EVROPSKA KOMISIJA

Bruselj, 24.6.2020

SWD(2020) 115 final

DELOVNI DOKUMENT SLUŽB KOMISIJE

[…]

Spremni dokument

k SPOROČILU KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

Varstvo podatkov kot steber krepitve vloge državljanov in pristopa EU k digitalnemu prehodu – dve leti uporabe splošne uredbe o varstvu podatkov

{COM(2020) 264 final}

Vsebina

1    Okvir    

2    Izvajanje Uredbe in delovanje mehanizmov za sodelovanje in skladnost    

2.1    Uporaba okrepljenih pooblastil organov za varstvo podatkov    

Posebna vprašanja v javnem sektorju    

Sodelovanje z drugimi regulatorji    

2.2    Mehanizmi sodelovanja in skladnosti    

Vse na enem mestu    

Medsebojna pomoč    

Mehanizem za skladnost    

Izzivi pred nami    

2.3    Svetovanje in smernice    

Ozaveščanje in svetovanje organov za varstvo podatkov    

Smernice Evropskega odbora za varstvo podatkov    

2.4    Viri organov za varstvo podatkov    

3    Kljub harmoniziranim pravilom ostajajo določena razdrobljenost in različni pristopi    

3.1    Izvajanje Uredbe v državah članicah    

Glavna vprašanja v zvezi z nacionalnim izvajanjem    

Uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja    

3.2    Določila o neobvezni natančnejši ureditvi in njihove omejitve    

Razdrobljenost, povezana z uporabo določil o neobvezni natančnejši ureditvi    

4    Omogočanje posameznikom, da bodo imeli nadzor nad lastnimi podatki    

5    Priložnosti in izzivi za organizacije, zlasti za mala in srednja podjetja    

Nabor orodij za podjetja    

6    Uporaba Uredbe pri novih tehnologijah    

7    Mednarodni prenosi in sodelovanje na svetovni ravni    

7.1    Zasebnost: globalno vprašanje    

7.2    Nabor orodij za prenos podatkov iz Uredbe    

Sklepi o ustreznosti    

Ustrezni zaščitni ukrepi    

Odstopanja    

Odločitve tujih sodišč ali organov niso osnova za prenose    

7.3    Mednarodno sodelovanje na področju varstva podatkov    

Dvostranska razsežnost    

Večstranska razsežnost    

Priloga I: Določila za neobvezno natančnejšo ureditev nacionalnih zakonodaj

Priloga II: Pregled virov organov za varstvo podatkov

1Okvir

Splošna uredba o varstvu podatkov 1 (v nadaljnjem besedilu: Uredba) je rezultat osemletnih priprav, osnutkov in medinstitucionalnih pogajanj in je začela veljati 25. maja 2018 po dvoletnem prehodnem obdobju (maj 2016–maj 2018). Člen 97 Uredbe od Komisije zahteva, da poroča o vrednotenju in pregledu uredbe, začenši s prvim poročilom po dveh letih uporabe in nato vsaka štiri leta.

Vrednotenje je tudi del večplastnega pristopa, ki ga je Komisija upoštevala že pred začetkom uporabe Uredbe in mu od takrat še naprej dejavno sledi. Kot del tega pristopa je Komisija sodelovala v tekočih dvostranskih dialogih z državami članicami o skladnosti nacionalne zakonodaje z Uredbo in dejavno prispevala k delu Evropskega odbora za varstvo podatkov (v nadaljnjem besedilu: odbor), pri čemer je nudila svoje izkušnje in strokovno znanje, podpirala organe za varstvo podatkov in vzdrževala tesne stike s širokim krogom deležnikov glede praktične uporabe Uredbe.

Vrednotenje temelji na pregledu stanja, ki ga je Komisija opravila v prvem letu uporabe Uredbe in je bil povzet v sporočilu, izdanem julija 2019 2 . Sledi tudi sporočilu o uporabi Uredbe, izdanem januarja 2018 3 . Komisija je sprejela tudi smernice o uporabi osebnih podatkov v volilnem kontekstu, objavljene septembra 2018, in smernice o aplikacijah, ki podpirajo boj proti pandemiji COVID‑19, izdane aprila 2020.

Čeprav se to vrednotenje osredotoča na vprašanji iz člena 97(2) Uredbe, tj. na mednarodne prenose osebnih podatkov ter na mehanizme za sodelovanje in skladnost, je uporabljeni pristop širši, da bi zajemal tudi vprašanja, ki so jih v zadnjih dveh letih zastavili različni akterji.

Za pripravo vrednotenja je Komisija upoštevala prispevke:

·Sveta 4 ,

·Evropskega parlamenta (Odbor za državljanske svoboščine, pravosodje in notranje zadeve) 5 ,

·odbora 6 in posameznih organov za varstvo podatkov 7 na podlagi vprašalnika, ki ga je poslala Komisija,

·članov večdeležniške strokovne skupine za podporo pri uporabi Uredbe 8 , tudi na podlagi vprašalnika, ki ga je poslala Komisija,

·in ad hoc prispevke deležnikov.

2Izvajanje Uredbe in delovanje mehanizmov za sodelovanje in skladnost

Uredba je vzpostavila inovativen sistem upravljanja in ustvarila temelje resnično evropske kulture varstva podatkov, katere cilj je zagotoviti ne le usklajeno razlago, temveč tudi usklajeno uporabo in izvrševanje pravil o varstvu podatkov. Njena stebra sta neodvisni nacionalni organi za varstvo podatkov in novoustanovljeni odbor.

Ker so organi za varstvo podatkov ključni za delovanje celotnega sistema EU za varstvo podatkov, Komisija pozorno spremlja njihovo dejansko neodvisnost, vključno v zvezi z ustreznimi finančnimi, človeškimi in tehničnimi viri.

Glede na malo zbranih izkušenj doslej je še prezgodaj za celovito vrednotenje delovanja mehanizmov sodelovanja in skladnosti 9 . Poleg tega organi za varstvo podatkov še niso uporabili celotnega sklopa orodij, ki jih predvideva Uredba, da bi še dodatno okrepili svoje sodelovanje.

2.1Uporaba okrepljenih pooblastil organov za varstvo podatkov

Uredba določa neodvisne organe za varstvo podatkov ter jim zagotavlja usklajena in okrepljena izvršilna pooblastila. Odkar se Uredba uporablja, ti organi uporabljajo široko paleto popravljalnih pooblastil, predvidenih v Uredbi, kot so upravne globe (22 organov EU/EGP) 10 , opozorila in opomini (23), odredbe za ugoditev zahtevam posameznika, na katerega se nanašajo osebni podatki (26), odredbe za uskladitev dejanj obdelave z Uredbo (27) in odredbe za popravek ali izbris osebnih podatkov ali omejitev obdelave (17). Približno polovica organov za varstvo podatkov (13) je uvedla začasne ali dokončne omejitve obdelave, vključno s prepovedmi. To kaže na zavestno uporabo vseh popravljalnih ukrepov, določenih v Uredbi. Organi za varstvo podatkov se niso izognili nalaganju upravnih glob poleg ali namesto drugih popravljalnih ukrepov, odvisno od okoliščin posameznih primerov.

Uspeha Uredbe se ne sme meriti s številom izdanih glob, saj Uredba ureja širšo paleto popravljalnih pooblastil. Na primer, odvisno od okoliščin je odvračilni učinek prepovedi obdelave ali prekinitve pretoka podatkov lahko veliko močnejši.

Posebna vprašanja v javnem sektorju

Uredba omogoča državam članicam, da določijo, ali in v kakšnem obsegu se lahko javnim organom in telesom naložijo upravne globe. Če države članice izkoristijo to možnost, to organom za varstvo podatkov ne prepreči uporabe vseh drugih popravljalnih pooblastil v odnosu do javnih organov in teles 12 .

Drugo posebno vprašanje je nadzor nad sodišči: čeprav se Uredba uporablja tudi za dejavnosti sodišč, so ta izvzeta iz nadzora organov za varstvo podatkov, kadar delujejo kot sodni organ. Vendar Listina in PDEU države članice zavezujeta, da nadzor nad takimi dejanji obdelave zaupajo neodvisnemu organu v svojem pravosodnem sistemu 13 .

Sodelovanje z drugimi regulatorji

Kot je napovedano v njenem sporočilu iz julija 2019, Komisija podpira interakcijo z drugimi regulatorji ob popolnem spoštovanju njihovih pristojnosti. Obetavna področja sodelovanja vključujejo varstvo potrošnikov in konkurence. Odbor je izrazil pripravljenost za sodelovanje z drugimi regulatorji, zlasti v zvezi s koncentracijo na digitalnih trgih 14 . Komisija je priznala pomen zasebnosti in varstva podatkov kot kvalitativnega parametra za konkurenco 15 . Člani odbora so se udeležili skupnih delavnic z mrežo za sodelovanje na področju varstva potrošnikov o sodelovanju pri boljšem izvrševanju zakonodaje EU o varstvu potrošnikov in podatkov. S tem pristopom se bo poskušalo spodbuditi skupno razumevanje in razviti praktične načine za reševanje konkretnih težav, ki jih imajo potrošniki, zlasti v digitalnem gospodarstvu.

Za zagotovitev doslednega pristopa k zasebnosti in varstvu podatkov ter do sprejetja uredbe o e-zasebnosti je bistvenega pomena tesno sodelovanje z organi, pristojnimi za izvrševanje direktive o e-zasebnosti 16 , ki je lex specialis na področju elektronskih komunikacij. Tesnejše sodelovanje s pristojnimi organi v skladu z direktivo o varnosti omrežij in informacij 17 ter Skupino za sodelovanje na področju varnosti omrežij in informacij bi bilo v obojestransko korist teh organov in organov za varstvo podatkov.

2.2Mehanizmi sodelovanja in skladnosti

Uredba je ustvarila mehanizem sodelovanja (sistem „vse na enem mestu“ za gospodarske subjekte, skupno ukrepanje in medsebojno pomoč med organi za varstvo podatkov) in mehanizem skladnosti, da bi s pomočjo dosledne razlage in reševanja morebitnih nesoglasij med organi s strani odbora spodbudila enotno uporabo pravil o varstvu podatkov.

Odbor, ki združuje vse organe za varstvo podatkov, je bil ustanovljen kot organ EU s pravno osebnostjo in deluje v celoti, podpira pa ga sekretariat 18 . Je ključnega pomena za delovanje obeh zgoraj omenjenih mehanizmov. Do konca leta 2019 je odbor sprejel 67 dokumentov, vključno z 10 novimi smernicami 19 in 43 mnenji 20 21 .

Pomembna vloga odbora se je pokazala, kadar je bilo treba hitro zagotoviti dosledno razlago Uredbe in najti rešitve na ravni EU, ki se lahko takoj uporabijo. Na primer, v zvezi z izbruhom COVID‑19 je marca 2020 odbor sprejel izjavo o obdelavi osebnih podatkov, ki med drugim obravnava zakonitost obdelave in uporabo mobilnih podatkov o lokaciji v tem okviru 22 , aprila 2020 pa je sprejel smernice o obdelavi podatkov o zdravstvenem stanju za namene znanstvenih raziskav v okviru izbruha COVID‑19 23 ter smernice o uporabi podatkov o lokaciji in orodij za sledenje stikom v okviru izbruha COVID‑19 24 . Odbor je tudi pomembno prispeval k pristopu EU k aplikacijam za sledenje, ki so ga oblikovale Komisija in države članice.

Vsakodnevno sodelovanje med organi za varstvo podatkov, ne glede na to, ali delujejo v svoji vlogi ali kot člani odbora, temelji na izmenjavi informacij in obvestil o primerih, ki jih začnejo organi obravnavati. Komisija je komunikacijo med organi olajšala in znatno podprla z zagotovitvijo sistema izmenjave informacij 25 . Večina organov meni, da je sistem prilagojen potrebam mehanizmov sodelovanja in skladnosti, vendar bi ga bilo mogoče še natančneje prilagoditi, na primer ga narediti uporabniku prijaznejšega.

Čeprav je še zgodaj, je že mogoče opredeliti številne dosežke in izzive, predstavljene v nadaljevanju. Ti dokazujejo, da so organi za varstvo podatkov doslej učinkovito uporabljali orodja za sodelovanje, pri čemer so dajali prednost prožnejšim rešitvam.

Vse na enem mestu

Kot splošno pravilo lahko v čezmejnih primerih organ države članice za varstvo podatkov sodeluje bodisi (i) kot vodilni organ, kadar je glavni sedež gospodarskega subjekta v tej državi članici, ali (ii) kot zadevni organ, kadar ima gospodarski subjekt sedež na ozemlju te države članice, kadar primer znatno vpliva na posameznike v tej državi ali kadar je bila pri njem vložena pritožba.

Tako tesno sodelovanje je postalo vsakodnevna praksa: od datuma začetka uporabe Uredbe so bili organi za varstvo podatkov iz vseh držav članic v nekem trenutku opredeljeni bodisi kot vodilni organi bodisi kot zadevni organi v čezmejnih primerih, čeprav v različnem obsegu.

Med 25. majem 2018 in 31. decembrom 2019 je bilo v okviru postopka „vse na enem mestu“ predloženih 141 osnutkov odločitev, od tega je bila v 79 primerih sprejeta končna odločitev. Na dan objave tega poročila poteka obravnavanje več pomembnih odločitev s čezmejno razsežnostjo v okviru mehanizma „vse na enem mestu“. Med temi odločitvami nekatere vključujejo velike tehnološke večnacionalne družbe 27 . Pričakuje se, da bodo te odločitve zagotovile pojasnila in prispevale k večji usklajenosti razlage Uredbe.

Medsebojna pomoč

Organi za varstvo podatkov so obsežno uporabljali orodje za medsebojno pomoč.

Velika večina organov meni, da je medsebojna pomoč zelo koristno orodje za sodelovanje, in se pri uporabi postopka medsebojne pomoči ni srečala s posebnimi ovirami. Pogosteje se je uporabila prostovoljna izmenjava v okviru medsebojne pomoči, ki nima zakonsko določenega roka ali stroge dolžnosti odgovora, in sicer v 2 427 postopkih. Irski organ za varstvo podatkov je poslal in prejel največje število zahtev za medsebojno pomoč (527 poslanih in 359 prejetih), sledili so nemški organi (260 poslanih/356 prejetih).

Po drugi strani skupno ukrepanje 30 , ki bi organom za varstvo podatkov iz več držav članic omogočilo, da so vključeni že na ravni preiskav čezmejnih primerov, še ni bilo izvedeno. Odbor še vedno razmišlja o praktičnem izvajanju tega orodja in o tem, kako spodbuditi njegovo uporabo.

Mehanizem za skladnost

Doslej je bil uporabljen le prvi del mehanizma za skladnosti, in sicer sprejetje mnenj odbora 31 . Po drugi strani pa še ni bilo sproženo reševanje sporov na ravni odbora 32 ali nujni postopek 33 .

Izzivi pred nami

Čeprav organi za varstvo podatkov zelo dejavno sodelujejo z odborom in že intenzivno uporabljajo orodje za medsebojno pomoč, oblikovanje resnično skupne kulture varstva podatkov še ni končano.

Zlasti obravnavanje čezmejnih primerov zahteva bolj učinkovit in usklajen pristop ter učinkovito uporabo vseh orodij za sodelovanje, določenih v Uredbi. V zvezi s to točko obstaja zelo široko soglasje, saj so jo na različne načine izpostavili Evropski parlament, Svet, Evropski nadzornik za varstvo podatkov, deležniki (znotraj večdeležniške skupine in zunaj nje) ter organi za varstvo podatkov.

Glavna vprašanja, ki jih je treba obravnavati v tem okviru, vključujejo razlike v:

·nacionalnih upravnih postopkih, ki zadevajo zlasti: postopke obravnavanja pritožb, merila dopustnosti za pritožbe, trajanje postopkov zaradi različnih časovnih okvirov ali odsotnosti rokov, trenutek v postopku, ko je mogoče uveljavljati načelo kontradiktornosti, obveščanje in vključenost pritožnikov med postopkom;

·razlage konceptov v zvezi z mehanizmom sodelovanja, kot so pomembne informacije, pojem „brez odlašanja“, „pritožba“, dokument, ki je opredeljen kot „osnutek odločitve“ vodilnega organa za varstvo podatkov, sporazumen dogovor (zlasti postopek, ki vodi do sporazumnega dogovora, in pravne oblike dogovora), in

·pristop, kdaj začeti postopek sodelovanja, vključiti zadevne organe za varstvo podatkov in jim posredovati informacije. Prav tako ni zagotovljena jasnost za pritožnike o tem, kako se njihove zadeve obravnavajo v čezmejnih situacijah, kot je poudarilo več članov večdeležniške skupine. Poleg tega podjetja omenjajo, da v nekaterih primerih nacionalni organi za varstvo podatkov zadev niso napotili na vodilni organ za varstvo podatkov, temveč so jih obravnavali kot lokalne zadeve.

Komisija pozdravlja sporočilo odbora, da je začel razmišljati o tem, kako te pomisleke odpraviti. Odbor je zlasti navedel, da bo pojasnil postopkovne korake pri sodelovanju med vodilnim organom za varstvo podatkov in zadevnimi organi za varstvo podatkov, analiziral nacionalno upravno procesno pravo, si prizadeval za skupno razlago ključnih pojmov ter okrepil komunikacijo in sodelovanje (vključno s skupnim ukrepanjem). Razmislek in analiza odbora bi morala pripeljati k oblikovanju učinkovitejših delovnih ureditev v čezmejnih primerih 38 , vključno na podlagi strokovnega znanja njegovih članov in s krepitvijo vključenosti sekretariata odbora. Poleg tega je treba opozoriti, da odgovornosti odbora za zagotavljanje dosledne razlage Uredbe ni mogoče izpolniti s preprostim iskanjem najmanjšega skupnega imenovalca.

Nazadnje, odbor mora kot organ EU uporabljati tudi upravno pravo EU in zagotoviti preglednost v postopku odločanja.

