INT/1042
Splošna uredba o varstvu podatkov – dodatna postopkovna pravila
MNENJE
Strokovna skupina za enotni trg, proizvodnjo in potrošnjo
Predlog uredbe Evropskega parlamenta in Sveta
o določitvi dodatnih postopkovnih pravil v zvezi z izvrševanjem Uredbe (EU) 2016/679
[COM(2023) 348 final – 2023/0202 (COD)]
Poročevalka: Katrīna ZARIŅA
|
Zaprosilo
|
Evropska komisija, 13. 11. 2023
|
|
Pravna podlaga
|
člen 304 Pogodbe o delovanju Evropske unije
|
|
|
|
|
Pristojnost
|
strokovna skupina za enotni trg, proizvodnjo in potrošnjo
|
|
Datum sprejetja na seji strokovne skupine
|
23. 11. 2023
|
|
Rezultat glasovanja
(za/proti/vzdržani)
|
37/0/0
|
|
Datum sprejetja na plenarnem zasedanju
|
…
|
|
Plenarno zasedanje št.
|
…
|
|
Rezultat glasovanja
(za/proti/vzdržani)
|
…/…/…
|
1.Sklepi in priporočila
1.1Evropski ekonomsko-socialni odbor (EESO) na splošno pozdravlja predlog Evropske komisije o določitvi dodatnih postopkovnih pravil za sodelovanje med nadzornimi organi za osebne podatke v državah članicah Evropske unije v čezmejnih primerih.
1.2EESO meni, da je bil predlog pripravljen z vso potrebno skrbnostjo, da bi se povečala vključenost posameznikov, na katere se nanašajo osebni podatki, v postopek preiskovanja čezmejnih pritožb, in da so v njem določene vse informacije, ki jih je treba predložiti ob vložitvi pritožbe, s čimer bi postopek postal enostavnejši.
EESO meni, da je izboljšava zakonodaje, ki jo predlaga Komisija, nujna in da bo prinesla oprijemljive koristi vsem udeleženim stranem. Z novimi pravili bo natančneje določena pravica organizacij (podjetij in institucij) do poštenega postopka, poudarjena bo pravica posameznikov do zaslišanja v pritožbenem postopku, organom za varstvo podatkov pa bo olajšano sodelovanje in se bo tako izboljšala učinkovitost izvrševanja zakonodaje.
1.3EESO je med razpravami prišel do zaključka, da sta zmogljivost in uspešnost organov držav članic za varstvo podatkov zelo pomembni za učinkovito obravnavanje čezmejnih primerov. V zvezi s tem poziva države članice, naj pozorno spremljajo financiranje svojih organov za varstvo podatkov in okrepijo njihovo zmogljivosti, da bodo posamezniki in podjetja lahko prejeli vso podporo, ki jo potrebujejo.
1.4EESO meni, da je namen tega predloga uskladiti izvajanje člena 60 splošne uredbe o varstvu podatkov v državah članicah in bolje opredeliti postopke. S predlogom se potek postopka v zvezi z uporabo splošne uredbe prvič usklajuje na ravni držav članic. EESO na splošno pozdravlja napredek pri usklajevanju njenega izvajanja ob upoštevanju razlik med nacionalnimi predpisi držav članic. Podpira tudi začrtano pot za uskladitev postopkov in poziva udeležene strani, naj ji sledijo in, kolikor je mogoče, razširijo usklajevanje procesnih aktov na vsa postopkovna vprašanja v zvezi z uporabo splošne uredbe.
