V Bruseli25. 7. 2024

COM(2024) 357 final

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE

Druhá správa o uplatňovaní všeobecného nariadenia o ochrane údajov




















1Úvod

Toto je druhá správa Komisieuplatňovaní všeobecného nariadeniaochrane údajov, prijatásúladečlánkom 97 všeobecného nariadeniaochrane údajov. Prvá správa bola prijatá 24. júna 2020 (ďalej len „správaroku 2020“) ( 1 )).

Všeobecné nariadenie o ochrane údajov je jedným z pilierov prístupu EÚ k digitálnej transformácii. Jeho základné zásady – spravodlivé, bezpečné a transparentné spracúvanie osobných údajov a zabezpečenie kontroly jednotlivcov – sú základom všetkých politík EÚ týkajúcich sa spracúvania osobných údajov.

Od správy z roku 2020 prijala EÚ celý rad iniciatív, ktorých cieľom je postaviť jednotlivcov do centra digitálnej transformácie. Každou iniciatívou sa sleduje konkrétny cieľ, napríklad vytvorenie bezpečnejšieho prostredia online, spravodlivejšieho a konkurencieschopnejšieho digitálneho hospodárstva, uľahčenie prelomového výskumu, zabezpečenie vývoja bezpečnej a dôveryhodnej umelej inteligencie a vytvorenie skutočného jednotného trhu s údajmi. Vždy, keď ide o osobné údaje, takéto iniciatívy vychádzajú z GDPR. Všeobecné nariadenie o ochrane údajov je základom aj pre odvetvové iniciatívy, ktoré majú vplyv na spracúvanie osobných údajov, napr. v oblasti finančných služieb, zdravia, zamestnanosti, mobility a presadzovania práva.

Zainteresované strany, orgány pre ochranu osobných údajov a členské štáty sa zhodujú v tom, že napriek niektorým problémom všeobecné nariadenie o ochrane údajov prináša jednotlivcom a podnikom významné výsledky. Technologicky neutrálny prístup založený na riziku poskytuje silnú ochranu dotknutým osobám a primerané povinnosti prevádzkovateľom a sprostredkovateľom údajov. Zároveň by sa mal dosiahnuť ďalší pokrok vo viacerých oblastiach. V nadchádzajúcich rokoch by sa mal klásť dôraz najmä na podporu úsilia zainteresovaných strán o dodržiavanie predpisov, najmä malých a stredných podnikov (MSP), malých hospodárskych subjektov, výskumníkov a výskumných organizácií, na poskytovanie jasnejších a účinnejších usmernení zo strany orgánov pre ochranu osobných údajov a na dosiahnutie jednotnejšieho výkladu a presadzovania všeobecného nariadenia o ochrane údajov v celej EÚ.

Podľa článku 97 všeobecného nariadenia o ochrane údajov by Komisia mala preskúmať najmä uplatňovanie a fungovanie medzinárodného prenosu osobných údajov do tretích krajín (t. j. krajín mimo EÚ/EHP) (kapitola V, všeobecné nariadenie o ochrane údajov) a mechanizmy spolupráce a konzistentnosti medzi vnútroštátnymi orgánmi pre ochranu osobných údajov (kapitola VII, všeobecné nariadenie o ochrane údajov). Obdobne ako v správe z roku 2020 sa však aj v tejto správe poskytuje všeobecné posúdenie uplatňovania všeobecného nariadenia o ochrane údajov nad rámec týchto dvoch prvkov – identifikuje sa v nej zoznam opatrení potrebných na podporu účinného uplatňovania tohto nariadenia v kľúčových prioritných oblastiach.

V tejto správe sú zohľadnené tieto zdroje: i) stanoviskozistenia Rady prijatédecembri 2023 ( 2 ); ii) príspevky získané od zainteresovaných strán, najmä od skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov ( 3 )na základe verejnej výzvy na predloženie dôkazov ( 4 )iii) príspevky orgánov pre ochranu osobných údajov [v podobe príspevku Európskeho výboru pre ochranu údajov ( 5 ) (ďalej len „výbor“)správa vypracovaná Agentúrou pre základné práva (FRA) na základe rozhovorovjednotlivými orgánmi pre ochranu osobných údajov ( 6 ) (ďalej len „správa FRA“)]. Správa vychádza ajpriebežného monitorovania uplatňovania všeobecného nariadeniaochrane údajov zo strany Komisie vrátane dvojstranných dialógovčlenskými štátmisúlade vnútroštátnych právnych predpisov, aktívneho prispievaniapráci výboruúzkych kontaktov so širokou škálou zainteresovaných stránsúvislostipraktickým uplatňovaním nariadenia.

2Presadzovanie všeobecného nariadeniaochrane údajovfungovanie mechanizmov spoluprácekonzistentnosti

Cieľom systému presadzovania všeobecného nariadenia o ochrane údajov v štýle jednotného kontaktného miesta je zabezpečiť harmonizovaný výklad a presadzovanie zo strany nezávislých orgánov pre ochranu osobných údajov. V rámci toho systému sa vyžaduje spolupráca medzi orgánmi pre ochranu osobných údajov v prípadoch cezhraničného spracúvania, keď sú významne zasiahnuté dotknuté osoby vo viacerých členských štátoch. Spory medzi orgánmi rieši výbor v rámci mechanizmu konzistentnosti podľa všeobecného nariadenia o ochrane údajov.

2.1Zefektívnenie vybavovania cezhraničných prípadov: návrh procesných pravidiel

V správeroku 2020 sa uvádza potreba účinnejšiehoharmonizovanejšieho riešenia cezhraničných prípadovcelej EÚ, najmä vzhľadom na veľké rozdiely vo vnútroštátnych administratívnych postupochvýkladoch pojmovmechanizme spolupráce podľa všeobecného nariadeniaochrane údajov. Komisia pretojúli 2023 prijala návrh nariadeniaprocesných pravidlách ( 7 ), pričom vychádzala aj zo zoznamu problémov, ktoré výbor predložil Komisiioktóbri 2022 ( 8 ), a z príspevkov zainteresovaných strán ( 9 )členských štátov ( 10 ). Návrh dopĺňa všeobecné nariadenieochrane údajov stanovením podrobných pravidiel týkajúcich sa cezhraničných sťažností, účasti sťažovateľa, procesných práv vyšetrovaných strán (prevádzkovateľovsprostredkovateľov)spolupráce medzi orgánmi pre ochranu osobných údajov. Harmonizáciou týchto procesných aspektov by sa podporilo včasné dokončenie vyšetrovaníposkytnutie rýchleho opravného prostriedku pre jednotlivcov.tomto návrhu sasúčasnosti rokujeEurópskom parlamenteRade.

2.2Zintenzívnenie spolupráce medzi orgánmi pre ochranu osobných údajovvyužívanie mechanizmu konzistentnosti

Počet cezhraničných prípadov saposledných rokoch výrazne zvýšil. Orgány pre ochranu osobných údajov preukázali zvýšenú ochotu využívať nástroje spolupráce, ktoré poskytuje všeobecné nariadenieochrane údajov. Všetky orgány pre ochranu osobných údajov využili nástroj vzájomnej pomoci ( 11 ), ako aj „neformálne“ žiadostivzájomnú pomoc na dobrovoľnom základe. Orgány pre ochranu osobných údajov uprednostňujú neformálne žiadosti,ktorých nestanovujú lehotu na vybavenie ani prísnu povinnosť odpovedať. Hoci výbor prijal usmerneniaspoločných operáciáchroku 2021 ( 12 ), orgány tento nástroj stále významne nevyužívajú ( 13 )ako hlavné dôvody jeho obmedzeného využívania uvádzajú rozdiely vo vnútroštátnych postupochnejasnosť postupu.

Vo všeobecnom nariadeníochrane údajov sa poskytuje dotknutým orgánom pre ochranu osobných údajov možnosť vzniesť relevantnúodôvodnenú námietku, ak nesúhlasianávrhom rozhodnutia vedúceho orgánu pre ochranu osobných údajovcezhraničnom prípade. Ak sa orgány pre ochranu osobných údajov nedokážu dohodnúť na relevantnejodôvodnenej námietke, vo všeobecnom nariadeníochrane údajov sa stanovuje riešenie sporov výborom ( 14 ). Najčastejšie uvádzané témyrelevantnýchodôvodnených námietkach boli: i) právny základ spracúvania; ii) informačné povinnostitransparentnosť; iii) oznamovanie prípadov porušenia ochrany údajov; iv) práva dotknutých osôb; v) výnimky pre medzinárodné prevody; vi) využívanie nápravných opatrenívii) výška správnej pokuty.

Systém presadzovania všeobecného nariadenia o ochrane údajov je založený na predpoklade úprimnej a účinnej spolupráce medzi orgánmi pre ochranu osobných údajov. Hoci postup riešenia sporov zohráva v tejto architektúre presadzovania dôležitú úlohu, mal by sa používať v duchu, v akom bol navrhnutý, a to s náležitým ohľadom na rozdelenie právomocí medzi orgánmi pre ochranu osobných údajov, potrebu dodržiavať práva na riadny súdny proces a záujem dosiahnuť včasné vyriešenie prípadu pre dotknuté osoby. Každý postup riešenia sporov si vyžaduje značné zdroje od vedúceho orgánu, dotknutých orgánov a sekretariátu výboru a odďaľuje sa ním poskytnutie nápravy dotknutým osobám.

Lepšie využívanie nástrojov spolupráce zo strany orgánov pre ochranu osobných údajov

·V systéme výmeny informácií výboru bolo zaregistrovaných takmer 2 400 záznamovprípadoch ( 15 ).

·Hlavné orgány pre ochranu osobných údajov vydali približne 1 500 návrhov rozhodnutí ( 16 ),ktorých 990 vyústilo do konečných rozhodnutí,ktorých sa konštatuje porušenie všeobecného nariadeniaochrane údajov ( 17 ).

·Orgány pre ochranu osobných údajov podali takmer 1 000 „formálnych“ žiadostívzájomnú pomoc ( 18 )približne 12 300 „neformálnych“ žiadostí ( 19 ).

·Začalo sa päť spoločných operácií, na ktorých sa zúčastnili orgány pre ochranu osobných údajov zo siedmich členských štátov.

·Orgány pre ochranu osobných údajov18 členských štátov vzniesli relevantnéodôvodnené námietky ( 20 ).

Orgány pre ochranu osobných údajov čoraz častejšie využívajú mechanizmus konzistentnosti podľa všeobecného nariadeniaochrane údajov. Pozostávatroch zložiek: i) stanoviská výboru; ii) riešenie sporov výboromiii) postup pre naliehavé prípady ( 21 ).

Výbor sa vo svojich stanoviskách čoraz častejšie zaoberá dôležitými problémami všeobecnej platnosti ( 22 ). Výbor by mal pred prijatím týchto stanovísk zabezpečiť včasnézmysluplné konzultácie.prípadoch predložených na riešenie sporov sa riešili otázky, ako je napríklad právny základ pre spracúvanie údajov na účely behaviorálnej reklamysociálnych médiáchspracúvanie údajov detí online. Väčšina následných záväzných rozhodnutí bola napadnutá na Všeobecnom súde.

Transparentnosť rozhodovacieho procesu výboru je kľúčom k zabezpečeniu dodržiavania práva na dobrú správu vecí verejných podľa Charty základných práv EÚ. Postup pre naliehavé prípady podľa všeobecného nariadenia o ochrane údajov umožňuje orgánom pre ochranu osobných údajov odchýliť sa od mechanizmu spolupráce a konzistentnosti s cieľom prijať naliehavé opatrenia, ak je to potrebné na ochranu práv a slobôd dotknutých osôb. Ako výnimka z bežného postupu spolupráce podľa všeobecného nariadenia o ochrane údajov sú nástroje, ako je postup pre naliehavé prípady, určené na použitie len za mimoriadnych okolností a v prípadoch, keď bežný postup spolupráce nemôže chrániť práva a slobody dotknutých osôb.

Mechanizmus konzistentnosti

·Výbor prijal 190 stanovískkonzistentnosti.

·V rámci riešenia sporov bolo prijatých deväť záväzných rozhodnutí ( 23 ). Vo všetkýchnich sa nariadilo vedúcemu orgánu pre ochranu osobných údajov, aby zmenil svoj návrh rozhodnutia,niekoľkonich viedlouloženiu značných pokút.

·Päť orgánov pre ochranu osobných údajov prijalo predbežné opatreniarámci postupu pre naliehavé prípady (Nemecko, Fínsko, Taliansko, NórskoŠpanielsko).

·Dva orgány pre ochranu osobných údajov požiadali výbornaliehavé záväzné rozhodnutie ( 24 )výborjednom prípade nariadil naliehavé konečné opatrenia.

2.3Dôraznejšie presadzovanie

V posledných rokoch došlovýraznému nárastu činnosti orgánov pre ochranu osobných údajovoblasti presadzovania práva vrátane uloženia značných pokútprelomových prípadoch proti „veľkým technologickým“ nadnárodným spoločnostiam. Pokuty boli uložené napríklad za: i) porušenie zákonnostibezpečnosti spracovania; ii) porušenie spracúvania osobitných kategórií osobných údajoviii) nedodržanie práv jednotlivcov ( 25 ). To viedlo súkromné spoločnostitomu, aby „brali ochranu osobných údajov vážne“ ( 26 )pomohlo to zaviesť kultúru dodržiavania predpisovorganizáciách. Orgány pre ochranu osobných údajov prijímajú rozhodnutia,ktorých konštatujú porušenie všeobecného nariadeniaochrane údajovprípadoch vychádzajúcich zo sťažnostívedenýchvlastnej iniciatívy. Mnohé orgány pre ochranu osobných údajov účinne využívajú postupy „urovnania sporu formou zmieru“ na rýchle vyriešenie prípadov založených na sťažnostiachspokojnosti sťažovateľa, hoci tieto postupy nie súdispozícii vo všetkých členských štátoch.návrhu procesných pravidiel sa uznáva možnosť riešiť sťažnosti urovnaním sporu formou zmieru ( 27 ).

Orgány pre ochranu osobných údajov vo veľkej miere využívajú svoje nápravné právomoci, hoci počet uložených nápravných opatrení sa medzi jednotlivými orgánmi značne líši. Okrem pokút boli najčastejšie používanými nápravnými opatreniami upozornenia, pokarhaniapríkazy na dodržiavanie všeobecného nariadeniaochrane údajov. Prevádzkovateliasprostredkovatelia často napadajú rozhodnutiaporušení všeobecného nariadeniaochrane údajov na vnútroštátnych súdoch, najčastejšieprocesných dôvodov ( 28 ).

Dôraznejšie presadzovanie

·Orgány pre ochranu osobných údajov začali viac ako 20 000 vyšetrovanívlastnej iniciatívy ( 29 ).

·Spoločne dostávajú viac ako 100 000 sťažností ročne ( 30 ).

·Medián času, ktorý orgány pre ochranu osobných údajov potrebujú na vybavenie sťažností (od prijatia do uzavretia prípadu), sa pohybuje od 1 do 12 mesiacov a v piatich členských štátoch sú to 3 mesiace alebo menej [Dánsko (1 mesiac), Španielsko (1,5 mesiaca), Estónsko (3 mesiace), Grécko (3 mesiace)Írsko (3 mesiace)].

·Vyše 20 000 sťažností bolo vyriešených urovnaním sporu formou zmieru. Najčastejšie sa využívaRakúsku, Maďarsku, LuxemburskuÍrsku.

·V roku 2022 prijali orgány pre ochranu osobných údajovNemecku najvyšší počet rozhodnutíuložení nápravného opatrenia (3 261), za nimi nasledovali orgányŠpanielsku (774), Litve (308)Estónsku (332). Najmenší počet nápravných opatrení bol uloženýLichtenštajnsku (8), Česku (8), na Islande (10),Holandsku (17)Luxembursku (22).

·Orgány pre ochranu osobných údajov uložili viac ako 6 680 pokút vo výške približne 4,2 miliardy EUR ( 31 ). Najvyššiu celkovú sumu pokút uložil orgánÍrsku (2,8 miliardy EUR), za ktorým nasleduje Luxembursko (746 miliónov EUR), Taliansko (197 miliónov EUR)Francúzsko (131 miliónov EUR). Najnižšie pokuty uložili Lichtenštajnsko (9 600 EUR), Estónsko (201 000 EUR)Litva (435 000 EUR).

Hoci väčšina orgánov pre ochranu osobných údajov považuje svoje vyšetrovacie nástroje za primerané, niektoré požadujú ďalšie nástroje na vnútroštátnej úrovni, napríklad primerané sankcieprípade, že prevádzkovatelia nespolupracujú alebo neposkytujú potrebné informácie ( 32 ). Orgány pre ochranu osobných údajov považujú za hlavný faktor, ktorý ovplyvňuje ich schopnosť presadzovať nariadenie, nedostatočné zdrojenedostatkytechnickýchprávnych znalostiach ( 33 ).

