Ce document est extrait du site web EUR-Lex
Document 52012XX0630(01)
Executive summary EDPS Opinion of 7 March 2012 on the data protection reform package
Povzetek mnenja ENVP z dne 7. marca 2012 o svežnju za reformo predpisov o varstvu podatkov
Povzetek mnenja ENVP z dne 7. marca 2012 o svežnju za reformo predpisov o varstvu podatkov
UL C 192, 30.6.2012, p. 7–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
30.6.2012 |
SL |
Uradni list Evropske unije |
C 192/7 |
Povzetek mnenja ENVP z dne 7. marca 2012 o svežnju za reformo predpisov o varstvu podatkov
(Celotno besedilo tega mnenja je v angleščini, francoščini in nemščini na voljo na spletni strani Evropskega nadzornika za varstvo podatkov na naslovu http://www.edps.europa.eu)
2012/C 192/05
Evropska komisija je 25. januarja 2012 sprejela sveženj za reformo predpisov EU o varstvu podatkov, vključno s predlogom uredbe, ki vsebuje splošna pravila o varstvu podatkov, in predlogom direktive o varstvu podatkov v sektorju kazenskega pregona.
Evropski nadzornik za varstvo podatkov (ENVP) je 7. marca 2012 sprejel mnenje, ki zagotavlja podrobno razlago obeh zakonodajnih predlogov. Celotno besedilo tega mnenja je na voljo na spletni strani ENVP na naslovu: http://www.edps.europa.eu
V mnenju je na kratko opisal ozadje predlogov in podal splošno oceno.
Pozdravlja predlog uredbe, saj pomeni velik korak naprej za varstvo podatkov v Evropi. Predlagani predpisi bodo okrepili pravice posameznikov in povečali odgovornost upravljavcev pri obdelavi osebnih podatkov. Poleg tega so učinkovito okrepljene vloga in pooblastila nacionalnih nadzornih organov (ki delujejo samostojno in skupno).
ENVP je še zlasti zadovoljen, da je predlagan instrument uredbe za splošna pravila o varstvu podatkov. Predlagana uredba bi se neposredno uporabljala v državah članicah ter bi odpravila številne primere zapletenosti in nedoslednosti, ki izhajajo iz različnih izvedbenih zakonov, ki se zdaj uporabljajo v državah članicah.
Vendar je zelo razočaran nad predlogom direktive za varstvo podatkov na področju kazenskega pregona. Obžaluje, da se je Komisija odločila, da to zadevo zakonsko uredi v samostojnem pravnem aktu, ki ne zagotavlja ustrezne ravni zaščite, saj je ta bistveno nižja od ravni iz predloga uredbe.
Pozitiven element predloga direktive je, da zajema nacionalno obdelavo osebnih podatkov in ima zato širše področje uporabe od sedanjega okvirnega sklepa. Vendar ima ta izboljšava dodano vrednost le, če direktiva bistveno zvišuje raven varstva podatkov na tem področju, kar pa v tem primeru ni mogoče.
Glavna slabost svežnja kot celote je, da ne odpravlja nezadostne celovitosti predpisov EU za varstvo podatkov. Sveženj pušča nespremenjene številne pravne akte EU za varstvo podatkov, na primer predpise o varstvu podatkov za institucije in organe EU, in vse posebne pravne akte, sprejete na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah, kot so Sklep k Prümski pogodbi ter predpisi o Europolu in Eurojustu. Poleg tega predlagana pravna akta skupaj ne obravnavata v celoti dejanskih okoliščin, ki spadajo na obe področji politike, kot je uporaba podatkov iz evidenc podatkov o potnikih (PNR) ali telekomunikacijskih podatkov, ki se uporabljajo za kazenski pregon.
V zvezi s predlogom uredbe je eno od horizontalnih vprašanj odnos med zakonodajo EU in nacionalno zakonodajo. Predlog uredbe precej prispeva k oblikovanju ene same veljavne zakonodaje za varstvo podatkov v EU, vendar je še vedno veliko prostora za soobstoj in vzajemno delovanje zakonodaje EU in nacionalne zakonodaje, kot se morda zdi na prvi pogled. ENVP meni, da bi zakonodajalec moral bolj upoštevati to dejstvo.