1.5EESO je pripravil več predlogov, s katerimi bi po njegovem mnenju lahko izboljšali predlog Komisije, ki ji priporoča, naj predlog pojasni in dopolni na naslednji način:
a)
v predlogu naj natančneje določi postopkovne roke in najdaljše možne roke, kjer je to mogoče in ustrezno;
b)
organom za varstvo podatkov držav članic naj pojasni, da informacije, ki jih je v skladu s prilogo k predlogu treba vključiti v pritožbo, zajemajo minimalno količino informacij, ki jih mora pritožnik predložiti, vendar ima vsak organ za varstvo podatkov pravico, da jih po potrebi dopolni z drugimi neobveznimi sklopi informacij;
c)
organom za varstvo podatkov držav članic naj podeli pravico, da določijo jezik sporazumevanja, za katerega menijo, da ga je najprimerneje uporabiti pri medsebojni obravnavi čezmejnega zahtevka;
d)
organom za varstvo podatkov držav članic naj omogoči, da odločajo o tem, ali bodo preverili identiteto pritožnika in zahtevali, naj pritožbi priloži kopijo osebnega dokumenta;
e)
izboljša naj obrazec za vložitev pritožbe, tako da se doda pravica pritožnika, da zahteva zaupno obravnavo predloženih informacij;
f)
v obrazcu za vložitev pritožbe naj se seznam identifikacijskih dokumentov nadomesti s splošnejšim besedilom, kot je na primer „identifikacijski dokument“, da bi zajeli vse vrste identifikacijskih dokumentov, ki se štejejo za sprejemljive v zadevni državi članici, pri čemer naj se vozniška dovoljenja za namene osebne identifikacije navedejo samo v tistih državah članicah, kjer se štejejo za identifikacijske dokumente;
g)
zahteva naj, da organi za varstvo podatkov uporabijo vse informacije, zahtevane v obrazcu iz priloge k predlogu, in naj se te štejejo za zadostne ne le za vložitev pritožbe v zvezi s čezmejno obdelavo, temveč tudi v primerih, ko na prvi pogled do nje ni prišlo;
h)
navede naj, kako se bo predlog uporabljal za države Evropskega gospodarskega prostora (EGP).
1.6EESO opozarja, da je treba socialne partnerje in civilno družbo bolj vključiti v pripravo, ocenjevanje in spremljanje teh predlogov, ko se pripravljajo nova pojasnila in predlogi. Tesno sodelovanje med povezanimi stranmi je del načel dobrega upravljanja ter izboljšuje splošno kakovost predpisov in učinkovitost njihove uporabe.
2.Splošne ugotovitve
2.1Evropska komisija je pripravila predlog dodatnih postopkovnih pravil za sodelovanje med nadzornimi organi za osebne podatke v državah članicah Evropske unije (EU) v čezmejnih primerih, ki so zdaj določena v členu 60
splošne uredbe o varstvu podatkov
. Hkrati je pripravila skupni obrazec za vložitev pritožbe za čezmejne primere, ki je priložen predlogu.
2.2Nadzor nad splošno uredbo o varstvu podatkov je od začetka njene veljavnosti leta 2018 zaupan neodvisnim organom za varstvo podatkov v državah članicah. Namen načela izvrševanja „vse na enem mestu“, določenega v splošni uredbi o varstvu podatkov, je zagotoviti dosledno razlago in uporabo te uredbe, hkrati pa v praksi uveljaviti načelo bližine, v skladu s katerim ima vsakdo možnost, da stopi v stik s svojim lokalnim organom za varstvo podatkov in prejme odgovor. V takih primerih „vodilni“ organ za varstvo podatkov (organ za varstvo podatkov glavne ustanovitve upravljavca ali obdelovalca v preiskavi) izvaja preiskavo in mora sodelovati z drugimi zadevnimi organi za varstvo podatkov, tako da si prizadeva doseči skupno razumevanje (soglasje).
2.3Vodilni organ za varstvo podatkov mora svojo pristojnost izvajati v okviru tesnega sodelovanja z zadevnimi organi za varstvo podatkov. Kadar se organi za varstvo podatkov ne morejo dogovoriti o skupnem pristopu v čezmejnem primeru, je v splošni uredbi o varstvu podatkov določeno reševanje spornih vprašanj, ki jih na podlagi tako imenovanih „ustreznih in utemeljenih ugovorov“ predloži Evropski odbor za varstvo podatkov, ki ga sestavljajo vodje organa za varstvo podatkov posamezne države članice in Evropski nadzornik za varstvo podatkov, v njem pa sodeluje tudi Komisija.