2.4Výbor

Výbor sa skladávedúceho jedného orgánu pre ochranu osobných údajovkaždého členského štátueurópskeho dozorného úradníka pre ochranu údajov, pričom Komisia sa na ňom zúčastňuje bez hlasovacích práv. Úlohou výboru, ktorýjeho práci podporuje sekretariát, je zabezpečiť dôsledné uplatňovanie všeobecného nariadeniaochrane údajov ( 34 ). Väčšina orgánov pre ochranu osobných údajov sa domnieva, že výbor zohral pozitívnu úlohu pri posilňovaní ich vzájomnej spolupráce ( 35 ). Mnohé orgány pre ochranu osobných údajov vyčleňujú na činnosť výboru značné zdroje, hoci menšie orgány uvádzajú, že ich veľkosť im brániplnom zapojení ( 36 ). Niektoré orgány sa domnievajú, že by sa mala zvýšiť efektívnosť procesov výboru, najmä znížením počtu zasadnutívenovaním menšej pozornosti menej dôležitým problémom ( 37 ).závislosti od výsledku rokovanínávrhu procesných pravidielvšeobecnému nariadeniuochrane údajov, ktorého cieľom je znížiť počet prípadov predložených výboru na riešenie sporov, môže byť potrebné zvážiť, či výbor potrebuje dodatočné zdroje.

K novembru 2023 výbor prijal 35 usmernení. Hoci ich zainteresované stranyorgány pre ochranu osobných údajov považujú za užitočné, obe strany sa domnievajú, že usmernenia by sa mali poskytovať rýchlejšieže by sa mala zlepšiť ich kvalita ( 38 ). Zainteresované strany poznamenávajú, že sú často príliš teoretické, príliš dlhéneodráža sanich prístup všeobecného nariadeniaochrane údajov založený na rizikách ( 39 ). Orgány pre ochranu osobných údajovvýbor by mali poskytnúť stručnépraktické usmernenia,ktorých sa poskytujú odpovede na konkrétne problémyodráža sanich rovnováha medzi ochranou údajovinými základnými právami. Usmernenia by mali byť zrozumiteľné aj pre osoby bez právneho vzdelania, napríkladMSPdobrovoľníckych organizáciách ( 40 ). Jedným zo spôsobov, ako to dosiahnuť, je sprehľadniť prípravu usmerneníkonzultovať ichpočiatočnom štádiu, aby bolo možné lepšie pochopiť dynamiku trhu, obchodné postupyspôsob uplatňovania usmernenípraxi ( 41 ). Je vítané, že výborrámci svojej stratégie na roky 2024 – 2027 zdôraznil svoj cieľ poskytovať praktické usmernenia, ktoré sú prístupné príslušnému publiku ( 42 ).

Zainteresované strany zdôrazňujú potrebu ďalších usmernení, najmä pokiaľ ideanonymizáciupseudonymizáciu ( 43 ), oprávnený záujemvedecký výskum ( 44 ). Komisiaspráveroku 2020 vyzvala výbor, aby prijal usmerneniavedeckom výskume, ktoré však zatiaľ neboli prijaté. Vzhľadom na význam vedeckého výskumuspoločnosti, najmä na monitorovanie chorôbvývoj liečby, ako aj na podporu inovácií, je nevyhnutné, aby orgány pre ochranu osobných údajov bezodkladne konalicieľom objasniť tieto otázky ( 45 ). Verejným orgánom by takisto prospelo usmernenie zamerané na konkrétne výzvy, ktorým čelia ( 46 ).

2.5Orgány pre ochranu osobných údajov

2.5.1Nezávislosťzdroje

Nezávislosť orgánov pre ochranu osobných údajov je zakotvenáCharte základných práv EÚ a v Zmluvefungovaní EÚ. Vo všeobecnom nariadeníochrane údajov sa stanovujú požiadavky na zabezpečenie „úplnej nezávislosti“ orgánov pre ochranu osobných údajov ( 47 ).správe agentúry FRA sa konštatovalo, že väčšina orgánov pre ochranu osobných údajov funguje nezávisle od vlády, parlamentu alebo iných verejných orgánov ( 48 ).

Orgány pre ochranu osobných údajov potrebujú primerané ľudské, technické a finančné zdroje, aby mohli účinne a nezávisle vykonávať svoje úlohy podľa všeobecného nariadenia o ochrane údajov. V správe z roku 2020 Komisia konštatovala, že zdroje orgánov pre ochranu osobných údajov stále nie sú uspokojivé, a členské štáty na tento problém dôsledne upozorňovala. Situácia sa odvtedy zlepšila.

Viac zdrojov pre orgány pre ochranu osobných údajov ( 49 )

·V rokoch 2020 až 2024 sa počet zamestnancov zvýšil vo všetkých orgánoch pre ochranu osobných údajov okrem dvoch a v 14 členských štátoch tento nárast presiahol 25 %.

·Najvyšší nárast počtu zamestnancov zaznamenal orgán pre ochranu osobných údajovÍrsku (79 %), za ktorým nasledovali Estónsko, Švédsko (oba 57 %)Bulharsko (56 %).

·V Česku došlomiernemu poklesu počtu zamestnancov orgánu (-1 %), zatiaľ čoLichtenštajnsku sa počet zamestnancov nezvýšilna Cypre (4 %) a v Maďarsku (8 %) došlomiernemu nárastu.

·V rokoch 2020 až 2024 sa rozpočet všetkých orgánov pre ochranu osobných údajov okrem jedného zvýšil a v 13 členských štátoch presiahol 50 %.

·Najväčší nárast rozpočtu zaznamenal orgán pre ochranu osobných údajov na Cypre (130 %), za ktorým nasledovalo Rakúsko (107 %), Bulharsko (100 %)Estónsko (97 %).

·Rozpočet gréckeho orgánu pre ochranu osobných údajov sa znížil15 %, zatiaľ čo rozpočet lichtenštajnského (1 %), slovenského (6 %)českého (8 %) orgánu sa mierne zvýšil.

Hoci tieto štatistiky ukazujú všeobecný trend zvyšovania zdrojov orgánov pre ochranu osobných údajov, samotné orgány sa domnievajú, že im stále chýbajú dostatočné ľudské zdroje ( 50 ). Zdôrazňujú potrebu veľmi špecializovaných technických vedomostí, najmäoblasti novýchvznikajúcich technológií ( 51 ), ktorých nedostatok ovplyvňuje množstvokvalitu ich práce,ťažkostisúťažiľudské zdroje so súkromným sektorom. Orgány pre ochranu osobných údajov uvádzajú ako faktory ovplyvňujúce ich činnosť nedostatočné právne vedomostinedostatočné jazykové zručnosti. Ako kľúčové faktory, ktoré ovplyvňujú schopnosť orgánov prijímaťudržať si zamestnancov, sa uvádzajú nízke odmeny, neschopnosť samostatne vyberať zamestnancovveľké pracovné zaťaženie ( 52 ). Orgány pre ochranu osobných údajov takisto zdôrazňujú, že potrebujú finančné zdroje na modernizáciudigitalizáciu svojich procesovna obstaranie technického vybavenia ( 53 ). Všetky orgány pre ochranu osobných údajov plnia úlohy nad rámec tých, ktoré im boli zverené vo všeobecnom nariadeníochrane údajov ( 54 ), napr. ako dozorné orgány pre smernicupresadzovaní právaoblasti ochrany údajovsmernicusúkromíelektronických komunikáciách, pričom mnohénich vyjadrujú obavyďalších povinností vyplývajúcichnových digitálnych právnych predpisov ( 55 ).

2.5.2Ťažkosti pri vybavovaní veľkého počtu sťažností

Viaceré orgány pre ochranu osobných údajov uvádzajú, že príliš veľa svojich zdrojov využívajú na vybavovanie veľkého počtu sťažností,ktorých väčšina je podľa nich triviálnaneopodstatnená, keďže vybavenie každej sťažnosti je podľa všeobecného nariadeniaochrane údajov povinnosťou, ktorá podlieha súdnemu preskúmaniu ( 56 ). To znamená, že orgány pre ochranu osobných údajov nemôžu vyčleniť dostatočné zdroje na iné činnosti, ako sú vyšetrovaniavlastnej iniciatívy, kampane na zvyšovanie informovanosti verejnostispoluprácaprevádzkovateľmi ( 57 ). Orgány pre ochranu osobných údajov ako orgány verejnej moci majú právomoc prideľovať svoje zdroje podľa vlastného uváženiacieľom plniť každú zo svojich úloh (uvedenýchčlánku 57 ods. 1 všeobecného nariadeniaochrane údajov) vo verejnom záujme. Mnohé orgány pre ochranu osobných údajov prijali stratégie na zvýšenie účinnosti vybavovania sťažností, ako je automatizácia ( 58 ), používanie postupov urovnania sporu formou zmieru ( 59 )„zoskupovanie“ sťažností, ktoré sa týkajú podobných problémov ( 60 ).

2.5.3Výklad všeobecného nariadeniaochrane údajov vnútroštátnymi orgánmi pre ochranu osobných údajov

Hlavným cieľom všeobecného nariadeniaochrane údajov bolo odstrániť fragmentovaný prístupochrane údajov, ktorý existoval podľa predchádzajúcej smerniceochrane údajov (smernica 95/46/ES) ( 61 ). Orgány pre ochranu osobných údajov však naďalej prijímajú odlišné výklady kľúčových pojmov ochrany údajov ( 62 ). Zainteresované strany to považujú za hlavnú prekážku dôsledného uplatňovania všeobecného nariadeniaochrane údajovEÚ. Pretrvávajúce rozdielne výklady vytvárajú právnu neistotuzvyšujú náklady pre podniky (napr. tým, že sa vyžaduje odlišná dokumentácianiekoľkých členských štátoch), narúšajú voľný pohyb osobných údajovEÚ, bránia cezhraničnému podnikaniubrzdia výskuminovácieoblasti naliehavých spoločenských výziev.

Medzi konkrétne problémy, na ktoré upozornili zainteresované strany, patria: i) skutočnosť, že orgány pre ochranu osobných údajovtroch členských štátoch majú každý iný názor na vhodný právny základ pre spracúvanie osobných údajov pri vykonávaní klinického skúšania; ii) názory na to, či je subjekt prevádzkovateľom alebo sprostredkovateľom, sa často rozchádzajúiii)niektorých prípadoch sa orgány pre ochranu osobných údajov neriadia usmerneniami výboru alebo uverejňujú usmernenia na vnútroštátnej úrovni, ktoré súrozporeusmerneniami výboru ( 63 ). Tieto problémy sa ešte zhoršujú, keď viaceré orgány pre ochranu osobných údajovrámci jedného členského štátu prijímajú protichodné výklady.

Niektoré zainteresované strany sa takisto domnievajú, že niektoré orgány pre ochranu osobných údajovvýbor prijímajú výklady, ktoré sa odchyľujú od prístupu vo všeobecnom nariadeníochrane údajov založeného na riziku, čo predstavuje výzvu pre rozvoj digitálneho hospodárstva ( 64 )slobodupluralitu médií. Ako problematické oblasti uvádzajú: i) výklad anonymizácie; ii) právny základ oprávneného záujmusúhlasu ( 65 )iii) výnimky zo zákazu automatizovaného individuálneho rozhodovania ( 66 ). Treba pripomenúť, že úlohou orgánov pre ochranu osobných údajovvýboru je zabezpečiť ochranu fyzických osôbsúvislosti so spracúvaním ich osobných údajov, ako aj voľný pohyb osobných údajovrámci EÚ. Ako sa uznáva vo všeobecnom nariadeníochrane údajov ( 67 ), právo na ochranu osobných údajov sa musí posudzovať vo vzťahujeho funkciispoločnostimusí byť vyváženéostatnými základnými právami,tosúlade so zásadou proporcionality.

2.5.4Spoluprácaprevádzkovateľmisprostredkovateľmi

Zainteresované strany zdôrazňujú prínos možnosti viesť konštruktívny dialógorgánmi pre ochranu osobných údajovcieľom zabezpečiť, aby od začiatku dodržiavali všeobecné nariadenieochrane údajov, najmäsúvislostinovými technológiami. Zainteresované strany poznamenávajú, že niektoré orgány pre ochranu osobných údajov aktívne spolupracujúprevádzkovateľmi, zatiaľ čo iné reagujú pomaly, poskytujú nejasné odpovede alebo nereagujú vôbec ( 68 ).

3Vykonávanie všeobecného nariadeniaochrane údajov členskými štátmi

3.1Fragmentácia vo vnútroštátnom uplatňovaní

Hoci je všeobecné nariadenieochrane údajov ako nariadenie priamo uplatniteľné, od členských štátov saňom vyžaduje, aby prijali právne predpisyurčitých oblastiach,poskytuje sa im možnosť bližšie špecifikovať jeho uplatňovanieobmedzenom počte oblastí ( 69 ). Členské štáty musia pri prijímaní právnych predpisov na vnútroštátnej úrovni dodržiavať podmienkyobmedzenia stanovené vo všeobecnom nariadeníochrane údajov. Rovnako akoroku 2020 zainteresované strany uvádzajú, že sa stretávajúťažkosťami vyplývajúcimifragmentácie vnútroštátnych predpisov,ktorých majú členské štáty možnosť spresniť všeobecné nariadenieochrane údajov, najmä pokiaľ ide o:

·minimálny vek pre súhlas dieťaťasúvislostiponukou služieb informačnej spoločnosti tomuto dieťaťu ( 70 );

·zavedenie ďalších podmienok týkajúcich sa spracovania genetických údajov, biometrických údajov alebo údajovzdravotnom stave zo strany členských štátov ( 71 );

·spracúvanie osobných údajov týkajúcich sa rozsudkovtrestných veciachtrestných činov ( 72 ), čo spôsobuje ťažkostiniektorých regulovaných odvetviach.

Zároveň je dôležité, že mnohé zainteresované strany uvádzajú, že problémy fragmentácie vyplývajú najmä z rozdielnych výkladov všeobecného nariadenia o ochrane údajov zo strany orgánov pre ochranu osobných údajov, a nie z používania fakultatívnych doložiek o špecifikácii zo strany členských štátov.

Členské štáty sa domnievajú, že obmedzená miera fragmentácie je potenciálne akceptovateľnádoložkyšpecifikácii stanovené vo všeobecnom nariadeníochrane údajov sú naďalej prospešné, najmäprípade spracúvania údajov orgánmi verejnej moci ( 73 ). Vo všeobecnom nariadeníochrane údajov sa vyžaduje, aby členské štáty pri príprave právnych predpisov týkajúcich sa spracúvania osobných údajov konzultovali predpisy so svojím vnútroštátnym orgánom pre ochranu osobných údajov ( 74 ).správe agentúry FRA sa zistilo, že niektoré vlády stanovujú pre tieto orgány veľmi krátke lehoty a v niektorých prípadochnimi predpisy vôbec nekonzultujú ( 75 ).

3.2Monitorovanie Komisiou

Komisia priebežne monitoruje vykonávanie všeobecného nariadeniaochrane údajov. Komisia začala proti členským štátom postupyprípade nesplnenia povinnosti týkajúce sa problémov, ako je nezávislosť orgánov pre ochranu osobných údajov (vrátane nezávislosti od vonkajšieho vplyvudostupnosti súdneho prostriedku nápravyprípade odvolania) ( 76 )právo na účinný súdny prostriedok nápravy pre dotknuté osoby, ak orgán pre ochranu osobných údajov nevyhovie sťažnosti ( 77 ).rámci monitorovania Komisia takisto žiada, aby orgány pre ochranu osobných údajov pravidelne poskytovali prísne dôverné informácie ( 78 )prebiehajúcich rozsiahlych cezhraničných prípadoch, najmä tých, ktoré sa týkajú veľkých technologických nadnárodných spoločností.

Komisia pravidelne komunikuječlenskými štátmivykonávaní všeobecného nariadeniaochrane údajov. Ako sa uvádzaspráveroku 2020, Komisia naďalej využívala expertnú skupinu členských štátov zaoberajúcu sa všeobecným nariadenímochrane údajov ( 79 ) na uľahčenie diskusií a výmeny skúsenostíoblasti účinného vykonávania nariadenia. Expertná skupina viedla konkrétne diskusie o: i) dohľade nad súdmi konajúcimirámci svojej súdnej právomoci (článok 55 všeobecného nariadeniaochrane údajov; článok 8 charty); ii) zosúladení práva na ochranu údajovprávom na slobodu prejavu (článok 85 všeobecného nariadeniaochrane údajov)iii) práve na účinný súdny prostriedok nápravy voči dozornému orgánu (článok 78 všeobecného nariadeniaochrane údajov). Po týchto diskusiách Komisia zostavila prehľad prístupovvykonávaniu týchto ustanoveníčlenských štátoch ( 80 ). Komisia využila túto skupinu aj na výmenu názorovčlenskými štátmi pri príprave návrhu procesných pravidiel.