2.3Svetovanje in smernice

Ozaveščanje in svetovanje organov za varstvo podatkov

Več organov za varstvo podatkov je ustvarilo nova orodja, kot so telefonske številke za pomoč posameznikom in podjetjem, ter nabori orodij za podjetja 39 . Mnogi gospodarski subjekti pozdravljajo pragmatizem, ki so ga ti organi pokazali pri pomoči pri uporabi Uredbe. Več jih je dejavno in tesno sodelovalo ter komuniciralo s pooblaščenimi osebami za varstvo podatkov, vključno prek združenj uradnih oseb za varstvo podatkov. Številni organi so izdali tudi smernice, ki zajemajo vlogo in obveznosti pooblaščenih oseb za varstvo podatkov, da bi jih podprli pri njihovih vsakodnevnih dejavnostih, ter organizirali seminarje, zasnovane posebej zanje. Vendar to ne velja za vse organe za varstvo podatkov.

Povratne informacije deležnikov kažejo tudi na številna vprašanja v zvezi s smernicami in nasveti:

·pomanjkanje doslednega pristopa in smernic med nacionalnimi organi za varstvo podatkov o določenih vprašanjih (npr. o piškotkih 40 , uporabi zakonitega interesa, obvestilih o kršitvi varnosti osebnih podatkov ali o oceni učinka v zvezi z varstvom podatkov) ali celo med organi za varstvo podatkov v istih državah članicah (npr. v Nemčiji o pojmih upravljavec in obdelovalec),

·neskladnost smernic, sprejetih na nacionalni ravni, s smernicami, ki jih je sprejel odbor,

·odsotnost javnih posvetovanj o določenih smernicah, sprejetih na nacionalni ravni,

·različne ravni sodelovanja z deležniki med organi za varstvo podatkov,

·zamude pri prejemanju odgovorov na zahteve za informacije,

·težave pri pridobivanju praktičnih in koristnih nasvetov organov za varstvo podatkov,

·potreba po povečanju ravni strokovnega znanja pri nekaterih organih za varstvo podatkov (npr. na zdravstvenem in farmacevtskem področju).

Nekatera od teh vprašanj so povezana tudi s pomanjkanjem virov pri več organih za varstvo podatkov (glej spodaj).

Smernice Evropskega odbora za varstvo podatkov

Do danes je odbor sprejel več kot 20 smernic, ki zajemajo ključne vidike Uredbe 43 . Smernice so bistveno orodje za dosledno uporabo Uredbe, zato so jih deležniki v veliki meri pozdravili. Deležniki so cenili sistematično (6- do 8‑tedensko) javno posvetovanje, vendar pa prosijo za več dialoga z odborom. V tem okviru je treba nadaljevati in razširjati prakso organiziranja delavnic o ciljno usmerjenih temah pred pripravo osnutka smernic, da se zagotovijo preglednost, vključenost in ustreznost dela odbora. Deležniki pozivajo tudi k temu, naj se razlaga najbolj spornih vprašanj obravnava v smernicah, saj so te predmet javnega posvetovanja, in ne v mnenjih na podlagi člena 64(2) Uredbe. Nekateri deležniki pozivajo tudi k bolj praktičnim smernicam, ki bi podrobno opisovale uporabo pojmov in določb Uredbe 44 . Člani večdeležniške skupine poudarjajo potrebo po konkretnejših primerih, da bi čim bolj zmanjšali manevrski prostor za različne razlage med organi za varstvo podatkov. Hkrati zahteve po pojasnitvi uporabe Uredbe in zagotavljanju pravne varnosti ne bi smele privesti do dodatnih zahtev ali zmanjšati prednosti pristopa, ki temelji na tveganju, in načela odgovornosti.

Teme, pri katerih bi deležniki želeli dodatne smernice odbora, vključujejo: področje uporabe pravic posameznikov, na katere se nanašajo osebni podatki (vključno na področju zaposlovanja), posodobitev mnenja o obdelavi na podlagi zakonitega interesa, pojme upravljavec, skupni upravljavec in obdelovalec ter potrebne ureditve med stranmi 45 , uporaba Uredbe za nove tehnologije (kot sta blokovna veriga in umetna inteligenca), obdelava v okviru znanstvenih raziskav (vključno v zvezi z mednarodnim sodelovanjem), obdelava podatkov otrok, psevdonimizacija in anonimizacija ter obdelava osebnih podatkov v zvezi z zdravjem.

Odbor je že nakazal, da bo izdal smernice za mnoge od teh tem, delo v zvezi s številnimi temami pa se je že začelo (npr. o uporabi zakonitega interesa kot pravne podlage za obdelavo).

Deležniki pozivajo odbor, naj po potrebi posodobi in spremeni obstoječe smernice ob upoštevanju izkušenj, pridobljenih od njihove objave, in izkoristi priložnost, da po potrebi zagotovi podrobnejša pojasnila.

2.4Viri organov za varstvo podatkov

Zagotavljanje potrebnih človeških, tehničnih in finančnih virov, prostorov in infrastrukture vsakemu organu za varstvo podatkov je osnovni pogoj za učinkovito opravljanje njihovih nalog in izvajanje pooblastil ter s tem bistven pogoj za njihovo neodvisnost 46 .

Večina organov za varstvo podatkov je od začetka veljavnosti Uredbe leta 2016 prejela več osebja in sredstev 47 , vendar mnogi še vedno poročajo, da jim sredstev primanjkuje 48 .

Tabela v Prilogi II nudi pregled človeških in proračunskih virov nacionalnih organov za varstvo podatkov.

Poleg tega, da vpliva na njihovo sposobnost uveljavljanja pravil na nacionalni ravni, pomanjkanje virov omejuje tudi zmožnost organov za varstvo podatkov, da sodelujejo v mehanizmih sodelovanja in skladnosti ter prispevajo k delu, ki se opravlja v odboru. Kot je poudaril odbor, je uspeh mehanizma „vse na enem mestu“ odvisen od časa in truda, ki ga lahko organi za varstvo podatkov namenijo obravnavanju posameznih čezmejnih primerov in sodelovanju v njih. Vprašanje virov stopnjuje povečana vloga organov pri nadzoru obsežnih sistemov informacijske tehnologije, ki se trenutno razvijajo. Poleg tega imajo organi za varstvo podatkov na Irskem in v Luksemburgu posebne potrebe po virih, saj imajo vlogo vodilnih organov pri izvrševanju Uredbe v razmerju do velikih tehnoloških družb, ki imajo večinoma sedež v teh državah članicah.

Medtem ko Svet opozarja na vpliv mehanizma sodelovanja in njegovih rokov na delo organov za varstvo podatkov 50 , Uredba obvezuje države članice, da svojim nacionalnim organom za varstvo podatkov zagotovijo ustrezne človeške, finančne in tehnične vire 51 .

Sekretariat odbora, ki ga zagotavlja Evropski nadzornik za varstvo podatkov 52 , trenutno sestavlja 20 zaposlenih, vključno s pravnimi strokovnjaki ter strokovnjaki za informacijsko tehnologijo in komunikacije. Oceniti je treba, ali se mora to število v prihodnosti razvijati glede na učinkovito izvajanje njegove funkcije analitične, upravne in logistične podpore odboru in njegovim podskupinam, vključno prek upravljanja sistema izmenjave informacij.

3Kljub harmoniziranim pravilom ostajajo določena razdrobljenost in različni pristopi 

Uredba zagotavlja dosleden pristop k pravilom o varstvu podatkov po vsej EU, pri čemer nadomešča različne nacionalne ureditve, ki so obstajale na podlagi direktive o varstvu podatkov iz leta 1995.

3.1Izvajanje Uredbe v državah članicah

Uredba se v vseh državah članicah neposredno uporablja od 25. maja 2018. Države članice je zavezala k sprejetju zakonodaje, zlasti za ustanovitev nacionalnih organov za varstvo podatkov ter določitev splošnih pogojev za njihove člane, da bi se zagotovilo, da vsak organ deluje popolnoma neodvisno pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu z Uredbo. Pravne obveznosti in javne naloge so lahko pravna podlaga za obdelavo osebnih podatkov le, če so določene v (pravu Unije ali) nacionalnem pravu. Poleg tega morajo države članice določiti pravila o kaznih, zlasti za kršitve, za katere ne veljajo upravne globe, ter pravico do varstva osebnih podatkov uskladiti s pravico do svobode izražanja in obveščanja. Nacionalna zakonodaja lahko določa tudi pravno podlago za izvzetje iz splošne prepovedi obdelave posebnih vrst osebnih podatkov, na primer iz razlogov bistvenega javnega interesa na področju javnega zdravja, vključno z zaščito pred resnimi čezmejnimi nevarnostmi za zdravje. Poleg tega morajo države članice zagotoviti akreditacijo teles za certificiranje.

Komisija spremlja izvajanje Uredbe v nacionalni zakonodaji. V času priprave tega poročila so vse države članice razen Slovenije sprejele novo zakonodajo o varstvu podatkov ali prilagodile svoje pravo na tem področju. Komisija je zato od Slovenije zahtevala pojasnila o dotedanjem napredku in jo pozvala, naj ta postopek dokonča 53 .

Poleg tega se skladnost nacionalne zakonodaje s pravili o varstvu podatkov v zvezi s schengenskim pravnim redom ocenjuje tudi v okviru schengenskega ocenjevalnega mehanizma, ki ga usklajuje Komisija. Komisija in države članice skupaj ocenjujejo, kako države izvajajo in uporabljajo schengenski pravni red na številnih področjih. Na področju varstva podatkov to ocenjevanje zadeva obsežne informacijske sisteme, kot sta schengenski informacijski sistem in vizumski informacijski sistem, ter vključuje vlogo organov za varstvo podatkov pri nadzoru obdelave osebnih podatkov v teh sistemih.

Na nacionalni ravni še potekajo prizadevanja v zvezi s prilagajanjem sektorskih zakonodaj. Po vključitvi Uredbe v Sporazum o evropskem gospodarskem prostoru je bila njena uporaba razširjena na Norveško, Islandijo in Lihtenštajn. Te države so sprejele tudi lastne nacionalne zakonodaje o varstvu podatkov.

Komisija bo uporabljala vsa orodja, ki jih ima na voljo, vključno s postopki za ugotavljanje kršitev, da zagotovi skladnost držav članic z Uredbo.

Glavna vprašanja v zvezi z nacionalnim izvajanjem

Glavna vprašanja, ki so bila doslej opredeljena v okviru tekoče ocene nacionalnih zakonodaj in dvostranskih izmenjav z državami članicami, vključujejo:

·omejitve uporabe Uredbe: nekatere države članice na primer popolnoma izključujejo dejavnosti nacionalnega parlamenta,

·razlike v uporabi nacionalnih zakonodaj z natančnejšimi ureditvami. Nekatere države članice uporabo svojega nacionalnega prava povezujejo s krajem, kjer se blago ali storitve ponujajo, druge pa s krajem sedeža upravljavca ali obdelovalca. To je v nasprotju s ciljem uskladitve iz Uredbe,

·nacionalne zakonodaje, ki zastavljajo vprašanja o sorazmernosti poseganja v pravico do varstva podatkov. Komisija je na primer sprožila postopek za ugotavljanje kršitev zoper državo članico, ki je sprejela zakonodajo, ki od sodnikov zahteva, naj razkrijejo določene informacije o svojih nepoklicnih dejavnostih, kar je nezdružljivo s pravico do spoštovanja zasebnega življenja in pravico do varstva osebnih podatkov 54 ,

·odsotnost neodvisnega organa za nadzor obdelave podatkov s strani sodišč, kadar delujejo kot sodni organ 55 ,

·zakonodaja na področjih, ki jih Uredba v celoti ureja, presega mejo natančnejše ureditve ali omejitve. To zlasti velja, kadar nacionalne določbe predpisujejo pogoje za obdelavo na podlagi zakonitega interesa, tako da določijo uravnoteženje interesov upravljavca in zadevnih posameznikov, medtem ko Uredba vsakega upravljavca obvezuje k takemu uravnoteženju v posameznem primeru in k uporabi te pravne podlage,

·natančnejše ureditve in dodatne zahteve za izpolnjevanje zakonske obveznosti ali izvajanje javne naloge (npr. za video nadzor v zasebnem sektorju ali za neposredno trženje), ki presegajo obdelavo, ter za pojme, uporabljene v Uredbi (npr. „obsežen“ ali „izbris“).

Nekatera vprašanja bo morda pojasnilo Sodišče v zadevah, ki še potekajo 56 .

Uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja

Posebno vprašanje se nanaša na izvajanje obveznosti držav članic, da po zakonu pravico do varstva osebnih podatkov uskladijo s svobodo izražanja in obveščanja 57 . To vprašanje je zelo zapleteno, saj mora vrednotenje uravnoteženja teh temeljnih pravic upoštevati tudi določbe in zaščitne ukrepe v zakonodajah o tisku in medijih.

Komisija bo nadaljevala ocenjevanje nacionalne zakonodaje na podlagi zahtev iz Listine. Omejevanje uresničevanja pravic in svoboščin mora biti predpisano z zakoni, upoštevati mora bistveno vsebino navedenih temeljnih pravic ter biti sorazmerno in potrebno (člen 52(1) Listine). Pravila o varstvu podatkov ne bi smela vplivati na uveljavljanje svobode izražanja in obveščanja, zlasti z ustvarjanjem zastraševalnega učinka ali tako, da se razlagajo kot način za izvajanje pritiska na novinarje, da razkrijejo svoje vire.

3.2Določila o neobvezni natančnejši ureditvi in njihove omejitve

Uredba daje državam članicam možnost, da natančneje določijo njeno uporabo na omejenem številu področij. Ta manevrski prostor za nacionalno zakonodajo je treba razlikovati od obveznosti izvajanja nekaterih drugih določb Uredb, kot je navedeno zgoraj. Določila za neobvezne natančnejše ureditve so navedene v Prilogi I.

Za manevrski prostor za zakonodaje držav članic veljajo pogoji in omejitve, ki jih določa Uredba, in ne omogoča vzporedne nacionalne ureditve varstva podatkov 58 . Države članice so dolžne spremeniti ali razveljaviti nacionalne zakonodaje o varstvu podatkov, vključno s sektorsko zakonodajo z vidiki varstva podatkov.

Poleg tega povezana zakonodaja držav članic ne sme vključevati določb, ki bi lahko povzročile negotovost glede neposredne uporabe Uredbe. Zato kadar Uredba določa natančnejšo ureditev ali omejitve svojih pravil z zakonodajo države članice, lahko države članice v svojo nacionalno zakonodajo vključijo elemente Uredbe v obsegu, potrebnem za zagotovitev skladnosti in pojasnitev nacionalnih določb za osebe, ki jih uporabljajo 59 .

Deležniki menijo, da bi morale države članice zmanjšati uporabo določil o natančnejši ureditvi ali se jim izogniti, saj ne prispevajo k uskladitvi. Nacionalne razlike pri izvajanju in razlagi zakonodaje s strani organov za varstvo podatkov močno povečujejo stroške pravne skladnosti po vsej EU.

Razdrobljenost, povezana z uporabo določil o neobvezni natančnejši ureditvi

·Starostna meja za privolitev otrok v zvezi s storitvami informacijske družbe

Številne države članice so izkoristile možnost, da za privolitev v zvezi s storitvami informacijske družbe določijo starost, nižjo od 16 let (člen 8(1) Uredbe). Medtem ko devet držav članic uporablja starostno mejo 16 let, se je osem držav članic odločilo za 13 let, šest za 14 let in tri za 15 let 60 .

Zato mora podjetje, ki ponuja storitve informacijske družbe za mladoletnike po vsej EU, razlikovati med starostjo potencialnih uporabnikov glede na to, v kateri državi članici prebivajo. To je v nasprotju s ključnim ciljem Uredbe, da se zagotovi enaka raven varstva posameznikov in poslovnih priložnosti v vseh državah članicah.

Take razlike privedejo do situacij, v katerih država članica, v kateri ima upravljavec sedež, določi drugo starostno mejo kot države članice, v katerih prebivajo posamezniki, na katere se nanašajo osebni podatki.

·Zdravje in raziskave

Pri izvajanju odstopanj od splošne prepovedi obdelave posebnih vrst osebnih podatkov 61 zakonodaja držav članic sledi različnim pristopom glede ravni natančnejše ureditve in zaščitnih ukrepov, vključno za zdravstvene in raziskovalne namene. Večina držav članic je uvedla ali ohranila nadaljnje pogoje za obdelavo genskih in biometričnih podatkov ali podatkov v zvezi z zdravjem. To velja tudi za odstopanja, povezana s pravicami posameznikov, na katere se nanašajo osebni podatki, za raziskovalne namene 62 , bodisi glede obsega odstopanj bodisi s tem povezanimi zaščitnimi ukrepi. 

Prihodnje smernice odbora glede uporabe osebnih podatkov v znanstvenih raziskavah bodo prispevale k usklajenemu pristopu na tem področju. Komisija bo odboru zagotovila informacije zlasti v zvezi z zdravstvenimi raziskavami, med drugim v obliki konkretnih vprašanj in analize konkretnih scenarijev, ki jih je prejela od raziskovalne skupnosti. Koristno bi bilo, če bi se te smernice lahko sprejele pred začetkom okvirnega programa Obzorje Evropa, da bi se uskladile prakse varstva podatkov in omogočila izmenjava podatkov za napredek pri raziskavah. Koristne bi lahko bile tudi smernice odbora o obdelavi osebnih podatkov na področju zdravja.

Uredba zagotavlja trden okvir za nacionalno zakonodajo na področju javnega zdravja in izrecno vključuje čezmejne nevarnosti za zdravje ter spremljanje epidemij in njihovega širjenja 63 , kar je bilo pomembno v okviru boja proti pandemiji COVID‑19.

Na ravni EU je Komisija 8. aprila 2020 sprejela priporočilo o naboru orodij za uporabo tehnologije in podatkov v tem kontekstu, vključno z mobilnimi aplikacijami in uporabo anonimiziranih podatkov o mobilnosti 64 , ter 16. aprila 2020 usmeritve v zvezi z varstvom podatkov za aplikacije, ki podpirajo boj proti pandemiji 65 . Odbor je 19. marca 2020 66 objavil izjavo o obdelavi podatkov v tem okviru, ki so ji 21. aprila 2020 sledile smernice o obdelavi podatkov za raziskovalne namene in o uporabi podatkov o lokaciji in orodij za sledenje stikom v tem okviru 67 . Ta priporočila in smernice pojasnjujejo, kako se načela in pravila o varstvu osebnih podatkov uporabljajo v kontekstu boja proti pandemiji.

