EVROPSKA KOMISIJA

Bruselj, 10.1.2017

COM(2017) 7 final

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

Izmenjava in varstvo osebnih podatkov v globaliziranem svetu

1. Uvod

Varstvo osebnih podatkov je del skupne evropske ustavne strukture in je vključeno v člen 8 Listine EU o temeljnih pravicah. V zakonodaji EU je osrednjega pomena že več kot 20 let, od direktive o varstvu podatkov iz leta 1995 1 (v nadaljnjem besedilu: direktiva iz leta 1995) pa vse do sprejetja Splošne uredbe o varstvu podatkov 2 in policijske direktive 3 leta 2016.

Predsednik J.-C. Juncker je v govoru o stanju v Evropski uniji 14. septembra 2016 poudaril, da „[b]iti Evropejec pomeni pravico, da so tvoji osebni podatki zavarovani z močnimi evropskimi zakoni. […] V Evropi je namreč zasebnost pomembna. V igri je človekovo dostojanstvo.“

Vendar zahteva po varstvu osebnih podatkov ni omejena zgolj na Evropo. Potrošniki povsod po svetu vse bolj skrbijo za svojo zasebnost in jo cenijo. Gospodarske družbe po drugi strani spoznavajo, da jim močno varstvo zasebnosti zagotavlja konkurenčno prednost, saj se tako poveča zaupanje v njihove storitve. Mnoge izmed njih, še zlasti pa tiste, ki poslujejo globalno, svojo politiko glede zasebnosti usklajujejo s Splošno uredbo o varstvu podatkov, in sicer ker želijo poslovati v EU in ker so v tej uredbi prepoznale model, ki mu je vredno slediti.

Podobno številne države in regionalne organizacije zunaj EU, od našega neposrednega sosedstva pa vse do Azije, Latinske Amerike in Afrike, sprejemajo nove zakonodaje o varstvu podatkov ali posodabljajo že obstoječe, da bi tako izkoristile priložnosti, ki jih ponuja svetovno digitalno gospodarstvo, in se odzvale na vse večje povpraševanje po močnejši varnosti podatkov in varstvu zasebnosti. Čeprav se države, kar zadeva njihov pristop in raven zakonodajnega razvoja, med seboj razlikujejo, se kažejo znamenja zbliževanja na osnovi višjih standardov v smeri pomembnih načel glede varstva podatkov, še zlasti v nekaterih svetovnih regijah. 4 Večja združljivost med različnimi sistemi varstva podatkov bi poenostavila mednarodni pretok osebnih podatkov, in sicer tako v poslovne namene kot tudi za sodelovanje med javnimi organi (npr. kazenski pregon). EU bi morala to priložnost izkoristiti za spodbujanje svojih vrednot na področju varstva podatkov in poenostavitev pretoka podatkov s spodbujanjem zbliževanja pravnih sistemov. Kot je Komisija napovedala v svojem delovnem programu, 5 so torej v tem sporočilu predstavljeni njen strateški okvir za „sklepe o ustreznosti“ ter druga orodja za prenose podatkov in mednarodni instrumenti za varstvo podatkov.

2. Sveženj ukrepov za reformo varstva podatkov v EU – sodoben zakonodajni okvir, ki podpira mednarodni pretok podatkov z visoko ravnjo varstva

Z reformo zakonodaje s področja varstva podatkov v EU, sprejeto aprila 2016, je bil vzpostavljen sistem, ki zagotavlja visoko raven varstva in je hkrati odprt za priložnosti globalne informacijske družbe. Ker je posameznikom zagotovljen večji nadzor nad njihovimi osebnimi podatki, reforma krepi zaupanje potrošnikov v digitalno gospodarstvo. Zaradi uskladitve in poenostavitve pravnega okolja je tako domačim kot tujim družbam olajšano poslovanje v EU, in sicer tudi prek mednarodnih izmenjav podatkov. EU tako zdaj odprtost za mednarodni pretok podatkov združuje z najvišjo ravnjo varstva posameznikov. Zato bi lahko postala vozlišče podatkovnih storitev, ki zahtevajo tako prosti pretok kot zaupanje.

2.1 Celovit, poenoten in poenostavljen okvir EU za varstvo podatkov

Z reformo je v EU vzpostavljen celovit okvir, ki ureja obdelavo osebnih podatkov v zasebnem in javnem sektorju ter na poslovnem področju in v sektorju kazenskega pregona (Splošna uredba o varstvu podatkov oziroma policijska direktiva).

Maja 2018 bo na podlagi Splošne uredbe o varstvu podatkov 28 nacionalnih zakonodaj, ki veljajo danes, nadomestil en sam vseevropski nabor pravil. Na novo izoblikovani mehanizem po načelu „vse na enem mestu“ bo zagotavljal, da bo en sam organ za varstvo podatkov odgovoren za nadzor nad čezmejnimi postopki obdelave podatkov, ki jih bo izvedla družba v EU. Zagotovljena bo doslednost pri razlagi novih pravil. Zlasti bo v čezmejnih primerih, v katerih sodeluje več nacionalnih organov za varstvo podatkov, sprejet en sam sklep, da se tako zagotovi, da bodo za skupne težave sprejete skupne rešitve. Poleg tega Splošna uredba o varstvu podatkov ustvarja enake pogoje za družbe iz EU in tuje družbe, saj bodo morale družbe s sedežem zunaj EU, če ponujajo svoje blago in storitve ali spremljajo vedenje posameznikov v EU, upoštevati enaka pravila kot evropske družbe. Višja raven zaupanja potrošnikov bo koristila tako EU kot zunanjim gospodarskim subjektom.

Policijska direktiva zagotavlja skupna pravila za obdelavo osebnih podatkov posameznikov, vpletenih v kazenske postopke, pa naj bodo to osumljenci, žrtve ali priče, pri čemer se upošteva posebna narava policijskega in kazenskopravnega področja. Uskladitev pravil o varstvu podatkov v sektorju kazenskega pregona, vključno s pravili o mednarodnih prenosih, bo poenostavila čezmejno sodelovanje med policijskimi in pravosodnimi organi tako znotraj EU kot tudi z mednarodnimi partnerji, s čimer bodo vzpostavljeni pogoji za učinkovitejši boj proti kriminalu. To je pomemben prispevek k evropski agendi za varnost. 6

2.2 Prenovljen in raznovrstnejši nabor orodij za mednarodne prenose

Zakonodaja EU s področja varstva podatkov je že od samih začetkov zagotavljala več mehanizmov, ki so omogočali mednarodne prenose podatkov. Temeljni namen teh pravil je zagotoviti, da v primerih, ko se osebni podatki Evropejcev prenesejo v tujino, skupaj s podatki potuje tudi njihovo varstvo. Z leti so se ta pravila v številnih jurisdikcijah uveljavila kot standard za mednarodni pretok podatkov. Čeprav ostaja zgradba v osnovi enaka kot na podlagi direktive iz leta 1995, je z reformo pravil o mednarodnih prenosih pojasnjena in poenostavljena uporaba teh pravil, uvedena pa so tudi nova orodja za prenos.