V rámci schengenských hodnotení, ktoré spoločne vykonávajú členské štáty a Komisia, sa posudzuje aj súlad vnútroštátnych právnych predpisov a postupov s pravidlami ochrany údajov stanovenými v súbore právnych predpisov EÚ týkajúcich sa schengenského priestoru. Ročne sa vykoná najmenej päť hodnotení ochrany údajov na mieste, ktoré sa v súčasnosti zameriavajú na rozsiahle informačné systémy a Schengenský informačný systém, vízový informačný systém, ako aj na dozornú úlohu vnútroštátnych orgánov pre ochranu osobných údajov nad týmito systémami.

Komisia aktívne prispievaveľkému počtu prípadov na Súdnom dvore (v posledných rokoch približne 30 prejudiciálnych rozhodnutí ročne), ktoré zohrávajú ústrednú úlohu pri jednotnom výklade kľúčových pojmov všeobecného nariadeniaochrane údajov. Rozrastajúca sa judikatúra Súdneho dvora priniesla niekoľko objasnení, napríklad pokiaľ idevymedzenie osobných údajov ( 81 ), osobitné kategórie osobných údajov ( 82 ), prevádzkovateľa ( 83 ), súhlas ( 84 ), oprávnený záujem ( 85 ), právo na prístup ( 86 ), právo na vymazanie ( 87 ), právo na náhradu škody ( 88 ), automatizované individuálne rozhodovanie ( 89 ), správne pokuty ( 90 ), úradníkov pre ochranu údajov ( 91 ), zverejňovanie osobných údajovregistroch ( 92 )uplatňovanie všeobecného nariadeniaochrane údajov na činnosť parlamentov ( 93 ).

4Práva dotknutých osôb

Informovanosť jednotlivcov o všeobecnom nariadení o ochrane údajov a orgánoch pre ochranu osobných údajov (2024 Eurobarometer 549 o spravodlivosti, právach a hodnotách)

·72 % respondentovEÚ uviedlo, ževšeobecnom nariadeníochrane údajov počulo,toho 40 % vie,čo ide.

·V 19 členských štátoch viac ako 70 % respondentov uviedlo, že sú si vedomí všeobecného nariadeniaochrane údajov, pričom najväčšiu informovanosť majú respondenti vo Švédsku (92 %), po ktorých nasleduje Holandsko (88 %), MaltaDánsko (84 %), zatiaľ čo najmenšiu informovanosť majú respondentiBulharsku (59 %), po ktorých nasleduje Litva (63 %)Francúzsko (64 %).

·68 % respondentovcelej EÚ uviedlo, že počulivnútroštátnom orgáne zodpovednom za ochranu ich práv na ochranu údajov, pričom 24 % všetkých respondentov uviedlo, že vedia aj to, ktorý verejný orgán je za to zodpovedný.

·Vo všetkých členských štátoch aspoň polovica respondentov počulatakomto vnútroštátnom orgáne, pričom najvyšší podiel bolHolandsku (82 %), Česku, SlovinskuPoľsku (všetky 75 %)Portugalsku (74 %). Najmenej sútomto orgáne informovaní respondentiRakúsku (56 %)Španielsku (58 %).

Fyzické osoby sú čoraz viac oboznámené so svojimi právami podľa všeobecného nariadeniaochrane údajovaktívne ich uplatňujú ( 94 ). Orgány pre ochranu osobných údajov vyčleňujú značné zdroje na podporu informovanosti širokej verejnostiprávachpovinnostiachoblasti ochrany údajov, napríklad vo forme kampanísociálnych médiáchtelevízii, liniek pomoci, bulletinovprezentácií vo vzdelávacích inštitúciách ( 95 ). Mnohétýchto iniciatív boli financovanéprostriedkov EÚ ( 96 ). Agentúra pre základné práva konštatuje, že hoci sa povedomie širokej verejnostiochrane údajov zvýšilo, chápanie ochrany údajov je stále nedostatočné,čom svedčí veľký počet banálnych alebo neopodstatnených sťažností ( 97 ). Bolo vyvinutých niekoľko používateľsky ústretových digitálnych nástrojov, ktoré dotknutým osobám uľahčujú výkon ich práv ( 98 ). Legislatívne akty, najmä aktspráve údajov ( 99 ), by malibudúcnosti viesťvytvoreniu ďalších spôsobov uplatňovania práv dotknutých osôb. Podniky konštatujú, že právo na vymazanie sa využíva čoraz častejšie, zatiaľ čoprípade práva na opravupráva na námietku je to zriedkavé.

4.1Právo na prístup

Prevádzkovatelia uvádzajú, že právo na prístup (článok 15 všeobecného nariadeniaochrane údajov) je najčastejšie uplatňovaným právom zo strany dotknutých osôb. Hoci výbor prijal usmerneniatomuto právuroku 2022, prevádzkovatelia naďalej hlásia problémy, napríklad pri výklade pojmu „neopodstatnené alebo neprimerané žiadosti“ ( 100 ), pri odpovedaní na veľký počet žiadostípri vybavovaní žiadostí, ktoré sa podávajú na účely nesúvisiaceochranou údajov, napríklad na zhromažďovanie dôkazov pre súdne konanie ( 101 ). Organizácie občianskej spoločnosti upozorňujú, že odpovede na žiadostiprístup sú často oneskorené alebo neúplné, pričom získané údaje nie sú vždyčitateľnom formáte ( 102 ). Orgány verejnej moci uvádzajú ťažkosti pri interakcii medzi právom na prístuppravidlamiprístupe verejnostidokumentom ( 103 ). Preto je vítané, že výbor vo februári 2024 spustil koordinovaný rámec presadzovania práva na prístup ( 104 ).

4.2Právo na prenosnosť

V správeroku 2020 sa Komisia zaviazala preskúmať praktické prostriedky na uľahčenie zvýšeného využívania práva na prenosnosť (článok 20 všeobecného nariadeniaochrane údajov) jednotlivcamisúlade so stratégiouoblasti údajov. Komisia odvtedy prijala niekoľko iniciatív, ktoré toto právo dopĺňajú. Tieto iniciatívy uľahčujú jednoduchý prechod medzi službami, čím vytvárajú väčší výber pre jednotlivcov, podporujú hospodársku súťažinovácieumožňujú jednotlivcom využívať výhody vyplývajúcepoužívania ich údajov. Aktúdajoch poskytuje používateľom inteligentných zariadení rozšírené právo na prenosnosť údajov vytvorených takýmito zariadeniamnariaďuje saňom, aby konštrukcia výrobku alebo backendového servera výrobcu alebo držiteľa údajov takúto prenosnosť technicky umožňovala.aktedigitálnych trhoch sa vyžaduje, aby poskytovatelia základných platformových služieb označovaní ako „strážcovia prístupu“ zabezpečili účinnú prenosnosť údajov používateľov vrátane nepretržitého prístuputýmto údajomreálnom čase.niekoľkých ďalších iniciatívach Komisie,ktorých sasúčasnosti rokuje alebosúvislostiktorými bola dosiahnutá politická dohoda, sa stanovujú rozšírené práva na prenosnosťkonkrétnych oblastiach, ako je napríklad smernicapráci na platforme ( 105 ), európsky priestor pre zdravotné údaje ( 106 )rámec pre prístupfinančným údajom ( 107 ).

4.3Právo podať sťažnosť

Ako dokazuje veľký počet sťažností, existuje široké povedomiepráve podať sťažnosť orgánu pre ochranu osobných údajov. Organizácie občianskej spoločnosti upozorňujú na neopodstatnené rozdiely vo vnútroštátnych postupoch pri vybavovaní sťažností, čo je problém, ktorý sa riešinávrhu Komisieprocesných pravidlách. Len málo členských štátov využilo možnosť podľa všeobecného nariadeniaochrane údajov poskytnúť neziskovému subjektu právo prijímať opatrenia nezávisle od mandátu dotknutej osoby (článok 80 ods. 2). Smernicareprezentatívnych žalobách ( 108 ) prijatároku 2020 však povedieväčšej harmonizáciitomto ohľade tým, že uľahčí podávanie kolektívnych žalôb jednotlivcamiprípade porušenia všeobecného nariadeniaochrane údajov. Vnútroštátne opatrenia na vykonávanie smernice sa začali uplatňovaťjúni 2023.

4.4Ochrana osobných údajov detí

Pri spracúvaní osobných údajov detí sa vyžaduje osobitná ochrana ( 109 ). Všeobecné nariadenieochrane údajov je súčasťou komplexného právneho rámca, ktorým sa zabezpečuje ochrana detírežime offline aj online ( 110 ). Vzhľadom na zvýšenú prítomnosť detí na internete saposledných rokoch prijalo niekoľko opatrení na úrovni EÚna vnútroštátnej úrovni na podporu ochrany detí na internete. Orgány pre ochranu osobných údajov uložili spoločnostiam sociálnych médií vysoké pokuty za porušenie všeobecného nariadeniaochrane údajov pri spracúvaní údajov detí. Spolupracujú ajinými orgánmicieľom požadovať väčšiu ochranu detíoblasti reklamy. Komisiaspráveroku 2020 vyzvala výbor, aby prijal usmerneniaspracúvaní údajovdeťochna ich vypracovaní sasúčasnosti pracuje ( 111 ). Aktdigitálnych službách obsahuje osobitné ustanovenia na zabezpečenie vysokej úrovne súkromia, bezpečnostiochrany detí, ktoré používajú online platformy.

Niektoré zainteresované strany uvádzajú problémyuplatňovaním práv dotknutých osôb, ak sú nimi deti. Uvádzajú najmä, že deti plne nerozumejú svojim právam, nemajú dostatočné digitálne zručnostimôžu byť vystavené neprípustnému ovplyvňovaniu ( 112 ). Komisia financovala niekoľko iniciatív na vnútroštátnej úrovni zameraných na ochranu údajov detína podporu informovanosti detíochrane údajov ( 113 ). Komisiarámci stratégie Lepší internet pre deti (BIK+) poskytuje deťom zdroje na zvyšovanie informovanostiodbornú prípravuich digitálnych právach vrátane ochrany údajov (napr. digitálny súhlas) ( 114 ). Čoraz väčší dôraz sa kladie na potrebu účinných nástrojov na overovanie veku, ktoré sú šetrnésúkromiu. Komisia začiatkom roka 2024 spolučlenskými štátmi, výboromSkupinou európskych regulačných orgánov pre audiovizuálne mediálne služby zriadila pracovnú skupinu pre overovanie vekucieľom prediskutovaťpodporiť vývoj celoeurópskeho rámcaprístupuoverovaniu veku. Táto spolupráca bude teraz pokračovať pod vedením Európskeho výboru pre digitálne službyrámci pracovnej skupiny pre ochranu maloletých.kontexte nariadenia EÚdigitálnej identite ( 115 ), ktoré nadobudlo účinnosťmáji 2024, Komisia pracuje na zabezpečení toho, aby bolaroku 2026 európska peňaženka digitálnej identitydispozícii pre všetkých občanov EÚosobypobytom na jej území,to aj na účely overovania veku. Kým sa ekosystém peňaženky digitálnej identity stane plne funkčným, vypracuje sa krátkodobé riešenie určené na overovanie veku, ktoré budedispozíciicelej EÚ.

5Príležitostivýzvy pre organizácie, najmä MSP

Všeobecným nariadenímochrane údajov sa vytvorili rovnaké podmienky pre podniky pôsobiace na vnútornom trhutechnologicky neutrálny prístup priaznivý pre inovácieňom umožňuje podnikom znížiť byrokraciuťažiťväčšej dôvery spotrebiteľov ( 116 ). Mnohé podniky si vytvorili internú kultúru ochrany údajovpovažujú ochranu súkromiaúdajov za kľúčové parametre hospodárskej súťaže. Podniky oceňujú prístup vo všeobecnom nariadeníochrane údajov založený na riziku ako hlavnú zásadu, ktorá umožňuje flexibilituškálovateľnosť ich povinností ( 117 ).

5.1Súbor nástrojov pre podniky

Vo všeobecnom nariadeníochrane údajov sa poskytuje súbor nástrojov, ktoré organizáciám umožňujú flexibilne riadiťpreukazovať súlad, vrátane kódexov správania, certifikačných mechanizmovštandardných zmluvných doložiek. Ako bolo oznámenéspráveroku 2020, Komisiaroku 2021 prijala štandardné zmluvné doložkyvzťahu medzi prevádzkovateľomsprostredkovateľom ( 118 ). Tieto štandardné zmluvné doložky predstavujú pohotovýľahko implementovateľný dobrovoľný nástroj na dodržiavanie predpisov, ktorý je obzvlášť užitočný pre maléstredné podniky alebo organizácie, ktoré nemusia mať zdroje na vyjednávanie individuálnych zmlúv so svojimi obchodnými partnermi. Podniky uvádzajú zmiešané názory na používanie štandardných zmluvných doložiektom zmysle, že niektoré spoločnosti (najmä MSP) ich používajú úplne alebo čiastočne, zatiaľ čo iné (najmä väčšie spoločnosti) ich skôr nepoužívajú, pretože uprednostňujú používanie vlastných doložiek.

Podniky zdôrazňujú, že kódexy správania majú veľký potenciál ako odvetvovo špecifickýnákladovo efektívny nástroj na dodržiavanie predpisov ( 119 ). Vypracovávanie kódexov správania bolo však obmedzené ( 120 ). Podľa doteraz dostupných informácií boli schválené len dva celoeurópske kódexy (obaodvetví cloud computingu), zatiaľ čo na vnútroštátnej úrovni bolo schválených šesť kódexov ( 121 ). Zainteresované strany uvádzajú ako hlavné faktory, ktoré obmedzujú zavádzanie kódexov správania, náročné požiadavky (vrátane potreby zriadiť akreditovaný monitorovací orgán), nedostatočné zapojenie orgánov pre ochranu osobných údajovzdĺhavý schvaľovací proces ( 122 ).

Je potrebná väčšia transparentnosť procesu a jasný časový harmonogram schvaľovania. Orgány pre ochranu osobných údajov a v prípade celoeurópskych kódexov výbor by mali aktívnejšie podporovať vypracúvanie kódexov správania spoluprácou so združeniami, ktoré tieto kódexy vypracúvajú. Pomôže to vyriešiť rozdiely vo výklade a urýchliť proces schvaľovania. Zainteresované strany vyjadrujú poľutovanie nad dlhými oneskoreniami pri prijímaní kódexov správania, ktoré boli spôsobené problémami, o ktorých sa paralelne diskutovalo v rámci práce na usmerneniach. Podniky podobne uvádzajú, že certifikácia sa vo veľkej miere nevyužíva, pretože proces vývoja je pomalý a zložitý. Podobne ako v prípade kódexov správania by orgány pre ochranu osobných údajov mali stanoviť jasnejšie lehoty na preskúmanie a schválenie osvedčení.

Výbor sa vo svojej stratégii na roky 2024 – 2027 zaviazal naďalej podporovať opatrenia na zabezpečenie súladu, ako je certifikáciakódexy správania,to aj spoluprácoukľúčovými skupinami zainteresovaných stráncieľom vysvetliť, ako sa tieto nástroje môžu používať ( 123 ).

5.2Osobitné výzvy pre MSPmalé hospodárske subjekty

Komisiaspráveroku 2020 vyzvala na zintenzívnenie úsilia na podporu dodržiavania všeobecného nariadeniaochrane údajov zo strany MSP.posledných rokoch orgány pre ochranu osobných údajovvýbor pokračovali vo vývoji nástrojov na zabezpečenie súladu pre maléstredné podniky, čiastočnefinančnou podporou zo strany Komisie ( 124 ). Výbor vydalapríli 2023 príručkuochrane údajov pre malé podniky ( 125 ),ktorej sa poskytujú praktické informácie pre MSPprístupnejľahko zrozumiteľnej forme.

