EUROPSKA KOMISIJA

Bruxelles, 25.7.2024.

COM(2024) 357 final

KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU

Drugo izvješće o primjeni Opće uredbe o zaštiti podataka

1.Uvod

Ovo je drugo izvješće Komisije o primjeni Opće uredbe o zaštiti podataka (OUZP), doneseno u skladu s njezinim člankom 97. Prvo izvješće doneseno je 24. lipnja 2020. („izvješće iz 2020.”) ( 1 ).

OUZP je jedan od glavnih elemenata EU-ova pristupa digitalnoj transformaciji. Temeljna načela te uredbe, odnosno poštena, sigurna i transparentna obrada osobnih podataka koja pojedincima jamči kontrolu, dio su svih politika EU-a koje uključuju obradu osobnih podataka.

Od izvješća iz 2020. EU je pokrenuo razne inicijative koje nastoje staviti pojedince u središte digitalne tranzicije. Svaka od njih ima poseban cilj, kao što su stvaranje sigurnijeg okruženja na internetu, pravednije i konkurentnije digitalno gospodarstvo, olakšavanje revolucionarnih istraživanja, razvoj sigurne i pouzdane umjetne inteligencije i stvaranje istinskog jedinstvenog tržišta podataka. Kad god je riječ o osobnim podacima, te se inicijative temelje na OUZP-u. OUZP je polazište i za sektorske inicijative koje utječu na obradu osobnih podataka, npr. u području financijskih usluga, zdravstva, zapošljavanja, mobilnosti i izvršavanja zakonodavstva.

Dionici, tijela za zaštitu podataka i države članice općenito se slažu da, unatoč određenim poteškoćama, Opća uredba o zaštiti podataka pojedincima i poduzećima donosi važne koristi. Zahvaljujući tehnološki neutralnom pristupu koji se temelji na riziku zaštita ispitanika je pouzdana, a obveze za voditelje obrade i izvršitelje obrade podataka razmjerne. S druge strane, u brojnim područjima potreban je daljnji napredak. Konkretno, sljedećih bi godina dionici kao što su mala i srednja poduzeća (MSP-ovi), mali subjekti te istraživači i istraživačke organizacije trebali poraditi na usklađenosti, iz tijela za zaštitu podataka trebale bi stizati jasnije i praktičnije smjernice, a tumačenje i primjena OUZP-a na razini EU-a trebali bi se više ujednačiti.

U skladu s člankom 97. OUZP-a Komisija bi trebala osobito ispitati primjenu i funkcioniranje međunarodnog prijenosa osobnih podataka trećim zemljama (tj. zemljama izvan EU-a/EGP-a) (poglavlje V. OUZP-a), kao i mehanizme suradnje i konzistentnosti među nacionalnim tijelima za zaštitu podataka (poglavlje VII. OUZP-a). No u ovom se izvješću, kao i u izvješću iz 2020., iznosi opća ocjena primjene Opće uredbe o zaštiti podataka koja nadilazi ta dva elementa: u njemu se navode i brojne mjere potrebne za djelotvornu primjenu OUZP-a u glavnim prioritetnim područjima.

U ovom izvješću uzimaju se u obzir: i. stajalište i zaključci Vijeća doneseni u prosincu 2023. ( 2 ); ii. informacije dobivene od dionika, posebno preko višedioničke skupine za OUZP ( 3 ) i u okviru javnog poziva na očitovanje ( 4 ); te iii. informacije tijela za zaštitu podataka (iz doprinosa Europskog odbora za zaštitu podataka ( 5 ) (Odbor)) i iz izvješća koje je pripremila Agencija za temeljna prava (FRA) nakon razgovora s pojedinačnim tijelima za zaštitu podataka ( 6 ) („izvješće FRA-e”). Izvješće se nadovezuje i na Komisijino kontinuirano praćenje primjene OUZP-a, uključujući bilateralne dijaloge s državama članicama o usklađenosti nacionalnog zakonodavstva, aktivan doprinos radu Odbora i bliske kontakte s velikim brojem dionika o praktičnoj primjeni Uredbe.

2.Provedba Opće uredbe o zaštiti podataka i funkcioniranje mehanizama suradnje i konzistentnosti 

Cilj je sustava jedinstvenog mehanizma OUZP-a da neovisna tijela za zaštitu podataka usklađeno tumače i primjenjuju tu uredbu. Za to je važno da tijela za zaštitu podataka surađuju u slučajevima prekogranične obrade koji znatno utječu na ispitanike u više država članica. Sporove među tijelima rješava Odbor u okviru mehanizma konzistentnosti iz OUZP-a.

2.1.Učinkovitije rješavanje prekograničnih predmeta: prijedlog postupovnih pravila

U izvješću iz 2020. istaknuta je potreba za učinkovitijim i usklađenijim rješavanjem prekograničnih predmeta na razini EU-a, posebno s obzirom na velike razlike u nacionalnim administrativnim postupcima i tumačenjima pojmova u mehanizmu suradnje iz OUZP-a. Stoga je Komisija u srpnju 2023. donijela Prijedlog uredbe o postupovnim pravilima ( 7 ), koji se nadovezuje na popis pitanja koji je Odbor predao Komisiji u listopadu 2022. ( 8 ) i informacije dobivene od dionika( 9 ) i država članica ( 10 ) . Prijedlog dopunjuje OUZP tako što se u njemu detaljno razrađuju pravila o prekograničnim pritužbama, sudjelovanju podnositelja pritužbe, pravima stranaka pod istragom (voditelja obrade i izvršitelja obrade) na pravičan postupak te suradnji tijela za zaštitu podataka. Usklađivanje tih postupovnih aspekata doprinijet će pravovremenom dovršavanju istraga i bržem pružanju pravnog lijeka pojedincima. Europski parlament i Vijeće trenutačno pregovaraju o tom prijedlogu.

2.2.Intenzivnija suradnja među tijelima za zaštitu podataka i primjena mehanizma konzistentnosti

Broj prekograničnih predmeta posljednjih se godina znatno povećao. Tijela za zaštitu podataka bila su spremnija koristiti alate za suradnju predviđene OUZP-om. Sva tijela za zaštitu podataka koristila su uzajamnu pomoć ( 11 ) i „neslužbene” zahtjeve kako bi si međusobno dobrovoljno pomagala. Tijela za zaštitu podataka daju prednost neslužbenim zahtjevima za koje nije predviđen rok ni stroga dužnost odgovora. Iako je Odbor 2021. donio smjernice o zajedničkim operacijama ( 12 ), tijela još uvijek nisu naveliko koristila tu mogućnost ( 13 ), a kao glavne razloge za ograničeno korištenje navode razlike u nacionalnim postupcima i nejasan postupak.

Prema OUZP-u predmetna tijela za zaštitu podataka imaju mogućnost da podnesu relevantan i obrazložen prigovora ako se ne slažu s nacrtom odluke vodećeg tijela za zaštitu podataka u prekograničnom slučaju. Ako tijela za zaštitu podataka ne mogu postići konsenzus o relevantnom i obrazloženom prigovoru, OUZP-om je propisano da Odbor rješava sporove ( 14 ). Najčešće istaknute teme u relevantnim i obrazloženim prigovorima bile su: i. pravna osnova obrade; ii. obveze informiranja i transparentnosti; iii. obavješćivanje o povredama podataka; iv. prava ispitanika; v. odstupanja za međunarodne prijenose; vi. primjena korektivnih mjera; i vii. iznos upravne novčane kazne.

Sustav provedbe OUZP-a temelji se na pretpostavci lojalne i djelotvorne suradnje među tijelima za zaštitu podataka. Iako postupak rješavanja sporova ima važnu ulogu u toj provedbenoj arhitekturi, trebao bi se primjenjivati u duhu u kojem je osmišljen. Drugim riječima, trebalo bi voditi računa o podjeli nadležnosti među tijelima za zaštitu podataka, poštovanju prava na pravičan postupak i interesu ispitanika da se pravodobno riješi predmet. Svaki postupak rješavanja sporova iziskuje znatne resurse vodećeg tijela, predmetnih tijela i tajništva Odbora i produljuje omogućivanje pravnog lijeka ispitanicima.

Tijela za zaštitu podataka sve više koriste mehanizam konzistentnosti iz OUZP-a. Taj mehanizam čine tri dijela: i. mišljenje Odbora; ii. rješavanje sporova pri Odboru; te iii. hitni postupak ( 21 ).

Odbor se u svojim mišljenjima sve više bavi važnim pitanjima opće primjene ( 22 ). Prije donošenja tih mišljenja trebao bi se pobrinuti za pravodobno i smisleno savjetovanje. Predmeti upućeni na rješavanje sporova odnosili su se na pitanja kao što je pravna osnova za obradu podataka za bihevioralno oglašavanje na društvenim mrežama i obradu podataka o djeci na internetu. Većina naknadnih obvezujućih odluka osporavana je pred Općim sudom.

Transparentnost u postupku donošenja odluka Odbora neophodna je za poštovanje prava na dobru upravu u skladu s Poveljom EU-a o temeljnim pravima. Hitni postupak iz OUZP-a tijelima za zaštitu podataka omogućuje odstupanje od mehanizma suradnje i konzistentnosti kako bi prema potrebi poduzela hitne mjere za zaštitu prava i sloboda ispitanika. Instrumenti kao što je hitni postupak odstupaju od uobičajenog postupka suradnje u skladu s OUZP-om i predviđeni su samo za izuzetne okolnosti odnosno ako se uobičajenim postupkom suradnje ne mogu zaštititi prava i slobode ispitanika.

2.3.Stroža provedba

Posljednjih godina znatno su se pojačale provedbene aktivnosti tijela za zaštitu podataka, uključujući izricanje popriličnih novčanih kazni u važnim predmetima protiv velikih tehnoloških multinacionalnih poduzeća. Novčane kazne izrečene su, primjerice, za: i. kršenje zakonitosti i sigurnosti obrade; ii. kršenje obrade posebnih kategorija osobnih podataka; te iii. nepoštovanje prava pojedinaca ( 25 ). Zahvaljujući tome privatna poduzeća „ozbiljno uzimaju u obzir zaštitu podataka” ( 26 ), a u organizacijama se promiče kultura usklađenosti. Tijela za zaštitu podataka donose odluke kojima se utvrđuju povrede OUZP-a u predmetima koji se pokreću na temelju pritužbi i na vlastitu inicijativu. Iako nisu dostupni u svim državama članicama, mnoga tijela za zaštitu podataka uspješno su primijenila postupke „sporazumnog rješavanja” kako bi brzo riješila predmete koji se temelje na pritužbama na zadovoljstvo podnositelja pritužbe. U prijedlogu postupovnih pravila uvažava se mogućnost sporazumnog rješavanja pritužbi ( 27 ).

Tijela za zaštitu podataka uvelike su iskoristila svoje korektivne ovlasti, iako se među njima broj izrečenih korektivnih mjera znatno razlikuje. Osim novčanih kazni, najčešće korištene korektivne mjere bile su upozorenja, opomene i nalozi za usklađivanje s OUZP-om. Voditelji obrade i izvršitelji obrade često na nacionalnim sudovima osporavaju odluke kojima se utvrđuju povrede OUZP-a, najčešće iz postupovnih razloga ( 28 ).

Iako većina tijela za zaštitu podataka smatra da su njihovi istražni alati primjereni, neka traže dodatne mogućnosti na nacionalnoj razini, kao što su odgovarajuće sankcije ako voditelji obrade ne surađuju ili ne pružaju potrebne informacije ( 32 ). Tijela za zaštitu podataka smatraju da su nedovoljni resursi i premalo tehničkog i pravnog stručnog znanja glavni čimbenik koji utječe na njihove provedbene kapacitete ( 33 ).

2.4.Odbor

Odbor čine voditelji po jednog tijela za zaštitu podataka iz svake države članice i Europski nadzornik za zaštitu podataka, a Komisija sudjeluje bez prava glasa. Odbor, uz potporu tajništva, ima zadaću osigurati dosljednu primjenu OUZP-a ( 34 ). Većina tijela za zaštitu podataka smatra da Odbor ima pozitivnu ulogu u jačanju međusobne suradnje ( 35 ). Mnoga tijela za zaštitu podataka izdvajaju znatne resurse za aktivnosti Odbora, iako manja tijela navode da zbog svoje veličine u njima ne mogu u potpunosti sudjelovati ( 36 ). Neka tijela smatraju da bi trebalo poboljšati učinkovitost postupaka Odbora, i to tako da se smanji broj sastanaka i ne posvećuje toliko pozornosti manje važnim pitanjima ( 37 ). Ovisno o ishodu pregovora o prijedlogu postupovnih pravila za OUZP, čiji je cilj smanjiti broj predmeta koji se podnose Odboru radi rješavanja sporova, možda će biti potrebno razmisliti o tome jesu li Odboru potrebni dodatni resursi.

Do studenog 2023. Odbor je donio 35 smjernica. Iako su ih dionici i tijela za zaštitu podataka smatrali korisnima, i jedni i drugi smatraju da bi smjernice trebale biti kvalitetnije i da bi ih trebalo donositi brže ( 38 ). Dionici napominju da su često previše teoretske, preduge i da ne prate pristup OUZP-a koji se temelji na riziku ( 39 ). Tijela za zaštitu podataka i Odbor trebali bi davati sažete i praktične smjernice, s odgovorima na konkretne probleme, u kojima će se paziti na ravnotežu između zaštite podataka i drugih temeljnih prava. Osim toga, smjernice bi trebali moći razumjeti i pojedinci koji nisu pravne struke, na primjer u MSP-ovima i volonterskim organizacijama ( 40 ). Stoga bi ih trebalo pripremati transparentnije, a savjetovanja provoditi u ranoj fazi kako bi se bolje razumjela tržišna dinamika, poslovna praksa i način primjene smjernica u praksi ( 41 ). Pozdravlja se to što je Odbor istaknuo da mu je u okviru strategije za razdoblje 2024. – 2027. cilj pružati praktične smjernice koje će biti pristupačne relevantnoj publici ( 42 ).