2.4Predlog dopolnjuje splošno uredbo o varstvu podatkov, saj podrobneje določa postopkovna pravila za ključne faze preiskovalnega postopka o pritožbi, ki so v njej določena. Njegov namen je zagotoviti dosledno uporabo te uredbe v državah članicah in odpraviti težave na več področjih. Izvajanje postopkovnih pravil bo povzročilo interakcijo s postopkovnimi pravicami držav članic v okviru organa (za varstvo podatkov).
2.5Kar zadeva posameznike, bodo z novimi pravili pojasnjene informacije, ki se bodo zahtevale ob vložitvi pritožbe, hkrati pa bo zagotovljeno sodelovanje pritožnika v celotnem postopku preiskave. Kar zadeva podjetja, bo s pravili pojasnjena njihova pravica do poštenega postopka, organom za varstvo podatkov pa se bo olajšalo sodelovanje in se bo tako izboljšala učinkovitost uporabe pravil. EESO meni, da so take izboljšave predpisov nujne in da bodo prinesle oprijemljive koristi vsem udeleženim stranem.
2.6Pravice posameznikov, na katere se nanašajo osebni podatki, v čezmejnih primerih. Zdaj nekateri organi za varstvo podatkov pritožnikom priznavajo enake pravice kot strankam v preiskavi, medtem ko drugi ne predvidevajo njihovega sodelovanja ali pa jih vključujejo le v zelo omejenem obsegu; nekateri organi za varstvo podatkov sprejemajo uradne sklepe o zavrnitvi vseh pritožb, ki ne bodo obravnavane, drugi pa ne. Te razlike pomenijo, da se obravnava pritožb in vključenost pritožnikov razlikujeta glede na to, v kateri državi članici je vložena pritožba ali kateri organ za varstvo podatkov je v posameznem primeru vodilni organ za varstvo podatkov. Posledično se zaradi tega odložita zaključek preiskave in zagotovitev pravnega sredstva v čezmejnih primerih. Cilj predloga je zmanjšati te razlike in v državah članicah spodbujati skupen pristop k temu vprašanju. Predlog določa nove procesne pravice za pritožnika, ki so podobne v vseh državah članicah in doslej še niso bile zagotovljene.
2.7Organi za varstvo podatkov zdaj različno razlagajo zahteve glede vsebine pritožbe, vključenosti pritožnikov v postopek in zavrnitve pritožb. Pritožbe, ki jih sprejmejo nekateri organi za varstvo podatkov, lahko drugi zavrnejo na podlagi nezadostnih informacij. Zato predlog poleg procesnih pravic in obveznosti določa tudi uvedbo skupnega obrazca za vložitev pritožbe, v katerem bodo določene zahtevane informacije za vsako pritožbo, ki se vloži pri enem od organov za varstvo podatkov.
2.8Procesne pravice strank v preiskavi. Predlog določa ciljno usmerjeno usklajevanje procesnih pravic v čezmejnih primerih. Strankam v preiskavi daje pravico do zaslišanja v ključnih fazah postopka, tudi pri reševanju sporov s strani Evropskega odbora za varstvo podatkov, ter pojasnjuje vsebino upravnega spisa in pravice strank do dostopa do njega. Predlog krepi pravico strank do obrambe in zagotavlja dosledno spoštovanje te pravice ne glede na to, kateri organ za varstvo podatkov vodi preiskavo.
2.9EESO pozdravlja dejstvo, da se s predlogom zagotavlja večja postopkovna varnost za gospodarske subjekte in razširja njihova pravica do zaslišanja v najpomembnejših fazah preiskave, hkrati pa opozarja, da se pravni sistemi držav članic razlikujejo, kar lahko ovira ustrezno uporabo rešitev, uvedenih v predlogu. Sodelovanje med organi za varstvo podatkov in reševanje sporov v okviru Evropskega odbora za varstvo podatkov.