MSPmnohých členských štátoch zdôrazňujú výhody prispôsobenej podpory zo strany miestnych orgánov pre ochranu osobných údajov. Rozdielny prístupzvyšovaniu informovanostiusmerňovaniu zo strany orgánov pre ochranu osobných údajov však znamená, že MSPniektorých členských štátoch vnímajú dodržiavanie predpisov ako zložitéobávajú sa presadzovania ( 126 ). Orgány pre ochranu osobných údajov by mali zdvojnásobiť svoje úsilie pri riešení týchto problémov,to aj aktívnou spoluprácouMSPcieľom rozptýliť akékoľvek neopodstatnené obavydodržiavania predpisov. Orgány pre ochranu osobných údajov by sa mali zamerať na poskytovanie podpory šitej na mierupraktických nástrojov, ako sú vzory (napr. na vykonanie posúdenia vplyvu na ochranu údajov), linky pomoci, názorné príklady, kontrolné zoznamyusmernenia týkajúce sa konkrétnych spracovateľských operácií (napr. fakturácie alebo zasielania správ)technickýchorganizačných opatrení. Keďže väčšina MSP nemá interné odborné znalostioblasti ochrany údajov, všetky usmernenia určené MSP by mali byť ľahko zrozumiteľné aj pre osoby bez právneho vzdelania ( 127 ).

V súladeprístupom vo všeobecnom nariadeníochrane údajov založeným na riziku MSP, ktoré vykonávajú nízkorizikové spracovateľské činnosti, nenesú značné bremeno spojenédodržiavaním predpisov. Zatiaľ čo výnimka týkajúca sa vedenia záznamovspracovateľských činnostiach ( 128 ) sa uplatňuje za obmedzených okolností ( 129 ), MSP vykonávajúce spracúvanienízkym rizikom ju môžu dodržiavať vedením zjednodušených záznamov na základe vzorov poskytnutých orgánmi pre ochranu osobných údajov. Takéto záznamy by sa navyše mali považovať za užitočný nástroj pre MSP na inventarizáciu ich spracovateľských činností.

5.3Zodpovedné osoby

Zodpovedné osoby zohrávajú dôležitú úlohu pri zabezpečovaní súladu so všeobecným nariadenímochrane údajovorganizáciách,ktorých pracujú. Zodpovedné osoby pôsobiaceEÚ majú vo všeobecnosti potrebné vedomostizručnosti na vykonávanie svojich úloh podľa všeobecného nariadeniaochrane údajovich nezávislosť sa rešpektuje ( 130 ). Pretrváva však niekoľko výziev vrátane: i) ťažkostí pri vymenovaní zodpovedných osôbpožadovanými odbornými znalosťami; ii) chýbajúcich celoeurópskych noriem pre vzdelávanieodbornú prípravu; iii) nedostatočného začlenenia zodpovedných osôb do organizačných procesov; iv) nedostatku zdrojov; v) ďalších úloh mimo ochrany údajovvi) nedostatočného počtu odpracovaných rokov ( 131 ). Výbor konštatoval, že je potrebné, aby orgány pre ochranu osobných údajov zintenzívnili činnosti zamerané na zvyšovanie informovanosti, ako aj svoje informačnépresadzovacie činnosticieľom zabezpečiť, aby zodpovedné osoby mohli plniť svoju úlohu podľa všeobecného nariadeniaochrane údajov ( 132 ).

6Všeobecné nariadenieochrane údajov ako pilier politiky EÚdigitálnej oblasti

6.1Digitálna politika založená na všeobecnom nariadeníochrane údajov

V správe z roku 2020 sa Komisia zaviazala podporovať dôsledné uplatňovanie rámca ochrany údajov vo vzťahu k novým technológiám s cieľom podporiť inovácie a technologický rozvoj. EÚ odvtedy prijala celý rad iniciatív, z ktorých niektoré dopĺňajú všeobecné nariadenie o ochrane údajov alebo spresňujú, ako by sa malo uplatňovať v konkrétnych oblastiach, aby sa dosiahli konkrétne ciele, ako sa uvádza ďalej v texte.

·V aktedigitálnych službách ( 133 ), ktorého cieľom je zabezpečiť bezpečné online prostredie pre jednotlivcovpodniky, sa online platformám zakazuje zobrazovať reklamy založené na profilovanípoužitím „osobitných kategórií osobných údajov“, ako sú vymedzené vo všeobecnom nariadeníochrane údajov.

·Aby sa digitálne trhy stali spravodlivejšímisúťažeschopnejšími,aktedigitálnych trhoch ( 134 ) sa prevádzkovateľom označeným ako „strážcovia prístupu“ zakazuje „kombinovať“„krížovo používať“ osobné údaje medzi ich hlavnými platformovými službamiinými službami, pokiaľ používateľ neposkytol svoj súhlas, ako je vymedzené vo všeobecnom nariadeníochrane údajov.

·V akteumelej inteligencii ( 135 ) sa stanovujú pravidlá EÚochrane údajovkonkrétnych oblastiach,ktorých sa používa umelá inteligencia, napríkladsystémoch diaľkovej biometrickej identifikácie, spracúvaní osobitných kategórií údajov na zisťovanie zaujatostiďalšom spracúvaní osobných údajovregulačných sandboxoch.

·Smernicapráci na platformách ( 136 ) dopĺňa všeobecné nariadenieochrane údajovoblasti zamestnanosti stanovením pravidiel týkajúcich sa automatizovaných systémov monitorovaniarozhodovania, ktoré používajú digitálne pracovné platformy,najmä obmedzení spracúvania osobných údajov, transparentnosti ľudského dohľadupreskúmaniaprenosnosti.

·V nariadenípolitickej reklame ( 137 ) sa zakazuje používanie osobitných kategórií osobných údajovpolitickej reklamevyžaduje sa väčšia transparentnosťsúvislostipoužívanými technikami cieleniazosilňovania.

·Európske nariadeniedigitálnej identite umožňuje vytvorenie univerzálnej, dôveryhodnejbezpečnej európskej peňaženky digitálnej identity. Jednotlivci vďaka nej budú môcť preukázať osobné informácie, medzi ktoré patria vek, vodičské preukazy, diplomybankové účty,toplnou kontrolou nad svojimi osobnými údajmibez zbytočnej výmeny údajov.

O návrhu nariadeniasúkromíelektronických komunikáciách ( 138 ), ktoré má nahradiť súčasnú smernicusúkromíelektronických komunikáciách ( 139 )doplniť legislatívny rámec ochrany súkromiaúdajov, sa rokuje už niekoľko rokov. Treba sa zamyslieť nad ďalšími krokmi týkajúcimi sa tejto iniciatívy vrátane jej vzťahuvšeobecnému nariadeniuochrane údajov.

Cieľom aktuinteroperabilnej Európe ( 140 ) je zabezpečiť interoperabilitu digitálnych verejných služiebcelej EÚ. Podporuje sa ním spolupráca medzi orgánmi pre ochranu osobných údajov, najmä regulačnými sandboxami interoperability.

Niekoľko iniciatív EÚ poskytuje právny základ pre spracúvanie osobných údajov súkromnými subjektmi na účely prevencie, vyšetrovania, odhaľovania alebo stíhania trestných činov. Všetky takéto právne predpisy musia byť starostlivo zamerané na minimalizáciu zásahov do práva na ochranu osobných údajovmusia byť primerané sledovanému cieľu ( 141 ). Rámec, na základe ktorého by sa tieto iniciatívy mali posudzovať, poskytujú charta, všeobecné nariadenieochrane údajovjudikatúra Súdneho dvora. Navrhovaný balík opatrení proti praniu špinavých peňazí ( 142 ) obsahuje významné záruky ochrany osobných údajov bez toho, aby bol ohrozený cieľ zmierniť riziká prania špinavých peňazífinancovania terorizmuúčinne odhaľovať pokusy zločincovzneužitie finančného systému EÚ.

Rada v tejto súvislosti zdôraznila, že všetky nové právne predpisy EÚ obsahujúce ustanovenia o spracúvaní osobných údajov by mali byť v súlade so všeobecným nariadením o ochrane údajov a judikatúrou Súdneho dvora.

6.2Právny rámec na zlepšenie výmeny údajov

Cieľom stratégie v oblasti údajov je vytvoriť jednotný trh s údajmi, na ktorom budú údaje voľne prúdiť v rámci EÚ a medzi jednotlivými odvetviami v prospech podnikov, výskumníkov a verejnej správy. Kľúčovým cieľom stratégie v oblasti údajov je vytvorenie spoločných európskych dátových priestorov, ktoré uľahčujú zhromažďovanie, sprístupňovanie a výmenu údajov. Pokiaľ ide o osobné údaje, vo všeobecnom nariadení o ochrane údajov sa poskytuje rámec pre všetky iniciatívy, ktorých cieľom je zlepšiť voľný tok údajov v EÚ, čo je aj cieľom všeobecného nariadenia o ochrane údajov. Pokiaľ ide o osobné údaje, ochrana podľa všeobecného nariadenia o ochrane údajov nie je dotknutá.

Piliermi stratégieoblasti údajov sú aktspráve údajov ( 143 )aktúdajoch ( 144 ).aktespráve údajov sa stanovujú konkrétne pravidlásúvislostiopakovaným použitím údajov verejného sektora obsahujúcich osobné údaje, stanovuje sa legislatívny rámec pre služby sprostredkovania údajov vrátane služieb správy osobných informácií (PIMS) alebo cloudových systémovosobnými údajmi, ktoré sa ponúkajúcieľom posilniť postavenie dotknutých osôb pri uplatňovaní ich práv podľa všeobecného nariadeniaochrane údajov. Stanovujú saňom aj podmienky používania údajov na altruistické účely. Aktúdajoch posilňuje kontrolu dotknutých osôb nad údajmi, ktoré vytvárajú používaním inteligentných zariadení, ktoré vlastnia, prenajímajú alebo majú na lízing, tým, že saňom stanovujú technické požiadavky na prístupúdajomich prenosnosť.

V európskom priestore pre zdravotné údaje (EHDS) ( 145 ) sú reflektované špecifické potreby identifikovanéodvetví zdravotných údajovzároveň saňom vychádza zo všeobecného nariadeniaochrane údajov. Umožňuje jednotlivcom jednoduchý prístupich zdravotným údajomelektronickej podobeich zdieľanie so zdravotníckymi pracovníkmi,to ajiných členských štátoch, čím sa zlepšuje poskytovanie zdravotnej starostlivostizvyšuje sa kontrola pacientov nad ich údajmi. Zavádza sa ním aj spoločný právny rámec pre opakované použitie zdravotných údajov na účely, ako je výskum, inovácieverejné zdravie, na základe povolenia vydaného orgánom pre prístupzdravotným údajom.cieľom zabezpečiť ochranu osobných údajov bude EHDS poskytovať dôveryhodné prostredie na bezpečný prístupzdravotným údajomich spracovanie. Komisia naďalej podporuje prácu na rozvoji spoločných európskych dátových priestorov14 odvetviach vykonávaním nového legislatívneho rámcafinancovaním iniciatív pre jednotlivé odvetvia.

6.3Riadenie nových digitálnych pravidiel

Vypracúvanie digitálnych predpisov vyvoláva potrebu úzkej spolupráce medzi regulačnými oblasťami ( 146 ). Takáto spolupráca jeto potrebnejšia, že problémy spojenéochranou údajov sa čoraz viac prelínajú napríkladotázkami práva hospodárskej súťaže, spotrebiteľského práva, pravidiel digitálnych trhov, regulácie elektronických komunikácií či kybernetickej bezpečnosti. Tak je to napríklad pri posudzovaní zlučiteľnosti modelov „pay or OK“právom EÚ.

V niektorých prípadoch sú orgány pre ochranu osobných údajov poverené presadzovaním konkrétnych ustanovení nových digitálnych právnych predpisov EÚ ( 147 ). Nové digitálne predpisy vytvárajú aj osobitné štruktúry,rámci ktorých sa združujú príslušné regulačné orgánycieľom zabezpečiť jednotné presadzovanie, ako je napríklad skupina na vysokej úrovni pre aktdigitálnych trhoch, Európsky dátový inovačný výbor (zriadený na základe aktuspráve údajov)Európsky výbor pre digitálne služby (zriadený na základe aktudigitálnych službách).smernici NIS 2 ( 148 ) sa stanovujú podrobnejšie pravidlá spolupráce medzi regulačnými orgánmiorgánmi pre ochranu osobných údajov pri riešení bezpečnostných incidentov, ktoré predstavujú porušenie ochrany osobných údajov.

Mimo týchto formálnych štruktúr prijímajú orgány pre ochranu osobných údajov opatrenia na zabezpečenie toho, aby sa ich opatrenia dopĺňali a boli v súlade s inými regulačnými oblasťami. V júli 2020 zriadili orgány pre ochranu spotrebiteľov a osobných údajov „skupinu dobrovoľníkov“ s cieľom určiť najlepšie postupy a vymieňať si skúsenosti s presadzovaním práva. Orgány pre ochranu osobných údajov sa naďalej zúčastňujú na spoločných seminároch so sieťou spolupráce v oblasti ochrany spotrebiteľa. Výbor zriadil v roku 2023 pracovnú skupinu pre vzájomné pôsobenie ochrany údajov, hospodárskej súťaže a ochrany spotrebiteľa.

Hoci je tento vývoj pozitívny, sú potrebné štruktúrovanejšieúčinnejšie prostriedky spolupráce, najmä na riešenie situácií, ktoré sa týkajú veľkého počtu osôbzahŕňajú niekoľko regulačných orgánov ( 149 ). Všetky takéto štruktúry by mali zabezpečiť, aby orgány zostali vždy zodpovedné za všetky otázky týkajúce sa dodržiavania pravidielrámci svojich právomocí. Členské štáty by sa mali usilovať ajzabezpečenie primeranej spolupráce na vnútroštátnej úrovni ( 150 ).

7Medzinárodné prenosyglobálna spolupráca

7.1Nástroje všeobecného nariadeniaochrane údajov týkajúce sa prenosu

Dátové toky sa stali neoddeliteľnou súčasťou digitálnej transformácie spoločnosti a globalizácie hospodárstva. Viac než kedykoľvek predtým je rešpektovanie súkromia podmienkou stabilných, bezpečných a konkurencieschopných obchodných tokov, ako aj predpokladom mnohých foriem medzinárodnej spolupráce. Nástroje všeobecného nariadenia o ochrane údajov týkajúce sa prenosu, ktoré sú uvedené v kapitole V nariadenia, ponúkajú rôzne nástroje na riešenie rôznych scenárov prenosu a zároveň zabezpečujú, aby sa na údaje vzťahovala vysoká úroveň ochrany aj po opustení EÚ.

Od správyroku 2020 sa požiadavky na prenosy údajov stanovenéprávnych predpisoch EÚochrane údajov ďalej objasnilisúbor nástrojov na prenos sa ďalej vyvíjal. Dôležité objasnenie sa týka pojmu „medzinárodný prenos“, ktorý výbor vymedzil ( 151 ) ako pojem zahŕňajúci akékoľvek poskytnutie osobných údajov prevádzkovateľom alebo sprostredkovateľom, ktorých spracúvanie podlieha všeobecnému nariadeniuochrane údajov, inému prevádzkovateľovi alebo sprostredkovateľovitretej krajine bez ohľadu na to, či sa na spracúvanie zo strany sprostredkovateľa vzťahuje všeobecné nariadenieochrane údajov ( 152 ). Toto usmernenie výboru bolo obzvlášť dôležité na zabezpečenie právnej istoty pre európskych prevádzkovateľovsprostredkovateľov, pokiaľ idescenáre,ktorých je potrebný nástroj týkajúci sa prenosu podľa kapitolyvšeobecného nariadeniaochrane údajov.

Ďalšie objasnenia poskytol aj Súdny dvor vo svojom rozsudku vo veci Schrems II ( 153 )ochrane, ktorú musia poskytovať rôzne nástroje týkajúce sa prenosu, aby sa zabezpečilo, že nebude narušená úroveň ochrany zaručená všeobecným nariadenímochrane údajov ( 154 ). Týmito nástrojmi sa musí najmä zabezpečiť, aby sa jednotlivcom, ktorých údaje sa prenášajú mimo EÚ, poskytla úroveň ochranyzásade rovnocennáúrovňou ochrany zaručenourámci EÚ ( 155 ). Vývozca údajovEÚ je zodpovedný za posúdenie, či idetento prípad,prihliadnutím na konkrétne okolnosti jeho prenosov ( 156 ).

Na posúdenie úrovne ochrany musia vývozcovia údajov zvážiť záruky ochrany údajov stanovenénástroji týkajúcom sa prenosu údajov uzavretomdovozcom údajovkrajiny mimo EÚ (napr. zmluva), ako aj príslušné aspekty právneho systému krajiny,ktorej sa dovozca údajov nachádza, najmä pokiaľ idemožný prístup orgánov verejnej mocitejto krajineúdajom ( 157 ). Tieto skutočnosti sa musia posúdiť na základe kritérií posúdenia primeranosti stanovenýchčlánku 45 všeobecného nariadeniaochrane údajov. Súdny dvor tieto kritériá ďalej rozpracoval, najmä pokiaľ idepravidlá prístupu orgánov verejnej mociosobným údajom na účely presadzovania právanárodnej bezpečnosti.