Dionici ističu da su potrebne dodatne smjernice, posebno o anonimizaciji i pseudonimizaciji ( 43 ), legitimnom interesu i znanstvenim istraživanjima ( 44 ). U izvješću iz 2020. Komisija je pozvala Odbor da donese smjernice o znanstvenim istraživanjima, ali on to još nije učinio. S obzirom na društvenu važnost takvih istraživanja, posebno radi praćenja bolesti i razvoja liječenja te poticanja inovacija, tijela za zaštitu podataka moraju se angažirati kako bi što prije dodatno pojasnila te aspekte ( 45 ). Javnim tijelima smjernice bi bile korisne i za rješavanje posebnih problema s kojima se suočavaju ( 46 ).

2.5.Tijela za zaštitu podataka

2.5.1.Neovisnost i resursi

Neovisnost tijela za zaštitu podataka sadržana je u Povelji EU-a o temeljnim pravima i Ugovoru o funkcioniranju EU-a. U OUZP-u se utvrđuju zahtjevi za „potpunu neovisnost” tijela za zaštitu podataka ( 47 ). U izvješću FRA-e konstatirano je da većina tijela za zaštitu podataka djeluje neovisno o vladi, parlamentu ili bilo kojem drugom javnom tijelu ( 48 ).

Kako bi mogla učinkovito i neovisno obavljati zadaće koje imaju na temelju OUZP-a, tijelima za zaštitu podataka potrebni su odgovarajući ljudski, tehnički i financijski resursi. Komisija je u izvješću iz 2020. napomenula da resursi tijela za zaštitu podataka još uvijek nisu zadovoljavajući i na to pitanje kontinuirano upozoravala države članice. Otad se situacija poboljšala.

Iako ti statistički podaci pokazuju opći uzlazni trend u osiguravanju resursa za tijela za zaštitu podataka, sama tijela smatraju da i dalje nemaju dovoljno ljudskih resursa ( 50 ). Naglašavaju potrebu za vrlo specijaliziranim tehničkim znanjem, posebno o novim tehnologijama i tehnologijama u nastajanju ( 51 ), čiji nedostatak utječe na količinu i kvalitetu njihova rada, kao i poteškoće u tržišnom natjecanju za ljudske resurse s privatnim sektorom. Tijela za zaštitu podataka navode nedovoljno pravno znanje i nedostatak jezičnih vještina kao čimbenike koji utječu na njihovu uspješnost. Niske plaće, nemogućnost samostalnog odabira osoblja i veliko radno opterećenje istaknuti su kao najvažniji čimbenici koji utječu na sposobnost nadležnih tijela da zapošljavaju i zadrže osoblje ( 52 ). Tijela za zaštitu podataka ističu i potrebu za financijskim sredstvima kako bi modernizirala i digitalizirala svoje postupke te nabavila tehničku opremu ( 53 ). Sva tijela za zaštitu podataka obavljaju i druge zadaće osim onih iz OUZP-a ( 54 ), npr. kao nadzorna tijela za Direktivu o zaštiti podataka pri izvršavanju zakonodavstva i Direktivu o e-privatnosti, a mnoga izražavaju zabrinutost zbog dodatnih odgovornosti u okviru novog digitalnog zakonodavstva ( 55 ).

2.5.2.Poteškoće u rješavanju velikog broja pritužbi

Nekoliko tijela za zaštitu podataka navodi da se previše njihovih resursa upotrebljava za rješavanje velikog broja pritužbi, od kojih većinu smatra zanemarivima i neutemeljenima, no moraju se time baviti jer je rješavanje svake pritužbe obveza u skladu s OUZP-om koja podliježe sudskom preispitivanju ( 56 ). To znači da tijela za zaštitu podataka ne mogu dodijeliti dovoljno sredstava drugim aktivnostima, kao što su istrage na vlastitu inicijativu, kampanje za informiranje građana i suradnja s voditeljima obrade ( 57 ). Kao javna tijela, tijela za zaštitu podataka imaju diskrecijsko pravo raspodijeliti svoje resurse prema vlastitom nahođenju kako bi ispunila sve svoje zadaće (navedene u članku 57. stavku 1. OUZP-a) u javnom interesu. Mnoga tijela za zaštitu podataka donijela su strategije za učinkovitije rješavanje pritužbi, kao što su automatizacija ( 58 ), primjena postupaka sporazumnog rješavanja sporova ( 59 ) i grupiranje pritužbi povezanih sa sličnim pitanjima ( 60 ).

2.5.3.Tumačenje OUZP-a od strane nacionalnih tijela za zaštitu podataka

Glavni cilj OUZP-a bio je uklanjanje fragmentiranog pristupa zaštiti podataka koji je postojao u okviru prethodne Direktive o zaštiti podataka (Direktiva 95/46/EZ) ( 61 ). Međutim, tijela za zaštitu podataka i dalje različito tumače ključne pojmove zaštite podataka ( 62 ). Dionici to smatraju glavnom preprekom dosljednoj primjeni OUZP-a u EU-u. Različita tumačenja stvaraju pravnu nesigurnost i povećavaju troškove za poduzeća (npr. jer se za više država članica zahtijeva različita dokumentacija), ometaju slobodno kretanje osobnih podataka u EU-u, kompliciraju prekogranično poslovanje i otežavaju istraživanja i inovacije u području gorućih društvenih pitanja.

Dionici su konkretno istaknuli sljedeće: i. činjenicu da tijela za zaštitu podataka u tri države članice imaju različito stajalište o odgovarajućoj pravnoj osnovi za obradu osobnih podataka pri provedbi kliničkog ispitivanja; ii. često postoje različita stajališta o tome je li subjekt voditelj obrade ili izvršitelj obrade; i iii. u nekim slučajevima tijela za zaštitu podataka ne slijede smjernice Odbora ili objavljuju smjernice na nacionalnoj razini koje su u suprotnosti s onima koje je dao Odbor ( 63 ). Ti se problemi pogoršavaju kad više tijela za zaštitu podataka unutar jedne države članice primjenjuje proturječna tumačenja.

Osim toga, neki dionici smatraju da tumačenja određenih tijela za zaštitu podataka i Odbora odstupaju od pristupa OUZP-a koji se temelji na riziku, što negativno utječe na razvoj digitalnog gospodarstva ( 64 ) te slobodu i pluralizam medija. Kao problematična područja navode: i. tumačenje anonimizacije; ii. pravnu osnovu legitimnog interesa i privole ( 65 ); i iii. iznimke od zabrane automatiziranog pojedinačnog donošenja odluka ( 66 ). Trebalo bi podsjetiti da su tijela za zaštitu podataka i Odbor zaduženi za zaštitu pojedinaca u vezi s obradom njihovih osobnih podataka i za slobodni protok osobnih podataka unutar EU-a. Kako je prepoznato u OUZP-u ( 67 ), pravo na zaštitu osobnih podataka mora se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.

2.5.4.Suradnja s voditeljima obrade i izvršiteljima obrade

Dionici ističu da je korisno imati priliku sudjelovati u konstruktivnom dijalogu s tijelima za zaštitu podataka kako bi od samog početka bili sigurni da poštuju OUZP, posebno u vezi s tehnologijama u nastajanju. Napominju i da neka tijela za zaštitu podataka aktivno surađuju s voditeljima obrade, dok druga sporo reagiraju, daju nejasne odgovore ili uopće ne odgovaraju ( 68 ).

3.Provedba OUZP-a u državama članicama

3.1.Rascjepkanost primjene na nacionalnoj razini

Iako se kao uredba OUZP izravno primjenjuje, njome se od država članica zahtijeva da donose propise u određenim područjima i pruža im se mogućnost da dodatno preciziraju njezinu primjenu u ograničenom broju područja ( 69 ). Kad donose propise na nacionalnoj razini, države članice moraju to učiniti pod uvjetima i u okviru ograničenja utvrđenih OUZP-om. Kao i 2020., dionici izvješćuju o poteškoćama koje proizlaze iz rascjepkanosti nacionalnih pravila u kojima države članice mogu precizirati odredbe OUZP-a, među kojima su posebno:

·najniža dob za privolu djeteta u pogledu nuđenja usluga informacijskog društva tom djetetu ( 70 ),

·mogućnost da države članice uvedu dodatne uvjete u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje( 71 ),

·obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ( 72 ), što stvara poteškoće u određenim reguliranim sektorima.

Međutim, važno je napomenuti da mnogi dionici navode da problemi rascjepkanosti uglavnom proizlaze iz toga što tijela za zaštitu podataka različito tumače OUZP, a ne iz primjene neobveznih klauzula o preciziranju u državama članicama.

Države članice smatraju da bi ograničen stupanj rascjepkanosti mogao biti prihvatljiv i da su klauzule o preciziranju predviđene OUZP-om i dalje korisne, posebno za obradu koju provode javna tijela ( 73 ). OUZP-om se od država članica zahtijeva da se savjetuju s nacionalnim tijelom za zaštitu podataka u pripremi zakonodavstva koje se odnosi na obradu osobnih podataka ( 74 ). U izvješću FRA-e utvrđeno je da su neke vlade postavile vrlo kratke rokove za ta tijela, a u nekim se slučajevima s njima uopće ne savjetuju ( 75 ).

3.2.Praćenje koje provodi Komisija

Komisija kontinuirano prati provedbu OUZP-a. Pokrenula je postupke zbog povrede protiv država članica u vezi s pitanjima kao što su neovisnost tijela za zaštitu podataka (uključujući neovisnost o vanjskim utjecajima i dostupnost pravnog lijeka u slučaju odbacivanja) ( 76 ) i pravo na djelotvoran pravni lijek za ispitanike ako tijelo za zaštitu podataka ne riješi pritužbu ( 77 ). U okviru praćenja Komisija zahtijeva i da tijela za zaštitu podataka strogo povjerljivo pružaju redovite informacije ( 78 ) o aktualnim prekograničnim slučajevima velikih razmjera, posebno onima koji se odnose na velika tehnološka multinacionalna poduzeća.

Komisija redovito komunicira s državama članicama o provedbi OUZP-a. Kako je navedeno u izvješću iz 2020., Komisija je nastavila koristiti stručnu skupinu država članica za OUZP ( 79 ) kako bi olakšala rasprave i razmjenu iskustava o djelotvornoj provedbi OUZP-a. Stručna skupina održala je posebne rasprave o: i. nadzoru sudova kad obavljaju svoju sudbenu funkciju (članak 55. OUZP-a, članak 8. Povelje); ii. usklađivanju prava na zaštitu podataka s pravom na slobodu izražavanja (članak 85. OUZP-a); i iii. pravu na djelotvoran pravni lijek protiv nadzornog tijela (članak 78. OUZP-a). Nakon tih rasprava Komisija je pripremila pregled različitih pristupa provedbi tih odredaba u državama članicama ( 80 ). Komisija je preko te skupine razmijenila i mišljenja s državama članicama pri pripremi prijedloga o postupovnim pravilima.

Usklađenost nacionalnog zakonodavstva i prakse s pravilima o zaštiti podataka utvrđenima u zakonodavstvu EU-a o šengenskom području ocjenjuje se i u okviru šengenskih evaluacija koje zajednički provode države članice i Komisija. Godišnje se provodi najmanje pet evaluacija na licu mjesta u području zaštite podataka, koje su trenutačno usmjerene na opsežne informacijske sustave i Šengenski informacijski sustav, vizni informacijski sustav te na nadzornu ulogu nacionalnih tijela za zaštitu podataka nad tim sustavima.

Komisija aktivno doprinosi velikom broju predmeta pred Sudom (s oko 30 prethodnih odluka godišnje posljednjih godina), koji su vrlo važni za dosljedno tumačenje ključnih pojmova iz OUZP-a. Zahvaljujući sve većoj sudskoj praksi Suda pojašnjeno je više aspekata, kao što su definicija osobnih podataka ( 81 ), posebne kategorije osobnih podataka ( 82 ), voditelj obrade ( 83 ), privola ( 84 ), legitimni interes ( 85 ), pravo na pristup ( 86 ), pravo na brisanje ( 87 ), pravo na naknadu štete ( 88 ), automatizirano pojedinačno donošenje odluka ( 89 ), upravne novčane kazne ( 90 ), službenici za zaštitu podataka ( 91 ), objava osobnih podataka u registrima ( 92 ) i primjena OUZP-a na aktivnosti parlamenata ( 93 ).

4.Prava ispitanika

Sve više pojedinaca zna svoja prava na temelju OUZP-a i aktivno ih ostvaruju ( 94 ). Tijela za zaštitu podataka izdvajaju znatne resurse za informiranje javnosti o pravima i obvezama u području zaštite podataka, primjerice preko društvenih mreža i televizijskih kampanja, telefonskih linija za pomoć, biltena i prezentacija u obrazovnim ustanovama ( 95 ). Mnoge od tih inicijativa primile su financijska sredstva EU-a ( 96 ). Agencija za temeljna prava napominje da šira javnost, iako je sad o njoj bolje informirana, zaštitu podataka još uvijek ne razumije dovoljno dobro, što je vidljivo iz velikog broja zanemarivih ili neutemeljenih pritužbi ( 97 ). Kako bi ispitanici lakše ostvarivali svoja prava, razvijen je niz korisnicima prilagođenih digitalnih alata ( 98 ). Zakonodavni akti, posebno Akt o upravljanju podacima ( 99 ), trebali bi stvoriti nove načine na koje će ispitanici moći ostvarivati svoja prava. Poduzeća napominju da se pravo na brisanje koristi sve više, a pravo na ispravak i pravo na prigovor rijetko.

4.1.Pravo na pristup

Voditelji obrade izvješćuju da se ispitanici najčešće pozivaju na pravo na pristup (članak 15. OUZP-a). Iako je Odbor 2022. donio smjernice o tom pravu, voditelji obrade i dalje izvješćuju o poteškoćama, primjerice pri tumačenju pojma „neutemeljenih ili pretjeranih zahtjeva” ( 100 ), odgovaranju na velik broj zahtjeva i pri obradi zahtjeva podnesenih u svrhe koje nisu povezane sa zaštitom podataka, na primjer radi prikupljanja dokaza za sudske postupke ( 101 ). Organizacije civilnog društva napominju da odgovori na zahtjeve za pristup često kasne ili su nepotpuni, a primljeni podaci nisu uvijek u čitljivom formatu ( 102 ). Javna tijela prijavila su i da je teško postići ravnotežu između prava ispitanika na pristup i pravila o javnom pristupu dokumentima ( 103 ). Zato im je drago da je Odbor u veljači 2024. u sklopu okvira za koordiniranu provedbu pokrenuo zajedničku mjeru o pravu na pristup ( 104 ).