2.10Sodelovanje med organi za varstvo podatkov in reševanje sporov v okviru Evropskega odbora za varstvo podatkov. V členu 60 direktive o varstvu podatkov je opisan postopek, ki ga morajo upoštevati organi za varstvo podatkov pri čezmejnem sodelovanju, vendar opis ni dovolj podroben. V čezmejnih primerih si morajo organi za varstvo podatkov izmenjati „ustrezne informacije“ in si prizadevati za soglasje. Ko vodilni organ za varstvo podatkov predloži osnutek odločitve v primeru, imajo drugi organi za varstvo podatkov možnost vložiti „ustrezne in utemeljene ugovore“, ki odpirajo možnosti za rešitev spora. Čeprav je postopek reševanja sporov iz člena 65 splošne uredbe o varstvu podatkov bistven element za zagotavljanje njene dosledne razlage, bi ga bilo treba uporabiti le v izjemnih primerih, v katerih sodelovanje med organi za varstvo podatkov ni privedlo do soglasja.
2.11Izkušnje Komisije z izvrševanjem splošne uredbe o varstvu podatkov v čezmejnih primerih kažejo, da sodelovanje med organi za varstvo podatkov, preden vodilni organ za varstvo podatkov predloži osnutek odločitve, ni zadostno. Zato predlog določa ciljno usmerjeno usklajevanje procesnih pravic v čezmejnih primerih. Predlog organom za varstvo podatkov zagotavlja orodja, potrebna za dosego soglasja, in sicer z natančnejšo opredelitvijo zahteve, da morajo organi za varstvo podatkov sodelovati in si izmenjevati „ustrezne informacije“ iz člena 60 splošne uredbe o varstvu podatkov. S tem predlogom je vzpostavljen okvir za vse organe za varstvo podatkov, da lahko smiselno vplivajo na čezmejni primer, tako da predložijo svoja stališča v zgodnji fazi preiskovalnega postopka in uporabljajo vsa orodja iz splošne uredbe.
2.12V predlogu so določene zahteve glede oblike in strukture „ustreznih in utemeljenih ugovorov“ organov za varstvo podatkov, tako da sta olajšana učinkovito sodelovanje vseh organov za varstvo podatkov ter hitra rešitev primera. Opredeljena so postopkovna pravila za zavračanje pritožb v čezmejnih primerih, hkrati pa sta v takih primerih določeni vloga vodilnega organa za varstvo podatkov in vloga organa za varstvo podatkov, pri katerem je bila pritožba vložena. Podrobno sta opisani tudi vsebina upravnega spisa in pravica posameznikov do dostopa do njihovega spisa. Predlog poudarja pomen in zakonitost sporazumne rešitve primerov, ki temeljijo na pritožbah.
3.Posebne ugotovitve
3.1Čeprav je eden od glavnih ciljev predloga vzpostaviti opredeljen postopkovni okvir za obravnavo sporov med organi za varstvo podatkov pri čezmejni obdelavi podatkov in čeprav predlog določa več postopkovnih rokov, so ti pogosto nejasni ali pa v njih ni določen najdaljši rok (glej na primer člene 8(1), 12(2), 14(4) in 17(2)). Da bi dosegli cilj tega predloga, tj. hitrejši in preglednejši postopek, ter hkrati zagotovili, da se lahko pritožnik in stranka, proti kateri je bil uveden postopek, sklicujeta na splošno uredbo o varstvu podatkov in postopkovno ureditev iz predloga, EESO priporoča, da se v zadevnih členih predloga določijo natančni roki in najdaljši možni roki, kadar je to mogoče in kadar taki roki prispevajo k učinkovitosti postopka.
3.2Člen 3(5) predloga določa, da lahko pritožnik zahteva zaupnost informacij v pritožbi, vendar v prilogi k predlogu (obrazec za vložitev pritožbe) takšna pravica ni navedena. Ker posameznikom ni treba poznati vseh pravnih odtenkov zakonodaje o varstvu podatkov, vključno s pravico zahtevati zaupnost informacij v kateri koli fazi postopka, EESO priporoča, da se obrazec dopolni z informacijami o pravici pritožnika iz člena 3(5), da zahteva zaupnost informacij, ki jih vsebuje pritožba.