Drugo vprašanje splošnega pomena izhaja iz številnih določb, ki Komisijo pooblaščajo za sprejemanje delegiranih ali izvedbenih aktov. ENVP pozdravlja ta pristop, saj prispeva k dosledni uporabi uredbe, vendar ima nekaj zadržkov glede obsega, v katerem so bistvene pravne določbe prepuščene prenesenim pooblastilom. Treba bi bilo znova preučiti več teh pooblastil.
Natančneje, ENVP opozarja na glavne pozitivne elemente predlagane uredbe, ki so:
— |
pojasnitev področja uporabe predlagane uredbe, |
— |
okrepljene zahteve za preglednost v korist posameznikov, na katere se nanašajo osebni podatki, in okrepitev pravice do ugovora, |
— |
splošna obveznost za upravljavce, da zagotavljajo in lahko dokažejo skladnost z določbami uredbe, |
— |
okrepljen položaj in vloga nacionalnih nadzornih organov, |
— |
glavna načela mehanizma za skladnost. |
Glavni negativni elementi predlagane uredbe so:
— |
nov razlog za izjeme od načela omejitve namena, |
— |
možnosti za omejitev temeljnih načel in pravic, |
— |
obveznost upravljavcev, da hranijo dokumentacijo o vseh postopkih obdelave, |
— |
prenos podatkov v tretje države na podlagi odstopanja, |
— |
vloga Komisije v mehanizmu za skladnost, |
— |
obveznost nalaganja upravnih sankcij. |
ENVP v zvezi z direktivo meni, da predlog s številnih vidikov ne izpolnjuje zahteve za dosledno in visoko raven varstva podatkov. Vse veljavne pravne akte s tega področja pušča nespremenjene in v številnih primerih ni nobene utemeljitve za odstopanje od določb iz predloga uredbe.
Poudarja, da je treba vsako odstopanje od splošnih pravil o varstvu podatkov ustrezno utemeljiti na podlagi ustreznega ravnovesja med javnim interesom pri kazenskem pregonu in temeljnimi pravicami državljanov, čeprav priznava, da področje kazenskega pregona zahteva nekatere posebne predpise.
ENVP je zlasti zaskrbljen zaradi:
— |
nezadostne jasnosti pri oblikovanju načela omejitve namena, |
— |
neobstoja obveznosti za pristojne organe, da morajo biti sposobni dokazati skladnost z direktivo, |
— |
slabih pogojev za prenose v tretje države, |
— |
neupravičeno omejenih pooblastil nadzornih organov. |
Pripravljena so naslednja priporočila.
Priporočila v zvezi s celotnim postopkom reform
— |
Čim prej je treba javno objaviti časovni razpored druge faze postopka reform. |
— |
V predlog uredbe je treba vključiti predpise za institucije in organe EU ali vsaj poskrbeti, da so vzpostavljeni usklajeni predpisi, kadar se bo začela uporabljati predlagana uredba. |
— |
Čim prej je treba predstaviti predlog za skupne predpise za skupno zunanjo in varnostno politiko na podlagi člena 39 PEU. |
Priporočila v zvezi s predlogom uredbe
Horizontalna vprašanja
— |
Dodati je treba določbo, v kateri je pojasnjeno ozemeljsko področje uporabe nacionalne zakonodaje v skladu z uredbo. |
— |
Znova je treba preučiti pooblastilo v členu 31(5) in (6), členu 32(5) in (6), členu 33(6) in (7), členu 34(2)(a) ter členu 44(1)(d) in (7). |
— |
Določiti je treba ustrezne in posebne ukrepe za mikro-, mala in srednje velika podjetja, in to le v izbranih izvedbenih aktih in ne v delegiranih aktih iz člena 8(3), člena 14(7), člena 22(4) in člena 33(6). |
— |
Pojem „javni interes“ je treba izpopolniti v vseh določbah, v katerih se uporablja. Posebne javne interese je treba izrecno opredeliti glede na okvir predvidene obdelave v vseh ustreznih določbah predloga (glej zlasti uvodno izjavo 87 in člen 17(5), člen 44(1)(d) ter člen 81(1)(b) in (c)). Dodatne zahteve bi lahko vključevale, da se je na ta razlog mogoče sklicevati le v posebno nujnih okoliščinah ali na podlagi nujnih razlogov, določenih v zakonodaji. |