·Obsežne omejitve pravic posameznikov, na katere se nanašajo osebni podatki

Večina nacionalnih zakonodaj na področju varstva podatkov, ki omejujejo pravice posameznikov, na katere se nanašajo osebni podatki, ne določa ciljev splošnega javnega interesa, ki jih te omejitve varujejo, in/ali ne izpolnjujejo pogojev in zaščitnih ukrepov, ki jih zahteva člen 23(2) Uredbe, v zadostni meri 68 . Več držav članic ne dopušča nobenega preizkusa sorazmernosti ali je razširilo omejitve, tako da presegajo področje uporabe člena 23(1) Uredbe. Na primer, nekatere nacionalne zakonodaje zanikajo pravico do dostopa zaradi nesorazmernega napora upravljavca za osebne podatke, ki se shranjujejo na podlagi obveznosti hrambe ali so povezani z izvajanjem javnih nalog, ne da bi te omejitve omejile na cilje splošnega javnega interesa.

·Dodatne zahteve za podjetja

Čeprav zahteva po obvezni pooblaščeni osebi za varstvo podatkov temelji na pristopu na podlagi tveganja 69 , jo je ena država članica 70 razširila na kvantitativna merila, ki obvezujejo družbe, v katerih je 20 ali več zaposlenih stalno vključenih v avtomatizirano obdelavo osebnih podatkov, da določi uradno osebo za varstvo podatkov, ne glede na tveganja, povezana z dejavnostmi obdelave 71 . To je povzročilo dodatno breme.

4Omogočanje posameznikom, da bodo imeli nadzor nad lastnimi podatki

Uredba uveljavlja temeljne pravice, zlasti pravico do varstva osebnih podatkov, pa tudi druge temeljne pravice, ki jih priznava Listina, vključno s spoštovanjem zasebnega in družinskega življenja, svobodo izražanja in obveščanja, nediskriminacijo, svobodo misli in vesti ter versko svobodo, svobodo gospodarske pobude in pravico do učinkovitega pravnega sredstva. Te pravice morajo biti medsebojno uravnotežene v skladu z načelom sorazmernosti 72 .

Uredba posameznikom zagotavlja izvršljive pravice, kot so pravica do dostopa, popravka, izbrisa, ugovora, prenosljivosti in večje preglednosti. Prav tako posameznikom daje pravico do vložitve pritožbe pri organu za varstvo podatkov, vključno prek zastopniških tožb, in pravico do pravnega sredstva.

Posamezniki se vse bolj zavedajo svojih pravic, kar kažejo rezultati raziskave Eurobarometer iz julija 2019 73 in raziskava, ki jo je izvedla Agencija za temeljne pravice 74 .

Posamezniki vse pogosteje uporabljajo svojo pravico do vložitve pritožb pri organih za varstvo podatkov, bodisi posamično bodisi z zastopniškimi tožbami 75 . Le nekaj držav članic je dovolilo nevladnim organizacijam, da brez pooblastila začnejo postopek v skladu z možnostjo, ki jo zagotavlja Uredba. Predlagana direktiva o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov 76 naj bi, ko bo sprejeta, okrepila okvir za zastopniške tožbe tudi na področju varstva podatkov.

Povratne informacije večdeležniške skupine kažejo, da so organizacije uvedle različne ukrepe za olajšanje uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, vključno z uvedbo postopkov, ki zagotavljajo posamičen pregled zahtev in odgovor upravljavca, uporabo več kanalov (pošta, namenski elektronski naslov, spletno mesto itd.), posodobljenimi notranjimi postopki, politikami hitre notranje obravnave zahtev in usposabljanjem osebja. Nekatere družbe so vzpostavile digitalne portale, dostopne prek spletnega mesta družbe (ali intraneta družbe za zaposlene), da bi olajšale uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki.

Vendar je potreben nadaljnji napredek pri naslednjih točkah:

·Vsi upravljavci podatkov ne izpolnjujejo svoje obveznosti, da morajo olajšajo uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki 79 . Zagotoviti morajo, da imajo posamezniki, na katere se nanašajo osebni podatki, učinkovito kontaktno točko, na katero se lahko obrnejo s svojimi težavami. To je lahko pooblaščena oseba za varstvo podatkov, katere kontaktne podatke je treba proaktivno posredovati posamezniku, na katerega se nanašajo osebni podatki 80 . Možnosti stikov ne smejo biti omejene na elektronsko pošto, temveč morajo upravljavci osebam, na katere se nanašajo osebni podatki, omogočiti, da se nanje obrnejo tudi na druge načine.

·Posamezniki se še vedno srečujejo s težavami, ko zahtevajo dostop do svojih podatkov, na primer od platform, posrednikov podatkov in družb za oglaševalsko tehnologijo.

·Pravica do prenosljivosti podatkov se ne izkorišča v celoti. Evropska strategija za podatke (v nadaljnjem besedilu: podatkovna strategija) 81 , ki jo je Komisija sprejela 19. februarja 2020, je poudarila potrebo po spodbujanju vseh možnih načinov uporabe te pravice (npr. z določitvijo obvezne uporabe tehničnih vmesnikov in strojno berljivih oblik, ki omogočajo prenosljivost podatkov v (skoraj) realnem času). Gospodarski subjekti ugotavljajo, da se včasih pojavijo težave pri zagotavljanju podatkov v strukturirani strojno berljivi obliki, ki se pogosto uporablja (zaradi pomanjkanja standarda). Samo organizacije v posebnih sektorjih, kot so bančništvo, telekomunikacije, odčitavanje števcev za vodo in toplotnih števcev, poročajo, da so uvedle potrebne vmesnike 82 . Razvita so bila nova tehnološka orodja, da bi se posameznikom olajšalo uresničevanje pravic na podlagi Uredbe, ki niso omejene le na prenosljivost podatkov (npr. osebni podatkovni prostori in storitve upravljanja osebnih informacij).

·Pravice otrok: več članov večdeležniške skupine poudarja potrebo po zagotavljanju informacij otrokom in dejstvo, da mnoge organizacije zanemarjajo, da bi se podatki, ki jih obdelujejo, lahko nanašali na otroke. Svet je poudaril, da bi bilo treba pri pripravi kodeksov ravnanja posebno pozornost nameniti zaščiti otrok. Zaščita otrok je tudi v središču pozornosti organov za varstvo podatkov 83 .

·Pravica do obveščenosti: nekatere družbe imajo zelo legalističen pristop in obvestila o varstvu podatkov obravnavajo kot pravna obvestila, saj so informacije precej zapletene, težko razumljive ali nepopolne, medtem ko Uredba zahteva, da so vse informacije jedrnate in izražene v jasnem in preprostem jeziku 84 . Zdi se, da nekatera podjetja ne upoštevajo priporočil odbora, na primer glede naštevanja imen subjektov, s katerimi delijo podatke.

·Več držav članic je z nacionalno zakonodajo močno omejilo pravice posameznikov, na katere se nanašajo osebni podatki, nekatere tudi čez meje manevrskega prostora iz člena 23 Uredbe.

·Uresničevanje pravic posameznikov včasih ovirajo prakse nekaj največjih digitalnih podjetij, ki posameznikom otežujejo izbiro nastavitev, ki najbolj ščitijo njihovo zasebnost (s kršitvijo zahteve glede vgrajenega in privzetega varstva podatkov 85 ) 86 .

Deležniki željno pričakujejo smernice odbora o pravicah posameznikov, na katere se nanašajo osebni podatki.

5Priložnosti in izzivi za organizacije, zlasti za mala in srednja podjetja

Priložnosti za organizacije

Uredba spodbuja konkurenco in inovacije. Skupaj z uredbo o prostem pretoku neosebnih podatkov 87 zagotavlja prosti pretok podatkov znotraj EU in ustvarja enake konkurenčne pogoje v primerjavi s podjetji s sedežem zunaj EU. Uredba z ustvarjanjem usklajenega okvira za varstvo osebnih podatkov zagotavlja, da vse akterje na notranjem trgu zavezujejo enaka pravila ter da imajo enake možnosti, ne glede na to, kje imajo sedež in kje poteka obdelava. Tehnološka nevtralnost iz Uredbe zagotavlja okvir za varstvo podatkov za nov tehnološki razvoj. Načeli vgrajenega in privzetega varstva podatkov spodbujata inovativne rešitve, ki vključujejo premislek glede varstva podatkov že na samem začetku in lahko zmanjšajo stroške skladnosti s pravili o varstvu podatkov.

Poleg tega zasebnost postane pomemben konkurenčni parameter, ki ga posamezniki vedno bolj upoštevajo pri izbiri storitev. Tisti, ki so bolje obveščeni in ozaveščeni glede vidikov varstva podatkov, iščejo izdelke in storitve, ki zagotavljajo učinkovito varstvo osebnih podatkov. Uresničevanje pravice do prenosljivosti podatkov lahko zmanjša vstopne ovire za podjetja, ki ponujajo inovativne storitve, prijazne do varstva podatkov. Treba je spremljati učinke potencialno širše uporabe te pravice na trgu v različnih sektorjih. Upoštevanje pravil o varstvu podatkov in njihova pregledna uporaba bosta ustvarila zaupanje glede uporabe osebnih podatkov ljudi in s tem nove priložnosti za podjetja.

Kot vsi predpisi tudi pravila o varstvu podatkov pomenijo stroške izpolnjevanja obveznosti za podjetja. Vendar pa te stroške odtehtajo priložnosti in prednosti okrepljenega zaupanja v digitalne inovacije ter družbene koristi, ki izhajajo iz spoštovanja te temeljne pravice. Z zagotavljanjem enakih konkurenčnih pogojev in opremljanjem organov za varstvo podatkov s tem, kar potrebujejo za učinkovito uveljavljanje pravil, Uredba preprečuje podjetjem, ki ne izpolnjujejo obveznosti, da bi se nezasluženo okoriščala z zaupanjem, ki so ga zgradila tista podjetja, ki upoštevajo pravila.

Posebni izzivi za mala in srednja podjetja (MSP)

Deležniki, pa tudi Evropski parlament, Svet in organi za varstvo podatkov, na splošno menijo, da je uporaba Uredbe poseben izziv za mikro, mala in srednja podjetja ter za male prostovoljne in dobrodelne organizacije.

V skladu s pristopom na podlagi tveganja ne bi bilo primerno, da bi se določila odstopanja glede na velikost gospodarskih subjektov, saj njihova velikost sama po sebi ne odraža tveganj, ki bi jih za posameznike pomenila obdelava osebnih podatkov, ki jo ti subjekti izvajajo. Pristop, ki temelji na tveganju, združuje prožnost in učinkovito varstvo. Upošteva potrebe MSP, katerih osnovna dejavnost ni obdelava podatkov, ter prilagaja njihove obveznosti, zlasti na podlagi verjetnosti in resnosti tveganj, povezanih s posebno obdelavo podatkov, ki jo izvajajo 88 .

Obdelave majhnega obsega in z nizkim tveganjem ne bi smeli obravnavati enako kot pogosto obdelavo z visokim tveganjem, ne glede na velikost podjetja, ki podatke obdeluje. Zato je, kot je ugotovil odbor, „v vsakem primeru treba ohraniti pristop, ki temelji na tveganju in ga zakonodajalec spodbuja v besedilu, saj tveganja za posameznike, na katere se nanašajo osebni podatki, niso odvisna od velikosti upravljavcev“ 89 . Organi za varstvo podatkov bi morali pri uveljavljanju Uredbe v celoti upoštevati to načelo, po možnosti v okviru skupnega evropskega pristopa, da ne bi ustvarili ovir na enotnem trgu.

Organi za varstvo podatkov so razvili več orodij in poudarili, da jih nameravajo še izboljšati. Nekateri organi so uvedli kampanje ozaveščanja in bodo celo organizirali brezplačne tečaje o Uredbi za MSP.

Več ukrepov, ki posebej podpirajo MSP, je prejelo financiranje EU. Komisija je zagotovila finančno podporo prek treh krogov nepovratnih sredstev v skupni vrednosti 5 milijonov EUR, pri čemer sta bila zadnja dva kroga namenjena prav podpori za nacionalne organe za varstvo podatkov pri njihovih prizadevanjih, da pomagajo posameznikom in MSP. Posledično je bilo v letu 2018 2 milijona EUR dodeljenih devetim organom za varstvo podatkov za dejavnosti v letih 2018 in 2019 (organom iz Belgije, Bolgarije, Danske, Madžarske, Litve, Latvije, Nizozemske, Slovenije in Islandije) 91 , v letu 2019 pa je bilo milijon EUR dodeljenih štirim organom za varstvo podatkov za dejavnosti v letu 2020 (organom iz Belgije, Malte, Slovenije in Hrvaške v partnerstvu z Irsko) 92 . Dodatnih milijon EUR bo dodeljenih leta 2020.

Kljub tem pobudam MSP in zagonska podjetja pogosto poročajo, da imajo težave z izvajanjem načela odgovornosti, določenega v Uredbi 93 . Zlasti poročajo, da od nacionalnih organov za varstvo podatkov ne prejmejo vedno dovolj usmeritev in praktičnih nasvetov ali da je pridobivanje teh usmeritev in nasvetov preveč dolgotrajno. Zabeleženi so bili tudi primeri, v katerih se organi niso želeli ukvarjati s pravnimi vprašanji. V takih primerih se MSP glede izvajanja načela odgovornosti in pristopa, ki temelji na tveganju (vključno z zahtevami glede preglednosti, evidencami obdelave in obvestili o kršitvi varnosti osebnih podatkov), pogosto posvetujejo z zunanjimi svetovalci in pravniki. To jim lahko povzroči tudi dodatne stroške.

Posebno vprašanje je vodenje evidenc dejavnosti obdelave, ki jih MSP in majhna združenja obravnavajo kot zapleteno upravno breme. Izvzetje iz te obveznosti iz člena 30(5) Uredbe je dejansko zelo ozko. Vendar se s tem povezanega napora za izpolnjevanje navedene obveznosti ne bi smelo precenjevati. Kadar osnovna dejavnost MSP ne vključuje obdelave osebnih podatkov, so take evidence lahko preproste in niso obremenjujoče. Enako velja za prostovoljna in druga združenja. Predloge evidenc bi lahko olajšale vodenje takih poenostavljenih evidenc, kar je že praksa nekaterih organov za varstvo podatkov. V vsakem primeru bi moral vsakdo, ki obdeluje osebne podatke, imeti pregled nad svojo obdelavo podatkov, kar je osnovna zahteva načela odgovornosti.

Razvoj praktičnih orodij na ravni EU s strani odbora, kot so usklajeni obrazci za obvestila o kršitvah varnosti osebnih podatkov in poenostavljene evidence dejavnosti obdelave, lahko pomagajo MSP in majhnim združenjem 94 , katerih osnovne dejavnosti niso usmerjene v obdelavo osebnih podatkov, pri izpolnjevanju njihovih obveznosti.

Različna industrijska združenja so si prizadevala za večjo ozaveščanje in obveščanje svojih članov, na primer z izvajanjem konferenc in seminarjev, ki podjetjem zagotavljajo informacije o razpoložljivih usmeritvah, ali razvojem storitev za pomoč članom v zvezi z zasebnostjo. Poročajo tudi o večjem številu seminarjev, srečanj in dogodkov, ki jih organizirajo t. i. možganski trusti in združenja MSP o zadevah, povezanih z Uredbo.

Da bi Komisija izboljšala prosti pretok vseh podatkov v EU ter vzpostavila dosledno uporabo Uredbe in uredbe o prostem pretoku neosebnih podatkov, je izdala tudi praktične smernice o pravilih za obdelavo mešanih podatkovnih nizov, sestavljenih iz osebnih in neosebnih podatkov, ki so namenjene zlasti MSP 95 .

Nabor orodij za podjetja

Uredba zagotavlja orodja, ki pomagajo pri dokazovanju skladnosti, kot so kodeksi ravnanja, mehanizmi certificiranja in standardna pogodbena določila.

·Kodeksi ravnanja

Odbor je izdal smernice 96 , da bi podprl „tvorce kodeksov“ in jim olajšal pripravo osnutkov, spreminjanje ali razširjanje kodeksov ter da bi zagotovil praktične usmeritve in pomoč pri razlagi. Te smernice pojasnjujejo tudi postopke za predložitev, odobritev in objavo kodeksov na nacionalni ravni in ravni EU z določitvijo minimalnih meril.

Deležniki menijo, da so kodeksi ravnanja zelo uporabno orodje. Čeprav se na nacionalni ravni izvaja veliko kodeksov, se trenutno pripravlja več vseevropskih kodeksov ravnanja (npr. za mobilne zdravstvene aplikacije, zdravstvene raziskave na področju genomike, računalništvo v oblaku, neposredno trženje, zavarovanje ter obdelavo v okviru preventivnih in svetovalnih storitev za otroke) 97 . Gospodarski subjekti menijo, da bi bilo treba vseevropske kodekse ravnanja bolj spodbujati, saj podpirajo dosledno uporabo Uredbe v vseh državah članicah.

Vendar pa kodeksi ravnanja od gospodarskih subjektov zahtevajo tudi čas in naložbe, tako za njihov razvoj kot za vzpostavitev potrebnih neodvisnih nadzornih organov. Predstavniki MSP poudarjajo pomen in koristnost kodeksov ravnanja, ki so prilagojeni njihovim razmeram in ne povzročajo nesorazmernih stroškov.

Posledično so poslovna združenja v številnih sektorjih uvedla druge vrste samoregulativnih orodij, kot so kodeksi dobre prakse ali smernice. Čeprav lahko taka orodja nudijo koristne informacije, jih organi za varstvo podatkov niso odobrili in se ne morejo uporabljati kot orodje za dokazovanje skladnosti z Uredbo.

Svet poudarja, da morajo kodeksi ravnanja namenjati posebno pozornost obdelavi podatkov otrok in zdravstvenih podatkov. Komisija podpira kodekse ravnanja, ki bi uskladili pristop na področju zdravja in raziskav ter olajšali čezmejno obdelavo osebnih podatkov 98 . V odboru trenutno poteka postopek odobritve osnutkov zahtev za akreditacijo teles, ki spremljajo kodekse ravnanja, ki so jih predložili različni organi za varstvo podatkov 99 . Ko bodo nadnacionalni kodeksi ravnanja ali kodeksi ravnanja EU pripravljeni za predložitev organom za varstvo podatkov v odobritev, se bo odbor o njih posvetoval. Hitra vzpostavitev nadnacionalnih kodeksov ravnanja je še zlasti pomembna za področja, ki vključujejo obdelavo velikih količin podatkov (npr. računalništvo v oblaku) ali občutljivih podatkov (npr. zdravje/raziskave).