Na podlagi zakonodaje EU lahko prenos osebnih podatkov v tujino temelji na „sklepu o ustreznosti“, s katerim Komisija ugotovi, da država nečlanica EU zagotavlja raven varstva podatkov, ki je „v osnovi enakovredna“ 7 ravni varstva v EU. Tak sklep učinkuje tako, da omogoči prosti pretok osebnih podatkov v tako tretjo državo, ne da bi moral izvoznik podatkov zagotoviti nadaljnje zaščitne ukrepe ali pridobiti kakršno koli dovoljenje. Za zainteresirane države ali mednarodne organizacije je na voljo natančen in podroben seznam elementov, ki jih mora Komisija upoštevati pri oceni ustreznosti varstva v tujem sistemu. 8 Komisija lahko zdaj sprejema sklepe o ustreznosti tudi za sektor kazenskega pregona. 9 Poleg tega reforma, ki temelji na praksi, izoblikovani z direktivo iz leta 1995, izrecno dovoljuje, da se ustreznost opredeli za določeno ozemlje tretje države ali poseben sektor ali panogo v tretji državi (t. i. „delna“ ustreznost). 10

Če sklep o ustreznosti ni bil sprejet, je mogoče mednarodne prenose izvesti z uporabo nekaj alternativnih orodij za prenos, ki zagotavljajo ustrezne zaščitne ukrepe, kar zadeva varstvo podatkov. 11 Z reformo so formalizirane in razširjene možnosti uporabe obstoječih instrumentov, kot so standardna pogodbena določila 12 in zavezujoča poslovna pravila. 13 Standardna pogodbena določila je na primer zdaj mogoče vključiti v pogodbo med obdelovalci s sedežem v EU in obdelovalci iz države nečlanice EU (t. i. vzorčne klavzule med obdelovalci). 14 Kar zadeva zavezujoča poslovna pravila, ki so se doslej uporabljala zgolj za dogovore med subjekti znotraj iste korporacije, jih zdaj lahko uporabi skupina podjetij, ki opravljajo skupno gospodarsko dejavnost, pri čemer ni nujno, da so del iste korporacije. 15 Z reformo se je zmanjšala tudi birokracija, saj so ukinjene splošne zahteve po predhodni priglasitvi pri organih za varstvo podatkov in njihovem dovoljenju za prenose v tretjo državo na podlagi standardnih pogodbenih določil ali zavezujočih poslovnih pravil. 16 To je pomembna poenostavitev sistema EU za mednarodne prenose podatkov, saj se take zahteve, ki se trenutno med posameznimi državami članicami razlikujejo, pogosto dojemajo kot pomembna ovira za pretok podatkov, sploh v primeru manjših podjetij. 17

Poleg tega so z reformo uvedeni novi instrumenti za mednarodne prenose. 18 Upravljavci in obdelovalci bodo lahko pod nekaterimi pogoji 19 uporabljali odobrene kodekse ravnanja ali mehanizme potrjevanja (kot so pečati ali označbe zasebnosti) za vzpostavitev „ustreznih zaščitnih ukrepov“. To bi moralo omogočiti razvoj bolj prilagojenih rešitev za mednarodne prenose, ki bodo na primer odražale posebne značilnosti in potrebe nekega sektorja ali panoge oziroma posameznega pretoka podatkov. Hkrati se tako ponuja možnost za določitev ustreznih zaščitnih ukrepov za prenose podatkov med javnimi organi ali telesi na podlagi mednarodnih sporazumov in upravnih dogovorov. 20 Nazadnje Splošna uredba o varstvu podatkov pojasnjuje še uporabo t. i. „odstopanj“ 21 (npr. privolitev, izvajanje pogodbe ali pomembni razlogi javnega interesa), s katerimi lahko subjekti v posebnih okoliščinah utemeljijo svoje prenose podatkov, tudi če ni bil sprejet sklep o ustreznosti in ne glede na uporabo katerega od zgoraj navedenih instrumentov. Ta uredba zlasti vključuje novo – čeprav omejeno – odstopanje v zvezi s prenosi, ki jih je mogoče opraviti zaradi zakonitih interesov 22 družbe.

Nazadnje je z reformo Komisija pooblaščena za oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje izvrševanja pravil o varstvu podatkov, tudi z dogovori o medsebojni pomoči. 23 . S tem se priznava prispevek, ki bi ga lahko imele tesnejše oblike sodelovanja med nadzornimi organi na mednarodni ravni pri zagotavljanju učinkovitejšega varstva pravic posameznikov in večje pravne varnosti za podjetja.

3. Mednarodni prenosi podatkov v poslovnem sektorju: poenostavitev trgovine z varstvom zasebnosti

Spoštovanje zasebnosti je pogoj za stabilne, varne in konkurenčne svetovne poslovne tokove. Zasebnost ni blago, s katerim bi se dalo trgovati. 24 Internet ter digitalizacija blaga in storitev sta spremenila svetovno gospodarstvo, prenos podatkov, tudi osebnih, čez meje pa je postal del vsakodnevnih postopkov evropskih družb vseh velikosti in v vseh sektorjih. Ker poslovne izmenjave vse bolj temeljijo na pretoku osebnih podatkov, sta zasebnost in varnost takih podatkov postala osrednji dejavnik zaupanja potrošnikov. Dve tretjini Evropejcev sta denimo zaskrbljeni nad tem, da nimata nobenega nadzora nad podatki, zagotovljenimi prek spleta, polovico anketirancev pa skrbi, da bi lahko postali žrtve goljufije. 25 Hkrati se evropske družbe, ki poslujejo v nekaterih tretjih državah, vse pogosteje srečujejo s protekcionističnimi omejitvami, ki jih ni mogoče utemeljiti z legitimnimi pomisleki glede zasebnosti.

V digitalni dobi je torej nujno, da gre spodbujanje visokih standardov varstva podatkov z roko v roki s poenostavitvijo mednarodne trgovine. O varstvu osebnih podatkov se ni mogoče pogajati v trgovinskih sporazumih, 26 je pa z ureditvijo EU v zvezi z mednarodnimi prenosi podatkov, kot je bila povzeta zgoraj, zagotovljen širok in raznovrsten nabor orodij, ki omogočajo pretok podatkov v različnih okoliščinah ob hkratnem zagotavljanju visoke ravni varstva.

3.1 Sklepi o ustreznosti

Ugotovitev o ustreznosti omogoča prosti pretok osebnih podatkov iz EU, ne da bi moral izvoznik podatkov iz EU uveljaviti kakršne koli dodatne zaščitne ukrepe ali izpolniti nadaljnje pogoje. Če je v sklepu ugotovljeno, da pravni red neke države zagotavlja ustrezno raven varstva, je s tem priznano, da je sistem te države podoben sistemu držav članic EU. Zato bodo prenosi v zadevno državo izenačeni s prenosi podatkov znotraj EU, kar pomeni prednostni dostop do enotnega trga EU in hkrati odpiranje poslovnih kanalov za gospodarske subjekte iz EU. Kot je bilo pojasnjeno zgoraj, je za tako priznanje nujna raven varstva, primerljiva (ali „v osnovi enakovredna“) 27 ravni, zagotovljeni v Uniji. To pomeni celovito presojo sistema tretje države, vključno z njenimi pravili o dostopu javnih organov do osebnih podatkov za namene kazenskega pregona, nacionalne varnosti in druge namene v javnem interesu.