Poglavje I – Splošne določbe
— |
Člen 2(2)(d): vstaviti je treba merila za razlikovanje med javnimi in domačimi dejavnostmi na podlagi nedoločenega števila posameznikov, ki lahko dostopajo do informacij. |
— |
Člen 2(2)(e): določiti je treba, da se izjema nanaša na pristojne javne organe. Uvodno izjavo 16 je treba uskladiti s členom 2(2)(e). |
— |
Člen 4(1)(2): dodati je treba jasnejšo pojasnitev v uvodni izjavi, pri čemer je treba vztrajati pri dejstvu, da tesna povezava med identifikatorjem in osebo takoj sproži uporabo načel o varstvu podatkov. |
— |
Člen 4(13): izpopolniti je treba merila za opredelitev glavnega sedeža zadevnega upravljavca ob upoštevanju „prevladujočega vpliva“ ene družbe nad drugimi družbami v tesni povezavi s pooblastilom za izvajanje predpisov o varstvu osebnih podatkov ali predpisov, ki so pomembni za varstvo podatkov. Druga možnost je, da bi opredelitev pojma lahko bila osredotočena na glavni sedež povezane družbe kot celote. |
— |
Dodati je treba novo opredelitev pojmov „prenos“ in „omejitev obdelave“. |
Poglavje II – Glavna načela
— |
Člen 6: dodati je treba uvodno izjavo za nadaljnjo pojasnitev, kaj spada pod nalogo iz člena 6(1)(e), ki se opravlja „v javnem interesu ali pri izvajanju javne oblasti“. |
— |
Člen 6(4): iz razlogov iz člena 6(1)(a) in (d) je treba črtati določbo ali jo vsaj omejiti na nadaljnjo obdelavo podatkov za namene, ki niso skladni s prvotnim namenom. To zahteva tudi spremembo uvodne izjave 40. |
— |
Dodati je treba novo določbo o zastopanju vseh posameznikov, ki nimajo zadostne (pravne) sposobnosti ali ki ne morejo ukrepati iz drugih razlogov. |
— |
Člen 9: v posebne kategorije podatkov je treba vključiti kršitve in zadeve, ki niso privedle do obsodb. Zahtevo za nadzor uradnega organa je treba razširiti na vse razloge iz člena 9(2)(j). |
— |
Člen 10: v uvodni izjavi 45 je treba izrecneje opredeliti, da se upravljavec podatkov pri zavrnitvi zahteve za dostop ne more sklicevati na možno pomanjkanje informacij, kadar lahko posameznik, na katerega se nanašajo osebni podatki, zagotovi te informacije, da omogoči takšen dostop. |
Poglavje III – Pravice posameznika, na katerega se nanašajo osebni podatki
— |
Člen 14: vključiti je treba informacije o obstoju nekaterih postopkov obdelave, ki imajo poseben vpliv na posameznike, in posledicah takšne obdelave za posameznike. |
— |
Člen 17: nadalje je treba razviti določbo, da se zagotovi njena učinkovitost v praksi. Člen 17(3)(d) je treba črtati. |
— |
Člen 18: pojasniti je treba, da uveljavljanje pravice ne posega v obveznost iz člena 5(e) o izbrisu podatkov, kadar niso več potrebni. Zagotoviti je treba, da člen 18(2) ni omejen le na podatke, ki jih je posameznik, na katerega se nanašajo osebni podatki, zagotovil na podlagi privolitve ali pogodbe. |
— |
Člen 19: pojasniti je treba, kaj mora upravljavec storiti v primeru nesoglasja s posameznikom, na katerega se nanašajo osebni podatki, in ta člen uskladiti s členom 17(1)(c). V uvodni izjavi je treba pojasniti, kaj so lahko „zakoniti in nujni razlogi“. |
— |
Člen 20: v člen 20(2)(a) je treba vključiti pravico posameznikov, da izrazijo svoje stališče, kot je navedena v sedanjem členu 15 Direktive 95/46/ES. |
— |
