13.10.2017   

SL

Uradni list Evropske unije

C 345/138

Poročevalka:

Laure BATUT

1.1

Evropski ekonomsko-socialni odbor (EESO) močno obžaluje, da dokumentov o varstvu podatkov zaradi njihovega prekrivanja, dolžine in zapletenosti ter nujnega preučevanja enih in drugih, da bi jih razumeli, verjetno ne bo bral in jih upošteval nihče zunaj ozkega kroga posvečenih, in da njihova dodana vrednost ne bo jasna državljanom, kar velja za celotni predlog te uredbe. Zato priporoča, naj se objavi spletna brošura, v kateri bodo ti dokumenti opisani tako, da jih bodo vsi razumeli.

1.2

EESO poudarja, da je med predlaganimi možnostmi v oceni učinka Komisija izbrala tisto, ki bo „zmerno“ okrepila varstvo zasebnosti. Ali je razlog za to želja po upoštevanju interesov industrije? Komisija ne pojasni, kateri elementi „obsežne“ krepitve varstva zasebnosti bi škodovali interesom industrije. Takšno stališče slabi besedilo že od samega začetka.

1.3

EESO Komisiji priporoča, naj:

2.1

Omrežja za elektronsko komunikacijo so se znatno spremenila od začetka veljavnosti direktiv 95/46/ES in 2002/58/ES  (2) o varstvu zasebnosti na področju elektronskih komunikacij.

2.2

Leta 2016 je bila sprejeta splošna uredba o varstvu podatkov (Uredba (EU) 2016/679), ki je zagotovila podlago za tožbe in opredelila splošna načela, tudi za sodne podatke in podatke o kaznovanju. V skladu s to uredbo se lahko osebni podatki zbirajo samo pod strogimi pogoji, za zakonite namene in v skladu z načelom zaupnosti (člen 5 splošne uredbe o varstvu podatkov).

2.2.1

Komisija je oktobra 2016 predložila predlog direktive o Evropskem zakoniku o elektronskih komunikacijah (3) (dolg 300 strani), ki še ni bil sprejet, vendar se nanj sklicuje pri opredelitvi nekaterih pojmov, ki jih ni niti v splošni uredbi o varstvu podatkov niti v tem predlogu.

2.2.2

Dva predloga iz januarja 2017 natančneje določata nekatere vidike, ki temeljijo na splošni uredbi o varstvu podatkov. To sta predlog uredbe o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Unije (COM(2017) 8 final, poročevalec: Jorge Pegado Liz) in predlog, na katerega se nanaša to mnenje (COM(2017) 10 final), o spoštovanju zasebnega življenja in varstvu osebnih podatkov.

2.3

Ti trije dokumenti se bodo začeli uporabljati istočasno: 25. maja 2018. Njihov cilj je uskladitev pravic in nadzornih postopkov.

2.4

Opozoriti je treba, da je bila zaradi lažjega usklajevanja za spoštovanje zasebnega življenja namesto direktive uporabljena evropska uredba.

3.1

Civilna družba želi vedeti, ali Evropska unija v popolnoma digitaliziranem svetu prispeva dodano vrednost, ki zagotavlja prostor, v katerem se lahko zasebno življenje razvija brez strahu.

3.2

Nenehno nastajajoči podatki omogočajo sledljivost in prepoznavnost vseh uporabnikov povsod, obdelava podatkov v fizičnih centrih, ki se nahajajo predvsem zunaj Evrope, pa vzbuja bojazen.

3.3

Velepodatki (angl. big data) so dobili monetarno vrednost, saj je mogoče na podlagi njihove pametne obdelave oblikovati profile ter komercializirati fizične in pravne osebe ter z njimi zaslužiti, pogosto brez vednosti uporabnikov.

3.4

Predvsem pa je treba pregledati zakonodajna besedila, saj so se v sektorju obdelave podatkov pojavili novi akterji, ki niso ponudniki internetnih storitev.

4.1

Komisija želi s tem besedilom doseči ravnovesje med potrošniki in industrijo, saj:

4.2

Cilj predloga je uporaba splošne uredbe o varstvu podatkov, ki je splošno veljavna, tako kot zaupnost osebnih podatkov in pravica do njihovega izbrisa, in se nanaša na določene vidike spoštovanja zasebnosti in varstva osebnih podatkov v telekomunikacijah. Predlog zajema uvedbo strožjih pravil za varstvo zasebnosti ter usklajen nadzor in sankcije.