Hkrati – kot je potrdilo Sodišče v sodbi iz leta 2015 v zadevi Schrems – standard glede ustreznosti še ne zahteva pravil, ki bi se do pike ujemala s pravili EU. 28 Bolj kot to preizkus temelji na proučitvi, ali zadevni tuji sistem kot celota prek vsebine pravic do zasebnosti in njihovega dejanskega izvajanja, izvršljivosti in nadzora zagotavlja zahtevano visoko raven varstva. Kot je razvidno iz doslej sprejetih sklepov o ustreznosti, lahko Komisija kot ustrezne prizna zelo raznovrstne sisteme varstva zasebnosti, ki odražajo različne pravne tradicije. Ti sklepi se nanašajo na države, tesno povezane z Evropsko unijo in njenimi državami članicami (Švica, Andora, Ferski otoki, Guernsey, Jersey, Otok Man), na pomembne trgovinske partnerje (Argentina, Kanada, Izrael, ZDA) in na države s pionirsko vlogo pri razvoju zakonodaje s področja varstva podatkov v svoji regiji (Nova Zelandija, Urugvaj).

Sklepi v zvezi s Kanado in ZDA so ugotovitve o „delni“ ustreznosti. Sklep v zvezi s Kanado se uporablja le za zasebne subjekte, za katere velja kanadski zakon o varstvu osebnih podatkov in elektronskih dokumentih (Personal Information Protection and Electronic Documents Act). Nedavno sprejeti sklep o zasebnostnem ščitu EU-ZDA 29 je poseben primer: ker ZDA nimajo splošne zakonodaje o varstvu podatkov 30 , se namreč opira na zaveze sodelujočih družb, da bodo uporabljale visoke standarde varstva podatkov, ki jih določa ta dogovor in so zato izvršljivi na podlagi zakonodaje ZDA. Poleg tega zasebnostni ščit gradi na posebnih zavezah in zagotovilih vlade ZDA, kar zadeva dostop za nacionalne varnostne namene, 31 na katerih temelji ugotovitev o ustreznosti. Skladnost s temi zavezami bo Komisija pozorno spremljala kot del letnega pregleda delovanja okvira.

V zadnjih letih povsod po svetu narašča število držav, ki so sprejele novo zakonodajo na področju varstva podatkov in zasebnosti ali so v postopku njenega sprejemanja. Leta 2015 je zakone o varstvu podatkov sprejelo 109 držav, kar je velik porast v primerjavi s 76 sredi leta 2011. 32 Poleg tega še približno 35 držav trenutno pripravlja osnutke zakonov o varstvu podatkov. 33 Ti novi ali posodobljeni zakoni težijo k temu, da so zasnovani na temeljnem naboru skupnih načel, ki med drugim vključujejo priznanje varstva podatkov kot temeljne pravice, sprejetje splošne zakonodaje na tem področju, obstoj izvršljivih posameznih pravic do zasebnosti in vzpostavitev neodvisnega nadzornega organa. S tem se ponujajo nove priložnosti, da se zlasti prek ugotovitev o ustreznosti dodatno poenostavi pretok podatkov, hkrati pa se nenehno zagotavlja visoka raven varstva osebnih podatkov.

Na podlagi zakonodaje EU se za ugotovitev o ustreznosti zahteva obstoj pravil o varstvu podatkov, primerljivih s pravili v EU. 34 To se nanaša na vsebinske zaščitne ukrepe, ki se uporabljajo za osebne podatke, ter na ustrezne nadzorne in pritožbene mehanizme, ki so na voljo v tretji državi.

Komisija meni, da bi bilo treba v okviru ugotovitev o ustreznosti pri presoji, s katerimi tretjimi državami je treba začeti dialog o ustreznosti, upoštevati naslednja merila: 35

(i)    obseg (dejanskih ali potencialnih) trgovinskih odnosov EU z zadevno tretjo državo, vključno z obstojem sporazuma o prosti trgovini ali pogajanj v teku;

(ii)    obseg pretoka osebnih podatkov iz EU glede na geografske in/ali kulturne povezave;

(iii)    pionirska vloga, ki jo ima tretja država na področju varstva zasebnosti in podatkov, ki bi lahko služila kot vzor za druge države v njeni regiji, 36  in

(iv)    splošni politični odnosi z zadevno tretjo državo, zlasti z vidika spodbujanja skupnih vrednot in ciljev na mednarodni ravni.

Komisija bo na podlagi navedenih vidikov dejavno sodelovala s ključnimi trgovinskimi partnerji v vzhodni in jugovzhodni Aziji, za začetek z Japonsko in Korejo v letu 2017 37 ter – odvisno od napredka pri posodabljanju njenih predpisov o varstvu podatkov – Indijo, pa tudi z državami Latinske Amerike, zlasti državami Mercosurja, in državami evropskega sosedstva, ki so izrazile interes za pridobitev „ugotovitve o ustreznosti“. Poleg tega Komisija vabi k prijavi interesa še druge tretje države, ki želijo sodelovati v zvezi s temi vprašanji. Razprave o morebitni ugotovitvi o ustreznosti zajemajo dvostranski dialog, v katerem se zagotovijo vsa potrebna pojasnila v zvezi s pravili EU o varstvu podatkov in raziščejo načini, kako okrepiti približevanje zakonov in praks tretjih držav.

V nekaterih okoliščinah je morda primerneje kot pristop za celotno državo uporabiti druge možnosti, kot sta delna ustreznost ali ustreznost posameznih sektorjev (npr. za finančne storitve ali sektorje IT), ki se lahko nanašajo na geografska območja ali panoge, ki tvorijo pomemben del gospodarstva posamezne tretje države. To bo treba obravnavati ob upoštevanju elementov, kot so narava in stanje razvoja ureditve zasebnosti (en sam samostojen zakon, več zakonov ali sektorski zakoni itd.), ustavna struktura tretje države ali to, da so nekateri gospodarski sektorji morda posebej izpostavljeni pretoku podatkov iz EU.