·Certificiranje

Certificiranje je lahko uporaben instrument za dokazovanje skladnosti s posebnimi zahtevami iz Uredbe ter lahko poveča pravno varnost za podjetja in Uredbo promovira na svetovni ravni.

Kot je bilo poudarjeno v študiji o certificiranju, objavljeni aprila 2019 100 , bi moral biti cilj olajšati uporabo ustreznih shem. Razvoj shem certificiranja v EU bo podprt s smernicami odbora o merilih za certificiranje 101 in o akreditaciji teles za certificiranje 102 .

Varnost in vgrajeno varstvo podatkov sta ključna elementa, ki ju je treba upoštevati v shemah certificiranja v okviru Uredbe, in koristno bi bilo zanju pripraviti skupen in ambiciozen pristop za vso EU. Komisija bo še naprej podpirala trenutne stike med Agencijo Evropske unije za kibernetsko varnost (ENISA), organi za varstvo podatkov in odborom.

Kar zadeva kibernetsko varnost, je Komisija po sprejetju akta o kibernetski varnosti zahtevala, da agencija ENISA pripravi dve certifikacijski shemi, vključno s shemo za storitve v oblaku 103 . Preučujejo se nadaljnje sheme, povezane s kibernetsko varnostjo storitev in izdelkov za potrošnike. Medtem ko te sheme certificiranja, uvedene z aktom o kibernetski varnosti, izrecno ne obravnavajo varstva podatkov in zasebnosti, prispevajo k povečanju zaupanja potrošnikov v digitalne storitve in izdelke. Take sheme so lahko dokaz o upoštevanju načela vgrajene varnosti ter tudi izvajanju ustreznih tehničnih in organizacijskih ukrepov, povezanih z varnostjo obdelave osebnih podatkov.

·Standardna pogodbena določila

Komisija pripravlja standardna pogodbena določila med upravljavci in obdelovalci 104 , tudi glede na posodobitve standardnih pogodbenih določil za mednarodne prenose (glej oddelek 7.2). Akt Unije, ki ga bo sprejela Komisija, bo imel zavezujoč učinek na ravni EU, kar bo zagotovilo popolno uskladitev in pravno varnost.

6Uporaba Uredbe pri novih tehnologijah

Tehnološko nevtralen okvir, odprt za nove tehnologije

Uredba je tehnološko nevtralna, spodbuja zaupanje in temelji na načelih 105 . Ta načela, vključno z zakonito in pregledno obdelavo, omejitvijo namena in najmanjšim obsegom podatkov, zagotavljajo trdno podlago za varstvo osebnih podatkov, ne glede na dejanja obdelave in uporabljene tehnike.

Člani večdeležniške skupine poročajo, da Uredba na splošno pozitivno vpliva na razvoj novih tehnologij in zagotavlja dobro podlago za inovacije. Uredba se šteje za bistveno in prilagodljivo orodje za zagotavljanje razvoja novih tehnologij v skladu s temeljnimi pravicami. Izvajanje njenih temeljnih načel je še zlasti ključnega pomena za podatkovno intenzivno obdelavo. Tehnološko nevtralen in na tveganju temelječ pristop Uredbe zagotavlja raven varstva podatkov, ki je ustrezna za obravnavo tveganja obdelave, vključno z novimi tehnologijami.

Deležniki zlasti omenjajo, da načela Uredbe o omejitvi namena in nadaljnji združljivi obdelavi, najmanjšem obsegu podatkov, omejitvi hrambe, preglednosti, odgovornosti in pogojih, pod katerimi se lahko postopki avtomatiziranega sprejemanja odločitev 106 zakonito uporabijo, v veliki meri odpravljajo pomisleke v zvezi z uporabo umetne inteligence.

Pristop Uredbe, ki temelji na tveganju in je primeren za prihodnost, bo uporabljen tudi v morebitnem prihodnjem okviru za umetno inteligenco in pri izvajanju podatkovne strategije. Podatkovna strategija je usmerjena v spodbujanje razpoložljivosti podatkov in ustvarjanje skupnih evropskih podatkovnih prostorov, ki jih podpirajo združene storitve v oblaku. Kar zadeva osebne podatke, Uredba zagotavlja glavni pravni okvir, znotraj katerega se lahko oblikujejo učinkovite rešitve za vsak primer posebej, odvisno od narave in vsebine vsakega podatkovnega prostora.

Uredba je povečala ozaveščenost o varstvu osebnih podatkov v EU in zunaj nje ter spodbudila podjetja, da pri inovacijah prilagajajo svoje prakse in pri tem upoštevajo načela varstva podatkov. Kljub temu organizacije civilne družbe ugotavljajo, da čeprav se učinek Uredbe na razvoj novih tehnologij zdi pozitiven, prakse velikih digitalnih podjetij kažejo, da ta še vedno niso korenito spremenila obdelave, da bi bila zasebnosti prijaznejša. Močno in učinkovito uveljavljanje Uredbe v razmerju do velikih digitalnih platform in integriranih podjetij, tudi na področjih, kot sta spletno oglaševanje in mikrociljanje, je bistven element za zaščito posameznikov.

Komisija analizira širša vprašanja v zvezi s tržnim vedenjem velikih digitalnih podjetij v okviru svežnja akta o digitalnih storitvah 107 . Kar zadeva raziskave na področju družbenih medijev, Komisija opozarja, da se Uredba ne more uporabiti kot izgovor za platforme družbenih medijev, da omejijo dostop raziskovalcev in preverjevalcev dejstev do neosebnih podatkov, kot so statistike o tem, kateri ciljni oglasi so bili poslani katerim kategorijam oseb, merila za oblikovanje te ciljne usmerjenosti, informacije o lažnih računih itd.

Tehnološko nevtralen in za prihodnost primeren pristop Uredbe je bil preizkušen med pandemijo COVID‑19 in se je izkazal za uspešnega. Pravila, ki temeljijo na njenih načelih, so podpirala razvoj orodij za boj proti virusu in spremljanje njegovega širjenja.

Izzivi pred nami

Razvoj in uporaba novih tehnologij teh načel ne postavljata pod vprašaj. Izziv pa bo pojasniti, kako uporabljati preizkušena načela za posebne tehnologije, kot so umetna inteligenca, blokovna veriga, internet stvari, prepoznavanje obraza ali kvantno računalništvo.

V tem okviru sta Evropski parlament in Svet poudarila potrebo po stalnem spremljanju, da bi se pojasnilo, kako se Uredba uporablja za nove tehnologije in velike tehnološke družbe. Poleg tega deležniki opozarjajo, da tudi vrednotenje tega, ali je Uredba še vedno primerna za svoj namen, zahteva stalno spremljanje.

Deležniki v industriji poudarjajo, da inovacije zahtevajo, da se Uredba uporablja na podlagi načel in v skladu z njeno zasnovo, ne pa togo in formalno. Menijo, da bi smernice odbora o uporabi načel, konceptov in pravil Uredbe pri novih tehnologijah, kot so umetna inteligenca, blokovna veriga ali internet stvari, ob upoštevanju pristopa, ki temelji na tveganju, zagotovile pojasnila in večjo pravno varnost. Taka orodja mehkega prava so zelo primerna, da spremljajo uporabo Uredbe pri novih tehnologijah, saj zagotavljajo večjo pravno varnost in jih je mogoče spremeniti v skladu s tehnološkim razvojem. Nekateri deležniki tudi menijo, da bi lahko bile koristne sektorske smernice o uporabi Uredbe pri novih tehnologijah.

Odbor je izjavil, da bo še naprej preučeval vpliv novih tehnologij na varstvo osebnih podatkov.

Deležniki poudarjajo tudi pomen tega, da regulatorji dobro razumejo, kako se tehnologija uporablja, in da so v dialogu z industrijo o razvoju novih tehnologij. Menijo, da bi bil lahko pristop „regulativnega peskovnika“ – kot sredstva za pridobitev smernic za uporabo pravil – zanimiva možnost za preizkušanje novih tehnologij in pomoč podjetjem pri uporabi načel vgrajenega in privzetega varstva podatkov pri novih tehnologijah.

Deležniki glede nadaljnjega ukrepanja na tem področju priporočajo, da se vsi prihodnji predlogi v zvezi s politiko o umetni inteligenci opirajo na obstoječe pravne okvire in se uskladijo z Uredbo. Preden se predlagajo nova predpisovalna pravila, je treba skrbno ovrednotiti potencialna posebna vprašanja na podlagi ustreznih dokazov.

Bela knjiga Komisije o umetni inteligenci predlaga številne možnosti politike, o katerih so lahko deležniki podajali svoja mnenja do 14. junija 2020. Kar zadeva prepoznavanje obraza, tj. tehnologijo, ki lahko bistveno vpliva na pravice posameznikov, je bela knjiga opozorila na trenutni zakonodajni okvir ter odprla javno razpravo o morebitnih posebnih okoliščinah, ki bi lahko upravičile uporabo umetne inteligence za prepoznavanje obraza in druge namene biometrične identifikacije na daljavo na javnih mestih, in o skupnih zaščitnih ukrepih.

7Mednarodni prenosi in sodelovanje na svetovni ravni

7.1Zasebnost: globalno vprašanje

Zahteva po varstvu osebnih podatkov ne pozna meja, saj posamezniki po vsem svetu vedno bolj cenijo in vrednotijo zasebnost in varnost svojih podatkov.

Hkrati je v medsebojno povezanem svetu neizogibno dejstvo, da so toki podatkov pomembni za posameznike, vlade, podjetja in družbo na splošno. So sestavni del trgovine, sodelovanja med javnimi organi in družbenih interakcij. V zvezi s tem trenutna pandemija COVID‑19 razkriva tudi, kako ključnega pomena sta prenos in izmenjava osebnih podatkov za številne bistvene dejavnosti, vključno z zagotavljanjem kontinuitete vladnih in poslovnih dejavnosti – z omogočanjem dela na daljavo in drugih rešitev, ki se močno opirajo na informacijske in komunikacijske tehnologije –, razvojem sodelovanja pri znanstvenih raziskavah na področju diagnostike, zdravljenja in cepiv ter bojem proti novim oblikam kibernetske kriminalitete, kot so spletni sistemi goljufij, ki ponujajo ponarejena zdravila, ki naj bi preprečila ali zdravila COVID‑19.

Zaradi tega morata biti varovanje zasebnosti in omogočanje pretoka podatkov tesno povezana, in sicer bolj kot kdaj koli prej. EU ima s svojim režimom varstva podatkov, ki združuje odprtost za mednarodne prenose in visoko raven varstva posameznikov, dobro izhodišče za spodbujanje varnih in zaupanja vrednih tokov podatkov. Uredba se je že uveljavila kot referenčna točka na mednarodni ravni in je številne države po vsem svetu spodbudila, da so razmislile o uvedbi sodobnih pravil o zasebnosti.

To je pravi svetovni trend, ki je zajel – če omenimo le nekaj primerov – od Čila do Južne Koreje, od Brazilije do Japonske, od Kenije do Indije, od Tunizije do Indonezije in od Kalifornije do Tajvana. Ti razvoji so presenetljivi ne le s kvantitativnega, ampak tudi s kvalitativnega vidika: številne pred kratkim sprejete zakonodaje o zasebnosti ali zakonodaje, ki so v postopku sprejemanja, temeljijo na osrednjem nizu skupnih zaščitnih ukrepov, pravic in mehanizmov izvrševanja, ki jih je vzpostavila tudi EU. V svetu, ki ga prepogosto zaznamujejo različni, če ne celo odstopajoči regulativni pristopi, se ta trend globalne konvergence šteje kot zelo pozitiven razvoj, ki prinaša nove priložnosti za povečanje zaščite posameznikov v Evropi, hkrati pa olajšuje tokove podatkov in znižuje stroške poslovanja za poslovne subjekte.

7.2Nabor orodij za prenos podatkov iz Uredbe 

Ker se čedalje več zasebnih in javnih gospodarskih subjektov zanaša na mednarodne tokove podatkov kot del svojih rutinskih dejavnosti, obstaja vse večja potreba po prožnih instrumentih, ki jih je mogoče prilagoditi različnim sektorjem, poslovnim modelom in okoliščinam prenosa. Glede na te potrebe Uredba ponuja posodobljen nabor orodij, ki olajšuje prenos osebnih podatkov iz EU v tretjo državo ali mednarodno organizacijo, hkrati pa zagotavlja, da bodo podatki še naprej deležni visoke ravni varstva. Ta kontinuiteta varstva je pomembna, saj se v današnjem svetu podatki zlahka prenašajo čez meje in bi bilo varstvo, ki ga zagotavlja Uredba, nepopolno, če bi bilo omejeno na obdelavo podatkov znotraj EU.

Zakonodajalec je s poglavjem V Uredbe potrdil arhitekturo pravil o prenosu, ki je že obstajala v skladu z Direktivo 95/46: prenos podatkov se lahko izvede, če je Komisija sprejela ugotovitev o ustreznosti glede tretje države ali mednarodne organizacije ali, v odsotnosti te, če je upravljavec ali obdelovalec v EU („izvoznik podatkov“) zagotovil ustrezne zaščitne ukrepe, na primer s pogodbo s prejemnikom („uvoznik podatkov“). Poleg tega so na voljo zakonski razlogi za prenose (t. i. odstopanja) za posebne primere, za katere se je zakonodajalec odločil, da ravnovesje interesov pod določenimi pogoji omogoča prenos podatkov. Hkrati je reforma pojasnila in poenostavila obstoječa pravila, na primer tako, da je natančno določila pogoje za ugotovitev o ustreznosti ali zavezujoča poslovna pravila, omejila zahteve za dovoljenja na zelo malo določenih primerov in popolnoma odpravila zahteve glede obveščanja. Poleg tega so bila uvedena nova orodja za prenos, kot so kodeksi ravnanja ali sheme certificiranja, razširjene pa so bile tudi možnosti za uporabo obstoječih instrumentov (npr. standardna pogodbena določila).

Današnje digitalno gospodarstvo omogoča tujim gospodarskim subjektom, da (na daljavo, vendar vseeno) neposredno sodelujejo na notranjem trgu EU ter tekmujejo za evropske kupce in njihove osebne podatke. Kadar so posebej usmerjeni na Evropejce s ponudbo blaga ali storitev ali spremljanjem njihovega vedenja, bi morali ravnati v skladu z zakonodajo EU, enako kot gospodarski subjekti EU. To se odraža v členu 3 Uredbe, ki razširja neposredno uporabo pravil EU o varstvu podatkov na nekatere postopke obdelave upravljavcev in obdelovalcev zunaj EU. To zagotavlja potrebne zaščitne ukrepe, poleg tega pa enake konkurenčne pogoje za vsa podjetja, ki poslujejo na trgu EU.

Širok doseg Uredbe je eden od razlogov, da so se njeni učinki občutili tudi v drugih delih sveta. Podrobne smernice o ozemeljski veljavnosti Uredbe, ki jih je po obsežnem javnem posvetovanju izdal odbor, so pomembne za pomoč tujim gospodarskim subjektom pri določanju, ali za njihove dejavnosti obdelave neposredno veljajo zaščitni ukrepi Uredbe in za katere dejavnosti, saj so v njih navedeni tudi konkretni primeri 109 .

Vendar pa razširitev področja uporabe zakonodaje EU o varstvu podatkov sama po sebi ne zadostuje za zagotovitev njenega spoštovanja v praksi. Kot je tudi poudaril Svet 110 , je ključno zagotoviti skladnost tujih gospodarskih subjektov in učinkovito izvrševanje v razmerju do njih. Imenovanje predstavnika v EU (člen 27(1) in (2) Uredbe), na katerega se lahko, poleg na odgovorno družbo iz tujine ali namesto nanjo 111 , obrnejo posamezniki in nadzorni organi, bi moralo imeti ključno vlogo pri tem. Ta pristop, ki se čedalje pogosteje uporablja tudi v drugih kontekstih 112 , bi bilo treba odločneje uporabljati, da bi poslali jasno sporočilo, da neobstoj sedeža v EU tujih gospodarskih subjektov ne razbremeni odgovornosti v skladu z Uredbo. Kadar ti gospodarski subjekti ne izpolnjujejo svojih obveznosti glede imenovanja predstavnika 113 , bi morali nadzorni organi uporabiti celoten nabor orodij za izvrševanje iz člena 58 Uredbe (npr. javna opozorila, začasne ali dokončne prepovedi obdelave v EU, izvrševanje zoper skupne upravljavce s sedežem v EU).

Nazadnje je zelo pomembno, da odbor dokonča svoje delo v zvezi z nadaljnjo pojasnitvijo razmerja med členom 3 o neposredni uporabi Uredbe in pravili o mednarodnih prenosih iz poglavja V 114 .

Sklepi o ustreznosti

Informacije deležnikov potrjujejo, da so sklepi o ustreznosti še naprej bistveno orodje za to, da lahko gospodarski subjekti EU varno prenašajo osebne podatke v tretje države 115 . Taki sklepi so najbolj celovita, enostavna in stroškovno učinkovita rešitev za prenos podatkov, saj so izenačeni s prenosi znotraj EU, zato zagotavljajo varen in prost pretok osebnih podatkov brez dodatnih pogojev ali potrebe po dovoljenju. Sklepi o ustreznosti zato odpirajo komercialne kanale za gospodarske subjekte EU in lajšajo sodelovanje med javnimi organi, hkrati pa zagotavljajo privilegiran dostop do enotnega trga EU. Na podlagi prakse iz direktive iz leta 1995 Uredba izrecno omogoča določitev ustreznosti glede določenega ozemlja tretje države ali določenega sektorja ali industrije v tretji državi (t. i. „delna“ ustreznost).

Uredba gradi na izkušnjah iz preteklih let in na pojasnilih Sodišča z natančno določitvijo kataloga elementov, ki jih mora Komisija upoštevati pri svojem vrednotenju. Standard ustreznosti zahteva raven varstva, ki je primerljiva (ali „v osnovi enakovredna“) ravni, zagotovljeni v EU 116 . To vključuje celovito oceno sistema tretje države kot celote, vključno z vsebino varstva zasebnosti, njegovim učinkovitim izvajanjem in izvrševanjem ter pravili o dostopu do osebnih podatkov s strani javnih organov, zlasti za namene kazenskega pregona ter nacionalne varnosti 117 .