4.3

Predlog ne določa posebnih ukrepov o vrzelih v osebnih podatkih, ki prihajajo s strani samih uporabnikov, temveč že v prvih členih (člen 5) potrjuje načelo zaupnosti elektronskih komunikacij.

4.4

Ponudniki lahko vsebino elektronskih komunikacij obdelujejo:

4.5

Ko naslovniki vsebino prejmejo, jo morajo ponudniki izbrisati ali anonimizirati.

4.6

V skladu s členom 4(11) splošne uredbe o varstvu podatkov privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

4.7

Predlog ohranja zahtevo po izrecno izraženi privolitvi, kakor je opredeljena v splošni uredbi o varstvu podatkov, dokazno breme pa nosijo operaterji.

4.8

Sama „obdelava“ temelji na privolitvi, upravljavec pa mora biti „zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov“ (člen 7(1) splošne uredbe o varstvu podatkov).

4.9

Na podlagi prava EU ali nacionalnega prava se lahko določijo nekatere omejitve (obveznosti in pravic) glede zaupnosti, da se zavarujejo javni interesi ali izvede nadzorni pregled.

4.10

Fizične osebe morajo dati soglasje za vključitev v javno dostopni direktorij ter imeti možnost za preverjanje in popravljanje podatkov, ki jih zadevajo (člen 15).

4.11

Pravica do nasprotovanja bo uporabniku omogočala, da prepreči uporabo svojih podatkov, zaupanih tretjim osebam (na primer trgovcu), in nato pri pošiljanju vseh sporočil (člen 16). Nova pravila bodo uporabnikom omogočala večji nadzor nad njihovimi nastavitvami (piškotki, identifikatorji), nepovabljena sporočila (neželeno elektronsko pošto, sporočila, SMS in klice) pa bo mogoče blokirati, če uporabnik ne bo dal soglasja.

4.12

V zvezi z identifikacijo klicev in blokado neželenih klicev (člena 12 in 14) je v uredbi poudarjeno, da imajo te pravice tudi pravne osebe.

4.13

Strukturiranje nadzornega sistema je v skladu s splošno uredbo o varstvu podatkov (poglavji VI o nadzornih organih in VII o sodelovanju med nadzornimi organi).

4.13.1

Države članice in nacionalni organi, odgovorni za varstvo podatkov, morajo zagotoviti spoštovanje pravil o zaupnosti. Morebitne ugovore, ki bodo predloženi nacionalnim nadzornim organom, bodo lahko v okviru medsebojne podpore obravnavali drugi nadzorni organi. Ti bodo sodelovali z nacionalnimi nadzornimi organi in Evropsko komisijo v okviru mehanizma za skladnost (člen 63 splošne uredbe o varstvu podatkov).

4.13.2

Tudi Evropski odbor za varstvo podatkov (CEPD) mora skrbeti za dosledno izvajanje te uredbe (člena 68 in 70 splošne uredbe o varstvu podatkov).

4.14

Vsi končni uporabniki (fizične in pravne osebe) imajo na voljo pravna sredstva za uveljavljanje svojih interesov, če so zaradi kršitev utrpeli škodo. Prav tako imajo pravico do nadomestila za povzročeno škodo.

4.15

Zneski upravnih glob imajo odvračilni namen, saj lahko za kršitve znašajo tudi do deset milijonov EUR, za podjetja pa do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji (člen 23). Države članice določijo sankcije za primere, v katerih ne naložijo upravne globe, in o tem obvestijo Komisijo.

4.16

Novo besedilo o spoštovanju zasebnosti in uporabi osebnih podatkov bo začelo veljati 25. maja 2018, torej na isti datum kot splošna uredba o varstvu podatkov iz leta 2016, uredba o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in predlog direktive o prenovitvi Evropskega zakonika o elektronskih komunikacijah (COM(2016) 590 final), če bodo sprejeti.

4.17

Področje uporabe lex specialis pri izvajanju splošne uredbe o varstvu podatkov:

—

ratione personae (osebno področje uporabe): akterji

—

ratione materiae (stvarna pristojnost): podatki

—

ratione loci (krajevna pristojnost): kje?