Člen 21: uvesti je treba podrobna jamstva, da je treba v nacionalni zakonodaji podrobneje opredeliti cilje obdelave, kategorije osebnih podatkov, ki bodo obdelani, posebne namene in sredstva obdelave, upravljavca, kategorije oseb, pooblaščenih za obdelavo podatkov, postopek, ki ga je treba uporabljati za obdelavo, in zaščitne ukrepe pred vsemi samovoljnimi motnjami, ki jih povzročajo javni organi. Kot dodatna zaščitna ukrepa je treba vključiti obveščanje posameznikov, na katere se nanašajo osebni podatki, o omejitvi in obveščanje o njihovi pravici, da zadevo predložijo nadzornemu organu za pridobitev posrednega dostopa. V člen 21 je treba dodati, da zasebni upravljavci zaradi možne uvedbe omejitev za obdelavo, ki jo opravljajo v okviru kazenskega pregona, ne smejo biti prisiljeni, da poleg podatkov, ki so nujno potrebni za prvotni namen, hranijo tudi druge podatke ali da spremenijo svojo arhitekturo informacijskih sistemov. Razlog iz člena 21(1)(e) je treba črtati. |
Poglavje IV – Upravljavec in obdelovalec
— |
Člen 22: izrecno se je treba sklicevati na načelo odgovornosti, v vsakem primeru v uvodni izjavi 60. Člen 22(1) in (3) je treba združiti ter izrecno navesti, da morajo biti ukrepi ustrezni in učinkoviti. Splošno določbo, ki oblikuje pojmovanje „upravljavskega nadzora“, vključno z dodeljevanjem nalog, usposabljanjem osebja in ustreznimi navodili, je treba vključiti pred posebne obveznosti iz člena 22(2) ter uvesti zahtevo, da obveznosti upravljavca vključujejo vsaj en pregled in splošni popis postopkov obdelave. Za določitev, da mora redno poročilo o dejavnostih, kadar se upravljavec odloči, da ga objavi, oziroma kadar ga mora objaviti, vključevati tudi opis politik in ukrepov iz člena 22(1), je treba dodati nov odstavek. |
— |
Člen 23: v členu 23(2) in uvodni izjavi 61 se je treba sklicevati na dejstvo, da bi morali posamezniki, na katere se nanašajo osebni podatki, načeloma imeti možnost, da dovolijo širšo uporabo svojih osebnih podatkov. |
— |
Člen 25(2)(a): za ustrezne tretje države je treba črtati izjemo. |
— |
Člen 26: v seznam specifikacij iz člena 26(2) je treba dodati obveznost obdelovalca, da upošteva načelo vgrajenega varstva podatkov. |
— |
Člen 28: znova je treba preučiti ali črtati izjeme iz člena 28(4). |
— |
Člen 30: pojasniti je treba člen 30, da se zagotovi splošna odgovornost upravljavca, in dodati obveznost upravljavca, da sprejme pristop upravljanja varnosti informacij v organizaciji, po potrebi vključno z izvajanjem politike za varnost informacij, ki se nanaša zlasti na opravljeno obdelavo podatkov. V člen 30 je treba vključiti izrecno sklicevanje na oceno učinka za varstvo podatkov. |
— |
Člena 31 in 32: podrobno je treba določiti merila in zahteve za opredelitev kršitve varnosti podatkov in okoliščin, v katerih je treba o kršitvi obvestiti nadzorni organ. 24-urni rok iz člena 31 je treba spremeniti v največ 72-urni rok. |
— |
Člen 33: seznam postopkov obdelave iz člena 33(2)(b), (c) in (d) ne sme biti omejen na obdelavo v velikem obsegu. Člen 33(5) je treba uskladiti z uvodno izjavo 73. Člen 33(6) je treba omejiti na nebistvene elemente. Pojasniti je treba, da velikost družbe ne sme nikoli vplivati na opustitev obveznosti izvedbe ocene učinka za varstvo podatkov v zvezi s postopki obdelave, ki predstavljajo posebne nevarnosti. |
— |
Člen 34: člen 34(1) je treba prestaviti v poglavje V predlagane uredbe. |
— |
Členi od 35 do 37: znižati je treba prag 250 zaposlenih v členu 35(1) in pojasniti področje uporabe člena 35(1)(c). Dodati je treba jamstva, zlasti trdnejše pogoje za razrešitev uradne osebe za varstvo podatkov, in v členu 36(1) zagotoviti, da se uradni osebi za varstvo podatkov omogoči dostop do vseh pomembnih informacij ter prostorov, ki so potrebni za izvajanje njenih nalog. V člen 37(1)(a) je treba vključiti vlogo uradne osebe za varstvo podatkov pri ozaveščanju. |