To se odraža tudi v smernicah, ki jih je sprejela prejšnja Delovna skupina iz člena 29 (in ki jih je potrdil odbor), zlasti tako imenovanem „referenčnem dokumentu o ustreznosti“, ki dodatno pojasnjuje elemente, ki jih mora Komisija upoštevati pri oceni ustreznosti, vključno s pregledom „bistvenih jamstev“ za dostop do osebnih podatkov s strani javnih organov. 118 Zadnje temelji zlasti na sodni praksi Evropskega sodišča za človekove pravice. Medtem ko standard „osnovne enakovrednosti“ ne vključuje dobesednega prepisa („fotokopije“) pravil EU, glede na to, da se lahko sredstva za zagotavljanje primerljive ravni varstva med različnimi sistemi zasebnosti razlikujejo, saj pogosto odražajo različne pravne tradicije, kljub temu zahteva močno raven varstva.

Ta standard upravičuje dejstvo, da sklep o ustreznosti dejansko razširja koristi enotnega trga na tretjo državo v smislu prostega toka podatkov. Vendar pa to pomeni tudi, da bodo včasih obstajale pomembne razlike med ravnjo varstva, zagotovljeno v zadevni tretji državi, v primerjavi z ravnjo iz Uredbe, ki jih je treba premostiti, na primer s pogajanji o dodatnih zaščitnih ukrepih. Na take zaščitne ukrepe bi bilo treba gledati pozitivno, saj dodatno krepijo varstvo, ki je na voljo posameznikom v EU. Hkrati se Komisija strinja z odborom o pomembnosti stalnega spremljanja njihove uporabe v praksi, vključno z učinkovitim izvrševanjem s strani organa za varstvo podatkov iz tretje države 119 .

Uredba pojasnjuje, da so sklepi o ustreznosti „živi instrumenti“, ki jih je treba stalno spremljati in jih redno pregledovati 120 . V skladu s temi zahtevami je Komisija v rednem dialogu z ustreznimi organi, da bi proaktivno spremljala nov razvoj. Na primer, od sprejetja sklepa o zasebnostnem ščitu EU‑ZDA v letu 2016 121 je Komisija skupaj s predstavniki odbora opravila tri letne preglede, da bi ocenila vse vidike delovanja okvira 122 . Ti pregledi so se opirali na informacije, pridobljene z izmenjavo z organi ZDA, ter tudi na prispevke drugih deležnikov, kot so organi EU za varstvo podatkov, civilna družba in trgovska združenja. Omogočili so izboljšanje praktičnega delovanja različnih elementov okvira. S širšega vidika so letni pregledi prispevali k vzpostavitvi obširnejšega dialoga z administracijo ZDA o zasebnosti na splošno ter o omejitvah in zaščitnih ukrepih, zlasti v zvezi z nacionalno varnostjo.

V okviru svojega prvega vrednotenja Uredbe mora Komisija pregledati tudi sklepe o ustreznosti, sprejete na podlagi direktive iz leta 1995 123 . Službe Komisije so bile v intenzivnem dialogu z vsako od 11 zadevnih držav in ozemelj, da bi ocenile, kako so se razvili njihovi sistemi za varstvo osebnih podatkov od sprejetja sklepa o ustreznosti in ali izpolnjujejo standard, določen v Uredbi. Potreba po zagotovitvi kontinuitete takih sklepov, glede na to, da so ključno orodje za trgovino in mednarodno sodelovanje, je eden od dejavnikov, ki so več teh držav in ozemelj spodbudili k posodobitvi in okrepitvi zakonodaj o zasebnosti. To je vsekakor pozitiven razvoj dogodkov. Z nekaterimi od teh držav in ozemelj se razpravlja o dodatnih zaščitnih ukrepih, da bi odpravili pomembne razlike glede varstva.

Ker pa lahko Sodišče v sodbi, ki bo izdana 16. julija, poda pojasnila, ki bi lahko bila pomembna za nekatere elemente standarda ustreznosti, bo Komisija ločeno poročala o vrednotenju omenjenih 11 sklepov o ustreznosti, potem ko bo Sodišče izdalo sodbo v tej zadevi 124 .

Komisija se v celoti strinja s pozivom deležnikov, naj se okrepi dialog z izbranimi tretjimi državami v zvezi z morebitnimi novimi ugotovitvami o ustreznosti 127 . To možnost dejavno preučuje z drugimi pomembnimi partnerji v Aziji, Latinski Ameriki in sosedstvu, pri čemer gradi na trenutnem trendu naraščajoče globalne konvergence standardov varstva podatkov. Na primer, izčrpna zakonodaja o zasebnosti je bila sprejeta ali je v napredni fazi zakonodajnega postopka v Latinski Ameriki (Brazilija, Čile), obetaven pa je razvoj v Aziji (npr. Indija, Indonezija, Malezija, Šrilanka, Tajvan in Tajska) in Afriki (npr. Etiopija in Kenija), pa tudi v evropskem vzhodnem in južnem sosedstvu (npr. Gruzija in Tunizija). Kadar je mogoče, si bo Komisija prizadevala za doseganje celovitih odločitev o ustreznosti, ki bodo zajemale zasebni in javni sektor 128 .

Poleg tega je Uredba uvedla tudi možnost, da Komisija sprejme ugotovitve o ustreznosti za mednarodne organizacije. V času, ko nekatere mednarodne organizacije posodabljajo svoje režime varstva podatkov z uvedbo celovitih pravil in mehanizmov, ki zagotavljajo neodvisen nadzor in pravna sredstva, bi lahko to pot prvič raziskali.

Nazadnje Komisija pozdravlja dejstvo, da druge države vzpostavljajo mehanizme za prenos podatkov, podobne ugotovitvi o ustreznosti. Pri tem pogosto priznavajo EU in države, za katere je Komisija sprejela sklep o ustreznosti, kot varne namembne kraje za prenose 131 . Zaradi vse večjega števila držav, v zvezi s katerimi je EU sprejela sklepe o ustreznosti, na eni strani in vzpostavitve te oblike priznavanja v drugih državah na drugi strani se lahko ustvari mreža držav, v kateri lahko poteka prost in varen pretok podatkov. Komisija meni, da je to dobrodošel razvoj, ki bo še povečal koristi sklepa o ustreznosti za tretje države in prispeval h globalni konvergenci. Ta vrsta sinergij lahko koristno prispeva tudi k razvoju okvirov za varen in prost pretok podatkov, na primer v okviru pobude „prostega pretoka podatkov na podlagi zaupanja“ (glej spodaj).

Ustrezni zaščitni ukrepi

Uredba poleg celovite rešitve ugotovitve o ustreznosti zagotavlja številne druge instrumente prenosa. Fleksibilnost tega „nabora orodij“ je razvidna iz člena 46 Uredbe, ki ureja prenose podatkov na podlagi „ustreznih zaščitnih ukrepov“, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi. Za zagotovitev ustreznih zaščitnih ukrepov so na voljo različni instrumenti, da bi se upoštevale potrebe po prenosu podatkov tako komercialnih gospodarskih subjektov kot tudi javnih organov.

·Standardna pogodbena določila

Prva skupina teh instrumentov so pogodbena orodja, ki so lahko prilagojena ad hoc določila o varstvu podatkov, dogovorjena med izvoznikom podatkov iz EU in uvoznikom podatkov zunaj EU, ki jih je odobril pristojni organ za varstvo podatkov (člen 46(3)(a) Uredbe), ali vzorčna določila, ki jih je predhodno odobrila Komisija (člen 46(2)(c) in (d) Uredbe 132 ). Najpomembnejša med temi instrumenti so tako imenovana standardna pogodbena določila, tj. vzorčna določila o varstvu podatkov, ki jih lahko izvoznik podatkov in uvoznik podatkov prostovoljno vključita v svoje pogodbene dogovore (npr. v pogodbo o opravljanju storitev, ki zahteva prenos osebnih podatkov) in ki določajo zahteve v zvezi z ustreznimi zaščitnimi ukrepi.

Standardna pogodbena določila predstavljajo najpogosteje uporabljen mehanizem prenosa podatkov 133 . Na tisoče podjetij iz EU se zanaša na standardna pogodbena določila pri zagotavljanju širokega nabora storitev svojim strankam, dobaviteljem, partnerjem in zaposlenim, vključno s storitvami, bistvenimi za delovanje gospodarstva. Njihova široka uporaba kaže, da so podjetjem v veliko pomoč pri prizadevanjih za izpolnjevanje obveznosti in zlasti koristijo podjetjem, ki nimajo sredstev, da bi se z vsakim od svojih poslovnih partnerjev pogajala o posameznih pogodbah. Standardna pogodbena določila so zaradi standardizacije in predhodne odobritve orodje za podjetja za izpolnjevanje zahtev glede varstva podatkov v okviru prenosa, ki je preprosto za izvajanje.

Obstoječi sklopi standardnih pogodbenih določil 134 so bili sprejeti in odobreni na podlagi direktive iz leta 1995. Ta standardna pogodbena določila bodo ostala veljavna, dokler se ne spremenijo, nadomestijo ali razveljavijo z odločitvijo Komisije (člen 46(5) Uredbe), če bo to potrebno. Uredba širi možnosti uporabe standardnih pogodbenih določil za prenose v EU in tudi za mednarodne prenose. Komisija sodeluje z deležniki, da bi izkoristila te možnosti in posodobila obstoječa določila 135 . Da bi Komisija zagotovila, da bo prihodnja zasnova standardnih pogodbenih določil primerna za svoj namen, je zbirala povratne informacije o izkušnjah deležnikov s standardnimi pogodbenimi določili prek „večdeležniške skupine za Uredbo“ in prek namenskih delavnic, ki so potekale septembra 2019, pa tudi prek več stikov s podjetji, ki uporabljajo standardna pogodbena določila, ter organizacijami civilne družbe. Odbor posodablja tudi številne smernice, ki bi lahko bile pomembne za pregled standardnih pogodbenih določil, na primer o pojmih upravljavca in obdelovalca.

Komisija pri obravnavanju teh vprašanj razmišlja tudi o načinih, na katere bi sedanjo „arhitekturo“ standardnih pogodbenih določil preoblikovala tako, da bi bila uporabnikom prijaznejša, na primer z nadomestitvijo več sklopov standardnih pogodbenih določil z enim celovitim dokumentom. Izziv je doseči dobro ravnovesje med potrebo po jasnosti in določeno stopnjo standardizacije na eni strani ter potrebno fleksibilnost na drugi strani, ki bo omogočila, da bodo določila lahko uporabljali številni gospodarski subjekti z različnimi zahtevami v različnih okoliščinah in za različne vrste prenosov.

Še en pomemben vidik, ki ga je treba upoštevati glede na trenutne pravdne postopke pred Sodiščem 137 , je to, da je morda treba podrobneje pojasniti zaščitne ukrepe v zvezi z dostopom tujih javnih organov do podatkov, ki so bili preneseni na podlagi standardnih pogodbenih določil, zlasti za namene nacionalne varnosti. To lahko vključuje zahtevo, da uvoznik podatkov, izvoznik podatkov ali oba ukrepata, in pojasnitev vloge organov za varstvo podatkov v tem kontekstu. Čeprav revizija standardnih pogodbenih določil dobro napreduje, bo treba počakati na sodbo Sodišča, da se v revidirana določila vključijo morebitne dodatne zahteve, preden se osnutek sklepa o novem sklopu standardnih pogodbenih določil predloži odboru. Ta bo nato podal svoje mnenje, sklep pa se bo predlagal za sprejetje s „postopkom v odboru“ 138 .

Vzporedno je Komisija v stiku z mednarodnimi partnerji, ki razvijajo podobna orodja 139 . Ta dialog, ki omogoča izmenjavo izkušenj in najboljših praks, lahko bistveno prispeva k nadaljnji konvergenci „na terenu“ in tako podjetjem, ki poslujejo v različnih regijah sveta, olajša izpolnjevanje pravil o čezmejnem prenosu.

·Zavezujoča poslovna pravila

Še en pomemben instrument so tako imenovana zavezujoča poslovna pravila. To so pravno zavezujoče politike in dogovori, ki veljajo za člane skupine podjetij, vključno z njihovimi zaposlenimi (člen 46(2)(b) in člen 47 Uredbe). Uporaba zavezujočih poslovnih pravil omogoča prost pretok osebnih podatkov med različnimi člani skupine po vsem svetu – kar odpravlja potrebo po pogodbenih dogovorih med vsemi posameznimi gospodarskimi subjekti – hkrati pa zagotavlja, da se v celotni skupini spoštuje enako visoka raven varstva osebnih podatkov. Ta pravila so posebej dobra rešitev za kompleksne in velike skupine podjetij ter za tesno sodelovanje med podjetji, ki si izmenjujejo podatke prek več jurisdikcij. Za razliko od direktive iz leta 1995 lahko zavezujoča poslovna pravila v skladu z Uredbo uporabljajo podjetja, ki opravljajo skupno gospodarsko dejavnost, vendar niso del iste skupine podjetij.

Postopkovno morajo zavezujoča poslovna pravila odobriti pristojni organi za varstvo podatkov na podlagi nezavezujočega mnenja odbora 140 . Za vodilo pri tem postopku je odbor pregledal „referenčne dokumente“ za zavezujoča poslovna pravila (ki določajo materialne standarde) za upravljavce 141 in obdelovalce 142 v skladu z Uredbo ter te dokumente še naprej posodablja na podlagi praktičnih izkušenj, ki so jih pridobili nadzorni organi. Prav tako je sprejel različna navodila za pomoč vložnikom ter za poenostavitev postopka vložitve in odobritve zavezujočih poslovnih pravil 143 . Po mnenju odbora je trenutno v postopku odobritve več kot 40 zavezujočih poslovnih pravil, od teh naj bi jih bila polovica potrjena do konca leta 2020 144 . Pomembno je, da organi za varstvo podatkov nadaljujejo racionalizacijo postopka odobritve, saj deležniki pogosto navajajo dolgotrajnost takih postopkov kot praktično oviro za širšo uporabo zavezujočih poslovnih pravil.

Kar posebej zadeva zavezujoča poslovna pravila, ki jih je odobril organ za varstvo podatkov Združenega kraljestva (urad informacijskega pooblaščenca), pa jih bodo podjetja po koncu prehodnega obdobja v skladu s sporazumom o izstopu med EU in Združenim kraljestvom lahko še naprej uporabljala kot veljaven mehanizem za prenos podatkov na podlagi Uredbe, vendar le, če bodo spremenjena tako, da se vsaka povezava s pravnim redom Združenega kraljestva nadomesti z ustreznimi sklici na gospodarske subjekte in pristojne organe v EU. Za odobritev vseh novih zavezujočih poslovnih pravil je treba zaprositi pri enem od nadzornih organov v EU.

·Mehanizmi certificiranja in kodeksi ravnanja

Poleg posodobitve in razširitve uporabe že obstoječih orodij za prenos je Uredba uvedla tudi nove instrumente ter s tem razširila možnosti za mednarodne prenose. To vključuje, pod določenimi pogoji, uporabo odobrenih kodeksov ravnanja in mehanizmov certificiranja (kot so pečati ali označbe zasebnosti) za zagotavljanje ustreznih zaščitnih ukrepov. To so orodja „od spodaj navzgor“, ki omogočajo prilagojene rešitve – kot splošen mehanizem odgovornosti (glej člene 40 do 42 Uredbe) in zlasti za mednarodne prenose podatkov –, ter na primer odražajo posebne značilnosti in potrebe posameznega sektorja ali panoge ali določenih tokov podatkov. Kodeksi ravnanja so z umerjanjem obveznosti glede na tveganja lahko tudi zelo koristen in stroškovno učinkovit način za mala in srednja podjetja, da izpolnijo svoje obveznosti iz Uredbe.

Kar zadeva mehanizme certificiranja, delo odbora za razvoj meril za odobritev mehanizmov certificiranja kot orodij za mednarodne prenose še vedno poteka, čeprav je odbor sprejel smernice za spodbujanje njihove uporabe v EU. Enako velja za kodekse ravnanja, v zvezi s katerimi odbor trenutno pripravlja smernice za njihovo uporabo kot orodja za prenose.

Glede na pomen zagotavljanja širokega nabora instrumentov prenosa gospodarskim subjektom, ki so prilagojeni njihovim potrebam, in potencial, ki ga imajo zlasti mehanizmi certificiranja za lajšanje prenosa podatkov ob hkratnem zagotavljanju visoke ravni varstva podatkov, Komisija poziva odbor, naj čim prej dokončno oblikuje svoje smernice na tem področju. To zadeva materialne (merila) in procesne vidike (odobritev, spremljanje itd.). Deležniki so izrazili veliko zanimanja za te mehanizme prenosa in bi morali imeti možnost, da v celoti uporabljajo nabor orodij iz Uredbe. Smernice odbora bi prispevale tudi k spodbujanju modela EU za varstvo podatkov na svetovni ravni in krepile konvergenco, saj drugi sistemi zasebnosti uporabljajo podobne instrumente.

Dragocene izkušnje je mogoče črpati iz obstoječih prizadevanj za standardizacijo na področju zasebnosti, tako na evropski kot na mednarodni ravni. Zanimiv primer je pred kratkim objavljeni mednarodni standard ISO 27701 145 , katerega cilj je pomagati podjetjem, da izpolnijo zahteve glede zasebnosti in obvladujejo tveganja, povezana z obdelavo osebnih podatkov, s pomočjo „sistemov za upravljanje zasebnosti“ (privacy information management systems). Čeprav certificiranje v skladu s standardom kot tako ne izpolnjuje zahtev iz členov 42 in 43 Uredbe, lahko uporaba sistemov za upravljanje zasebnosti prispeva k odgovornosti, tudi v okviru mednarodnega prenosa podatkov.

·Mednarodni sporazumi in upravni dogovori

Uredba omogoča tudi zagotavljanje ustreznih zaščitnih ukrepov za prenos podatkov med javnimi organi ali telesi na podlagi mednarodnih sporazumov (člen 46(2)(a)) ali upravnih dogovorov (člen 46(3)(b)). Medtem ko morata oba instrumenta zagotavljati enak rezultat v smislu zaščitnih ukrepov, vključno z izvršljivimi pravicami posameznikov, na katere se nanašajo osebni podatki, in učinkovitimi pravnimi sredstvi, se razlikujeta glede svoje pravne narave in postopka sprejetja.