4.18

5.1

EESO pozdravlja dejstvo, da se bo začel po vsej Uniji istočasno izvajati usklajen sklop pravil o zaščiti pravic fizičnih in pravnih oseb, povezanih z uporabo digitalnih podatkov v okviru elektronskih komunikacij.

5.1.1

Pozdravlja, da EU uresničuje svojo vlogo zagovornice pravic državljanov in potrošnikov.

5.1.2

Poudariti pa je treba, da je kljub prizadevanjem za skladnost razlaga številnih konceptov še vedno v pristojnosti držav članic, zaradi česar je uredba v resnici nekakšna direktiva, to pa ustvarja veliko možnosti za komercializacijo osebnih podatkov. Ogromne količine osebnih podatkov je mogoče pridobiti zlasti na področju zdravja.

5.1.3

Členi 11(1), 13(2), 16(4) in (5) ter 24 so določbe, ki bi jih lahko poimenovali ukrepi za „prenos v nacionalno zakonodajo“, kar bi bilo primerno za direktivo, ne pa za uredbo. Operaterji imajo na voljo preveč svobode, z izgovorom, da izboljšujejo kakovost svojih storitev (člena 5 in 6). Ta uredba bi morala biti v celoti vključena v predlog direktive o Evropskem zakoniku o elektronskih komunikacijah (COM(2016) 590 final).

5.1.4

EESO močno obžaluje, da teh dokumentov zaradi njihovega prekrivanja, dolžine in zapletenosti verjetno ne bo bral nihče zunaj ozkega kroga posvečenih. Da bi jih razumeli, je treba nenehno preučevati zdaj enega zdaj drugega. Poleg tega državljani ne bodo videli njihove dodane vrednosti. Zahtevnost branja in zapletenost predloga sta v nasprotju z namenom programa ustreznosti in uspešnosti predpisov (REFIT) in ciljem pobude za boljšo pripravo zakonodaje. Poleg tega otežujeta njegovo razlago in ustvarjata šibke točke v varstvu.

5.1.5

Predlog uredbe na primer ne vsebuje opredelitve pojma „operater“. Zato se mora sklicevati na predlog Evropskega zakonika o elektronskih komunikacijah (4), ki še ni začel veljati. Ta predlog bo spremenil pravila sektorja v okviru enotnega digitalnega trga, in sicer okvirno direktivo (Direktivo 2002/21/ES), Direktivo 2002/20/ES o odobritvi, Direktivo 2002/22/ES o univerzalni storitvi in Direktivo 2002/19/ES o dostopu, kakor so bile spremenjene, Uredbo (ES) št. 1211/2009 o ustanovitvi Organa evropskih regulatorjev za elektronske komunikacije (BEREC), Odločbo 676/2002/ES o radijskem spektru, Sklep 2002/622/ES o ustanovitvi skupine za politiko radijskega spektra in Sklep 243/2012/EU o vzpostavitvi večletnega programa politike radijskega spektra. Temeljna referenca seveda ostaja splošna uredba o varstvu podatkov (glej točko 2.2), ta predlog pa naj bi jo dopolnil, zato je v razmerju do nje subsidiaren.

5.2

EESO posebej poudarja vsebino člena 8, ki se nanaša na varstvo informacij, shranjenih v terminalski opremi, in morebitne izjeme in je ključnega pomena, saj informacijski družbi omogoča dostop do osebnih podatkov. Prav tako poudarja vsebino člena 12 o omejitvi identitete kličočega in priključka v zvezi; ta dva člena neposvečenemu bralcu namreč ne bosta najbolj razumljiva.

5.2.1

V direktivi iz leta 1995 (člen 2) so osebni podatki opredeljeni kot „katera koli informacija, ki se nanaša na določeno ali določljivo fizično osebo (posameznik, na katerega se nanašajo osebni podatki)“. V tej uredbi je varstvo podatkov razširjeno na metapodatke in odslej velja tako za fizične kot pravne osebe. Ponovno je treba poudariti, da ima predlog dva cilja: na eni strani zaščititi osebne podatke in po drugi zagotoviti prost pretok elektronskih komunikacijskih podatkov in storitev znotraj EU (člen 1).

5.2.2

EESO poudarja, da bo zahteva po zaščiti podatkov pravnih oseb (člen 1(2)) v navzkrižju z drugimi besedili, kjer ni omenjena, saj v njih ni jasno navedeno, da se morajo uporabljati tudi za pravne osebe (glej splošno uredbo o varstvu podatkov: podatki v evropskih institucijah).