Poglavje V – Prenos v tretje države
— |
V uvodni izjavi 79 je treba navesti, da je neveljavnost uredbe za mednarodne sporazume časovno omejena le na že veljavne mednarodne sporazume. |
— |
Vstaviti je treba prehodno klavzulo, ki določa pregled teh mednarodnih sporazumov v določenem obdobju, da se uskladijo z uredbo. |
— |
Člen 41 (in uvodna izjava 82): pojasniti je treba, da so v primeru sklepa o neustreznosti prenosi lahko dovoljeni le na podlagi ustreznih zaščitnih ukrepov ali če tak prenos izpolnjuje pogoje za odstopanja iz člena 44. |
— |
Člen 42: zagotoviti je treba, da je možnost uporabe instrumentov, ki niso pravno zavezujoči, za zagotavljanje ustreznih zaščitnih ukrepov jasno utemeljena in omejena le na primere, v katerih je dokazana nujnost uporabe takšnih instrumentov. |
— |
Člen 44 (in uvodna izjava 87): dodati je treba, da se možnost prenosa podatkov lahko nanaša le na občasne prenose in da lahko temelji le na skrbni preučitvi vseh okoliščin prenosa za vsak primer posebej. Nadomestiti ali pojasniti je treba sklicevanje na „ustrezne zaščitne ukrepe“ v členu 44(1)(h) in členu 44(3). |
— |
Uvodna izjava 90: uvodno izjavo je treba preoblikovati v vsebinsko določbo. Za te primere, ki vključujejo sodna jamstva in zaščitne ukrepe za varstvo podatkov, je treba vzpostaviti ustrezna jamstva. |
Poglavji VI in VII – Neodvisni nadzorni organi, sodelovanje in skladnost
— |
Člen 48: v postopek imenovanja članov nadzornih organov je treba vključiti vlogo nacionalnih parlamentov. |
— |
Člen 52(1): vključiti je treba dolžnost za razvoj smernic o uporabi različnih izvršilnih pooblastil, ki se na ravni EU po potrebi usklajujejo v odboru. To bi se lahko vključilo tudi v člen 66. |
— |
Člen 58: besedo „nemudoma“ v členu 58(6) je treba nadomestiti z izrazom „brez odlašanja“, enomesečni rok iz člena 58(7) pa podaljšati na dva meseca/osem tednov. |
— |
Člen 58: pravilu večine je treba dati večji pomen z zagotovitvijo, da je mogoče zahtevek enega organa dati v glasovanje, če se zadevno vprašanje ne nanaša na enega od glavnih ukrepov, opisanih v členu 58(2). |
— |
Člena 59 in 60: pooblastila Komisije je treba omejiti s črtanjem možnosti, da lahko z izvedbenim aktom razveljavi sklep nacionalnega nadzornega organa v posebni zadevi. Zagotoviti je treba, da vloga Komisije v začetni fazi pomeni začetek odvzema pristojnosti odboru, kot je predvideno v členu 58(4), v poznejši fazi pa pooblastilo za sprejemanje mnenj. Vstaviti je treba sklic na nadaljnji postopek pred Sodiščem Evropske unije v okviru postopka za ugotavljanje kršitev ali zahtevka za začasne ukrepe, kot je odredba o začasnem preklicu. |
— |
Člen 66: dodati je treba, da je v okviru ocen ustreznosti potrebno posvetovanje z odborom. |
— |
Znova je treba preučiti sedanjo oceno učinka sekretariata Evropskega odbora za varstvo podatkov v smislu finančnih in človeških virov (glej Prilogo k temu mnenju, ki je na voljo na spletni strani ENVP). |
Poglavje VIII – Pravna sredstva, odgovornost in sankcije
— |
Člena 73 in 76: zagotoviti je treba jasnost o pooblastilu, ki ga mora organizacija pridobiti od posameznikov, na katere se nanašajo osebni podatki, in stopnji potrebne formalnosti. Uvesti je treba širšo določbo o kolektivnih ukrepih. |
— |
Člen 74(4): vrsto „zadevnosti“ posameznika, na katerega se nanašajo osebni podatki, ki bi lahko sprožila začetek postopka, je treba omejiti na bolj natančno določeno nevarnost učinka na pravice posameznika, na katerega se nanašajo osebni podatki. |
— |