4.2.Pravo na prenosivost

U izvješću iz 2020. Komisija se obvezala da će istražiti praktične načine kako potaknuti pojedince da više iskorištavaju pravo na prenosivost (članak 20. OUZP-a), u skladu s podatkovnom strategijom. Komisija je otad donijela niz inicijativa kojima se dopunjuje to pravo. Zahvaljujući tim inicijativama jednostavnije je promijeniti pružatelja usluga pa pojedinci imaju veći izbor, podupire se tržišno natjecanje i inovacije i pojedincima omogućuje da iskoriste prednosti uporabe svojih podataka. Aktom o podacima korisnicima pametnih uređaja proširuje se pravo na prenosivost podataka generiranih putem takvih uređaja te se propisuje da dizajn proizvoda ili backend poslužitelja proizvođača ili vlasnika podataka tehnički omogućuje takvu prenosivost. Aktom o digitalnim tržištima od pružatelja osnovnih usluga platforme za koje je utvrđeno da su „nadzornici pristupa” zahtijeva se da osiguraju djelotvornu prenosivost podataka korisnika, uključujući kontinuiran pristup takvim podacima u stvarnom vremenu. Veća prava na prenosivost u određenim područjima predviđena su u nekoliko drugih inicijativa Komisije o kojima se trenutačno pregovara ili o kojima je postignut politički dogovor, kao što su Direktiva o radu putem platformi ( 105 ), europski prostor za zdravstvene podatke ( 106 ) i okvir za pristup financijskim podacima ( 107 ).

4.3.Pravo na podnošenje pritužbe

Kao što je vidljivo iz velikog broja pritužbi, javnost je dobro upoznata s pravom na podnošenje pritužbe tijelu za zaštitu podataka. Organizacije civilnog društva ističu neopravdane razlike u nacionalnim praksama rješavanja pritužbi, a upravo na to odnosi se Komisijin prijedlog o postupovnim pravilima. Nekoliko država članica iskoristilo je tu mogućnost iz OUZP-a i neprofitnom tijelu dalo pravo na poduzimanje mjera neovisno o mandatu ispitanika (članak 80. stavak 2.). Provedbom Direktive o predstavničkim tužbama ( 108 ), donesene 2020., postići će se veća usklađenost u području pritužbi jer će pojedincima biti lakše pokretati kolektivne tužbe zbog povreda OUZP-a. Nacionalne mjere za provedbu te direktive počele su se primjenjivati u lipnju 2023.

4.4.Zaštita osobnih podataka djece

Kad se obrađuju osobni podaci djece, potrebno ih je posebno dobro zaštititi ( 109 ). OUZP je dio sveobuhvatnog pravnog okvira za zaštitu djece u realnom i virtualnom svijetu ( 110 ). Budući da sve više djece koristi internet, posljednjih je godina na nacionalnoj i europskoj razini poduzet niz mjera za bolju zaštitu djece u virtualnom svijetu. Tijela za zaštitu podataka izrekla su znatne novčane kazne poduzećima u sektoru društvenih medija zbog povreda OUZP-a pri obradi podataka djece. Surađuju i s drugim tijelima kako bi ukazala na nužnost bolje zaštite djece u području oglašavanja. Komisija je u izvješću iz 2020. pozvala Odbor da donese smjernice o obradi podataka djece, na čemu se trenutačno radi ( 111 ). Posebne odredbe Akta o digitalnim uslugama jamče visoku razinu privatnosti, sigurnosti i zaštite djece koja koriste internetske platforme.

Neki dionici istaknuli su da je prava ispitanika teško ostvariti kad su ispitanici djeca. Konkretno, navode da djeca ne razumiju u potpunosti svoja prava, nemaju razvijenu digitalnu pismenost i mogu biti izložena neprimjerenom utjecaju ( 112 ). Komisija je financirala nekoliko inicijativa na nacionalnoj razini za zaštitu podataka djece i za upoznavanje djece s idejom i važnosti zaštite podataka ( 113 ). U okviru strategije „Bolji internet za djecu” (BIK+) Komisija osigurava resurse za educiranje djece o njihovim digitalnim pravima, uključujući zaštitu podataka (npr. digitalna privola) ( 114 ). Alati za provjeru dobi koji bi istovremeno štitili privatnost djece sve su potrebniji. Komisija je početkom 2024. osnovala radnu skupinu za provjeru dobi s državama članicama, Odborom i Europskom skupinom regulatora za audiovizualne medijske usluge kako bi potaknula rasprave i razvoj pristupa provjeri dobi na razini EU-a. Taj će se rad nastaviti u okviru Odbora za Akt o digitalnim uslugama u sklopu Radne skupine za zaštitu maloljetnika. U kontekstu Uredbe EU-a o digitalnom identitetu ( 115 ), koja je stupila na snagu u svibnju 2024., Komisija radi na tome da se europska lisnica za digitalni identitet 2026. ponudi svim građanima i stanovnicima EU-a, među ostalim za provjeru dobi. U međuvremenu, prije nego što ekosustav lisnice postane potpuno operativan, izradit će se kratkoročno rješenje za provjeru dobi koje će postati dostupno u cijelom EU-u.

5.Prilike i izazovi za organizacije, posebno MSP-ove

Zahvaljujući OUZP-u stvoreni su jednaki uvjeti za poduzeća koja posluju na unutarnjem tržištu, a tehnološki neutralan pristup koji pogoduje inovacijama omogućuje im da smanje birokraciju i iskoriste veće povjerenje potrošača ( 116 ). Mnoga poduzeća razvila su internu kulturu zaštite podataka i smatraju privatnost i zaštitu podataka važnim parametrima tržišnog natjecanja. Poduzeća prihvaćaju pristup iz OUZP-a koji se temelji na riziku kao vodeće načelo koje omogućuje fleksibilnost i prilagodljivost njihovih obveza ( 117 ).

5.1.Paketi instrumenata za poduzeća

OUZP nudi paket instrumenata koji organizacijama omogućuje fleksibilno upravljanje i dokazivanje njihove usklađenosti, uključujući kodekse ponašanja, mehanizme certificiranja i standardne ugovorne klauzule. Kako je najavljeno u izvješću iz 2020., Komisija je 2021. donijela standardne ugovorne klauzule o odnosu voditelja obrade i izvršitelja obrade ( 118 ). Te standardne ugovorne klauzule služe kao sredstvo za dobrovoljno usklađivanje koje je spremno i jednostavno za korištenje, a posebno su korisne za MSP-ove ili organizacije koji možda nemaju resurse za pregovaranje o pojedinačnim ugovorima sa svojim komercijalnim partnerima. Povratne informacije o primjeni standardnih ugovornih klauzula koje dolaze od poduzeća razlikuju se, u smislu da ih neka poduzeća (uglavnom MSP-ovi) koriste u cijelosti ili djelomično, dok ih druga (uglavnom veća poduzeća) obično ne koriste jer se radije odlučuju za vlastite klauzule.

Poduzeća naglašavaju da kodeksi ponašanja imaju velik potencijal kao sektorsko i troškovno učinkovito sredstvo za usklađivanje ( 119 ). Međutim, izrada kodeksa ponašanja bila je ograničena ( 120 ). Prema dosad dostupnim informacijama, na razini EU-a odobrena su samo dva kodeksa (oba u sektoru računalstva u oblaku), a na nacionalnoj razini šest ( 121 ). Dionici navode opterećujuće zahtjeve (uključujući potrebu za osnivanjem akreditiranog tijela za praćenje), nedovoljnu uključenost tijela za zaštitu podataka i dugotrajan postupak odobravanja kao glavne čimbenike koji ograničavaju primjenu kodeksa ponašanja ( 122 ).

Postupak bi trebao biti transparentniji, a rokovi za odobravanje jasniji. Tijela za zaštitu podataka i, u slučaju kodeksa na razini EU-a, Odbor trebali bi aktivnije poticati izradu kodeksa ponašanja u okviru suradnje s udrugama koje kodekse razvijaju. Tako će se smanjiti razlike u tumačenju i ubrzati postupci odobravanja. Dionici izražavaju žaljenje zbog velikih kašnjenja u donošenju kodeksa ponašanja do kojih je došlo zbog pitanja o kojima se usporedno raspravlja u okviru rada na smjernicama. Slično tome, poduzeća navode da certificiranje nije u širokoj upotrebi jer je postupak razvoja spor i složen. Kao i kod kodeksa ponašanja, tijela za zaštitu podataka trebala bi odrediti jasnije rokove za preispitivanje i odobravanje certifikata.

Odbor se u svojoj strategiji za razdoblje 2024. – 2027. obvezao da će nastaviti podupirati mjere za usklađivanje kao što su certificiranje i kodeksi ponašanja, među ostalim suradnjom s glavnim skupinama dionika kako bi se objasnilo korištenje tih alata ( 123 ).

5.2.Posebni izazovi za MSP-ove i male subjekte

U izvješću iz 2020. Komisija je pozvala na intenzivniju potporu MSP-ovima u njihovu radu na usklađivanju s OUZP-om. Posljednjih godina tijela za zaštitu podataka i Odbor nastavili su razvijati alate za usklađivanje za MSP-ove, djelomično uz potporu Komisije ( 124 ). Odbor je u travnju 2023. pokrenuo vodič za zaštitu podataka za mala poduzeća ( 125 ), koji MSP-ovima pruža praktične informacije u pristupačnom i lako razumljivom obliku.

MSP-ovi u mnogim državama članicama ističu prednosti prilagođene potpore svojih lokalnih tijela za zaštitu podataka. Međutim, budući da tijela za zaštitu podataka imaju različite pristupe informiranju i smjernicama, MSP-ovi u određenim državama članicama usklađivanje smatraju složenim i strahuju od izvršenja ( 126 ). Tijela za zaštitu podataka trebala bi dodatno poraditi na tim aspektima i proaktivno surađivati s MSP-ovima kako bi otklonila njihove bezrazložne dvojbe u vezi s usklađenosti. Tijela za zaštitu podataka trebala bi se usredotočiti na pružanje prilagođene potpore i praktičnih alata, kao što su predlošci (npr. za provedbu procjena učinka na zaštitu podataka), telefonske linije za pomoć, ogledni primjeri, kontrolni popisi i smjernice o određenim postupcima obrade (npr. izdavanje računa ili bilteni) te tehničke i organizacijske mjere. Budući da većina MSP-ova nema interno stručno znanje o zaštiti podataka, smjernice za MSP-ove trebale bi biti lako razumljive onima koji nisu pravne struke ( 127 ).

U skladu s pristupom iz OUZP-a koji se temelji na riziku za MSP-ove koji se bave obradom podataka niskog rizika opterećenje povezano s usklađivanjem nije znatno. Iako se odstupanje za vođenje evidencije aktivnosti obrade ( 128 ) primjenjuje u ograničenim okolnostima ( 129 ), MSP-ovi koji se bave obradom niskog rizika mogu voditi pojednostavnjenu evidenciju na temelju predložaka koje su dostavila tijela za zaštitu podataka i tako ispuniti obvezu usklađivanja. Nadalje, takvu bi evidenciju trebalo smatrati korisnim alatom koji MSP-ova omogućuje da analiziraju svoje aktivnosti obrade.

5.3.Službenici za zaštitu podataka

Službenici za zaštitu podataka imaju važnu ulogu u osiguravanju usklađenosti s OUZP-om u organizacijama u kojima rade. Općenito, službenici za zaštitu podataka koji su aktivni u EU-u imaju potrebno znanje i vještine za obavljanje svojih zadaća u skladu s OUZP-om, a njihova se neovisnost poštuje ( 130 ). Međutim, i dalje postoji nekoliko otvorenih pitanja, među kojima su: i. poteškoće u imenovanju službenika za zaštitu podataka s potrebnim stručnim znanjem; ii. nedostatak standarda za obrazovanje i osposobljavanje na razini EU-a; iii. službenici za zaštitu podataka nisu na odgovarajući način integrirani u organizacijske procese; iv. nedostatak resursa; v. dodatne zadaće izvan područja zaštite podataka; i vi. nedovoljan radni staž ( 131 ). Odbor je napomenuo da tijela za zaštitu podataka trebaju pojačati aktivnosti jačanja svijesti, informiranje i provedbene mjere kako bi se osiguralo da službenici za zaštitu podataka mogu ispuniti svoju ulogu u skladu s OUZP-om ( 132 ).

6.Opća uredba o zaštiti podataka među temeljima politike EU-a u digitalnoj sferi

6.1.Oblikovanje digitalne politike prema OUZP-u

U izvješću iz 2020. Komisija se obvezala podupirati dosljednu primjenu okvira za zaštitu podataka u odnosu na nove tehnologije kako bi se pružila potpora inovacijama i tehnološkom razvoju. EU je otad donio niz u nastavku navedenih inicijativa, od kojih neke dopunjuju OUZP ili preciziraju na koji bi se način on trebao primjenjivati u određenim područjima kako bi se ostvarili određeni ciljevi.

·Aktom o digitalnim uslugama ( 133 ), čiji je cilj pojedincima i poduzećima zajamčiti sigurno internetsko okruženje, internetskim platformama zabranjeno je da korisnicima prikazuju oglase na temelju njihovih profila koje izrade od prikupljenih „posebnih kategorija osobnih podataka”, kako su definirane u OUZP-u.

·Kako bi digitalna tržišta bila što pravednija i konkurentnija, u skladu s Aktom o digitalnim tržištima ( 134 ) subjekti kojima je utvrđen status „nadzornika pristupa” ne smiju osobne podatke koje prikupe pružajući osnovne usluge „kombinirati” niti „unakrsno koristiti” za pružanje drugih usluga ako im korisnik za to nije dao privolu, kako je definirana u OUZP-u.

