EVROPSKA KOMISIJA
Bruselj, 24.6.2020
SWD(2020) 115 final
DELOVNI DOKUMENT SLUŽB KOMISIJE
[…]
Spremni dokument
k SPOROČILU KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU
Varstvo podatkov kot steber krepitve vloge državljanov in pristopa EU k digitalnemu prehodu – dve leti uporabe splošne uredbe o varstvu podatkov
{COM(2020) 264 final}
Vsebina
1
Okvir
2
Izvajanje Uredbe in delovanje mehanizmov za sodelovanje in skladnost
2.1
Uporaba okrepljenih pooblastil organov za varstvo podatkov
Posebna vprašanja v javnem sektorju
Sodelovanje z drugimi regulatorji
2.2
Mehanizmi sodelovanja in skladnosti
Vse na enem mestu
Medsebojna pomoč
Mehanizem za skladnost
Izzivi pred nami
2.3
Svetovanje in smernice
Ozaveščanje in svetovanje organov za varstvo podatkov
Smernice Evropskega odbora za varstvo podatkov
2.4
Viri organov za varstvo podatkov
3
Kljub harmoniziranim pravilom ostajajo določena razdrobljenost in različni pristopi
3.1
Izvajanje Uredbe v državah članicah
Glavna vprašanja v zvezi z nacionalnim izvajanjem
Uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja
3.2
Določila o neobvezni natančnejši ureditvi in njihove omejitve
Razdrobljenost, povezana z uporabo določil o neobvezni natančnejši ureditvi
4
Omogočanje posameznikom, da bodo imeli nadzor nad lastnimi podatki
5
Priložnosti in izzivi za organizacije, zlasti za mala in srednja podjetja
Nabor orodij za podjetja
6
Uporaba Uredbe pri novih tehnologijah
7
Mednarodni prenosi in sodelovanje na svetovni ravni
7.1
Zasebnost: globalno vprašanje
7.2
Nabor orodij za prenos podatkov iz Uredbe
Sklepi o ustreznosti
Ustrezni zaščitni ukrepi
Odstopanja
Odločitve tujih sodišč ali organov niso osnova za prenose
7.3
Mednarodno sodelovanje na področju varstva podatkov
Dvostranska razsežnost
Večstranska razsežnost
Priloga I: Določila za neobvezno natančnejšo ureditev nacionalnih zakonodaj
Priloga II: Pregled virov organov za varstvo podatkov
1Okvir
Splošna uredba o varstvu podatkov (v nadaljnjem besedilu: Uredba) je rezultat osemletnih priprav, osnutkov in medinstitucionalnih pogajanj in je začela veljati 25. maja 2018 po dvoletnem prehodnem obdobju (maj 2016–maj 2018). Člen 97 Uredbe od Komisije zahteva, da poroča o vrednotenju in pregledu uredbe, začenši s prvim poročilom po dveh letih uporabe in nato vsaka štiri leta.
Vrednotenje je tudi del večplastnega pristopa, ki ga je Komisija upoštevala že pred začetkom uporabe Uredbe in mu od takrat še naprej dejavno sledi. Kot del tega pristopa je Komisija sodelovala v tekočih dvostranskih dialogih z državami članicami o skladnosti nacionalne zakonodaje z Uredbo in dejavno prispevala k delu Evropskega odbora za varstvo podatkov (v nadaljnjem besedilu: odbor), pri čemer je nudila svoje izkušnje in strokovno znanje, podpirala organe za varstvo podatkov in vzdrževala tesne stike s širokim krogom deležnikov glede praktične uporabe Uredbe.
Vrednotenje temelji na pregledu stanja, ki ga je Komisija opravila v prvem letu uporabe Uredbe in je bil povzet v sporočilu, izdanem julija 2019. Sledi tudi sporočilu o uporabi Uredbe, izdanem januarja 2018. Komisija je sprejela tudi smernice o uporabi osebnih podatkov v volilnem kontekstu, objavljene septembra 2018, in smernice o aplikacijah, ki podpirajo boj proti pandemiji COVID‑19, izdane aprila 2020.
Čeprav se to vrednotenje osredotoča na vprašanji iz člena 97(2) Uredbe, tj. na mednarodne prenose osebnih podatkov ter na mehanizme za sodelovanje in skladnost, je uporabljeni pristop širši, da bi zajemal tudi vprašanja, ki so jih v zadnjih dveh letih zastavili različni akterji.
Za pripravo vrednotenja je Komisija upoštevala prispevke:
·Sveta,
·Evropskega parlamenta (Odbor za državljanske svoboščine, pravosodje in notranje zadeve),
·odbora in posameznih organov za varstvo podatkov na podlagi vprašalnika, ki ga je poslala Komisija,
·članov večdeležniške strokovne skupine za podporo pri uporabi Uredbe, tudi na podlagi vprašalnika, ki ga je poslala Komisija,
·in ad hoc prispevke deležnikov.
2Izvajanje Uredbe in delovanje mehanizmov za sodelovanje in skladnost
Uredba je vzpostavila inovativen sistem upravljanja in ustvarila temelje resnično evropske kulture varstva podatkov, katere cilj je zagotoviti ne le usklajeno razlago, temveč tudi usklajeno uporabo in izvrševanje pravil o varstvu podatkov. Njena stebra sta neodvisni nacionalni organi za varstvo podatkov in novoustanovljeni odbor.
Ker so organi za varstvo podatkov ključni za delovanje celotnega sistema EU za varstvo podatkov, Komisija pozorno spremlja njihovo dejansko neodvisnost, vključno v zvezi z ustreznimi finančnimi, človeškimi in tehničnimi viri.
Glede na malo zbranih izkušenj doslej je še prezgodaj za celovito vrednotenje delovanja mehanizmov sodelovanja in skladnosti. Poleg tega organi za varstvo podatkov še niso uporabili celotnega sklopa orodij, ki jih predvideva Uredba, da bi še dodatno okrepili svoje sodelovanje.
2.1Uporaba okrepljenih pooblastil organov za varstvo podatkov
Uredba določa neodvisne organe za varstvo podatkov ter jim zagotavlja usklajena in okrepljena izvršilna pooblastila. Odkar se Uredba uporablja, ti organi uporabljajo široko paleto popravljalnih pooblastil, predvidenih v Uredbi, kot so upravne globe (22 organov EU/EGP), opozorila in opomini (23), odredbe za ugoditev zahtevam posameznika, na katerega se nanašajo osebni podatki (26), odredbe za uskladitev dejanj obdelave z Uredbo (27) in odredbe za popravek ali izbris osebnih podatkov ali omejitev obdelave (17). Približno polovica organov za varstvo podatkov (13) je uvedla začasne ali dokončne omejitve obdelave, vključno s prepovedmi. To kaže na zavestno uporabo vseh popravljalnih ukrepov, določenih v Uredbi. Organi za varstvo podatkov se niso izognili nalaganju upravnih glob poleg ali namesto drugih popravljalnih ukrepov, odvisno od okoliščin posameznih primerov.
Upravne globe:
Med 25. majem 2018 in 30. novembrom 2019 je 22 organov EU/EGP za varstvo podatkov izreklo približno 785 glob. Le nekaj organov še ni naložilo upravnih glob, čeprav lahko postopki, ki trenutno potekajo, do njih privedejo. Večina glob se nanaša na kršitve: načela zakonitosti, veljavne privolitve, zaščite občutljivih podatkov, obveznosti preglednosti, pravic posameznikov, na katere se nanašajo osebni podatki, in varnosti podatkov.
Primeri glob, ki so jih naložili organi za varstvo podatkov, vključujejo:
–
200 000 EUR za neupoštevanje pravice do ugovora neposrednemu trženju v Grčiji,
–
220 000 EUR podjetju za posredovanje podatkov na Poljskem, ker ni obvestilo posameznikov, da se njihovi podatki obdelujejo,
–
250 000 EUR španski nogometni ligi LaLiga zaradi pomanjkanja preglednosti pri zasnovi aplikacije za pametne telefone,
–
14,5 milijona EUR nemški nepremičninski družbi za kršitev načel varstva podatkov, zlasti za nezakonito shranjevanje,
–
18 milijonov EUR za nezakonito obsežno obdelavo posebnih vrst podatkov s strani avstrijskih poštnih storitev,
–
50 milijonov EUR družbi Google v Franciji zaradi pogojev za pridobitev privolitve uporabnikov.
Uspeha Uredbe se ne sme meriti s številom izdanih glob, saj Uredba ureja širšo paleto popravljalnih pooblastil. Na primer, odvisno od okoliščin je odvračilni učinek prepovedi obdelave ali prekinitve pretoka podatkov lahko veliko močnejši.
Posebna vprašanja v javnem sektorju
Uredba omogoča državam članicam, da določijo, ali in v kakšnem obsegu se lahko javnim organom in telesom naložijo upravne globe. Če države članice izkoristijo to možnost, to organom za varstvo podatkov ne prepreči uporabe vseh drugih popravljalnih pooblastil v odnosu do javnih organov in teles.
Drugo posebno vprašanje je nadzor nad sodišči: čeprav se Uredba uporablja tudi za dejavnosti sodišč, so ta izvzeta iz nadzora organov za varstvo podatkov, kadar delujejo kot sodni organ. Vendar Listina in PDEU države članice zavezujeta, da nadzor nad takimi dejanji obdelave zaupajo neodvisnemu organu v svojem pravosodnem sistemu.
Sodelovanje z drugimi regulatorji
Kot je napovedano v njenem sporočilu iz julija 2019, Komisija podpira interakcijo z drugimi regulatorji ob popolnem spoštovanju njihovih pristojnosti. Obetavna področja sodelovanja vključujejo varstvo potrošnikov in konkurence. Odbor je izrazil pripravljenost za sodelovanje z drugimi regulatorji, zlasti v zvezi s koncentracijo na digitalnih trgih. Komisija je priznala pomen zasebnosti in varstva podatkov kot kvalitativnega parametra za konkurenco. Člani odbora so se udeležili skupnih delavnic z mrežo za sodelovanje na področju varstva potrošnikov o sodelovanju pri boljšem izvrševanju zakonodaje EU o varstvu potrošnikov in podatkov. S tem pristopom se bo poskušalo spodbuditi skupno razumevanje in razviti praktične načine za reševanje konkretnih težav, ki jih imajo potrošniki, zlasti v digitalnem gospodarstvu.
Za zagotovitev doslednega pristopa k zasebnosti in varstvu podatkov ter do sprejetja uredbe o e-zasebnosti je bistvenega pomena tesno sodelovanje z organi, pristojnimi za izvrševanje direktive o e-zasebnosti, ki je lex specialis na področju elektronskih komunikacij. Tesnejše sodelovanje s pristojnimi organi v skladu z direktivo o varnosti omrežij in informacij ter Skupino za sodelovanje na področju varnosti omrežij in informacij bi bilo v obojestransko korist teh organov in organov za varstvo podatkov.
2.2Mehanizmi sodelovanja in skladnosti
Uredba je ustvarila mehanizem sodelovanja (sistem „vse na enem mestu“ za gospodarske subjekte, skupno ukrepanje in medsebojno pomoč med organi za varstvo podatkov) in mehanizem skladnosti, da bi s pomočjo dosledne razlage in reševanja morebitnih nesoglasij med organi s strani odbora spodbudila enotno uporabo pravil o varstvu podatkov.
Odbor, ki združuje vse organe za varstvo podatkov, je bil ustanovljen kot organ EU s pravno osebnostjo in deluje v celoti, podpira pa ga sekretariat. Je ključnega pomena za delovanje obeh zgoraj omenjenih mehanizmov. Do konca leta 2019 je odbor sprejel 67 dokumentov, vključno z 10 novimi smernicami in 43 mnenji.
Pomembna vloga odbora se je pokazala, kadar je bilo treba hitro zagotoviti dosledno razlago Uredbe in najti rešitve na ravni EU, ki se lahko takoj uporabijo. Na primer, v zvezi z izbruhom COVID‑19 je marca 2020 odbor sprejel izjavo o obdelavi osebnih podatkov, ki med drugim obravnava zakonitost obdelave in uporabo mobilnih podatkov o lokaciji v tem okviru, aprila 2020 pa je sprejel smernice o obdelavi podatkov o zdravstvenem stanju za namene znanstvenih raziskav v okviru izbruha COVID‑19 ter smernice o uporabi podatkov o lokaciji in orodij za sledenje stikom v okviru izbruha COVID‑19. Odbor je tudi pomembno prispeval k pristopu EU k aplikacijam za sledenje, ki so ga oblikovale Komisija in države članice.
Vsakodnevno sodelovanje med organi za varstvo podatkov, ne glede na to, ali delujejo v svoji vlogi ali kot člani odbora, temelji na izmenjavi informacij in obvestil o primerih, ki jih začnejo organi obravnavati. Komisija je komunikacijo med organi olajšala in znatno podprla z zagotovitvijo sistema izmenjave informacij. Večina organov meni, da je sistem prilagojen potrebam mehanizmov sodelovanja in skladnosti, vendar bi ga bilo mogoče še natančneje prilagoditi, na primer ga narediti uporabniku prijaznejšega.
Čeprav je še zgodaj, je že mogoče opredeliti številne dosežke in izzive, predstavljene v nadaljevanju. Ti dokazujejo, da so organi za varstvo podatkov doslej učinkovito uporabljali orodja za sodelovanje, pri čemer so dajali prednost prožnejšim rešitvam.
Vse na enem mestu
Kot splošno pravilo lahko v čezmejnih primerih organ države članice za varstvo podatkov sodeluje bodisi (i) kot vodilni organ, kadar je glavni sedež gospodarskega subjekta v tej državi članici, ali (ii) kot zadevni organ, kadar ima gospodarski subjekt sedež na ozemlju te države članice, kadar primer znatno vpliva na posameznike v tej državi ali kadar je bila pri njem vložena pritožba.
Tako tesno sodelovanje je postalo vsakodnevna praksa: od datuma začetka uporabe Uredbe so bili organi za varstvo podatkov iz vseh držav članic v nekem trenutku opredeljeni bodisi kot vodilni organi bodisi kot zadevni organi v čezmejnih primerih, čeprav v različnem obsegu.
Od maja 2018 do konca leta 2019 je organ za varstvo podatkov na Irskem deloval kot vodilni organ v največjem številu čezmejnih primerov (127), sledili so organi iz Nemčije (92), Luksemburga (87), Francije (64) in Nizozemske (45). Ta razvrstitev odraža zlasti poseben položaj Irske in Luksemburga, kjer gostuje več velikih tehnoloških večnacionalnih družb.
Razvrstitev je drugačna pri sodelovanju organov za varstvo podatkov kot zadevnih organov. V največjem številu primerov so sodelovali organi iz Nemčije (435), sledijo pa jim organi iz Španije (337), Danske (327), Francije (332) in Italije (306).
Med 25. majem 2018 in 31. decembrom 2019 je bilo v okviru postopka „vse na enem mestu“ predloženih 141 osnutkov odločitev, od tega je bila v 79 primerih sprejeta končna odločitev. Na dan objave tega poročila poteka obravnavanje več pomembnih odločitev s čezmejno razsežnostjo v okviru mehanizma „vse na enem mestu“. Med temi odločitvami nekatere vključujejo velike tehnološke večnacionalne družbe. Pričakuje se, da bodo te odločitve zagotovile pojasnila in prispevale k večji usklajenosti razlage Uredbe.
Medsebojna pomoč
Organi za varstvo podatkov so obsežno uporabljali orodje za medsebojno pomoč.
Do konca leta 2019 je bilo opravljenih 115 postopkov medsebojne pomoči, zlasti za izvajanje preiskav, ki so jih večinoma zahtevali organi za varstvo podatkov iz Španije (26), Nemčije (20), Danske (13), Poljske (12) in Češke (10). Po drugi strani so največ zahtevkov prejeli Irska (19), Francija (11), Avstrija (10), Nemčija (10) in Luksemburg (9).
Velika večina organov meni, da je medsebojna pomoč zelo koristno orodje za sodelovanje, in se pri uporabi postopka medsebojne pomoči ni srečala s posebnimi ovirami. Pogosteje se je uporabila prostovoljna izmenjava v okviru medsebojne pomoči, ki nima zakonsko določenega roka ali stroge dolžnosti odgovora, in sicer v 2 427 postopkih. Irski organ za varstvo podatkov je poslal in prejel največje število zahtev za medsebojno pomoč (527 poslanih in 359 prejetih), sledili so nemški organi (260 poslanih/356 prejetih).
Po drugi strani skupno ukrepanje, ki bi organom za varstvo podatkov iz več držav članic omogočilo, da so vključeni že na ravni preiskav čezmejnih primerov, še ni bilo izvedeno. Odbor še vedno razmišlja o praktičnem izvajanju tega orodja in o tem, kako spodbuditi njegovo uporabo.
Mehanizem za skladnost
Doslej je bil uporabljen le prvi del mehanizma za skladnosti, in sicer sprejetje mnenj odbora. Po drugi strani pa še ni bilo sproženo reševanje sporov na ravni odbora ali nujni postopek.
Med 25. majem 2018 in 31. decembrom 2019 je odbor izdal 36 mnenj v kontekstu sprejetja ukrepov s strani enega od svojih članov. Večina (31) se je nanašala na sprejetje nacionalnih seznamov postopkov obdelave, za katere je potrebna ocena učinka v zvezi z varstvom podatkov. Dve mnenji sta se nanašali na zavezujoča poslovna pravila, dve drugi sta se nanašali na osnutke zahtev za akreditacijo organa za spremljanje kodeksov ravnanja, eno pa je zadevalo standardna pogodbena določila.