Za razliko od mednarodnih sporazumov, ki ustvarjajo zavezujoče obveznosti po mednarodnem pravu, so upravni dogovori (npr. v obliki memoranduma o soglasju) po navadi nezavezujoči in zato zahtevajo predhodno odobritev pristojnega organa za varstvo podatkov (glej tudi uvodno izjavo 108 Uredbe). Eden zgodnjih primerov je upravni dogovor za prenos osebnih podatkov med finančnimi nadzorniki iz EGP in finančnimi nadzorniki zunaj EGP, ki sodelujejo pod okriljem Mednarodnega združenja nadzornikov trga vrednostnih papirjev (IOSCO), o katerem je odbor podal svoje mnenje v začetku leta 2019 146 . Od takrat je odbor nadalje razvil svojo razlago „minimalnih zaščitnih ukrepov“, ki jih morajo zagotavljati mednarodni sporazumi (o sodelovanju) in upravni dogovori med javnimi organi ali telesi (vključno z mednarodnimi organizacijami), da izpolnijo zahteve iz člena 46 Uredbe. 18. januarja 2020 je sprejel osnutek smernic 147 , v katerih je odgovoril na prošnjo držav članic po nadaljnjih pojasnilih in vodilih o tem, kaj se lahko šteje za ustrezne zaščitne ukrepe za prenose med javnimi organi 148 . Odbor močno priporoča, da javni organi te smernice uporabljajo kot referenčno točko za pogajanja s tretjimi strankami 149 .

Smernice kažejo prožnost pri oblikovanju takih instrumentov, vključno s pomembnimi vidiki, kot sta nadzor 150 in pravno sredstvo 151 . To naj bi javnim organom omogočilo premagovanje ovir, na primer pri zagotavljanju izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, z nezavezujočimi dogovori. Pomembna elementa takih dogovorov sta njihovo stalno spremljanje s strani pristojnega organa za varstvo podatkov – podprto z zahtevami po obveščanju in vodenju evidenc – in začasna prekinitev pretoka podatkov, če ustreznih zaščitnih ukrepov v praksi ni več mogoče zagotoviti.

Odstopanja

Nazadnje Uredba pojasnjuje uporabo tako imenovanih „odstopanj“. To so posebni razlogi za prenos podatkov (npr. izrecna privolitev 152 , izvajanje pogodbe ali pomembni razlogi javnega interesa), ki jih priznava zakonodaja ter na katere se lahko subjekti pod določenimi pogoji oprejo, če ni drugih orodij za prenos.

Za pojasnitev uporabe takih zakonskih razlogov je odbor izdal posebne smernice 153 in v številnih zadevah razložil člen 49 v zvezi s posebnimi scenariji prenosa 154 . Zaradi njihovega izjemnega značaja odbor meni, da je treba odstopanja razlagati restriktivno in za vsak primer posebej. Kljub njihovi strogi razlagi ti razlogi zajemajo širok nabor scenarijev prenosa. To vključuje zlasti prenose podatkov s strani javnih organov in zasebnih subjektov, ki so potrebni zaradi „pomembnih razlogov javnega interesa“, na primer med organi za konkurenco, finančnimi, davčnimi ali carinskimi organi, službami, pristojnimi za socialno varnost ali javno zdravje (kot v primeru sledenja stikom zaradi nalezljivih bolezni ali odprave uporabe nedovoljenih poživil v športu) 155 . Drugo področje je področje čezmejnega sodelovanja za namene kazenskega pregona, zlasti v zvezi s hudimi kaznivimi dejanji 156 .

Odbor je pojasnil, da čeprav je treba priznati ustrezne javne interese v zakonodaji EU ali držav članic, je to mogoče določiti tudi na podlagi obstoja „mednarodnega sporazuma ali konvencije, ki priznava določen cilj in zagotavlja mednarodno sodelovanje za uresničevanje tega cilja, [kar] je lahko kazalnik, ko se ugotavlja obstoj javnega interesa v skladu s členom 49(1)(d), če so EU ali države članice podpisnice tega sporazuma ali konvencije“ 157 .

Odločitve tujih sodišč ali organov niso osnova za prenose

Poleg tega, da poglavje V Uredbe pozitivno določa razloge za prenos podatkov, v svojem členu 48 pojasnjuje tudi, da odredbe sodišč in odločbe upravnih organov zunaj EU same po sebi ne zagotavljajo takih razlogov, razen če so priznane ali izvršljive na podlagi mednarodnega sporazuma (npr. pogodba o medsebojni pravni pomoči). Vsako razkritje s strani subjekta v EU tujemu sodišču ali organu v odgovor na tako odredbo ali odločbo pomeni mednarodni prenos podatkov, ki mora temeljiti na enem od omenjenih instrumentov za prenos 158 .

Uredba ni „akt o blokiranju“ in bo pod določenimi pogoji dovoljevala prenos v odgovor na ustrezno zahtevo iz tretje države v okviru kazenskega pregona. Pomembno je, da mora zakonodaja EU določiti, ali je tako in na podlagi katerih zaščitnih ukrepov se lahko izvajajo taki prenosi.

Zagotavljanje pravne kurtoazije je pomembno, ker ima kazenski pregon – kot tudi kazniva dejanja in zlasti kibernetska kriminaliteta – vse bolj čezmejno razsežnost, zato pogosto sproža vprašanja o pristojnosti in ustvarja potencialno kolizijo prava 164 . Ni presenetljivo, da so najboljši način za obravnavanje teh vprašanj mednarodni sporazumi, ki zagotavljajo potrebne omejitve in zaščitne ukrepe za čezmejni dostop do osebnih podatkov, vključno z zagotavljanjem visoke ravni varstva podatkov na strani organa, ki zahteva dostop.

Komisija, ki deluje v imenu EU, trenutno sodeluje v večstranskih pogajanjih za Drugi dodatni protokol h Konvenciji Sveta Evrope o kibernetski kriminaliteti (Budimpeška konvencija), katerega cilj je izboljšati obstoječa pravila za pridobitev čezmejnega dostopa do elektronskih dokazov v kazenskih preiskavah, hkrati pa zagotavlja ustrezne zaščitne ukrepe za varstvo podatkov kot del protokola 165 . Podobno so se začela dvostranska pogajanja o sporazumu med EU in ZDA o čezmejnem dostopu do elektronskih dokazov za pravosodno sodelovanje v kazenskih zadevah 166 . Pri vseh teh pogajanjih Komisija računa na podporo Evropskega parlamenta in Sveta ter smernice Evropskega odbora za varstvo podatkov.

Na splošno je pomembno zagotoviti, da lahko podjetja, ki delujejo na evropskem trgu, na podlagi utemeljene zahteve za izmenjavo podatkov za namene kazenskega pregona takšne podatke izmenjajo brez tveganja kolizije zakonov in ob polnem spoštovanju temeljnih pravic EU. Za izboljšanje takih prenosov se je Komisija zavezala, da bo s svojimi mednarodnimi partnerji razvila ustrezne pravne okvire, da bi se izognili koliziji prava in podprli učinkovite oblike sodelovanja, zlasti z zagotavljanjem potrebnih zaščitnih ukrepov za varstvo podatkov, in s tem prispevali k učinkovitejšemu boju proti kriminalu.

7.3Mednarodno sodelovanje na področju varstva podatkov

Spodbujanje konvergence med različnimi sistemi zasebnosti pomeni tudi učenje drug od drugega z izmenjavo znanja, izkušenj in najboljših praks. Take izmenjave so bistvene za obravnavanje novih izzivov, ki so po naravi in obsegu vse bolj globalni. Zato je Komisija na dvostranski, regionalni in večstranski ravni okrepila dialog o varstvu podatkov in pretoku podatkov z najrazličnejšimi akterji in na različnih forumih.

Dvostranska razsežnost

Po sprejetju Uredbe je vse več zanimanja za izkušnje EU pri oblikovanju, pogajanju in izvajanju sodobnih pravil o zasebnosti. Dialog z državami, ki gredo skozi podobne procese, ima več oblik.

Službe Komisije so predložile prispevke v okviru več javnih posvetovanj, ki so jih organizirale tuje vlade glede zakonodaje na področju zasebnosti, na primer vlade ZDA 167 , Indije 168 , Malezije in Etiopije. V nekaterih tretjih državah so službe Komisije imele privilegij, da so lahko spregovorile pred pristojnimi parlamentarnimi organi, na primer v Braziliji 169 , Čilu 170 , Ekvadorju in Tuniziji 171 .

Poleg tega so v okviru tekočih reform zakonodaj o varstvu podatkov potekala namenska srečanja s predstavniki vlade ali parlamentarnimi delegacijami iz več regij sveta (npr. Gruzije, Kenije, Tajvana, Tajske, Maroka). To je vključevalo organizacijo seminarjev in študijskih obiskov, na primer s predstavniki indonezijske vlade in delegacijo članov kongresa ZDA. To so bile priložnosti za pojasnitev pomembnih konceptov Uredbe, izboljšanje vzajemnega razumevanja zadev v zvezi z zasebnostjo ter ponazoritev koristi konvergence za zagotavljanje visoke ravni varstva pravic posameznikov, trgovine in sodelovanja. V nekaterih primerih je bilo mogoče tudi posvariti pred nekaterimi napačnimi predstavami o varstvu podatkov, ki lahko privedejo do uvedbe protekcionističnih ukrepov, kot so zahteve glede prisilne lokalizacije.

Komisija je od sprejetja Uredbe sodelovala tudi z več mednarodnimi organizacijami, tudi glede na pomen izmenjave podatkov s temi organizacijami na številnih področjih politike. Zlasti je bil vzpostavljen poseben dialog z Združenimi narodi, da bi se omogočile razprave z vsemi vpletenimi deležniki in tako zagotovil nemoten prenos podatkov ter da bi se razvijala nadaljnja konvergenca med zadevnimi režimi varstva podatkov. Komisija bo v okviru tega dialoga tesno sodelovala z Evropskim odborom za varstvo podatkov, da bi se dodatno pojasnilo, kako lahko javni in zasebni gospodarski subjekti EU izpolnjujejo svoje obveznosti iz Uredbe pri izmenjavi podatkov z mednarodno organizacijo, kot so Združeni narodi.

Komisija je pripravljena še naprej deliti izkušnje iz svojega procesa reforme z zainteresiranimi državami in mednarodnimi organizacijami, saj se je tudi sama učila od drugih sistemov pri razvoju svojega predloga novih pravil EU o varstvu podatkov. Ta vrsta dialoga je vzajemno koristna za EU in njene partnerje, saj omogoča boljše razumevanje hitro razvijajočega se področja zasebnosti ter izmenjavo mnenj o novih pravnih in tehnoloških rešitvah.

Večstranska razsežnost

Komisija dejavno sodeluje pri dvostranskih izmenjavah in tudi v številnih večstranskih forumih za spodbujanje skupnih vrednot in ustvarjanje konvergence na regionalni in svetovni ravni.

Vse bolj univerzalno članstvo v „Konvenciji 108“ Sveta Evrope, ki je edini pravno zavezujoč večstranski instrument na področju varstva osebnih podatkov, je jasen znak tega (naraščajočega) trenda h konvergenci 172 . Konvencijo, ki je na voljo tudi za nečlane Sveta Evrope, je ratificiralo že 55 držav, vključno s številnimi državami iz Afrike in Latinske Amerike 173 . Komisija je bistveno prispevala k uspešnemu izidu pogajanj o posodobitvi Konvencije 174 in zagotovila, da odraža enaka načela, kot so načela EU, določena v pravilih EU o varstvu podatkov. Večina držav članic EU je zdaj podpisala Protokol o spremembi, čeprav še vedno manjkajo podpisi Danske, Malte in Romunije. Samo štiri države članice (Bolgarija, Hrvaška, Litva in Poljska) so doslej ratificirale Protokol o spremembi. Komisija poziva tri preostale države članice, naj podpišejo posodobljeno konvencijo, in vse države članice, naj jo hitro ratificirajo in tako omogočijo začetek njene veljavnosti v bližnji prihodnosti 175 . Poleg tega bo še naprej dejavno spodbujala pristop tretjih držav h Konvenciji.

Pred kratkim so bili pretok in varstvo podatkov obravnavani tudi v okviru skupin G20 in G7. Leta 2019 so svetovni voditelji prvič podprli idejo, da varstvo podatkov prispeva k zaupanju v digitalno gospodarstvo in olajšuje pretok podatkov. Z dejavno podporo 176 Komisije so voditelji podprli idejo o „prostem pretoku podatkov na podlagi zaupanja“, ki ga je prvotno predlagala Japonska v izjavi iz vrha G20 v Osaki 177 in na vrhu G7 v Biarritzu 178 . Ta pristop se odraža tudi v sporočilu Komisije „Evropska strategija za podatke“ iz leta 2020 179 , ki poudarja njeno namero, da bo še naprej spodbujala izmenjavo podatkov z zaupanja vrednimi partnerji, obenem pa se borila proti zlorabam, kot je nesorazmeren dostop (tujih) javnih organov do podatkov.

Pri tem se bo EU lahko oprla tudi na številna orodja na različnih področjih politike, ki čedalje bolj upoštevajo učinek na zasebnost: na primer prvi okvir EU za pregled tujih naložb, ki se bo v celoti začel uporabljati oktobra 2020, daje EU in njenim državam članicam možnost, da pregledajo naložbene transakcije, ki vplivajo na „dostop do občutljivih informacij, vključno z osebnimi podatki, ali sposobnost nadziranja takih informacij“, če vplivajo na varnost ali javni red 180 .

Komisija v več drugih večstranskih forumih sodeluje z enako mislečimi državami, da bi dejavno spodbujala svoje vrednote in standarde. Pomemben forum je pred kratkim ustanovljena delovna skupina organizacije OECD za upravljanje podatkov in zasebnost, ki izvaja številne pomembne pobude, povezane z varstvom podatkov, izmenjavo podatkov in prenosom podatkov. To vključuje vrednotenje smernic OECD o zasebnosti iz leta 2013. Poleg tega je Komisija dejavno prispevala k Priporočilu Sveta OECD o umetni inteligenci 181 ter zagotovila, da se v končnem besedilu odraža na človeka osredotočen pristop EU, kar pomeni, da morajo aplikacije umetne inteligence spoštovati temeljne pravice in zlasti varstvo podatkov. Pomembneje, priporočilo o umetni inteligenci, ki je bilo pozneje vključeno v načela umetne inteligence G20, priložena izjavi voditeljev z vrha G20 v Osaki 182 , določa načela preglednosti in razložljivosti, da „omogoči tistim, ki utrpijo negativne posledice zaradi sistema umetne inteligence, da izpodbijajo rezultate na podlagi preprostih in lahko razumljivih informacij o dejavnikih in logiki, ki so služili kot osnova za napoved, priporočilo ali odločitev“, kar natančno odraža načela Uredbe glede avtomatiziranega sprejemanja odločitev 183 .

Komisija prav tako krepi dialog z regionalnimi organizacijami in mrežami, ki imajo vedno večjo osrednjo vlogo pri oblikovanju skupnih standardov varstva podatkov 184 , pri čemer spodbuja izmenjavo najboljših praks in sodelovanje med izvrševalci. To zlasti zadeva Združenje držav jugovzhodne Azije (ASEAN) – vključno v okviru stalnega dela glede orodij za prenos podatkov – Afriško unijo, forum organov Azijsko-pacifiške skupine za varstvo zasebnosti (APPA) in Ibero-ameriško mrežo za varstvo podatkov, ki so vsi sprožili pomembne pobude na tem področju ter zagotavljajo forume za uspešen dialog med regulatorji na področju zasebnosti in drugimi deležniki.

Priloga I – Določila o neobvezni natančnejši ureditvi v nacionalni zakonodaji

Priloga II – Pregled virov organov za varstvo podatkov

Spodnja tabela prikazuje pregled virov (zaposleni in proračun) organov za varstvo podatkov po državah članicah EU/EGP 191 .

Pri primerjanju podatkov med državami članicami je pomembno upoštevati, da imajo lahko organi dodeljene tudi naloge, ki jih Uredba ne zajema, in da se te lahko med državami članicami razlikujejo. Razmerje med številom zaposlenih pri organih na milijon prebivalcev in razmerje med proračunom organov na milijon EUR BDP sta vključeni samo za dodaten primerjalni element med državami članicami podobne velikosti ter ju ne bi smeli obravnavati izolirano. Pri oceni virov določenega organa je treba upoštevati absolutne podatke, razmerja in razvoj v preteklih letih. 

Vir surovih podatkov: prispevek odbora. Izračuni Komisije. 

(1)

 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (UL L 119, 4.5.2016, str. 1). 

(2)

Sporočilo Komisije Evropskemu parlamentu in Svetu – Pravila o varstvu podatkov za utrjevanje zaupanja v EU in zunaj nje – ocena (COM(2019) 374 final z dne 24. julija 2019).

(3)

 Sporočilo Komisije Evropskemu parlamentu in Svetu: Okrepljeno varstvo, nove priložnosti – navodila Komisije o neposredni uporabi splošne uredbe o varstvu podatkov od 25. maja 2018 (COM(2018) 43 final).

(4)

Stališče in ugotovitve Sveta o uporabi splošne uredbe o varstvu podatkov – 14994/2/19 Rev2 z dne 15. januarja 2020:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/sl/pdf .

(5)

Pismo Odbora LIBE Evropskega parlamenta z dne 21. februarja 2020 komisarju Reyndersu, sklic: IPOL-COM-LIBE D (2020)6525.

(6)

     Prispevek odbora k vrednotenju Uredbe na podlagi člena 97, sprejet 18. februarja 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_sl .

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_sl .

(8)

     Večdeležniška strokovna skupina za Uredbo, ki jo je ustanovila Komisija, vključuje predstavnike civilne družbe in podjetij, akademike in strokovnjake:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

Poročilo večdeležniške skupine je na voljo na:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356 .

(9)

     To dejstvo poudarjata zlasti Svet v svojem stališču in ugotovitvah o uporabi Uredbe in odbor v prispevku k vrednotenju.

(10)

     Številke v oklepaju kažejo število organov EU/EGP za varstvo podatkov, ki so med majem 2018 in koncem novembra 2019 uporabili navedena pooblastila. Glej prispevek odbora, str. 32–33.