·U Aktu o umjetnoj inteligenciji ( 135 ) utvrđuju se pravila EU-a o zaštiti podataka u konkretnim područjima u kojima se koristi umjetna inteligencija, kao što su sustavi za daljinsku biometrijsku identifikaciju, obrada posebnih kategorija podataka radi otkrivanja pristranosti i daljnja obrada osobnih podataka u regulatornim izoliranim okruženjima.

·Direktiva o radu putem platformi ( 136 ) dopunjuje OUZP u području zapošljavanja. U njoj su utvrđena pravila o automatiziranim sustavima za praćenje i donošenje odluka kojima se služe digitalne radne platforme, a posebno ograničenja obrade osobnih podataka, kao i pravila o transparentnosti, ljudskom praćenju i preispitivanju i prenosivosti.

·Uredbom o političkom oglašavanju ( 137 ) zabranjuje se upotreba posebnih kategorija osobnih podataka u političkom oglašavanju i propisuju obveze u vezi s transparentnošću tehnika ciljanja i postizanja što većeg učinka oglašavanja.

·Uredba o europskom digitalnom identitetu osnova je za uvođenje univerzalne, pouzdane i sigurne europske lisnice za digitalni identitet. Zahvaljujući europskoj lisnici pojedinci će moći na zahtjev predočiti dokaz svoje dobi, vozačku dozvolu, diplomu ili potvrdu o bankovnom računu, a da pritom imaju potpunu kontrolu nad svojim osobnim podacima i ne moraju davati suvišne podatke.

O prijedlogu uredbe o e-privatnosti ( 138 ) kojom bi se zamijenila postojeća Direktiva o e-privatnosti ( 139 ) i dopunio zakonodavni okvir o privatnosti i zaštiti podataka pregovara se već nekoliko godina. Još treba promisliti o sljedećim koracima te inicijative, uključujući njezin odnos s OUZP-om.

Akt o interoperabilnoj Europi ( 140 ) za cilj ima u cijelom EU-u učiniti digitalne javne usluge interoperabilnima. On podupire suradnju među tijelima za zaštitu podataka, posebno u regulatornim izoliranim okruženjima za interoperabilnost.

Nekoliko inicijativa EU-a pruža pravnu osnovu za obradu osobnih podataka koju provode privatni subjekti u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela. Kako bi se smanjilo zadiranje u pravo na zaštitu osobnih podataka, svaki takav propis mora imati pažljivo određen cilj i biti proporcionalan tom cilju ( 141 ). Te bi inicijative trebalo mjeriti s obzirom na Povelju o temeljnim pravima, Opću uredbu o zaštiti podataka i sudsku praksu Suda Europske unije. Predloženi paket mjera za sprečavanje pranja novca ( 142 ) sadržava mjere za zaštitu osobnih podataka koje su stroge, a da pritom ne otežavaju smanjivanje rizika od pranja novca i financiranja terorizma, kao ni djelotvorno otkrivanje pokušaja zlouporabe financijskog sustava EU-a.

U tom je kontekstu Vijeće naglasilo da bi svaki novi propis EU-a koji sadržava odredbe o obradi osobnih podataka trebao biti u skladu s Općom uredbom o zaštiti podataka i sudskom praksom Suda.

6.2.Pravni okvir za bolju razmjenu podataka

Podatkovna strategija smišljena je kako bi se stvorilo jedinstveno tržište podataka, sa slobodnim protokom podataka unutar EU-a među različitim sektorima, a sve to u korist poduzeća, istraživača i javnih uprava. Jedan je od njezinih glavnih ciljeva stvaranje zajedničkih europskih podatkovnih prostora koji olakšavaju objedinjavanje podataka, pristup podacima i njihovu razmjenu. OUZP je u pogledu osobnih podataka okvir za sve inicijative čija je svrha olakšati slobodni protok podataka u EU-u jer je i to jedan od njegovih ciljeva. Kad je riječ o osobnim podacima, ne zadire se u zaštitne odredbe OUZP-a.

Podatkovna strategija oslanja se na Akt o upravljanju podacima ( 143 ) i Akt o podacima ( 144 ). U Aktu o upravljanju podacima utvrđuju se konkretna pravila za ponovnu uporabu podataka javnog sektora koji sadržavaju osobne podatke. Osim toga se utvrđuje i zakonodavni okvir za usluge podatkovnog posredovanja, uključujući usluge upravljanja osobnim informacijama ili oblake za pohranu osobnih podataka koji ispitanicima pomažu da ostvare prava koja imaju na temelju OUZP-a. Propisuju se i uvjeti pod kojima se podaci mogu koristiti u altruističke svrhe. Akt o podacima sadržava tehničke zahtjeve za pristup podacima i njihovu prenosivost kako bi ispitanici imali bolju kontrolu nad podacima koje generiraju koristeći svoje ili unajmljene pametne uređaje.

Europski prostor za zdravstvene podatke ( 145 ) odgovara posebnim potrebama u sektoru zdravstvenih podataka i temelji se na OUZP-u. Pojedincima omogućuje da pristupaju svojim zdravstvenim podacima u elektroničkom obliku i razmjenjuju ih sa zdravstvenim djelatnicima, među ostalim u drugim državama članicama, i tako poboljšava pružanje zdravstvene skrbi i kontrolu pacijenata nad vlastitim podacima. Njime se uvodi i zajednički pravni okvir za ponovnu uporabu zdravstvenih podataka u svrhe kao što su istraživanja, inovacije i javno zdravlje, na temelju dozvole koju izdaju tijela za pristup zdravstvenim podacima. U tom okviru zajamčit će se siguran način za pristup zdravstvenim podacima i njihovu obradu kako bi se štitili osobni podaci. Komisija nastavlja podupirati razvoj zajedničkih europskih podatkovnih prostora u 14 sektora time što provodi novi zakonodavni okvir i financira sektorske inicijative.

6.3.Upravljanje novim propisima u području digitalizacije

Razvoj propisa o digitalizaciji iziskuje blisku suradnju u svim regulatornim područjima ( 146 ). Ona je tim potrebnija jer se pitanja zaštite podataka sve više preklapaju s pitanjima prava tržišnog natjecanja, prava o zaštiti potrošača, pravila za digitalna tržišta, regulacije elektroničkih komunikacija, kibernetičke sigurnosti i slično. Dobar je primjer ocjenjivanje usklađenosti modela „plati ili prihvati” s pravom EU-a.

U nekim slučajevima tijela za zaštitu podataka imaju ovlasti za provedbu posebnih odredaba novih propisa EU-a o digitalizaciji ( 147 ). Tim novim propisima uspostavljaju se i namjenske strukture u kojima se okupljaju nadležna regulatorna tijela kako bi osigurala dosljednu provedbu, kao što su skupina na visokoj razini iz Akta o digitalnim tržištima, Europski odbor za inovacije u području podataka (osnovan na temelju Akta o upravljanju podacima) i Europski odbor za digitalne usluge (osnovan na temelju Akta o digitalnim uslugama). Direktivom NIS 2( 148 ) utvrđuju se detaljnija pravila o suradnji regulatornih tijela i tijela za zaštitu podataka na postupanju u slučaju sigurnosnih incidenata koji uključuju povrede osobnih podataka.

Izvan tih formalnih struktura tijela za zaštitu podataka rade na tome da njihove aktivnosti budu komplementarne i usklađene s onima u drugim regulatornim područjima. U srpnju 2020. tijela za zaštitu potrošača i podataka osnovala su „skupinu dobrovoljaca” kako bi utvrdila najbolje prakse i razmjenjivala iskustva iz provedbe. Tijela za zaštitu podataka i dalje s Mrežom za suradnju u području zaštite potrošača sudjeluju u zajedničkim radionicama. Odbor je 2023. osnovao radnu skupinu za međudjelovanje pravila o zaštiti podataka, tržišnom natjecanju i zaštiti potrošača.

Iako su sve to pozitivni pomaci, potrebno je surađivati strukturiranije i učinkovitije, posebno kako bi se odgovorilo na situacije koje utječu na velik broj pojedinaca u EU-u i uključuju više regulatornih tijela ( 149 ). Sve takve strukture trebale bi zajamčiti da regulatorna tijela ostanu odgovorna za sva pitanja usklađenosti s propisima u okviru svojih područja nadležnosti. I države članice trebale bi na nacionalnoj razini poticati odgovarajuću suradnju ( 150 ).

7.Međunarodni prijenosi i globalna suradnja

7.1.Paket instrumenata za prijenos iz OUZP-a

Protok podataka neizostavan je dio digitalne transformacije društva i globalizacije gospodarstva. Poštovanje privatnosti danas je važnije nego ikad prije za stabilnost, sigurnost i konkurentnost komercijalnih tokova, a ujedno je preduvjet za razne oblike međunarodne suradnje. Paket instrumenata za prijenos iz poglavlja V. OUZP-a uključuje niz instrumenata za različite scenarije prijenosa, u kojima se garantira visoka razina zaštite podataka i nakon što napuste EU. 

Od izvješća iz 2020. taj se paket kontinuirano razvija i dodatno se pojašnjavaju zahtjevi iz propisa EU-a o zaštiti podataka u vezi s prijenosom. Jedno od važnijih pojašnjenja odnosi se na pojam „međunarodni prijenos”, koji prema definiciji Odbora ( 151 ) obuhvaća svako otkrivanje osobnih podataka na čiju se obradu primjenjuje OUZP koje provede voditelj obrade ili izvršitelj obrade drugom voditelju obrade ili izvršitelju obrade u trećoj zemlji, bez obzira na to primjenjuje li se OUZP i na obradu koju obavlja taj voditelj ili izvršitelj u trećoj zemlji ili ne ( 152 ). Te su smjernice Odbora bile posebno važne kako bi se europskim voditeljima obrade i izvršiteljima obrade pružila pravna sigurnost o tome u kojim je scenarijima nužan alat za prijenos u skladu s poglavljem V. OUZP-a.

Dodatna pojašnjenja dao je i Sud u presudi u predmetu Schrems II ( 153 ) o zaštiti koju moraju osigurati različiti instrumenti za prijenos kako se ne bi ugrozila razina zaštite zajamčena OUZP-om ( 154 ). Konkretno, tim se instrumentima mora osigurati da pojedinci čiji se podaci prenose izvan EU-a uživaju razinu zaštite koja je u biti ekvivalentna razini zaštite zajamčenoj unutar EU-a ( 155 ). Izvoznik podataka iz EU-a ima odgovornost da procijeni je li tako uzimajući u obzir posebne okolnosti prijenosa koje obavi ( 156 ).

Kako bi procijenili razinu zaštite, izvoznici podataka moraju razmotriti mjere za zaštitu podataka utvrđene u instrumentu za prijenos koji je sklopljen s uvoznikom podataka izvan EU-a (npr. ugovor), kao i relevantne aspekte pravnog sustava zemlje u kojoj se uvoznik podataka nalazi, konkretno postoji li mogućnost da prenesenim podacima pristupe javna tijela u toj zemlji ( 157 ). Potonji aspekt mora se procijeniti s obzirom na kriterije za procjene primjerenosti iz članka 45. OUZP-a. Sud je dodatno razradio te kriterije, posebno kad je riječ o pravilima za pristup javnih tijela osobnim podacima za potrebe kaznenog progona i nacionalne sigurnosti.

Tom tumačenju odgovaraju i smjernice Odbora, koji je ažurirao svoj „referentni dokument o primjerenosti” ( 158 ) (koji sadržava smjernice o elementima koje Komisija mora uzeti u obzir pri procjeni primjerenosti). Odbor je donio i nove smjernice koje sadržavaju: i. dodatna pojašnjenja elemenata koje pojedinačni izvoznici podataka trebaju uzeti u obzir pri procjeni razine zaštite; ii. popis potencijalnih izvora koji se mogu upotrijebiti; i iii. primjere mogućih dopunskih mjera (kao što su ugovorne i tehničke zaštitne mjere) ( 159 ). U tim smjernicama posebno se naglašava da je svaka procjena koju izvoznici podataka provode jedinstvena i da se stoga moraju uzeti u obzir posebnosti svakog prijenosa, koje se mogu razlikovati ovisno o svrsi prijenosa podataka, vrsti uključenih subjekata, sektoru u kojem se prijenos odvija, kategorijama prenesenih osobnih podataka itd. ( 160 ).

Uzimajući u obzir sva ta pojašnjenja zahtjeva u vezi s međunarodnim prijenosima podataka, posljednjih godina poduzeti su važni koraci za daljnji razvoj i operacionalizaciju paketa instrumenata za prijenos iz OUZP-a.

7.1.1.Odluke o primjerenosti

Kao što pokazuju i povratne informacije dionika, odluke o primjerenosti i dalje su vrlo važne u paketu instrumenata za prijenos ( 161 ) jer pružaju jednostavno i sveobuhvatno rješenje za prijenose podataka bez potrebe da izvoznik podataka primijeni dodatne zaštitne mjere ili ishodi bilo kakvo odobrenje. Time što omogućuju slobodni protok osobnih podataka i nadopunjuju i povećavaju prednosti trgovinskih sporazuma, te odluke otvaraju komercijalne kanale za subjekte iz EU-a i olakšavaju suradnju sa stranim partnerima u nizu područja od regulatorne suradnje do istraživanja.

Od izvješća iz 2020. sve više zemalja uvodi suvremene propise o zaštiti podataka. Među ostalim, ti propisi uključuju bitna načela zaštite podataka i jamče prava pojedinaca i djelotvornu provedbu koju provode neovisna regulatorna tijela. To je i Komisiji omogućilo da se više posveti primjerenosti ( 162 ). Tako je, na primjer, donijela odluku o primjerenosti za Ujedinjenu Kraljevinu ( 163 ), ključnu za pravilno funkcioniranje različitih sporazuma sklopljenih s Ujedinjenom Kraljevinom nakon Brexita. Kako bi ostala dugoročno svrsishodna, ta odluka o primjerenosti sadržava „klauzulu o vremenskom ograničenju valjanosti” koja istječe 2025., nakon čega se može obnoviti ako razina zaštite ostane primjerena. I za Republiku Koreju donesena je odluka o primjerenosti ( 164 ), koja dopunjuje Sporazum o slobodnoj trgovini između EU-a i Koreje kad je riječ o protoku osobnih podataka i olakšava njihovu regulatornu suradnju. Prvo preispitivanje te odluke o primjerenosti planira se za kraj 2024.

Osim toga, nakon poništenja odluke o primjerenosti za europsko-američki sustav zaštite privatnosti Komisija je otvorila razgovore s vladom Sjedinjenih Američkih Država o sastavljanju sporazuma koji bi naslijedio tu odluku u skladu sa zahtjevima koje je pojasnio Sud ( 165 ). Predsjednik SAD-a donio je novi Izvršni nalog o poboljšanju zaštitnih mjera za obavještajne aktivnosti elektroničkog izviđanja SAD-a, kojim su uvedene nove obvezujuće i izvršive zaštitne mjere kako bi se osiguralo da se podacima može pristupiti za potrebe nacionalne sigurnosti samo u mjeri u kojoj je to nužno i razmjerno, kao i da Europljanima bude dostupna djelotvorna pravna zaštita. Na tom temelju Komisija je donijela odluku o primjerenosti okvira EU-a i SAD-a za privatnost podataka ( 166 ), koja omogućuje slobodan protok osobnih podataka iz EU-a u poduzeća iz SAD-a koja se uključe u taj okvir. Budući da se zaštitne mjere koje je Vlada SAD-a uvela u području nacionalne sigurnosti primjenjuju na sve prijenose podataka poduzećima u SAD-u, neovisno o tome koji je mehanizam iz Opće uredbe o zaštiti podataka upotrijebljen za te prijenose, sad je znatno lakše primjenjivati i druge alate kao što su standardne ugovorne klauzule i obvezujuća korporativna pravila. Funkcioniranje okvira EU-a i SAD-a za privatnost podataka prvi će se put preispitati u ljeto 2024. kako bi se provjerilo jesu li svi njegovi relevantni elementi u potpunosti preneseni u pravni okvir SAD-a i kako funkcioniraju u praksi.

U tijeku su pregovori o primjerenosti s Brazilom i Kenijom i, prvi put u povijesti, s nekoliko međunarodnih organizacija (pregovori o primjerenosti s Europskom patentnom organizacijom u naprednoj su fazi) ( 167 ). Komisija aktivno sudjeluje u preliminarnim razgovorima sa zemljama u više dijelova svijeta, na što su pozvali i razni dionici ( 168 ).

Komisija kontinuirano prati i razvoj stanja u zemljama koje već ostvaruju korist od povoljnih zaključaka o primjerenosti i periodično preispituje postojeće odluke u skladu s obvezama koje ima na temelju OUZP-a ( 169 ). U travnju 2023. donijela je izvješće o prvom periodičnom preispitivanju odluke o primjerenosti za Japan ( 170 ), u kojoj je zaključila da Japan održava primjerenu razinu zaštite ( 171 ). To je preispitivanje pokazalo da su se od donošenja odluka o uzajamnoj primjerenosti okviri EU-a i Japana za zaštitu podataka dodatno međusobno uskladili.

Osim toga, u skladu s člankom 97. OUZP-a prvo preispitivanje jedanaest odluka o primjerenosti ( 172 ) donesenih na temelju prethodnog okvira EU-a za zaštitu podataka (Direktiva o zaštiti podataka) pokrenuto je u okviru evaluacije primjene i funkcioniranja OUZP-a iz 2020. Zaključak tog aspekta preispitivanja odgođen je, velikim dijelom zato da bi se uzela u obzir presuda Suda u predmetu Schrems II i naknadno tumačenje Odbora. Nakon što je Sud pojasnio prethodno navedene ključne elemente standarda primjerenosti, s predmetnim zemljama i područjima održane su detaljne razmjene o relevantnim aspektima njihova pravnog okvira i o mehanizmima nadzora i provedbe.

Komisija je 15. siječnja 2024. objavila izvješće o tih jedanaest odluka. Uz njega je objavila detaljna izvješća za pojedine zemlje s opisom stanja i kretanja u svakoj od tih zemalja i područja otkad su donesene odluke o primjerenosti i opisom pravila za pristup javnih tijela prenesenim podacima, posebno za potrebe kaznenog progona i nacionalne sigurnosti ( 173 ). U izvješću je zaključila da svih jedanaest zemalja i područja nastavlja pružati odgovarajuću razinu zaštite osobnih podataka koji se prenose iz EU-a. Navela je da su sve predmetne zemlje i područja na različite načine modernizirali i ojačali svoj pravni okvir o privatnosti. Nadalje, kako bi se otklonile relevantne razlike u razini zaštite i ako je to bilo nužno radi kontinuiteta odluke o primjerenosti, s nekima od tih zemalja i područja pregovaralo se te su zaključeni dogovori o dodatnim mjerama za zaštitu prenesenih podataka.

Ta preispitivanja pokazuju i da te odluke o primjerenosti nisu nikakva zaključna točka, nego osnova za pojačanu suradnju i daljnju regulatornu konvergenciju između EU-a i tih partnera sličnih stavova. Na primjer, u izvješću o prvom preispitivanju odluke o primjerenosti za Japan navodi se kako bi jačanje japanskog okvira za zaštitu podataka moglo stvoriti preduvjete da se ta odluka proširi izvan komercijalnih razmjena i na prijenose na koje se još ne primjenjuje, na primjer u području regulatorne suradnje i istraživanja. U tijeku su rasprave o mogućnosti takvog proširenja. Odluke o primjerenosti općenito su postale strateški element odnosa EU-a s tim stranim partnerima i važan poticaj produbljivanju suradnje u nizu različitih područja.

Osim što je svakako solidna osnova za jačanje bilateralne suradnje, sve veća mreža zemalja i područja za koje je EU donio odluku o primjerenosti donosi nove mogućnosti za bolje iskorištavanje sigurnog i slobodnog protoka podataka i bliskiju suradnju s partnerima sličnih stavova u provedbi pravila o zaštiti podataka. Komisija je u ožujku 2024. bila domaćin prvog sastanka na visokoj razini o sigurnom protoku podataka. Prisustvovali su nadležni ministri i voditelji tijela za zaštitu podataka iz 15 zemalja i područja za koje je EU donio odluku o primjerenosti, kao i predsjednica Europskog odbora za zaštitu podataka ( 174 ). Na sastanku je dogovoreno nekoliko konkretnih mjera na kojima ta skupina nastavlja raditi.

Zahvaljujući njihovom „mrežnom učinku” odluke o primjerenosti koje je donijela Europska komisija sve su relevantnije i izvan EU-a jer omogućuju slobodan protok podataka s 30 gospodarstava EGP-a, ali i s mnogo više jurisdikcija širom svijeta u kojima se zemlje za koje je EU donio odluku o primjerenosti smatraju „sigurnim odredištima” u skladu s tamošnjim pravilima o zaštiti podataka ( 175 ).

7.1.2.Instrumenti za odgovarajuće zaštitne mjere

Od izvješća iz 2020. osmišljeni su dodatni alati za odgovarajuće zaštitne mjere i izdane praktične smjernice za primjenu tih alata.

Kako je najavljeno u izvješću iz 2020., Komisija je donijela modernizirane standardne ugovorne klauzule ( 176 ), sastavljene na temelju povratnih informacija različitih dionika ( 177 ). Te nove klauzule zamijenile su tri skupine standardnih ugovornih klauzula koje su bile donesene na temelju Direktive o zaštiti podataka. Glavne novosti uključuju: i. ažurirane zaštitne mjere u skladu s OUZP-om; ii. modularni pristup s jedinstvenom ulaznom točkom za širok raspon scenarija prijenosa; iii. veću fleksibilnost kako bi standardne ugovorne klauzule moglo primjenjivati više strana; i iv. praktičan paket instrumenata za usklađivanje s presudom u predmetu Schrems II.

Dionici su pozdravili modernizaciju standardnih ugovornih klauzula, a prema povratnim informacijama te su klauzule među izvoznicima podataka iz EU-a i dalje daleko najpopularniji alat za prijenose ( 178 ). Kako bi im pomogla da se usklade s primjenjivim propisima, Komisija je sastavila pitanja i odgovore s dodatnim smjernicama za primjenu klauzula ( 179 ), koje će se dodatno ažurirati ako se pojave nova pitanja, pa i s obzirom na dodatne povratne informacije iz okvira ove evaluacije.

Mnogi izvoznici podataka prijavili su da im je teško provesti „procjene učinka prijenosa” iz presude u predmetu Schrems II, posebno zbog njihove složenosti, kao i zbog vremena i sredstava koje iziskuju ( 180 ). Iako su zadovoljni sa smjernicama Odbora i standardnim ugovornim klauzulama, htjeli bi dodatne smjernice (npr. o odgovornostima uključenih strana i tome koliko detaljne moraju biti procjene učinka prijenosa) i dodatne alate kao pomoć u provedbi tih procjena (npr. predloške, opće procjene zemalja, kataloge rizika). Iako su se povratne informacije dionika uglavnom odnosile na standardne ugovorne klauzule, takve procjene trebaju se provesti i za druge instrumente za prijenos (kao što su obvezujuća korporativna pravila). Zato je važno da Odbor, na temelju svježeg iskustva u primjeni zahtjeva iz presude u predmetu Schrems II, među ostalim u okviru provedbenih aktivnosti nacionalnih tijela za zaštitu podataka, razmotri kako bi se još moglo pomoći izvoznicima podataka u tom kontekstu.

Kako bi dopunila postojeće, Komisija sastavlja nove standardne ugovorne klauzule da izvoznicima podataka iz EU-a pruži sveobuhvatan i usklađen paket. To će uključivati standardne ugovorne klauzule na temelju Uredbe (EU) 2018/1725 za slučajeve u kojima institucije i tijela EU-a prenose podatke komercijalnim subjektima u trećim zemljama ( 181 ) i standardne ugovorne klauzule za prijenose podataka uvoznicima podataka u trećim zemljama čiji postupci obrade izravno podliježu OUZP-u. Potonje su odgovor na poziv dionika da se pokriju scenariji u kojima je uvoznik podataka obuhvaćen teritorijalnim područjem primjene OUZP-a (npr. jer je obrada osobnih podataka u tom slučaju povezana s tržištem EU-a na način predviđen u članku 3. stavku 2. OUZP-a) ( 182 ). Kako je Odbor pojasnio, i u tom slučaju mora se upotrijebiti alat za prijenos u skladu s poglavljem V. OUZP-a jer postoji povećani rizik za osobne podatke koji se obrađuju izvan EU-a, npr. zbog proturječnosti u nacionalnim propisima te treće zemlje ili neproporcionalne mogućnosti vlade te zemlje da pristupa prenesenim podacima ( 183 ). Nove standardne ugovorne klauzule koje Komisija sastavlja odnosit će se upravo na taj scenarij i biti u skladu sa zahtjevima koji se prema OUZP-u već izravno primjenjuju na te voditelje i izvršitelje obrade ( 184 ).

Kao što su istaknule različite kategorije dionika ( 185 ), ogledne klauzule sve su važnije za olakšavanje protoka podataka po cijelom svijetu. Nekoliko jurisdikcija podržalo je standardne ugovorne klauzule EU-a kao mehanizam prijenosa u vlastitim zakonima o zaštiti podataka, uz manje formalne prilagodbe klauzula domaćem pravnom poretku ( 186 ). Neke druge zemlje donijele su vlastite ogledne klauzule koje sa standardnim ugovornim klauzulama EU-a dijele važna obilježja ( 187 ). Vrijedi navesti da ogledne klauzule donose i druge međunarodne/regionalne organizacije i mreže, kao što su Savjetodavni odbor Vijeća Europe za Konvenciju br. 108, Iberoamerička mreža za zaštitu podataka i Udruženje država jugoistočne Azije (ASEAN) ( 188 ). Tako bi se na temelju oglednih klauzula mogao olakšati protok podataka među svjetskim regijama. Konkretan je primjer Vodič EU-a i ASEAN-a o standardnim ugovornim klauzulama EU-a i oglednim klauzulama ASEAN-a. On objema stranama pomaže da na temelju povratnih informacija koje dobiju od poduzeća vode brigu o usklađenosti s tim klauzulama ( 189 ).

Uz standardne ugovorne klauzule, za protok podataka među članovima korporativnih grupa ili među poduzećima koja se bave zajedničkom gospodarskom djelatnošću i dalje se široko primjenjuju obvezujuća korporativna pravila. Otkad se primjenjuje OUZP, Odbor je donio 80 pozitivnih mišljenja o nacionalnim odlukama kojima se odobravaju obvezujuća korporativna pravila ( 190 ). Izdao je i smjernice o elementima koje treba uključiti u obvezujuća korporativna pravila za voditelje obrade (i informacije koje treba dostaviti u okviru zahtjeva za primjenu obvezujućih korporativnih pravila), koje su ažurirane kako bi odgovarale zahtjevima iz OUZP-a i presude u predmetu Schrems II ( 191 ). U tijeku je i ažuriranje smjernica o obvezujućim korporativnim pravilima za izvršitelje obrade ( 192 ). Budući da je cilj obvezujućih korporativnih pravila uvesti obvezujuće politike/programe za zaštitu podataka u poduzeća, mnogi dionici smatraju ih posebno korisnima za usklađivanje i pouzdanim instrumentom za prijenos ( 193 ). S druge strane, dionici i dalje ukazuju na to da širu primjenu obvezujućih korporativnih pravila otežavaju dugotrajnost i složenost postupka odobravanja, za koji su zadužena nacionalna tijela za zaštitu podataka. Zato nadležna tijela trebaju nastaviti pojednostavnjivati i skraćivati taj postupak.

Od izvješća iz 2020. nastoji se olakšati primjena certificiranja i kodeksa ponašanja kao alata za prijenose. Na primjer, Odbor je donio posebne smjernice upravo za te namjene ( 194 ). Kad je riječ o takvoj primjeni certificiranja i kodeksa ponašanja, dionici prijavljuju iste probleme dugotrajnosti i složenosti postupka odobravanja.

Naposljetku, u OUZP-u su predviđeni i posebni instrumenti – međunarodni sporazumi i administrativni dogovori koje odobravaju tijela za zaštitu podataka – koji javnim tijelima trebaju služiti kao okviri za prijenos osobnih podataka odgovarajućim tijelima u trećim zemljama ili međunarodnim organizacijama. Odbor je donio smjernice o zaštitnim mjerama koje bi ti instrumenti trebali sadržavati ( 195 ), koje bi isto tako mogle pomoći u pregovorima o takvim sporazumima i dogovorima.

