjere. Zaštita podataka i pravedna međunarodna trgovina ključne su za građane te se ne bi trebale smatrati oprečnim vrijednostima.

3.5.

EGSO i dalje podržava opći smjer politike EU-a o zaštiti podataka, kao što je činio i u svojim prethodnim mišljenjima, ali ustraje u tome da je potrebna viša razina zaštite. U mišljenju SOC/455 o Općoj uredbi o zaštiti podataka iznio je detaljne primjere u vezi s nekoliko članaka u pogledu bolje definicije prava, jače zaštite javnosti općenito, a posebice radnika, naravi odobrenja, zakonitosti obrade i, posebice, dužnosti službenika za zaštitu podataka i obrade podataka u kontekstu zapošljavanja (1).

3.6.

Uz to, EGSO je istaknuo pravo fizičkih i pravnih osoba na davanje privole u vezi sa svojim podacima. U mišljenju TEN/631 o zaštiti osobnih podataka EGSO smatra da se „korisnici moraju informirati, educirati i ostati oprezni jer nakon što jednom daju privolu, pružatelj usluga moći će više obrađivati sadržaje i podatke kako bi postigao što više radnji i ostvario što veću dobit […]. Educiranje korisnika da se služe svojim pravima, ali i anonimizacija ili enkripcija, morala bi biti pitanja kojima se u ovoj uredbi [Uredba o poštovanju privatnog života i zaštiti osobnih podataka u elektroničkim komunikacijama] daje prednost” (2).

3.7.

EGSO podržava činjenicu da će od svibnja 2018. postojati jedinstven paneuropski skup pravila za razliku od 28 nacionalnih zakona koji su na snazi danas. Novostvorenim mehanizmom jedinstvene kontaktne točke osigurat će se da jedno tijelo za zaštitu podataka bude odgovorno za nadzor prekograničnih aktivnosti obrade podataka koje provodi poduzeće iz EU-a. Osigurat će se dosljedno tumačenje novih pravila. Konkretno, u prekograničnim slučajevima u kojima sudjeluje nekoliko nacionalnih tijela za zaštitu podataka donijet će se jedna odluka kako bi se osiguralo da za zajedničke probleme postoje i zajednička rješenja. EGSO se nada da se novim postupcima neće osigurati samo dosljedno tumačenje već i najviša moguća razina zaštite podataka.

3.8.

EGSO prima na znanje da Komunikaciju i njezine glavne prijedloge pozdravlja DIGITALEUROPE, organizacija koja predstavlja industriju digitalne tehnologije u Europi (3).

Sve veće prodiranje računalstva u oblaku donosi nove i složene izazove, koji će se zbog brzog ritma tehnoloških promjena povećavati. Zakonodavstvo mora biti prilagodljivo kako bi se moglo uskladiti s tehnološkim i tržišnim razvojem.

4.1.

Odluke o primjerenosti koje donosi Komisija trenutačno predstavljaju odgovarajući instrument za osiguravanje zaštite podataka građana EU-a u odnosu na druge zemlje i subjekte, kako državne tako i privatne. Također su koristan instrument za poticanje zemalja izvan EU-a da teže uspostavi slične razine zaštite za svoje građane te bi trebale biti preferirano sredstvo za zaštitu razmjene osobnih podataka.

4.2.

EGSO smatra da su četiri glavna kriterija (4) koje Komisija treba uzeti u obzir pri procjeni zemalja s kojima treba nastaviti dijalog o primjerenosti uravnotežena i osnovana. Međutim, važno je te kriterije tumačiti s obzirom na stvarnu predanost vlada, parlamenata i sudova u tim zemljama ostvarivanju ekvivalentne i funkcionalne razine zaštite osobnih podataka.

4.3.

EGSO poziva na veću transparentnost i sudjelovanje u procesu donošenja odluka o primjerenosti. Predstavnici poslovnog sektora, posebice MSP-ovi, kao i skupine za zaštitu potrošača i organizacije civilnog društva, moraju biti uključeni te se s njima mora savjetovati. EGSO je spreman biti posrednik u procesu savjetovanja.

4.4.

EGSO pozdravlja dijalog koji je Komisija započela s ključnim trgovinskim partnerima u istočnoj i jugoistočnoj Aziji, uključujući Japan i Koreju te možda Indiju, kao i sa zemljama Latinske Amerike i zemljama obuhvaćenima europskom politikom susjedstva koje su izrazile interes za dobivanje „zaključka o primjerenosti”.

4.5.

EGSO smatra da je status djelomične primjerenosti za određene zemlje, koji bi se odnosio na određene sektore i teritorijalna područja, problematičan jer se njime ne osiguravaju dostatna i dosljedna ustavna, postupovna i institucionalna jamstva da su osobni podaci zaštićeni. Djelomična primjerenost mogla bi biti korisna međufaza tijekom koje bi EU i dotične zemlje nastojali pronaći zajedničko stajalište i koordinirali napore. Dugoročni je cilj postizanje čvršćeg i sveobuhvatnog sporazuma na temelju postojećih okvira u svim dotičnim zemljama (5).

4.6.