Poleg tega je odbor na zahtevo sprejel še šest mnenj. Tri od teh mnenj so se nanašala na nacionalne sezname postopkov obdelave, za katere ni potrebna ocena učinka v zvezi z varstvom podatkov. Druga so zadevala upravno ureditev prenosa osebnih podatkov med organi za finančni nadzor v EGP in organi za finančni nadzor zunaj EGP, povezavo med direktivo o e-zasebnosti in Uredbo ter pristojnost nadzornega organa v primeru spremembe okoliščin glede glavne ali edine ustanovitve.
Izzivi pred nami
Čeprav organi za varstvo podatkov zelo dejavno sodelujejo z odborom in že intenzivno uporabljajo orodje za medsebojno pomoč, oblikovanje resnično skupne kulture varstva podatkov še ni končano.
Zlasti obravnavanje čezmejnih primerov zahteva bolj učinkovit in usklajen pristop ter učinkovito uporabo vseh orodij za sodelovanje, določenih v Uredbi. V zvezi s to točko obstaja zelo široko soglasje, saj so jo na različne načine izpostavili Evropski parlament, Svet, Evropski nadzornik za varstvo podatkov, deležniki (znotraj večdeležniške skupine in zunaj nje) ter organi za varstvo podatkov.
Glavna vprašanja, ki jih je treba obravnavati v tem okviru, vključujejo razlike v:
·nacionalnih upravnih postopkih, ki zadevajo zlasti: postopke obravnavanja pritožb, merila dopustnosti za pritožbe, trajanje postopkov zaradi različnih časovnih okvirov ali odsotnosti rokov, trenutek v postopku, ko je mogoče uveljavljati načelo kontradiktornosti, obveščanje in vključenost pritožnikov med postopkom;
·razlage konceptov v zvezi z mehanizmom sodelovanja, kot so pomembne informacije, pojem „brez odlašanja“, „pritožba“, dokument, ki je opredeljen kot „osnutek odločitve“ vodilnega organa za varstvo podatkov, sporazumen dogovor (zlasti postopek, ki vodi do sporazumnega dogovora, in pravne oblike dogovora), in
·pristop, kdaj začeti postopek sodelovanja, vključiti zadevne organe za varstvo podatkov in jim posredovati informacije. Prav tako ni zagotovljena jasnost za pritožnike o tem, kako se njihove zadeve obravnavajo v čezmejnih situacijah, kot je poudarilo več članov večdeležniške skupine. Poleg tega podjetja omenjajo, da v nekaterih primerih nacionalni organi za varstvo podatkov zadev niso napotili na vodilni organ za varstvo podatkov, temveč so jih obravnavali kot lokalne zadeve.
Komisija pozdravlja sporočilo odbora, da je začel razmišljati o tem, kako te pomisleke odpraviti. Odbor je zlasti navedel, da bo pojasnil postopkovne korake pri sodelovanju med vodilnim organom za varstvo podatkov in zadevnimi organi za varstvo podatkov, analiziral nacionalno upravno procesno pravo, si prizadeval za skupno razlago ključnih pojmov ter okrepil komunikacijo in sodelovanje (vključno s skupnim ukrepanjem). Razmislek in analiza odbora bi morala pripeljati k oblikovanju učinkovitejših delovnih ureditev v čezmejnih primerih, vključno na podlagi strokovnega znanja njegovih članov in s krepitvijo vključenosti sekretariata odbora. Poleg tega je treba opozoriti, da odgovornosti odbora za zagotavljanje dosledne razlage Uredbe ni mogoče izpolniti s preprostim iskanjem najmanjšega skupnega imenovalca.
Nazadnje, odbor mora kot organ EU uporabljati tudi upravno pravo EU in zagotoviti preglednost v postopku odločanja.
2.3Svetovanje in smernice
Ozaveščanje in svetovanje organov za varstvo podatkov
Več organov za varstvo podatkov je ustvarilo nova orodja, kot so telefonske številke za pomoč posameznikom in podjetjem, ter nabori orodij za podjetja. Mnogi gospodarski subjekti pozdravljajo pragmatizem, ki so ga ti organi pokazali pri pomoči pri uporabi Uredbe. Več jih je dejavno in tesno sodelovalo ter komuniciralo s pooblaščenimi osebami za varstvo podatkov, vključno prek združenj uradnih oseb za varstvo podatkov. Številni organi so izdali tudi smernice, ki zajemajo vlogo in obveznosti pooblaščenih oseb za varstvo podatkov, da bi jih podprli pri njihovih vsakodnevnih dejavnostih, ter organizirali seminarje, zasnovane posebej zanje. Vendar to ne velja za vse organe za varstvo podatkov.
Povratne informacije deležnikov kažejo tudi na številna vprašanja v zvezi s smernicami in nasveti:
·pomanjkanje doslednega pristopa in smernic med nacionalnimi organi za varstvo podatkov o določenih vprašanjih (npr. o piškotkih, uporabi zakonitega interesa, obvestilih o kršitvi varnosti osebnih podatkov ali o oceni učinka v zvezi z varstvom podatkov) ali celo med organi za varstvo podatkov v istih državah članicah (npr. v Nemčiji o pojmih upravljavec in obdelovalec),
·neskladnost smernic, sprejetih na nacionalni ravni, s smernicami, ki jih je sprejel odbor,
·odsotnost javnih posvetovanj o določenih smernicah, sprejetih na nacionalni ravni,
·različne ravni sodelovanja z deležniki med organi za varstvo podatkov,
·zamude pri prejemanju odgovorov na zahteve za informacije,
·težave pri pridobivanju praktičnih in koristnih nasvetov organov za varstvo podatkov,
·potreba po povečanju ravni strokovnega znanja pri nekaterih organih za varstvo podatkov (npr. na zdravstvenem in farmacevtskem področju).
Nekatera od teh vprašanj so povezana tudi s pomanjkanjem virov pri več organih za varstvo podatkov (glej spodaj).
Različne prakse glede obvestila o kršitvi varnosti osebnih podatkov
Medtem ko Svet opozarja na breme, ki ga povzročajo taka obvestila, pri obvestilih med državami članicami prihaja do večjih odstopanj: medtem ko je bilo od maja 2018 do konca novembra 2019 v večini držav članic skupno število obvestil o kršitvi varnosti osebnih podatkov manjše od 2 000, v 7 državah članicah pa med 2 000 in 10 000, so nizozemski in nemški organi za varstvo podatkov poročali o 37 400 in 45 600 obvestilih.
To lahko kaže na pomanjkanje dosledne razlage in izvajanja, čeprav obstajajo smernice na ravni EU o obvestilih o kršitvah varnosti osebnih podatkov.
Smernice Evropskega odbora za varstvo podatkov
Do danes je odbor sprejel več kot 20 smernic, ki zajemajo ključne vidike Uredbe. Smernice so bistveno orodje za dosledno uporabo Uredbe, zato so jih deležniki v veliki meri pozdravili. Deležniki so cenili sistematično (6- do 8‑tedensko) javno posvetovanje, vendar pa prosijo za več dialoga z odborom. V tem okviru je treba nadaljevati in razširjati prakso organiziranja delavnic o ciljno usmerjenih temah pred pripravo osnutka smernic, da se zagotovijo preglednost, vključenost in ustreznost dela odbora. Deležniki pozivajo tudi k temu, naj se razlaga najbolj spornih vprašanj obravnava v smernicah, saj so te predmet javnega posvetovanja, in ne v mnenjih na podlagi člena 64(2) Uredbe. Nekateri deležniki pozivajo tudi k bolj praktičnim smernicam, ki bi podrobno opisovale uporabo pojmov in določb Uredbe. Člani večdeležniške skupine poudarjajo potrebo po konkretnejših primerih, da bi čim bolj zmanjšali manevrski prostor za različne razlage med organi za varstvo podatkov. Hkrati zahteve po pojasnitvi uporabe Uredbe in zagotavljanju pravne varnosti ne bi smele privesti do dodatnih zahtev ali zmanjšati prednosti pristopa, ki temelji na tveganju, in načela odgovornosti.
Teme, pri katerih bi deležniki želeli dodatne smernice odbora, vključujejo: področje uporabe pravic posameznikov, na katere se nanašajo osebni podatki (vključno na področju zaposlovanja), posodobitev mnenja o obdelavi na podlagi zakonitega interesa, pojme upravljavec, skupni upravljavec in obdelovalec ter potrebne ureditve med stranmi, uporaba Uredbe za nove tehnologije (kot sta blokovna veriga in umetna inteligenca), obdelava v okviru znanstvenih raziskav (vključno v zvezi z mednarodnim sodelovanjem), obdelava podatkov otrok, psevdonimizacija in anonimizacija ter obdelava osebnih podatkov v zvezi z zdravjem.
Odbor je že nakazal, da bo izdal smernice za mnoge od teh tem, delo v zvezi s številnimi temami pa se je že začelo (npr. o uporabi zakonitega interesa kot pravne podlage za obdelavo).
Deležniki pozivajo odbor, naj po potrebi posodobi in spremeni obstoječe smernice ob upoštevanju izkušenj, pridobljenih od njihove objave, in izkoristi priložnost, da po potrebi zagotovi podrobnejša pojasnila.
2.4Viri organov za varstvo podatkov
Zagotavljanje potrebnih človeških, tehničnih in finančnih virov, prostorov in infrastrukture vsakemu organu za varstvo podatkov je osnovni pogoj za učinkovito opravljanje njihovih nalog in izvajanje pooblastil ter s tem bistven pogoj za njihovo neodvisnost.
Večina organov za varstvo podatkov je od začetka veljavnosti Uredbe leta 2016 prejela več osebja in sredstev, vendar mnogi še vedno poročajo, da jim sredstev primanjkuje.
Število zaposlenih pri nacionalnih organih za varstvo podatkov
Skupno število zaposlenih pri organih za varstvo podatkov v EGP, obravnavanih skupaj, se je med letoma 2016 in 2019 povečalo za 42 % (za 62 %, če se upošteva napoved za leto 2020).
V tem obdobju se je število zaposlenih povečalo pri večini organov, največje povečanje (v odstotkih) pa je bilo zabeleženo pri organih na Irskem (+ 169 %), Nizozemskem (+ 145 %), Islandiji (+ 143 %), v Luksemburgu (+ 126 %) in na Finskem (+ 114 %). Po drugi strani se je število zaposlenih pri več organih za varstvo podatkov zmanjšalo, največji upad pa je bil zabeležen v Grčiji (– 15 %), Bolgariji (– 14 %), Estoniji (– 11 %), Latviji (– 10 %) in Litvi (– 8 %). Pri nekaterih organih je zmanjšanje števila zaposlenih tudi posledica odhoda strokovnjakov za varstvo podatkov v zasebni sektor, ki ponuja privlačnejše pogoje.
Na splošno napoved za leto 2020 predvideva povečanje števila zaposlenih v primerjavi z letom 2019, razen pri organih v Avstriji, Bolgariji in Italiji, na Švedskem in Islandiji (kjer naj bi število zaposlenih ostalo nespremenjeno) ter na Cipru in Danskem (kjer se pričakuje zmanjšanje števila zaposlenih).
Nemški organi za varstvo podatkov imajo skupno največ zaposlenih (888 v letu 2019 in 1 002 napovedanih v letu 2020), sledijo jim organi za varstvo podatkov na Poljskem (238/260), v Franciji (215/225), Španiji (170/220), na Nizozemskem (179/188), v Italiji (170/170) in na Irskem (140/176).
Organi za varstvo podatkov z najmanjšim številom zaposlenih so organi iz Cipra (24/22), Latvije (19/31), Islandije (17/17), Estonije (16/18) in Malte (13/15).
Proračun nacionalnih organov za varstvo podatkov
Skupni proračun organov za varstvo podatkov v EGP, obravnavanih skupaj, se je med letoma 2016 in 2019 povečal za 49 % (za 64 %, če se upošteva napoved za leto 2020).
Proračun večine organov se je v tem obdobju povečal, največje povečanje (v odstotkih) je bilo zabeleženo pri organih na Irskem (+ 223 %), Islandiji (+ 167 %), v Luksemburgu (+ 165 %), na Nizozemskem (+ 130 %) in Cipru (+ 114 %). Po drugi strani so nekateri organi zabeležili le majhno povečanje proračuna, najmanjša povečanja pa so bila zabeležena pri organih za varstvo podatkov v Estoniji (7 %), Latviji (4 %), Romuniji (3 %) in Belgiji (1 %), medtem ko se je proračun organa v Franciji zmanjšal (– 2 %).
Na splošno napoved za leto 2020 predvideva povečanje proračuna v primerjavi z letom 2019, razen pri organih iz Avstrije, Bolgarije, Estonije in Nizozemske (katerih proračuni naj bi ostali nespremenjeni).
Organi za varstvo podatkov z najvišjim proračunom so organi v Nemčiji (76,6 milijona EUR v letu 2019/85,8 milijona EUR v napovedi za leto 2020), Italiji (29,1/30,1), na Nizozemskem (18,6/18,6), v Franciji (18,5/20,1) in na Irskem (15,2/16,9).
Organi z najnižjim proračunom so organi iz Hrvaške (1,2 milijona EUR v letu 2019/1,4 milijona EUR v napovedi za leto 2020), Romunije (1,1/1,3), Latvije (0,6/1,2), Cipra (0,5/0,5) in Malte (0,5/0,6).
Tabela v Prilogi II nudi pregled človeških in proračunskih virov nacionalnih organov za varstvo podatkov.
Poleg tega, da vpliva na njihovo sposobnost uveljavljanja pravil na nacionalni ravni, pomanjkanje virov omejuje tudi zmožnost organov za varstvo podatkov, da sodelujejo v mehanizmih sodelovanja in skladnosti ter prispevajo k delu, ki se opravlja v odboru. Kot je poudaril odbor, je uspeh mehanizma „vse na enem mestu“ odvisen od časa in truda, ki ga lahko organi za varstvo podatkov namenijo obravnavanju posameznih čezmejnih primerov in sodelovanju v njih. Vprašanje virov stopnjuje povečana vloga organov pri nadzoru obsežnih sistemov informacijske tehnologije, ki se trenutno razvijajo. Poleg tega imajo organi za varstvo podatkov na Irskem in v Luksemburgu posebne potrebe po virih, saj imajo vlogo vodilnih organov pri izvrševanju Uredbe v razmerju do velikih tehnoloških družb, ki imajo večinoma sedež v teh državah članicah.
Medtem ko Svet opozarja na vpliv mehanizma sodelovanja in njegovih rokov na delo organov za varstvo podatkov, Uredba obvezuje države članice, da svojim nacionalnim organom za varstvo podatkov zagotovijo ustrezne človeške, finančne in tehnične vire.
Sekretariat odbora, ki ga zagotavlja Evropski nadzornik za varstvo podatkov, trenutno sestavlja 20 zaposlenih, vključno s pravnimi strokovnjaki ter strokovnjaki za informacijsko tehnologijo in komunikacije. Oceniti je treba, ali se mora to število v prihodnosti razvijati glede na učinkovito izvajanje njegove funkcije analitične, upravne in logistične podpore odboru in njegovim podskupinam, vključno prek upravljanja sistema izmenjave informacij.
3Kljub harmoniziranim pravilom ostajajo določena razdrobljenost in različni pristopi
Uredba zagotavlja dosleden pristop k pravilom o varstvu podatkov po vsej EU, pri čemer nadomešča različne nacionalne ureditve, ki so obstajale na podlagi direktive o varstvu podatkov iz leta 1995.
3.1Izvajanje Uredbe v državah članicah
Uredba se v vseh državah članicah neposredno uporablja od 25. maja 2018. Države članice je zavezala k sprejetju zakonodaje, zlasti za ustanovitev nacionalnih organov za varstvo podatkov ter določitev splošnih pogojev za njihove člane, da bi se zagotovilo, da vsak organ deluje popolnoma neodvisno pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu z Uredbo. Pravne obveznosti in javne naloge so lahko pravna podlaga za obdelavo osebnih podatkov le, če so določene v (pravu Unije ali) nacionalnem pravu. Poleg tega morajo države članice določiti pravila o kaznih, zlasti za kršitve, za katere ne veljajo upravne globe, ter pravico do varstva osebnih podatkov uskladiti s pravico do svobode izražanja in obveščanja. Nacionalna zakonodaja lahko določa tudi pravno podlago za izvzetje iz splošne prepovedi obdelave posebnih vrst osebnih podatkov, na primer iz razlogov bistvenega javnega interesa na področju javnega zdravja, vključno z zaščito pred resnimi čezmejnimi nevarnostmi za zdravje. Poleg tega morajo države članice zagotoviti akreditacijo teles za certificiranje.
Komisija spremlja izvajanje Uredbe v nacionalni zakonodaji. V času priprave tega poročila so vse države članice razen Slovenije sprejele novo zakonodajo o varstvu podatkov ali prilagodile svoje pravo na tem področju. Komisija je zato od Slovenije zahtevala pojasnila o dotedanjem napredku in jo pozvala, naj ta postopek dokonča.
Poleg tega se skladnost nacionalne zakonodaje s pravili o varstvu podatkov v zvezi s schengenskim pravnim redom ocenjuje tudi v okviru schengenskega ocenjevalnega mehanizma, ki ga usklajuje Komisija. Komisija in države članice skupaj ocenjujejo, kako države izvajajo in uporabljajo schengenski pravni red na številnih področjih. Na področju varstva podatkov to ocenjevanje zadeva obsežne informacijske sisteme, kot sta schengenski informacijski sistem in vizumski informacijski sistem, ter vključuje vlogo organov za varstvo podatkov pri nadzoru obdelave osebnih podatkov v teh sistemih.