Sprejetje sklepa o ustreznosti vključuje vzpostavitev posebnega dialoga in tesnih oblik sodelovanja z zadevno tretjo državo. Sklepi o ustreznosti so „živi“ dokumenti, ki jih mora Komisija pozorno spremljati in jih v primeru razvoja, ki vpliva na raven varstva, ki jo zagotavlja zadevna tretja država, prilagoditi. 38 V ta namen se bodo izvajali redni pregledi, in sicer vsaj vsaka štiri leta, med katerimi bodo obravnavana porajajoča se vprašanja in izmenjane najboljše prakse med tesnimi partnerji. 39 Ta dinamični pristop se uporablja tudi za že obstoječe sklepe o ustreznosti, sprejete na podlagi direktive iz leta 1995, ki jih bo treba, če se upoštevni standard več ne dosega, revidirati. 40 Zato so zadevne tretje države pozvane, naj Komisijo obvestijo o kakršni koli upoštevni spremembi zakonodaje in prakse po tem, ko je bil v zvezi z njimi sprejet sklep o ustreznosti. To je bistveno za zagotovitev kontinuitete teh sklepov na podlagi novih pravil, izoblikovanih z reformo. 41

O pravilih EU glede varstva podatkov se ni mogoče pogajati v sporazumu o prosti trgovini. 42 Čeprav morajo dialogi o varstvu podatkov in trgovinska pogajanja s tretjimi državami potekati ločeno, je sklep o ustreznosti, vključno z delno ustreznostjo ali ustreznostjo posameznih sektorjev, najboljši način za izgradnjo vzajemnega zaupanja, ki zagotavlja nemoten pretok osebnih podatkov in tako poenostavlja poslovne izmenjave, ki vključujejo prenose osebnih podatkov v zadevno tretjo državo. Taki sklepi lahko torej olajšajo trgovinska pogajanja ali dopolnijo obstoječe trgovinske sporazume, s čimer se omogoči krepitev njihovih koristi. Hkrati ugotovitev o ustreznosti s spodbujanjem zbliževanja ravni varstva v EU in v tretji državi zmanjšuje tveganje, da bi se ta država sklicevala na varstvo osebnih podatkov za naložitev neupravičenih zahtev za lokalizacijo ali hrambo podatkov. Poleg tega si bo Komisija, kot je navedeno v sporočilu o trgovini za vse, prizadevala s pomočjo sporazumov EU o prosti trgovini določiti pravila za elektronsko trgovanje in čezmejni pretok podatkov ter obravnavati nove oblike digitalnega protekcionizma, pri čemer bo v celoti upoštevala pravila EU o varstvu podatkov in ne bo posegala vanje. 43

3.2 Alternativni mehanizmi za prenos podatkov

V pravilih EU o varstvu podatkov se je vedno upoštevalo, da pri mednarodnih prenosih podatkov ni enega samega pristopa, ki bi ustrezal vsem. To še toliko bolj drži za pravila, ki izhajajo iz reforme. Ugotovitve o ustreznosti bodo sicer na voljo samo za tiste tretje države, ki izpolnjujejo merila, vendar Splošna uredba o varstvu podatkov hkrati ponuja raznovrsten nabor mehanizmov, ki so dovolj prožni, da se lahko prilagodijo številnim različnim okoliščinam prenosa. Razviti je mogoče instrumente, s katerimi se upoštevajo posebne potrebe ali pogoji posebnih panog, poslovnih modelov in/ali gospodarskih subjektov. Ena od možnosti so denimo standardna pogodbena določila, osredotočena na zahteve posameznega sektorja, na primer na posebne zaščitne ukrepe pri obdelavi občutljivih podatkov v zdravstvenem sektorju, ali na zahteve posebne vrste obdelovalnih dejavnosti, ki prevladujejo v nekaterih tretjih državah, kot so storitve zunanjega izvajanja, ki se opravljajo za evropske družbe. To bi bilo mogoče zagotoviti ali s sprejetjem novih naborov standardnih določil ali pa z dopolnitvijo že obstoječih z dodatnimi zaščitnimi ukrepi, ki lahko zajemajo vse od tehničnih in organizacijskih rešitev pa do rešitev v zvezi s poslovnimi modeli. 44 Nekatere posebne sektorske potrebe je mogoče zadovoljiti tudi prek zavezujočih poslovnih pravil, ki se uporabljajo za skupine družb, ki se ukvarjajo s skupno gospodarsko dejavnostjo, na primer v potovalni industriji. V mednarodnih prenosih med obdelovalci bi bilo mogoče izkoristiti razvoj standardnih pogodbenih določil med posameznimi obdelovalci in/ali zavezujočih poslovnih pravil zanje. Nazadnje, z novimi mehanizmi za prenos, kot so odobreni kodeksi ravnanja in potrdila o pooblastitvi tretjih strani, se panogam omogoči uvajanje prilagojenih rešitev za mednarodne prenose, da tako izkoristijo s tem povezane konkurenčne prednosti, na primer s pečati ali označbami zasebnosti. Nekatere od teh instrumentov je mogoče razviti kot mehanizme, ki se uporabljajo posebej za prenose, ali kot del splošnejših orodij za dokazovanje skladnosti z vsemi določbami Splošne uredbe o varstvu podatkov, denimo v primeru odobrenega kodeksa ravnanja.

Komisija bo sodelovala z gospodarskimi panogami, civilno družbo in organi za varstvo podatkov, da bi tako izkoristili vse možnosti, ki jih ponuja nabor orodij Splošne uredbe o varstvu podatkov za mednarodne prenose. Nenehni dialog z zainteresiranimi stranmi v okviru izvajanja reforme bo pripomogel k opredelitvi prednostnih področij delovanja v zvezi s tem. To lahko vključuje dokončanje dela, ki se je že začelo, kot je priprava – v sodelovanju z delovno skupino iz člena 29 (ki jo bo leta 2018 nadomestil Evropski odbor za varstvo podatkov) – standardnih pogodbenih določil med posameznimi obdelovalci. 45 Sem lahko spada razvoj novih sestavin infrastrukture EU za zagotavljanje skladnosti, na primer tako, da Komisija opredeli zahteve in tehnične standarde za vzpostavitev in delovanje mehanizmov potrjevanja, vključno z vidiki v zvezi z mednarodnimi prenosi. 46 Nekatere od teh ukrepov je mogoče dopolniti s sodelovanjem na mednarodni ravni, zlasti z organizacijami, ki so razvile podobne mehanizme prenosa. Lahko bi na primer proučili, kako bi bilo mogoče spodbuditi zbliževanje med zavezujočimi poslovnimi pravili na podlagi zakonodaje EU in čezmejnimi pravili o zasebnosti, ki jih je razvila Skupina za azijsko-pacifiško gospodarsko sodelovanje (APEC), 47 in sicer z vidika upoštevnih standardov in postopka uporabe na podlagi vsakega od sistemov. To bi moralo prispevati k spodbujanju visokih standardov varstva podatkov na svetovni ravni ob hkratnem preseganju razlik v pristopih k varstvu zasebnosti in podatkov, da se tako gospodarskim subjektom pomaga pri prehajanju med različnimi sistemi in izoblikovanju politik, ki se skladajo z njimi.

 

3.3 Mednarodno sodelovanje za varstvo osebnih podatkov

3.3.1. Spodbujanje standardov varstva podatkov prek večstranskih instrumentov in forumov

Tretje države se pri razvoju zakonodaje za varstvo podatkov pogosto zgledujejo po pravnem okviru EU s tega področja. EU si bo še naprej prizadevala za dejaven dialog s svojimi mednarodnimi partnerji na dvostranski in večstranski ravni, da bi tako spodbudila približevanje ob hkratnem razvoju visokih in interoperabilnih standardov varstva osebnih podatkov na svetovni ravni. To prispeva k učinkovitejšemu varstvu posameznikovih pravic in hkrati zmanjšuje ovire za čezmejni pretok podatkov, ki je pomemben dejavnik proste trgovine.