Člen 75(2): navesti je treba, da se odstopanje ne uporablja za javni organ tretje države. |
— |
Člen 76(3) in (4): vstaviti je treba bolj sistematičen postopek obveščanja na ravni sodišč. |
— |
Pojasniti je treba vzajemno delovanje z Uredbo Bruselj I. |
— |
Pojasniti je treba združljivost uporabe informacij, pridobljenih od upravljavca (na podlagi člena 53), in splošne pravice zoper samoobtožbo. |
— |
Člen 77: dodati je treba, da mora posameznik, na katerega se nanašajo osebni podatki, v zvezi s poravnavo škode vedno imeti možnost nagovoriti upravljavca ne glede na to, kje in kako je nastala škoda. Vstaviti je treba naknadno poravnavo škode med upravljavcem in obdelovalcem, ko je pojasnjena porazdelitev odgovornosti med njima. Dodati je treba, da mora to veljati tudi za nadomestilo za nepremoženjsko škodo ali stisko. |
— |
S pojmovanjem enega samega gospodarskega subjekta ali enega samega podjetja je treba uvesti določbo, da se omogoči odgovornost skupine družb za kršitev, ki jo je storila podružnica. |
— |
Člen 79: v zvezi z upravnimi sankcijami je treba vstaviti široko diskrecijsko pravico za nadzorne organe. Dodati je treba specifikacije, ki poudarjajo okoliščine, v katerih se naloži upravna sankcija. Zagotoviti je treba, da se neskladnost s posebno odredbo nadzornega organa običajno kaznuje z višjo upravno sankcijo kot enkratna kršitev iste splošne določbe. |
Poglavje IX – Posebni primeri obdelave podatkov
— |
Člen 80: spremeniti je treba člen 80 in navesti, da države članice določijo izjeme ali odstopanja od določb uredbe, kot so navedene, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja. V določbo ali uvodno izjavo je treba dodati, da se pri usklajevanju dveh temeljnih pravic ne sme omejiti bistva nobene od njiju. |
— |
Dodati je treba vsebinsko določbo o dostopu javnosti do dokumentov, v kateri je navedeno, da se osebni podatki iz dokumentov, ki jih hranijo javni organi, lahko javno razkrijejo, če je to 1. določeno v zakonodaji EU ali nacionalni zakonodaji, 2. potrebno za uskladitev pravice do varstva osebnih podatkov in pravice do dostopa javnosti do uradnih dokumentov in 3. vzpostavilo pravično ravnovesje med različnimi zadevnimi interesi. |
— |
V členih 81, 82, 83 in 84 je treba besedilo „v mejah te uredbe“ nadomestiti z besedilom „brez poseganja v to uredbo“. |
— |
Člen 81: člen 81(1)(3) je treba uskladiti s členom 9(3) ter pojasniti področje uporabe in naravo člena 81. Treba bi bilo zagotoviti dodatna navodila o zahtevi za privolitev, določitvi odgovornosti in varnostnih zahtevah. |
— |
Člen 83: vključiti je treba dodatne zaščitne ukrepe, če se obdelujejo posebne kategorije podatkov. V členu 83(1) je treba pojasniti, da mora biti izvajanje takšne obdelave, ki se opravlja z uporabo anonimiziranih podatkov, izhodišče za raziskave. Pojasniti je treba, kaj pomeni beseda „ločeno“, in zagotoviti, da ločeno shranjevanje dejansko ščiti posameznike, na katere se nanašajo osebni podatki. V členu 83(1)(b) se je treba sklicevati na „podatke, ki omogočajo povezavo nekaterih informacij s posameznikom, na katerega se nanašajo osebni podatki“ namesto na „podatk[e], ki omogočajo povezavo informacij z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki“. Z delegiranimi akti je treba izključiti omejitev pravic posameznikov. |
Priporočila v zvezi s predlogom direktive
Horizontalna vprašanja
— |
Člen 59: posebne akte na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah je treba spremeniti najpozneje do začetka veljavnosti Direktive. |
— |