Na nacionalni ravni še potekajo prizadevanja v zvezi s prilagajanjem sektorskih zakonodaj. Po vključitvi Uredbe v Sporazum o evropskem gospodarskem prostoru je bila njena uporaba razširjena na Norveško, Islandijo in Lihtenštajn. Te države so sprejele tudi lastne nacionalne zakonodaje o varstvu podatkov.
Komisija bo uporabljala vsa orodja, ki jih ima na voljo, vključno s postopki za ugotavljanje kršitev, da zagotovi skladnost držav članic z Uredbo.
Glavna vprašanja v zvezi z nacionalnim izvajanjem
Glavna vprašanja, ki so bila doslej opredeljena v okviru tekoče ocene nacionalnih zakonodaj in dvostranskih izmenjav z državami članicami, vključujejo:
·omejitve uporabe Uredbe: nekatere države članice na primer popolnoma izključujejo dejavnosti nacionalnega parlamenta,
·razlike v uporabi nacionalnih zakonodaj z natančnejšimi ureditvami. Nekatere države članice uporabo svojega nacionalnega prava povezujejo s krajem, kjer se blago ali storitve ponujajo, druge pa s krajem sedeža upravljavca ali obdelovalca. To je v nasprotju s ciljem uskladitve iz Uredbe,
·nacionalne zakonodaje, ki zastavljajo vprašanja o sorazmernosti poseganja v pravico do varstva podatkov. Komisija je na primer sprožila postopek za ugotavljanje kršitev zoper državo članico, ki je sprejela zakonodajo, ki od sodnikov zahteva, naj razkrijejo določene informacije o svojih nepoklicnih dejavnostih, kar je nezdružljivo s pravico do spoštovanja zasebnega življenja in pravico do varstva osebnih podatkov,
·odsotnost neodvisnega organa za nadzor obdelave podatkov s strani sodišč, kadar delujejo kot sodni organ,
·zakonodaja na področjih, ki jih Uredba v celoti ureja, presega mejo natančnejše ureditve ali omejitve. To zlasti velja, kadar nacionalne določbe predpisujejo pogoje za obdelavo na podlagi zakonitega interesa, tako da določijo uravnoteženje interesov upravljavca in zadevnih posameznikov, medtem ko Uredba vsakega upravljavca obvezuje k takemu uravnoteženju v posameznem primeru in k uporabi te pravne podlage,
·natančnejše ureditve in dodatne zahteve za izpolnjevanje zakonske obveznosti ali izvajanje javne naloge (npr. za video nadzor v zasebnem sektorju ali za neposredno trženje), ki presegajo obdelavo, ter za pojme, uporabljene v Uredbi (npr. „obsežen“ ali „izbris“).
Nekatera vprašanja bo morda pojasnilo Sodišče v zadevah, ki še potekajo.
Uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja
Posebno vprašanje se nanaša na izvajanje obveznosti držav članic, da po zakonu pravico do varstva osebnih podatkov uskladijo s svobodo izražanja in obveščanja. To vprašanje je zelo zapleteno, saj mora vrednotenje uravnoteženja teh temeljnih pravic upoštevati tudi določbe in zaščitne ukrepe v zakonodajah o tisku in medijih.
Ocena zakonodaje držav članic kaže na različne pristope pri usklajevanju pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja:
·Nekatere države članice določajo načelo prednosti svobode izražanja ali načeloma izvzemajo uporabo celotnih poglavij iz člena 85(2) Uredbe, če gre za obdelavo v novinarske namene ter za akademsko, umetniško in književno izražanje. Zakonodaje o medijih do določene mere določajo nekatere zaščitne ukrepe v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki.
·Nekatere države članice določajo prednost varstva osebnih podatkov in uporabo pravil o varstvu podatkov izvzemajo le v posebnih primerih, kot na primer za osebe z javnim statusom.
·V drugih državah članicah za določeno uravnoteženje poskrbi zakonodajalec in/ali se odstopanja od nekaterih določb Uredbe ocenijo za vsak primer posebej.
Komisija bo nadaljevala ocenjevanje nacionalne zakonodaje na podlagi zahtev iz Listine. Omejevanje uresničevanja pravic in svoboščin mora biti predpisano z zakoni, upoštevati mora bistveno vsebino navedenih temeljnih pravic ter biti sorazmerno in potrebno (člen 52(1) Listine). Pravila o varstvu podatkov ne bi smela vplivati na uveljavljanje svobode izražanja in obveščanja, zlasti z ustvarjanjem zastraševalnega učinka ali tako, da se razlagajo kot način za izvajanje pritiska na novinarje, da razkrijejo svoje vire.
3.2Določila o neobvezni natančnejši ureditvi in njihove omejitve
Uredba daje državam članicam možnost, da natančneje določijo njeno uporabo na omejenem številu področij. Ta manevrski prostor za nacionalno zakonodajo je treba razlikovati od obveznosti izvajanja nekaterih drugih določb Uredb, kot je navedeno zgoraj. Določila za neobvezne natančnejše ureditve so navedene v Prilogi I.
Za manevrski prostor za zakonodaje držav članic veljajo pogoji in omejitve, ki jih določa Uredba, in ne omogoča vzporedne nacionalne ureditve varstva podatkov. Države članice so dolžne spremeniti ali razveljaviti nacionalne zakonodaje o varstvu podatkov, vključno s sektorsko zakonodajo z vidiki varstva podatkov.
Poleg tega povezana zakonodaja držav članic ne sme vključevati določb, ki bi lahko povzročile negotovost glede neposredne uporabe Uredbe. Zato kadar Uredba določa natančnejšo ureditev ali omejitve svojih pravil z zakonodajo države članice, lahko države članice v svojo nacionalno zakonodajo vključijo elemente Uredbe v obsegu, potrebnem za zagotovitev skladnosti in pojasnitev nacionalnih določb za osebe, ki jih uporabljajo.
Deležniki menijo, da bi morale države članice zmanjšati uporabo določil o natančnejši ureditvi ali se jim izogniti, saj ne prispevajo k uskladitvi. Nacionalne razlike pri izvajanju in razlagi zakonodaje s strani organov za varstvo podatkov močno povečujejo stroške pravne skladnosti po vsej EU.
Razdrobljenost, povezana z uporabo določil o neobvezni natančnejši ureditvi
·Starostna meja za privolitev otrok v zvezi s storitvami informacijske družbe
Številne države članice so izkoristile možnost, da za privolitev v zvezi s storitvami informacijske družbe določijo starost, nižjo od 16 let (člen 8(1) Uredbe). Medtem ko devet držav članic uporablja starostno mejo 16 let, se je osem držav članic odločilo za 13 let, šest za 14 let in tri za 15 let.
Zato mora podjetje, ki ponuja storitve informacijske družbe za mladoletnike po vsej EU, razlikovati med starostjo potencialnih uporabnikov glede na to, v kateri državi članici prebivajo. To je v nasprotju s ključnim ciljem Uredbe, da se zagotovi enaka raven varstva posameznikov in poslovnih priložnosti v vseh državah članicah.
Take razlike privedejo do situacij, v katerih država članica, v kateri ima upravljavec sedež, določi drugo starostno mejo kot države članice, v katerih prebivajo posamezniki, na katere se nanašajo osebni podatki.
·Zdravje in raziskave
Pri izvajanju odstopanj od splošne prepovedi obdelave posebnih vrst osebnih podatkov zakonodaja držav članic sledi različnim pristopom glede ravni natančnejše ureditve in zaščitnih ukrepov, vključno za zdravstvene in raziskovalne namene. Večina držav članic je uvedla ali ohranila nadaljnje pogoje za obdelavo genskih in biometričnih podatkov ali podatkov v zvezi z zdravjem. To velja tudi za odstopanja, povezana s pravicami posameznikov, na katere se nanašajo osebni podatki, za raziskovalne namene, bodisi glede obsega odstopanj bodisi s tem povezanimi zaščitnimi ukrepi.
Prihodnje smernice odbora glede uporabe osebnih podatkov v znanstvenih raziskavah bodo prispevale k usklajenemu pristopu na tem področju. Komisija bo odboru zagotovila informacije zlasti v zvezi z zdravstvenimi raziskavami, med drugim v obliki konkretnih vprašanj in analize konkretnih scenarijev, ki jih je prejela od raziskovalne skupnosti. Koristno bi bilo, če bi se te smernice lahko sprejele pred začetkom okvirnega programa Obzorje Evropa, da bi se uskladile prakse varstva podatkov in omogočila izmenjava podatkov za napredek pri raziskavah. Koristne bi lahko bile tudi smernice odbora o obdelavi osebnih podatkov na področju zdravja.
Uredba zagotavlja trden okvir za nacionalno zakonodajo na področju javnega zdravja in izrecno vključuje čezmejne nevarnosti za zdravje ter spremljanje epidemij in njihovega širjenja, kar je bilo pomembno v okviru boja proti pandemiji COVID‑19.
Na ravni EU je Komisija 8. aprila 2020 sprejela priporočilo o naboru orodij za uporabo tehnologije in podatkov v tem kontekstu, vključno z mobilnimi aplikacijami in uporabo anonimiziranih podatkov o mobilnosti, ter 16. aprila 2020 usmeritve v zvezi z varstvom podatkov za aplikacije, ki podpirajo boj proti pandemiji. Odbor je 19. marca 2020 objavil izjavo o obdelavi podatkov v tem okviru, ki so ji 21. aprila 2020 sledile smernice o obdelavi podatkov za raziskovalne namene in o uporabi podatkov o lokaciji in orodij za sledenje stikom v tem okviru. Ta priporočila in smernice pojasnjujejo, kako se načela in pravila o varstvu osebnih podatkov uporabljajo v kontekstu boja proti pandemiji.
·Obsežne omejitve pravic posameznikov, na katere se nanašajo osebni podatki
Večina nacionalnih zakonodaj na področju varstva podatkov, ki omejujejo pravice posameznikov, na katere se nanašajo osebni podatki, ne določa ciljev splošnega javnega interesa, ki jih te omejitve varujejo, in/ali ne izpolnjujejo pogojev in zaščitnih ukrepov, ki jih zahteva člen 23(2) Uredbe, v zadostni meri. Več držav članic ne dopušča nobenega preizkusa sorazmernosti ali je razširilo omejitve, tako da presegajo področje uporabe člena 23(1) Uredbe. Na primer, nekatere nacionalne zakonodaje zanikajo pravico do dostopa zaradi nesorazmernega napora upravljavca za osebne podatke, ki se shranjujejo na podlagi obveznosti hrambe ali so povezani z izvajanjem javnih nalog, ne da bi te omejitve omejile na cilje splošnega javnega interesa.
·Dodatne zahteve za podjetja
Čeprav zahteva po obvezni pooblaščeni osebi za varstvo podatkov temelji na pristopu na podlagi tveganja, jo je ena država članica razširila na kvantitativna merila, ki obvezujejo družbe, v katerih je 20 ali več zaposlenih stalno vključenih v avtomatizirano obdelavo osebnih podatkov, da določi uradno osebo za varstvo podatkov, ne glede na tveganja, povezana z dejavnostmi obdelave. To je povzročilo dodatno breme.
4Omogočanje posameznikom, da bodo imeli nadzor nad lastnimi podatki
Uredba uveljavlja temeljne pravice, zlasti pravico do varstva osebnih podatkov, pa tudi druge temeljne pravice, ki jih priznava Listina, vključno s spoštovanjem zasebnega in družinskega življenja, svobodo izražanja in obveščanja, nediskriminacijo, svobodo misli in vesti ter versko svobodo, svobodo gospodarske pobude in pravico do učinkovitega pravnega sredstva. Te pravice morajo biti medsebojno uravnotežene v skladu z načelom sorazmernosti.
Uredba posameznikom zagotavlja izvršljive pravice, kot so pravica do dostopa, popravka, izbrisa, ugovora, prenosljivosti in večje preglednosti. Prav tako posameznikom daje pravico do vložitve pritožbe pri organu za varstvo podatkov, vključno prek zastopniških tožb, in pravico do pravnega sredstva.
Posamezniki se vse bolj zavedajo svojih pravic, kar kažejo rezultati raziskave Eurobarometer iz julija 2019 in raziskava, ki jo je izvedla Agencija za temeljne pravice.
Po ugotovitvah iz raziskave o temeljnih pravicah, ki jo je opravila Agencija za temeljne pravice:
·je 69 % prebivalcev in prebivalk EU, starejših od 16 let, že slišalo za Uredbo;
·je 71 % vprašanih v EU že slišalo za njihov nacionalni organ za varstvo podatkov; ta številka se giblje od 90 % na Češkem do 44 % v Belgiji;
·60 % vprašanih v EU pozna zakonodajo, ki jim omogoča dostop do njihovih osebnih podatkov, ki jih hrani javna uprava, medtem ko je ta odstotek manjši (51 %) v primeru zasebnih podjetij;
·več kot petina vprašanih (23 %) v EU ne želi deliti osebnih podatkov (npr. naslova, državljanstva ali datuma rojstva) z javno upravo, 41 % pa jih ne želi deliti z zasebnimi podjetji.
Posamezniki vse pogosteje uporabljajo svojo pravico do vložitve pritožb pri organih za varstvo podatkov, bodisi posamično bodisi z zastopniškimi tožbami. Le nekaj držav članic je dovolilo nevladnim organizacijam, da brez pooblastila začnejo postopek v skladu z možnostjo, ki jo zagotavlja Uredba. Predlagana direktiva o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov naj bi, ko bo sprejeta, okrepila okvir za zastopniške tožbe tudi na področju varstva podatkov.
Pritožbe
Kot je poročal odbor, je bilo skupno število pritožb med majem 2018 in koncem novembra 2019 približno 275 000. Vendar je treba to število obravnavati zelo previdno, saj opredelitev pritožbe med organi ni enaka. Absolutno število pritožb, ki jih prejmejo organi za varstvo podatkov, se med državami članicami zelo razlikuje. Največ pritožb je bilo zabeleženih v Nemčiji (67 000), na Nizozemskem (37 000), v Španiji in Franciji (po 18 000), v Italiji (14 000) ter na Poljskem in Irskem (po 12 000). Dve tretjini organov sta poročali, da se je število pritožb gibalo med 8 000 in 600. Najmanjše število pritožb je bilo v Estoniji in Belgiji (po približno 500) ter na Malti in Islandiji (po manj kot 200).
Število pritožb ni nujno povezano s številom prebivalstva ali BDP, saj je bilo na primer v Nemčiji vloženih skoraj dvakrat več pritožb kot na Nizozemskem ter štirikrat več kot v Španiji in Franciji.
Povratne informacije večdeležniške skupine kažejo, da so organizacije uvedle različne ukrepe za olajšanje uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, vključno z uvedbo postopkov, ki zagotavljajo posamičen pregled zahtev in odgovor upravljavca, uporabo več kanalov (pošta, namenski elektronski naslov, spletno mesto itd.), posodobljenimi notranjimi postopki, politikami hitre notranje obravnave zahtev in usposabljanjem osebja. Nekatere družbe so vzpostavile digitalne portale, dostopne prek spletnega mesta družbe (ali intraneta družbe za zaposlene), da bi olajšale uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki.
Vendar je potreben nadaljnji napredek pri naslednjih točkah:
·Vsi upravljavci podatkov ne izpolnjujejo svoje obveznosti, da morajo olajšajo uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki. Zagotoviti morajo, da imajo posamezniki, na katere se nanašajo osebni podatki, učinkovito kontaktno točko, na katero se lahko obrnejo s svojimi težavami. To je lahko pooblaščena oseba za varstvo podatkov, katere kontaktne podatke je treba proaktivno posredovati posamezniku, na katerega se nanašajo osebni podatki. Možnosti stikov ne smejo biti omejene na elektronsko pošto, temveč morajo upravljavci osebam, na katere se nanašajo osebni podatki, omogočiti, da se nanje obrnejo tudi na druge načine.
·Posamezniki se še vedno srečujejo s težavami, ko zahtevajo dostop do svojih podatkov, na primer od platform, posrednikov podatkov in družb za oglaševalsko tehnologijo.
·Pravica do prenosljivosti podatkov se ne izkorišča v celoti. Evropska strategija za podatke (v nadaljnjem besedilu: podatkovna strategija), ki jo je Komisija sprejela 19. februarja 2020, je poudarila potrebo po spodbujanju vseh možnih načinov uporabe te pravice (npr. z določitvijo obvezne uporabe tehničnih vmesnikov in strojno berljivih oblik, ki omogočajo prenosljivost podatkov v (skoraj) realnem času). Gospodarski subjekti ugotavljajo, da se včasih pojavijo težave pri zagotavljanju podatkov v strukturirani strojno berljivi obliki, ki se pogosto uporablja (zaradi pomanjkanja standarda). Samo organizacije v posebnih sektorjih, kot so bančništvo, telekomunikacije, odčitavanje števcev za vodo in toplotnih števcev, poročajo, da so uvedle potrebne vmesnike. Razvita so bila nova tehnološka orodja, da bi se posameznikom olajšalo uresničevanje pravic na podlagi Uredbe, ki niso omejene le na prenosljivost podatkov (npr. osebni podatkovni prostori in storitve upravljanja osebnih informacij).