Tento výklad sa odzrkadlil ajusmerneniach výboru, ktorý aktualizoval svoje „referenčné kritérium primeranosti“ ( 158 ) (ktorým sa poskytovali usmerneniaprvkoch, ktoré musí Komisia zohľadniť pri vykonávaní posúdenia primeranosti). Výbor prijal aj nové usmernenie, ktorým sa poskytujú ďalšie objasnenia týkajúce sa: i) prvkov, ktoré majú jednotliví vývozcovia údajov zohľadniť pri posudzovaní úrovne ochrany; ii) prehľadu potenciálnych zdrojov, ktoré možno použiťiii) príkladov možných doplnkových opatrení (napr. zmluvnýchtechnických záruk) ( 159 ).usmernení sa osobitne zdôrazňuje, že každé posúdenie, ktoré vykonávajú vývozcovia údajov, je jedinečné,preto musia zohľadniť špecifické črty každého prenosu, ktoré sa môžu líšiťzávislosti od účelu prenosu údajov, typov zúčastnených subjektov, odvetvia,ktorom sa prenos uskutočňuje, kategórií prenášaných osobných údajov atď. ( 160 ).

Vzhľadom na tieto rôzne objasnenia požiadaviek na medzinárodné prenosy údajov sa v uplynulých rokoch podnikli významné kroky na ďalší rozvoj a vykonávanie nástrojov všeobecného nariadenia o ochrane údajov týkajúcich sa prenosu.

7.1.1Rozhodnutiaprimeranosti

Ako sa odráža ajspätnej väzbe získanej od zainteresovaných strán, kľúčovú úlohunástrojoch všeobecného nariadeniaochrane údajov týkajúcich sa prenosu naďalej zohrávajú rozhodnutiaprimeranosti ( 161 ), pretože poskytujú jednoduchékomplexné riešenie pre prenosy údajov bez toho, aby vývozca údajov musel poskytovať ďalšie záruky alebo získavať akékoľvek povolenie. Zabezpečením voľného toku osobných údajov sa týmito rozhodnutiami otvorili obchodné kanály pre prevádzkovateľovEÚ,to aj doplnenímrozšírením výhod obchodných dohôd,uľahčila sa spolupráca so zahraničnými partnermiširokej škále oblastí, od regulačnej spolupráce až po výskum.

Od vydania správyroku 2020 sa počet krajín, ktoré zaviedli moderné zákonyochrane údajov,ktorých sa okrem iného stanovujú kľúčové zásady ochrany údajov, individuálne právaúčinné presadzovanie zo strany nezávislých regulačných orgánov, naďalej zvyšuje. Tento trend ( 162 ) takisto umožnil Komisii zintenzívniť svoju prácuoblasti primeranosti. Patrí sem aj prijatie rozhodnutiaprimeranosti týkajúce sa Spojeného kráľovstva ( 163 ), ktoré je kľúčové pre zabezpečenie riadneho fungovania rôznych dohôd uzavretých so Spojeným kráľovstvom po brexite.cieľom zabezpečiť, aby bolo rozhodnutieprimeranosti odolné ajbudúcnosti, obsahuje „doložkuzániku“, ktorej platnosť sa skončíroku 2025môže sa následne obnoviť, ak bude úroveň ochrany naďalej primeraná. Komisia prijala aj rozhodnutieprimeranosti týkajúce sa Kórejskej republiky ( 164 ), ktoré dopĺňa dohoduvoľnom obchode medzi EÚKóreoutoku osobných údajovuľahčuje regulačnú spoluprácu. Prvé preskúmanie rozhodnutiaprimeranosti sa plánuje na koniec roka 2024.

Okrem toho po zrušení rozhodnutiaprimeranosti štítu na ochranu súkromia medzi EÚUSA Komisia začala rokovaniavládou Spojených štátov (USA)cieľom vypracovať následnú dohodusúladepožiadavkami, ako ich objasnil Súdny dvor ( 165 ). Prezident USA prijal nový výkonný príkaz „Zlepšenie záruk pre činnosti spravodajských služieb Spojených štátovoblasti signálov“, ktorým sa zaviedli nové záväznévynútiteľné zárukycieľom zabezpečiť, aby saúdajom mohlo pristupovať na účely národnej bezpečnosti lennevyhnutnomprimeranom rozsahuaby Európania malidispozícii účinné opravné prostriedky. Na základe toho Komisia prijala rozhodnutieprimeranosti rámca EÚ – USA na ochranu osobných údajov (DPF) ( 166 ), ktoré umožňuje voľný tok osobných údajovEÚ do amerických spoločností, ktoré saDPF pripojili. Keďže záruky zavedené vládou USAoblasti národnej bezpečnosti sa vzťahujú na všetky prenosy údajov do spoločnostíUSA bez ohľadu na použitý mechanizmus prenosu podľa všeobecného nariadeniaochrane údajov, výrazne sa uľahčilo používanie iných nástrojov, ako sú štandardné zmluvné doložkyzáväzné vnútropodnikové pravidlá. Prvé preskúmanie fungovania DPF sa uskutočnílete 2024cieľom overiť, či boli všetky relevantné prvkyplnej miere zahrnuté do právneho rámca USAči účinne fungujúpraxi.

V súčasnosti prebiehajú rokovaniaprimeranostiBrazíliouKeňou, ako aj po prvýkrátniekoľkými medzinárodnými organizáciami (rokovaniaprimeranosti sú napríkladpokročilom štádiuEurópskou patentovou organizáciou) ( 167 ). Okrem iného ajsúladevýzvami rôznych zainteresovaných strán ( 168 ) sa Komisia aktívne zapojila do prieskumných rokovaníkrajinamirôznych regiónoch sveta.

Komisia takisto neustále monitoruje vývojkrajinách, ktoré už využívajú zisteniaprimeranosti,pravidelne prehodnocuje existujúce rozhodnutiasúlade so svojimi príslušnými povinnosťami podľa všeobecného nariadeniaochrane údajov ( 169 ).apríli 2023 Komisia prijala správuprvom pravidelnom preskúmaní rozhodnutiaprimeranosti týkajúceho sa Japonska ( 170 ),ktorej dospelazáveru, že Japonsko naďalej zabezpečuje primeranú úroveň ochrany ( 171 ).rámci preskúmania sa ukázalo, že rámce EÚJaponska pre ochranu údajov sa od prijatia rozhodnutívzájomnej primeranosti ďalej zbližovali.

Okrem toho sasúladečlánkom 97 všeobecného nariadeniaochrane údajov začalo prvé preskúmanie 11 rozhodnutíprimeranosti ( 172 ) prijatých podľa predchádzajúceho rámca EÚ pre ochranu údajov (smernicaochrane údajov)rámci hodnotenia uplatňovaniafungovania všeobecného nariadeniaochrane údajovroku 2020. Ukončenie tohto aspektu preskúmania bolo odložené, najmäcieľom zohľadniť rozsudok Súdneho dvora vo veci Schrems IInásledný výklad výboru. Uvedené objasnenia Súdneho dvora týkajúce sa kľúčových prvkov normy primeranosti viedlipodrobnej výmene informáciídotknutými krajinamiúzemiamipríslušných aspektoch ich právneho rámca, ako ajmechanizmoch dohľadupresadzovania.

Komisia 15. januára 2024 uverejnila svoju správutýchto 11 rozhodnutiach spolupodrobnými správamijednotlivých krajinách,ktorých opisuje vývojkaždejtýchto krajínúzemí od prijatia rozhodnutíprimeranosti, ako aj pravidlá, ktoré sa uplatňujú na prístup verejných orgánovúdajom, najmä na účely presadzovania právanárodnej bezpečnosti ( 173 ).správe sa konštatuje, že všetkých 11 krajínúzemí naďalej poskytuje primeranú úroveň ochrany osobných údajov prenášanýchEÚ. Reflektuje sanej skutočnosť, že všetky dotknuté krajinyúzemia rôznym spôsobom modernizovaliposilnili svoj právny rámec ochrany súkromia. Okrem toho sazáujme riešenia príslušných rozdielovúrovni ochranyniektorými krajinamiúzemiami rokovalododatočných zárukáchprípade osobných údajov prenášanýchEurópy, ak to bolo potrebné na zabezpečenie kontinuity rozhodnutiaprimeranosti,na týchto dodatočných zárukách sa dohodlo.

Tieto preskúmania takisto ukazujú, že rozhodnutia o primeranosti nie sú „koncovým bodom“, ale položili základ pre užšiu spoluprácu a ďalšie zbližovanie právnych predpisov medzi EÚ a týmito podobne zmýšľajúcimi partnermi. Napríklad v správe o prvom preskúmaní rozhodnutia o primeranosti týkajúceho sa Japonska sa uznáva, že ďalšie posilnenie japonského rámca ochrany údajov môže pripraviť pôdu na rozšírenie rozhodnutia o primeranosti nad rámec obchodných výmen, aby sa vzťahovalo na prenosy, ktoré sú v súčasnosti vylúčené z jeho rozsahu pôsobnosti, napríklad v oblasti regulačnej spolupráce a výskumu. Rozhovory o možnom rozšírení prebiehajú. Rozhodnutia o primeranosti sa vo všeobecnosti stali strategickou súčasťou celkových vzťahov EÚ s týmito zahraničnými partnermi a sú považované za hlavný faktor prehlbovania spolupráce v mnohých oblastiach.

Rastúca sieť krajínúzemí,súvislostiktorými EÚ prijala rozhodnutieprimeranosti, predstavuje nielen silný základ pre intenzívnejšiu dvojstrannú spoluprácu, ale aj nové príležitosti na maximalizáciu výhod bezpečnýchvoľných tokov údajovna užšiu spoluprácu medzi podobne zmýšľajúcimi partnermi pri presadzovaní pravidiel ochrany údajov. Komisia pretomarci 2024 zorganizovala vôbec prvé stretnutie na vysokej úrovnibezpečných tokoch údajov, na ktorom sa zišli zodpovední ministrivedúci orgánov pre ochranu osobných údajov15 krajínúzemí,súvislostiktorými EÚ prijala rozhodnutieprimeranosti, ako aj predseda Európskeho výboru pre ochranu údajov ( 174 ). Na stretnutí bolo stanovených niekoľko konkrétnych akčných bodov, na ktorých sarámci tejto skupiny pracuje.

Všeobecnejšie povedané, vďaka svojmu „sieťovému účinku“ sú rozhodnutiaprimeranosti prijaté Európskou komisiou čoraz relevantnejšie aj mimo EÚ, keďže umožňujú nielen voľný tok údajov30 hospodárstvami EHP, ale ajmnohými ďalšími jurisdikciami na celom svete uznávajúcimi krajiny, ktoré súexistujúcich rozhodnutiachprimeranosti EÚ označené ako „bezpečné destinácie“ podľa ich vlastných pravidiel ochrany údajov ( 175 ).

7.1.2Nástroje zabezpečujúce primerané záruky

Od správy z roku 2020 boli vyvinuté ďalšie nástroje, ktoré poskytujú vhodné záruky, a boli vydané praktické usmernenia na uľahčenie ich používania.

Ako bolo oznámenéspráveroku 2020, Komisia prijala modernizované štandardné zmluvné doložky ( 176 ), ktoré boli vypracované na základe rozsiahlej spätnej väzby od rôznych zainteresovaných strán ( 177 ). Nové štandardné zmluvné doložky nahradili tri súbory štandardných zmluvných doložiek, ktoré boli prijaté na základe smerniceochrane údajov. Medzi hlavné inovácie patria: i) aktualizované ochranné opatreniasúlade so všeobecným nariadenímochrane údajov; ii) modulárny prístup, ktorý ponúka jediný vstupný bod pokrývajúci širokú škálu scenárov prenosu; iii) väčšia flexibilita pri používaní štandardných zmluvných doložiek viacerými stranamiiv) praktický súbor nástrojov na dodržanie súladurozsudkom vo veci Schrems II.

Zainteresované strany modernizované štandardné zmluvné doložky privítalizískaná spätná väzba potvrdzuje, že štandardné zmluvné doložky zostávajú zďaleka najpoužívanejším nástrojom na prenosy údajov zo strany vývozcov údajovEÚ ( 178 ).cieľom pomôcť vývozcom údajov pri ich úsilídosiahnutie súladu Komisia vypracovala otázkyodpovede, ktoré poskytujú ďalšie usmerneniapoužívaniu doložiek ( 179 )ktoré budú ďalej aktualizované, ak sa objavia nové otázky,to aj na základe ďalšej spätnej väzby získanejrámci tohto hodnotenia.

Mnohí vývozcovia údajov uvádzajú, že majú ťažkostivykonávaním „posúdení vplyvu prenosu“, ktoré sa vyžadujúrozsudku vo veci Schrems II, pričom poukazujú najmä na ich zložitosť, ako aj na nákladyčas potrebný na ich vykonanie ( 180 ). Vítajú usmernenie výboruštandardné zmluvné doložky, požadujú však ďalšie usmernenia (napr.zodpovednosti zúčastnených stránúrovni podrobnosti požadovanej pri posudzovaní vplyvu prevodu)ďalšie nástroje na pomoc pri vykonávaní takýchto posúdení (napr. šablóny, všeobecné posúdenia krajín, katalógy rizík). Hoci zainteresované strany poskytli takúto spätnú väzbu najmäštandardným zmluvným doložkám, rovnaké posúdenia sa vyžadujú ajprípade iných nástrojov týkajúcich sa prenosu (ako sú záväzné vnútropodnikové pravidlá). Preto je dôležité, aby výbor na základe skúsenostíuplatňovaním požiadaviek uvedenýchrozsudku vo veci Schrems IIuplynulých rokoch,to ajrámci činností vnútroštátnych orgánov pre ochranu osobných údajovoblasti presadzovania práva, zvážil preskúmanie spôsobov/nástrojov, ako ďalej pomáhať vývozcom údajovich úsilídodržiavanie predpisovtejto súvislosti.

Ako doplnokexistujúcim štandardným zmluvným doložkám Komisia pripravuje ďalšie súbory doložiek, aby vývozcom údajovEÚ poskytla komplexnýucelený balík. To bude zahŕňať štandardné zmluvné doložky podľa nariadenia (EÚ) 2018/1725 pre prenosy údajov inštitúciamiorgánmi EÚ komerčným prevádzkovateľomtretích krajinách ( 181 )štandardné zmluvné doložky pre prenosy údajov dovozcom údajovtretích krajín, ktorých spracovateľské operácie priamo podliehajú všeobecnému nariadeniuochrane údajov. Týmito doložkami sa reaguje na výzvu zainteresovaných strán, aby sa osobitne vzťahovali na scenáre, keď dovozca údajov spadá do územnej pôsobnosti všeobecného nariadeniaochrane údajov (napríklad preto, že príslušné spracúvanie je zamerané na trh EÚsúladečlánkom 3 ods. 2 všeobecného nariadeniaochrane údajov) ( 182 ). Ako objasnil výbor, nástroj týkajúci sa prenosu podľa kapitolyvšeobecného nariadeniaochrane údajov sa vyžaduje ajtomto prípade,todôvodu zvýšených rizíkprípade osobných údajov spracúvaných mimo EÚ, napríkladdôvodu možných konfliktných vnútroštátnych právnych predpisov alebo neprimeraného prístupu vládytretej krajine ( 183 ). Nové štandardné zmluvné doložky, ktoré pripravuje Komisia, budú osobitne venované týmto scenáromplne sanich zohľadnia požiadavky, ktoré sa už priamo vzťahujú na týchto prevádzkovateľovsprostredkovateľov podľa všeobecného nariadeniaochrane údajov ( 184 ).

Ako uznávajú aj rôzne typy zainteresovaných strán ( 185 ), vzorové doložky zohrávajú čoraz dôležitejšiu úlohu pri uľahčovaní tokov údajov na celom svete. Niekoľko jurisdikcií schválilo štandardné zmluvné doložky EÚ ako mechanizmus prenosurámci svojich vlastných právnych predpisovochrane údajovobmedzenými formálnymi úpravami svojho vnútroštátneho právneho poriadku ( 186 ). Viaceré ďalšie krajiny prijali vlastné vzorové doložky, ktoré majú dôležité spoločné črty so štandardnými zmluvnými doložkami EÚ ( 187 ). Obzvlášť dôležitým príkladom je vytvorenie vzorových doložiek inými medzinárodnými/regionálnymi organizáciami alebo sieťami, ako sú Konzultačný výbor Rady Európy pre Dohovor č. 108, Iberoamerická sieť na ochranu údajovZdruženie národov juhovýchodnej Ázie (ASEAN) ( 188 ). Otvárajú sa tak nové možnosti na uľahčenie tokov údajov medzi rôznymi regiónmi sveta na základe vzorových doložiek. Konkrétnym príkladom je príručka EÚ – ASEANvzorových doložkách EÚASEAN, ktorá na základe podnetov od spoločností pomáha pri ich úsilídosiahnutie súladuoboma súbormi doložiek ( 189 ).