(11)

     Več odločitev o naložitvi glob je še vedno v sodni presoji.

(12)

   Člen 83(7) Uredbe.

(13)

     Člen 8(3) Listine, člen 16(2) PDEU, uvodna izjava 20 Uredbe.

(14)

     Glej tudi izjavo odbora o učinkih koncentracije gospodarskih subjektov na varstvo podatkov: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_sl.pdf.

(15)

     Glej zadevo COMP M. 8124 Microsoft/LinkedIn.

(16)

     Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(17)

     Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1).

(18)

     Glej podrobnosti o dejavnostih sekretariata v prispevku odbora, str. 24–26.

(19)

     Poleg 10 smernic, ki jih je sprejela Delovna skupina iz člena 29 v pripravah na začetek uporabe Uredbe in jih je potrdil odbor. Poleg tega je odbor med januarjem in koncem maja 2020 sprejel 4 dodatne smernice in posodobil obstoječe smernice.

(20)

     Od tega je bilo 42 mnenj sprejetih na podlagi člena 64 Uredbe in eno na podlagi člena 70(1)(s) Uredbe (nanašalo se je na sklep o ustreznosti za Japonsko).

(21)

     Za popoln pregled dejavnosti odbora glej prispevek odbora, str. 18–23.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_art_23gdpr_20200602_sl_1.pdf.

(23)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_

healthdatascientificresearchcovid19_sl.pdf.

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_

covid_with_annex_sl.pdf.

(25)

     Informacijski sistem za notranji trg (IMI).

(26)

     Glej prispevek odbora, str. 8.

(27)

     Na primer, irski organ za varstvo podatkov je 22. maja 2020 v skladu s členom 60 Uredbe drugim zadevnim organom predložil osnutek sklepa o preiskavi družbe Twitter International Company v zvezi z obveščanjem o kršitvi varnosti osebnih podatkov. Irski organ za varstvo podatkov je istega dne prav tako sporočil, da za predložitev v skladu s členom 60 pripravlja osnutek sklepa o družbi WhatsApp Ireland Limited, ki se nanaša na preglednost, vključno v zvezi s preglednostjo glede informacij, ki se delijo s Facebookom.

(28)

     Člen 61 Uredbe.

(29)

     Glej prispevek odbora, str. 12–14.

(30)

     Člen 62 Uredbe.

(31)

     Na podlagi člena 64 Uredbe.

(32)

     Člen 65 Uredbe.

(33)

     Člen 66 Uredbe.

(34)

     V skladu s členom 64(1) Uredbe.

(35)

     Člen 28(8) Uredbe.

(36)

     V skladu s členom 64(2) Uredbe.

(37)

     Glej prispevek odbora, str. 15.

(38)

     Kot je tudi poudarjeno v stališču in ugotovitvah Sveta.

(39)

     Glej spodaj pod točko 7.

(40)

     Do sprejetja uredbe o e‑zasebnosti je potrebno tesno sodelovanje s pristojnimi organi, odgovornimi za izvrševanje direktive o e‑zasebnosti v državah članicah. V skladu z navedeno direktivo v nekaterih državah članicah organi, pristojni za uveljavitev člena 5(3) direktive o e‑zasebnosti (ki določa pogoje, pod katerimi se lahko na terminalsko opremo uporabnika namestijo „piškotki“ in se lahko dostopa do njih), niso enaki kot v Uredbi.

(41)

     Člen 33 Uredbe.

(42)

     Glej prispevek odbora, str. 35.

(43)

     Delo na smernicah se je začelo že pred začetkom uporabe Uredbe 25. maja 2018 v okviru Delovne skupine iz člena 29. Glej celoten seznam smernic na https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_sl.

(44)

     To sta poudarila tudi Evropski parlament in Svet.

(45)

     Trenutno so v pripravi smernice odbora o upravljavcih in obdelovalcih.

(46)

     Glej člen 52(4) Uredbe.

(47)

     Uredba je začela veljati maja 2016, uporabljati pa se je začela maja 2018 po dvoletnem prehodnem obdobju.

(48)

     Glej prispevek odbora, str. 26–30.

(49)

     V Nemčiji je 18 organov, od katerih je eden zvezni, 17 pa jih je regionalnih (vključno z dvema na Bavarskem).

(50)

     Člen 60 Uredbe.

(51)

     Člen 52(4) Uredbe.

(52)

     Člen 75 Uredbe.

(53)

     Opozoriti je treba, da je nacionalni organ za varstvo podatkov v Sloveniji ustanovljen na podlagi veljavne nacionalne zakonodaje o varstvu podatkov in nadzira uporabo Uredbe v tej državi članici.

(54)

     Ta postopek za ugotavljanje kršitev zadeva poljski zakon o pravosodju z dne 20. decembra 2019, ki vpliva na neodvisnost sodnikov in med drugim zadeva razkritje udeležbe sodnikov v nepoklicnih dejavnostih:

https://ec.europa.eu/commission/presscorner/detail/sl/ip_20_772.

(55)

     Glej člen 8(3) Listine, člen 16 PDEU in uvodno izjavo 20 Uredbe.

(56)

     Na primer, izvzetje parlamentarnega odbora iz uporabe Uredbe je v postopku predhodnega odločanja (C‑272/19), ki trenutno poteka.

(57)

     Člen 85 Uredbe.

(58)

     Široko uporabljen izraz „določila o odprtosti“ (opening clauses), ki pomeni določila o natančnejši ureditvi, je zavajajoč, saj lahko ustvari vtis, da imajo države članice manevrski prostor, ki presega določbe Uredbe.

(59)

     Uvodna izjava 8 Uredbe.

(60)

     13 let velja za Belgijo, Dansko, Estonijo, Finsko, Latvijo, Malto, Portugalsko in Švedsko; 14 let za Avstrijo, Bolgarijo, Ciper, Španijo, Italijo in Litvo; 15 let za Češko, Grčijo in Francijo; 16 let za Nemčijo, Madžarsko, Hrvaško, Irsko, Luksemburg, Nizozemsko, Poljsko, Romunijo in Slovaško.

(61)

     Člen 9 Uredbe.

(62)

     Člen 89(2) Uredbe.

(63)

     Glej člen 9(2)(i) Uredbe in uvodno izjavo 46.

(64)

     https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:32020H0518&from=EN.

(65)

https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN.

(66)

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_sl.

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_sl.

(68)

     Na primer ker zgolj ponovijo besedilo iz člena 23(1) Uredbe.

(69)

     Člen 37(1) Uredbe.

(70)

     Nemčija.

(71)

     Z uporabo določil o natančnejši ureditvi iz člena 37(4) Uredbe.

(72)

     Primerjaj z uvodno izjavo 4 Uredbe.

(73)

     https://ec.europa.eu/commission/presscorner/detail/sl/IP_19_2956.

(74)

     Agencija Evropske unije za temeljne pravice (FRA) (2020): Raziskava o temeljnih pravicah za leto 2019. Varstvo podatkov in tehnologija: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.

(75)

     Člen 80 Uredbe.

(76)

     COM(2018) 184 final – 2018/089 (COD)

(77)

     Na podlagi člena 77 in 80 Uredbe skupaj.

(78)

     Glej prispevek odbora, str. 31–32.

(79)

     Člen 12(2) Uredbe.

(80)

     Člen 13(1)(b) in člen 14(1)(b) Uredbe.

(81)

     https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52020DC0066&from=EN.

(82)

     Glej poročilo večdeležniške skupine.

(83)

     Glej rezultate javnega posvetovanja o pravicah otrok do varstva podatkov, ki ga je opravil irski organ za varstvo podatkov: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . Aprila 2020 je javno posvetovanje izvedel tudi francoski organ za varstvo podatkov: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique .

(84)

     Člen 12(1) Uredbe.

(85)

     Člen 25 Uredbe.

(86)

     Glej poročilo norveškega sveta za potrošnike, „Deceived by Design“, ki je izpostavil „temne vzorce“, privzete nastavitve ter druge značilnosti in tehnike, ki jih družbe uporabljajo za spodbujanje uporabnikov k vsiljivejšim možnostim:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/ .

Glej tudi raziskavo, ki sta jo decembra 2019 objavila Čezatlantski dialog potrošnikov in fundacija Heinrich-Böll-Stiftung Evropske unije v Bruslju, v kateri sta analizirala prakse treh glavnih svetovnih platform:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms .

(87)

     Uredba (EU) 2018/1807 Evropskega parlamenta in Sveta z dne 14. novembra 2018 o okviru za prosti pretok neosebnih podatkov v Evropski uniji (UL L 303, 28.11.2018, str. 59).

(88)

     Člen 24(1) Uredbe.

(89)

     Glej prispevek odbora, str. 35.

(90)

     Glej prispevek odbora, str. 35–45.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_sl .

(93)

     Glej poročilo večdeležniške skupine.

(94)

     Glej prispevek Sveta.

(95)

     Sporočilo Komisije Evropskemu parlamentu in Svetu – Smernice k uredbi o okviru za prosti pretok neosebnih podatkov v Evropski uniji (COM(2019) 250 final).

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_sl .

(97)

     Glej poročilo večdeležniške skupine.

(98)

     Glej ukrepe, napovedane v evropski podatkovni strategiji, str. 30.

(99)

     V skladu s členom 41(3) Uredbe. Glej mnenja Evropskega odbora za varstvo podatkov na naslovu: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_sl.

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_en .

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_sl .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/retningslinjer/guidelines-42018-accreditation-certification-bodies_sl . Več nadzornih organov je že predložilo svoje zahteve za akreditacijo Evropskemu odboru za varstvo podatkov, tako za telesa za spremljanje kodeksov ravnanja kot za telesa za certificiranje. Glej pregled na naslovu: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_sl .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe .

(104)

     Člen 28(7) Uredbe.

(105)

     Kot so opozorili Svet, Evropski parlament in odbor v svojih prispevkih k vrednotenju.

(106)

     Vendar deležniki opažajo, da vsi postopki avtomatiziranega sprejemanja odločitev v okviru umetne inteligence ne spadajo pod člen 22 Uredbe.

(107)

      https://ec.europa.eu/commission/presscorner/detail/sl/ip_20_962 .

(108)

     Sporočilo Komisije Evropskemu parlamentu in Svetu – Izmenjava in varstvo osebnih podatkov v globaliziranem svetu (COM(2017) 7 final) z dne 10. januarja 2017.

(109)

     Evropski odbor za varstvo podatkov, Smernice št. 2/2018 o ozemeljski veljavnosti Uredbe z dne 12. novembra 2019. Smernice obravnavajo več točk, ki so se zastavile med javnim posvetovanjem, na primer razlago meril za ciljno usmerjanje in spremljanje.

(110)

     Glej stališče in ugotovitve Sveta, odstavki 34, 35 in 38.

(111)

     Glej člen 27(4) in uvodno izjavo 80 Uredbe („Za imenovanega predstavnika bi morali v primeru neskladnosti upravljavca ali obdelovalca veljati izvršilni postopki“).

(112)

     Predlog direktive Evropskega parlamenta in Sveta o določitvi harmoniziranih pravil o imenovanju pravnih zastopnikov za namene zbiranja dokazov v kazenskih postopkih (COM(2018) 226 final), člen 3; Predlog uredbe Evropskega parlamenta in Sveta o preprečevanju razširjanja terorističnih spletnih vsebin (COM(2018) 640 final), člen 16(2) in (3).

(113)

     V skladu z enim od prispevkov v okviru javnega posvetovanja je ena glavnih točk za obravnavo „učinkovito izvrševanje in dejanske posledice za tiste, ki so se odločili prezreti to zahtevo […] Zlasti je treba upoštevati, da to postavlja podjetja s sedežem v Uniji v podrejen konkurenčni položaj v primerjavi s tistimi podjetji s sedežem zunaj Unije, ki trgujejo v Uniji in ne izpolnjujejo zahtev.“ Glej prispevek družbe EU Business partners z dne 29. aprila 2020.

(114)

     To vprašanje je bilo omenjeno v več prispevkih v okviru javnega posvetovanja, na primer glede prenosa osebnih podatkov prejemnikom zunaj EU, za katere kljub temu velja Uredba.

(115)

     Stališče in ugotovitve Sveta, odstavek 17; prispevek odbora, str. 5–6. Različni prispevki v okviru javnega posvetovanja, vključno številnih poslovnih združenj (npr. prispevki French Association of Large Companies, Digital Europe, Global Data Alliance/BSA, Computer & Communication Industry Association (CCIA) ali gospodarske zbornice ZDA), so pozvali k okrepitvi dela glede ugotovitev o ustreznosti, zlasti s pomembnimi trgovinskimi partnerji.

(116)

     Sodba Sodišča Evropske unije z dne 6. oktobra 2015 v zadevi C‑362/14, Maximillian Schrems proti Data protection Commissioner (v nadaljnjem besedilu: Schrems), točke 73, 74 in 96. Glej tudi uvodno izjavo 104 Uredbe, ki se nanaša na standard osnovne enakovrednosti.

(117)

     Člen 45(2) in uvodna izjava 104 Uredbe. Glej tudi Schrems, točki 75 in 91.

(118)

     Referenčni dokument o ustreznosti, WP 254 rev. 01 z dne 6. februarja 2018 (na voljo na: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

     Prispevek odbora, str. 5–6.

(120)

     Člen 45(4) in (5) Uredbe od Komisije zahteva, da stalno spremlja razvoj dogodkov v tretjih državah in redno – vsaj vsaka štiri leta – pregleduje ugotovitve o ustreznosti. Komisijo prav tako pooblašča, da razveljavi, spremeni ali začasno odloži izvajanje sklepa o ustreznosti, če se ugotovi, da zadevna država ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. Člen 97(2)(a) Uredbe poleg tega zahteva, da Komisija do leta 2020 Evropskemu parlamentu in Svetu predloži poročilo o vrednotenju. Glej tudi sodbo Sodišča Evropske unije z dne 6. oktobra 2015 v zadevi C‑362/14, Maximillian Schrems proti Data Protection Commissioner, točka 76.

(121)

     Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU‑ZDA. Ta sklep o ustreznosti je poseben primer, ki se zaradi odsotnosti splošne zakonodaje o varstvu podatkov v ZDA za uporabo standardov varstva podatkov, določenih v dogovoru, opira na zaveze sodelujočih družb (ki so izvršljive v skladu z zakonodajo ZDA). Poleg tega zasebnostni ščit gradi na posebnih zavezah in zagotovilih vlade ZDA, kar zadeva dostop za namene nacionalne varnosti, na katerih temelji ugotovitev o ustreznosti.

(122)

     Pregledi so bili opravljeni leta 2017 (Poročilo Komisije Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU‑ZDA (COM(2017) 611 final)), leta 2018 (Poročilo Komisije Evropskemu parlamentu in Svetu o drugem letnem pregledu delovanja zasebnostnega ščita EU‑ZDA (COM(2018) 860 final)) in leta 2019 (Poročilo Komisije Parlamentu in Svetu o tretjem letnem pregledu delovanja zasebnostnega ščita EU‑ZDA (COM(2019) 495 final)).

(123)

Ti obstoječi sklepi o ustreznosti zadevajo države, ki so tesno povezane z Evropsko unijo in njenimi državami članicami (Švica, Andora, Ferski otoki, Guernsey, Jersey, Otok Man), pomembne trgovinske partnerje (npr. Argentina, Kanada, Izrael) in države, ki so imele pionirsko vlogo pri razvoju zakonodaj o varstvu podatkov v njihovi regiji (Nova Zelandija, Urugvaj).

(124)

Zadeva C‑311/18, Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (v nadaljnjem besedilu: Schrems II), se nanaša na predhodno odločanje o tako imenovanih standardnih pogodbenih določilih. Vendar pa lahko Sodišče tudi nadalje pojasni nekatere elemente standarda ustreznosti. Zaslišanje v tej zadevi je potekalo 9. julija 2019, sodba pa je bila napovedana za 16. julij 2020.

(125)

     Glej opombo 109. Komisija je pojasnila, da bodo pri oceni, s katerimi tretjimi državami vzpostaviti dialog o ustreznosti, upoštevana naslednja merila: (i) obseg (dejanskih ali potencialnih) trgovinskih odnosov EU s tretjo državo, vključno z obstojem sporazuma o prosti trgovini ali tekočih pogajanj; (ii) obseg tokov osebnih podatkov iz EU, ki odraža geografske in/ali kulturne vezi; (iii) pionirska vloga države na področju zasebnosti in varstva podatkov, ki bi lahko bila vzor drugim državam v njeni regiji, in (iv) splošni politični odnos z državo, zlasti v zvezi s spodbujanjem skupnih vrednot in ciljev na mednarodni ravni.

(126)

     Resolucija Evropskega parlamenta z dne 13. decembra 2018 o ustreznosti varstva osebnih podatkov, ki ga zagotavlja Japonska (2018/2979 (RSP)), točka 27; prispevek odbora, str. 5–6.

(127)

     Glej npr. Resolucijo Evropskega parlamenta z dne 12. decembra 2017: Digitalni trgovinski strategiji naproti (2017/2065 (INI)), točki 8 in 9; Stališče in ugotovitve Sveta o uporabi Splošne uredbe o varstvu podatkov z dne 19. decembra 2019 (14994/1/19), odstavek 17; prispevek odbora, str. 5.

(128)

     Kot je zahteval tudi Svet; glej Stališče in ugotovitve Sveta o uporabi Splošne uredbe o varstvu podatkov z dne 19. decembra 2019 (14994/1/19), odstavka 17 in 40. Vendar je za to potrebno, da so izpolnjeni pogoji za ugotovitev o ustreznosti glede prenosa podatkov javnim organom, tudi kar zadeva neodvisni nadzor.

(129)

     Glej pogajalske smernice, priložene k Sklepu Sveta o pooblastilu za začetek pogajanj o novem sporazumu o partnerstvu z Združenim kraljestvom Velika Britanija in Severna Irska (ST 5870/20 ADD 1 REV 3), odstavka 13 in 118.

(130)

Glej revidirano besedilo politične izjave, ki določa okvir za prihodnje odnose med Evropsko unijo in Združenim kraljestvom, kot je bilo dogovorjeno na ravni pogajalcev 17. oktobra 2019, odstavki 8–10 (na voljo na https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)

     Na primer Argentina, Kolumbija, Izrael, Švica ali Urugvaj.