·Pravice otrok: več članov večdeležniške skupine poudarja potrebo po zagotavljanju informacij otrokom in dejstvo, da mnoge organizacije zanemarjajo, da bi se podatki, ki jih obdelujejo, lahko nanašali na otroke. Svet je poudaril, da bi bilo treba pri pripravi kodeksov ravnanja posebno pozornost nameniti zaščiti otrok. Zaščita otrok je tudi v središču pozornosti organov za varstvo podatkov.
·Pravica do obveščenosti: nekatere družbe imajo zelo legalističen pristop in obvestila o varstvu podatkov obravnavajo kot pravna obvestila, saj so informacije precej zapletene, težko razumljive ali nepopolne, medtem ko Uredba zahteva, da so vse informacije jedrnate in izražene v jasnem in preprostem jeziku. Zdi se, da nekatera podjetja ne upoštevajo priporočil odbora, na primer glede naštevanja imen subjektov, s katerimi delijo podatke.
·Več držav članic je z nacionalno zakonodajo močno omejilo pravice posameznikov, na katere se nanašajo osebni podatki, nekatere tudi čez meje manevrskega prostora iz člena 23 Uredbe.
·Uresničevanje pravic posameznikov včasih ovirajo prakse nekaj največjih digitalnih podjetij, ki posameznikom otežujejo izbiro nastavitev, ki najbolj ščitijo njihovo zasebnost (s kršitvijo zahteve glede vgrajenega in privzetega varstva podatkov).
Deležniki željno pričakujejo smernice odbora o pravicah posameznikov, na katere se nanašajo osebni podatki.
5Priložnosti in izzivi za organizacije, zlasti za mala in srednja podjetja
Priložnosti za organizacije
Uredba spodbuja konkurenco in inovacije. Skupaj z uredbo o prostem pretoku neosebnih podatkov zagotavlja prosti pretok podatkov znotraj EU in ustvarja enake konkurenčne pogoje v primerjavi s podjetji s sedežem zunaj EU. Uredba z ustvarjanjem usklajenega okvira za varstvo osebnih podatkov zagotavlja, da vse akterje na notranjem trgu zavezujejo enaka pravila ter da imajo enake možnosti, ne glede na to, kje imajo sedež in kje poteka obdelava. Tehnološka nevtralnost iz Uredbe zagotavlja okvir za varstvo podatkov za nov tehnološki razvoj. Načeli vgrajenega in privzetega varstva podatkov spodbujata inovativne rešitve, ki vključujejo premislek glede varstva podatkov že na samem začetku in lahko zmanjšajo stroške skladnosti s pravili o varstvu podatkov.
Poleg tega zasebnost postane pomemben konkurenčni parameter, ki ga posamezniki vedno bolj upoštevajo pri izbiri storitev. Tisti, ki so bolje obveščeni in ozaveščeni glede vidikov varstva podatkov, iščejo izdelke in storitve, ki zagotavljajo učinkovito varstvo osebnih podatkov. Uresničevanje pravice do prenosljivosti podatkov lahko zmanjša vstopne ovire za podjetja, ki ponujajo inovativne storitve, prijazne do varstva podatkov. Treba je spremljati učinke potencialno širše uporabe te pravice na trgu v različnih sektorjih. Upoštevanje pravil o varstvu podatkov in njihova pregledna uporaba bosta ustvarila zaupanje glede uporabe osebnih podatkov ljudi in s tem nove priložnosti za podjetja.
Kot vsi predpisi tudi pravila o varstvu podatkov pomenijo stroške izpolnjevanja obveznosti za podjetja. Vendar pa te stroške odtehtajo priložnosti in prednosti okrepljenega zaupanja v digitalne inovacije ter družbene koristi, ki izhajajo iz spoštovanja te temeljne pravice. Z zagotavljanjem enakih konkurenčnih pogojev in opremljanjem organov za varstvo podatkov s tem, kar potrebujejo za učinkovito uveljavljanje pravil, Uredba preprečuje podjetjem, ki ne izpolnjujejo obveznosti, da bi se nezasluženo okoriščala z zaupanjem, ki so ga zgradila tista podjetja, ki upoštevajo pravila.
Posebni izzivi za mala in srednja podjetja (MSP)
Deležniki, pa tudi Evropski parlament, Svet in organi za varstvo podatkov, na splošno menijo, da je uporaba Uredbe poseben izziv za mikro, mala in srednja podjetja ter za male prostovoljne in dobrodelne organizacije.
V skladu s pristopom na podlagi tveganja ne bi bilo primerno, da bi se določila odstopanja glede na velikost gospodarskih subjektov, saj njihova velikost sama po sebi ne odraža tveganj, ki bi jih za posameznike pomenila obdelava osebnih podatkov, ki jo ti subjekti izvajajo. Pristop, ki temelji na tveganju, združuje prožnost in učinkovito varstvo. Upošteva potrebe MSP, katerih osnovna dejavnost ni obdelava podatkov, ter prilagaja njihove obveznosti, zlasti na podlagi verjetnosti in resnosti tveganj, povezanih s posebno obdelavo podatkov, ki jo izvajajo.
Obdelave majhnega obsega in z nizkim tveganjem ne bi smeli obravnavati enako kot pogosto obdelavo z visokim tveganjem, ne glede na velikost podjetja, ki podatke obdeluje. Zato je, kot je ugotovil odbor, „v vsakem primeru treba ohraniti pristop, ki temelji na tveganju in ga zakonodajalec spodbuja v besedilu, saj tveganja za posameznike, na katere se nanašajo osebni podatki, niso odvisna od velikosti upravljavcev“. Organi za varstvo podatkov bi morali pri uveljavljanju Uredbe v celoti upoštevati to načelo, po možnosti v okviru skupnega evropskega pristopa, da ne bi ustvarili ovir na enotnem trgu.
Organi za varstvo podatkov so razvili več orodij in poudarili, da jih nameravajo še izboljšati. Nekateri organi so uvedli kampanje ozaveščanja in bodo celo organizirali brezplačne tečaje o Uredbi za MSP.
Primeri smernic in orodij, ki jih organi za varstvo podatkov zagotavljajo posebej za MSP
·objava informacij, naslovljenih na MSP,
·seminarji za pooblaščene osebe za varstvo podatkov in dogodki, prirejeni za MSP, ki jim ni treba imenovati pooblaščene osebe za varstvo podatkov,
·interaktivni vodniki za pomoč MSP,
·telefonske številke za posvetovanja,
·predloge za pogodbe o obdelavi podatkov in evidence za dejavnosti obdelave.
Opis dejavnosti, ki jih izvajajo organi za varstvo podatkov, je predstavljen v prispevku odbora.
Več ukrepov, ki posebej podpirajo MSP, je prejelo financiranje EU. Komisija je zagotovila finančno podporo prek treh krogov nepovratnih sredstev v skupni vrednosti 5 milijonov EUR, pri čemer sta bila zadnja dva kroga namenjena prav podpori za nacionalne organe za varstvo podatkov pri njihovih prizadevanjih, da pomagajo posameznikom in MSP. Posledično je bilo v letu 2018 2 milijona EUR dodeljenih devetim organom za varstvo podatkov za dejavnosti v letih 2018 in 2019 (organom iz Belgije, Bolgarije, Danske, Madžarske, Litve, Latvije, Nizozemske, Slovenije in Islandije), v letu 2019 pa je bilo milijon EUR dodeljenih štirim organom za varstvo podatkov za dejavnosti v letu 2020 (organom iz Belgije, Malte, Slovenije in Hrvaške v partnerstvu z Irsko)
. Dodatnih milijon EUR bo dodeljenih leta 2020.
Kljub tem pobudam MSP in zagonska podjetja pogosto poročajo, da imajo težave z izvajanjem načela odgovornosti, določenega v Uredbi. Zlasti poročajo, da od nacionalnih organov za varstvo podatkov ne prejmejo vedno dovolj usmeritev in praktičnih nasvetov ali da je pridobivanje teh usmeritev in nasvetov preveč dolgotrajno. Zabeleženi so bili tudi primeri, v katerih se organi niso želeli ukvarjati s pravnimi vprašanji. V takih primerih se MSP glede izvajanja načela odgovornosti in pristopa, ki temelji na tveganju (vključno z zahtevami glede preglednosti, evidencami obdelave in obvestili o kršitvi varnosti osebnih podatkov), pogosto posvetujejo z zunanjimi svetovalci in pravniki. To jim lahko povzroči tudi dodatne stroške.
Posebno vprašanje je vodenje evidenc dejavnosti obdelave, ki jih MSP in majhna združenja obravnavajo kot zapleteno upravno breme. Izvzetje iz te obveznosti iz člena 30(5) Uredbe je dejansko zelo ozko. Vendar se s tem povezanega napora za izpolnjevanje navedene obveznosti ne bi smelo precenjevati. Kadar osnovna dejavnost MSP ne vključuje obdelave osebnih podatkov, so take evidence lahko preproste in niso obremenjujoče. Enako velja za prostovoljna in druga združenja. Predloge evidenc bi lahko olajšale vodenje takih poenostavljenih evidenc, kar je že praksa nekaterih organov za varstvo podatkov. V vsakem primeru bi moral vsakdo, ki obdeluje osebne podatke, imeti pregled nad svojo obdelavo podatkov, kar je osnovna zahteva načela odgovornosti.
Razvoj praktičnih orodij na ravni EU s strani odbora, kot so usklajeni obrazci za obvestila o kršitvah varnosti osebnih podatkov in poenostavljene evidence dejavnosti obdelave, lahko pomagajo MSP in majhnim združenjem, katerih osnovne dejavnosti niso usmerjene v obdelavo osebnih podatkov, pri izpolnjevanju njihovih obveznosti.
Različna industrijska združenja so si prizadevala za večjo ozaveščanje in obveščanje svojih članov, na primer z izvajanjem konferenc in seminarjev, ki podjetjem zagotavljajo informacije o razpoložljivih usmeritvah, ali razvojem storitev za pomoč članom v zvezi z zasebnostjo. Poročajo tudi o večjem številu seminarjev, srečanj in dogodkov, ki jih organizirajo t. i. možganski trusti in združenja MSP o zadevah, povezanih z Uredbo.
Da bi Komisija izboljšala prosti pretok vseh podatkov v EU ter vzpostavila dosledno uporabo Uredbe in uredbe o prostem pretoku neosebnih podatkov, je izdala tudi praktične smernice o pravilih za obdelavo mešanih podatkovnih nizov, sestavljenih iz osebnih in neosebnih podatkov, ki so namenjene zlasti MSP.
Nabor orodij za podjetja
Uredba zagotavlja orodja, ki pomagajo pri dokazovanju skladnosti, kot so kodeksi ravnanja, mehanizmi certificiranja in standardna pogodbena določila.
·Kodeksi ravnanja
Odbor je izdal smernice, da bi podprl „tvorce kodeksov“ in jim olajšal pripravo osnutkov, spreminjanje ali razširjanje kodeksov ter da bi zagotovil praktične usmeritve in pomoč pri razlagi. Te smernice pojasnjujejo tudi postopke za predložitev, odobritev in objavo kodeksov na nacionalni ravni in ravni EU z določitvijo minimalnih meril.
Deležniki menijo, da so kodeksi ravnanja zelo uporabno orodje. Čeprav se na nacionalni ravni izvaja veliko kodeksov, se trenutno pripravlja več vseevropskih kodeksov ravnanja (npr. za mobilne zdravstvene aplikacije, zdravstvene raziskave na področju genomike, računalništvo v oblaku, neposredno trženje, zavarovanje ter obdelavo v okviru preventivnih in svetovalnih storitev za otroke). Gospodarski subjekti menijo, da bi bilo treba vseevropske kodekse ravnanja bolj spodbujati, saj podpirajo dosledno uporabo Uredbe v vseh državah članicah.
Vendar pa kodeksi ravnanja od gospodarskih subjektov zahtevajo tudi čas in naložbe, tako za njihov razvoj kot za vzpostavitev potrebnih neodvisnih nadzornih organov. Predstavniki MSP poudarjajo pomen in koristnost kodeksov ravnanja, ki so prilagojeni njihovim razmeram in ne povzročajo nesorazmernih stroškov.
Posledično so poslovna združenja v številnih sektorjih uvedla druge vrste samoregulativnih orodij, kot so kodeksi dobre prakse ali smernice. Čeprav lahko taka orodja nudijo koristne informacije, jih organi za varstvo podatkov niso odobrili in se ne morejo uporabljati kot orodje za dokazovanje skladnosti z Uredbo.
Svet poudarja, da morajo kodeksi ravnanja namenjati posebno pozornost obdelavi podatkov otrok in zdravstvenih podatkov. Komisija podpira kodekse ravnanja, ki bi uskladili pristop na področju zdravja in raziskav ter olajšali čezmejno obdelavo osebnih podatkov. V odboru trenutno poteka postopek odobritve osnutkov zahtev za akreditacijo teles, ki spremljajo kodekse ravnanja, ki so jih predložili različni organi za varstvo podatkov. Ko bodo nadnacionalni kodeksi ravnanja ali kodeksi ravnanja EU pripravljeni za predložitev organom za varstvo podatkov v odobritev, se bo odbor o njih posvetoval. Hitra vzpostavitev nadnacionalnih kodeksov ravnanja je še zlasti pomembna za področja, ki vključujejo obdelavo velikih količin podatkov (npr. računalništvo v oblaku) ali občutljivih podatkov (npr. zdravje/raziskave).
·Certificiranje
Certificiranje je lahko uporaben instrument za dokazovanje skladnosti s posebnimi zahtevami iz Uredbe ter lahko poveča pravno varnost za podjetja in Uredbo promovira na svetovni ravni.
Kot je bilo poudarjeno v študiji o certificiranju, objavljeni aprila 2019, bi moral biti cilj olajšati uporabo ustreznih shem. Razvoj shem certificiranja v EU bo podprt s smernicami odbora o merilih za certificiranje in o akreditaciji teles za certificiranje.
Varnost in vgrajeno varstvo podatkov sta ključna elementa, ki ju je treba upoštevati v shemah certificiranja v okviru Uredbe, in koristno bi bilo zanju pripraviti skupen in ambiciozen pristop za vso EU. Komisija bo še naprej podpirala trenutne stike med Agencijo Evropske unije za kibernetsko varnost (ENISA), organi za varstvo podatkov in odborom.
Kar zadeva kibernetsko varnost, je Komisija po sprejetju akta o kibernetski varnosti zahtevala, da agencija ENISA pripravi dve certifikacijski shemi, vključno s shemo za storitve v oblaku. Preučujejo se nadaljnje sheme, povezane s kibernetsko varnostjo storitev in izdelkov za potrošnike. Medtem ko te sheme certificiranja, uvedene z aktom o kibernetski varnosti, izrecno ne obravnavajo varstva podatkov in zasebnosti, prispevajo k povečanju zaupanja potrošnikov v digitalne storitve in izdelke. Take sheme so lahko dokaz o upoštevanju načela vgrajene varnosti ter tudi izvajanju ustreznih tehničnih in organizacijskih ukrepov, povezanih z varnostjo obdelave osebnih podatkov.
·Standardna pogodbena določila
Komisija pripravlja standardna pogodbena določila med upravljavci in obdelovalci, tudi glede na posodobitve standardnih pogodbenih določil za mednarodne prenose (glej oddelek 7.2). Akt Unije, ki ga bo sprejela Komisija, bo imel zavezujoč učinek na ravni EU, kar bo zagotovilo popolno uskladitev in pravno varnost.
6Uporaba Uredbe pri novih tehnologijah
Tehnološko nevtralen okvir, odprt za nove tehnologije
Uredba je tehnološko nevtralna, spodbuja zaupanje in temelji na načelih. Ta načela, vključno z zakonito in pregledno obdelavo, omejitvijo namena in najmanjšim obsegom podatkov, zagotavljajo trdno podlago za varstvo osebnih podatkov, ne glede na dejanja obdelave in uporabljene tehnike.
Člani večdeležniške skupine poročajo, da Uredba na splošno pozitivno vpliva na razvoj novih tehnologij in zagotavlja dobro podlago za inovacije. Uredba se šteje za bistveno in prilagodljivo orodje za zagotavljanje razvoja novih tehnologij v skladu s temeljnimi pravicami. Izvajanje njenih temeljnih načel je še zlasti ključnega pomena za podatkovno intenzivno obdelavo. Tehnološko nevtralen in na tveganju temelječ pristop Uredbe zagotavlja raven varstva podatkov, ki je ustrezna za obravnavo tveganja obdelave, vključno z novimi tehnologijami.
Deležniki zlasti omenjajo, da načela Uredbe o omejitvi namena in nadaljnji združljivi obdelavi, najmanjšem obsegu podatkov, omejitvi hrambe, preglednosti, odgovornosti in pogojih, pod katerimi se lahko postopki avtomatiziranega sprejemanja odločitev zakonito uporabijo, v veliki meri odpravljajo pomisleke v zvezi z uporabo umetne inteligence.
Pristop Uredbe, ki temelji na tveganju in je primeren za prihodnost, bo uporabljen tudi v morebitnem prihodnjem okviru za umetno inteligenco in pri izvajanju podatkovne strategije. Podatkovna strategija je usmerjena v spodbujanje razpoložljivosti podatkov in ustvarjanje skupnih evropskih podatkovnih prostorov, ki jih podpirajo združene storitve v oblaku. Kar zadeva osebne podatke, Uredba zagotavlja glavni pravni okvir, znotraj katerega se lahko oblikujejo učinkovite rešitve za vsak primer posebej, odvisno od narave in vsebine vsakega podatkovnega prostora.