Komisija tretje države spodbuja zlasti k pristopu h Konvenciji Sveta Evrope št. 108 in njenemu dodatnemu protokolu. 48 Konvencija, h kateri lahko pristopijo tudi nečlanice Sveta Evrope in je bila ratificirana že v 50 državah, tudi nekaterih afriških in južnoameriških, 49 je edini zavezujoč večstranski akt na področju varstva podatkov. Trenutno je v postopku revizije, Komisija pa bo dejavno spodbujala hitro sprejetje posodobljenega besedila z namenom, da bi EU postala njegova pogodbenica. To besedilo bo odražalo enaka načela, kot so vključena v nova pravila EU o varstvu podatkov, in bo tako pripomoglo k zbliževanju v smeri nabora visokih standardov varstva podatkov.

Na srečanju skupine G-20 leta 2017 se bo ponudila nova priložnost za to, da EU deluje v smeri zbliževanja na podlagi načela, da so visoki standardi varstva podatkov bistveni za nadaljnji razvoj svetovne informacijske družbe, sposobne spodbujanja inovacij, rasti in družbene blaginje. 50

Komisija se veseli tudi sodelovanja z novimi pomembnimi akterji, kot je posebni poročevalec Združenih narodov o pravici do zasebnosti, 51 in nadaljnjega razvoja svojih delovnih odnosov z regionalnimi organizacijami, kot je APEC, da bi tako spodbudili svetovno kulturo spoštovanja pravic do varstva zasebnosti in osebnih podatkov.

Evropska komisija je kot del širših prizadevanj za izboljšanje ozaveščenosti o zasebnosti in za izboljšanje zaščitnih ukrepov za varstvo podatkov na mednarodni ravni 15. novembra 2016 odobrila projekt na podlagi instrumenta partnerstva za krepitev sodelovanja s partnerskimi državami na tem področju. 52 To bo vključevalo financiranje dejavnosti, kot sta usposabljanje in povečevanje ozaveščenosti. Poleg tega lahko EU v okviru izvajanja reforme izkoristi izmenjavo najboljših praks in izkušenj iz drugih sistemov z novimi izzivi za varstvo zasebnosti in porajajočimi se pravnimi ali tehničnimi rešitvami, tudi v zvezi z izvrševanjem, orodji za zagotavljanje skladnosti (npr. mehanizmi potrjevanja, presoje vpliva na zasebnost) ali varstvom za nekatere posebne sklope podatkov (npr. podatki otrok).

3.3.2 Sodelovanje pri izvrševanju

Glede na svetovni doseg mednarodnih družb, ki obdelujejo ogromne količine osebnih podatkov v številnih državah, je vse potrebneje krepiti sodelovanje z ustreznimi organi za uveljavljanje varstva zasebnosti in nadzornimi organi tretjih držav. Pogosto se zgodi, da neskladnost s pravili o varstvu podatkov ali kršitve varstva podatkov hkrati prizadenejo ljudi v več kot eni sodni pristojnosti. V teh primerih bi s skupnim delovanjem lahko zagotovili učinkovitejše varstvo posameznikov. Hkrati bi gospodarskim subjektom koristilo jasnejše pravno okolje, v katerem se skupna razlagalna orodja in izvršilne prakse razvijajo na svetovni ravni.

Torej je napočil čas, da se v povezanem svetu pretoka podatkov brez meja okrepi sodelovanje med izvrševalci. 53 EU je pripravljena, da odigra svojo vlogo. Kot je bilo že navedeno, je Komisija na podlagi Splošne uredbe o varstvu podatkov pooblaščena za oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu podatkov, tudi z dogovori o medsebojni pomoči. V tem okviru bi bilo treba proučiti možnost izoblikovanja okvirnega sporazuma za sodelovanje med organi za varstvo podatkov v EU in izvršilnimi organi v nekaterih tretjih državah, pri čemer je mogoče črpati tudi iz izkušenj, ki jih je Komisija pridobila na drugih izvršilnih področjih, kot sta konkurenca in varstvo potrošnikov.

Komisija bo: spodbujala hitro sprejetje posodobljenega besedila Konvencije Sveta Evrope št. 108 z namenom, da EU postane pogodbenica, k pristopu pa bo spodbujala tudi tretje države; izkoristila večstranske forume, kot so Združeni narodi, G-20 in APEC, za spodbuditev svetovne kulture spoštovanja pravic do varstva podatkov; razvijala mehanizme mednarodnega sodelovanja s ključnimi mednarodnimi partnerji za poenostavitev učinkovitega izvrševanja.

4. Učinkovitejše sodelovanje na področju kazenskega pregona z močnimi zaščitnimi ukrepi za varstvo podatkov

Izmenjave osebnih podatkov so sestavni del preprečevanja, preiskovanja in pregona kaznivih dejanj. V medsebojno povezanem svetu, v katerem se kazniva dejanja redko ustavijo na državnih mejah, je hitra izmenjava osebnih podatkov bistvena za uspešno sodelovanje na področju kazenskega pregona in učinkovit odziv na kazniva dejanja. Take izmenjave morajo biti podkrepljene z močnimi zaščitnimi ukrepi za varstvo podatkov. To pripomore tudi k izgradnji zaupanja med organi kazenskega pregona in h krepitvi pravne varnosti, ko se informacije zbirajo in/ali izmenjujejo.

Pravila glede mednarodnih prenosov iz policijske direktive urejajo izmenjavo podatkov med organi kazenskega pregona v EU in državah nečlanicah EU, v posebnih okoliščinah pa tudi prenose z organov kazenskega pregona na druge subjekte. S to direktivo je uvedena možnost ugotovitev o ustreznosti v sektorju kazenskega pregona. Komisija bo spodbujala možnost takih ugotovitev o ustreznosti v zvezi s tretjimi državami, ki izpolnjujejo merila, zlasti tistimi, s katerimi je potrebno tesno in hitro sodelovanje v boju proti kriminalu in terorizmu ter s katerimi se že izmenjujejo precejšnje količine osebnih podatkov. Na tej podlagi bo Komisija o sklepih o ustreznosti prednostno razpravljala s tretjimi državami, ki so ključni partnerji pri teh prizadevanjih.