(132)

     Standardna pogodbena določila za mednarodne prenose vedno zahtevajo odobritev Komisije, vendar jih lahko pripravi bodisi Komisija bodisi nacionalni organ za varstvo podatkov. Vsa obstoječa standardna pogodbena določila spadajo v prvo kategorijo.

(133)

     V skladu z letnim poročilom o upravljanju zasebnosti IAPP-EY za leto 2019 so „najbolj priljubljena orodja [za prenos] – leto za letom – v veliki večini standardna pogodbena določila: 88 % vprašanih v letošnji raziskavi je navedlo standardna pogodbena določila kot svojo glavno metodo za ekstrateritorialne prenose podatkov, sledi pa jim skladnost z ureditvijo zasebnostnega ščita EU‑ZDA (60 %). Pri vprašanih, ki podatke prenašajo iz EU v Združeno kraljestvo (52 %), jih 91 % navaja, da nameravajo uporabljati standardna pogodbena določila za izpolnjevanje obveznosti pri prenosu podatkov po brexitu.“

(134)

     Trenutno obstajajo trije sklopi standardnih pogodbenih določil, ki jih je Komisija sprejela za prenos osebnih podatkov v tretje države: dva za prenose od upravljavca iz EGP k upravljavcu zunaj EGP in en za prenose od upravljavca iz EGP na obdelovalca zunaj EGP. Leta 2016 so bila na podlagi sodbe Sodišča v zadevi Schrems I (C‑362/14) spremenjena, da bi odpravila kakršne koli omejitve za pristojne nadzorne organe, da izvajajo svoja pooblastila za nadzor prenosov podatkov. Glej https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sl .

(135)

     Glej tudi prispevek odbora, str. 6–7. Prav tako je Svet pozval Komisijo, naj standardna pogodbena določila „pregleda in revidira v bližnji prihodnosti, da bi upoštevali potrebe upravljavcev in obdelovalcev“. Glej stališče in ugotovitve Sveta.

(136)

     V več prispevkih v okviru javnega posvetovanja so bile podane pripombe o zadnjem scenariju, ki pogosto vzbuja pomisleke, da če bi se od obdelovalcev EU zahtevalo, naj zagotovijo ustrezne zaščitne ukrepe v odnosu do upravljavcev zunaj EU, bi jih to potisnilo v slabši konkurenčni položaj v primerjavi s tujimi obdelovalci, ki ponujajo podobne storitve.

(137)

Glej zadevo Schrems II.

(138)

V skladu s členom 46(2)(c) Uredbe je treba standardna pogodbena določila sprejeti s postopkom pregleda iz člena 5 Uredbe (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13.) To vključuje zlasti pozitivno odločitev odbora, ki ga sestavljajo predstavniki držav članic.

(139)

     To vključuje na primer trenutno delo držav članic ASEAN za razvoj „vzorčnih pogodbenih določil ASEAN“. Glej ASEAN: „Key Approaches for ASEAN Cross Border Data Flows Mechanism“ (Ključni pristopi za mehanizem čezmejnih pretokov podatkov ASEAN) (na voljo na: https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Za pregled dosedanjih mnenj Evropskega odbora za varstvo podatkov glej https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_sl .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 .

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Te dokumente je prejšnja Delovna skupina iz člena 29 sprejela po začetku veljavnosti Uredbe, vendar pred koncem prehodnega obdobja. Glej dokument WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); dokument WP 264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ) in dokument WP 265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

     Prispevek odbora, str. 7.

(145)

Seznam posebnih zahtev, ki sestavljajo ta standard ISO, je na voljo na: https://www.iso.org/standard/71670.html .

(146)

     Evropski odbor za varstvo podatkov, Mnenje št. 4/2019 o osnutku upravnega dogovora za prenos osebnih podatkov med organi finančnega nadzora znotraj Evropskega gospodarskega prostora (EGP) in organi finančnega nadzora zunaj EGP z dne 12. februarja 2019.

(147)

     Evropski odbor za varstvo podatkov, Smernice št. 2/2020 o členih 46(2)(a) in 46(3)(b) Uredbe 2016/679 za prenos osebnih podatkov med javnimi organi v EGP in javnimi organi zunaj EGP (osnutek na voljo na: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_sl ). Po mnenju Evropskega odbora za varstvo podatkov se bo „pristojni nadzorni organ pri svoji presoji oprl na splošna priporočila iz teh smernic, lahko pa bo zahteval tudi več zagotovil, odvisno od specifičnega primera“. Evropski odbor za varstvo podatkov je ta osnutek smernic predložil v javno posvetovanje, ki se je končalo 18. maja 2020.

(148)

     Stališče in ugotovitve Sveta, odstavek 20.

(149)

     Evropski odbor za varstvo podatkov hkrati pojasnjuje, da se javni organi še naprej „lahko zanesejo na druga ustrezna orodja, ki zagotavljajo ustrezne zaščitne ukrepe v skladu s členom 46 Uredbe“. Kar zadeva izbiro instrumenta, Evropski odbor za varstvo podatkov poudarja, da „bi bilo treba natančno oceniti, ali naj se uporabijo pravno nezavezujoči upravni dogovori za zagotovitev zaščitnih ukrepov v javnem sektorju ali ne, in sicer v skladu z namenom obdelave in naravo podatkov, ki so na voljo. Če pravice do varstva podatkov in pravnega sredstva za posameznike iz EGP niso predvidene v notranjem pravu tretje države, je treba dati prednost sklenitvi pravno zavezujočega sporazuma. Ne glede na vrsto sprejetega instrumenta morajo biti veljavni ukrepi učinkoviti pri zagotavljanju ustreznega izvajanja, izvrševanja in nadzora“ (odstavek 67).

(150)

     To lahko na primer vključuje kombiniranje notranjih kontrol (z zavezo, da bo druga stranka obveščena o kakršnem koli primeru neskladnosti) z neodvisnim nadzorom prek zunanjih ali vsaj funkcionalno avtonomnih mehanizmov, pa tudi možnost javnega organa, ki prenaša podatke, da prenos začasno ali dokončno prekine.

(151)

     To lahko na primer vključuje zavezujoče mehanizme, podobne sodnim (npr. arbitražo), ali mehanizme alternativnega reševanja sporov, skupaj z možnostjo javnega organa, ki prenaša osebne podatke, da prenos začasno ali dokončno prekine, če strankama ne uspe rešiti spora sporazumno, ter zavezo javnega organa prejemnika, da bo osebne podatke vrnil ali izbrisal. Evropski odbor za varstvo podatkov priporoča posvetovanje s pristojnim nadzornim organom pred odločitvijo o izbiri alternativnih mehanizmov pravnega sredstva v zavezujočih in izvršljivih instrumentih, ker ni mogoče zagotoviti učinkovitega sodnega varstva.

(152)

     To je sprememba glede na Direktivo 95/46, ki je zgolj zahtevala „nedvoumno“ privolitev. Poleg tega veljajo splošne zahteve za privolitev v skladu s členom 4(11) Uredbe.

(153)

     Evropski odbor za varstvo podatkov, Smernice št. 02/2018 o odstopanjih iz člena 49 v skladu z Uredbo 2016/679 z dne 25. maja 2018 (na voljo na: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_sl.pdf ).

(154)

     To vključuje na primer mednarodne prenose zdravstvenih podatkov za raziskovalne namene v okviru izbruha COVID-19. Glej Evropski odbor za varstvo podatkov, Smernice št. 03/2020 o obdelavi podatkov o zdravstvenem stanju za namene znanstvenih raziskav v okviru izbruha COVID‑19 z dne 21. aprila 2020 (na voljo na: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_sl.pdf ).

(155)

     Glej uvodno izjavo 112.

(156)

     Glej povzetek Evropske komisije v imenu Evropske unije kot Amicus Curiae v podporo nobeni od strank v zadevi ZDA proti Microsoftu, str. 15: „Na splošno zakonodaja Unije in držav članic priznava pomen boja proti hudim kaznivim dejanjem – torej kazenskega pregona in mednarodnega sodelovanja v tem pogledu – kot cilj splošnega interesa. […] Člen 83 PDEU opredeljuje več kaznivih dejanj, ki so še posebej resna in imajo čezmejno razsežnost, kot je nedovoljen promet s prepovedanimi drogami.“ (na voljo na: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)

     Evropski odbor za varstvo podatkov, smernice o odstopanjih (opomba 153), str. 10. Evropski odbor za varstvo podatkov je še pojasnil, da čeprav prenosi podatkov, ki temeljijo na odstopanju zaradi javnega interesa, ne smejo biti „obsežni“ ali „sistematični“, ampak „jih je treba omejiti na konkretne situacije [in morajo izpolnjevati] strog preizkus potrebnosti“, ne obstaja zahteva, da so „občasni“.

(158)

     To je jasno razvidno iz besedila člena 48 Uredbe („brez poseganja v druge podlage za prenos v skladu s tem poglavjem“) in spremljajoče uvodne izjave 115 („Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države. To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije ali pravom države članice, ki velja za upravljavca“). To priznava tudi Evropski odbor za varstvo podatkov, glej smernice o odstopanjih (opomba 153), str. 5. Tako kot za vse postopke obdelave je treba upoštevati tudi druge zaščitne ukrepe v skladu z Uredbo (npr. da so podatki, ki se prenašajo za določen namen, relevantni, omejeni na to, kar je potrebno za namen zahteve, itd.).

(159)

     Prispevek v zadevi Microsoft (opomba 156). Kot je pojasnila Komisija, so v skladu z Uredbo sporazumi o medsebojni pravni pomoči „prednostna možnost“ za prenose, saj taki sporazumi „zagotavljajo zbiranje dokazov s soglasjem in so skrbno ravnotežje med interesi različnih držav, zasnovano tako, da se izogne sporom glede pristojnosti, ki bi lahko v nasprotnem primeru nastali“. Glej tudi smernice o odstopanjih Evropskega odbora za varstvo podatkov (opomba 153), str. 5 („V primerih, ko obstaja mednarodni sporazum, kot je pogodba o medsebojni pravni pomoči, bi podjetja EU načeloma morala zavrniti neposredne zahteve in organ tretje države prosilke napotiti k obstoječi pogodbi o medsebojni pravni pomoči ali sporazumu“).

(160)

     Prispevek v zadevi Microsoft (opomba 156), str. 4.

(161)

     Prispevek v zadevi Microsoft (opomba 156), str. 6.

(162)

     Evropska komisija, predlog uredbe Evropskega parlamenta in Sveta o evropskem nalogu za predložitev in evropskem nalogu za zavarovanje elektronskih dokazov v kazenskih zadevah z dne 17. aprila 2018 (COM(2018) 225 final). Svet je 7. decembra 2018 sprejel splošni pristop k predlagani uredbi (na voljo na: https://www.consilium.europa.eu/sl/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Glej tudi Evropski nadzornik za varstvo podatkov, Mnenje št. 7/19 o predlogih glede evropskega naloga za predložitev in evropskega naloga za zavarovanje elektronskih dokazov v kazenskih zadevah (na voljo na: https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     Obrazložitveni memorandum, str. 21, jasno poudarja, da je poleg zagotavljanja pravne kurtoazije glede upoštevanja suverenih interesov tretjih držav, da se zaščiti zadevni posameznik in izogne koliziji prava za ponudnike storitev, eden od pomembnih dejavnikov za klavzulo o pravni kurtoaziji vzajemnost, tj. zagotavljanje spoštovanja pravil EU, vključno z varstvom osebnih podatkov (člen 48 Uredbe). Glej tudi izjavo Delovne skupine iz člena 29 z dne 29. novembra 2017: Vidiki varstva podatkov in zasebnosti čezmejnega dostopa do elektronskih dokazov (na voljo na: file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), str. 9.

(164)

     Glej izjavo delovne skupine 29 (opomba 163), str. 6.

(165)

     Glej priporočilo za sklep Sveta o odobritvi sodelovanja v pogajanjih o Drugem dodatnem protokolu h Konvenciji Sveta Evrope o kibernetski kriminaliteti (CETS št. 185) z dne 5. februarja 2019 (COM(2019) 71 final). Glej tudi Evropski nadzornik za varstvo podatkov, Mnenje št. 3/2019 glede sodelovanja v pogajanjih glede Drugega dodatnega protokola h Konvenciji o kibernetski kriminaliteti iz Budimpešte z dne 2. aprila 2019 (na voljo na: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); Evropski odbor za varstvo podatkov, Prispevek k posvetovanju o osnutku drugega dodatnega protokola h Konvenciji Sveta Evrope o kibernetski kriminaliteti (Budimpeška konvencija) z dne 13. novembra 2019 (na voljo na: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     Glej Priporočilo za sklep Sveta o odobritvi začetka pogajanj o sporazumu med Evropsko unijo in Združenimi državami Amerike o čezmejnem dostopu do elektronskih dokazov za pravosodno sodelovanje v kazenskih zadevah z dne 5.februarja 2019 (COM(2019) 70 final). Glej tudi Evropski nadzornik za varstvo podatkov, Mnenje št. 2/2019 o pogajalskem mandatu za sporazum med EU in ZDA o čezmejnem dostopu do elektronskih dokazov (na voljo na: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

Glej prispevek GD za pravosodje in potrošnike z dne 9. novembra 2018 v odgovor na poziv nacionalne agencije za telekomunikacije in informacije ZDA k predložitvi mnenj javnosti na predlagani pristop k zasebnosti potrošnikov [Zadeva št. 180821780-8780-01] (na voljo na: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf ).

(168)

Glej prispevek GD za pravosodje in potrošnike z dne 19. novembra 2018 o osnutku indijskega zakona o varstvu osebnih podatkov iz leta 2018 ministrstvu za elektroniko in informacijsko tehnologijo (na voljo na: https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_en).

(169)

Glej plenarno zasedanje brazilskega senata z dne 17. aprila 2018 (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384), zasedanje skupnega odbora brazilskega kongresa o MP 869/2018 z dne 10. aprila 2019 ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ) in zasedanje posebnega odbora brazilske poslanske zbornice z dne 26. novembra 2019 (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

Glej zasedanji z dne 29. maja 2018 ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ) in 24. aprila 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2) ter zasedanje odbora čilskega senata za ustavne, zakonodajne in pravosodne zadeve.

(171)

Glej zasedanje odbora za pravice, svoboščine in zunanje zadeve tunizijske skupščine predstavnikov ljudstva z dne 2. novembra 2018 ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     Pomembno je, da posodobljena konvencija ni le sporazum, ki določa močne zaščitne ukrepe za varstvo podatkov, ampak tudi vzpostavlja mrežo nadzornih organov z orodji za sodelovanje pri izvrševanju, odbor Konvencije pa služi kot forum za razprave, izmenjavo najboljših praks in razvoj mednarodnih standardov.

(173)

Glej celoten seznam članov: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Države iz Afrike vključujejo Zelenortske otoke, Mauritius, Maroko, Senegal in Tunizijo, iz Latinske Amerike pa Argentino, Mehiko in Urugvaj. Burkina Faso je bila povabljena, da se pridruži konvenciji.

(174)

Glej besedilo posodobljene konvencije: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     V skladu s sklepom o Protokolu o spremembi z dne 18. maja 2018 je Odbor ministrov „pozval države članice in druge pogodbenice Konvencije, naj brez odlašanja sprejmejo potrebne ukrepe, da bodo omogočile začetek veljavnosti Protokola v treh letih od dneva, ko je bil na voljo za podpis, in takoj, vsekakor pa najpozneje v enem letu od datuma, ko je bil Protokol na voljo za podpis, začnejo postopek v skladu z njihovo nacionalno zakonodajo, ki vodi do ratifikacije ...“ Namestnikom je tudi naložil „naj vsake dve leti, prvič pa eno leto po datumu, ko je bil Protokol na voljo za podpis, pregledajo splošni napredek pri ratifikaciji na podlagi informacij, ki jih bodo generalnemu sekretarju predložile vsaka od držav članic in druge pogodbenice Konvencije najpozneje en mesec pred takim pregledom“. Glej https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     Ob robu vrha med EU in Japonsko aprila 2019 je predsednik Juncker izrazil podporo pobudi Japonske za „prosti pretok podatkov na podlagi zaupanja“ in uvedbi projekta „Osaka Track“ ter se zavezal, da bo imela Komisija „dejavno vlogo v obeh pobudah“.

(177)

     Glej besedilo izjave voditeljev G20 iz Osake: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf .

(178)

     Glej besedilo Strategije iz Biarritza za odprto, prosto in varno digitalno preobrazbo z vrha G7: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf .

(179)

     Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij, Evropska strategija za podatke z dne 19. februarja 2020 (COM(2020) 66 final) ( https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52020DC0066&from=EN ), str. 23–24.

(180)

 Člen 4(1)(d) Uredbe (EU) 2019/452 Evropskega parlamenta in Sveta z dne 19 marca 2019 o vzpostavitvi okvira za pregled neposrednih tujih naložb v Uniji (UL L 79I, 21.3.2019).

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 .

(182)

Ministrska izjava G20 o trgovini in digitalnem gospodarstvu: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf .

(183)

     Glej člen 13(2)(f), člen 14(2)(g) in člen 22 Uredbe.

(184)

     Glej na primer Konvencijo Afriške unije o kibernetski varnosti in varstvu osebnih podatkov (Konvencija iz Malaboja) ter standarde za varstvo podatkov za ibero-ameriške države, ki jih je razvila Ibero-ameriška mreža za varstvo podatkov.

(185)

Konvencija Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD .

(186)

 Konvencija Afriške unije o kibernetski varnosti in varstvu osebnih podatkov: https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Poleg tega je pravila o varstvu podatkov razvilo več regionalnih gospodarskih skupnosti, na primer Gospodarska skupnost zahodnoafriških držav (ECOWAS) in Južnoafriška razvojna skupnost (SADC). Glej http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf in http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Med drugim prek politične in regulativne pobude za digitalno Afriko (Policy and Regulation Initiative for Digital Africa (PRIDA)), glej informacije na: https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

Glej Skupno sporočilo Evropske komisije in visokega predstavnika za zunanje zadeve in varnostno politiko „Za celovito strategijo z Afriko“ (na voljo na: https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52020JC0004&from=EN ); projektna skupina za digitalno gospodarstvo, Novo partnerstvo Afrika-Evropa za digitalno gospodarstvo: Pospeševanje doseganja ciljev trajnostnega razvoja (na voljo na: https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52020DC0066&from=EN , str. 23.

(191)

Razen za Lihtenštajn.