Uredba je povečala ozaveščenost o varstvu osebnih podatkov v EU in zunaj nje ter spodbudila podjetja, da pri inovacijah prilagajajo svoje prakse in pri tem upoštevajo načela varstva podatkov. Kljub temu organizacije civilne družbe ugotavljajo, da čeprav se učinek Uredbe na razvoj novih tehnologij zdi pozitiven, prakse velikih digitalnih podjetij kažejo, da ta še vedno niso korenito spremenila obdelave, da bi bila zasebnosti prijaznejša. Močno in učinkovito uveljavljanje Uredbe v razmerju do velikih digitalnih platform in integriranih podjetij, tudi na področjih, kot sta spletno oglaševanje in mikrociljanje, je bistven element za zaščito posameznikov.
Komisija analizira širša vprašanja v zvezi s tržnim vedenjem velikih digitalnih podjetij v okviru svežnja akta o digitalnih storitvah. Kar zadeva raziskave na področju družbenih medijev, Komisija opozarja, da se Uredba ne more uporabiti kot izgovor za platforme družbenih medijev, da omejijo dostop raziskovalcev in preverjevalcev dejstev do neosebnih podatkov, kot so statistike o tem, kateri ciljni oglasi so bili poslani katerim kategorijam oseb, merila za oblikovanje te ciljne usmerjenosti, informacije o lažnih računih itd.
Tehnološko nevtralen in za prihodnost primeren pristop Uredbe je bil preizkušen med pandemijo COVID‑19 in se je izkazal za uspešnega. Pravila, ki temeljijo na njenih načelih, so podpirala razvoj orodij za boj proti virusu in spremljanje njegovega širjenja.
Izzivi pred nami
Razvoj in uporaba novih tehnologij teh načel ne postavljata pod vprašaj. Izziv pa bo pojasniti, kako uporabljati preizkušena načela za posebne tehnologije, kot so umetna inteligenca, blokovna veriga, internet stvari, prepoznavanje obraza ali kvantno računalništvo.
V tem okviru sta Evropski parlament in Svet poudarila potrebo po stalnem spremljanju, da bi se pojasnilo, kako se Uredba uporablja za nove tehnologije in velike tehnološke družbe. Poleg tega deležniki opozarjajo, da tudi vrednotenje tega, ali je Uredba še vedno primerna za svoj namen, zahteva stalno spremljanje.
Deležniki v industriji poudarjajo, da inovacije zahtevajo, da se Uredba uporablja na podlagi načel in v skladu z njeno zasnovo, ne pa togo in formalno. Menijo, da bi smernice odbora o uporabi načel, konceptov in pravil Uredbe pri novih tehnologijah, kot so umetna inteligenca, blokovna veriga ali internet stvari, ob upoštevanju pristopa, ki temelji na tveganju, zagotovile pojasnila in večjo pravno varnost. Taka orodja mehkega prava so zelo primerna, da spremljajo uporabo Uredbe pri novih tehnologijah, saj zagotavljajo večjo pravno varnost in jih je mogoče spremeniti v skladu s tehnološkim razvojem. Nekateri deležniki tudi menijo, da bi lahko bile koristne sektorske smernice o uporabi Uredbe pri novih tehnologijah.
Odbor je izjavil, da bo še naprej preučeval vpliv novih tehnologij na varstvo osebnih podatkov.
Deležniki poudarjajo tudi pomen tega, da regulatorji dobro razumejo, kako se tehnologija uporablja, in da so v dialogu z industrijo o razvoju novih tehnologij. Menijo, da bi bil lahko pristop „regulativnega peskovnika“ – kot sredstva za pridobitev smernic za uporabo pravil – zanimiva možnost za preizkušanje novih tehnologij in pomoč podjetjem pri uporabi načel vgrajenega in privzetega varstva podatkov pri novih tehnologijah.
Deležniki glede nadaljnjega ukrepanja na tem področju priporočajo, da se vsi prihodnji predlogi v zvezi s politiko o umetni inteligenci opirajo na obstoječe pravne okvire in se uskladijo z Uredbo. Preden se predlagajo nova predpisovalna pravila, je treba skrbno ovrednotiti potencialna posebna vprašanja na podlagi ustreznih dokazov.
Bela knjiga Komisije o umetni inteligenci predlaga številne možnosti politike, o katerih so lahko deležniki podajali svoja mnenja do 14. junija 2020. Kar zadeva prepoznavanje obraza, tj. tehnologijo, ki lahko bistveno vpliva na pravice posameznikov, je bela knjiga opozorila na trenutni zakonodajni okvir ter odprla javno razpravo o morebitnih posebnih okoliščinah, ki bi lahko upravičile uporabo umetne inteligence za prepoznavanje obraza in druge namene biometrične identifikacije na daljavo na javnih mestih, in o skupnih zaščitnih ukrepih.
7Mednarodni prenosi in sodelovanje na svetovni ravni
7.1Zasebnost: globalno vprašanje
Zahteva po varstvu osebnih podatkov ne pozna meja, saj posamezniki po vsem svetu vedno bolj cenijo in vrednotijo zasebnost in varnost svojih podatkov.
Hkrati je v medsebojno povezanem svetu neizogibno dejstvo, da so toki podatkov pomembni za posameznike, vlade, podjetja in družbo na splošno. So sestavni del trgovine, sodelovanja med javnimi organi in družbenih interakcij. V zvezi s tem trenutna pandemija COVID‑19 razkriva tudi, kako ključnega pomena sta prenos in izmenjava osebnih podatkov za številne bistvene dejavnosti, vključno z zagotavljanjem kontinuitete vladnih in poslovnih dejavnosti – z omogočanjem dela na daljavo in drugih rešitev, ki se močno opirajo na informacijske in komunikacijske tehnologije –, razvojem sodelovanja pri znanstvenih raziskavah na področju diagnostike, zdravljenja in cepiv ter bojem proti novim oblikam kibernetske kriminalitete, kot so spletni sistemi goljufij, ki ponujajo ponarejena zdravila, ki naj bi preprečila ali zdravila COVID‑19.
Zaradi tega morata biti varovanje zasebnosti in omogočanje pretoka podatkov tesno povezana, in sicer bolj kot kdaj koli prej. EU ima s svojim režimom varstva podatkov, ki združuje odprtost za mednarodne prenose in visoko raven varstva posameznikov, dobro izhodišče za spodbujanje varnih in zaupanja vrednih tokov podatkov. Uredba se je že uveljavila kot referenčna točka na mednarodni ravni in je številne države po vsem svetu spodbudila, da so razmislile o uvedbi sodobnih pravil o zasebnosti.
To je pravi svetovni trend, ki je zajel – če omenimo le nekaj primerov – od Čila do Južne Koreje, od Brazilije do Japonske, od Kenije do Indije, od Tunizije do Indonezije in od Kalifornije do Tajvana. Ti razvoji so presenetljivi ne le s kvantitativnega, ampak tudi s kvalitativnega vidika: številne pred kratkim sprejete zakonodaje o zasebnosti ali zakonodaje, ki so v postopku sprejemanja, temeljijo na osrednjem nizu skupnih zaščitnih ukrepov, pravic in mehanizmov izvrševanja, ki jih je vzpostavila tudi EU. V svetu, ki ga prepogosto zaznamujejo različni, če ne celo odstopajoči regulativni pristopi, se ta trend globalne konvergence šteje kot zelo pozitiven razvoj, ki prinaša nove priložnosti za povečanje zaščite posameznikov v Evropi, hkrati pa olajšuje tokove podatkov in znižuje stroške poslovanja za poslovne subjekte.
Da bi Komisija izkoristila te priložnosti in izvajala strategijo iz svojega sporočila z naslovom „Izmenjava in varstvo osebnih podatkov v globaliziranem svetu“ iz leta 2017, je znatno pospešila svoje delo na mednarodni razsežnosti zasebnosti in v celoti izkoristila razpoložljivi nabor orodij za prenos podatkov, kot je pojasnjeno v nadaljevanju. To je vključevalo dejavno sodelovanje s ključnimi partnerji, da bi dosegli „ugotovitev o ustreznosti“, in prineslo pomembne rezultate, kot je vzpostavitev največjega območja prostih in varnih tokov podatkov na svetu med EU in Japonsko.
Komisija je poleg svojega dela v zvezi z ustreznostjo tesno sodelovala z organi za varstvo podatkov znotraj odbora in tudi z drugimi deležniki, da bi izkoristila ves potencial prožnih pravil Uredbe o mednarodnih prenosih. To zadeva posodobitev instrumentov, kot so standardna pogodbena določila, razvoj shem certificiranja, kodeksov ravnanja ali upravnih dogovorov za izmenjavo podatkov med javnimi organi, kot tudi pojasnitev ključnih pojmov, ki se nanašajo na primer na ozemeljsko veljavnost pravil EU o varstvu podatkov ali uporabo tako imenovanih „odstopanj“ za prenos osebnih podatkov.
Nazadnje je Komisija okrepila dialog v številnih dvostranskih, regionalnih in večstranskih forumih, da bi spodbudila globalno kulturo spoštovanja zasebnosti in razvila elemente konvergence med različnimi sistemi zasebnosti. V svojih prizadevanjih se je Komisija opirala na aktivno podporo Evropske službe za zunanje delovanje ter mreže delegacij EU v tretjih državah in misij v mednarodnih organizacijah. To je omogočilo tudi večjo skladnost in dopolnjevanje med različnimi vidiki zunanje razsežnosti politik EU, od trgovine do novega partnerstva med EU in Afriko.
7.2Nabor orodij za prenos podatkov iz Uredbe
Ker se čedalje več zasebnih in javnih gospodarskih subjektov zanaša na mednarodne tokove podatkov kot del svojih rutinskih dejavnosti, obstaja vse večja potreba po prožnih instrumentih, ki jih je mogoče prilagoditi različnim sektorjem, poslovnim modelom in okoliščinam prenosa. Glede na te potrebe Uredba ponuja posodobljen nabor orodij, ki olajšuje prenos osebnih podatkov iz EU v tretjo državo ali mednarodno organizacijo, hkrati pa zagotavlja, da bodo podatki še naprej deležni visoke ravni varstva. Ta kontinuiteta varstva je pomembna, saj se v današnjem svetu podatki zlahka prenašajo čez meje in bi bilo varstvo, ki ga zagotavlja Uredba, nepopolno, če bi bilo omejeno na obdelavo podatkov znotraj EU.
Zakonodajalec je s poglavjem V Uredbe potrdil arhitekturo pravil o prenosu, ki je že obstajala v skladu z Direktivo 95/46: prenos podatkov se lahko izvede, če je Komisija sprejela ugotovitev o ustreznosti glede tretje države ali mednarodne organizacije ali, v odsotnosti te, če je upravljavec ali obdelovalec v EU („izvoznik podatkov“) zagotovil ustrezne zaščitne ukrepe, na primer s pogodbo s prejemnikom („uvoznik podatkov“). Poleg tega so na voljo zakonski razlogi za prenose (t. i. odstopanja) za posebne primere, za katere se je zakonodajalec odločil, da ravnovesje interesov pod določenimi pogoji omogoča prenos podatkov. Hkrati je reforma pojasnila in poenostavila obstoječa pravila, na primer tako, da je natančno določila pogoje za ugotovitev o ustreznosti ali zavezujoča poslovna pravila, omejila zahteve za dovoljenja na zelo malo določenih primerov in popolnoma odpravila zahteve glede obveščanja. Poleg tega so bila uvedena nova orodja za prenos, kot so kodeksi ravnanja ali sheme certificiranja, razširjene pa so bile tudi možnosti za uporabo obstoječih instrumentov (npr. standardna pogodbena določila).
Današnje digitalno gospodarstvo omogoča tujim gospodarskim subjektom, da (na daljavo, vendar vseeno) neposredno sodelujejo na notranjem trgu EU ter tekmujejo za evropske kupce in njihove osebne podatke. Kadar so posebej usmerjeni na Evropejce s ponudbo blaga ali storitev ali spremljanjem njihovega vedenja, bi morali ravnati v skladu z zakonodajo EU, enako kot gospodarski subjekti EU. To se odraža v členu 3 Uredbe, ki razširja neposredno uporabo pravil EU o varstvu podatkov na nekatere postopke obdelave upravljavcev in obdelovalcev zunaj EU. To zagotavlja potrebne zaščitne ukrepe, poleg tega pa enake konkurenčne pogoje za vsa podjetja, ki poslujejo na trgu EU.
Širok doseg Uredbe je eden od razlogov, da so se njeni učinki občutili tudi v drugih delih sveta. Podrobne smernice o ozemeljski veljavnosti Uredbe, ki jih je po obsežnem javnem posvetovanju izdal odbor, so pomembne za pomoč tujim gospodarskim subjektom pri določanju, ali za njihove dejavnosti obdelave neposredno veljajo zaščitni ukrepi Uredbe in za katere dejavnosti, saj so v njih navedeni tudi konkretni primeri.
Vendar pa razširitev področja uporabe zakonodaje EU o varstvu podatkov sama po sebi ne zadostuje za zagotovitev njenega spoštovanja v praksi. Kot je tudi poudaril Svet, je ključno zagotoviti skladnost tujih gospodarskih subjektov in učinkovito izvrševanje v razmerju do njih. Imenovanje predstavnika v EU (člen 27(1) in (2) Uredbe), na katerega se lahko, poleg na odgovorno družbo iz tujine ali namesto nanjo, obrnejo posamezniki in nadzorni organi, bi moralo imeti ključno vlogo pri tem. Ta pristop, ki se čedalje pogosteje uporablja tudi v drugih kontekstih, bi bilo treba odločneje uporabljati, da bi poslali jasno sporočilo, da neobstoj sedeža v EU tujih gospodarskih subjektov ne razbremeni odgovornosti v skladu z Uredbo. Kadar ti gospodarski subjekti ne izpolnjujejo svojih obveznosti glede imenovanja predstavnika, bi morali nadzorni organi uporabiti celoten nabor orodij za izvrševanje iz člena 58 Uredbe (npr. javna opozorila, začasne ali dokončne prepovedi obdelave v EU, izvrševanje zoper skupne upravljavce s sedežem v EU).
Nazadnje je zelo pomembno, da odbor dokonča svoje delo v zvezi z nadaljnjo pojasnitvijo razmerja med členom 3 o neposredni uporabi Uredbe in pravili o mednarodnih prenosih iz poglavja V.
Sklepi o ustreznosti
Informacije deležnikov potrjujejo, da so sklepi o ustreznosti še naprej bistveno orodje za to, da lahko gospodarski subjekti EU varno prenašajo osebne podatke v tretje države. Taki sklepi so najbolj celovita, enostavna in stroškovno učinkovita rešitev za prenos podatkov, saj so izenačeni s prenosi znotraj EU, zato zagotavljajo varen in prost pretok osebnih podatkov brez dodatnih pogojev ali potrebe po dovoljenju. Sklepi o ustreznosti zato odpirajo komercialne kanale za gospodarske subjekte EU in lajšajo sodelovanje med javnimi organi, hkrati pa zagotavljajo privilegiran dostop do enotnega trga EU. Na podlagi prakse iz direktive iz leta 1995 Uredba izrecno omogoča določitev ustreznosti glede določenega ozemlja tretje države ali določenega sektorja ali industrije v tretji državi (t. i. „delna“ ustreznost).
Uredba gradi na izkušnjah iz preteklih let in na pojasnilih Sodišča z natančno določitvijo kataloga elementov, ki jih mora Komisija upoštevati pri svojem vrednotenju. Standard ustreznosti zahteva raven varstva, ki je primerljiva (ali „v osnovi enakovredna“) ravni, zagotovljeni v EU. To vključuje celovito oceno sistema tretje države kot celote, vključno z vsebino varstva zasebnosti, njegovim učinkovitim izvajanjem in izvrševanjem ter pravili o dostopu do osebnih podatkov s strani javnih organov, zlasti za namene kazenskega pregona ter nacionalne varnosti.
To se odraža tudi v smernicah, ki jih je sprejela prejšnja Delovna skupina iz člena 29 (in ki jih je potrdil odbor), zlasti tako imenovanem „referenčnem dokumentu o ustreznosti“, ki dodatno pojasnjuje elemente, ki jih mora Komisija upoštevati pri oceni ustreznosti, vključno s pregledom „bistvenih jamstev“ za dostop do osebnih podatkov s strani javnih organov. Zadnje temelji zlasti na sodni praksi Evropskega sodišča za človekove pravice. Medtem ko standard „osnovne enakovrednosti“ ne vključuje dobesednega prepisa („fotokopije“) pravil EU, glede na to, da se lahko sredstva za zagotavljanje primerljive ravni varstva med različnimi sistemi zasebnosti razlikujejo, saj pogosto odražajo različne pravne tradicije, kljub temu zahteva močno raven varstva.
Ta standard upravičuje dejstvo, da sklep o ustreznosti dejansko razširja koristi enotnega trga na tretjo državo v smislu prostega toka podatkov. Vendar pa to pomeni tudi, da bodo včasih obstajale pomembne razlike med ravnjo varstva, zagotovljeno v zadevni tretji državi, v primerjavi z ravnjo iz Uredbe, ki jih je treba premostiti, na primer s pogajanji o dodatnih zaščitnih ukrepih. Na take zaščitne ukrepe bi bilo treba gledati pozitivno, saj dodatno krepijo varstvo, ki je na voljo posameznikom v EU. Hkrati se Komisija strinja z odborom o pomembnosti stalnega spremljanja njihove uporabe v praksi, vključno z učinkovitim izvrševanjem s strani organa za varstvo podatkov iz tretje države.