7.1.3.Osiguravanje komplementarnosti s drugim politikama

Budući da je protok podataka danas tako važan za razne aktivnosti, bitno je osigurati komplementarnost politika zaštite podataka s drugim politikama. Uključivanje mjera za zaštitu podataka u međunarodne instrumente često je preduvjet ne samo za protok podataka nego i za stabilnu i pouzdanu suradnju.

Na primjer, međunarodni sporazumi koji uključuju potrebne mjere za zaštitu podataka, među ostalim tako što osiguravaju kontinuitet zaštite na strani tijela koje je podnijelo zahtjev, ključni su za to da se zajamči dobra volja i tijelima kaznenog progona olakša pristup elektroničkim dokazima kojima raspolažu poduzeća te na taj način uspješnije suzbija kriminal. Taj se pristup prati u Drugom dodatnom protokolu uz Konvenciju o kibernetičkom kriminalu ( 196 ), koji poboljšava postojeća pravila za dobivanje prekograničnog pristupa elektroničkim dokazima u kaznenim istragama i pritom osigurava primjenu mjera za zaštitu podataka. Protokol je u međuvremenu potpisalo nekoliko država članica EU-a. Istodobno napreduju i bilateralni pregovori EU-a i SAD-a o sporazumu o prekograničnom pristupu elektroničkim dokazima za suradnju u kaznenim stvarima ( 197 ).

Razmjena podataka iz evidencije podataka o putnicima (PNR) još je jedno područje sigurnosne politike EU-a kojem je uvođenje strogih mjera za zaštitu podataka išlo u prilog. EU i Kanada 2023. su zaključili pregovore o novom sporazumu o PNR-u u skladu sa zahtjevima koje je Sud utvrdio u Mišljenju br. 1/15 ( 198 ). Slične zaštitne mjere uvrštene su i u poglavlje o PNR-u Sporazuma o trgovini i suradnji između EU-a i Ujedinjene Kraljevine. Uključivanje pojačane zaštite privatnosti u te sporazume, koji mogu poslužiti kao predložak za buduće sporazume s drugim partnerima, zračnim prijevoznicima donosi pravnu sigurnost i jamči stabilnost razmjena informacija važnih za borbu protiv terorizma i drugih teških transnacionalnih kaznenih djela.

Komisija se za stroge odredbe o zaštiti privatnosti i poticanju digitalne trgovine zalaže i u tekućim pregovorima u Svjetskoj trgovinskoj organizaciji o inicijativi za zajedničku izjavu o elektroničkoj trgovini. Slične odredbe o uklanjanju neopravdanih prepreka digitalnoj trgovini i istodobnoj zaštiti potrebnog političkog prostora stranaka u području zaštite podataka dosljedno se unose u sporazume o slobodnoj trgovini koje EU sklapa od početka primjene OUZP-a. To uključuje Sporazum o trgovini i suradnji između EU-a i Ujedinjene Kraljevine i sporazume s Čileom, Japanom i Novim Zelandom. O odredbama o privatnosti i protoku podataka raspravlja se i u okviru pregovorâ o digitalnoj trgovini sa Singapurom i Južnom Korejom.

7.2.Međunarodna suradnja u području zaštite podataka

7.2.1.Bilateralna dimenzija

Komisija je sa zemljama i međunarodnim organizacijama nastavila dijalog o razvoju, reformi i provedbi pravila o privatnosti. Među ostalim, sudjelovala je u javnim savjetovanjima o nacrtima propisa ili regulatornih mjera u području privatnosti ( 199 ), svjedočila pred nadležnim parlamentarnim tijelima ( 200 ) i prisustvovala posebnim sastancima s predstavnicima vlada, parlamentarnim izaslanstvima i regulatornim tijelima iz raznih svjetskih regija ( 201 ). Niz tih aktivnosti provela je u okviru projekta za „poboljšanu zaštitu i protok podataka”, koji se financira sredstvima EU-a. Taj projekt osposobljavanjem, izgradnjom kapaciteta i razmjenom znanja i primjera dobre prakse podupire zemlje koje namjeravaju razviti moderne okvire za zaštitu podataka ili ojačati kapacitete svojih regulatornih tijela. Komisija je pridonijela i drugim inicijativama, kao što je Digitalni savez EU-a i CELAC-a.

Zaštita podataka bit će bitna i za Komisijin rad u vezi s proširenjem. Zakonodavstvo EU-a o zaštiti podataka važno je u kontekstu usklađivanja pravnih okvira zemalja proširenja s pravnim okvirima EU-a (posebno s obzirom na to da su obrada i razmjena osobnih podataka isprepletene s brojnim politikama). Neovisnost i pravilno funkcioniranje tijela za zaštitu podataka jedan su od ključnih elemenata općeg sustava provjere i ravnoteže i vladavine prava, a bit će samo sve važniji s obzirom na to da EU postupno integrira zemlje proširenja u jedinstveno tržište (što je predviđeno u inicijativama kao što je plan rasta za zapadni Balkan).

U dijalozima EU-a i trećih zemalja sve se više pozornosti posvećuje razmjenama među regulatornim tijelima. Kako je najavljeno u izvješću iz 2020., Komisija je osnovala „Akademiju za zaštitu podataka” da bi potaknula razmjene između tijela EU-a i trećih zemalja za zaštitu podataka i tako doprinijela izgradnji kapaciteta i suradnji „na terenu”. Akademija na zahtjev tijela trećih zemalja održava prilagođene obuke i objedinjuje stručno znanje predstavnika provedbene zajednice, akademske zajednice, privatnog sektora i europskih institucija. Dodana je vrijednost tih obuka ta što se njihovi elementi mogu prilagoditi interesima i potrebama tijela koje ih zatraži. Nadalje, te obuke tijelima EU-a i trećih zemalja za zaštitu podataka omogućuje uspostavu kontakata, razmjene znanja, iskustava i primjera iz prakse te utvrđivanje područja s potencijalom za suradnju. Akademija je dosad obuku pružila tijelima za zaštitu podataka u Indoneziji, Brazilu, Keniji, Nigeriji i Ruandi, a sad priprema obuke i za niz drugih zemalja.

Osim što je apsolutno važno održavati dijalog među regulatornim tijelima, sve je veća potreba za odgovarajućim pravnim instrumentima za užu suradnju i uzajamnu pomoć koji bi usto omogućili i nužne razmjene informacija u kontekstu istraga. Vijeće i Odbor također su prepoznali tu potrebu u povratnim informacijama koje su dostavili ( 202 ). Konkretnije, s obzirom na to da su učinci povreda privatnosti sve češće prekogranični, za uspješne istrage i postupanje u vezi s tim povredama često je nužna suradnja regulatornih tijela u EU-u i izvan njega. Komisija će iz tog razloga zatražiti ovlaštenje za otvaranje pregovora s ciljem sklapanja sporazuma o suradnji na izvršavanju zakonodavstva s relevantnim trećim zemljama (kako je predviđeno i u članku 50. OUZP-a). U tom kontekstu Komisija prima na znanje zahtjev Odbora da se kao potencijalni partneri posebno razmotre zemlje u kojima se na većinu subjekata OUZP izravno primjenjuje, konkretno zemlje skupine G-7 i/ili zemlje koje već ostvaruju korist od odluka o primjerenosti ( 203 ).

Sklapanje takvih sporazuma o suradnji na izvršavanju i uzajamnoj pomoći pomoglo bi da se strani subjekti koji podliježu OUZP-u usklade s propisima i da se ti propisi djelotvorno primjenjuju na njih, npr. ako nude robu ili usluge na tržištu EU-a. Vijeće napominje da je u takvim slučajevima vrlo važno zajamčiti usklađenost s OUZP-om i izražava zabrinutost u vezi s ravnopravnošću uvjeta za subjekte u EU-u, kao i s time koliko se djelotvorno štite prava pojedinaca ( 204 ). Komisija se slaže s pozivom Vijeća da se razmotre različiti načini za lakše izvršavanje zakonodavstva u tom scenariju. Za to bi nedvojbeno bili korisni formalniji oblici suradnje s regulatornim tijelima u trećim zemljama, ali isto tako treba hrabrije posegnuti za drugim, već uspostavljenim kanalima suradnje. To znači što bolje iskorištavanje provedbenih instrumenata iz članka 58. OUZP-a i uključivanje predstavnika stranih poduzeća u EU-u (imenovanih u skladu s člankom 27. OUZP-a).

7.2.2.Multilateralna dimenzija

Komisija je i dalje aktivna u nizu međunarodnih foruma, u kojima promiče zajedničke vrijednosti i zalaže se za regionalnu i globalnu konvergenciju propisa.

Tako, na primjer, aktivno doprinosi radu Savjetodavnog odbora za Konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija br. 108), jedinog pravno obvezujućeg multilateralnog instrumenta u području zaštite osobnih podataka. Protokol o izmjeni radi modernizacije Konvencije br. 108 ( 205 ) dosad je ratificirala 31 država, uključujući mnoge države članice EU-a, kao i neke države koje nisu članice Vijeća Europe (Argentina, Mauricijus i Urugvaj). Konvenciju dosad nije potpisala samo jedna država članica EU-a, ( 206 ), a osam država članica ( 207 ) potpisalo je, ali ne i ratificiralo moderniziranu Konvenciju. Komisija poziva tu preostalu državu članicu da potpiše moderniziranu Konvenciju, a sve ostale da je brzo ratificiraju kako bi mogla što prije stupiti na snagu. Osim toga, nastavit će se zalagati za to da Konvenciji pristupe i treće zemlje.

Na razini skupina G-20 i G-7 među glavnim temama rasprava o privatnosti i protoku podataka bila je operacionalizacija koncepta „slobodnog protoka podataka uz povjerenje”. Taj je koncept izvorno predložio Japan prema logici da zaštita podataka i sigurnost mogu poboljšati povjerenje u digitalno gospodarstvo i olakšati protok podataka ( 208 ). OECD je u tom kontekstu posebno važan kao forum stručne zajednice za taj koncept, koja okuplja širok raspon dionika (vlade, regulatorna tijela, industriju, civilno društvo, akademsku zajednicu) kao izvor informacija za projekte i pitanja u tom području. Osim toga, jedan važan rezultat inicijative za slobodni protok podataka uz povjerenje, kojem je Komisija znatno pridonijela, bio je donošenje Izjave OECD-a o pristupu vlade osobnim podacima kojima raspolažu poduzeća iz privatnog sektora, prvog međunarodnog instrumenta u tom području. Ta izjava sadržava niz zajedničkih zahtjeva za zaštitu privatnosti pri pristupanju osobnim podacima za potrebe nacionalne sigurnosti i kaznenog progona. Na globalnoj razini raste svijest o tome kako na povjerenje u prijenose podataka utječe kad vlade imaju neproporcionalnu mogućnost pristupa prenesenim podacima. Izjava OECD-a baš je zato važna za olakšavanje pouzdanih protoka podataka. Komisija će nastaviti poticati razne zemlje da se pridruže Izjavi, koja je otvorena zemljama koje nisu članice OECD-a.

Komisija surađuje i s različitim regionalnim organizacijama i mrežama koje se bave zajedničkim mjerama za zaštitu podataka. To se, među ostalim, odnosi na ASEAN, Afričku uniju, Azijsko-pacifički forum za zaštitu privatnosti, Iberoameričku mrežu za zaštitu podataka i Mrežu afričkih tijela za zaštitu podataka (NADPA – RADPD). Izrada prethodno navedenog Vodiča EU-a i ASEAN-a o oglednim klauzulama konkretan je primjer takve konstruktivne suradnje.

Osim toga, Komisija održava dijalog s nizom međunarodnih organizacija kako bi doznala može li se protok podataka između EU-a i takvih organizacija još nekako olakšati. Budući da su mnoge organizacije posljednjih godina modernizirale svoje okvire za zaštitu podataka ili na tome rade, otvaraju se i nove mogućnosti za razmjenu iskustava i primjera dobre prakse U tom kontekstu godišnje radionice s međunarodnim organizacijama i posebnom radnom skupinom za međunarodni prijenos podataka u organizaciji Europskog nadzornika za zaštitu podataka pokazale su se posebno korisnim forumima za razmjenu znanja i razmatranje konkretnih instrumenata za suradnju, uključujući razmjenu osobnih podataka ( 209 ).

8.Zaključak

U šest godina od početka primjene Opće uredbe o zaštiti podataka ojačana su prava i mogućnosti građana kad je riječ o njihovim osobnim podacima. OUZP pridonosi ravnopravnosti uvjeta među poduzećima i temelj je brojnih inicijativa u podlozi digitalne tranzicije u EU-u.

Kako bi se u potpunosti ostvarili dvostruki ciljevi OUZP-a, odnosno pouzdano zaštitili pojedinci i zajamčio slobodan protok osobnih podataka unutar EU-a i siguran protok podataka izvan EU-a, treba se usredotočiti na:

·strogo izvršavanje OUZP-a, počevši od brzog donošenja prijedloga Komisije o postupovnim pravilima za pružanje brzih pravnih lijekova i pravne sigurnosti u slučajevima koji utječu na pojedince u cijelom EU-u,

·proaktivno pružanje potpore tijela za zaštitu podataka dionicima koji rade na svojoj usklađenosti s propisima, a posebno MSP-ovima i malim subjektima,

·dosljedno tumačenje i primjenu OUZP-a u cijelom EU-u,

·djelotvornu suradnju među regulatornim tijelima na nacionalnoj razini i razini EU-a radi dosljedne i usklađene primjene sve većeg broja pravila povezanih s digitalizacijom u EU-u,

·daljnje unapređivanje Komisijine međunarodne strategije za zaštitu podataka.

Za potporu djelotvornoj primjeni OUZP-a i osnovu za daljnja promišljanja o zaštiti podataka nužno je provesti niz ovdje navedenih mjera. Komisija će podupirati i pratiti njihovu provedbu, među ostalim za potrebe izvješća predviđenog za 2028. 