3.3Členi 11, 12 in 13 predloga določajo pravico pritožnika, da ga organ za varstvo podatkov zasliši v okviru postopka mednarodnega sodelovanja. Glede na skupno mnenje Evropskega odbora za varstvo podatkov (EOVP) in Evropskega nadzornika za varstvo podatkov (ENVP) o predlogu, ki v poglavju 8 vsebuje podrobno analizo pomanjkljivosti, ki sta jih oba partnerja ugotovila v predlogu – možnosti, da pritožnik uveljavlja procesne pravice glede na različne možne primere, v katerih se lahko pritožba obravnava v skladu s splošno uredbo o varstvu podatkov –, in ob upoštevanju različnih praks organov za varstvo podatkov držav članic glede vključevanja pritožnika v postopke EESO priporoča, da se pojasnijo načini uveljavljanja pravic pritožnikov iz teh členov, da bi njihovo izvajanje prispevalo k učinkovitemu obravnavanju čezmejnih pritožb.
3.4Člen 6(1) predloga določa, da je nadzorni organ, pri katerem je bila vložena pritožba, odgovoren za prevod pritožbe in stališč pritožnika v jezik, ki ga uporablja vodilni organ za varstvo podatkov, preden jih sporoči slednjemu, ter za prevod dokumentov, ki jih prejme vodilni organ za varstvo podatkov, v jezik, ki ga razume pritožnik. Glede na to, da organi za varstvo podatkov komunicirajo predvsem v angleščini, večina organov za varstvo podatkov držav članic pa kot jezik komuniciranja uporablja uradni(-e) jezik(-e) svoje države, bi bilo treba pojasniti, ali je treba priskrbeti prevod dokumentov in drugih informacij, ki jih je treba predložiti organu za varstvo podatkov za notranjo rabo, v jezik države članice ali pa se lahko nadzorni organi v skladu z dosedanjo prakso med seboj dogovorijo o skupnem jeziku komuniciranja za vse nadzorne organe.
3.5Hkrati EESO meni, da je treba v celoti podpreti prevod dokumentov v jezik, ki ga pritožnik razume, tj. v nacionalni jezik zadevne države članice, da se pritožniku zagotovi pravica do komuniciranja z organi v jeziku, ki ga razume.
3.6EESO je sicer ob tem zaskrbljen, da bi obveznost zagotavljanja prevoda pritožbe in vseh prejetih dokumentov lahko pomenila nesorazmerno upravno breme za organe za varstvo podatkov. Prav tako se boji, da v primerih, ko prevod ne bo pripravljen v angleščini, organ za varstvo podatkov, ki organizira prevod, ne bo mogel zagotoviti zahtevanega preverjanja njegove točnosti. Izrazi, ki se uporabljajo na področju varstva podatkov, so pogosto tehnične narave, zato lahko nenatančnost ali pomanjkljivo preverjanje pri njihovem prevajanju privede do napačnega razumevanja poteka dogodkov. Posledično obstaja tveganje, da vodilni organ za varstvo podatkov ne bo dovolj objektivno in izčrpno obveščen o vsebini vložene pritožbe in dejanskih elementih, na katerih temelji. Glede na sedanjo prakso organov za varstvo podatkov na tem področju EESO ugotavlja, da se v primeru čezmejnih kršitev organi za varstvo podatkov držav članic pogosto dogovorijo, da bodo za medsebojno komuniciranje uporabljali angleški jezik. Informacije, ki jih je zbral EESO, kažejo, da organi za varstvo podatkov trenutno uporabljajo orodja za avtomatsko prevajanje, s katerimi hitro in s čim manjšo porabo sredstev prevajajo dokumente, ki si jih med preiskavami izmenjujejo s kolegi. Za prevajanje končnih odločitev pa se uporabljajo profesionalne prevajalske storitve.
3.7EESO meni, da je takšna zahteva po prevajanju iz več jezikov (in v več jezikov) za izmenjavo dokumentov med organi za varstvo podatkov pretirana, saj institucijam, podjetjem in družbi povzroča nepotrebne stroške. Zavzema se za to, da se zadevni organi za varstvo podatkov dogovorijo o uporabi jezika, ki ga razumejo vsi organi za varstvo podatkov, vključeni v obravnavo čezmejnega spora, in da se dejavno izkoristijo možnosti, ki jih ponujajo digitalne tehnologije, umetna inteligenca in strojno prevajanje.