Uredba pojasnjuje, da so sklepi o ustreznosti „živi instrumenti“, ki jih je treba stalno spremljati in jih redno pregledovati. V skladu s temi zahtevami je Komisija v rednem dialogu z ustreznimi organi, da bi proaktivno spremljala nov razvoj. Na primer, od sprejetja sklepa o zasebnostnem ščitu EU‑ZDA v letu 2016 je Komisija skupaj s predstavniki odbora opravila tri letne preglede, da bi ocenila vse vidike delovanja okvira. Ti pregledi so se opirali na informacije, pridobljene z izmenjavo z organi ZDA, ter tudi na prispevke drugih deležnikov, kot so organi EU za varstvo podatkov, civilna družba in trgovska združenja. Omogočili so izboljšanje praktičnega delovanja različnih elementov okvira. S širšega vidika so letni pregledi prispevali k vzpostavitvi obširnejšega dialoga z administracijo ZDA o zasebnosti na splošno ter o omejitvah in zaščitnih ukrepih, zlasti v zvezi z nacionalno varnostjo.
V okviru svojega prvega vrednotenja Uredbe mora Komisija pregledati tudi sklepe o ustreznosti, sprejete na podlagi direktive iz leta 1995. Službe Komisije so bile v intenzivnem dialogu z vsako od 11 zadevnih držav in ozemelj, da bi ocenile, kako so se razvili njihovi sistemi za varstvo osebnih podatkov od sprejetja sklepa o ustreznosti in ali izpolnjujejo standard, določen v Uredbi. Potreba po zagotovitvi kontinuitete takih sklepov, glede na to, da so ključno orodje za trgovino in mednarodno sodelovanje, je eden od dejavnikov, ki so več teh držav in ozemelj spodbudili k posodobitvi in okrepitvi zakonodaj o zasebnosti. To je vsekakor pozitiven razvoj dogodkov. Z nekaterimi od teh držav in ozemelj se razpravlja o dodatnih zaščitnih ukrepih, da bi odpravili pomembne razlike glede varstva.
Ker pa lahko Sodišče v sodbi, ki bo izdana 16. julija, poda pojasnila, ki bi lahko bila pomembna za nekatere elemente standarda ustreznosti, bo Komisija ločeno poročala o vrednotenju omenjenih 11 sklepov o ustreznosti, potem ko bo Sodišče izdalo sodbo v tej zadevi.
Ob izvajanju strategije, določene v sporočilu iz leta 2017 z naslovom „Izmenjava in varstvo osebnih podatkov v globaliziranem svetu“, je Komisija sodelovala tudi v novih dialogih o ustreznosti. To delo je že prineslo pomembne rezultate s ključnimi partnerji EU. Januarja 2019 je Komisija sprejela sklep o ustreznosti za Japonsko, ki temelji na visoki stopnji konvergence, vključno prek posebnih zaščitnih ukrepov, na primer na področju nadaljnjih prenosov, ter prek oblikovanja mehanizma za preiskovanje in reševanje pritožb posameznikov v zvezi z vladnim dostopom do osebnih podatkov za namene kazenskega pregona in nacionalne varnosti.
Prva ugotovitev o ustreznosti, sprejeta v okviru Uredbe, je okvir, dogovorjen z Japonsko, ki je koristen precedens za prihodnje sklepe. To vključuje dejstvo, da je Japonska prav tako sprejela ugotovitev o „ustreznosti“ za EU. Ti vzajemni ugotovitvi o ustreznosti skupaj ustvarjata največje območje varnih in prostih tokov osebnih podatkov na svetu in s tem dopolnjujeta Sporazum o gospodarskem partnerstvu med EU in Japonsko. Dejansko dogovor vsako leto omogoča trgovino z blagom v vrednosti približno 124 milijard EUR in trgovino s storitvami v vrednosti 42,5 milijarde EUR.
|
V napredni fazi je tudi postopek ugotavljanja ustreznosti z Južno Korejo. Pomemben rezultat tega postopka je nedavna zakonodajna reforma v Južni Koreji, ki je privedla do ustanovitve neodvisnega organa za varstvo podatkov z močnimi izvršilnimi pooblastili. To ponazarja, kako lahko dialog o ustreznosti prispeva k večji konvergenci med pravili EU o varstvu podatkov in pravili v tretji državi.
Komisija se v celoti strinja s pozivom deležnikov, naj se okrepi dialog z izbranimi tretjimi državami v zvezi z morebitnimi novimi ugotovitvami o ustreznosti. To možnost dejavno preučuje z drugimi pomembnimi partnerji v Aziji, Latinski Ameriki in sosedstvu, pri čemer gradi na trenutnem trendu naraščajoče globalne konvergence standardov varstva podatkov. Na primer, izčrpna zakonodaja o zasebnosti je bila sprejeta ali je v napredni fazi zakonodajnega postopka v Latinski Ameriki (Brazilija, Čile), obetaven pa je razvoj v Aziji (npr. Indija, Indonezija, Malezija, Šrilanka, Tajvan in Tajska) in Afriki (npr. Etiopija in Kenija), pa tudi v evropskem vzhodnem in južnem sosedstvu (npr. Gruzija in Tunizija). Kadar je mogoče, si bo Komisija prizadevala za doseganje celovitih odločitev o ustreznosti, ki bodo zajemale zasebni in javni sektor.
Poleg tega je Uredba uvedla tudi možnost, da Komisija sprejme ugotovitve o ustreznosti za mednarodne organizacije. V času, ko nekatere mednarodne organizacije posodabljajo svoje režime varstva podatkov z uvedbo celovitih pravil in mehanizmov, ki zagotavljajo neodvisen nadzor in pravna sredstva, bi lahko to pot prvič raziskali.
Ustreznost ima tudi pomembno vlogo v okviru odnosov z Združenim kraljestvom po brexitu, če bodo izpolnjeni veljavni pogoji. Je namreč dejavnik, ki omogoča trgovino, vključno z digitalno trgovino, ter bistveni osnovni pogoj za tesno in ambiciozno sodelovanje na področju kazenskega pregona in varnosti. Poleg tega je glede na pomen pretoka podatkov z Združenim kraljestvom in njegovo bližino trgu EU visoka stopnja konvergence med pravili o varstvu podatkov na obeh straneh Rokavskega preliva pomemben element za zagotavljanje enakih konkurenčnih pogojev. Komisija v skladu s politično izjavo o prihodnjih odnosih med EU in Združenim kraljestvom trenutno izvaja oceno ustreznosti v skladu z Uredbo in direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj. Glede na neodvisno in enostransko oceno ustreznosti ti pogovori potekajo ločeno od pogajanj o sporazumu o prihodnjih odnosih med EU in Združenim kraljestvom.
|
Nazadnje Komisija pozdravlja dejstvo, da druge države vzpostavljajo mehanizme za prenos podatkov, podobne ugotovitvi o ustreznosti. Pri tem pogosto priznavajo EU in države, za katere je Komisija sprejela sklep o ustreznosti, kot varne namembne kraje za prenose. Zaradi vse večjega števila držav, v zvezi s katerimi je EU sprejela sklepe o ustreznosti, na eni strani in vzpostavitve te oblike priznavanja v drugih državah na drugi strani se lahko ustvari mreža držav, v kateri lahko poteka prost in varen pretok podatkov. Komisija meni, da je to dobrodošel razvoj, ki bo še povečal koristi sklepa o ustreznosti za tretje države in prispeval h globalni konvergenci. Ta vrsta sinergij lahko koristno prispeva tudi k razvoju okvirov za varen in prost pretok podatkov, na primer v okviru pobude „prostega pretoka podatkov na podlagi zaupanja“ (glej spodaj).
Ustrezni zaščitni ukrepi
Uredba poleg celovite rešitve ugotovitve o ustreznosti zagotavlja številne druge instrumente prenosa. Fleksibilnost tega „nabora orodij“ je razvidna iz člena 46 Uredbe, ki ureja prenose podatkov na podlagi „ustreznih zaščitnih ukrepov“, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi. Za zagotovitev ustreznih zaščitnih ukrepov so na voljo različni instrumenti, da bi se upoštevale potrebe po prenosu podatkov tako komercialnih gospodarskih subjektov kot tudi javnih organov.
·Standardna pogodbena določila
Prva skupina teh instrumentov so pogodbena orodja, ki so lahko prilagojena ad hoc določila o varstvu podatkov, dogovorjena med izvoznikom podatkov iz EU in uvoznikom podatkov zunaj EU, ki jih je odobril pristojni organ za varstvo podatkov (člen 46(3)(a) Uredbe), ali vzorčna določila, ki jih je predhodno odobrila Komisija (člen 46(2)(c) in (d) Uredbe). Najpomembnejša med temi instrumenti so tako imenovana standardna pogodbena določila, tj. vzorčna določila o varstvu podatkov, ki jih lahko izvoznik podatkov in uvoznik podatkov prostovoljno vključita v svoje pogodbene dogovore (npr. v pogodbo o opravljanju storitev, ki zahteva prenos osebnih podatkov) in ki določajo zahteve v zvezi z ustreznimi zaščitnimi ukrepi.
Standardna pogodbena določila predstavljajo najpogosteje uporabljen mehanizem prenosa podatkov. Na tisoče podjetij iz EU se zanaša na standardna pogodbena določila pri zagotavljanju širokega nabora storitev svojim strankam, dobaviteljem, partnerjem in zaposlenim, vključno s storitvami, bistvenimi za delovanje gospodarstva. Njihova široka uporaba kaže, da so podjetjem v veliko pomoč pri prizadevanjih za izpolnjevanje obveznosti in zlasti koristijo podjetjem, ki nimajo sredstev, da bi se z vsakim od svojih poslovnih partnerjev pogajala o posameznih pogodbah. Standardna pogodbena določila so zaradi standardizacije in predhodne odobritve orodje za podjetja za izpolnjevanje zahtev glede varstva podatkov v okviru prenosa, ki je preprosto za izvajanje.
Obstoječi sklopi standardnih pogodbenih določil so bili sprejeti in odobreni na podlagi direktive iz leta 1995. Ta standardna pogodbena določila bodo ostala veljavna, dokler se ne spremenijo, nadomestijo ali razveljavijo z odločitvijo Komisije (člen 46(5) Uredbe), če bo to potrebno. Uredba širi možnosti uporabe standardnih pogodbenih določil za prenose v EU in tudi za mednarodne prenose. Komisija sodeluje z deležniki, da bi izkoristila te možnosti in posodobila obstoječa določila. Da bi Komisija zagotovila, da bo prihodnja zasnova standardnih pogodbenih določil primerna za svoj namen, je zbirala povratne informacije o izkušnjah deležnikov s standardnimi pogodbenimi določili prek „večdeležniške skupine za Uredbo“ in prek namenskih delavnic, ki so potekale septembra 2019, pa tudi prek več stikov s podjetji, ki uporabljajo standardna pogodbena določila, ter organizacijami civilne družbe. Odbor posodablja tudi številne smernice, ki bi lahko bile pomembne za pregled standardnih pogodbenih določil, na primer o pojmih upravljavca in obdelovalca.
Na podlagi prejetih povratnih informacij službe Komisije trenutno pripravljajo revizijo standardnih pogodbenih določil. V tem okviru je bilo ugotovljenih več področij za izboljšave, zlasti v zvezi z naslednjimi vidiki:
1.Posodobitev standardnih pogodbenih določil glede na nove zahteve Uredbe, kot so tiste, ki se nanašajo na odnos med upravljavcem in obdelovalcem v skladu s členom 28 Uredbe (zlasti obveznosti obdelovalca), obveznosti uvoznika podatkov glede preglednosti (v smislu potrebnih informacij, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki) itd.
2.Obravnavanje nekaterih scenarijev prenosa, ki jih trenutna standardna pogodbena določila ne zajemajo, na primer prenos podatkov od obdelovalca EU na (pod)obdelovalca zunaj EU, vendar tudi primerov, ko je upravljavec zunaj EU.
3.Boljše odražanje realnosti dejanj obdelave v sodobnem digitalnem gospodarstvu, v katerem taka dejanja pogosto vključujejo več uvoznikov in izvoznikov podatkov, dolge in pogosto zapletene verige obdelave, spreminjajoče se poslovne odnose itd. Rešitve, ki se preučujejo za reševanje takih situacij, na primer vključujejo možnost, da se omogoči podpis standardnih pogodbenih določil s strani več strank ali pristop novih strank v času trajanja pogodbe.
Komisija pri obravnavanju teh vprašanj razmišlja tudi o načinih, na katere bi sedanjo „arhitekturo“ standardnih pogodbenih določil preoblikovala tako, da bi bila uporabnikom prijaznejša, na primer z nadomestitvijo več sklopov standardnih pogodbenih določil z enim celovitim dokumentom. Izziv je doseči dobro ravnovesje med potrebo po jasnosti in določeno stopnjo standardizacije na eni strani ter potrebno fleksibilnost na drugi strani, ki bo omogočila, da bodo določila lahko uporabljali številni gospodarski subjekti z različnimi zahtevami v različnih okoliščinah in za različne vrste prenosov.
Še en pomemben vidik, ki ga je treba upoštevati glede na trenutne pravdne postopke pred Sodiščem, je to, da je morda treba podrobneje pojasniti zaščitne ukrepe v zvezi z dostopom tujih javnih organov do podatkov, ki so bili preneseni na podlagi standardnih pogodbenih določil, zlasti za namene nacionalne varnosti. To lahko vključuje zahtevo, da uvoznik podatkov, izvoznik podatkov ali oba ukrepata, in pojasnitev vloge organov za varstvo podatkov v tem kontekstu. Čeprav revizija standardnih pogodbenih določil dobro napreduje, bo treba počakati na sodbo Sodišča, da se v revidirana določila vključijo morebitne dodatne zahteve, preden se osnutek sklepa o novem sklopu standardnih pogodbenih določil predloži odboru. Ta bo nato podal svoje mnenje, sklep pa se bo predlagal za sprejetje s „postopkom v odboru“.
Vzporedno je Komisija v stiku z mednarodnimi partnerji, ki razvijajo podobna orodja. Ta dialog, ki omogoča izmenjavo izkušenj in najboljših praks, lahko bistveno prispeva k nadaljnji konvergenci „na terenu“ in tako podjetjem, ki poslujejo v različnih regijah sveta, olajša izpolnjevanje pravil o čezmejnem prenosu.
·Zavezujoča poslovna pravila
Še en pomemben instrument so tako imenovana zavezujoča poslovna pravila. To so pravno zavezujoče politike in dogovori, ki veljajo za člane skupine podjetij, vključno z njihovimi zaposlenimi (člen 46(2)(b) in člen 47 Uredbe). Uporaba zavezujočih poslovnih pravil omogoča prost pretok osebnih podatkov med različnimi člani skupine po vsem svetu – kar odpravlja potrebo po pogodbenih dogovorih med vsemi posameznimi gospodarskimi subjekti – hkrati pa zagotavlja, da se v celotni skupini spoštuje enako visoka raven varstva osebnih podatkov. Ta pravila so posebej dobra rešitev za kompleksne in velike skupine podjetij ter za tesno sodelovanje med podjetji, ki si izmenjujejo podatke prek več jurisdikcij. Za razliko od direktive iz leta 1995 lahko zavezujoča poslovna pravila v skladu z Uredbo uporabljajo podjetja, ki opravljajo skupno gospodarsko dejavnost, vendar niso del iste skupine podjetij.
Postopkovno morajo zavezujoča poslovna pravila odobriti pristojni organi za varstvo podatkov na podlagi nezavezujočega mnenja odbora. Za vodilo pri tem postopku je odbor pregledal „referenčne dokumente“ za zavezujoča poslovna pravila (ki določajo materialne standarde) za upravljavce in obdelovalce v skladu z Uredbo ter te dokumente še naprej posodablja na podlagi praktičnih izkušenj, ki so jih pridobili nadzorni organi. Prav tako je sprejel različna navodila za pomoč vložnikom ter za poenostavitev postopka vložitve in odobritve zavezujočih poslovnih pravil. Po mnenju odbora je trenutno v postopku odobritve več kot 40 zavezujočih poslovnih pravil, od teh naj bi jih bila polovica potrjena do konca leta 2020. Pomembno je, da organi za varstvo podatkov nadaljujejo racionalizacijo postopka odobritve, saj deležniki pogosto navajajo dolgotrajnost takih postopkov kot praktično oviro za širšo uporabo zavezujočih poslovnih pravil.
Kar posebej zadeva zavezujoča poslovna pravila, ki jih je odobril organ za varstvo podatkov Združenega kraljestva (urad informacijskega pooblaščenca), pa jih bodo podjetja po koncu prehodnega obdobja v skladu s sporazumom o izstopu med EU in Združenim kraljestvom lahko še naprej uporabljala kot veljaven mehanizem za prenos podatkov na podlagi Uredbe, vendar le, če bodo spremenjena tako, da se vsaka povezava s pravnim redom Združenega kraljestva nadomesti z ustreznimi sklici na gospodarske subjekte in pristojne organe v EU. Za odobritev vseh novih zavezujočih poslovnih pravil je treba zaprositi pri enem od nadzornih organov v EU.