Razvoj djelotvornih struktura za suradnju

Europski parlament i Vijeće pozivaju se da brzo donesu prijedlog o postupovnim pravilima OUZP-a.

Odbor i tijela za zaštitu podataka pozivaju se da:

-uspostave redovitu suradnju s drugim sektorskim regulatornim tijelima u pitanjima koja utječu na zaštitu podataka, posebno s tijelima osnovanima na temelju novih propisa EU-a u području digitalizacije, i aktivno sudjeluju u strukturama na razini EU-a osmišljenima za poticanje takve suradnje,

-bolje iskoriste alate za suradnju predviđene u OUZP-u kako bi se rješavanje sporova koristilo samo kao krajnja mjera,

-provedu učinkovitije i ciljanije radne dogovore za smjernice, mišljenja i odluke i daju prioritet najvažnijim pitanjima kako bi smanjili opterećenje tijela za zaštitu podataka i brže odgovarali na tržišna kretanja.

Države članice trebaju:

-osigurati da su nacionalna tijela za zaštitu podataka stvarno i potpuno neovisna,

-dodijeliti dostatna sredstva tijelima za zaštitu podataka kako bi mogla ispunjavati svoje zadaće, posebno tako da im osiguraju stručno znanje i tehničke resurse potrebne za reagiranje na nove tehnologije i ispunjavanje novih odgovornosti iz propisa o digitalizaciji,

-tijelima za zaštitu podataka osigurati istražne alate potrebne da djelotvorno izvršavaju provedbene ovlasti koje imaju na temelju OUZP-a,

-podupirati dijalog između tijela za zaštitu podataka i drugih nacionalnih regulatornih tijela, posebno onih osnovanih na temelju novih propisa o digitalizaciji.

Komisija će:

-aktivno se zalagati za to da suzakonodavci brzo donesu prijedlog o postupovnim pravilima OUZP-a,

-nastaviti pomno pratiti jesu li nacionalna tijela za zaštitu podataka stvarno i potpuno neovisna,

-na temelju iskustva graditi sinergije i raditi na dosljednosti između OUZP-a i cjelokupnog zakonodavstva koje se odnosi na obradu osobnih podataka i, prema potrebi, poduzimati odgovarajuće mjere kako bi zajamčila pravnu sigurnost,

-razmisliti o tome kako bolje odgovoriti na potrebu za strukturiranom i učinkovitom suradnjom regulatornih tijela kako bi se propisi EU-a o digitalizaciji primjenjivali djelotvorno, dosljedno i jasno, a da se pritom poštuje nadležnost tijela za zaštitu podataka za sva pitanja povezana s obradom osobnih podataka.

Provedba i dopuna pravnog okvira

Države članice trebaju:

-osigurati da se prije donošenja propisa o obradi osobnih podataka pravodobno provede savjetovanje s tijelima za zaštitu podataka.

Komisija će:

-nastaviti upotrebljavati sve instrumente koji su joj na raspolaganju, uključujući postupke zbog povrede, kako bi osigurala da se države članice pridržavaju OUZP-a,

-nastaviti podupirati razmjene mišljenja i primjera iz nacionalne prakse među državama članicama, među ostalim u okviru stručne skupine država članica za OUZP,

-provoditi mjere za zaštitu, samoosvješćivanje i poštovanje djece na internetu,

-razmotriti moguće sljedeće korake u vezi s prijedlogom uredbe o e-privatnosti, uključujući njezin odnos s OUZP-om.

Potpora dionicima

Odbor i tijela za zaštitu podataka pozivaju se da:

-sudjeluju u konstruktivnom dijalogu s voditeljima i izvršiteljima obrade o usklađenosti s OUZP-om,

-dodatno podupru usklađivanje MSP-ova s OUZP-om tako da im pruže prilagođene smjernice i alate, pojasne MSP-ovima čija osnovna djelatnost ne uključuje obradu osobnih podataka da ne trebaju neopravdano brinuti o usklađenosti i prate ih u usklađivanju,

-podupiru poduzeća u provedbi djelotvornih mjera usklađivanja, kao što su certificiranje i kodeksi ponašanja (među ostalim kao alati za prijenose), tako da surađuju s dionicima u postupku odobravanja, određuju jasne rokove za odobrenja i, kako je predviđeno u strategiji Odbora za razdoblje 2024. – 2027., pojasne ključnim skupinama dionika kako se služiti tim alatima,

-osiguraju usklađenost nacionalnih smjernica i primjene OUZP-a na nacionalnoj razini sa smjernicama Odbora i sudskom praksom Suda,

-razriješe različita tumačenja OUZP-a među tijelima za zaštitu podataka, pa i među više tijela iste države članice,

-relevantnoj publici pruže sažete, praktične i pristupačne smjernice, kako je obećano u strategiji Odbora za razdoblje 2024. – 2027.,

-nastoje da se savjetovanja o smjernicama i mišljenjima provode ranije i konstruktivnije kako bi se bolje razumjela dinamika tržišta i poslovna praksa, na odgovarajući način uzele u obzir primljene povratne informacije i uvažila konkretna primjena donesenih tumačenja,

-daju prednost dovršetku tekućeg rada na smjernicama o osobnim podacima djece, znanstvenim istraživanjima, anonimizaciji, pseudonimizaciji i legitimnom interesu,

-pojačaju mjere senzibilizacije, informiranja i izvršavanja kako bi službenici za zaštitu podataka mogli obavljati svoju ulogu u skladu s OUZP-om.

Komisija će:

-nastaviti pružati financijsku potporu aktivnostima tijela za zaštitu podataka koje MSP-ovima olakšavaju ispunjavanje obveza iz OUZP-a,

-iskoristiti sva raspoloživa sredstva kako brzo razriješila nejasnoće bitne za dionike, uključujući MSP-ove, a posebno tako da traži mišljenja Odbora.

Daljnji razvoj alata za prijenos podataka i međunarodnu suradnju

Odbor i tijela za zaštitu podataka pozivaju se da:

-privedu kraju pojednostavnjivanje i skraćivanje postupka odobravanja obvezujućih korporativnih pravila, kao i ažuriranje smjernica o elementima obvezujućih korporativnih pravila za izvršitelje obrade,

-razmotre na koji bi još način i kojim alatima mogli pomoći izvoznicima podataka da postignu usklađenost sa zahtjevima iz presude u predmetu Schrems II,

-razmotre kako se još može osigurati djelotvornost provedbe u odnosu na subjekte s poslovnim nastanom u trećim zemljama koji su obuhvaćeni teritorijalnim područjem primjene OUZP-a.

Države članice trebaju:

-što prije potpisati i ratificirati moderniziranu Konvenciju br. 108+ Vijeća Europe kako bi mogla stupiti na snagu.

Komisija će:

-ostvariti dodatni napredak u tekućim razgovorima o primjerenosti, razmotriti kako unaprijediti postojeće zaključke o primjerenosti i uspostavljati dijaloge o primjerenosti s još zainteresiranih partnera,

-podupirati jačanje suradnje unutar mreže zemalja koje ostvaruju korist od odluka o primjerenosti,

-finalizirati dodatne standardne ugovorne klauzule, posebno za prijenose podataka uvoznicima podataka na čiju se obradu OUZP izravno primjenjuje i prijenose na temelju Uredbe (EU) 2018/1725 za prijenose podataka koje obavljaju institucije i tijela EU-a,

-u suradnji s međunarodnim partnerima olakšavati protok podataka na temelju oglednih ugovornih klauzula,

-podupirati tekuće procese reformi u trećim zemljama povezane s novim ili moderniziranim pravilima o zaštiti podataka razmjenom iskustava i najbolje prakse,

-surađivati s međunarodnim i regionalnim organizacijama kao što su OECD i skupina G-7 na promicanju pouzdanog protoka podataka koji se temelji na visokim standardima zaštite podataka, među ostalim u kontekstu inicijative za „slobodni protok podataka uz povjerenje”,

-olakšavati i podupirati razmjene između europskih i međunarodnih regulatornih tijela, među ostalim u okviru Akademije za zaštitu podataka,

-nastaviti poticati međunarodnu provedbenu suradnju među nadzornim tijelima, među ostalim sudjelujući u pregovorima o sporazumima o suradnji i uzajamnoj pomoći.

(1) ()    Zaštita podataka kao jedan od stupova jačanja položaja građana i pristupa EU-a digitalnoj tranziciji – dvije godine primjene Opće uredbe o zaštiti podataka, 24.6.2020., COM(2020) 264 final.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/hr/pdf .

(3) ()    Sažetak doprinosa višedioničke stručne skupine za OUZP dostupan je ovdje: Izvješće stručne višedioničke skupine o promjeni OUZP-a – lipanj 2024.pdf . Informacije dobivene u odgovorima na poziv na očitovanje i na bilateralnim sastancima s dionicima uglavnom odražavaju stajališta članova višedioničke stručne skupine za OUZP.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_hr .

(5) ()     Doprinos Europskog odbora za zaštitu podataka ocjeni OUZP-a u skladu s člankom 97. | Europski odbor za zaštitu podataka (europa.eu) .

(6) ()     OUZP u praksi – Iskustva tijela za zaštitu podataka | Agencija Europske unije za temeljna prava (europa.eu) .

(7) ()    Prijedlog uredbe Europskog parlamenta i Vijeća o utvrđivanju dodatnih postupovnih pravila provedbe Uredbe (EU) 2016/679 (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .

(9) ()    U okviru višedioničke stručne skupine za OUZP i poziva na očitovanje pokrenutog u veljači 2023.

(10) ()    Posebno preko stručne skupine država članica za OUZP: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=hr&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Članak 61. OUZP-a.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)  

(13) ()    Članak 62. OUZP-a.

(14) ()    Članak 65. OUZP-a.

(15) ()    Do 3. studenog 2023. (informacije Odbora).

(16) ()    U skladu s člankom 60. stavkom 3. OUZP-a.

(17) ()    Do 3. studenog 2023.

(18) ()    Irsko tijelo podnijelo je najviše službenih zahtjeva (246), a njemačka su ih tijela najviše primila (516).

(19) ()    Irsko tijelo podnijelo je najviše neslužbenih zahtjeva (4245), a na drugom su mjestu njemačka tijela (2036).

(20) ()    Od 289 relevantnih i obrazloženih prigovora nadležnih tijela, njemačka tijela podnijela su 101 (35 %). Stopa uspjeha u postizanju konsenzusa o relevantnim i obrazloženim prigovorima kreće se od 15 % (u slučaju prigovora njemačkih tijela) do 100 % (u slučaju prigovora poljskog tijela).

(21)

()    Članci 64., 65. i 66. OUZP-a.

(22) ()    Mišljenja u skladu s člankom 64. stavkom 2. OUZP-a.

(23)

()    U skladu s člankom 65. stavkom 1. točkom (a) OUZP-a.

(24) ()    Na temelju članka 66. stavka 2. OUZP-a.

(25) ()    Vidjeti 5.3.4. doprinos Odbora.

(26) ()    Izvješće FRA-e, str. 36.

(27) ()    Prijedlog postupovnih pravila, članak 5.

(28) ()    U Rumunjskoj je na sudu osporavano svih 26 odluka kojima se utvrđuje povreda, a u Nizozemskoj je stopa osporavanja iznosila 23 %. Osporavanja su bila najuspješnija u Belgiji (39 %).

(29) ()    Tijela za zaštitu podataka u Njemačkoj pokrenula su najveći broj istraga na vlastitu inicijativu (7647), a slijede Mađarska (3332), Austrija (1681) i Francuska (1571).

(30) ()    Devet tijela za zaštitu podataka zaprimilo je 2022. više od 2000 pritužbi. Najveći broj pritužbi zabilježile su Njemačka (32 300), Italija (30 880), Španjolska (15 128), Nizozemska (13 133) i Francuska (12 193), dok su najmanji broj zabilježili Lihtenštajn (40), Island (140) i Hrvatska (271).

(31) ()    Sva su tijela izrekla upravne novčane kazne, osim Danske, koja ih ne predviđa. Najviše novčanih kazni izrečeno je u Njemačkoj (2106) i Španjolskoj (1596), a najmanje u Lihtenštajnu (3), Islandu (15) i Finskoj (20).

(32) ()    Izvješće FRA-e, str. 38.

(33) ()    Vidjeti Izvješće FRA-e, str. 20. i 23. Vidjeti i stajalište i zaključke Vijeća, točka 17.

(34) ()    Članak 70. stavak 1. OUZP-a.

(35) ()    Izvješće FRA-e, str. 64.

(36) ()    Izvješće FRA-e, str. 67. Za aktivnosti Odbora najviše resursa 2023. su izdvojila njemačka tijela (26 ekvivalenata punog radnog vremena), a nakon njih irska (16) i francuska (12) (doprinos Odbora).

(37) ()    Izvješće FRA-e, str. 67.

(38) ()    Izvješće FRA-e, str. 67.; sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(39) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(40) ()    Vidjeti i stajalište i zaključke Vijeća, točka 45.

(41) ()    Vidjeti i stajalište i zaključke Vijeća, točka 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Vidjeti i stajalište i zaključke Vijeća, točka 31. podtočka (d).

(44) ()    Smatraju da se posebno trebaju pojasniti značenje pojma „znanstveno istraživanje”, uloga privole za obradu osobnih podataka u svrhu istraživanja, relevantna pravna osnova te uloga i odgovornosti uključenih aktera.

(45) ()    Vidjeti i stajalište i zaključke Vijeća, točka 31. podtočka (b).

(46) ()    Stajalište i zaključci Vijeća, točke 27. i 28.

(47) ()    Članak 52. OUZP-a.

(48) ()    Izvješće FRA-e, str. 31.

(49) ()    Vidjeti odjeljak 4.4.1. doprinosa Odbora, među ostalim i za apsolutne iznose.

(50) ()    Samo pet tijela za zaštitu podataka smatra da imaju odgovarajuće ljudske resurse (doprinos Odbora, str. 33.).

(51) ()    Izvješće FRA-e, str. 20. Neka tijela za zaštitu podataka povjeravaju određene zadaće vanjskim izvođačima, kao što su rješavanje pritužbi, pravna analiza i forenzička analiza.