Dodati je treba novo določbo, ki uvaja ocenjevalni mehanizem za redne ocene na podlagi dokazov, ali dejavnosti obdelave podatkov določenega obsega dejansko pomenijo nujen in sorazmeren ukrep za preprečevanje, odkrivanje, preiskovanje in pregon kaznivih dejanj. |
— |
Dodati je treba novo določbo za zagotovitev, da je prenos osebnih podatkov od organov kazenskega pregona k drugim javnim organov ali zasebnim subjektom dovoljen le pod posebnimi in strogimi pogoji. |
— |
Dodati je treba novo določbo o posebnih zaščitnih ukrepih v zvezi z obdelavo podatkov otrok. |
Poglavji I in II – Splošne določbe in načela
— |
Člen 3(4): potrebna je dodatna utemeljitev v skladu s členom 17(5) predloga uredbe. |
— |
Člen 4(b): v uvodno izjavo je treba vključiti pojasnitev, da je treba pojem „združljiva uporaba“ razlagati omejevalno. |
— |
Člen 4(f): ta člen je treba uskladiti s členom 5(f) predloga uredbe ter ustrezno spremeniti člena 18 in 23. |
— |
Člen 5: osebe, ki niso ničesar osumljene, je treba vključiti kot ločeno kategorijo. Črtati je treba besedilo „v največji možni meri“ in podrobno opredeliti posledice kategorizacije. |
— |
Člen 6: v odstavkih 1 in 2 je treba črtati besedilo „v največji možni meri“. |
— |
Člen 7(a): ta člen je treba spremeniti v samostojno določbo, ki na splošno zagotavlja, da so vsi postopki obdelave podatkov določeni z zakonom, s čimer so izpolnjene zahteve iz Listine Evropske unije o temeljnih pravicah in Konvencije o varstvu človekovih pravic in temeljnih svoboščin. |
— |
Člen 7(b) do (d): ta člen je treba nadomestiti z dodatno ločeno določbo, v kateri so izčrpno navedeni razlogi glede javnega interesa, za katere je mogoče dovoliti odstopanje od načela omejitve namena. |
— |
Dodati je treba novo določbo o obdelavi osebnih podatkov v zgodovinske, statistične in znanstvene namene. |
— |
Dodati je treba obveznost za pristojni organ, da vzpostavi mehanizme za zagotovitev, da so določeni roki za izbris osebnih podatkov in za redni pregled potrebe po hrambi podatkov, vključno z določitvijo obdobij hrambe za različne kategorije osebnih podatkov ter rednih preverjanj njihove kakovosti. |
— |
Člen 8: v člen 8 je treba vključiti natančno besedilo uvodne izjave 26. |
Poglavje III – Pravice posameznika, na katerega se nanašajo osebni podatki
— |
Člen 10: v členu 10(1) in (2) je treba črtati sklicevanje na „vse primerne ukrepe“. V člen 10(4) je treba vključiti izrecen rok in navesti, da je treba posamezniku, na katerega se nanašajo osebni podatki, zagotoviti informacije najpozneje v enem mesecu od prejema zahteve. V členu 10(5) je treba besedo „nadležne“ nadomestiti z izrazom „očitno čezmerne“ in v uvodni izjavi zagotoviti dodatne smernice v zvezi s tem pojmom. |
— |
Dodati je treba novo določbo, ki zahteva, da upravljavec vsem prejemnikom, ki so jim bili poslani podatki, sporoči vse popravke, izbrise ali spremembe podatkov ne glede na to, ali so ti opravljeni v skladu s členom 15 ali 16 ali ne, razen če se to izkaže za nemogoče ali če vključuje nesorazmerne napore. |
— |
Člena 11 in 13: v člen 11(4) in člen 13(1) je treba dodati stavek, v katerem je navedeno, da bi bilo treba upravljavcu naložiti obveznost, da za vsak primer posebej s konkretno in individualno preučitvijo oceni, ali se lahko za enega od razlogov uporablja delna ali popolna omejitev. Zagotoviti je treba omejeno razlago področja uporabe člena 11(5) in člena 13(2). V členu 11(4) in uvodni izjavi 33 je treba črtati besedo „opustitev“. |
— |
Člena 15 in 16: dodati je treba razloge in pogoje za omejitev pravice do popravka in pravice do izbrisa. |
— |