5.3

EESO se sprašuje, ali je resnični namen tega predloga predvsem poudariti člen 1(2), ki določa, da je treba zagotoviti „prosti pretok elektronskih komunikacijskih podatkov in elektronskih komunikacijskih storitev v Uniji“, ki ni omejen ali prepovedan iz razlogov, povezanih s spoštovanjem zasebnosti in komunikacij fizičnih oseb, namesto da bi dejansko zagotovil to, kar je zapisano v njegovem členu 1(1), in sicer „[pravico] do spoštovanja zasebnega življenja in komunikacij ter varstva posameznikov in pravnih oseb pri obdelavi osebnih podatkov“.

5.4

Vse temelji na privolitvi fizične ali pravne osebe. Zato EESO meni, da morajo biti uporabniki obveščeni, usposobljeni in vedno previdni, saj bo lahko ponudnik po njihovi privolitvi naprej obdeloval vsebine in metapodatke, da bi pridobil čim več dejanj in koristi. Koliko uporabnikov se pred privolitvijo zaveda, da piškotek omogoča sledenje? Izobraževanje uporabnikov o pošteni uporabi njihovih pravic bi moralo poleg anonimizacije in šifriranja spadati med prednostne naloge, povezane s to uredbo.

6.1

Osebne podatke lahko zbirajo samo organizacije, ki spoštujejo zelo stroge pogoje in imajo znane in legitimne cilje (splošna uredba o varstvu podatkov).

6.2

EESO ponovno izraža obžalovanje „zaradi preštevilnih izjem in omejitev, ki vplivajo na potrjena načela pravice do varstva osebnih podatkov“ (5). Ravnovesje med svobodo in varnostjo bi moralo ostati zaščitni znak Evropske unije, ne pa ravnovesje med temeljnimi človeškimi pravicami in industrijo. Delovna skupina za člen 29 je v svoji analizi predloga uredbe (WP 247 z dne 4. aprila 2017, mnenje 1/2017, točka 17), močno kritizirala zniževanje stopnje varstva, določene s splošno uredbo o varstvu podatkov, zlasti v zvezi z lokacijo terminala in neomejitvijo obsega podatkov, ki se zbirajo, kar pomeni, da ne vključuje privzete zasebnosti (točka 19).

6.3

Podatki so kot podaljšek osebe, njena digitalna identiteta, njena t. i. „shadow-ID“. Podatki so last osebe, ki jih ustvarja, vendar po končani obdelavi nanje nima več vpliva. Hramba in prenos podatkov ostajata v pristojnosti posamezne države in zaradi morebitnih omejitev pravic, predvidenih v predlogu besedila, ni nikakršne usklajenosti. EESO opozarja na možne razlike, če bo omejitev pravic prepuščena presoji držav članic.

6.4

Vprašanje, ki je še zlasti pomembno za osebe, ki delajo v podjetjih: komu pripadajo podatki, ki jih ustvarjajo pri delu? Kako so zaščiteni?

6.5

Struktura nadzora ni povsem jasna (6). Kljub nadzoru Evropskega nadzornika za varstvo podatkov se jamstva proti samovolji ne zdijo zadostna in ni mogoče oceniti časa, ki je potreben, da se postopek zaključi s sankcijo.

6.6

EESO poziva tudi k oblikovanju evropskega portala, kjer bi bili zbrani in redno posodobljeni vsi evropski in nacionalni predpisi, vse pravice, pravna sredstva, primeri sodne prakse in praktični elementi, ki bi državljanom in potrošnikom pomagali pri iskanju informacij v množici besedil in prakse, da bi lahko uveljavili svoje pravice. Ta portal bi moral temeljiti vsaj na določbah iz Direktive (EU) 2016/2102 z dne 26. oktobra 2016 o dostopnosti spletišč in mobilnih aplikacij organov javnega sektorja in načelih, navedenih v uvodnih izjavah 12, 15 in 21 predloga direktive o evropskem aktu o dostopnosti (2015/0278 (COD)), in zagotavljati dostopno in razumljivo vsebino za vse končne uporabnike. EESO je pripravljen sodelovati pri oblikovanju tega portala.

6.7

V členu 22 manjka sklicevanje na skupinske tožbe, na kar je EESO že opozoril v svojem mnenju o Evropskem zakoniku o elektronskih komunikacijah.

6.8

Omejevanje materialnega področja uporabe (člen 2(2)), razširitev pooblastila za obdelavo podatkov brez privolitve lastnika (člen 6(1) in (2)) in malo verjetni pojem pridobitve privolitve vseh zadevnih uporabnikov (člen 6(3)(b) in člen 8(1), (2) in (3)), omejitve pravic, ki jih lahko določijo države članice, če menijo, da so potrebne, primerne in sorazmerne – vse to so pravila, ki dopuščajo toliko razlag, da niso v skladu z dejanskim varstvom zasebnosti. Posebno pozornost je treba nameniti tudi varstvu podatkov o mladoletnih osebah.

6.9

EESO pozdravlja pravico do nadzora, navedeno v členu 12, vendar meni, da je besedilo zelo nejasno in da se očitno daje prednost „neznanim“ in „skritim“ telefonskim klicem, kakor da je priporočena anonimnost, medtem ko bi moralo veljati načelo identitete klicev.

6.10

Nepovabljena sporočila (člen 16) in neposredno trženje so že predmet direktive o nepoštenih poslovnih praksah (7). Sistem bi moral privzeto temeljiti na privolitvi (angl. opt-in), ne pa na zavrnitvi (angl. opt-out).

6.11

Komisija mora izvesti oceno vsaka tri leta, kar je predolgo obdobje za digitalno področje. Po dveh ocenah bo digitalni svet že popolnoma drugačen. Pooblastilo za sprejetje delegiranih aktov (člen 25), ki se lahko razširi, pa bi moralo biti časovno omejeno z možnostjo podaljšanja.

6.12

Zakonodaja mora varovati pravice uporabnikov (člen 3 PEU), hkrati pa zagotavljati potrebno pravno stabilnost za poslovne dejavnosti. EESO obžaluje, da pretok podatkov stroj-stroj (M2M) ni vključen v predlog, temveč se je treba sklicevati na Evropski zakonik o elektronskih komunikacijah (predlog direktive, člena 2 in 4).

6.12.1

Z internetom stvari (8) bodo velepodatki (angl. big data) prešli v megapodatke (angl. huge data), nato pa v „vseprisotne“ podatke (angl. all data). To je ključno za prihodnje valove inovacij. Aparati, tako veliki kot majhni, si sporočajo in pošiljajo zasebne podatke (npr. vaša ura beleži podatke o vašem srčnem utripu in jih pošilja računalniku vašega zdravnika ipd.). Številni akterji na digitalnem področju so vzpostavili lastne platforme za povezane predmete: Amazon, Microsoft, Intel in v Franciji Orange in La Poste.

6.12.2

Vsakodnevni internet stvari se lahko enostavno uporabi za zlonamerne vdore in količina osebnih podatkov, ki jih je mogoče pridobiti na daljavo, se povečuje (geolokacija, podatki o zdravju, prenos avdio in video vsebin). Vrzeli v varstvu podatkov med drugim zbujajo zanimanje zavarovalnic, ki so začele svojim strankam ponujati možnost uporabe povezanih predmetov in odgovornejšega vedenja.

6.13

Številni internetni velikani poskušajo preoblikovati svojo temeljno aplikacijo v platformo: zato je treba razlikovati med aplikacijo Facebook in platformo Facebook, ki razvijalcem omogoča oblikovanje aplikacij, dostopnih prek uporabniških profilov. Po drugi strani je bil Amazon aplikacija, specializirana za prodajo prek spleta. Zdaj je postal platforma, ki tretjim osebam (posameznikom in velikim skupinam) omogoča, da tržijo svoje proizvode z uporabo virov Amazona: ugleda, logistike itd. Vse to se odvija s prenosom osebnih podatkov.

6.14

V sodelovalnem gospodarstvu se močno širijo platforme: „[platforma], kjer se – predvsem elektronsko – naveže stik med več posamezniki, ki ponujajo dobrino ali storitve, in več uporabniki“ (9). Zaradi dejavnosti in zaposlitev, ki jih zagotavljajo, so zelo zaželene, vendar se EESO sprašuje, kako bi bilo mogoče nadzorovati prenose podatkov, ki jih ustvarjajo, tako pri uporabi splošne uredbe o varstvu podatkov kot pri uporabi te uredbe.