(52) ()    Izvješće FRA-e, str. 24.

(53) ()    Izvješće FRA-e, str. 22.

(54) ()    Vidjeti odjeljak 4.4.5. doprinosa Odbora.

(55) ()    Doprinos Odbora, str. 32.

(56) ()    Izvješće FRA-e, str. 48.

(57) ()    Izvješće FRA-e, str. 45. Tijela za zaštitu podataka smatraju da su istrage po službenoj dužnosti posebno važne jer podnositelji pritužbe možda nisu svjesni mnogih povreda OUZP-a.

(58) ()    Izvješće FRA-e, str. 8.

(59) ()    Izvješće FRA-e, str. 39.

(60) ()    Izvješće FRA-e, str. 41.

(61) ()    Uvodna izjava 9. OUZP-a.

(62) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(63) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(64) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(65) ()    Članak 6. stavak 1. točka (f), odnosno članak 6. stavak 1. točka (a) OUZP-a.

(66) ()    Članak 22. točka 2. OUZP-a.

(67) ()    Uvodna izjava 4.

(68) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP. 

(69) ()    Npr. najniža dob za privolu djeteta u vezi s uslugama informacijskog društva (članak 8. stavak 1. OUZP-a).

(70) ()    Članak 8. stavak 1. OUZP-a.

(71) ()    Mogućnost predviđena člankom 9. stavkom 4. OUZP-a.

(72) ()    Članak 10. OUZP-a.

(73) ()    Stajalište i zaključci Vijeća, točka 30.

(74) ()    Članak 36. OUZP-a.

(75) ()    Izvješće FRA-e, str. 11.

(76) ()    Belgija (2021/4045) i Belgija (2022/2160).

(77) ()    Finska (2022/4010) i Švedska (2022/2022).

(78) ()    Informacije o referentnoj oznaci predmeta, vrsti istrage (na vlastitu inicijativu ili na temelju pritužbe), sažetku opsega istrage, predmetnim tijelima za zaštitu podataka, najvažnijim poduzetim postupovnim koracima i datumima, istrazi ili svim drugim poduzetim mjerama i datumima.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=hr&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=hr&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Predmet C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Predmeti C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Predmeti C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Predmet C-61/19, ECLI:EU:C:2020:901.

(85) ()    Predmet C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Predmeti C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Predmet C-460/20, ECLI:EU:C:2022:962.

(88) ()    Predmet C-300/21, ECLI:EU:C:2023:370; predmet C-687/21, ECLI:EU:C:2024:72; predmet C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Spojeni predmeti C‑26/22 i C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Predmet C-807/21, ECLI:EU:C:2023:950; predmet C-683/21, ECLI:EU:C:2023:949.

(91) ()    Predmet C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Predmeti C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Predmeti C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Stajalište i zaključci Vijeća, točka 13.

(95) ()    Doprinos Odbora, odjeljak 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    Izvješće FRA-e, str. 9. i 48.

(98) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(99) ()    Članak 10. Uredbe (EU) 2022/868 (Akt o upravljanju podacima), SL L 152, 3.6.2022., str. 1.

(100) ()    Članak 12. stavak 5. OUZP-a.

(101) ()    Međutim, Sud je pojasnio da ispitanik nije dužan navesti razloge zbog kojih je zatražio pristup osobnim podacima: predmet C-307/22, ECLI:EU:C:2023:811, točka 38.

(102) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP. 

(103) ()    Stajalište i zaključci Vijeća, točke 27. i 28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Radnici koji rade putem platformi: Vijeće potvrdilo dogovor o novim pravilima za poboljšanje njihovih radnih uvjeta – Vijeće (europa.eu) .

(106) ()    Prijedlog uredbe o europskom prostoru za zdravstvene podatke (COM(2022) 197 final).

(107) ()    Prijedlog uredbe o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1094/2010, (EU) br. 1095/2010 i (EU) 2022/2554 (COM(2023) 360 final).

(108) ()    Direktiva (EU) 2020/1828 od 25. studenog 2020. o predstavničkim tužbama za zaštitu kolektivnih interesa potrošača i stavljanju izvan snage Direktive 2009/22/EZ – SL L 409, 4.12.2020., str. 1.

(109) ()    Uvodna izjava 38. OUZP-a.

(110) ()    Preporuka o razvoju i jačanju integriranih sustava za zaštitu djece u najboljem interesu djeteta: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_hr .

(111) ()    Vidjeti i stajalište i zaključke Vijeća, točka 31. podtočka (a).

(112) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .

(115) ()    Uredba (EU) 2024/1183 o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet, SL L, 2024/1183, 30.4.2024.

(116) ()    Kako je prepoznato u izvješću platforme „Fit for future”, odnosno stručne skupine na visokoj razini osnovane kako bi pomogla Komisiji da se pojednostavne zakonodavni propisi EU-a i smanje povezani nepotrebni troškovi: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_hr . Vidjeti i sažetak povratnih informacija od višedioničke stručne skupine za OUZP te stajalište i zaključke Vijeća, točka 12.

(117) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(118) ()    Provedbena odluka Komisije (EU) 2021/915 оd 4. lipnja 2021. o standardnim ugovornim klauzulama između voditeljâ obrade i izvršiteljâ obrade iz članka 28. stavka 7. OUZP-a i članka 29. stavka 7. OUZP-a (C/2021/3701) – SL L 199, 7.6.2021., str. 18.

(119) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(120) ()    Stajalište i zaključci Vijeća, točka 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://www.edpb.europa.eu/sme-data-protection-guide/home_hr .

(126) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(127) ()    Vidjeti stajalište i zaključke Vijeća, točka 24.; sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(128) ()    Članak 30. stavak 5. OUZP-a.

(129) ()    U slučaju organizacije u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

(130) ()    Stajalište Vijeća i zaključci, točka 26.; EDPB-ova koordinirana provedbena mjera 2023., imenovanje i položaj službenika za zaštitu podataka: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Sažetak povratnih informacija od višedioničke stručne skupine za OUZP. 

(132) ()    Vidjeti preporuke u koordiniranoj provedbenoj mjeri EDPB-a.

(133) ()    Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama), SL L 277, 27.10.2022., str. 1.

(134) ()    Uredba (EU) 2022/1925 o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima), SL L 265, 12.10.2022., str. 1.

(135) ()    Uredba (EU) 2024/1689 o utvrđivanju usklađenih pravila o umjetnoj inteligenciji i o izmjeni uredaba (EZ) br. 300/2008, (EU) br. 167/2013, (EU) br. 168/2013, (EU) 2018/858, (EU) 2018/1139 i (EU) 2019/2144 te direktiva 2014/90/EU, (EU) 2016/797 i (EU) 2020/1828 (Akt o umjetnoj inteligenciji), SL L, 2024/1689, 12.7.2024.

(136) ()     Radnici koji rade putem platformi: Vijeće potvrdilo dogovor o novim pravilima za poboljšanje njihovih radnih uvjeta – Consilium (europa.eu) .

(137) ()    Uredba (EU) 2024/900 o transparentnosti i ciljanju u političkom oglašavanju, SL L, 2024/900, 20.3.2024.

(138) ()    Prijedlog uredbe o poštovanju privatnog života i zaštiti osobnih podataka u elektroničkim komunikacijama, COM(2017) 010 final.

(139) ()    Direktiva 2002/58/EZ (Direktiva o privatnosti i elektroničkim komunikacijama), SL L 201, 31.7.2002., str. 37.

(140)

()    Uredba (EU) 2024/903 (Akt o interoperabilnoj Europi), SL L, 2024/903, 22.3.2024.

(141) ()    Vidjeti stajalište i zaključke Vijeća, točku 31. (f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_hr .

(143) ()    Uredba (EU) 2022/868 (Akt o upravljanju podacima), SL L 152, 3.6.2022., str. 1.

(144) ()    Uredba (EU) 2023/2854 (Akt o podacima), SL L, 2023/2854, 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_HR.html .

(146) ()    Vidjeti stajalište i zaključke Vijeća, točke od 40. do 41. Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(147) ()    Vidjeti npr. članak 37. stavak 3. Akta o podacima.

(148) ()    Direktiva (EU) 2022/2555 (Direktiva NIS 2), SL L 333, 27.12.2022., str. 80.

(149) ()    Vidjeti stajalište i zaključke Vijeća, točke 18., 40. i 41. i sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(150) ()     Njemačka je sastavila „digitalni klaster” regulatornih tijela iz različitih područja kako bi proširila njihovu suradnju u svim aspektima digitalizacije, kao i razmjenu znanja i primjera dobre prakse: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn  

(151) ()     Smjernice EDPB-a br. 5/2021.

(152) ()     Odjeljak 2. smjernica EDPB-a br. 5/2021.

(153) ()     Predmet C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()    Schrems II, točka 93.

(155) ()    Schrems II, točke 96. i 105.

(156) ()    Schrems II, točka 131.

(157) ()    Schrems II, točka 105.

(158) ()     Preporuke EDPB-a br. 2/2020 i Referentni dokument o primjerenosti, WP 254 rev. 01.

(159) ()     Preporuke EDPB-a br. 1/2020, dopunjene Preporukama br. 2/2020.

(160) ()     Vidjeti točke od 8. do 13., 32. i 33. Preporuka EDPB-a br. 1/2020.

(161) ()     Vidjeti npr. doprinos Odbora, str. 7–8. Stajalište i zaključci Vijeća, točka 36.; sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(162) ()    Komunikacija Komisije „Razmjena i zaštita osobnih podataka u globaliziranom svijetu”, 10.1.2017., COM(2017) 7 final.

(163) ()     Provedbena odluka Komisije (EU) 2021/1772, SL L 360, 11.10.2021., str. 1.

(164) ()    Provedbena odluka Komisije (EU) 2022/254, SL L 44, 24.2.2022., str. 1.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en  

(166) ()    Provedbena odluka Komisije (EU) 2023/1795, SL L 231, 20.9.2023., str. 118.

(167) ()     Europska patentna organizacija je međuvladina organizacija osnovana na temelju Europske patentne konvencije. Njezina je glavna zadaća priznavanje europskih patenata. U tom kontekstu naveliko surađuje s poduzećima i javnim tijelima u državama članicama EU-a, kao i s različitim institucijama i tijelima EU-a.

(168) ()     Doprinos Odbora, str. 7–8.

(169) ()    Članak 45. stavci 4. i 5. OUZP-a. Vidjeti i Schrems I, točku 76.

(170) ()     Provedbena odluka Komisije (EU) 2019/419, SL L 76, 19.3.2019., str. 1. Vidjeti i https://ec.europa.eu/commission/presscorner/detail/hr/IP_19_421 . To je bila prva odluka o primjerenosti donesena na temelju OUZP-a i prvi dogovor o uzajamnoj primjerenosti.

(171) ()     Izvješće Komisije o prvom preispitivanju funkcioniranja odluke o primjerenosti za Japan, 3.4.2023., COM(2023) 275 final (i SWD(2023) 75 final).

(172) ()     Andora, Argentina, Kanada (za poslovne subjekte), Farski Otoci, Guernsey, Otok Man, Izrael, Jersey, Novi Zeland, Švicarska i Urugvaj.

(173) ()     Izvješće Komisije o prvom preispitivanju funkcioniranja odluka o primjerenosti donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ, 15.1.2024., COM(2024) 7 final (i SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11  

(175) ()     Npr. Argentina, Kolumbija, Izrael, Maroko, Švicarska i Urugvaj.

(176) ()     Provedbena odluka Komisije (EU) 2021/914, SL L 199, 7.6.2021., str. 31.

(177) ()     Npr. zajedničko mišljenje Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka br. 2/2021 kao dio postupka za donošenje standardnih ugovornih klauzula.

(178) ()     Stajalište i zaključci Vijeća, točka 37., doprinos Odbora, str. 9., sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Vidjeti npr. sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(181) ()     U skladu s člankom 48. stavkom 2. točkom (b) Uredbe (EU) 2018/1725.

(182) ()     Stajalište i zaključci Vijeća, točka 37., doprinos Odbora, str. 9., sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(183) () Smjernice EDPB-a br. 5/2021, str. 3.

(184) ()     Kako je navedeno i u odjeljku 4. Smjernica EDPB-a br. 5/2021.

(185) ()     Doprinos Odbora, str. 9., sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(186) ()     Npr. Ujedinjena Kraljevina ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) i Švicarska ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Npr. Novi Zeland ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) i Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Vidjeti https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf i https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Doprinos Odbora, str. 9.

(191) ()     Preporuke EDPB-a br. 1/2022.

(192) ()     Doprinos Odbora, str. 9.

(193) ()     Sažetak povratnih informacija od višedioničke stručne skupine za OUZP.

(194) ()    Smjernice EDPB-a str. 7/2022 i Smjernice br. 4/2021.

(195) ()     Smjernice EDPB-a br. 2/2020.

(196) ()     Drugi dodatni protokol uz Konvenciju o kibernetičkom kriminalu o pojačanoj suradnji i otkrivanju elektroničkih dokaza (CETS br. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Prijedlog odluke Vijeća o potpisivanju, u ime Europske unije, Sporazuma između Kanade i Europske unije o prijenosu i obradi podataka iz evidencije podataka o putnicima (PNR), COM(2024) 94 final.

(199) ()     Npr. savjetovanja koja su organizirali Australija, Kina, Ruanda, Argentina, Brazil, Etiopija, Indonezija, Peru, Malezija i Tajland.

(200) ()     Npr. pred parlamentarnim tijelima Čilea, Ekvadora i Paragvaja.

(201) () To je uključivalo i organizaciju seminara i studijskih posjeta, npr. u Keniji, Indoneziji i Singapuru.

(202) ()     Doprinos Odbora, str. 8.; stajalište i zaključci Vijeća, točka 38.

(203) ()     Doprinos Odbora, str. 8.

(204) ()     Stajalište i zaključci Vijeća, točka 39.

(205) ()     Protokol o izmjeni Konvencije za zaštitu osoba glede automatizirane obrade osobnih podataka (CETS br. 223).

(206) ()    Danska.

(207) ()    Belgija, Češka, Grčka, Irska, Latvija, Luksemburg, Nizozemska i Švedska.

(208) ()     Vidjeti npr. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1  

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en