3.8Člen 31 predloga določa, da se nova uredba neposredno uporablja v vseh državah članicah. Ker se splošna uredba o varstvu podatkov uporablja tudi za države Evropskega gospodarskega prostora (EGP), se zdi potrebno pojasniti, da se bo predlog uporabljal tudi zanje, da se zagotovi skupen pristop k uporabi splošne uredbe o varstvu podatkov ter učinkovito sodelovanje med organi za varstvo podatkov EGP in EU pri obravnavi čezmejnih pritožb.
3.9V obrazcu za vložitev pritožbe je določen postopek za identifikacijo posameznika, na katerega se nanašajo osebni podatki, in se od njega zahteva, da predloži osebni dokument (najverjetneje papirno ali elektronsko kopijo in ne izvirnika). Doslej se v nekaterih državah članicah v pritožbenem postopku ni zahtevala identifikacija posameznika in organ domneva, da so informacije, ki jih posameznik predloži glede svoje identitete, točne. Organi za varstvo podatkov držav članic imajo različne prakse glede tega, ali ob prejemu pritožbe preverijo identifikacijski dokument pritožnika: nekateri organi za varstvo podatkov držav članic to storijo, drugi pa ne. Uvedba take obveznosti za organe za varstvo podatkov, ki tega doslej niso počeli, lahko povzroči dodatno upravno breme in dodatna tveganja za varnost informacij, povezana z varnim prenosom in shranjevanjem identifikacijskih dokumentov pri organu za varstvo podatkov. To stališče je izraženo tudi v skupnem mnenju Evropskega odbora za varstvo podatkov in Evropskega nadzornika za varstvo podatkov o predlogu. EESO priporoča, da se odločitev o tem vprašanju prepusti organom za varstvo podatkov, ki naj imajo možnost, da se odločijo, ali bodo nadaljevali svojo prakso.
3.10Poleg tega je v opombi 2 priloge navedeno, da je identifikacijski dokument lahko „[n]a primer potni list, vozniško dovoljenje, nacionalna osebna izkaznica“. Pri tem je treba opozoriti, da med državami članicami obstajajo razlike v presoji glede tega, ali je vozniško dovoljenje uradni identifikacijski dokument. V Latviji, na primer, temu ni tako. Če pa se Komisija odloči ohraniti obveznost identifikacije prosilca, EESO priporoča, da se seznam nadomesti s splošnejšim besedilom, kot je „identifikacijski dokument“, s čimer bi zajeli vse vrste identifikacijskih dokumentov, ki se štejejo za sprejemljive v zadevni državi članici, ali da se na seznam obstoječih identifikacijskih dokumentov doda vozniško dovoljenje (samo v tistih državah članicah, kjer velja za osebni identifikacijski dokument).
3.11Podobno je določeno, da se za vsak čezmejni zahtevek priloži obrazec, na katerem so navedeni podatki, ki jih mora pritožnik predložiti. Hkrati člen 3(2) predloga določa, da „[n]adzorni organ, pri katerem je bila vložena pritožba, ugotovi, ali se pritožba nanaša na čezmejno obdelavo“. To lahko privede do situacij, ko se vložena pritožba vendarle ne nanaša na čezmejno obdelavo ali ko obrazec ni bil uporabljen, a je bila čezmejna obdelava izvedena, ne da bi se pritožnik tega zavedal ali da bi se lahko identificiral. Da bi se izognili takšnim situacijam in neupravičenim zamudam v postopku zaradi nezadostnih informacij, bi bilo priporočljivo, da organi za varstvo podatkov uporabijo vse informacije, zahtevane v obrazcu iz priloge k predlogu, in jih štejejo za zadostne ne le za vložitev pritožbe o čezmejni obdelavi, temveč tudi v primerih, ko na prvi pogled čezmejna obdelava ni bila izvedena. Prav tako je treba jasno komunicirati z organi za varstvo podatkov držav članic, ki imajo pravico, da prilogi dodajo dodatna vprašanja; če pritožnik nanje ne more odgovoriti, pa to ne sme biti ovira za sprejetje pritožbe.
V Bruslju, 23. novembra 2023
Sandra PARTHIE
predsednica strokovne skupine za enotni trg, proizvodnjo in potrošnjo