EGSO pozdravlja napore u cilju uspostave čvrstog i funkcionalnog bilateralnog okvira sa Sjedinjenim Američkim Državama. Nedavno donesena odluka o europsko-američkom sustavu zaštite privatnosti, kojim se zamjenjuje europsko-američki okvir „sigurne luke”, predstavlja korak naprijed. Međutim, ograničenog je opsega jer se temelji na dobrovoljnom pristupanju, pa velik broj američkih organizacija neće biti uključen.

4.7.

EGSO se nada da će Komisija, Vijeće, nacionalne vlade i parlamenti država članica te vlada i Kongres SAD-a pozdraviti prijedloge iznesene u Rezoluciji Europskog parlamenta od 6. travnja 2017. o primjerenosti zaštite koju pruža europsko-američki sustav zaštite privatnosti. Europski parlament u Rezoluciji izražava ozbiljnu zabrinutost, posebice u pogledu toga da se sporazumom i trenutačnim zakonodavnim okvirom SAD-a u praksi ne štite prava građana EU-a (6).

4.8.

Sličnu je zabrinutost izrazilo i nekoliko skupina civilnog društva iz Europske unije i SAD-a (7). EGSO potiče sve institucije EU-a da prime na znanje tu zabrinutost.

4.9.

Iako uvažava želju Komisije za stvaranjem nove dinamike, Odbor napominje da u njezinim prijedlozima i dalje postoje elementi pravne nesigurnosti u pogledu osoba čija su prava povrijeđena. Tome doprinosi nekoliko aspekata:

4.10.

Nakon donošenja odluke o primjerenosti ključno je praćenje kako bi se osiguralo da sporazumi funkcioniraju u praksi. S obzirom na brz tehnološki napredak i kontinuirano širenje infrastrukture IKT-a potrebni su poman državni nadzor i praćenje. Iako se odluke o primjerenosti ocjenjuju svake četiri godine (vidjeti članak 45. stavak 3. Opće uredbe o zaštiti podataka), EGSO preporučuje stalni kontakt između Komisije, tijela za zaštitu podataka i državnih tijela trećih zemalja u cilju utvrđivanja novih izazova u vrlo dinamičnom tehnološkom i gospodarskom okruženju.

4.11.

EGSO potiče Komisiju da surađuje s dionicima na razvoju alternativnih mehanizama za prijenos osobnih podataka prilagođenih posebnim potrebama ili uvjetima pojedinih industrija, poslovnih modela i/ili subjekata.

4.12.

EGSO smatra da bi promicanje standarda zaštite podataka putem multilateralnih instrumenata trebalo biti jedan od prioriteta Komisije i da bi tu zadaću trebalo poduprijeti sredstvima.

4.13.

Konvencija Vijeća Europe br. 108, uz Dodatni protokol, jedini je obvezujući multilateralni instrument u području zaštite podataka. Taj instrument treba dodatno razraditi te potaknuti više trećih zemalja da mu se pridruže.

4.14.

Potrebno je unaprijediti multilateralne napore u okviru OECD-a, skupine G20 i APEC-a u svrhu izgradnje istinski globalnog multilateralnog sustava zaštite podataka. Suradnja s posebnim izvjestiteljem UN-a za pravo na privatnost treba biti snažna i funkcionalna.

4.15.

Jedan od prioriteta trebalo bi biti jačanje suradnje s relevantnim nacionalnim tijelima za izvršenje zaštite privatnosti i nadzornim tijelima trećih zemalja. Iako ne donosi pravno obvezujuće obveze, OECD-ova Globalna mreža za uspostavu privatnosti (GPEN) može promicati suradnju u izvršavanju zakonodavstva razmjenom najboljih praksi u pogledu suočavanja s prekograničnim izazovima te podupiranjem zajedničkih inicijativa za izvršavanje zakonodavstva i kampanja za podizanje razine osviještenosti (8).

4.16.

U pogledu razmjene osobnih podataka u okviru sprečavanja, istrage i progona kaznenih djela EGSO snažno podupire uspostavu čvrstih mjera za zaštitu podataka, ali ne odbacuje ni mogućnost uvođenja zaključaka o primjerenosti u sektor kaznenog progona. Zaštita podataka i sprečavanje, istraga i progon kaznenih djela, uključujući kiberkriminal i terorizam, moraju biti povezani.

4.17.

Krovni sporazum o zaštiti podataka između EU-a i SAD-a, sklopljen u prosincu 2016., dobar je primjer toga kako se prava i obveze u vezi sa zaštitom podataka koje su u skladu s pravnom stečevinom EU-a mogu ugraditi u bilateralne sporazume. Ti se postupci mogu upotrebljavati i u različitim područjima politika, kao što su politika tržišnog natjecanja ili zaštita potrošača. EGSO potiče Komisiju da istraži mogućnost sklapanja sličnih okvirnih sporazuma s važnim partnerima u području izvršavanja zakonodavstva.

4.18.

Odbor sa zadovoljstvom očekuje rezultate prvog godišnjeg preispitivanja rada europsko-američkog sustava zaštite privatnosti ove godine te se nada da će to biti temeljit i participativan postupak. EGSO se nada da će EU i SAD i dalje predano surađivati na uspostavi više razine zaštite osobnih podataka.