Okrem štandardných zmluvných doložiek sa na toky údajov medzi členmi skupín podnikov alebo medzi podnikmi vykonávajúcimi spoločnú hospodársku činnosť naďalej široko používajú záväzné vnútropodnikové pravidlá. Odkedy sa uplatňuje všeobecné nariadenieochrane údajov, výbor prijal 80 kladných stanovískvnútroštátnym rozhodnutiamschválení záväzných vnútropodnikových pravidiel ( 190 ). Výbor vydal aj usmernenieprvkom, ktoré majú byť zahrnuté do záväzných vnútropodnikových pravidiel pre prevádzkovateľov (ainformáciám, ktoré sa majú poskytnúť ako súčasť žiadostizáväzné vnútropodnikové pravidlo), ktoré bolo aktualizované tak, aby saňom zohľadňovali požiadavky všeobecného nariadeniaochrane údajovrozsudok vo veci Schrems II ( 191 ). Pripravuje sa aj aktualizované usmerneniezáväzným vnútropodnikovým pravidlám pre sprostredkovateľov ( 192 ). Keďže cieľom záväzných vnútropodnikových pravidiel je zaviesťspoločnostiach záväzné politiky/programy ochrany údajov, mnohé zainteresované strany ich považujú za mimoriadne užitočný nástroj dodržiavania predpisovdôveryhodný nástroj týkajúci sa prenosu ( 193 ). Zainteresované strany zároveň naďalej uvádzajú, že širšiemu využívaniu záväzných vnútropodnikových pravidiel bráni dĺžkazložitosť schvaľovacieho procesu zo strany vnútroštátnych orgánov pre ochranu osobných údajov. Preto je dôležité, aby orgány naďalej pracovali na zefektívnenískrátení schvaľovacieho procesu.

Od správyroku 2020 boli takisto prijaté opatrenia na uľahčenie používania certifikáciekódexov správania ako nástrojov týkajúcich sa prevodov, napr. prijatím osobitných usmerneníoboch nástrojoch výborom ( 194 ). Zainteresované strany zároveň uvádzajú rovnaké problémy týkajúce sa časového harmonogramuzložitosti schvaľovacieho procesu ako tie, ktoré už boli uvedenésúvislosticertifikácioukódexmi správania ako nástrojmi zodpovednosti.

Napokon sa vo všeobecnom nariadeníochrane údajov stanovujú aj osobitné nástroje – medzinárodné dohodyadministratívne opatrenia schválené orgánmi pre ochranu osobných údajov – ktoré môžu orgány verejnej moci využívať na prenos osobných údajov svojim partneromtretích krajinách alebo medzinárodným organizáciám. Výbor prijal usmerneniazárukách, ktoré by mali byť zahrnuté do takýchto nástrojov ( 195 ), ktorými sa môžu podporiť rokovaniatakýchto dohodáchopatreniach.

7.1.3Zabezpečenie komplementarityostatnými politikami

Keďže toky údajov sa stali nevyhnutnými pre mnohé činnosti, je kľúčové zabezpečiť, aby sa politiky ochrany údajov a ostatné politiky navzájom dopĺňali. Zahrnutie záruk ochrany údajov do medzinárodných nástrojov je často nielen predpokladom pre toky údajov, ale aj dôležitým faktorom pre stabilnú a dôveryhodnú spoluprácu.

Napríklad medzinárodné dohody, ktorými sa poskytujú potrebné záruky ochrany údajov vrátane zabezpečenia kontinuity ochrany na strane žiadajúceho orgánu, sú nevyhnutné na zabezpečenie súladuuľahčenie cezhraničného prístupu orgánov presadzovania právaelektronickým dôkazomdržbe spoločností,tým aj účinnejšieho boja proti trestnej činnosti. Tento prístup sa premietadruhom Dodatkovom protokoleDohovorupočítačovej kriminalite ( 196 ), ktorým sa posilňujú existujúce pravidlá na získanie cezhraničného prístupuelektronickým dôkazom pri vyšetrovaní trestných činovzároveň sa zabezpečujú primerané záruky ochrany údajov. Protokol medzitým podpísalo niekoľko členských štátov EÚ. Podobne pokračujú dvojstranné rokovania medzi EÚUSAdohodecezhraničnom prístupeelektronickým dôkazom na účely spoluprácetrestných veciach ( 197 ).

Ďalšou oblasťou bezpečnostnej politiky EÚ, ktorá profitujerozvoja silných záruk ochrany údajov, je výmena údajov zo záznamovcestujúcich (PNR). EÚKanada ukončiliroku 2023 rokovanianovej dohodePNRsúladepožiadavkami stanovenými Súdnym dvoromjeho stanovisku 1/15 ( 198 ). Podobné záruky boli zavedenékapitolePNRDohodeobchodespolupráci medzi EÚSpojeným kráľovstvom. Zahrnutie posilnenej ochrany súkromia do týchto dohôd, ktoré môžu slúžiť ako vzor pre budúce dohodyinými partnermi, prináša leteckým dopravcom právnu istotuzároveň zabezpečuje stabilitu dôležitej výmeny informácií na účely boja proti terorizmuiným závažným medzinárodným trestným činom.

Komisia je aj zástancom prísnych ustanovení na ochranu súkromia a podporu digitálneho obchodu vo Svetovej obchodnej organizácii v rámci prebiehajúcich rokovaní o iniciatíve spoločného vyhlásenia o elektronickom obchode. Podobné ustanovenia o boji proti neodôvodneným prekážkam digitálneho obchodu a zároveň o ochrane potrebného politického priestoru zmluvných strán v oblasti ochrany údajov boli dôsledne zahrnuté do dohôd o voľnom obchode, ktoré EÚ uzavrela po nadobudnutí účinnosti všeobecného nariadenia o ochrane údajov, najmä do Dohody o obchode a spolupráci medzi EÚ a Spojeným kráľovstvom a do dohôd s Čile, Japonskom a Novým Zélandom. O ustanoveniach týkajúcich sa ochrany súkromia a tokov údajov sa diskutuje aj v rámci prebiehajúcich rokovaní o digitálnom obchode so Singapurom a Južnou Kóreou.

7.2Medzinárodná spoluprácaoblasti ochrany údajov

7.2.1Dvojstranný rozmer

Komisia pokračovaladialógukrajinamimedzinárodnými organizáciamivývoji, reformevykonávaní pravidiel ochrany súkromia,to aj predkladaním návrhov na verejné konzultácienávrhoch právnych predpisov alebo regulačných opatreníoblasti ochrany súkromia ( 199 ), svedectiev pred príslušnými parlamentnými orgánmi ( 200 )účasti na osobitných stretnutiach so zástupcami vlád, parlamentnými delegáciamiregulačnými orgánmimnohých regiónov sveta ( 201 ). Viacerétýchto činností sa uskutočnilirámci projektu „Zvýšená ochrana údajovtoky údajov“ financovaného EÚ, ktorým sa podporujú krajiny, ktoré chcú vytvoriť moderné rámce ochrany údajov alebo posilniť kapacity svojich regulačných orgánov prostredníctvom odbornej prípravy, výmeny vedomostí, budovania kapacítvýmeny najlepších postupov. Komisia prispela ajďalším iniciatívam, ako je Digitálna aliancia EÚ – CELAC.

Ochrana údajov bude aj naďalej zohrávať kľúčovú úlohu v práci Komisie súvisiacej s rozšírením. Právne predpisy EÚ o ochrane údajov sú dôležitou súčasťou celkového úsilia krajín zapojených do procesu rozširovania zosúladiť svoje právne rámce s právnymi rámcami EÚ (najmä preto, že spracúvanie a výmena osobných údajov sú základom mnohých politík). Nezávislosť a riadne fungovanie orgánu pre ochranu osobných údajov je navyše kľúčovým prvkom celkovej kontroly a rovnováhy a právneho štátu a bude čoraz dôležitejšia, keďže EÚ postupne integruje krajiny zapojené do procesu rozširovania do jednotného trhu (ako sa predpokladá v iniciatívach, ako je plán rastu pre západný Balkán).

Čoraz dôležitejším aspektom dialógu EÚ s tretími krajinami sú výmeny medzi regulačnými orgánmi. Ako bolo oznámené v správe z roku 2020, Komisia vytvorila „Akadémiu ochrany údajov“ s cieľom podporiť výmeny medzi orgánmi EÚ a tretích krajín v oblasti ochrany údajov, a tým prispieť k budovaniu kapacít a zlepšiť spoluprácu „v praxi“. Akadémia ponúka odbornú prípravu šitú na mieru na žiadosť orgánov tretích krajín a spája odborné znalosti zástupcov orgánov presadzovania práva, akademickej obce, súkromného sektora a európskych inštitúcií. Pridaná hodnota odbornej prípravy spočíva v prispôsobení jednotlivých zložiek záujmom a potrebám žiadajúceho orgánu. Táto odborná príprava navyše umožňuje orgánom pre ochranu osobných údajov v EÚ a tretích krajinách nadviazať kontakty, vymieňať si vedomosti, skúsenosti a najlepšie postupy a identifikovať potenciálne oblasti spolupráce. Akadémia doteraz poskytla odbornú prípravu orgánom pre ochranu osobných údajov v Brazílii, Indonézii, Keni, Nigérii a Rwande a v súčasnosti pripravuje odbornú prípravu pre niekoľko ďalších krajín.

Okrem dôležitosti udržiavania dialógu medzi regulačnými orgánmi je čoraz viac potrebné, ako sa uznáva ajspätnej väzbe získanej od Radyvýboru ( 202 ), vypracovať vhodné právne nástroje pre užšie formy spoluprácevzájomnej pomoci vrátane umožnenia potrebnej výmeny informáciísúvislostivyšetrovaniami. Keďže porušenia ochrany súkromia majú čoraz častejšie cezhraničné účinky, často ich možno účinne vyšetriťriešiť lenrámci spolupráce medzi regulačnými orgánmi EÚmimo nej. Komisia preto požiadapovolenie začať rokovaniauzavretí dohôdspolupráci pri presadzovaní právapríslušnými tretími krajinami (ako sa stanovuje ajčlánku 50 všeobecného nariadeniaochrane údajov). Komisiatejto súvislosti berie na vedomie požiadavku výboru, aby sa ako potenciálne partnerské krajiny osobitne zvážili krajiny, na ktoré sa priamo vzťahuje všeobecné nariadenieochrane údajov, najmä krajiny G7 a/alebo krajiny, ktoré využívajú rozhodnutiaprimeranosti ( 203 ).

Zavedenie takýchto dohôdspoluprácivzájomnej pomoci pri presadzovaní práva by takisto pomohlo zabezpečiť dodržiavanieúčinné presadzovanie práva voči zahraničným prevádzkovateľom, na ktorých sa vzťahuje všeobecné nariadenieochrane údajov, napríklad preto, že sa ponukou tovaru alebo služieb zameriavajú konkrétne na trh EÚ. Rada poukazuje na dôležitosť presadzovania dodržiavania všeobecného nariadeniaochrane údajovtakýchto prípadochvyjadruje obavyrovnaké podmienky pre subjektyEÚ, ako ajúčinnú ochranu práv jednotlivcov ( 204 ). Komisia súhlasívýzvou Rady, aby preskúmala rôzne spôsoby, ako uľahčiť presadzovanietomto scenári. Hoci dôležitú úlohu by určite mohli zohrávať formálnejšie podoby spolupráceregulačnými orgánmi tretích krajín, mali by sa intenzívnejšie využívať aj iné, už existujúce možnosti. To zahŕňa plné využitie súboru nástrojov na presadzovanie práva podľa článku 58 všeobecného nariadeniaochrane údajovzapojenie zástupcov zahraničných spoločnostíEÚ (vymenovanýchsúladečlánkom 27 všeobecného nariadeniaochrane údajov).

7.2.2Mnohostranný rozmer

Komisia sa aj naďalej aktívne zúčastňuje na mnohých medzinárodných fórach na podporu spoločných hodnôt a budovanie konvergencie na regionálnej a globálnej úrovni.

Patrí sem napríklad aktívne prispievaniepráci Konzultačného výboru pre Dohovorochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (Dohovor 108), ktorý je jediným právne záväzným multilaterálnym nástrojomoblasti ochrany osobných údajov. Pozmeňovací protokol na modernizáciu Dohovoru 108 ( 205 ) doteraz ratifikovalo 31 štátov vrátane mnohých členských štátov EÚ, ako aj niektorých štátov, ktoré nie sú členmi Rady Európy (Argentína, MauríciusUruguaj). Spomedzi členských štátov EÚ ešte stále nie je pod dohovor podpísaný len jeden členský štát ( 206 ), zatiaľ čo osem členských štátov ( 207 ) modernizovaný dohovor podpísalo, ale neratifikovalo. Komisia nalieha na jeden zostávajúci členský štát, aby podpísal modernizovaný dohovor,ostatné členské štáty, aby urýchlene pristúpiliratifikáciicieľom umožniť nadobudnutie platnostiblízkej budúcnosti. Okrem toho naďalej aktívne podporuje pristúpenie tretích krajín.

Na úrovni G20G7 sa diskusieochrane súkromiatokoch údajov zameriavajú na operacionalizáciu koncepcie „dôveryhodného voľného toku údajov“, ktorú pôvodne navrhlo Japonsko a v ktorej sa uznáva, že ochranabezpečnosť údajov môže prispieťdôveredigitálne hospodárstvouľahčiť toky údajov ( 208 ). Obzvlášť dôležitú úlohutejto súvislosti zohráva OECD,to tým, že poskytuje fórum pre odbornú komunitu zaoberajúcu sa dôveryhodným voľným tokom údajov,rámci ktorej sa združuje široká škála zainteresovaných strán (vlády, regulačné orgány, priemysel, občianska spoločnosť, akademická obec), aby poskytli informáciekonkrétnych projektochotázkach týkajúcich sa dôveryhodného voľného toku údajov. Významným výsledkom iniciatívy týkajúcej sa dôveryhodného voľného toku údajov, ku ktorej Komisia významne prispela, je navyše prijatie Deklarácie OECDvládnom prístupeosobným údajomdržbe subjektov súkromného sektora, ktorá je prvým medzinárodným nástrojomtejto oblasti. Obsahuje súbor spoločných požiadaviek na ochranu súkromia pri prístupeosobným údajom na účely národnej bezpečnostipresadzovania práva.súvislostirastúcim celosvetovým uznaním, že dôveruprenosy údajov negatívne ovplyvňuje neprimeraný prístup vlád, je toto vyhlásenie dôležitým príspevkomuľahčeniu dôveryhodných tokov údajov. Komisia bude naďalej vyzývať krajiny, aby sa pripojilivyhláseniu, ktoré je otvorené aj pre nečlenské krajiny OECD.

Komisia spolupracuje aj s rôznymi regionálnymi organizáciami a sieťami, ktoré vytvárajú spoločné záruky ochrany údajov. Týka sa to napríklad združenia ASEAN, Africkej únie, fóra ázijsko-tichomorských orgánov na ochranu osobných údajov, iberoamerickej siete na ochranu údajov a siete afrických orgánov na ochranu údajov (NADPA – RADPD). Konkrétnym príkladom takejto plodnej spolupráce je vypracovanie uvedenej príručky EÚ – ASEAN o vzorových doložkách.

Komisia napokon vedie dialógrôznymi medzinárodnými organizáciami,to ajcieľom preskúmať spôsoby ďalšieho uľahčenia tokov údajov medzi EÚtýmito organizáciami. Keďže mnohé organizácieposledných rokoch modernizovali alebo modernizujú svoje rámce ochrany údajov, vznikajú aj nové príležitosti na výmenu skúsenostínajlepších postupov.tejto súvislosti sa ako mimoriadne užitočné fóra na výmenupreskúmanie konkrétnych nástrojov spolupráce vrátane výmeny osobných údajov ukázali každoročné semináremedzinárodnými organizáciamišpecializovaná pracovná skupina pre medzinárodné prenosy údajov, ktoré organizuje európsky dozorný úradník pre ochranu údajov ( 209 ).

8Záver

Za šesť rokov uplatňovania všeobecného nariadenia o ochrane údajov sa ním posilnilo postavenie ľudí, keďže vďaka nemu majú skutočnú kontrolu nad svojimi údajmi. Takisto pomohlo vytvoriť rovnaké podmienky pre podniky a poskytlo pilier pre celý rad iniciatív, ktoré sú hnacou silou digitálnej transformácie v EÚ.