Člen 16: v členu 16(3) je treba namesto besede „označi“ uporabiti besedilo „omeji obdelavo“. V člen 16 je treba vključiti obveznost upravljavca, da posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave. |
Poglavje IV – Upravljavec in obdelovalec
— |
Člen 18: navesti je treba – tudi v členu 4(f) –, da zahteva glede dokumentacije izhaja iz splošne obveznosti o sposobnosti dokazati skladnost z direktivo. Zahtevo za hrambo informacij o pravni podlagi prenosa podatkov je treba vključiti z vsebinskim pojasnilom, zlasti če prenos poteka na podlagi člena 35 ali 36. |
— |
Člen 19: utemeljiti je treba pojem „privzetega“ varstva podatkov. |
— |
Člen 23(2): ta člen je treba uskladiti s členom 28(2) predloga uredbe. |
— |
Člen 24: vključiti je treba identiteto prejemnikov podatkov. |
— |
Vstaviti je treba novo določbo, ki pristojnim organom nalaga izvedbo ocene učinka za varstvo podatkov, razen če je bila v zakonodajnem postopku že izvedena posebna ocena, ki je enakovredna oceni učinka za varstvo podatkov. |
— |
Člen 26: ta člen je treba tesneje uskladiti s postopkom iz člena 34(2) predloga uredbe. |
— |
Člen 30: obravnavati je treba vprašanje navzkrižja interesov in določiti najkrajši mandat, ki traja dve leti. |
— |
Člen 31: določiti je treba ustrezno upravno povezanost ob ustreznem upoštevanju neodvisne vloge uradne osebe za varstvo podatkov in zlasti za preprečevanje možnih neenakih odnosov ali vpliva visokih upravljavcev. |
Poglavje V – Prenos v tretje države
— |
Člen 33: dodati je treba zahtevo, da se prenos lahko opravi le, če je upravljavec v tretji državi ali mednarodna organizacija pristojni organ v smislu predlagane direktive. |
— |
Člen 35: črtati je treba člen 35(1)(b) ali vsaj vključiti zahtevo za predhodno dovoljenje nadzornega organa. |
— |
Člen 36: v uvodni izjavi je treba pojasniti, da je treba vsa odstopanja, ki se uporabljajo za utemeljitev prenosa, razlagati omejevalno in da ta ne smejo omogočati pogostih, množičnih in strukturnih prenosov osebnih podatkov; množični prenosi podatkov ne bi smeli biti dovoljeni niti za posamezen primer in bi morali biti omejeni na nujno potrebne podatke. Dodati je treba dodatne zaščitne ukrepe, kot je obveznost izrecnega dokumentiranja prenosov. |
— |
Člena 35 in 36: dodati je treba, da morajo prenosi v primeru sklepa o neustreznosti temeljiti (i) na členu 35(1)(a), če se uporablja pravno zavezujoč mednarodni sporazum, ki omogoča prenos pod posebnimi pogoji, ki zagotavljajo ustrezno raven varstva, ali (ki) na odstopanjih iz člena 36(a) ali (c). |
Poglavji VI in VII – Mehanizmi nadzora
— |
Člen 44: v uvodni izjavi je treba zagotoviti več smernic, kaj pomeni delovati kot „sodni organ“. |
— |
Člen 46: pooblastila nadzornih organov v primerjavi z nacionalnimi policijskimi organi je treba uskladiti s pooblastilom iz predloga uredbe. Člen 46(a) je treba uskladiti s členom 53 predloga uredbe in v členu 46(a) in (b) spremeniti besedilo „kot so“ v besedilo „vključno s/z“. |
— |
Člen 47: vključiti je treba določbo, da je treba letna poročila o dejavnostih, ki jih pripravijo nadzorni organi, predložiti nacionalnemu parlamentu in jih objaviti. |
— |
Člen 48: v člen 48 je treba vključiti določbe iz člena 55(2) do (7) predloga uredbe. |
— |
Preučiti je treba potrebo po okrepljenem mehanizmu sodelovanja tudi na področju uporabe predlagane direktive. |
(Skrajšana različica. Celotno besedilo tega mnenja je v angleščini, francoščini in nemščini na voljo na spletni strani Evropskega nadzornika za varstvo podatkov na naslovu http://www.edps.europa.eu)
V Bruslju, 7. marca 2012
Peter HUSTINX
Evropski nadzornik za varstvo podatkov