·Mehanizmi certificiranja in kodeksi ravnanja
Poleg posodobitve in razširitve uporabe že obstoječih orodij za prenos je Uredba uvedla tudi nove instrumente ter s tem razširila možnosti za mednarodne prenose. To vključuje, pod določenimi pogoji, uporabo odobrenih kodeksov ravnanja in mehanizmov certificiranja (kot so pečati ali označbe zasebnosti) za zagotavljanje ustreznih zaščitnih ukrepov. To so orodja „od spodaj navzgor“, ki omogočajo prilagojene rešitve – kot splošen mehanizem odgovornosti (glej člene 40 do 42 Uredbe) in zlasti za mednarodne prenose podatkov –, ter na primer odražajo posebne značilnosti in potrebe posameznega sektorja ali panoge ali določenih tokov podatkov. Kodeksi ravnanja so z umerjanjem obveznosti glede na tveganja lahko tudi zelo koristen in stroškovno učinkovit način za mala in srednja podjetja, da izpolnijo svoje obveznosti iz Uredbe.
Kar zadeva mehanizme certificiranja, delo odbora za razvoj meril za odobritev mehanizmov certificiranja kot orodij za mednarodne prenose še vedno poteka, čeprav je odbor sprejel smernice za spodbujanje njihove uporabe v EU. Enako velja za kodekse ravnanja, v zvezi s katerimi odbor trenutno pripravlja smernice za njihovo uporabo kot orodja za prenose.
Glede na pomen zagotavljanja širokega nabora instrumentov prenosa gospodarskim subjektom, ki so prilagojeni njihovim potrebam, in potencial, ki ga imajo zlasti mehanizmi certificiranja za lajšanje prenosa podatkov ob hkratnem zagotavljanju visoke ravni varstva podatkov, Komisija poziva odbor, naj čim prej dokončno oblikuje svoje smernice na tem področju. To zadeva materialne (merila) in procesne vidike (odobritev, spremljanje itd.). Deležniki so izrazili veliko zanimanja za te mehanizme prenosa in bi morali imeti možnost, da v celoti uporabljajo nabor orodij iz Uredbe. Smernice odbora bi prispevale tudi k spodbujanju modela EU za varstvo podatkov na svetovni ravni in krepile konvergenco, saj drugi sistemi zasebnosti uporabljajo podobne instrumente.
Dragocene izkušnje je mogoče črpati iz obstoječih prizadevanj za standardizacijo na področju zasebnosti, tako na evropski kot na mednarodni ravni. Zanimiv primer je pred kratkim objavljeni mednarodni standard ISO 27701, katerega cilj je pomagati podjetjem, da izpolnijo zahteve glede zasebnosti in obvladujejo tveganja, povezana z obdelavo osebnih podatkov, s pomočjo „sistemov za upravljanje zasebnosti“ (privacy information management systems). Čeprav certificiranje v skladu s standardom kot tako ne izpolnjuje zahtev iz členov 42 in 43 Uredbe, lahko uporaba sistemov za upravljanje zasebnosti prispeva k odgovornosti, tudi v okviru mednarodnega prenosa podatkov.
·Mednarodni sporazumi in upravni dogovori
Uredba omogoča tudi zagotavljanje ustreznih zaščitnih ukrepov za prenos podatkov med javnimi organi ali telesi na podlagi mednarodnih sporazumov (člen 46(2)(a)) ali upravnih dogovorov (člen 46(3)(b)). Medtem ko morata oba instrumenta zagotavljati enak rezultat v smislu zaščitnih ukrepov, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi, se razlikujeta glede svoje pravne narave in postopka sprejetja.
Za razliko od mednarodnih sporazumov, ki ustvarjajo zavezujoče obveznosti po mednarodnem pravu, so upravni dogovori (npr. v obliki memoranduma o soglasju) po navadi nezavezujoči in zato zahtevajo predhodno odobritev pristojnega organa za varstvo podatkov (glej tudi uvodno izjavo 108 Uredbe). Eden zgodnjih primerov je upravni dogovor za prenos osebnih podatkov med finančnimi nadzorniki iz EGP in finančnimi nadzorniki zunaj EGP, ki sodelujejo pod okriljem Mednarodnega združenja nadzornikov trga vrednostnih papirjev (IOSCO), o katerem je odbor podal svoje mnenje v začetku leta 2019. Od takrat je odbor nadalje razvil svojo razlago „minimalnih zaščitnih ukrepov“, ki jih morajo zagotavljati mednarodni sporazumi (o sodelovanju) in upravni dogovori med javnimi organi ali telesi (vključno z mednarodnimi organizacijami), da izpolnijo zahteve iz člena 46 Uredbe. 18. januarja 2020 je sprejel osnutek smernic, v katerih je odgovoril na prošnjo držav članic po nadaljnjih pojasnilih in vodilih o tem, kaj se lahko šteje za ustrezne zaščitne ukrepe za prenose med javnimi organi. Odbor močno priporoča, da javni organi te smernice uporabljajo kot referenčno točko za pogajanja s tretjimi strankami.
Smernice kažejo prožnost pri oblikovanju takih instrumentov, vključno s pomembnimi vidiki, kot sta nadzor in pravno sredstvo. To naj bi javnim organom omogočilo premagovanje ovir, na primer pri zagotavljanju izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, z nezavezujočimi dogovori. Pomembna elementa takih dogovorov sta njihovo stalno spremljanje s strani pristojnega organa za varstvo podatkov – podprto z zahtevami po obveščanju in vodenju evidenc – in začasna prekinitev pretoka podatkov, če ustreznih zaščitnih ukrepov v praksi ni več mogoče zagotoviti.
Odstopanja
Nazadnje Uredba pojasnjuje uporabo tako imenovanih „odstopanj“. To so posebni razlogi za prenos podatkov (npr. izrecna privolitev, izvajanje pogodbe ali pomembni razlogi javnega interesa), ki jih priznava zakonodaja ter na katere se lahko subjekti pod določenimi pogoji oprejo, če ni drugih orodij za prenos.
Za pojasnitev uporabe takih zakonskih razlogov je odbor izdal posebne smernice in v številnih zadevah razložil člen 49 v zvezi s posebnimi scenariji prenosa. Zaradi njihovega izjemnega značaja odbor meni, da je treba odstopanja razlagati restriktivno in za vsak primer posebej. Kljub njihovi strogi razlagi ti razlogi zajemajo širok nabor scenarijev prenosa. To vključuje zlasti prenose podatkov s strani javnih organov in zasebnih subjektov, ki so potrebni zaradi „pomembnih razlogov javnega interesa“, na primer med organi za konkurenco, finančnimi, davčnimi ali carinskimi organi, službami, pristojnimi za socialno varnost ali javno zdravje (kot v primeru sledenja stikom zaradi nalezljivih bolezni ali odprave uporabe nedovoljenih poživil v športu). Drugo področje je področje čezmejnega sodelovanja za namene kazenskega pregona, zlasti v zvezi s hudimi kaznivimi dejanji.
Odbor je pojasnil, da čeprav je treba priznati ustrezne javne interese v zakonodaji EU ali držav članic, je to mogoče določiti tudi na podlagi obstoja „mednarodnega sporazuma ali konvencije, ki priznava določen cilj in zagotavlja mednarodno sodelovanje za uresničevanje tega cilja, [kar] je lahko kazalnik, ko se ugotavlja obstoj javnega interesa v skladu s členom 49(1)(d), če so EU ali države članice podpisnice tega sporazuma ali konvencije“.
Odločitve tujih sodišč ali organov niso osnova za prenose
Poleg tega, da poglavje V Uredbe pozitivno določa razloge za prenos podatkov, v svojem členu 48 pojasnjuje tudi, da odredbe sodišč in odločbe upravnih organov zunaj EU same po sebi ne zagotavljajo takih razlogov, razen če so priznane ali izvršljive na podlagi mednarodnega sporazuma (npr. pogodba o medsebojni pravni pomoči). Vsako razkritje s strani subjekta v EU tujemu sodišču ali organu v odgovor na tako odredbo ali odločbo pomeni mednarodni prenos podatkov, ki mora temeljiti na enem od omenjenih instrumentov za prenos.
Uredba ni „akt o blokiranju“ in bo pod določenimi pogoji dovoljevala prenos v odgovor na ustrezno zahtevo iz tretje države v okviru kazenskega pregona. Pomembno je, da mora zakonodaja EU določiti, ali je tako in na podlagi katerih zaščitnih ukrepov se lahko izvajajo taki prenosi.
Komisija je pojasnila delovanje člena 48 Uredbe, vključno z morebitnim opiranjem na odstopanje zaradi javnega interesa, v okviru naloga za posredovanje dokazov, ki ga je izdal tuji organ kazenskega pregona v zadevi Microsoft pred vrhovnim sodiščem ZDA. Komisija je v svojem prispevku poudarila interes EU za zagotavljanje, da sodelovanje na področju kazenskega pregona poteka „v pravnem okviru, ki preprečuje kolizije zakonov, in temelji na […] spoštovanju temeljnih interesov drugih strani, tako glede zasebnosti kot kazenskega pregona“. Zlasti „z vidika mednarodnega javnega prava se spoštujeta načeli teritorialnosti in kurtoazije, kadar javni organ od podjetja s sedežem na območju v njegovi pristojnosti zahteva, da posreduje elektronske podatke, shranjene na strežniku v tuji jurisdikciji“.
To se odraža tudi v predlogu Komisije za uredbo o evropskem nalogu za predložitev in evropskem nalogu za zavarovanje elektronskih dokazov v kazenskih zadevah, ki vsebuje posebno „klavzulo pravne kurtoazije“, ki omogoča ugovor nalogu za predložitev, če bi to bilo v nasprotju z zakonodajami tretjih držav, ki prepovedujejo razkritje, zlasti zaradi zaščite temeljnih pravic zadevnih posameznikov.
|
Zagotavljanje pravne kurtoazije je pomembno, ker ima kazenski pregon – kot tudi kazniva dejanja in zlasti kibernetska kriminaliteta – vse bolj čezmejno razsežnost, zato pogosto sproža vprašanja o pristojnosti in ustvarja potencialno kolizijo prava. Ni presenetljivo, da so najboljši način za obravnavanje teh vprašanj mednarodni sporazumi, ki zagotavljajo potrebne omejitve in zaščitne ukrepe za čezmejni dostop do osebnih podatkov, vključno z zagotavljanjem visoke ravni varstva podatkov na strani organa, ki zahteva dostop.
Komisija, ki deluje v imenu EU, trenutno sodeluje v večstranskih pogajanjih za Drugi dodatni protokol h Konvenciji Sveta Evrope o kibernetski kriminaliteti (Budimpeška konvencija), katerega cilj je izboljšati obstoječa pravila za pridobitev čezmejnega dostopa do elektronskih dokazov v kazenskih preiskavah, hkrati pa zagotavlja ustrezne zaščitne ukrepe za varstvo podatkov kot del protokola. Podobno so se začela dvostranska pogajanja o sporazumu med EU in ZDA o čezmejnem dostopu do elektronskih dokazov za pravosodno sodelovanje v kazenskih zadevah. Pri vseh teh pogajanjih Komisija računa na podporo Evropskega parlamenta in Sveta ter smernice Evropskega odbora za varstvo podatkov.
Na splošno je pomembno zagotoviti, da lahko podjetja, ki delujejo na evropskem trgu, na podlagi utemeljene zahteve za izmenjavo podatkov za namene kazenskega pregona takšne podatke izmenjajo brez tveganja kolizije zakonov in ob polnem spoštovanju temeljnih pravic EU. Za izboljšanje takih prenosov se je Komisija zavezala, da bo s svojimi mednarodnimi partnerji razvila ustrezne pravne okvire, da bi se izognili koliziji prava in podprli učinkovite oblike sodelovanja, zlasti z zagotavljanjem potrebnih zaščitnih ukrepov za varstvo podatkov, in s tem prispevali k učinkovitejšemu boju proti kriminalu.
7.3Mednarodno sodelovanje na področju varstva podatkov
Spodbujanje konvergence med različnimi sistemi zasebnosti pomeni tudi učenje drug od drugega z izmenjavo znanja, izkušenj in najboljših praks. Take izmenjave so bistvene za obravnavanje novih izzivov, ki so po naravi in obsegu vse bolj globalni. Zato je Komisija na dvostranski, regionalni in večstranski ravni okrepila dialog o varstvu podatkov in pretoku podatkov z najrazličnejšimi akterji in na različnih forumih.
Dvostranska razsežnost
Po sprejetju Uredbe je vse več zanimanja za izkušnje EU pri oblikovanju, pogajanju in izvajanju sodobnih pravil o zasebnosti. Dialog z državami, ki gredo skozi podobne procese, ima več oblik.
Službe Komisije so predložile prispevke v okviru več javnih posvetovanj, ki so jih organizirale tuje vlade glede zakonodaje na področju zasebnosti, na primer vlade ZDA, Indije, Malezije in Etiopije. V nekaterih tretjih državah so službe Komisije imele privilegij, da so lahko spregovorile pred pristojnimi parlamentarnimi organi, na primer v Braziliji, Čilu, Ekvadorju in Tuniziji.
Poleg tega so v okviru tekočih reform zakonodaj o varstvu podatkov potekala namenska srečanja s predstavniki vlade ali parlamentarnimi delegacijami iz več regij sveta (npr. Gruzije, Kenije, Tajvana, Tajske, Maroka). To je vključevalo organizacijo seminarjev in študijskih obiskov, na primer s predstavniki indonezijske vlade in delegacijo članov kongresa ZDA. To so bile priložnosti za pojasnitev pomembnih konceptov Uredbe, izboljšanje vzajemnega razumevanja zadev v zvezi z zasebnostjo ter ponazoritev koristi konvergence za zagotavljanje visoke ravni varstva pravic posameznikov, trgovine in sodelovanja. V nekaterih primerih je bilo mogoče tudi posvariti pred nekaterimi napačnimi predstavami o varstvu podatkov, ki lahko privedejo do uvedbe protekcionističnih ukrepov, kot so zahteve glede prisilne lokalizacije.
Komisija je od sprejetja Uredbe sodelovala tudi z več mednarodnimi organizacijami, tudi glede na pomen izmenjave podatkov s temi organizacijami na številnih področjih politike. Zlasti je bil vzpostavljen poseben dialog z Združenimi narodi, da bi se omogočile razprave z vsemi vpletenimi deležniki in tako zagotovil nemoten prenos podatkov ter da bi se razvijala nadaljnja konvergenca med zadevnimi režimi varstva podatkov. Komisija bo v okviru tega dialoga tesno sodelovala z Evropskim odborom za varstvo podatkov, da bi se dodatno pojasnilo, kako lahko javni in zasebni gospodarski subjekti EU izpolnjujejo svoje obveznosti iz Uredbe pri izmenjavi podatkov z mednarodno organizacijo, kot so Združeni narodi.
Komisija je pripravljena še naprej deliti izkušnje iz svojega procesa reforme z zainteresiranimi državami in mednarodnimi organizacijami, saj se je tudi sama učila od drugih sistemov pri razvoju svojega predloga novih pravil EU o varstvu podatkov. Ta vrsta dialoga je vzajemno koristna za EU in njene partnerje, saj omogoča boljše razumevanje hitro razvijajočega se področja zasebnosti ter izmenjavo mnenj o novih pravnih in tehnoloških rešitvah.
Komisija v tem duhu ustanavlja „Akademijo za varstvo podatkov“ za spodbujanje izmenjav med evropskimi regulatorji in regulatorji iz tretjih držav ter s tem izboljšanje sodelovanja „na terenu“.
Poleg tega je treba razviti ustrezne pravne instrumente za tesnejše oblike sodelovanja in medsebojne pomoči, vključno z omogočanjem potrebne izmenjave informacij v okviru preiskav. Komisija bo zato izkoristila pooblastila, ki jih ima na tem področju v skladu s členom 50 Uredbe, in si bo zlasti prizadevala za dovoljenje za začetek pogajanj za sklenitev sporazumov o sodelovanju pri izvrševanju z ustreznimi tretjimi državami. V tem okviru bo upoštevala tudi stališča odbora o tem, katerim državam je treba dati prednost glede na obseg prenosa podatkov, vlogo in pooblastila organov, ki skrbijo za izvrševanje zakonodaje o zasebnosti v tretji državi, ter potrebo po sodelovanju pri izvrševanju za obravnavanje primerov v skupnem interesu.
|
Večstranska razsežnost
Komisija dejavno sodeluje pri dvostranskih izmenjavah in tudi v številnih večstranskih forumih za spodbujanje skupnih vrednot in ustvarjanje konvergence na regionalni in svetovni ravni.
Vse bolj univerzalno članstvo v „Konvenciji 108“ Sveta Evrope, ki je edini pravno zavezujoč večstranski instrument na področju varstva osebnih podatkov, je jasen znak tega (naraščajočega) trenda h konvergenci. Konvencijo, ki je na voljo tudi za nečlane Sveta Evrope, je ratificiralo že 55 držav, vključno s številnimi državami iz Afrike in Latinske Amerike. Komisija je bistveno prispevala k uspešnemu izidu pogajanj o posodobitvi Konvencije in zagotovila, da odraža enaka načela, kot so načela EU, določena v pravilih EU o varstvu podatkov. Večina držav članic EU je zdaj podpisala Protokol o spremembi, čeprav še vedno manjkajo podpisi Danske, Malte in Romunije. Samo štiri države članice (Bolgarija, Hrvaška, Litva in Poljska) so doslej ratificirale Protokol o spremembi. Komisija poziva tri preostale države članice, naj podpišejo posodobljeno konvencijo, in vse države članice, naj jo hitro ratificirajo in tako omogočijo začetek njene veljavnosti v bližnji prihodnosti. Poleg tega bo še naprej dejavno spodbujala pristop tretjih držav h Konvenciji.
Pred kratkim so bili pretok in varstvo podatkov obravnavani tudi v okviru skupin G20 in G7. Leta 2019 so svetovni voditelji prvič podprli idejo, da varstvo podatkov prispeva k zaupanju v digitalno gospodarstvo in olajšuje pretok podatkov. Z dejavno podporo
Komisije so voditelji podprli idejo o „prostem pretoku podatkov na podlagi zaupanja“, ki ga je prvotno predlagala Japonska v izjavi iz vrha G20 v Osaki
in na vrhu G7 v Biarritzu
. Ta pristop se odraža tudi v sporočilu Komisije „Evropska strategija za podatke“ iz leta 2020, ki poudarja njeno namero, da bo še naprej spodbujala izmenjavo podatkov z zaupanja vrednimi partnerji, obenem pa se borila proti zlorabam, kot je nesorazmeren dostop (tujih) javnih organov do podatkov.
Pri tem se bo EU lahko oprla tudi na številna orodja na različnih področjih politike, ki čedalje bolj upoštevajo učinek na zasebnost: na primer prvi okvir EU za pregled tujih naložb, ki se bo v celoti začel uporabljati oktobra 2020, daje EU in njenim državam članicam možnost, da pregledajo naložbene transakcije, ki vplivajo na „dostop do občutljivih informacij, vključno z osebnimi podatki, ali sposobnost nadziranja takih informacij“, če vplivajo na varnost ali javni red.
Komisija v več drugih večstranskih forumih sodeluje z enako mislečimi državami, da bi dejavno spodbujala svoje vrednote in standarde. Pomemben forum je pred kratkim ustanovljena delovna skupina organizacije OECD za upravljanje podatkov in zasebnost, ki izvaja številne pomembne pobude, povezane z varstvom podatkov, izmenjavo podatkov in prenosom podatkov. To vključuje vrednotenje smernic OECD o zasebnosti iz leta 2013. Poleg tega je Komisija dejavno prispevala k Priporočilu Sveta OECD o umetni inteligenci ter zagotovila, da se v končnem besedilu odraža na človeka osredotočen pristop EU, kar pomeni, da morajo aplikacije umetne inteligence spoštovati temeljne pravice in zlasti varstvo podatkov. Pomembneje, priporočilo o umetni inteligenci, ki je bilo pozneje vključeno v načela umetne inteligence G20, priložena izjavi voditeljev z vrha G20 v Osaki, določa načela preglednosti in razložljivosti, da „omogoči tistim, ki utrpijo negativne posledice zaradi sistema umetne inteligence, da izpodbijajo rezultate na podlagi preprostih in lahko razumljivih informacij o dejavnikih in logiki, ki so služili kot osnova za napoved, priporočilo ali odločitev“, kar natančno odraža načela Uredbe glede avtomatiziranega sprejemanja odločitev.
Komisija prav tako krepi dialog z regionalnimi organizacijami in mrežami, ki imajo vedno večjo osrednjo vlogo pri oblikovanju skupnih standardov varstva podatkov, pri čemer spodbuja izmenjavo najboljših praks in sodelovanje med izvrševalci. To zlasti zadeva Združenje držav jugovzhodne Azije (ASEAN) – vključno v okviru stalnega dela glede orodij za prenos podatkov – Afriško unijo, forum organov Azijsko-pacifiške skupine za varstvo zasebnosti (APPA) in Ibero-ameriško mrežo za varstvo podatkov, ki so vsi sprožili pomembne pobude na tem področju ter zagotavljajo forume za uspešen dialog med regulatorji na področju zasebnosti in drugimi deležniki.
Afrika je dober primer za dopolnjevanje med nacionalno, regionalno in globalno razsežnostjo zasebnosti. Digitalne tehnologije hitro in globoko spreminjajo afriško celino. To lahko pospeši doseganje ciljev trajnostnega razvoja s spodbuditvijo gospodarske rasti, zmanjšanjem revščine in izboljšanjem življenja ljudi. Vzpostavitev sodobnega okvira za varstvo podatkov, ki privablja naložbe in spodbuja razvoj konkurenčnega poslovanja, hkrati pa prispeva k spoštovanju človekovih pravic, demokracije in pravne države, je ključni element te preobrazbe. Uskladitev pravil o varstvu podatkov po vsej Afriki bi omogočila vključitev v digitalni trg, konvergenca s svetovnimi standardi pa bi olajšala izmenjavo podatkov z EU. Te različne dimenzije varstva podatkov so medsebojno povezane in se vzajemno krepijo.
Trenutno se v mnogih afriških državah povečuje zanimanje za varstvo podatkov, število afriških držav, ki so sprejele ali trenutno sprejemajo sodobna pravila o varstvu podatkov oziroma so ratificirale Konvencijo 108 ali Konvencijo iz Malaboja, pa še naprej narašča. Hkrati pa je regulativni okvir na afriški celini še vedno zelo neenakomeren in razdrobljen. Mnoge države še vedno zagotavljajo malo ali nič zaščitnih ukrepov za varstvo podatkov. Ukrepi, ki omejujejo pretok podatkov, so še vedno zelo razširjeni in ovirajo razvoj regionalnega digitalnega gospodarstva.
Komisija bo za izkoriščanje vzajemnih koristi konvergentnih pravil o varstvu podatkov sodelovala s svojimi afriškimi partnerji na dvostranskih in regionalnih forumih. S tem gradi na delu projektne skupine za digitalno gospodarstvo EU-AU v okviru novega partnerstva Afrika-Evropa za digitalno gospodarstvo. Prav tako je bilo za nadgradnjo teh ciljev področje uporabe instrumenta partnerstva Komisije za „Okrepljeno varstvo podatkov in pretok podatkov“ razširjeno, tako da vključuje Afriko. Projekt se bo uporabljal za podporo afriškim državam, ki nameravajo razviti sodobne okvire varstva podatkov ali želijo okrepiti zmogljivosti svojih regulativnih organov prek usposabljanja, izmenjave znanja in izmenjave najboljših praks.
|
Nazadnje je Komisija odločena, da bo, ob spodbujanju konvergence standardov varstva podatkov na mednarodni ravni kot načina za olajšanje pretoka podatkov in s tem tudi trgovanja, obravnavala digitalni protekcionizem, kot je bilo pred kratkim poudarjeno v podatkovni strategiji. V ta namen je razvila posebne določbe o pretoku podatkov in varstvu podatkov v trgovinskih sporazumih, ki jih sistematično vključuje v svoja dvostranska – nazadnje z Avstralijo, Novo Zelandijo in Združenim kraljestvom – in večstranska pogajanja, kot so trenutni pogovori o e-trgovanju z organizacijo STO. Te horizontalne določbe izključujejo neupravičene omejitve, kot so na primer zahteve za prisilno lokalizacijo podatkov, hkrati pa ohranjajo regulativno avtonomijo strank, da zaščitijo temeljne pravice do varstva podatkov.
Medtem ko morajo dialogi o varstvu podatkov in trgovinskih pogajanjih potekati ločeno, se lahko medsebojno dopolnjujejo. Dejansko konvergenca, ki temelji na visokih standardih in je podprta z učinkovitim izvrševanjem, zagotavlja najmočnejši temelj za izmenjavo osebnih podatkov, kar čedalje bolj prepoznavajo naši mednarodni partnerji. Ker podjetja vedno več poslujejo čezmejno in raje uporabljajo podobne nabore pravil v vseh svojih poslovnih dejavnostih po vsem svetu, taka konvergenca pomaga ustvariti okolje, ki bo ugodno za neposredne naložbe, lajšalo trgovino in izboljšalo zaupanje med poslovnimi partnerji. Zato bi bilo treba še naprej raziskovati sinergije med trgovinskimi instrumenti in instrumenti za varstvo podatkov, da bi zagotovili prost in varen mednarodni pretok podatkov, ki je ključnega pomena za poslovanje, konkurenčnost in rast evropskih podjetij, vključno z MSP, v našem vse bolj digitaliziranem gospodarstvu.
|
Priloga I – Določila o neobvezni natančnejši ureditvi v nacionalni zakonodaji
Predmet
|
Področje uporabe
|
Členi Uredbe
|
Ureditve za zakonske obveznosti in javne naloge
|
Prilagoditev uporabe določb v zvezi z obdelavo za izpolnjevanje zakonskih obveznosti ali javnih nalog, tudi za posebne primere obdelave iz poglavja IX
|
Člen 6(2) in 6(3)
|
Starostna meja za privolitev v zvezi s storitvami informacijske družbe
|
Določitev najnižje starosti med 13 in 16 leti
|
Člen 8(1)
|
Obdelava posebnih vrst podatkov
|
Ohranitev ali uvedba dodatnih pogojev, tudi omejitev, za obdelavo genskih ali biometričnih podatkov ali podatkov o zdravstvenem stanju
|
Člen 9(4)
|
Odstopanje od zahtev po informacijah
|
Pridobitev ali razkritje, izrecno določeno s pravom, ali varovanje poklicne skrivnosti v skladu s pravom
|
Člen 14(5)(c) in (d)
|
Avtomatizirano sprejemanje posameznih odločitev
|
Dovoljenje za avtomatizirano sprejemanje odločitev z odstopanjem od splošne prepovedi
|
Člen 22(2)(b)
|
Omejitve pravic posameznikov, na katere se nanašajo osebni podatki
|
Omejitve členov 12 do 22, člena 34 in ustreznih določb člena 5, če so potrebne in sorazmerne za zaščito izčrpno naštetih pomembnih ciljev
|
Člen 23(1)
|
Zahteva za posvetovanje in dovoljenje
|
Zahteva, da se upravljavci posvetujejo z organom za varstvo podatkov ali od njega prejmejo dovoljenje za obdelavo za nalogo v javnem interesu
|
Člen 36(5)
|
Imenovanje pooblaščene osebe za varstvo podatkov v dodatnih primerih
|
Imenovanje pooblaščene osebe za varstvo podatkov v primerih, ki niso vključeni v prvi odstavek člena 37
|
Člen 37(4)
|
Omejitve prenosov
|
Omejitev prenosov posebnih vrst osebnih podatkov
|
Člen 49(5)
|
Samostojne pritožbe in sodni postopki organizacij
|
Dovoljenje organizacijam za zasebnost, da vložijo pritožbe in začnejo sodne postopke, neodvisno od pooblastila posameznikov, na katere se nanašajo osebni podatki
|
Člen 80(2)
|
Dostop do uradnih dokumentov
|
Usklajevanje dostopa javnosti do uradnih dokumentov s pravico do varstva osebnih podatkov
|
Člen 86
|
Obdelava nacionalne identifikacijske številke
|
Posebni pogoji za obdelavo nacionalne identifikacijske številke
|
Člen 87
|
Obdelava v okviru zaposlitve
|
Natančnejša pravila za obdelavo osebnih podatkov zaposlenih
|
Člen 88
|
Odstopanja v zvezi z obdelavo za namene arhiviranja v javnem interesu, raziskovalne ali statistične namene
|
Odstopanja od določenih pravic posameznikov, na katere se nanašajo osebni podatki, če bi take pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov
|
Člen 89(2) in (3)
|
Usklajevanje varstva podatkov z obveznostmi varovanja skrivnosti
|
Posebna pravila o preiskovalnih pooblastilih organov za varstvo podatkov v zvezi z upravljavci ali obdelovalci, za katere veljajo obveznosti varovanja poklicne skrivnosti
|
Člen 90
|
Priloga II – Pregled virov organov za varstvo podatkov
Spodnja tabela prikazuje pregled virov (zaposleni in proračun) organov za varstvo podatkov po državah članicah EU/EGP.
Pri primerjanju podatkov med državami članicami je pomembno upoštevati, da imajo lahko organi dodeljene tudi naloge, ki jih Uredba ne zajema, in da se te lahko med državami članicami razlikujejo. Razmerje med številom zaposlenih pri organih na milijon prebivalcev in razmerje med proračunom organov na milijon EUR BDP sta vključeni samo za dodaten primerjalni element med državami članicami podobne velikosti ter ju ne bi smeli obravnavati izolirano. Pri oceni virov določenega organa je treba upoštevati absolutne podatke, razmerja in razvoj v preteklih letih.
|
ZAPOSLENI (v ekvivalentu polnega delovnega časa)
|
PRORAČUN (v EUR)
|
Države članice EU/EGP
|
2019
|
Napoved 2020
|
Rast 2016–2019 v %
|
Rast 2016–2020 v % (napoved)
|
Število zaposlenih na milijon prebivalcev (2019)
|
2019
|
Napoved 2020
|
Rast 2016–2019 v %
|
Rast 2016–
2020 v % (napoved)
|
Proračun na milijon EUR BDP (2019)
|
Avstrija
|
34
|
34
|
48 %
|
48 %
|
3,8
|
2 282 000
|
2 282 000
|
29 %
|
29 %
|
5,7
|
Belgija
|
59
|
65
|
9 %
|
20 %
|
5,2
|
8 197 400
|
8 962 200
|
1 %
|
10 %
|
17,3
|
Bolgarija
|
60
|
60
|
– 14 %
|
– 14 %
|
8,6
|
1 446 956
|
1 446 956
|
24 %
|
24 %
|
23,8
|
Hrvaška
|
39
|
60
|
39 %
|
114 %
|
9,6
|
1 157 300
|
1 405 000
|
57 %
|
91 %
|
21,5
|
Ciper
|
24
|
22
|
ni podatka
|
ni podatka
|
27,4
|
503 855
|
ni podatka
|
114 %
|
ni podatka
|
23,0
|
Češka
|
101
|
109
|
0 %
|
8 %
|
9,5
|
6 541 288
|
6 720 533
|
10 %
|
13 %
|
29,7
|
Danska
|
66
|
63
|
106 %
|
97 %
|
11,4
|
5 610 128
|
5 623 114
|
101 %
|
101 %
|
18,0
|
Estonija
|
16
|
18
|
– 11 %
|
0 %
|
12,1
|
750 331
|
750 331
|
7 %
|
7 %
|
26,8
|
Finska
|
45
|
55
|
114 %
|
162 %
|
8,2
|
3 500 000
|
4 500 000
|
94 %
|
150 %
|
14,6
|
Francija
|
215
|
225
|
9 %
|
14 %
|
3,2
|
18 506 734
|
20 143 889
|
– 2 %
|
7 %
|
7,7
|
Nemčija
|
888
|
1 002
|
52 %
|
72 %
|
10,7
|
76 599 800
|
85 837 500
|
48 %
|
66 %
|
22,3
|
Grčija
|
33
|
46
|
– 15 %
|
18 %
|
3,1
|
2 849 000
|
3 101 000
|
38 %
|
50 %
|
15,2
|
Madžarska
|
104
|
117
|
42 %
|
60 %
|
10,6
|
3 505 152
|
4 437 576
|
102 %
|
155 %
|
24,4
|
Islandija
|
17
|
17
|
143 %
|
143 %
|
47,6
|
2 272 490
|
2 294 104
|
167 %
|
170 %
|
105,2
|
Irska
|
140
|
176
|
169 %
|
238 %
|
28,5
|
15 200 000
|
16 900 000
|
223 %
|
260 %
|
43,8
|
Italija
|
170
|
170
|
40 %
|
40 %
|
2,8
|
29 127 273
|
30 127 273
|
46 %
|
51 %
|
16,3
|
Latvija
|
19
|
31
|
– 10 %
|
48 %
|
9,9
|
640 998
|
1 218 978
|
4 %
|
98 %
|
21,0
|
Litva
|
46
|
52
|
– 8 %
|
4 %
|
16,5
|
1 482 000
|
1 581 000
|
40 %
|
49 %
|
30,6
|
Luksemburg
|
43
|
48
|
126 %
|
153 %
|
70,0
|
5 442 416
|
6 691 563
|
165 %
|
226 %
|
85,7
|
Malta
|
13
|
15
|
30 %
|
50 %
|
26,3
|
480 000
|
550 000
|
41 %
|
62 %
|
36,3
|
Nizozemska
|
179
|
188
|
145 %
|
158 %
|
10,4
|
18 600 000
|
18 600 000
|
130 %
|
130 %
|
22,9
|
Norveška
|
49
|
58
|
2 %
|
21 %
|
9,2
|
5 708 950
|
6 580 660
|
27 %
|
46 %
|
15,9
|
Poljska
|
238
|
260
|
54 %
|
68 %
|
6,3
|
7 506 345
|
9 413 381
|
66 %
|
108 %
|
14,2
|
Portugalska
|
25
|
27
|
– 4 %
|
4 %
|
2,4
|
2 152 000
|
2 385 000
|
67 %
|
86 %
|
10,1
|
Romunija
|
39
|
47
|
– 3 %
|
18 %
|
2,0
|
1 103 388
|
1 304 813
|
3 %
|
22 %
|
4,9
|
Slovaška
|
49
|
51
|
20 %
|
24 %
|
9,0
|
1 731 419
|
1 859 514
|
47 %
|
58 %
|
18,4
|
Slovenija
|
47
|
49
|
42 %
|
48 %
|
22,6
|
2 242 236
|
2 266 485
|
68 %
|
70 %
|
46,7
|
Španija
|
170
|
220
|
13 %
|
47 %
|
3,6
|
15 187 680
|
16 500 000
|
8 %
|
17 %
|
12,2
|
Švedska
|
87
|
87
|
81 %
|
81 %
|
8,5
|
8 800 000
|
10 300 000
|
96 %
|
129 %
|
18,5
|
SKUPAJ
|
2 966
|
3 372
|
42 %
|
62 %
|
6,6
|
249 127 139
|
273 782 870
|
49 %
|
64 %
|
17,4
|
Vir surovih podatkov: prispevek odbora. Izračuni Komisije.