Úplné dosiahnutie dvojitého cieľa všeobecného nariadenia o ochrane údajov, a to konkrétne silnej ochrany jednotlivcov popri zabezpečení voľného toku osobných údajov v rámci EÚ a bezpečných tokov údajov mimo EÚ, si vyžaduje zameranie na:

·dôsledné presadzovanie všeobecného nariadeniaochrane údajov, počnúc rýchlym prijatím návrhu Komisieprocesných pravidláchzáujme zabezpečenia rýchlej nápravyprávnej istotyprípadoch týkajúcich sa jednotlivcovcelej EÚ,

·proaktívnu podporu zo strany orgánov pre ochranu osobných údajov zainteresovaným stranámich úsilídodržiavanie predpisov, najmä MSPmalým hospodárskym subjektom,

·jednotný výkladuplatňovanie všeobecného nariadeniaochrane údajovcelej EÚ,

·účinnú spoluprácu medzi regulačnými orgánmi na vnútroštátnej úrovni aj na úrovni EÚcieľom zaručiť konzistentnésúdržné uplatňovanie rastúceho súboru digitálnych pravidiel EÚ,

·ďalší pokrokmedzinárodnej stratégii Komisieoblasti ochrany údajov.

Na podporu účinného uplatňovania všeobecného nariadenia o ochrane údajov a v záujme získavania podnetov pre ďalšie úvahy o ochrane údajov treba uskutočniť viacero opatrení identifikovaných v tejto správe. Komisia bude podporovať a monitorovať ich vykonávanie aj vzhľadom na ďalšiu správu v roku 2028.

Rozvoj účinných štruktúr spolupráce

Európsky parlament a Rada sa vyzývajú, aby urýchlene prijali návrh procesných pravidiel v súvislosti so všeobecným nariadením o ochrane údajov.

Výbor a orgány pre ochranu osobných údajov sa vyzývajú, aby:

-nadviazali pravidelnú spoluprácuostatnými odvetvovými regulačnými orgánmisúvislostiproblémami, ktoré majú vplyv na ochranu údajov, najmätými, ktoré boli zriadené na základe nových digitálnych právnych predpisov EÚ,aktívne sa zúčastňovali na štruktúrach na úrovni EÚ, ktorých cieľom je uľahčiť spoluprácu medzi regulačnými orgánmi,

-vo väčšej miere využívali nástroje spolupráce stanovené vo všeobecnom nariadeníochrane údajovcieľom zabezpečiť využívanie urovnávania sporov len ako krajnej možnosti;

-zaviedli účinnejšiecielenejšie pracovné opatrenia pre usmernenia, stanoviskározhodnutiastanovili priority pre kľúčové problémycieľom znížiť zaťaženie orgánov pre ochranu osobných údajovrýchlejšie reagovať na vývoj na trhu.

Členské štáty musia:

-zabezpečiť účinnúúplnú nezávislosť vnútroštátnych orgánov pre ochranu osobných údajov,

-prideliť orgánom pre ochranu osobných údajov dostatočné zdroje, aby mohli plniť svoje úlohy, najmä tým, že im poskytnú technické zdrojeodborné znalosti potrebné na zaobchádzanienovými technológiamiplnenie nových povinností podľa digitálnych právnych predpisov,

-vybaviť orgány pre ochranu osobných údajov vyšetrovacími nástrojmi potrebnými na účinné využívanie právomocí na presadzovanie práva, ktoré sú poskytnuté vo všeobecnom nariadeníochrane údajov,

-podporovať dialóg medzi orgánmi pre ochranu osobných údajovostatnými vnútroštátnymi regulačnými orgánmi, najmä tými, ktoré boli zriadené na základe nových digitálnych právnych predpisov.

Komisia bude:

-aktívne podporovať rýchle prijatie návrhu procesných pravidiel súvisiacich so všeobecným nariadenímochrane údajov spoluzákonodarcami,

-naďalej pozorne monitorovať účinnúúplnú nezávislosť vnútroštátnych orgánov pre ochranu osobných údajov,

-na základe skúseností vytvárať synergiesúlad medzi všeobecným nariadenímochrane údajovvšetkými právnymi predpismi, ktoré sa týkajú spracúvania osobných údajov, a v prípade potreby prijme vhodné opatrenia na zabezpečenie právnej istoty,

-zvažovať, ako lepšie riešiť potrebu štruktúrovanejúčinnej spolupráce medzi regulačnými orgánmicieľom zaručiť účinné, konzistentnésúdržné uplatňovanie digitálnych pravidiel EÚ, pričom bude rešpektovať právomoci orgánov pre ochranu osobných údajov vo všetkých otázkach týkajúcich sa spracovania osobných údajov.

Vykonávanie a dopĺňanie právneho rámca

Členské štáty musia:

-zabezpečiť včasné konzultácieorgánmi pre ochranu osobných údajov pred prijatím právnych predpisovspracúvaní osobných údajov.

Komisia bude:

-naďalej využívať všetky nástroje, ktoré mádispozícii, vrátane postupovprípade nesplnenia povinnosti,cieľom zabezpečiť, aby členské štáty dodržiavali všeobecné nariadenieochrane údajov,

-naďalej podporovať výmenu názorovvnútroštátnych postupov medzi členskými štátmi,to aj prostredníctvom expertnej skupiny členských štátov zaoberajúcej sa všeobecným nariadenímochrane údajov,

-presadzovať opatrenia na zabezpečenie ochrany, posilnenia postaveniarešpektovania detí na internete,

-zvažovať možné ďalšie kroky týkajúce sa návrhu nariadeniasúkromíelektronických komunikáciách vrátane jeho vzťahuvšeobecnému nariadeniuochrane údajov.

Podpora zainteresovaných strán

Výbor a orgány pre ochranu osobných údajov sa vyzývajú, aby:

-viedli konštruktívny dialógprevádzkovateľmisprostredkovateľmidodržiavaní všeobecného nariadeniaochrane údajov,

-ďalej zintenzívnili úsilie na podporu dodržiavania predpisov zo strany MSP poskytovaním usmernenínástrojov šitých na mieru, rozptýlením akýchkoľvek neopodstatnených obáv MSP, ktorých hlavnou činnosťou nie je spracúvanie osobných údajov,sprevádzali ichich úsilídodržiavanie predpisov,

-podporovali zavádzanie účinných opatrení na zabezpečenie súladu zo strany podnikov, ako je certifikáciakódexy správania (vrátane nástrojov týkajúcich sa prenosov),to zapojením zainteresovaných strán počas schvaľovacieho procesu, poskytovaním jasných harmonogramov pre schvaľovanie a, ako sa zaviazalistratégii výboru na roky 2024 – 2027, vysvetľovaním kľúčovým skupinám zainteresovaných strán, ako možno tieto nástroje používať,

-zabezpečili súlad vnútroštátnych usmerneníuplatňovania všeobecného nariadeniaochrane údajov na vnútroštátnej úrovniusmerneniami výborujudikatúrou Súdneho dvora,

-riešili rozdielne výklady všeobecného nariadeniaochrane údajov medzi orgánmi pre ochranu osobných údajov,to aj medzi orgánmitom istom členskom štáte,

-poskytli usmernenia, ktoré sú stručné, prakticképrístupné príslušnému publiku, ako sa zaviazalistratégii výboru na roky 2024 – 2027,

-zabezpečili skoršiezmysluplnejšie konzultácieusmerneniachstanoviskáchcieľom lepšie pochopiť dynamiku trhuobchodné postupy, primerane zohľadnili získanú spätnú väzbuzohľadnili konkrétne uplatňovanie prijatých výkladov,

-prioritne dokončili prebiehajúcu prácu na usmerneniachúdajoch detí, vedeckom výskume, anonymizácii, pseudonymizáciioprávnenom záujme,

-zintenzívnili činnosti zamerané na zvyšovanie povedomia, informovaniepresadzovanie právacieľom zabezpečiť, aby zodpovedné osoby mohli plniť svoju úlohu podľa všeobecného nariadeniaochrane údajov.

Komisia bude:

-naďalej finančne podporovať činnosti orgánov pre ochranu osobných údajov, ktoré uľahčujú MSP plnenie povinností vyplývajúcich zo všeobecného nariadeniaochrane údajov,

-využívať všetky dostupné prostriedky na poskytovanie účelných objasneníotázkach dôležitých pre zainteresované strany vrátane MSP, najmä žiadosťamistanoviská výboru.

Ďalší rozvoj nástrojov týkajúcich sa prenosov údajov a medzinárodnej spolupráce

Výbor a orgány pre ochranu osobných údajov sa vyzývajú, aby:

-dokončili prácu na zefektívnenískrátení procesu schvaľovania záväzných vnútropodnikových pravidiel, ako aj na aktualizácii usmerneniaprvkom, ktoré sa majú nachádzaťzáväzných vnútropodnikových pravidlách sprostredkovateľa,

-preskúmali spôsoby/nástroje na ďalšiu pomoc vývozcom údajovich úsilídosiahnutie súladupožiadavkamirozsudku vo veci Schrems II,

-preskúmali ďalšie spôsoby zabezpečenia účinného presadzovania práva voči prevádzkovateľom usadenýmtretích krajinách, ktoré patria do územnej pôsobnosti všeobecného nariadeniaochrane údajov.

Členské štáty musia:

-čo najskôr zabezpečiť podpísanieratifikáciu modernizovaného Dohovoru Rady Európy č. 108+, aby mohol nadobudnúť platnosť.

Komisia bude:

-dosahovať ďalší pokrokprebiehajúcich rozhovorochprimeranosti, skúmať ďalší vývoj existujúcich zisteníprimeranostiviesť nové dialógyprimeranosti so zainteresovanými partnermi,

-podporovať lepšiu spoluprácu medzi sieťou krajín, ktoré využívajú rozhodnutiaprimeranosti,

-pracovať na dokončení činností týkajúcich sa dodatočných štandardných zmluvných doložiek, najmä pre prenosy údajov dovozcom údajov, ktorých spracúvanie priamo podlieha všeobecnému nariadeniuochrane údajov,prenosy podľa nariadenia (EÚ) 2018/1725 týkajúce sa prenosov údajov inštitúciamiorgánmi EÚ,

-spolupracovaťmedzinárodnými partnermi na uľahčení toku údajov na základe vzorových zmluvných doložiek,

-podporovať prebiehajúce procesy reforiemtretích krajinách týkajúce sa nových alebo modernizovaných pravidiel ochrany údajov,to výmenou skúsenostínajlepších postupov,

-spolupracovaťmedzinárodnýmiregionálnymi organizáciami, ako sú OECDG7,cieľom podporiť spoľahlivé toky údajov založené na vysokých štandardoch ochrany údajov,to ajsúvislostiiniciatívou spoľahlivého voľného toku údajov,

-uľahčovaťpodporovať výmeny medzi európskymimedzinárodnými regulačnými orgánmi,to aj prostredníctvom svojej Akadémie ochrany údajov,

-prispievaťuľahčovaniu medzinárodnej spolupráce dozorných orgánovoblasti presadzovania práva,to aj formou rokovanídohodáchspoluprácivzájomnej pomoci.

(1) ()    Ochrana údajov ako pilier posilnenia postavenia občanovprístupu EÚdigitálnej transformácii – dva roky uplatňovania všeobecného nariadeniaochrane údajov, 24.6.2020, COM(2020) 264 final.
(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/sk/pdf .
(3) ()    Zhrnutie príspevkov expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov jedispozícii tu: Report from Multistakeholder Expert group on GDPR application - June 2024.pdf . Príspevky získanéreakcii na verejnú výzvu na predloženie dôkazovna dvojstranných stretnutiach so zainteresovanými stranami sa vo veľkej miere zhodujúnázormi, ktoré vyjadrili členovia expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_sk .
(5) ()     Príspevok EDPB k hodnoteniu všeobecného nariadenia o ochrane údajov podľa článku 97 | Európsky výbor pre ochranu údajov (europa.eu) .
(6) ()     Všeobecné nariadenie o ochrane údajov v praxi – skúsenosti orgánov pre ochranu osobných údajov | Agentúra Európskej únie pre základné práva (europa.eu) .
(7) ()    Návrh nariadenia Európskeho parlamentuRady, ktorým sa stanovujú ďalšie procesné pravidlá na presadzovanie nariadenia (EÚ) 2016/679 [COM(2023) 348 final].
(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .
(9) ()    Od expertnej skupiny viacerých zainteresovaných stránna základe výzvy na predloženie dôkazov, ktorá bola vyhlásená vo februári 2023.
(10) ()    Najmä od expertnej skupiny členských štátov všeobecného nariadeniaochrane údajov: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sk&do=groupDetail.groupDetail&groupID=3461 . 
(11) ()    Článok 61 všeobecného nariadeniaochrane údajov.
(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)
(13) ()    Článok 62 všeobecného nariadeniaochrane údajov.
(14) ()    Článok 65 všeobecného nariadeniaochrane údajov.
(15) ()    Od 3. novembra 2023 (príspevok výboru).
(16) ()    Podľa článku 60 ods. 3 všeobecného nariadeniaochrane údajov.
(17) ()    Od 3. novembra 2023.
(18) ()    Najviac formálnych žiadostí podal írsky orgán (246), zatiaľ čo nemecké orgány dostali najviac žiadostí (516).
(19) ()    Najviac neformálnych žiadostí podal írsky orgán (4 245), za ktorým nasledovali nemecké orgány (2 036).
(20) ()    Z 289 relevantnýchodôvodnených námietok oznámených orgánmi vzniesli 101 (35 %) nemecké orgány. Úspešnosť dosiahnutia konsenzurelevantnýchodôvodnených námietkach sa pohybuje od 15 % (námietky vznesené nemeckými orgánmi) do 100 % (námietky vznesené poľským orgánom).
(21)

()    Články 64, 6566 všeobecného nariadeniaochrane údajovtomto poradí.

(22) ()    Stanoviská podľa článku 64 ods. 2 všeobecného nariadeniaochrane údajov.
(23)

()    Podľa článku 65 ods. 1 písm. a) všeobecného nariadeniaochrane údajov.