Krovni sporazum med EU in ZDA o varstvu podatkov, 54 sklenjen decembra 2016, je prav tako uspešen primer, kako je mogoče sodelovanje na področju kazenskega pregona s pomembnim mednarodnim partnerjem izboljšati tako, da se izpogaja močan nabor zaščitnih ukrepov za varstvo podatkov. Ta sporazum s samodejno dopolnitvijo obstoječih pravnih aktov, na katerih temeljijo izmenjave podatkov (zlasti dvostranskih sporazumov na ravni EU in držav članic), takoj in neposredno koristi posameznikom ter s poenostavitvijo izmenjave informacij krepi sodelovanje na področju kazenskega pregona. Ker je z njim postavljeno izhodišče za prihodnje sporazume z ZDA o prenosu podatkov, ni več potrebe po tem, da bi se vedno znova pogajali o istih zaščitnih ukrepih. Krovni sporazum je prvi dvostranski mednarodni sporazum s celovitim naborom pravic in obveznosti v zvezi z varstvom podatkov, ki se sklada s pravnim redom EU. Zato ga je mogoče uporabiti kot podlago za pogajanja o podobnih sporazumih s tretjimi državami ne le na področju pravosodnega in policijskega sodelovanja, temveč tudi na drugih področjih javnega izvrševanja (npr. politika konkurence in varstvo potrošnikov). To bi vključevalo tako izmenjave med posameznimi vladami kot tudi prenose podatkov med zasebnimi družbami in organi kazenskega pregona. Prav tako bi se lahko poenostavilo sklepanje sporazumov s strani Unije o izmenjavi podatkov med ustreznimi agencijami EU (zlasti Europolom in Eurojustom) in tretjimi državami. 55 Komisija bo tako proučila možnost sklenitve podobnih okvirnih sporazumov s pomembnimi partnerji na področju kazenskega pregona.

Poleg tega policijska direktiva predvideva možnost, da lahko organi kazenskega pregona v EU ob upoštevanju strogih zaščitnih ukrepov in v posebnih okoliščinah zahtevajo informacije neposredno od zasebne družbe v tretji državi ter da lahko v tej zahtevi posredujejo osebne podatke (običajno ime ali naslov IP). 56 Po drugi strani Splošna uredba o varstvu podatkov posebej obravnava primere, ko zasebni subjekti v EU na podlagi zahteve prenesejo osebne podatke organom kazenskega pregona tretje države: taki prenosi zunaj EU so dopustni le pod določenimi pogoji, npr. na podlagi mednarodnega sporazuma ali kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije ali pravom države članice. 57

To sodelovanje, ki je postalo osrednjega pomena za uspešno preiskovanje in pregon kaznivih dejanj in terorizma, je izpostavil Svet v svojih sklepih o izboljšanju kazenskega pravosodja v kibernetskem prostoru. Svet je Komisijo pozval h konkretnemu ukrepanju, ki naj temelji na skupnem pristopu EU, da bi tako izboljšali sodelovanje s ponudniki storitev, povečali učinkovitost vzajemne pravne pomoči in predlagali rešitve za težave pri opredeljevanju in izvrševanju sodne pristojnosti v kibernetskem prostoru. 58 . Ti ukrepi zajemajo tako izmenjave med organi kazenskega pregona in ponudniki storitev s sedežem v EU kot tudi izmenjave z organi in družbami iz držav nečlanic EU. Komisija bo junija 2017 pripravila pregled možnosti za dostop do elektronskih dokazov, pri čemer bo upoštevala potrebo po hitrem in zanesljivem sodelovanju ob upoštevanju strogih standardov varstva podatkov iz policijske direktive in Splošne uredbe o varstvu podatkov tako za primere znotraj EU kot tudi za mednarodne prenose.

Nazadnje, Komisija bo v skladu z novo pravno podlago Europola ocenila določbe iz sporazumov o operativnem sodelovanju med Europolom in tretjimi stranmi, sklenjenih na podlagi Sklepa Sveta 2009/371/PNZ, vključno z njihovimi določbami o varstvu podatkov. 59 Poleg tega – kot je bilo navedeno v evropski agendi za varnost iz leta 2015 – se bo v okviru prihodnjega pristopa Unije k izmenjavi podatkov iz evidence podatkov o potnikih (PNR) z državami nečlanicami EU upoštevala potreba po uporabi doslednih standardov in posebnih varstev temeljnih pravic. Komisija si bo prizadevala za pravno utemeljene in trajnostne rešitve za izmenjavo podatkov PNR s tretjimi državami, vključno z razmislekom o vzorcu sporazuma o PNR, v katerem bodo opredeljene zahteve, ki jih morajo izpolniti tretje države, da od EU prejmejo podatke PNR. Vendar bo kakršna koli prihodnja politika na tem področju odvisna zlasti od mnenja, ki ga bo o osnutku sporazuma PNR med EU in Kanado izdalo Sodišče Evropske unije. 60

Učinkovitejše sodelovanje na področju kazenskega pregona z močnimi zaščitnimi ukrepi za varstvo podatkov Komisija bo: spodbujala možnost izdaje sklepov o ustreznosti na podlagi policijske direktive v zvezi s tretjimi državami, ki izpolnjujejo merila; spodbujala pogajanja o sporazumih na področju kazenskega pregona s pomembnimi mednarodnimi partnerji po vzoru krovnega sporazuma z ZDA; sprejela nadaljnje ukrepe v skladu s sklepi Sveta o izboljšanju kazenskega pravosodja v kibernetskem prostoru, da bi tako poenostavila čezmejno izmenjavo elektronskih dokazov v skladu s pravili o varstvu podatkov.

5. Zaključek

Varstvo in izmenjevanje osebnih podatkov se ne izključujeta. Močan sistem varstva podatkov poenostavlja pretok podatkov z izgradnjo zaupanja potrošnikov v gospodarske družbe, ki jim je mar za to, kako ravnajo z osebnimi podatki svojih strank. Visoki standardi varstva podatkov tako postanejo prednost v svetovnem digitalnem gospodarstvu. Enako velja za sodelovanje na področju kazenskega pregona: zaščitni ukrepi za varstvo zasebnosti so sestavni del učinkovite in hitre izmenjave informacij v boju proti kriminalu, ki temelji na vzajemnem zaupanju in pravni varnosti.

EU bi morala po dokončanju reforme svojih pravil o varstvu podatkov začeti dejavno sodelovati s tretjimi državami na tem področju. Prizadevati bi si morala za večje mednarodno zbliževanje na osnovi višjih standardov glede načel za varstvo podatkov na dvostranski in večstranski ravni. To je v interesu in v korist tako državljanov kot tudi podjetij. Novi zakonodajni okvir EU za varstvo podatkov zagotavlja potrebna in ustrezna orodja za uresničitev teh ciljev. Komisija bo v skladu s strateškim pristopom, predstavljenim v tem sporočilu, dejavno sodelovala s ključnimi tretjimi državami – za začetek z Japonsko in Korejo v letu 2017 –, da bi tako proučila možnost sprejetja ugotovitev o ustreznosti zaradi spodbuditve regulativnega zbliževanja v smeri standardov EU in poenostavitve trgovinskih odnosov. Hkrati bo EU v celoti izkoristila nabor alternativnih orodij za prenos, da bi zavarovala pravice do varstva podatkov in podprla gospodarske subjekte, ko se podatki prenesejo v države, katerih nacionalna zakonodaja ne zagotavlja ustrezne ravni varstva podatkov. Taka orodja bi bilo treba uporabiti tudi za nadaljnjo poenostavitev sodelovanja med nadzornimi organi in organi kazenskega pregona EU ter njihovimi mednarodnimi partnerji. Komisija bo zagotovila skladnost notranje in zunanje razsežnosti politike EU na področju varstva podatkov ter spodbujala močno varstvo podatkov na mednarodni ravni, da bi tako izboljšali sodelovanje na področju kazenskega pregona, prispevali k prosti trgovini in razvili visoke standarde varstva osebnih podatkov na svetovni ravni.

(1)

     Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995).

(2)

     Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1–88). Veljati je začela 24. maja 2016, uporabljala pa se bo od 25. maja 2018.

(3)

     Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89–131). Veljati je začela 5. maja 2016. Države članice EU jo morajo prenesti v nacionalno zakonodajo do 6. maja 2018.

(4)

     Glej „Data protection regulations and international data flows: Implications for trade and development“ (Predpisi glede varstva podatkov in mednarodni pretok podatkov: pomen za trgovino in razvoj), UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

(5)

     Delovni program Komisije za leto 2017 – Za Evropo, ki varuje, opolnomoča in ščiti, COM(2016) 710 final z dne 25. oktobra 2016, str. 12 in Priloga 1.

(6)

     Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij z naslovom „Evropska agenda za varnost“, COM(2015) 185 final z dne 28. aprila 2015.

(7)

     Sodba Sodišča EU z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems proti Data Protection Commissioner, točke 73, 74 in 96. Glej tudi uvodno izjavo 104 Splošne uredbe o varstvu podatkov in uvodno izjavo 67 policijske direktive, ki se nanašata na standard v zvezi s tem, da je raven varstva v osnovi enakovredna.

(8)

     Glej člen 45 Splošne uredbe o varstvu podatkov. Kot je določeno v členu 45(2), mora Komisija v svoji oceni upoštevati med drugim načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin ter ustrezno zakonodajo, tudi na področju varstva podatkov, javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov. Navedeno mora biti podkrepljeno z učinkovitimi in izvršljivimi pravicami, vključno z učinkovitim upravnim in sodnim varstvom za posameznike ter dejansko delujočim neodvisnim nadzornim organom, da se tako zagotovi skladnost s pravili o varstvu podatkov. Upošteval se bo tudi pristop k pravno zavezujočim konvencijam, zlasti Konvenciji Sveta Evrope št. 108, in sodelovanje v večstranskih ali regionalnih sistemih, ki urejajo varstvo podatkov.

(9)

     Za posebne elemente ocene ustreznosti glej člen 36(2) policijske direktive.

(10)

     Glej člen 45(1) Splošne uredbe o varstvu podatkov in člen 36(1) policijske direktive.

(11)

     Glej npr. Sporočilo Komisije Evropskemu parlamentu in Svetu o prenosu osebnih podatkov iz EU v Združene države Amerike v skladu z Direktivo 95/46/ES po sodbi Sodišča v zadevi C-362/14 (Schrems), COM(2015) 566 final z dne 6. novembra 2015.

(12)

     S standardnimi pogodbenimi določili so določene ustrezne obveznosti glede varstva podatkov med izvoznikom iz EU in uvoznikom iz tretje države.

(13)

     Zavezujoča poslovna pravila so interna pravila, ki jih sprejme večnacionalna skupina družb za izvajanje prenosov podatkov znotraj iste korporacije subjektom v državah, ki ne zagotavljajo ustrezne ravni varstva. Ta pravila so se uporabljala že na podlagi direktive iz leta 1995, vendar je bila s Splošno uredbo o varstvu podatkov uzakonjena in formalizirana njihova vloga orodja za prenose.

(14)

     Glej člen 46(2)(c) in (d) in uvodno izjavo 168 Splošne uredbe o varstvu podatkov.

(15)

     Glej člen 46(2)(b) in člen 47 ter uvodno izjavo 110 Splošne uredbe o varstvu podatkov.

(16)

     Glej člen 46(2) Splošne uredbe o varstvu podatkov.

(17)

     Navedene zahteve po priglasitvi ustvarjajo trgovinsko oviro za številna, zlasti mala in srednja podjetja (MSP), kot je bilo izpostavljeno denimo v poročilu UNCTAD, str. 34.

(18)

     Glej člen 46(2)(e) in (f) Splošne uredbe o varstvu podatkov.

(19)

     Upravljavci zunaj EU se bodo lahko zavezali h kodeksu ravnanja EU ali k izvajanju mehanizma potrjevanja s sprejetjem zavezujočih in izvršljivih zavez v obliki pogodbenih ali drugih pravno zavezujočih zavez, da bodo uporabljali zaščitne ukrepe za varstvo podatkov iz teh instrumentov. Glej člen 42(2) Splošne uredbe o varstvu podatkov.

(20)

     Glej člen 46(2)(a) in 46(3)(b) Splošne uredbe o varstvu podatkov.

(21)

     Glej člen 49 Splošne uredbe o varstvu podatkov.

(22)

     Glej drugi pododstavek člena 49(1).

(23)

     Glej člen 50 Splošne uredbe o varstvu podatkov.

(24)

     Glej npr. Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij – Trgovina za vse – Za odgovornejšo trgovinsko in naložbeno politiko, COM(2015) 497 final z dne 14. oktobra 2015, str. 7.

(25)

     Posebna raziskava Eurobarometer 431 o varstvu podatkov, junij 2015.

(26)

     Politične usmeritve predsednika J.-C. Junckerja: Nov začetek za Evropo: moj načrt za delovna mesta, rast, pravičnost in demokratične spremembe.

(27)

     Glej opombo 7.

(28)

     Glej točko 74 sodbe v zadevi Schrems.

(29)

     Izvedbeni sklep (EU) 2016/1250 z dne 12. julija 2016.

(30)

     Komisija spodbuja ZDA, naj si še naprej prizadevajo za oblikovanje celovitega sistema varstva zasebnosti in podatkov, ki bo na daljši rok omogočil zbližanje obeh sistemov. Glej Sporočilo Komisije Evropskemu parlamentu in Svetu – Čezatlantski pretok podatkov: povrnitev zaupanja z močnimi zaščitnimi ukrepi, COM(2016) 117 final z dne 29. februarja 2016.

(31)

     To vključuje zlasti uporabo predsedniške politične direktive 28 (PPD-28), ki uvaja številne omejitve in zaščitne ukrepe za „obveščevalne operacije SIGINT“, ter imenovanje posebnega varuha človekovih pravic za pritožbe posameznikov iz EU v zvezi s tem.

(32)

     G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority“ (Zakoni o varstvu podatkov po svetu v letu 2015: 109 držav, pri čemer so evropski zakoni zdaj v manjšini), (2015) 133 Privacy Laws & Business International Report, 14–17.

(33)

     Študija UNCTAD, str. 8 in 42 (opomba 4 zgoraj).

(34)

     V zvezi s tem Komisija pri izvajanju ocene ustreznosti upošteva tudi obveznosti tretje države, ki izhajajo iz pravno zavezujočih konvencij, zlasti njen pristop h Konvenciji št. 108 in njenemu dodatnemu protokolu. Glej člen 45(2)(c) in uvodno izjavo 105 Splošne uredbe o varstvu podatkov.

(35)

     Za države, v zvezi s katerimi obstajajo upoštevni interesi za sodelovanje na področju notranje varnosti in kazenskega pregona, bo Komisija na podlagi policijske direktive proučila možnost posebnih ugotovitev o ustreznosti; glej oddelek 4.

(36)

     To bi lahko bilo posebej pomembno za razvoj in tranzicijo držav, saj je varstvo osebnih podatkov hkrati bistven element pravne države in pomemben dejavnik gospodarske konkurenčnosti.

(37)

     Japonska in Koreja sta nedavno sprejeli ali posodobili zakonodajo, da bi vzpostavili celoviti ureditvi za varstvo podatkov.

(38)

     Člen 45(4) in (5) Splošne uredbe o varstvu podatkov določa, da mora Komisija redno spremljati razvoj v tretjih državah, in jo pooblašča, da lahko razveljavi, spremeni ali začasno odloži izvajanje sklepa o ustreznosti, če ugotovi, da zadevna država ne zagotavlja več ustrezne ravni varstva.

(39)

     Člen 45(3) Splošne uredbe o varstvu podatkov.

(40)

     Člen 97(2)(a) Splošne uredbe o varstvu podatkov še določa, da mora Komisija do leta 2020 Evropskemu parlamentu in Svetu predložiti poročilo o vrednotenju.

(41)

     Komisija je na podlagi sodbe v zadevi Schrems, v kateri je bilo odločeno, da je v sklepu o varnem pristanu z omejitvijo pristojnosti organov za varstvo podatkov, da prekinejo ali prepovejo pretok podatkov, presegla svoja pooblastila, 16. decembra 2016 sprejela sklep „Omnibus“ o spremembi, s katerim je črtala podobne določbe v obstoječih sklepih o ustreznosti in jih nadomestila z določbami, na podlagi katerih se v primeru, da organ za varstvo podatkov prekine ali prepove prenose podatkov v tretjo državo, zahteva zgolj obveščanje med državami članicami in Komisijo. S sklepom „Omnibus“ je uvedena tudi zahteva, da Komisija spremlja upoštevno dogajanje v tretji državi. Glej UL L 344, 17.12.2016, str. 83.

(42)

     Posebej za ugotovitev o ustreznosti velja, da je enostranski izvedbeni sklep Komisije v skladu z zakonodajo EU o varstvu podatkov, ki temelji na merilih iz te zakonodaje.

(43)

     Glej sporočilo Trgovina za vse, str. 12 (opomba 24 zgoraj).

(44)

     Glej člen 46(2)(c) in (d) ter uvodno izjavo 109 Splošne uredbe o varstvu podatkov, v kateri je pojasnjeno, da so prilagoditve odobrenih standardnih določil mogoče, če neposredno ali posredno ne nasprotujejo tem standardnim določilom ali posegajo v temeljne pravice ali svoboščine posameznikov.

(45)

     Trenutno ni v veljavi nobeno standardno pogodbeno določilo med obdelovalcem v EU in obdelovalcem v državi nečlanici EU.

(46)

     Člen 43(8) in (9) Splošne uredbe o varstvu podatkov.

(47)

     Glej skupni referenčni dokument APEC in EU iz leta 2014 za strukturo zavezujočih poslovnih pravil EU in sistema APEC o pravilih o varovanju zasebnosti pri čezmejnem prenosu podatkov, v katerem se primerjajo zahteve glede skladnosti in potrjevanja iz obeh sistemov: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.

(48)

     Konvencija Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (ETS št. 108) in Dodatni protokol h Konvenciji o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov, ki se nanaša na nadzorne organe in čezmejni prenos podatkov, (ETS št. 181) iz leta 2001.

(49)

     Mauritius, Senegal in Urugvaj so ratificirali Konvencijo. Poleg tega so bili k pristopu povabljeni še Zelenortski otoki, Maroko in Tunizija.

(50)

   Glej tudi ministrsko izjavo Organizacije za gospodarsko sodelovanje in razvoj (OECD) o digitalnem gospodarstvu: Inovacije, rast in družbena blaginja („Cancunska deklaracija“), 23. junij 2016.

(51)

     Glej http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Izvedbeni sklep Komisije C(2016) 7198 o potrditvi druge faze letnega akcijskega programa za leto 2016 (AAP 2016) instrumenta partnerstva.

(53)

     Med obstoječimi mrežami je mreža za globalno uveljavljanje zasebnosti (Global Privacy Enforcement Network, GPEN), izoblikovana leta 2010 pod okriljem OECD. To je neformalna mreža organov za uveljavljanje zasebnosti, v kateri sodelujejo organi EU za varstvo podatkov in katere naloge so med drugim sodelovanje pri kazenskem pregonu, izmenjava najboljših praks pri obravnavi čezmejnih izzivov ter podpora skupnim pobudam na področju izvrševanja in kampanjam za povečanje ozaveščenosti. Ne ustvarja nobenih novih pravno zavezujočih obveznosti med sodelujočimi in se prvenstveno osredotoča na poenostavitev sodelovanja pri izvrševanju zakonov o varstvu zasebnosti, ki urejajo zasebni sektor. Glej https://privacyenforcement.net/ .

(54)

     Sporazum med EU in ZDA o varstvu osebnih podatkov ob njihovem prenosu ali obdelavi za potrebe preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno s terorizmom, v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (v nadaljnjem besedilu: krovni sporazum).

(55)

     Sklenitev operativnih sporazumov z Europolom in Eurojustom je bilo tudi merilo v dialogih o liberalizaciji vizumskega režima z nekaterimi tretjimi državami, tudi na primer v okviru trenutno potekajočega dialoga s Turčijo.

(56)

     Glej člen 39 in uvodno izjavo 73 policijske direktive.

(57)

     Glej člen 48 in uvodno izjavo 115 Splošne uredbe o varstvu podatkov.

(58)

     Sklepi Sveta Evropske unije o izboljšanju kazenskega pravosodja v kibernetskem prostoru, 9. junij 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Komisiji je bilo naloženo, naj Svetu po tem, ko mu je decembra 2016 predložila poročilo o napredku, do junija 2017 predstavi rezultate o teh vprašanjih.

(59)

     Glej člen 25(4) Uredbe (EU) 2016/794 Evropskega parlamenta in Sveta z dne 11. maja 2016 o Agenciji Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol) ter nadomestitvi in razveljavitvi sklepov Sveta 2009/371/PNZ, 2009/934/PNZ, 2009/935/PNZ, 2009/936/PNZ in 2009/968/PNZ (UL L 135, 24.5.2016, str. 53–114). Komisija mora do 14. junija 2021 predložiti ocenjevalno poročilo glede sporazumov Europola o sodelovanju, sklenjenih pred 1. majem 2017.

(60)

     Mnenje Sodišča o osnutku sporazuma PNR med EU in Kanado iz leta 2014, katerega sprejetje je Sodišču predlagal Evropski parlament (mnenje 1/15). Sodišču je bilo predlagano, naj oceni združljivost osnutka sporazuma z Listino EU o temeljnih pravicah.