(24) ()    V súladečlánkom 66 ods. 2 GDPR.
(25) ()    Pozri oddiel 5.3.4 príspevok výboru.
(26) ()    Správa FRA, s. 36.
(27) ()    Návrh procesných pravidiel, článok 5.
(28) ()    V Rumunsku bolo na súde napadnutých všetkých 26 rozhodnutíporušení všeobecného nariadenia, zatiaľ čoHolandsku bola miera napadnutia 23 %. Miera úspešnosti napadnutí bola najvyššiaBelgicku (39 %).
(29) ()    Najvyšší počet vyšetrovanívlastnej iniciatívy začali orgány pre ochranu osobných údajovNemecku (7 647), za ktorým nasledovalo Maďarsko (3 332), Rakúsko (1 681)Francúzsko (1 571).
(30) ()    V roku 2022 dostalo deväť orgánov pre ochranu osobných údajov viac ako 2 000 sťažností. Najviac sťažností bolo zaregistrovanýchNemecku (32 300), Taliansku (30 880), Španielsku (15 128), Holandsku (13 133)Francúzsku (12 193), najmenejLichtenštajnsku (40), na Islande (140) a v Chorvátsku (271).
(31) ()    Všetky orgány uložili správne pokutyvýnimkou Dánska, ktoré správne pokuty neukladá. Najvyšší počet pokút bol uloženýNemecku (2 106)Španielsku (1 596). Najmenej pokút bolo uloženýchLichtenštajnsku (3), na Islande (15)vo Fínsku (20).
(32) ()    Správa FRA, s. 38.
(33) ()    Správa FRA s. 2023. Pozri aj stanoviskozistenia Rady, bod 17.
(34) ()    Článok 70 ods. 1 všeobecného nariadeniaochrane údajov.
(35) ()    Správa FRA, s. 64.
(36) ()    Správa FRA, s. 67.roku 2023 venovali nemecké orgány pre ochranu osobných údajov najviac zdrojov na činnosti výboru (26 ekvivalentov plného pracovného času), po nich nasledovali úradyÍrsku (16)vo Francúzsku (12) (príspevok výboru).
(37) ()    Správa FRA, s. 67.
(38) ()    Správa FRA, s. 67; zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(39) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(40) ()    Pozri aj stanoviskozistenia Rady, bod 45.
(41) ()    Pozri aj stanoviskozistenia Rady, bod 34.
(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .
(43) ()    Pozri aj stanoviskozistenia Rady, bod 31 písm. d).
(44) ()    Vyžadujú si najmä objasnenie významu pojmu „vedecký výskum“, úlohy súhlasu so spracovaním osobných údajov na účely výskumu, príslušného právneho základuúlohzodpovednosti zúčastnených aktérov.
(45) ()    Pozri aj stanoviskozistenia Rady, bod 31 písm. b).
(46) ()    Stanoviskozistenia Rady, body 27 – 28.
(47) ()    Článok 52 všeobecného nariadeniaochrane údajov.
(48) ()    Správa FRA, s. 31.
(49) ()    Pozri oddiel 4.4.1 príspevok výboru, aj pokiaľ ideabsolútne čísla.
(50) ()    Len päť orgánov pre ochranu osobných údajov sa domnieva, že majú primerané ľudské zdroje (príspevok výboru, strana 33).
(51) ()    Správa FRA, s. 20. Niektoré orgány pre ochranu osobných údajov zadávajú určité úlohy externým dodávateľom, napríklad vybavovanie sťažností, právnu analýzuforenznú analýzu.
(52) ()    Správa FRA, s. 24.
(53) ()    Správa FRA, s. 22.
(54) ()    Pozri oddiel 4.4.5 príspevok výboru.
(55) ()    Príspevok výboru, s. 32.
(56) ()    Správa FRA, s. 48.
(57) ()    Správa FRA, s. 45. Orgány pre ochranu osobných údajov považujú vyšetrovania ex officio za mimoriadne dôležité, pretože sťažovatelia nemusia vedieťmnohých porušeniach všeobecného nariadeniaochrane údajov.
(58) ()    Správa FRA, s. 8.
(59) ()    Správa FRA, s. 39.
(60) ()    Správa FRA, s. 41.
(61) ()    Odôvodnenie 9 všeobecného nariadeniaochrane údajov.
(62) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(63) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(64) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(65) ()    Článok 6 ods. 1 písm. f)článok 6 ods. 1 písm. a) všeobecného nariadeniaochrane údajov.
(66) ()    Článok 22 ods. 2 všeobecného nariadeniaochrane údajov.
(67) ()    Odôvodnenie 4.
(68) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(69) ()    Napríklad minimálny vek pre súhlas dieťaťasúvislosti so službami informačnej spoločnosti (článok 8 ods. 1 všeobecného nariadeniaochrane údajov).
(70) ()    Článok 8 ods. 1 všeobecného nariadeniaochrane údajov.
(71) ()    Možnosť stanovenáčlánku 9 ods. 4 všeobecného nariadeniaochrane údajov.
(72) ()    Článok 10 všeobecného nariadeniaochrane údajov.
(73) ()    Pozri stanoviskozistenia Rady, bod 30.
(74) ()    Článok 36 všeobecného nariadeniaochrane údajov.
(75) ()    Správa FRA, s. 11.
(76) ()    Belgicko (2021/4045)Belgicko (2022/2160).
(77) ()    Fínsko (2022/4010)Švédsko (2022/2022).
(78) ()    S informáciamireferenčnom čísle prípadu, type vyšetrovania (z vlastnej iniciatívy alebo na základe sťažnosti), zhrnutí rozsahu vyšetrovania, príslušných orgánoch pre ochranu osobných údajov, kľúčových prijatých procesných krokochdátumoch, prijatých vyšetrovacích alebo akýchkoľvek iných opatreniachdátumoch.
(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sk&do=groupDetail.groupDetail&groupID=3461 .
(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=sk&meetingId=31754&fromExpertGroups=3461.
(81) ()    Vec C-319/22, ECLI:EU:C:2023:837.
(82) ()    Veci C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.
(83) ()    Veci C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.
(84) ()    Vec C-61/19, ECLI:EU:C:2020:901.
(85) ()    Veci C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.
(86) ()    Veci C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.
(87) ()    Vec C-460/20, ECLI:EU:C:2022:962.
(88) ()    Vec C-300/21, ECLI:EU:C:2023:370; vec C-687/21, ECLI:EU:C:2024:72; vec C-667/21, ECLI:EU:C:2023:1022.
(89) ()    Spojené veci C‑26/22C‑64/22, ECLI:EU:C:2023:958.
(90) ()    Veci C-807/21, ECLI:EU:C:2023:950; Vec C-683/21, ECLI:EU:C:2023:949.
(91) ()    Vec C-453/21, ECLI:EU:C:2023:79.
(92) ()    Veci C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.
(93) ()    Veci C-33/22, ECLI:EU:C:2024:46; Vec C‑272/19, ECLI:EU:C:2020:535.
(94) ()    Pozri stanoviskozistenia Rady, bod 13.
(95) ()    Príspevok výboru, oddiel 6.
(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=sk .
(97) ()    Správa FRA, s. 948.
(98) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(99) ()    Článok 10, nariadenie (EÚ) 2022/868nových potravinách (Ú. v. EÚ L 152, 3.6.2022, s. 1 – 44).
(100) ()    Článok 12 ods. 5 všeobecného nariadeniaochrane údajov.
(101) ()    Súdny dvor však objasnil, že dotknutá osoba nie je povinná uviesť dôvody žiadostiprístuposobným údajom: vec C-307/22, ECLI:EU:C:2023:811, bod 38.
(102) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(103) ()    Stanoviskozistenia Rady, body 27 – 28.
(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .
(105) ()     Pracovníci platforiem: Rada potvrdila dohodu o nových pravidlách na zlepšenie ich pracovných podmienok – Consilium (europa.eu) .
(106) ()    Návrh nariadeniaeurópskom priestore pre zdravotné údaje [COM(2022) 197 final].
(107) ()    Návrh nariadeniarámci pre prístupfinančným údajom a o zmene nariadení (EÚ) č. 1093/2010, (EÚ) č. 1094/2010, (EÚ) č. 1095/2010(EÚ) 2022/2554 [COM(2023) 360 final].
(108) ()    Smernica (EÚ) 2020/182825. novembra 2020žalobáchzastúpení na ochranu kolektívnych záujmov spotrebiteľov a o zrušení smernice 2009/22/ES (Ú. v. EÚ L 409, 4.12.2020, s. 1 – 27).
(109) ()    Odôvodnenie 38 všeobecného nariadeniaochrane údajov.
(110) ()    Odporúčanierozvojiposilňovaní integrovaných systémov ochrany detínajlepšom záujme dieťaťa: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_sk .
(111) ()    Pozri aj stanoviskozistenia Rady, bod 31 písm. a).
(112) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=sk .
(114) ()     https://digital-strategy.ec.europa.eu/sk/policies/strategy-better-internet-kids .
(115) ()    Nariadenie (EÚ) 2024/1183, ktorým sa mení nariadenie (EÚ) 910/2014, pokiaľ idezriadenie európskeho rámca digitálnej identity (Ú. v. EÚ L, 2024/1183, 30.4.2024).
(116) ()    Ako sa uvádzaspráve platformy Fit for future, expertnej skupiny na vysokej úrovni, ktorá bola vytvorenácieľom pomôcť Komisiijej úsilízjednodušenie právnych predpisov EÚzníženie súvisiacich zbytočných nákladov: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_sk . Pozri aj zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajovstanoviskozistenia Rady, bod 12.
(117) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(118) ()    Vykonávacie rozhodnutie Komisie (EÚ) 2021/915 zo 4. júna 2021štandardných zmluvných doložkách medzi prevádzkovateľmisprostredkovateľmi podľa článku 28 ods. 7 všeobecného nariadeniaochrane údajovčlánku 29 ods. 7 všeobecného nariadeniaochrane údajov, C(2021) 3701 (Ú. v. EÚ L 199, 7.6.2021, s. 18 – 30).
(119) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(120) ()    Pozri stanoviskozistenia Rady, bod 25.
(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0 %5D=coc_scope%3Anational .
(122) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .
(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=sk .
(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .
(126) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(127) ()    Pozri stanoviskozistenia Rady, bod 24; zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(128) ()    Článok 30 ods. 5 všeobecného nariadeniaochrane údajov.
(129) ()    Ak organizácia zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedieriziku pre právaslobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 všeobecného nariadeniaochrane údajov alebo osobných údajov týkajúcich sa uznaní viny za trestné činypriestupky podľa článku 10 všeobecného nariadeniaochrane údajov.
(130) ()    Pozri stanoviskozistenia Rady, bod 26; EDPB 2023 Koordinované presadzovacie opatrenia Určeniepostavenie zodpovedných osôb: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .
(131) ()    Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(132) ()    Pozri odporúčaniaKoordinovanej činnosti EDPBoblasti presadzovania práva.
(133) ()    Nariadenie Európskeho parlamentuRady (EÚ) 2022/206519. októbra 2022jednotnom trhudigitálnymi službami a o zmene smernice 2000/31/ES (aktdigitálnych službách) (Ú. v. EÚ L 277, 27.10.2022, s. 1 – 102).
(134) ()    Nariadenie (EÚ) 2022/1925 (aktdigitálnych trhoch) (Ú. v. EÚ L 265, 12.10.2022, s. 1 – 66).
(135) ()    Nariadenie (EÚ) 2024/1689 (aktumelej inteligencii) (Ú. v. EÚ L, 2024/1689, 12.7.2024).
(136) ()     Pracovníci platforiem: Rada potvrdila dohodu o nových pravidlách na zlepšenie ich pracovných podmienok – Consilium (europa.eu) .
(137) ()    Nariadenie (EÚ) 2024/900transparentnosticielení politickej reklamy (Ú. v. EÚ L, 2024/900, 20.3.2024).
(138) ()    Návrh nariadeniaochrane súkromiaelektronických komunikáciách [COM(2017) 010 final].
(139) ()    Smernica 2002/58/ES (smernicasúkromíelektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37 – 47).
(140)

()    Nariadenie (EÚ) 2024/903 (aktinteroperabilnej Európe) (Ú. v. EÚ L, 2024/903, 22.3.2024).

(141) ()    Pozri stanoviskozistenia Rady, bod 31 písm. f).
(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en?prefLang=sk .
(143) ()    Nariadenie (EÚ) 2022/868 (aktspráve údajov) (Ú. v. EÚ L 152, 3.6.2022, s. 1 – 44).
(144) ()    Nariadenie (EÚ) 2023/2854 (aktúdajoch) (Ú. v. EÚ L, 2023/2854, 22.12.2023).
(145)

()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_SK.html .

(146) ()    Pozri stanoviskozistenia Rady, body 40 – 41; Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(147) ()    Pozri napríklad článok 37 ods. 3 aktuúdajoch.
(148) ()    Smernica (EÚ) 2022/2555 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80 – 152).
(149) ()    Pozri stanoviskozistenia Rady, body 18, 40 – 41zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(150) ()     Nemecko zriadilo „digitálny klaster“, ktorý zahŕňa regulačné orgányrôznych oblastícieľom rozšíriť ich spoluprácu vo všetkých aspektoch digitalizácievýmeny vedomostínajlepších postupov: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .
(151) ()     Usmernenia EDPB 05/2021.
(152) ()     Oddiel 2 usmernení EDPB 05/2021.
(153) ()     Vec C-311/18, ECLI:EU:C:2020:559 (Schrems II).
(154) ()     Schrems II, bod 93.
(155) ()     Schrems II, body 96105.
(156) ()     Schrems II, bod 131.
(157) ()     Schrems II, bod 105.
(158) ()     Odporúčania EDPB 02/2020referenčné kritérium primeranosti, WP 254 rev. 01.
(159) ()     Odporúčania EDPB 01/2020 doplnené odporúčaniami 02/2020.
(160) ()     Pozri napr. ods. 8 – 13, 32 – 33 odporúčaní EDPB 01/2020.
(161) ()     Pozri napr. príspevok výboru, strany 7 – 8; stanoviskozistenia Rady, bod 36; Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(162) ()    Vykonávanie oznámenia Komisievýmeneochrane osobných údajovglobalizovanom svete, 10.1.2017 [COM(2017) 7 final].
(163) ()     Vykonávacie rozhodnutie Komisie (EÚ) 2021/1772 (Ú. v. EÚ L 360, 11.10.2021, s. 1 – 68).
(164) ()    Vykonávacie rozhodnutie Komisie (EÚ) 2022/254 (Ú. v. EÚ L 44, 24.2.2022, s. 1 – 90).
(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en?prefLang=sk .
(166) ()    Vykonávacie rozhodnutie Komisie (EÚ) 2023/1795 (Ú. v. EÚ L 231, 20.9.2023, s. 118 – 229).
(167) ()     Európska patentová organizácia je medzivládna organizácia zriadená na základe Európskeho patentového dohovoru. Jej hlavnou úlohou je udeľovanie európskych patentov.tejto súvislosti úzko spolupracuje so spoločnosťamiverejnými orgánmičlenských štátoch EÚ, ako ajrôznymi inštitúciamiorgánmi EÚ.
(168) ()     Príspevok výboru, s. 7 – 8.
(169) ()    Článok 45 ods. 45 všeobecného nariadeniaochrane údajov. Pozri aj vec Schrems I, bod 76.
(170) ()     Vykonávacie rozhodnutie Komisie (EÚ) 2019/419 (Ú. v. EÚ L 76, 19.3.2019, s. 1 – 58). Pozri aj https://ec.europa.eu/commission/presscorner/detail/sk/IP_19_421 . Toto rozhodnutie predstavovalo prvé rozhodnutieprimeranosti prijaté podľa všeobecného nariadeniaochrane údajovprvú recipročnú dohoduprimeranosti.
(171) ()     Správa Komisieprvom preskúmaní fungovania rozhodnutiaprimeranosti týkajúceho sa Japonska, 3.4.2023, COM(2023) 275 final [a SWD(2023) 75 final].
(172) ()     Andorra, Argentína, Kanada (pre obchodných prevádzkovateľov), Faerské ostrovy, Guernsey, Ostrov Man, Izrael, Jersey, Nový Zéland, ŠvajčiarskoUruguaj.
(173) ()     Správa Komisieprvom preskúmaní fungovania rozhodnutíprimeranosti prijatých podľa článku 25 ods. 6 smernice 95/46/ES, 15.1.2024, COM(2024) 7 final [a SWD(2024) 3 final].
(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .
(175) ()     Patria sem Argentína, Izrael, Kolumbia, Maroko, ŠvajčiarskoUruguaj.
(176) ()     Vykonávacie rozhodnutie Komisie (EÚ) 2021/914 (Ú. v. EÚ L 199, 7.6.2021, s. 31 – 61).
(177) ()     To zahŕňalo napríklad spoločné stanovisko EDPBEDPS č. 2/2021 ako súčasť postupu prijímania štandardných zmluvných doložiek.
(178) ()     Stanoviskozistenia Rady, bod 37, príspevok výboru, s. 9, zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .
(180) ()     Pozri napr. zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(181) ()     Na základe článku 48 ods. 2 písm. b) nariadenia (EÚ) 2018/1725.
(182) ()     Stanoviskozistenia Rady, bod 37, príspevok výboru, s. 9, zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(183) () Usmernenia EDPB 05/2021, bod 3.
(184) ()     Ako sa uvádza ajusmerneniach EDPB 05/2021, oddiel 4.
(185) ()     Príspevok výboru, s. 9, zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(186) ()     Napr. Spojené kráľovstvo ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf )Švajčiarsko ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).
(187) ()     Napríklad Nový Zéland ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ )Argentína ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).
(188) ()     Pozri https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .
(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29 %20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .
(190) ()     Príspevok výboru, s. 9.
(191) ()     Odporúčania EDPB 1/2022.
(192) ()     Príspevok výboru, s. 9.
(193) ()     Zhrnutie spätnej väzby expertnej skupiny viacerých zainteresovaných strán zaoberajúcej sa všeobecným nariadenímochrane údajov.
(194) ()    Usmernenia EDPB 07/2022usmernenia 04/2021.
(195) ()     Usmernenia EDPB 2/2020.
(196) ()     Druhý Dodatkový protokolDohovorupočítačovej kriminaliteposilnenej spoluprácisprístupňovaní elektronických dôkazov (CETS č. 224).
(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en?prefLang=sk .
(198) ()     Návrh Komisie na rozhodnutie Radypodpise,mene Európskej únie, Dohody medzi KanadouEurópskou úniouprenosespracúvaní údajov zo záznamovcestujúcich (PNR), COM(2024) 94 final.
(199) ()     Išlokonzultácie, ktoré zorganizovali napríklad Argentína, Austrália, Brazília, Čína, Etiópia, Indonézia, Malajzia, Peru, RwandaThajsko.
(200) ()     Napríklad pred parlamentnými orgánmi Čile, EkvádoruParaguaja.
(201) () To zahŕňalo aj organizovanie seminárovštudijných návštev, napríkladIndonézii, KeniSingapure.
(202) ()     Príspevok výboru, s. 8; stanoviskozistenia Rady, bod 38.
(203) ()     Príspevok výboru, s. 8.
(204) ()     Pozri stanoviskozistenia Rady, bod 39.
(205) ()     Protokol, ktorým sa mení Dohovorochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (CETS č. 223).
(206) ()    Dánsko.
(207) ()    Belgicko, Česko, Grécko, Írsko, Lotyšsko, Luxembursko, HolandskoŠvédsko.
(208) ()     Pozri napr. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .
(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .