EVROPSKA KOMISIJA

Bruselj, 25.7.2024

COM(2024) 357 final

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

Drugo poročilo o uporabi splošne uredbe o varstvu podatkov

1Uvod

To je drugo poročilo Komisije o uporabi splošne uredbe o varstvu podatkov (GDPR), sprejeto v skladu s členom 97 navedene uredbe. Prvo poročilo je bilo sprejeto 24. junija 2020 (v nadaljnjem besedilu: poročilo iz leta 2020) ( 1 ).

Splošna uredba o varstvu podatkov je eden od temeljev pristopa EU k digitalni preobrazbi. Njena osnovna načela – poštena, varna in pregledna obdelava osebnih podatkov, zagotavljanje, da posamezniki ohranijo nadzor – so temelj vseh politik EU, ki vključujejo obdelavo osebnih podatkov.

EU je od poročila iz leta 2020 sprejela vrsto pobud, katerih cilj je posameznike postaviti v središče digitalnega prehoda. Vsaka pobuda ima poseben cilj, kot so ustvarjanje varnejšega spletnega okolja, povečanje pravičnosti in konkurenčnosti digitalnega gospodarstva, spodbujanje prelomnih raziskav, zagotavljanje razvoja varne in zaupanja vredne umetne inteligence ter vzpostavitev pravega enotnega trga za podatke. Kar zadeva osebne podatke, te pobude vselej temeljijo na splošni uredbi o varstvu podatkov. Uredba zagotavlja tudi podlago za sektorske pobude, ki vplivajo na obdelavo osebnih podatkov, npr. na področju finančnih storitev, zdravja, zaposlovanja, mobilnosti in kazenskega pregona.

Deležniki, organi za varstvo podatkov in države članice se na splošno strinjajo, da splošna uredba o varstvu podatkov kljub nekaterim izzivom učinkovito deluje v prid posameznikov in podjetij. Tehnološko nevtralni pristop, ki temelji na tveganju, zagotavlja močno varstvo posameznikov, na katere se nanašajo osebni podatki, ter sorazmerne obveznosti za upravljavce in obdelovalce podatkov. Na številnih področjih pa bi bilo treba doseči nadaljnji napredek. V prihodnjih letih bi se bilo treba osredotočiti na podporo deležnikom, zlasti malim in srednjim podjetjem (MSP), malim gospodarskim subjektom ter raziskovalcem in raziskovalnim organizacijam, pri njihovih prizadevanjih za skladnost, na zagotavljanje jasnejših in uporabnejših smernic organov za varstvo podatkov ter na doseganje doslednejše razlage in izvajanja splošne uredbe o varstvu podatkov po vsej EU.

V skladu s členom 97 splošne uredbe o varstvu podatkov bi morala Komisija preveriti zlasti uporabo in delovanje mednarodnega prenosa osebnih podatkov v tretje države (tj. države zunaj EU/EGP) (poglavje V splošne uredbe o varstvu podatkov) ter mehanizmov za sodelovanje in skladnost med nacionalnimi organi za varstvo podatkov (poglavje VII splošne uredbe o varstvu podatkov). Vendar to poročilo, tako kot poročilo iz leta 2020, vsebuje splošno oceno uporabe splošne uredbe o varstvu podatkov, ki presega ta elementa: v njem je predstavljenih tudi več ukrepov, potrebnih za podporo uporabi splošne uredbe o varstvu podatkov na ključnih prednostnih področjih.

V tem poročilu so upoštevani naslednji viri: (i) stališče in ugotovitve Sveta, sprejete decembra 2023 ( 2 ); (ii) prispevki deležnikov, zbrani zlasti v okviru večdeležniške skupine za splošno uredbo o varstvu podatkov ( 3 ) in javnega poziva k predložitvi dokazov ( 4 ), ter (iii) prispevki organov za varstvo podatkov (v okviru prispevka Evropskega odbora za varstvo podatkov ( 5 ) (v nadaljnjem besedilu: odbor)) in poročilo, ki ga je Agencija za temeljne pravice (FRA) pripravila na podlagi razgovorov s posameznimi organi za varstvo podatkov ( 6 ) (v nadaljnjem besedilu: poročilo FRA). Poročilo temelji tudi na stalnem spremljanju uporabe splošne uredbe o varstvu podatkov, ki ga izvaja Komisija, vključno z dvostranskimi dialogi z državami članicami o skladnosti nacionalne zakonodaje, dejavnim prispevkom k delu odbora in tesnimi stiki z najrazličnejšimi deležniki v zvezi s praktično uporabo Uredbe.

2Izvrševanje splošne uredbe o varstvu podatkov ter delovanje mehanizmov za sodelovanje in skladnost 

Sistem „vse na enem mestu“ za izvrševanje splošne uredbe o varstvu podatkov je namenjen zagotovitvi dosledne razlage in izvrševanja s strani neodvisnih organov za varstvo podatkov. Na podlagi sistema morajo organi za varstvo podatkov sodelovati v primerih čezmejne obdelave, ki znatno vpliva na posameznike, na katere se nanašajo osebni podatki, v več državah članicah. Spore med organi rešuje odbor na podlagi mehanizma za skladnost iz splošne uredbe o varstvu podatkov.

2.1Povečanje učinkovitosti obravnave čezmejnih primerov: predlog postopkovnih pravil

V poročilu iz leta 2020 je bilo navedeno, da bi morala biti obravnava čezmejnih primerov po vsej EU učinkovitejša in bolj usklajena, zlasti glede na velike razlike med nacionalnimi upravnimi postopki in razlagami pojmov iz mehanizma splošne uredbe o varstvu podatkov za sodelovanje. Zato je Komisija julija 2023 sprejela predlog uredbe o postopkovnih pravilih ( 7 ), med drugim na podlagi seznama vprašanj, ki ga je odbor oktobra 2022 predložil Komisiji ( 8 ), ter prispevkov deležnikov ( 9 ) in držav članic ( 10 ). Predlog dopolnjuje splošno uredbo o varstvu podatkov z določitvijo podrobnih pravil o čezmejnih pritožbah, vključenosti pritožnika, pravicah strank v preiskavi (upravljavcev in obdelovalcev) do dolžnega pravnega postopanja ter sodelovanju med organi za varstvo podatkov. Uskladitev teh postopkovnih vidikov bi pripomogla k pravočasnemu zaključevanju preiskav in zagotavljanju hitrih pravnih sredstev za posameznike. O predlogu zdaj potekajo pogajanja v Evropskem parlamentu in Svetu.

2.2Okrepljeno sodelovanje med organi za varstvo podatkov in večja uporaba mehanizma za skladnost

Število čezmejnih primerov se je v zadnjih letih znatno povečalo. Organi za varstvo podatkov so pokazali večjo pripravljenost za uporabo orodij za sodelovanje, ki jih zagotavlja splošna uredba o varstvu podatkov. Vsi so uporabljali orodje za medsebojno pomoč ( 11 ) in neuradne zahteve za prostovoljno medsebojno pomoč. Organi za varstvo podatkov so bolj naklonjeni neuradnim zahtevam, pri katerih ni določenega roka za odgovor ali stroge obveznosti odgovora. Čeprav je odbor leta 2021 sprejel smernice o skupnem ukrepanju ( 12 ), organi tega orodja še niso uporabljali v pomembnem obsegu ( 13 ) ter so kot glavna razloga za omejeno uporabo navedli razlike v nacionalnih postopkih in nejasnost postopka.

V skladu s splošno uredbo o varstvu podatkov imajo zadevni organi za varstvo podatkov možnost, da podajo ustrezen in utemeljen ugovor, kadar se ne strinjajo z osnutkom odločitve vodilnega organa za varstvo podatkov v čezmejnem primeru. Kadar organi za varstvo podatkov ne morejo doseči soglasja o ustreznem in utemeljenem ugovoru, spor v skladu s splošno uredbo o varstvu podatkov rešuje odbor ( 14 ). Ustrezni in utemeljeni ugovori so se najpogosteje nanašali na naslednje teme: (i) pravno podlago za obdelavo; (ii) obveznosti glede obveščanja in preglednosti; (iii) obveščanje o kršitvah varnosti podatkov; (iv) pravice posameznikov, na katere se nanašajo osebni podatki; (v) odstopanja za mednarodne prenose; (vi) uporabo popravljalnih ukrepov in (vii) znesek upravne globe.

Sistem izvrševanja splošne uredbe o varstvu podatkov temelji na predpostavki lojalnega in učinkovitega sodelovanja med organi za varstvo podatkov. Čeprav ima postopek reševanja sporov pomembno vlogo v tej strukturi izvrševanja, bi ga bilo treba uporabljati v duhu, v katerem je bil oblikovan, in sicer ob ustreznem upoštevanju delitve pristojnosti med organi za varstvo podatkov, potrebe po spoštovanju pravic do dolžnega pravnega postopanja in interesa za pravočasno rešitev primera za posameznike, na katere se nanašajo osebni podatki. Za vsak postopek reševanja sporov so potrebna znatna sredstva vodilnega organa, zadevnih organov in sekretariata odbora, poleg tega se z njim zavleče zagotavljanje pravnega sredstva za posameznike, na katere se nanašajo osebni podatki.

Večja uporaba orodij za sodelovanje s strani organov za varstvo podatkov ·V sistemu odbora za izmenjavo informacij je bilo evidentiranih skoraj 2 400 primerov ( 15 ).  ·Vodilni organi za varstvo podatkov so izdali približno 1 500 osnutkov odločitev ( 16 ), pri čemer je bila v 990 primerih sprejeta končna odločitev o ugotovitvi kršitve splošne uredbe o varstvu podatkov ( 17 ). ·Organi za varstvo podatkov so predložili skoraj 1 000 uradnih zahtev za medsebojno pomoč ( 18 ) in približno 12 300 neuradnih zahtev ( 19 ). ·Izvedenih je bilo pet skupnih ukrepanj, pri katerih so sodelovali organi za varstvo podatkov iz sedmih držav članic. ·Ustrezne in utemeljene ugovore so podali organi za varstvo podatkov iz 18 držav članic ( 20 ).

Organi za varstvo podatkov vse pogosteje uporabljajo mehanizem za skladnost iz splošne uredbe o varstvu podatkov. Ta ima tri elemente: (i) mnenja odbora; (ii) reševanje sporov s strani odbora in (iii) nujni postopek ( 21 ).

Odbor v svojih mnenjih vse pogosteje obravnava pomembna vprašanja splošne uporabe ( 22 ). Pred sprejetjem navedenih mnenj bi moral zagotoviti pravočasno in smiselno posvetovanje. Primeri, predloženi za reševanje spora, so se nanašali na vprašanja, kot sta pravna podlaga za obdelavo podatkov za vedenjsko oglaševanje v družbenih medijih in obdelava podatkov otrok na spletu. Večina poznejših zavezujočih odločitev je bila izpodbijana pred Splošnim sodiščem.

Preglednost postopka odločanja odbora je ključna, da se zagotovi spoštovanje pravice do dobrega upravljanja na podlagi Listine Evropske unije o temeljnih pravicah. Organi za varstvo podatkov imajo z nujnim postopkom iz splošne uredbe o varstvu podatkov možnost, da odstopajo od mehanizma za sodelovanje in skladnost ter po potrebi sprejmejo nujne ukrepe za varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki. Orodja, kot je nujni postopek, ki omogočajo odstopanje od običajnega postopka sodelovanja na podlagi splošne uredbe o varstvu podatkov, so namenjena uporabi le v izjemnih okoliščinah ter kadar z običajnim postopkom sodelovanja ni mogoče zaščititi pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.

Mehanizem za skladnost ·Odbor je sprejel 190 mnenj o skladnosti. ·V okviru reševanja sporov je bilo sprejetih devet zavezujočih odločitev ( 23 ). V vseh primerih je moral vodilni organ za varstvo podatkov v skladu z zavezujočo odločitvijo spremeniti svoj osnutek odločitve, na podlagi številnih zavezujočih odločitev pa so bile naložene znatne globe. ·Začasne ukrepe je po nujnem postopku sprejelo pet organov za varstvo podatkov (Nemčije, Finske, Italije, Norveške in Španije). ·Dva organa za varstvo podatkov sta zahtevala nujno zavezujočo odločitev odbora ( 24 ), odbor pa je v enem primeru odredil nujne končne ukrepe.

2.3Okrepljeno izvrševanje

Organi za varstvo podatkov so v zadnjih letih znatno okrepili dejavnosti izvrševanja, vključno z naložitvijo znatnih glob v prelomnih zadevah proti velikim tehnološkim multinacionalnim družbam. Globe so bile na primer naložene za: (i) kršitev zakonitosti in varnosti obdelave; (ii) kršitev obdelave posebnih vrst osebnih podatkov in (iii) nespoštovanje pravic posameznikov ( 25 ). Zaradi tega so zasebna podjetja „varstvo podatkov vzela resno“ ( 26 ) in pripomogla k vključevanju kulture skladnosti v organizacije. Organi za varstvo podatkov sprejemajo odločitve o ugotovitvi kršitev splošne uredbe o varstvu podatkov v primerih, ki temeljijo na pritožbah, in v primerih na lastno pobudo. Številni organi za varstvo podatkov so učinkovito uporabili postopke za sporazumno rešitev, da so hitro in za pritožnika zadovoljivo rešili primere, ki temeljijo na pritožbah, vendar taki postopki niso na voljo v vseh državah članicah. V predlogu postopkovnih pravil se priznava možnost sporazumnega reševanja pritožb ( 27 ).

Organi za varstvo podatkov so veliko uporabljali svoja popravljalna pooblastila, čeprav se število naloženih popravljalnih ukrepov med organi zelo razlikuje. Poleg glob so bili najpogosteje uporabljeni popravljalni ukrepi opozorila, opomini in odredbe za uskladitev s splošno uredbo o varstvu podatkov. Upravljavci in obdelovalci odločitve o ugotovitvi kršitev splošne uredbe o varstvu podatkov pogosto izpodbijajo pred nacionalnimi sodišči, najpogosteje iz postopkovnih razlogov ( 28 ).

Okrepljeno izvrševanje ·Organi za varstvo podatkov so začeli več kot 20 000 preiskav na lastno pobudo ( 29 ). ·Skupaj prejmejo več kot 100 000 pritožb na leto ( 30 ). ·Srednji čas, v katerem organi za varstvo podatkov obravnavajo pritožbe (od prejema do zaključka primera), se giblje med enim in 12 meseci, v petih državah članicah pa za to potrebujejo tri mesece ali manj (na Danskem (en mesec), v Španiji (1,5 meseca), Estoniji (tri mesece), Grčiji (tri mesece) in na Irskem (tri mesece)). ·Sporazumno je bilo rešenih več kot 20 000 pritožb. Sporazumna rešitev se najpogosteje uporablja v Avstriji, na Madžarskem, v Luksemburgu in na Irskem. ·Leta 2022 so največ odločitev o naložitvi popravljalnega ukrepa sprejeli organi za varstvo podatkov v Nemčiji (3 261), sledili pa so jim organi v Španiji (774), Litvi (308) in Estoniji (332). Najmanj popravljalnih ukrepov je bilo naloženih v Lihtenštajnu (8), na Češkem (8), v Islandiji (10), na Nizozemskem (17) in v Luksemburgu (22). ·Organi za varstvo podatkov so naložili več kot 6 680 glob v višini približno 4,2 milijarde EUR ( 31 ). Najvišji skupni znesek glob (2,8 milijarde EUR) je naložil irski organ, sledijo pa mu organi v Luksemburgu (746 milijonov EUR), Italiji (197 milijonov EUR) in Franciji (131 milijonov EUR). Najnižji znesek glob so naložili organi v Lihtenštajnu (9 600 EUR), Estoniji (201 000 EUR) in Litvi (435 000 EUR).

Večina organov za varstvo podatkov meni, da so njihova preiskovalna orodja ustrezna, nekateri pa potrebujejo dodatna orodja na nacionalni ravni, kot so ustrezne kazni, kadar upravljavci ne sodelujejo ali ne zagotovijo potrebnih informacij ( 32 ). Organi za varstvo podatkov menijo, da so nezadostni viri ter vrzeli v tehničnem in pravnem strokovnem znanju glavni dejavnik, ki vpliva na njihovo zmogljivost izvrševanja ( 33 ).

2.4Odbor

Odbor sestavljajo vodje enega organa za varstvo podatkov iz vsake države članice in Evropski nadzornik za varstvo podatkov, Komisija pa sodeluje brez glasovalne pravice. Naloga odbora, ki mu pri delu pomaga sekretariat, je zagotavljanje dosledne uporabe splošne uredbe o varstvu podatkov ( 34 ). Večina organov za varstvo podatkov meni, da je imel odbor pozitivno vlogo pri krepitvi sodelovanja med njimi ( 35 ). Številni organi za varstvo podatkov namenjajo znatna sredstva za dejavnosti odbora, čeprav manjši organi navajajo, da zaradi svoje velikosti ne morejo sodelovati v polnem obsegu ( 36 ). Nekateri organi menijo, da bi bilo treba izboljšati učinkovitost postopkov odbora, zlasti z zmanjšanjem števila sestankov in namenjanjem manj pozornosti manj pomembnim vprašanjem ( 37 ). Glede na izid pogajanj o predlogu postopkovnih pravil za splošno uredbo o varstvu podatkov, katerega cilj je zmanjšati število primerov, predloženih odboru za reševanje sporov, bo morda treba razmisliti o tem, ali odbor potrebuje dodatna sredstva.

Odbor je do novembra 2023 sprejel 35 smernic. Deležniki in organi za varstvo podatkov menijo, da so koristne, vendar bi jih bilo treba zagotoviti hitreje in izboljšati njihovo kakovost ( 38 ). Deležniki opozarjajo, da so pogosto preveč teoretične, predolge in ne odražajo pristopa, ki temelji na tveganju, iz splošne uredbe o varstvu podatkov ( 39 ). Organi za varstvo podatkov in odbor bi morali zagotoviti jedrnate in praktične smernice, ki vsebujejo odgovore na konkretne težave ter odražajo ravnovesje med varstvom podatkov in drugimi temeljnimi pravicami. Poleg tega bi morale biti smernice enostavno razumljive tudi za posameznike, ki niso pravno usposobljeni, na primer iz MSP in prostovoljnih organizacij ( 40 ). To je med drugim mogoče doseči s preglednejšo pripravo smernic in posvetovanjem v zgodnji fazi, da se omogoči boljše razumevanje dinamike trga, poslovnih praks in načinov uporabe smernic v praksi ( 41 ). Dobrodošlo je, da je odbor v svoji strategiji za obdobje 2024–2027 poudaril, da bo njegov cilj zagotavljati praktične smernice, ki so dostopne ustrezni ciljni skupini ( 42 ).

Deležniki poudarjajo, da so potrebne dodatne smernice, zlasti o anonimizaciji in psevdonimizaciji ( 43 ), zakonitem interesu ter znanstvenih raziskavah ( 44 ). Komisija je v poročilu iz leta 2020 odbor pozvala, naj sprejme smernice o znanstvenih raziskavah, vendar te še niso bile sprejete. Ob priznavanju pomena znanstvenih raziskav v družbi, zlasti za spremljanje bolezni in razvoj zdravljenja ter spodbujanje inovacij, je ključno, da organi za varstvo podatkov brez odlašanja sprejmejo ukrepe, da se ta vprašanja pojasnijo ( 45 ). Javnim organom bi koristile tudi smernice v zvezi s posebnimi izzivi, s katerimi se srečujejo ( 46 ).

2.5Organi za varstvo podatkov

2.5.1Neodvisnost in viri

Neodvisnost organov za varstvo podatkov je določena v Listini EU o temeljnih pravicah in Pogodbi o delovanju EU. Splošna uredba o varstvu podatkov določa zahteve za zagotovitev popolne neodvisnosti organov za varstvo podatkov ( 47 ). Agencija za temeljne pravice je v svojem poročilu ugotovila, da večina organov za varstvo podatkov deluje neodvisno od vlade, parlamenta ali drugih javnih organov ( 48 ).

Organi za varstvo podatkov potrebujejo ustrezne človeške, tehnične in finančne vire, da lahko naloge, ki jih imajo na podlagi splošne uredbe o varstvu podatkov, opravljajo učinkovito in neodvisno. Komisija je v poročilu iz leta 2020 ugotovila, da organi za varstvo podatkov še vedno nimajo na voljo ustreznih virov, in je države članice stalno opozarjala na to. Od takrat se je stanje izboljšalo.

Več virov za organe za varstvo podatkov ( 49 )  ·Med letoma 2020 in 2024 se je število zaposlenih povečalo pri vseh organih za varstvo podatkov razen pri dveh, v 14 državah članicah za več kot 25 %. ·Število zaposlenih se je najbolj povečalo pri organu za varstvo podatkov na Irskem (za 79 %), sledili pa so organi v Estoniji in na Švedskem (v obeh primerih za 57 %) ter v Bolgariji (56 %). ·Pri organu na Češkem se je število zaposlenih nekoliko zmanjšalo (–1 %), pri organu v Lihtenštajnu se ni povečalo, pri organih na Cipru in Madžarskem pa se je malo povečalo (za 4 % oziroma 8 %). ·Med letoma 2020 in 2024 se je proračun povečal pri vseh organih za varstvo podatkov razen pri enem, v 13 državah članicah za več kot 50 %. ·Najbolj se je povečal proračun organa za varstvo podatkov na Cipru (za 130 %), sledili pa so organi v Avstriji (za 107 %), Bolgariji (za 100 %) in Estoniji (za 97 %). ·Proračun grškega organa za varstvo podatkov se je zmanjšal za 15 %, proračun organov v Lihtenštajnu, na Slovaškem in Češkem pa se je rahlo povečal (za 1 %, 6 % oziroma 8 %).

Čeprav je iz teh statističnih podatkov razviden splošen trend naraščanja virov organov za varstvo podatkov, organi sami menijo, da še vedno nimajo zadostnih človeških virov ( 50 ). Poudarjajo, da potrebujejo zelo specializirano tehnično znanje, zlasti o novih in nastajajočih tehnologijah ( 51 ), saj njegovo pomanjkanje vpliva na količino in kakovost njihovega dela, ter opozarjajo na težave pri tekmovanju za človeške vire z zasebnim sektorjem. Organi za varstvo podatkov kot dejavnika, ki vplivata na njihovo uspešnost, navajajo nezadostno pravno znanje in pomanjkanje jezikovnih znanj. Nizke plače, nezmožnost samostojne izbire osebja in velika delovna obremenitev so izpostavljeni kot ključni dejavniki, ki vplivajo na zmožnost organov, da zaposlijo in zadržijo osebje ( 52 ). Organi za varstvo podatkov poudarjajo tudi, da potrebujejo finančna sredstva, da bi posodobili in digitalizirali svoje postopke ter pridobili tehnično opremo ( 53 ). Vsi organi za varstvo podatkov opravljajo naloge, ki presegajo tiste, ki so jim zaupane s splošno uredbo o varstvu podatkov ( 54 ), na primer kot nadzorni organi za direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj ter direktivo o zasebnosti in elektronskih komunikacijah, pri čemer jih je veliko izrazilo skrbi zaradi dodatnih odgovornosti na podlagi nove digitalne zakonodaje ( 55 ).

2.5.2Težave pri obravnavi velikega števila pritožb

Številni organi za varstvo podatkov navajajo, da se preveč njihovih virov uporablja za obravnavanje velikega števila pritožb, od katerih večino štejejo za nepomembne in neutemeljene, saj je obravnava vsake pritožbe obveznost v skladu s splošno uredbo o varstvu podatkov, v zvezi s katero se lahko opravi sodni nadzor ( 56 ). To pomeni, da organi za varstvo podatkov ne morejo dodeliti zadostnih virov za druge dejavnosti, kot so preiskave na lastno pobudo, kampanje ozaveščanja javnosti in sodelovanje z upravljavci ( 57 ). Organi za varstvo podatkov imajo kot javni organi diskrecijsko pravico, da razporejajo svoje vire, kot se jim zdi primerno, da bi izpolnili vsako od svojih nalog (navedenih v členu 57(1) splošne uredbe o varstvu podatkov) v javnem interesu. Številni organi za varstvo podatkov so sprejeli strategije za povečanje učinkovitosti obravnave pritožb, na primer z avtomatizacijo ( 58 ), uporabo postopkov za sporazumno rešitev ( 59 ) in združevanjem pritožb, ki se nanašajo na podobna vprašanja ( 60 ).

2.5.3Razlaga splošne uredbe o varstvu podatkov s strani nacionalnih organov za varstvo podatkov

Osrednji cilj splošne uredbe o varstvu podatkov je bil odpraviti razdrobljeni pristop k varstvu podatkov, ki se je uporabljal na podlagi prejšnje direktive o varstvu podatkov (Direktive 95/46/ES) ( 61 ). Vendar organi za varstvo podatkov še naprej sprejemajo različne razlage ključnih pojmov v zvezi z varstvom podatkov ( 62 ). Deležniki menijo, da je to glavna ovira za dosledno uporabo splošne uredbe o varstvu podatkov v EU. Ker se različne razlage ne odpravijo, nastane pravna negotovost in povečajo se stroški za podjetja (npr. zaradi zahteve po različni dokumentaciji za več držav članic), to pa ovira prosti pretok osebnih podatkov v EU, čezmejno poslovanje ter raziskave in inovacije na področju nujnih družbenih izzivov.

Specifična vprašanja, ki so jih izpostavili deležniki, vključujejo: (i) dejstvo, da imajo organi za varstvo podatkov v treh državah članicah različna stališča o ustrezni pravni podlagi za obdelavo osebnih podatkov pri izvajanju kliničnega preskušanja; (ii) dejstvo, da se stališča o tem, ali je subjekt upravljavec ali obdelovalec, pogosto razlikujejo, ter (iii) dejstvo, da organi za varstvo podatkov v nekaterih primerih ne upoštevajo smernic odbora ali na nacionalni ravni objavijo smernice, ki so v nasprotju s smernicami odbora ( 63 ). Ta vprašanja so še bolj zapletena, če več organov za varstvo podatkov v posamezni državi članici sprejme nasprotujoče si razlage.

Nekateri deležniki menijo tudi, da nekateri organi za varstvo podatkov in odbor sprejemajo razlage, ki odstopajo od pristopa, ki temelji na tveganju, na podlagi splošne uredbe o varstvu podatkov, kar pomeni izziv za razvoj digitalnega gospodarstva ( 64 ) ter svobodo in pluralnost medijev. Kot problematična področja navajajo: (i) razlago anonimizacije; (ii) pravno podlago zakonitega interesa in privolitve ( 65 ) ter (iii) izjeme od prepovedi avtomatiziranega sprejemanja posameznih odločitev ( 66 ). Opozoriti bi bilo treba, da so organi za varstvo podatkov in odbor zadolženi za zagotavljanje varstva posameznikov pri obdelavi njihovih osebnih podatkov in prostega pretoka osebnih podatkov v EU. Kot je priznano v splošni uredbi o varstvu podatkov ( 67 ), je treba pravico do varstva osebnih podatkov v skladu z načelom sorazmernosti obravnavati glede na njeno vlogo v družbi in jo uravnotežiti z drugimi temeljnimi pravicami.

2.5.4Sodelovanje z upravljavci in obdelovalci

Deležniki poudarjajo, da je koristno imeti možnost za konstruktiven dialog z organi za varstvo podatkov, da se od samega začetka zagotovi njihova skladnost s splošno uredbo o varstvu podatkov, zlasti v zvezi z nastajajočimi tehnologijami. Opozarjajo, da nekateri organi za varstvo podatkov dejavno sodelujejo z upravljavci, drugi pa se odzivajo počasi, dajejo nejasne odgovore ali se sploh ne odzivajo ( 68 ).

3Izvajanje splošne uredbe o varstvu podatkov v državah članicah

3.1Razdrobljenost v nacionalni uporabi

Čeprav se splošna uredba o varstvu podatkov kot uredba neposredno uporablja, morajo države članice v skladu z njo zakonsko urediti nekatera področja in lahko na omejenem številu področij natančneje opredelijo njeno uporabo ( 69 ). Države članice morajo pri sprejemanju zakonodaje na nacionalni ravni upoštevati pogoje in omejitve iz splošne uredbe o varstvu podatkov. Tako kot leta 2020 so deležniki poročali o težavah zaradi razdrobljenosti nacionalnih pravil, kadar lahko države članice natančneje opredelijo, kako se bodo uporabljale nekatere določbe splošne uredbe o varstvu podatkov, zlasti v zvezi z:

·najnižjo starostjo za privolitev otroka v zvezi s ponudbo storitev informacijske družbe otroku ( 70 ),

·uvedbo dodatnih pogojev s strani držav članic glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem ( 71 ),

·obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ( 72 ), ki povzroča težave v nekaterih reguliranih sektorjih.

Pomembno je, da hkrati številni deležniki poročajo, da se težave z razdrobljenostjo pojavljajo predvsem, ker organi za varstvo podatkov različno razlagajo splošno uredbo o varstvu podatkov, in ne zaradi uporabe določil o neobvezni natančnejši ureditvi v državah članicah.

Države članice menijo, da je omejena stopnja razdrobljenosti lahko sprejemljiva in da so določila o natančnejši ureditvi iz splošne uredbe o varstvu podatkov še vedno koristna, zlasti za obdelavo s strani javnih organov ( 73 ). V skladu s splošno uredbo o varstvu podatkov se morajo države članice pri pripravi zakonodaje v zvezi z obdelavo osebnih podatkov posvetovati z nacionalnim organom za varstvo podatkov ( 74 ). Agencija za temeljne pravice je v svojem poročilu ugotovila, da nekatere vlade tem organom določijo zelo kratke roke, v nekaterih primerih pa se z njimi sploh ne posvetujejo ( 75 ).

3.2Spremljanje, ki ga izvaja Komisija

Komisija stalno spremlja izvajanje splošne uredbe o varstvu podatkov. Zoper države članice je uvedla postopke za ugotavljanje kršitev v zvezi z vprašanji, kot sta neodvisnost organov za varstvo podatkov (vključno s tem, da niso izpostavljeni zunanjemu vplivu in da so v primeru razrešitve na voljo pravna sredstva) ( 76 ) in pravica do učinkovitega pravnega sredstva za posameznike, na katere se nanašajo osebni podatki, kadar organ za varstvo podatkov ne obravnava pritožbe ( 77 ). V okviru spremljanja od organov za varstvo podatkov zahteva tudi, da strogo zaupno zagotavljajo redne informacije ( 78 ) o tekočih obsežnih čezmejnih primerih, zlasti tistih, ki se nanašajo na velike tehnološke multinacionalne družbe.

Komisija redno komunicira z državami članicami o izvajanju splošne uredbe o varstvu podatkov. Kot je napovedala v poročilu iz leta 2020, je še naprej uporabljala strokovno skupino držav članic za splošno uredbo o varstvu podatkov ( 79 ), da bi olajšala razprave in izmenjavo izkušenj o učinkovitem izvajanju navedene uredbe. Strokovna skupina je opravila posebne razprave o: (i) nadzoru sodišč, kadar delujejo kot sodni organ (člen 55 splošne uredbe o varstvu podatkov; člen 8 Listine); (ii) usklajevanju pravice do varstva podatkov s pravico do svobode izražanja (člen 85 splošne uredbe o varstvu podatkov) in (iii) pravici do učinkovitega pravnega sredstva zoper nadzorni organ (člen 78 splošne uredbe o varstvu podatkov). Po teh razpravah je Komisija pripravila preglede pristopov k izvajanju navedenih določb v državah članicah ( 80 ). To skupino je uporabila tudi za izmenjavo mnenj z državami članicami pri pripravi predloga o postopkovnih pravilih.

Skladnost nacionalne zakonodaje in prakse s pravili o varstvu podatkov, določenimi v zakonodaji EU o schengenskem območju, se ocenjuje tudi v okviru schengenskega ocenjevanja, ki ga skupaj izvajajo države članice in Komisija. Letno se izvede vsaj pet ocenjevanj varstva podatkov na kraju samem, ki so zdaj osredotočena na obsežne informacijske sisteme, Schengenski informacijski sistem in Vizumski informacijski sistem ter na nadzorno vlogo nacionalnih organov za varstvo podatkov v zvezi s temi sistemi.

Komisija dejavno prispeva k velikemu številu primerov pred Sodiščem (to v zadnjih letih sprejme približno 30 predhodnih odločb na leto), ki ima osrednjo vlogo pri dosledni razlagi ključnih pojmov splošne uredbe o varstvu podatkov. S čedalje obsežnejšo sodno prakso Sodišča so se zagotovila številna pojasnila, na primer glede opredelitve osebnih podatkov ( 81 ), posebnih vrst osebnih podatkov ( 82 ), upravljavca ( 83 ), privolitve ( 84 ), zakonitega interesa ( 85 ), pravice dostopa ( 86 ), pravice do izbrisa ( 87 ), pravice do odškodnine ( 88 ), avtomatiziranega sprejemanja posameznih odločitev ( 89 ), upravnih glob ( 90 ), pooblaščenih oseb za varstvo podatkov ( 91 ), objave osebnih podatkov v registrih ( 92 ) ter uporabe splošne uredbe o varstvu podatkov za dejavnosti parlamentov ( 93 ).

4Pravice posameznikov, na katere se nanašajo osebni podatki

Posamezniki vse bolj poznajo in dejavno uveljavljajo svoje pravice na podlagi splošne uredbe o varstvu podatkov ( 94 ). Organi za varstvo podatkov namenjajo znatna sredstva za ozaveščanje širše javnosti o pravicah in obveznostih glede varstva podatkov, na primer prek družbenih medijev in televizijskih kampanj, telefonskih številk za pomoč, glasil in predstavitev v izobraževalnih ustanovah ( 95 ). Veliko teh pobud je bilo podprtih s sredstvi EU ( 96 ). Agencija za temeljne pravice ugotavlja, da se je ozaveščenost širše javnosti o varstvu podatkov sicer povečala, vendar je razumevanje varstva podatkov še vedno pomanjkljivo, kot je razvidno iz velikega števila nepomembnih ali neutemeljenih pritožb ( 97 ). Razvitih je bilo več uporabniku prijaznih digitalnih orodij, da bi posamezniki, na katere se nanašajo osebni podatki, lažje uveljavljali svoje pravice ( 98 ). Z zakonodajnimi akti, zlasti aktom o upravljanju podatkov ( 99 ), bi se morali posameznikom, na katere se nanašajo osebni podatki, zagotoviti dodatni načini za uveljavljanje pravic v prihodnosti. Podjetja ugotavljajo, da se pravica do izbrisa uporablja vse pogosteje, pravica do popravka in pravica do ugovora pa le redko.

4.1Pravica dostopa

Upravljavci poročajo, da posamezniki, na katere se nanašajo osebni podatki, najpogosteje uveljavljajo pravico dostopa (člen 15 splošne uredbe o varstvu podatkov). Čeprav je odbor smernice o tej pravici sprejel leta 2022, upravljavci še vedno poročajo o izzivih, na primer pri razlagi pojma „neutemeljene ali pretirane zahteve“ ( 100 ), odgovarjanju na veliko število zahtev in obravnavi zahtev, predloženih za namene, ki niso povezani z varstvom podatkov, na primer za zbiranje dokazov za sodne postopke ( 101 ). Organizacije civilne družbe ugotavljajo, da so odgovori na zahteve za dostop pogosto zapozneli ali nepopolni, prejeti podatki pa niso vselej v berljivi obliki ( 102 ). Javni organi opozarjajo na težave pri odnosu med pravico dostopa in pravili o dostopu javnosti do dokumentov ( 103 ). Zato je dobrodošlo, da je odbor februarja 2024 na podlagi okvira za usklajeno izvrševanje začel skupni ukrep v zvezi s pravico dostopa ( 104 ).

4.2Pravica do prenosljivosti

Komisija se je v poročilu iz leta 2020 zavezala, da bo v skladu s strategijo za podatke raziskala praktične načine, da bi posameznikom omogočila večjo uporabo pravice do prenosljivosti (člen 20 splošne uredbe o varstvu podatkov). Od takrat je sprejela številne pobude, ki dopolnjujejo to pravico. Te pobude olajšujejo enostavno zamenjavo storitev, s čimer ustvarjajo večjo izbiro za posameznike, podpirajo konkurenco in inovacije ter omogočajo posameznikom, da izkoristijo prednosti uporabe svojih podatkov. Akt o podatkih uporabnikom pametnih naprav zagotavlja večjo pravico do prenosljivosti podatkov, ustvarjenih s takimi napravami, in določa, da mora zasnova izdelka ali zaledni strežnik proizvajalca ali imetnika podatkov tehnično omogočati tako prenosljivost. Akt o digitalnih trgih določa, da morajo ponudniki jedrnih platformnih storitev, opredeljeni kot „vratarji“, zagotoviti učinkovito prenosljivost podatkov uporabnikov, vključno s stalnim dostopom do takih podatkov v realnem času. Več drugih pobud Komisije, o katerih zdaj potekajo pogajanja ali o katerih je bil dosežen politični dogovor, kot so direktiva o platformnem delu ( 105 ), evropski zdravstveni podatkovni prostor ( 106 ) in okvir za dostop do finančnih podatkov ( 107 ), zagotavlja večje pravice do prenosljivosti na specifičnih področjih.

4.3Pravica do vložitve pritožbe

Veliko število pritožb dokazuje široko ozaveščenost o pravici do vložitve pritožbe pri organu za varstvo podatkov. Organizacije civilne družbe opozarjajo na neupravičene razlike med nacionalnimi praksami pri obravnavi pritožb in Komisija je to vprašanje obravnavala s predlogom o postopkovnih pravilih. Možnost na podlagi splošne uredbe o varstvu podatkov, da se določi, da ima neprofitno telo pravico do ukrepanja neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki (člen 80(2)), je izkoristilo le malo držav članic. Direktiva o zastopniških tožbah ( 108 ), sprejeta leta 2020, bo zagotovila večjo usklajenost v zvezi s tem, saj bo posameznikom olajšala kolektivne tožbe zaradi kršitve splošne uredbe o varstvu podatkov. Nacionalni ukrepi za izvajanje navedene direktive so se začeli uporabljati junija 2023.

4.4Varstvo osebnih podatkov otrok

Otroci potrebujejo posebno zaščito pri obdelavi njihovih osebnih podatkov ( 109 ). Splošna uredba o varstvu podatkov je del celovitega pravnega okvira, ki zagotavlja zaščito otrok na spletu in zunaj njega ( 110 ). Zaradi večje prisotnosti otrok na spletu so bili v zadnjih letih na ravni EU in nacionalni ravni sprejeti številni ukrepi za podporo zaščiti otrok na spletu. Organi za varstvo podatkov so podjetjem, ki so ponudniki družbenih medijev, naložili znatne globe zaradi kršitve splošne uredbe o varstvu podatkov pri obdelavi podatkov otrok. Poleg tega v sodelovanju z drugimi organi pozivajo k večji zaščiti otrok na področju oglaševanja. Komisija je v poročilu iz leta 2020 odbor pozvala, naj sprejme smernice za obdelavo podatkov otrok, to delo pa trenutno poteka ( 111 ). Akt o digitalnih storitvah vključuje specifične določbe za zagotovitev visoke ravni zasebnosti, varnosti in varstva otrok, ki uporabljajo spletne platforme.

Nekateri deležniki poročajo o izzivih pri uveljavljanju pravic posameznikov, na katere se nanašajo osebni podatki, kadar so ti posamezniki otroci. Zlasti poročajo, da otroci svojih pravic ne razumejo v celoti, ne dosegajo ustrezne stopnje digitalne pismenosti in so lahko izpostavljeni neprimernemu vplivu ( 112 ). Komisija je financirala številne pobude na nacionalni ravni o varstvu podatkov otrok in ozaveščanju otrok o varstvu podatkov ( 113 ). V okviru strategije za boljši internet za otroke (BIK+) zagotavlja vire in usposabljanje za ozaveščanje otrok o njihovih digitalnih pravicah, vključno z varstvom podatkov (npr. digitalni privolitvi) ( 114 ). Vse večji poudarek je na potrebi po učinkovitih orodjih za preverjanje starosti, ki varujejo zasebnost. Komisija je na začetku leta 2024 na podlagi akta o digitalnih storitvah z državami članicami, odborom in skupino evropskih regulatorjev za avdiovizualne medijske storitve ustanovila projektno skupino za področje preverjanja starosti, namenjeno razpravi o razvoju evropskega okvira in pristopa k preverjanju starosti ter podpori temu razvoju. To delo se bo zdaj nadaljevalo v okviru odbora za akt o digitalnih storitvah v delovni skupini za zaščito mladoletnikov. V okviru uredbe o evropski digitalni identiteti ( 115 ), ki je začela veljati maja 2024, si Komisija prizadeva zagotoviti, da bo evropska denarnica za digitalno identiteto leta 2026 na voljo vsem državljanom in rezidentom EU, tudi za preverjanje starosti. Dokler ekosistem denarnice ne bo v celoti operativen, bo razvita kratkoročna rešitev za preverjanje starosti, ki bo na voljo po vsej EU.

5Priložnosti in izzivi za organizacije, zlasti MSP

S splošno uredbo o varstvu podatkov so bili vzpostavljeni enaki konkurenčni pogoji za podjetja, ki delujejo na notranjem trgu, s tehnološko nevtralnim in do inovacij prijaznim pristopom, določenim z uredbo, pa lahko podjetja zmanjšajo birokracijo in pridobijo večje zaupanje potrošnikov ( 116 ). Številna podjetja so razvila notranjo kulturo varstva podatkov ter štejejo zasebnost in varstvo podatkov za ključna parametra konkurence. Podjetja cenijo pristop, ki temelji na tveganju, iz splošne uredbe o varstvu podatkov kot vodilno načelo, ki omogoča prožnost in nadgradljivost njihovih obveznosti ( 117 ).

5.1Nabor orodij za podjetja

Splošna uredba o varstvu podatkov zagotavlja nabor orodij z instrumenti, s katerimi lahko organizacije prožno upravljajo in dokazujejo skladnost, vključno s kodeksi ravnanja, mehanizmi certificiranja in standardnimi pogodbenimi določili. Kot je bilo napovedano v poročilu iz leta 2020, je Komisija leta 2021 sprejela standardna pogodbena določila o razmerju med upravljavcem in obdelovalcem ( 118 ). Z njimi je zagotovila pripravljeno in enostavno orodje za prostovoljno zagotavljanje skladnosti, ki je zlasti koristno za MSP ali organizacije, ki morda nimajo sredstev, da bi se s svojimi poslovnimi partnerji pogajale o individualnih pogodbah. Povratne informacije podjetij o uporabi standardnih pogodbenih določil so mešane, pri čemer nekatera podjetja (večinoma MSP) standardna pogodbena določila uporabljajo v celoti ali delno, druga (večinoma večja podjetja) pa jih običajno ne uporabljajo, ker raje uporabljajo svoja določila.

Podjetja poudarjajo, da imajo kodeksi ravnanja velik potencial kot sektorsko in stroškovno učinkovito orodje za zagotavljanje skladnosti ( 119 ). Vendar je bil njihov razvoj omejen ( 120 ). Po razpoložljivih informacijah sta bila do zdaj odobrena le dva kodeksa na ravni EU (oba v sektorju računalništva v oblaku), šest pa jih je bilo odobrenih na nacionalni ravni ( 121 ). Deležniki so kot glavne dejavnike, ki omejujejo uporabo kodeksov ravnanja, navedli obremenjujoče zahteve (vključno s potrebo po ustanovitvi akreditiranega telesa za spremljanje), nesodelovanje organov za varstvo podatkov in dolgotrajen postopek odobritve ( 122 ).

Potrebni so večja preglednost postopka in jasni roki za odobritev. Organi za varstvo podatkov, v primeru kodeksov na ravni EU pa tudi odbor, bi morali s sodelovanjem z združenji, ki pripravljajo kodekse ravnanja, dejavneje spodbujati njihovo pripravo. To bo pripomoglo k odpravljanju razlik v razlagi in pospešilo postopek odobritve. Deležniki obžalujejo dolge zamude pri sprejemanju kodeksov ravnanja, ki se pojavljajo zaradi vzporednih razprav o vprašanjih v okviru dela v zvezi s smernicami. Podjetja podobno poročajo, da se certificiranje ne uporablja pogosto, ker je postopek razvoja počasen in zapleten. Tako kot pri kodeksih ravnanja bi morali organi za varstvo podatkov zagotoviti jasnejše roke za pregled in odobritev certifikatov.

Odbor se je v svoji strategiji za obdobje 2024–2027 zavezal, da bo še naprej podpiral ukrepe za skladnost, kot so certificiranje in kodeksi ravnanja, med drugim s sodelovanjem s ključnimi skupinami deležnikov, da bi pojasnili, kako se lahko orodja uporabljajo ( 123 ).

5.2Specifični izzivi za MSP in male gospodarske subjekte

Komisija je v poročilu iz leta 2020 pozvala k okrepitvi prizadevanj za podporo MSP pri skladnosti s splošno uredbo o varstvu podatkov. Organi za varstvo podatkov in odbor so v zadnjih letih še naprej razvijali orodja za zagotavljanje skladnosti za MSP, deloma ob podpori financiranja Komisije ( 124 ). Odbor je aprila 2023 objavil priročnik o varstvu podatkov za mala podjetja ( 125 ), ki vsebuje praktične informacije za MSP v dostopni in lahko razumljivi obliki.

MSP v številnih državah članicah poudarjajo koristi prilagojene podpore lokalnih organov za varstvo podatkov. V nekaterih državah članicah pa MSP zaradi različnih pristopov organov za varstvo podatkov k ozaveščanju in usmerjanju menijo, da je skladnost zapletena, in se bojijo izvrševanja ( 126 ). Organi za varstvo podatkov bi morali svoja prizadevanja za reševanje teh izzivov podvojiti, tudi s proaktivnim sodelovanjem z MSP, da bi odpravili morebitne neutemeljene pomisleke glede skladnosti. Organi za varstvo podatkov bi se morali osredotočiti na zagotavljanje prilagojene podpore in praktičnih orodij, kot so predloge (npr. za izvajanje ocen učinka v zvezi z varstvom podatkov), telefonske številke za pomoč, ponazoritveni primeri, kontrolni seznami in smernice o specifičnih dejanjih obdelave (npr. zaračunavanje ali glasila) ter tehničnih in organizacijskih ukrepih. Ker večina MSP nima notranjega strokovnega znanja o varstvu podatkov, bi morale biti vse smernice, namenjene MSP, enostavno razumljive tistim, ki niso pravno usposobljeni ( 127 ).

V skladu s pristopom, ki temelji na tveganju, na podlagi splošne uredbe o varstvu podatkov MSP, ki izvajajo dejavnosti obdelave z majhnim tveganjem, nimajo znatnega bremena zagotavljanja skladnosti. Odstopanje od obveznosti vodenja evidence dejavnosti obdelave ( 128 ) se uporablja v omejenih okoliščinah ( 129 ), MSP, ki izvajajo obdelavo z majhnim tveganjem, pa lahko izpolnijo zahteve z vodenjem poenostavljenih evidenc na podlagi predlog, ki jih zagotovijo organi za varstvo podatkov. Poleg tega bi bilo treba take evidence šteti za koristno orodje, s katerim lahko MSP pregledujejo svoje dejavnosti obdelave.

5.3Pooblaščene osebe za varstvo podatkov

Pooblaščene osebe za varstvo podatkov imajo pomembno vlogo pri zagotavljanju skladnosti s splošno uredbo o varstvu podatkov v organizacijah, v katerih so zaposlene. Običajno imajo pooblaščene osebe za varstvo podatkov, ki delajo v EU, potrebno znanje in spretnosti za opravljanje svojih nalog v skladu s splošno uredbo o varstvu podatkov, pri čemer se njihova neodvisnost spoštuje ( 130 ). Vendar še vedno obstaja več izzivov, med drugim: (i) težave pri imenovanju pooblaščenih oseb za varstvo podatkov s potrebnim strokovnim znanjem; (ii) neobstoj standardov za izobraževanje in usposabljanje na ravni EU; (iii) neustrezno vključevanje pooblaščenih oseb za varstvo podatkov v organizacijske postopke; (iv) pomanjkanje virov; (v) dodatne naloge zunaj področja varstva podatkov in (vi) neustrezne izkušnje ( 131 ). Odbor je ugotovil, da morajo organi za varstvo podatkov okrepiti svoje dejavnosti ozaveščanja ter ukrepe za obveščanje in izvrševanje za zagotovitev, da bodo lahko pooblaščene osebe za varstvo podatkov izpolnjevale svojo vlogo v skladu s splošno uredbo o varstvu podatkov ( 132 ).

6Splošna uredba o varstvu podatkov kot eden izmed temeljev politike EU na digitalnem področju

6.1Digitalna politika, ki temelji na splošni uredbi o varstvu podatkov

Komisija se je v poročilu iz leta 2020 zavezala, da bo podpirala dosledno uporabo okvira za varstvo podatkov v zvezi z novimi tehnologijami za podporo inovacijam in tehnološkemu razvoju. EU je od takrat sprejela vrsto pobud, od katerih nekatere dopolnjujejo splošno uredbo o varstvu podatkov ali določajo, kako bi jo bilo treba uporabljati na specifičnih področjih, da bi se uresničevali posebni cilji, kot je predstavljeno v nadaljevanju.

·Akt o digitalnih storitvah ( 133 ), katerega cilj je zagotoviti varno spletno okolje za posameznike in podjetja, spletnim platformam prepoveduje prikazovanje oglasov na podlagi oblikovanja profilov z uporabo „posebnih vrst osebnih podatkov“, kot so opredeljene v splošni uredbi o varstvu podatkov.

·Da bi digitalni trgi postali pravičnejši in bolj tekmovalni, akt o digitalnih trgih ( 134 ) gospodarskih subjektom, imenovanim „vratarji“, prepoveduje, da bi „združevali“ osebne podatke iz svojih jedrnih platformnih storitev z osebnimi podatki iz drugih storitev in „navzkrižno uporabljali“ osebne podatke iz svojih jedrnih platformnih storitev pri drugih storitvah, razen če uporabnik v to privoli, kot je določeno v splošni uredbi o varstvu podatkov.

·Akt o umetni inteligenci ( 135 ) določa pravila EU o varstvu podatkov na specifičnih področjih, na katerih se uporablja umetna inteligenca, na primer v sistemih za biometrično identifikacijo na daljavo, pri obdelavi posebnih vrst podatkov za odkrivanje pristranskosti in nadaljnji obdelavi osebnih podatkov v regulativnih peskovnikih.

·Direktiva o platformnem delu ( 136 ) dopolnjuje splošno uredbo o varstvu podatkov na področju zaposlovanja z določitvijo pravil o avtomatiziranih sistemih spremljanja in sprejemanja odločitev, ki jih uporabljajo digitalne platforme dela, ter zlasti omejitev obdelave osebnih podatkov, preglednosti, človeškega nadzora in pregledovanja ter prenosljivosti.

·Uredba o političnem oglaševanju ( 137 ) prepoveduje uporabo posebnih vrst osebnih podatkov v političnem oglaševanju ter zahteva večjo preglednost uporabljenih tehnik ciljanja in ojačevanja.

·Uredba o evropski digitalni identiteti omogoča oblikovanje univerzalne, zaupanja vredne in varne evropske denarnice za digitalno identiteto. Z njo bodo lahko posamezniki dokazali osebne atribute, kot so starost, vozniška dovoljenja, diplome in bančni računi, s popolnim nadzorom nad svojimi osebnimi podatki in brez nepotrebne souporabe podatkov.

Pogajanja o predlogu uredbe o zasebnosti in elektronskih komunikacijah ( 138 ), s katero naj bi se nadomestila sedanja direktiva o zasebnosti in elektronskih komunikacijah ( 139 ) ter dopolnil zakonodajni okvir o zasebnosti in varstvu podatkov, potekajo že več let. Potreben je razmislek o naslednjih korakih za to pobudo, vključno z njeno povezavo s splošno uredbo o varstvu podatkov.

Akt o interoperabilni Evropi ( 140 ) je namenjen zagotavljanju interoperabilnosti digitalnih javnih storitev po vsej EU. Podpira sodelovanje med organi za varstvo podatkov, zlasti prek interoperabilnostnih regulativnih peskovnikov.

Več pobud EU zagotavlja pravno podlago za obdelavo osebnih podatkov s strani zasebnih subjektov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj. Vsaka taka zakonodaja mora biti skrbno ciljno usmerjena, da se čim bolj zmanjša poseganje v pravico do varstva osebnih podatkov, in sorazmerna z zastavljenim ciljem ( 141 ). Listina, splošna uredba o varstvu podatkov in sodna praksa Sodišča zagotavljajo okvir, na podlagi katerega bi bilo treba meriti te pobude. Predlagani sveženj o preprečevanju pranja denarja ( 142 ) vsebuje znatne zaščitne ukrepe za varstvo osebnih podatkov, ne da bi bil pri tem ogrožen cilj zmanjševanja tveganj pranja denarja in financiranja terorizma ter učinkovitega odkrivanja poskusov kaznivih dejanj zlorabe finančnega sistema EU.

V zvezi s tem je Svet poudaril, da bi morala biti vsaka nova zakonodaja EU, ki vsebuje določbe o obdelavi osebnih podatkov, skladna s splošno uredbo o varstvu podatkov in sodno prakso Sodišča.

6.2Pravni okvir za okrepitev souporabe podatkov

Cilj strategije za podatke je ustvariti enoten trg za podatke, na katerem v EU in med sektorji poteka prost pretok podatkov v korist podjetij, raziskovalcev in javnih uprav. Ključni cilj strategije za podatke je vzpostavitev skupnih evropskih podatkovnih prostorov, ki olajšujejo združevanje podatkov, dostop do njih in njihovo souporabo. V zvezi z osebnimi podatki splošna uredba o varstvu podatkov zagotavlja okvir za vse pobude, namenjene okrepitvi prostega pretoka podatkov v EU, kar je tudi cilj navedene uredbe. Kar zadeva osebne podatke, se ne posega v zaščitne ukrepe iz splošne uredbe o varstvu podatkov.

Akt o upravljanju podatkov ( 143 ) in akt o podatkih ( 144 ) sta stebra strategije za podatke. Akt o upravljanju podatkov določa konkretna pravila v zvezi s ponovno uporabo podatkov javnega sektorja, ki vključujejo osebne podatke, in zakonodajni okvir za storitve posredovanja podatkov, vključno s storitvami upravljanja osebnih informacij ali oblaki osebnih podatkov, ki se zagotavljajo, da bi se okrepila sposobnost posameznikov, na katere se nanašajo osebni podatki, da uveljavljajo svoje pravice na podlagi splošne uredbe o varstvu podatkov. Poleg tega določa pogoje za uporabo podatkov v altruistične namene. Akt o podatkih določa tehnične zahteve za dostop do podatkov in njihovo prenosljivost, s čimer se krepi nadzor posameznikov, na katere se nanašajo osebni podatki, nad podatki, ki jih ustvarijo z uporabo pametnih predmetov, ki so v njihovi lasti, najemu ali zakupu.

Evropski zdravstveni podatkovni prostor ( 145 ) upošteva posebne potrebe, opredeljene v sektorju zdravstvenih podatkov, in temelji na splošni uredbi o varstvu podatkov. Posameznikom omogoča enostaven dostop do njihovih zdravstvenih podatkov v elektronski obliki in njihovo souporabo z zdravstvenimi delavci, tudi v drugih državah članicah, s čimer se izboljša izvajanje zdravstvenega varstva in poveča nadzor pacientov nad njihovimi podatki. Z njim se vzpostavi tudi skupen pravni okvir za ponovno uporabo zdravstvenih podatkov za namene, kot so raziskave, inovacije in javno zdravje, na podlagi dovoljenja, ki ga izda organ za dostop do zdravstvenih podatkov. Da bi se zagotovilo varstvo osebnih podatkov, bo evropski zdravstveni podatkovni prostor zagotovil zaupanja vredno okolje za varen dostop do zdravstvenih podatkov in njihovo obdelavo. Komisija še naprej podpira prizadevanja za razvoj skupnih evropskih podatkovnih prostorov v 14 sektorjih, tako da izvaja nov zakonodajni okvir in financira sektorske pobude.

6.3Upravljanje novih digitalnih pravil

Za razvoj digitalnih predpisov je potrebno tesno sodelovanje med regulativnimi področji ( 146 ). Takšno sodelovanje je še toliko bolj potrebno, ker se vprašanja varstva podatkov vse bolj prekrivajo z vprašanji, kot so konkurenčno pravo, potrošniško pravo, pravila o digitalnih trgih, ureditev elektronskih komunikacij in kibernetska varnost. To na primer velja pri ocenjevanju združljivosti modelov „plačaj ali privoli“ s pravom EU.

V nekaterih primerih so organi za varstvo podatkov zadolženi za izvrševanje specifičnih določb nove digitalne zakonodaje EU ( 147 ). Z novimi digitalnimi predpisi se vzpostavljajo tudi prilagojene strukture, ki združujejo pristojne regulatorje, da bi se zagotovilo skladno izvrševanje, kot so skupina na visoki ravni za akt o digitalnih trgih, Evropski odbor za podatkovne inovacije (ustanovljen na podlagi akta o upravljanju podatkov) in Evropski odbor za digitalne storitve (ustanovljen na podlagi akta o digitalnih storitvah). Direktiva NIS 2 ( 148 ) določa podrobnejša pravila o sodelovanju med regulativnimi organi in organi za varstvo podatkov pri obvladovanju varnostnih incidentov, ki pomenijo kršitev varnosti osebnih podatkov.

Organi za varstvo podatkov zunaj teh struktur sprejemajo ukrepe za zagotovitev, da se njihovi ukrepi dopolnjujejo in so skladni z drugimi regulativnimi področji. Organi za varstvo potrošnikov in podatkov so julija 2020 ustanovili skupino prostovoljcev, da bi določili najboljše prakse in si izmenjevali izkušnje z izvrševanjem. Organi za varstvo podatkov še naprej sodelujejo na skupnih delavnicah z mrežo za sodelovanje na področju varstva potrošnikov. Odbor je leta 2023 ustanovil projektno skupino za medsebojni vpliv varstva podatkov, konkurence in varstva potrošnikov.

Čeprav je ta razvoj dogodkov pozitiven, so potrebni bolj strukturirani in učinkovitejši načini sodelovanja, zlasti za obravnavanje primerov, ki vplivajo na veliko število posameznikov v EU in vključujejo več regulativnih organov ( 149 ). Take strukture bi morale zagotoviti, da so organi stalno odgovorni za vsa vprašanja v zvezi s skladnostjo s pravili na področjih, za katera so pristojni. Države članice bi si morale prizadevati tudi za zagotovitev ustreznega sodelovanja na nacionalni ravni ( 150 ).

7Mednarodni prenosi in globalno sodelovanje

7.1Nabor orodij za prenos, ki ga zagotavlja splošna uredba o varstvu podatkov

Tokovi podatkov so postali sestavni del digitalne preobrazbe družbe in globalizacije gospodarstva. Spoštovanje zasebnosti je bolj kot kdaj koli prej pogoj za stabilne, varne in konkurenčne trgovinske tokove ter omogoča številne oblike mednarodnega sodelovanja. Nabor orodij za prenos iz poglavja V splošne uredbe o varstvu podatkov vključuje različne instrumente za obravnavo različnih scenarijev prenosa in hkrati zagotavlja visoko raven varstva podatkov tudi po njihovem prenosu iz EU. 

Od poročila iz leta 2020 so bile zahteve za prenose podatkov, določene v zakonodaji EU o varstvu podatkov, dodatno pojasnjene, nabor orodij za prenos pa se je še naprej razvijal. Pomembno pojasnilo se nanaša na pojem „mednarodni prenos“, ki ga je opredelil odbor ( 151 ) in pomeni vsako razkritje osebnih podatkov s strani upravljavca ali obdelovalca, ki opravlja dejavnosti obdelave, za katere se uporablja splošna uredba o varstvu podatkov, drugemu upravljavcu ali obdelovalcu v tretji državi, ne glede na to, ali se splošna uredba o varstvu podatkov uporablja za obdelavo s strani zadnjenavedenega upravljavca oziroma obdelovalca ( 152 ). Te smernice odbora so bile pomembne zlasti za zagotovitev pravne varnosti evropskim upravljavcem in obdelovalcem v zvezi s scenariji, v katerih je potrebno orodje za prenos iz poglavja V splošne uredbe o varstvu podatkov.

Dodatna pojasnila je podalo tudi Sodišče v sodbi v zadevi Schrems II ( 153 ) o varstvu, ki ga je treba zagotoviti z različnimi instrumenti za prenos, da se zagotovi, da raven varstva, ki jo zagotavlja splošna uredba o varstvu podatkov, ni ogrožena ( 154 ). Zlasti je treba s temi instrumenti posameznikom, katerih podatki se prenašajo iz EU, zagotoviti raven varstva, ki je v bistvu enakovredna ravni, zagotovljeni v EU ( 155 ). Za oceno, ali je taka raven varstva zagotovljena, je odgovoren izvoznik podatkov iz EU, ki mora pri tem upoštevati specifične okoliščine svojih prenosov ( 156 ).

Da bi izvozniki podatkov ocenili raven varstva, morajo upoštevati zaščitne ukrepe za varstvo podatkov, določene v instrumentu za prenos, sklenjenem z uvoznikom podatkov iz tretje države (npr. pogodbi), ter ustrezne vidike pravnega sistema države uvoznika podatkov, zlasti glede morebitnega dostopa javnih organov navedene države do podatkov ( 157 ). Zadnjenavedene je treba oceniti glede na merila za ocene ustreznosti iz člena 45 splošne uredbe o varstvu podatkov. Sodišče je ta merila podrobneje opredelilo, zlasti v zvezi s pravili o dostopu javnih organov do osebnih podatkov za namene kazenskega pregona in nacionalne varnosti.

Ta razlaga je bila upoštevana tudi v smernicah odbora, ki je posodobil svoj referenčni dokument o ustreznosti ( 158 ) (vseboval je smernice o elementih, ki jih mora Komisija upoštevati pri ocenjevanju ustreznosti). Odbor je sprejel tudi nove smernice z dodatnimi pojasnili o: (i) elementih, ki jih morajo upoštevati posamezni izvozniki podatkov pri ocenjevanju ravni varstva; (ii) pregledu možnih virov, ki se lahko uporabijo, in (iii) primerih možnih dopolnilnih ukrepov (npr. pogodbeni in tehnični zaščitni ukrepi) ( 159 ). V smernicah je izrecno poudarjeno, da je vsaka ocena, ki jo opravijo izvozniki podatkov, edinstvena, zato morajo upoštevati posebne značilnosti vsakega prenosa, ki se lahko razlikujejo glede na namen prenosa podatkov, vrste vključenih subjektov, sektor, v katerem poteka prenos, vrste prenesenih osebnih podatkov itd. ( 160 ).

Ob upoštevanju teh različnih pojasnil o zahtevah za mednarodne prenose podatkov so bili v zadnjih letih sprejeti pomembni ukrepi za nadaljnji razvoj in operacionalizacijo nabora orodij za prenos, ki ga zagotavlja splošna uredba o varstvu podatkov.

7.1.1Sklepi o ustreznosti

Povratne informacije deležnikov kažejo tudi, da imajo sklepi o ustreznosti še naprej ključno vlogo v naboru orodij za prenos, ki ga zagotavlja splošna uredba o varstvu podatkov ( 161 ), saj zagotavljajo enostavne in celovite rešitve za prenose podatkov, ne da bi moral izvoznik podatkov zagotoviti dodatne zaščitne ukrepe ali pridobiti kakršno koli dovoljenje. Ti sklepi z omogočanjem prostega pretoka osebnih podatkov odpirajo poslovne poti za gospodarske subjekte EU, saj med drugim dopolnjujejo in še povečujejo koristi trgovinskih sporazumov, ter lajšajo sodelovanje s tujimi partnerji na številnih področjih, od regulativnega sodelovanja do raziskav.

Od poročila iz leta 2020 se je število držav, ki so sprejele sodobno zakonodajo o varstvu podatkov, v kateri so med drugim določile ključna načela varstva podatkov, pravice posameznikov in učinkovito izvrševanje s strani neodvisnih regulatorjev, še naprej povečevalo. Zaradi tega trenda ( 162 ) je lahko Komisija okrepila svoje delo v zvezi z ustreznostjo. To vključuje sprejetje sklepa o ustreznosti za Združeno kraljestvo ( 163 ), ki je bistven za zagotavljanje pravilnega delovanja različnih sporazumov, ki so bili sklenjeni z Združenim kraljestvom po brexitu. Da bi bil sklep o ustreznosti primeren za prihodnost, vključuje samoderogacijsko klavzulo, ki bo prenehala veljati leta 2025, nato pa se lahko podaljša, če bo raven varstva še naprej ustrezna. Komisija je sprejela tudi sklep o ustreznosti za Republiko Korejo ( 164 ), ki dopolnjuje sporazum o prosti trgovini med EU in Korejo v zvezi s tokovi osebnih podatkov ter olajšuje regulativno sodelovanje. Prvi pregled sklepa o ustreznosti je načrtovan proti koncu leta 2024.

Poleg tega je Komisija po razveljavitvi sklepa o ustreznosti za zasebnostni ščit EU-ZDA v skladu z zahtevami, kot jih je pojasnilo Sodišče, začela pogovore z vlado Združenih držav (ZDA) za razvoj ureditve, ki ga bo nasledila ( 165 ). Predsednik ZDA je sprejel novo odredbo o krepitvi zaščitnih ukrepov za obveščevalne dejavnosti SIGINT ZDA, s katero so bili uvedeni novi zavezujoči in izvršljivi zaščitni ukrepi za zagotovitev, da je dostop do podatkov za namene nacionalne varnosti mogoč le v obsegu, ki je potreben in sorazmeren, ter da so Evropejcem na voljo učinkovita pravna sredstva. Na podlagi tega je Komisija sprejela sklep o ustreznosti za okvir za varstvo zasebnosti podatkov med EU in ZDA ( 166 ), ki omogoča prost pretok osebnih podatkov iz EU v podjetja iz ZDA, ki se pridružijo navedenemu okviru. Zaščitni ukrepi, ki jih je vlada ZDA uvedla na področju nacionalne varnosti, se uporabljajo za vse prenose podatkov podjetjem v ZDA, ne glede na uporabljeni mehanizem za prenos iz splošne uredbe o varstvu podatkov, s čimer se je precej olajšala uporaba drugih orodij, kot so standardna pogodbena določila in zavezujoča poslovna pravila. Prvi pregled delovanja okvira za varstvo zasebnosti podatkov med EU in ZDA bo opravljen poleti 2024, da se preveri, ali so bili vsi ustrezni elementi v celoti izvedeni v pravnem okviru ZDA in ali učinkovito delujejo v praksi.

Zdaj potekajo pogajanja o ustreznosti z Brazilijo in Kenijo ter prvič z več mednarodnimi organizacijami (na primer pogovori o ustreznosti z Evropsko patentno organizacijo, ki so v zaključni fazi) ( 167 ). Komisija je dejavno sodelovala v pripravljalnih pogovorih z državami v različnih regijah sveta, h katerim so jo pozivali tudi različni deležniki ( 168 ).

Komisija v skladu s svojimi ustreznimi obveznostmi iz splošne uredbe o varstvu podatkov stalno spremlja tudi razvoj dogodkov v državah, za katere je že bila ugotovljena ustreznost, in redno pregleduje obstoječe sklepe ( 169 ). Aprila 2023 je sprejela poročilo o prvem rednem pregledu sklepa o ustreznosti za Japonsko ( 170 ), v katerem je bilo ugotovljeno, da Japonska še naprej zagotavlja ustrezno raven varstva ( 171 ). Pregled je pokazal, da sta se okvira EU in Japonske za varstvo podatkov po sprejetju vzajemnih sklepov o ustreznosti še bolj zbližala.

Poleg tega se je v skladu s členom 97 splošne uredbe o varstvu podatkov v okviru vrednotenja uporabe in delovanja navedene uredbe leta 2020 začel prvi pregled enajstih sklepov o ustreznosti ( 172 ), sprejetih na podlagi prejšnjega okvira EU za varstvo podatkov (direktiva o varstvu podatkov). Zaključek tega vidika pregleda je bil preložen predvsem zato, da bi se upoštevali sodba Sodišča v zadevi Schrems II in poznejša razlaga odbora. Na podlagi zgoraj navedenih pojasnil Sodišča o ključnih elementih standarda ustreznosti so bile z zadevnimi državami in ozemlji opravljene podrobne izmenjave o pomembnih vidikih njihovega pravnega okvira ter mehanizmov nadzora in izvrševanja.

Komisija je 15. januarja 2024 objavila poročilo o teh enajstih sklepih s podrobnimi poročili o državah, v katerem so opisani razvoj dogodkov v posameznih državah in ozemljih od sprejetja sklepov o ustreznosti ter pravila, ki se uporabljajo za dostop javnih organov do podatkov, zlasti za namene kazenskega pregona in nacionalne varnosti ( 173 ). V poročilu je ugotovila, da vseh enajst držav in ozemelj še naprej zagotavlja ustrezno raven varstva osebnih podatkov, prenesenih iz EU. To kaže, da so vse zadevne države in ozemlja različno posodobile in okrepile svoje pravne okvire za varstvo zasebnosti. Da bi se odpravile pomembne razlike v ravni varstva, so bili poleg tega, kadar je bilo to potrebno za zagotovitev kontinuitete izvajanja sklepa o ustreznosti, z nekaterimi zadevnimi državami in ozemlji dogovorjeni in sklenjeni dodatni zaščitni ukrepi za osebne podatke, prenesene iz Evrope.

Ti pregledi kažejo tudi, da sklepi o ustreznosti niso „končni cilj“, temveč podlaga za tesnejše sodelovanje in nadaljnje regulativno zbliževanje med EU in temi podobno mislečimi partnericami. V poročilu o prvem pregledu sklepa o ustreznosti za Japonsko je na primer priznano, da lahko nadaljnja krepitev japonskega okvira za varstvo podatkov utre pot razširitvi področja uporabe sklepa o ustreznosti preko trgovinske izmenjave, s čimer bi bili vključeni prenosi, ki so trenutno izključeni z njegovega področja uporabe, na primer na področju regulativnega sodelovanja in raziskav. Zdaj potekajo pogovori za proučitev take morebitne razširitve. Na splošno so sklepi o ustreznosti postali strateški element splošnih odnosov EU s temi tujimi partnerji in veljajo za pomemben dejavnik, ki omogoča poglobitev sodelovanja na najrazličnejših področjih.

Vse širša mreža držav in ozemelj, za katere je EU sprejela sklep o ustreznosti, zagotavlja trdno podlago za okrepljeno dvostransko sodelovanje ter nove priložnosti za povečanje koristi varnega in prostega pretoka podatkov ter tesnejše sodelovanje med podobno mislečimi partnerji pri izvrševanju pravil o varstvu podatkov. Komisija je zato marca 2024 organizirala prvo srečanje na visoki ravni o varnih tokovih podatkov, ki so se ga udeležili pristojni ministri in vodje organov za varstvo podatkov iz 15 držav in ozemelj, za katere je EU sprejela sklep o ustreznosti, ter predsednik Evropskega odbora za varstvo podatkov ( 174 ). Na sestanku je bilo opredeljenih več konkretnih ukrepov, v zvezi s katerimi v skupini poteka nadaljnje delo.

Na splošno so sklepi o ustreznosti, ki jih sprejme Evropska komisija, zaradi „mrežnega učinka“ vse pomembnejši tudi zunaj EU, saj omogočajo prosti pretok podatkov ne le s 30 gospodarstvi EGP, temveč tudi s številnimi drugimi jurisdikcijami po vsem svetu, ki države, za katere je izdan sklep EU o ustreznosti, priznavajo kot „varne destinacije“ v skladu s svojimi pravili o varstvu podatkov ( 175 ).

7.1.2Instrumenti, ki zagotavljajo ustrezne zaščitne ukrepe

Od poročila iz leta 2020 so bila razvita dodatna orodja, ki zagotavljajo ustrezne zaščitne ukrepe, in izdane so bile praktične smernice za lažjo uporabo teh orodij.

Kot je bilo napovedano v poročilu iz leta 2020, je Komisija sprejela posodobljena standardna pogodbena določila ( 176 ), pri razvoju katerih so se v veliki meri upoštevale povratne informacije različnih deležnikov ( 177 ). Z novimi standardnimi pogodbenimi določili so se nadomestili trije sklopi standardnih pogodbenih določil, ki so bili sprejeti na podlagi direktive o varstvu podatkov. Med glavnimi inovacijami so: (i) posodobljeni zaščitni ukrepi v skladu s splošno uredbo o varstvu podatkov; (ii) modularni pristop za zagotovitev enotne vstopne točke, ki zajema širok nabor scenarijev prenosa; (iii) večja prožnost za uporabo standardnih pogodbenih določil s strani več pogodbenic ter (iv) praktičen nabor orodij za upoštevanje sodbe v zadevi Schrems II.

Deležniki so pozdravili posodobljena standardna pogodbena določila in prejete povratne informacije potrjujejo, da so ta določila še vedno daleč najpogosteje uporabljeno orodje za prenose s strani izvoznikov podatkov iz EU ( 178 ). Da bi Komisija izvoznikom podatkov pomagala zagotoviti skladnost, je pripravila vprašanja in odgovore, s katerimi je zagotovila nadaljnje smernice o uporabi določil ( 179 ) in ki bodo dodatno posodobljeni, če se bodo pojavila nova vprašanja, tudi ob upoštevanju nadaljnjih povratnih informacij, prejetih v okviru tega vrednotenja.

Številni izvozniki podatkov poročajo o težavah pri izvajanju „ocen učinka prenosa“, ki se zahtevajo v skladu s sodbo v zadevi Schrems II, pri čemer opozarjajo zlasti na njihovo zapletenost ter stroške in čas, ki so potrebni za njihovo izvedbo ( 180 ). Čeprav pozdravljajo smernice odbora in standardna pogodbena določila, pozivajo k dodatnim smernicam (npr. o odgovornostih vključenih pogodbenic in potrebni ravni podrobnosti pri ocenah učinka prenosa) in dodatnim orodjem za pomoč pri izvajanju takih ocen (npr. predloge, splošne ocene držav, katalogi tveganj). Čeprav so deležniki take povratne informacije predložili predvsem o standardnih pogodbenih določilih, so enake ocene potrebne tudi za druge instrumente za prenos (kot so zavezujoča poslovna pravila). Zato je pomembno, da odbor na podlagi izkušenj z uporabo zahtev iz sodbe v zadevi Schrems II v preteklih letih, tudi v okviru dejavnosti izvrševanja, ki jih izvajajo nacionalni organi za varstvo podatkov, prouči možnosti/orodja za dodatno pomoč izvoznikom podatkov pri njihovih prizadevanjih za skladnost v zvezi s tem.

Da bi Komisija dopolnila obstoječa standardna pogodbena določila, pripravlja dodatne sklope določil, da bi izvoznikom podatkov iz EU zagotovila celovit in skladen sveženj. Ta bo vključeval standardna pogodbena določila na podlagi Uredbe (EU) 2018/1725 za prenose podatkov gospodarskim subjektom v tretjih državah, ki jih izvedejo institucije in organi EU ( 181 ), ter standardna pogodbena določila za prenose podatkov uvoznikom podatkov v tretjih državah, ki izvajajo dejanja obdelave, za katere se neposredno uporablja splošna uredba o varstvu podatkov. Z zadnjenavedenimi bo upoštevan poziv deležnikov, naj se izrecno obravnavajo scenariji, v katerih uvoznik podatkov spada na ozemeljsko področje uporabe splošne uredbe o varstvu podatkov (na primer, ker je zadevna obdelava usmerjena na trg EU v skladu s členom 3(2) navedene uredbe) ( 182 ). Kot je pojasnil odbor, je tudi v tem primeru potrebno orodje za prenos iz poglavja V splošne uredbe o varstvu podatkov, saj obdelava osebnih podatkov zunaj EU vključuje večja tveganja, na primer zaradi morebitno nasprotujočih si nacionalnih zakonov ali nesorazmernega vladnega dostopa v tretji državi ( 183 ). Z novimi standardnimi pogodbenimi določili, ki jih pripravlja Komisija, se bo izrecno obravnaval ta scenarij in v celoti se bodo upoštevale zahteve, ki se že uporabljajo neposredno za navedene upravljavce in obdelovalce v skladu s splošno uredbo o varstvu podatkov ( 184 ).

Kot priznavajo tudi različne vrste deležnikov ( 185 ), imajo vzorčna določila vse pomembnejšo vlogo pri olajševanju tokov podatkov po vsem svetu. Več jurisdikcij je uvedlo standardna pogodbena določila EU kot mehanizem za prenos v svoji zakonodaji o varstvu podatkov z omejenimi formalnimi prilagoditvami nacionalnega pravnega reda ( 186 ). Številne druge države so sprejele lastna vzorčna določila, ki imajo pomembne skupne značilnosti s standardnimi pogodbenimi določili EU ( 187 ). Posebej pomemben primer so vzorčna določila, ki jih razvijajo druge mednarodne/regionalne organizacije ali mreže, kot so posvetovalni odbor Sveta Evrope iz Konvencije št. 108, Ibero-ameriška mreža za varstvo podatkov in Združenje držav jugovzhodne Azije (ASEAN) ( 188 ). To odpira nove priložnosti za olajšanje tokov podatkov med različnimi regijami sveta na podlagi vzorčnih določil. Konkreten primer je vodnik EU in ASEAN o vzorčnih pogodbenih določilih ASEAN in standardnih pogodbenih določilih EU, ki temelji na prispevkih podjetij in jim pomaga pri prizadevanjih za skladnost na podlagi obeh sklopov določil ( 189 ).

Poleg standardnih pogodbenih določil se za tokove podatkov med člani skupin podjetij ali med podjetji, ki opravljajo skupno gospodarsko dejavnost, še naprej pogosto uporabljajo zavezujoča poslovna pravila. Od začetka uporabe splošne uredbe o varstvu podatkov je odbor sprejel 80 pozitivnih mnenj o nacionalnih odločitvah o odobritvi zavezujočih poslovnih pravil ( 190 ). Poleg tega je izdal smernice o elementih, ki jih je treba vključiti v zavezujoča poslovna pravila za upravljavce (in informacijah, ki jih je treba navesti v vlogi za zavezujoča poslovna pravila) ter ki so bile posodobljene, da bi se upoštevale zahteve iz splošne uredbe o varstvu podatkov in sodba v zadevi Schrems II ( 191 ). Pripravljajo se tudi posodobljene smernice o zavezujočih poslovnih pravilih za obdelovalce ( 192 ). Ker so zavezujoča poslovna pravila namenjena uvedbi zavezujočih politik/programov za varstvo podatkov v podjetjih, jih številni deležniki štejejo za posebno koristno orodje za zagotavljanje skladnosti in zaupanja vreden instrument za prenos ( 193 ). Hkrati deležniki še naprej poročajo, da trajanje in zapletenost postopka odobritve, ki ga izvajajo nacionalni organi za varstvo podatkov, preprečujeta širšo uporabo zavezujočih poslovnih pravil. Zato je pomembno, da si organi še naprej prizadevajo za racionalizacijo in skrajšanje tega postopka.

Od poročila iz leta 2020 so bili sprejeti tudi ukrepi za lažjo uporabo certificiranja in kodeksov ravnanja kot orodij za prenose, npr. posebne smernice o obeh orodjih, ki jih je sprejel odbor ( 194 ). Hkrati deležniki poročajo o enakih težavah v zvezi s trajanjem in zapletenostjo postopka odobritve, kot so navedena zgoraj, kar zadeva certificiranje in kodekse ravnanja kot orodja za odgovornost.

Nazadnje, splošna uredba o varstvu podatkov določa tudi specifične instrumente – mednarodne sporazume in upravne dogovore, ki jih odobrijo organi za varstvo podatkov –, ki jih javni organi uporabljajo za prenos osebnih podatkov ustreznim organom v tretjih državah ali mednarodnim organizacijam. Odbor je sprejel smernice o zaščitnih ukrepih, ki bi jih bilo treba vključiti v take instrumente ( 195 ), te pa se lahko uporabijo v podporo pogajanjem o takih sporazumih in dogovorih.

7.1.3Zagotavljanje dopolnjevanja z drugimi politikami

Tokovi podatkov so postali bistveni za številne dejavnosti, zato je ključno zagotoviti, da se politike na področju varstva podatkov in druge politike dopolnjujejo. Vključitev zaščitnih ukrepov za varstvo podatkov v mednarodne instrumente ni le pogosto osnovni pogoj za tokove podatkov, ampak tudi pomemben dejavnik, ki omogoča stabilno in zaupanja vredno sodelovanje.

Na primer, mednarodni sporazumi, ki določajo potrebne zaščitne ukrepe za varstvo podatkov, med drugim z zagotavljanjem kontinuitete varstva na strani organa, ki je predložil zahtevo, so bistveni za zagotovitev pravne kurtoazije in olajšanje čezmejnega dostopa organov kazenskega pregona do elektronskih dokazov, ki jih hranijo podjetja, s tem pa tudi za učinkovitejši boj proti kriminalu. Ta pristop je upoštevan v Drugem dodatnem protokolu h Konvenciji o kibernetski kriminaliteti ( 196 ), s katerim se okrepijo obstoječa pravila za pridobitev čezmejnega dostopa do elektronskih dokazov v kazenskih preiskavah, hkrati pa zagotovijo ustrezni zaščitni ukrepi za varstvo podatkov. Protokol je medtem podpisalo več držav članic EU. Podobno napredujejo dvostranska pogajanja med EU in ZDA o sporazumu o čezmejnem dostopu do elektronskih dokazov za sodelovanje v kazenskih zadevah ( 197 ).

Izmenjava podatkov iz evidence podatkov o potnikih (PNR) je še eno področje varnostne politike EU, na katerem je bil razvoj strogih zaščitnih ukrepov za varstvo podatkov koristen. EU in Kanada sta leta 2023 zaključili pogajanja o novem sporazumu o PNR v skladu z zahtevami, ki jih je Sodišče navedlo v Mnenju 1/15 ( 198 ). Podobni zaščitni ukrepi so bili vključeni v poglavje o PNR sporazuma o trgovini in sodelovanju med EU in Združenim kraljestvom. Z vključitvijo okrepljenega varstva zasebnosti v te sporazume, ki se lahko uporabljajo kot vzorec za prihodnje sporazume z drugimi partnerji, se sočasno zagotovita pravna varnost letalskim prevoznikom ter stabilnost pomembnih izmenjav informacij za boj proti terorizmu in drugim hudim čezmejnim kaznivim dejanjem.

Komisija zagovarja stroge določbe za varstvo zasebnosti in spodbujanje digitalne trgovine tudi v tekočih pogajanjih v Svetovni trgovinski organizaciji o pobudi za skupno izjavo o elektronskem trgovanju. Podobne določbe za odpravo neupravičenih ovir za digitalno trgovino ob sočasnem varovanju potrebnega političnega prostora pogodbenic na področju varstva podatkov so se po začetku uporabe splošne uredbe o varstvu podatkov dosledno vključevale v sporazume o prosti trgovini, ki jih je sklenila EU, zlasti v sporazum o trgovini in sodelovanju med EU in Združenim kraljestvom ter v sporazume s Čilom, Japonsko in Novo Zelandijo. Razprave o določbah o zasebnosti in tokovih podatkov potekajo tudi v okviru tekočih pogajanj s Singapurjem in Južno Korejo o digitalni trgovini.

7.2Mednarodno sodelovanje na področju varstva podatkov

7.2.1Dvostranska razsežnost

Komisija je še naprej opravljala dialoge z državami in mednarodnimi organizacijami o razvoju, reformi in izvajanju pravil o zasebnosti, med drugim s prispevki v okviru javnih posvetovanj o osnutkih zakonodaje ali regulativnih ukrepov na področju zasebnosti ( 199 ), dajanjem izjav pred pristojnimi parlamentarnimi organi ( 200 ) ter sodelovanjem na posebnih srečanjih s predstavniki vlad, parlamentarnimi delegacijami in regulatorji iz številnih regij sveta ( 201 ). Številne od teh dejavnosti so bile izvedene v okviru projekta Enhanced Data Protection and Data Flows (Okrepljeni varstvo in tokovi podatkov), ki ga financira EU in v okviru katerega se z usposabljanjem, izmenjavo znanja, krepitvijo zmogljivosti in izmenjavo dobrih praks podpirajo države, ki nameravajo razviti sodobne okvire za varstvo podatkov ali okrepiti zmogljivosti svojih regulativnih organov. Komisija je prispevala tudi k drugim pobudam, kot je digitalno zavezništvo med EU, Latinsko Ameriko in Karibi.

Varstvo podatkov bo še naprej imelo ključno vlogo tudi pri delu Komisije, povezanem s širitvijo. Zakonodaja EU o varstvu podatkov je pomemben sestavni del splošnih prizadevanj držav, ki se pripravljajo na pristop, da bi uskladile svoje pravne okvire s pravnimi okviri EU (zlasti ker sta obdelava in izmenjava osebnih podatkov v središču številnih politik). Poleg tega sta neodvisnost in pravilno delovanje organa za varstvo podatkov ključna elementa splošnega sistema zavor in ravnovesij ter pravne države in bosta s postopnim vključevanjem držav, ki se pripravljajo na pristop, na enotni trg EU (kot je predvideno v pobudah, kot je načrt za rast za Zahodni Balkan) postala še pomembnejša.

Vse pomembnejši vidik dialoga EU s tretjimi državami je osredotočen na izmenjave med regulatorji. Kot je bilo napovedano v poročilu iz leta 2020, je Komisija ustanovila Akademijo za varstvo podatkov, da bi spodbujala izmenjave med organi za varstvo podatkov iz EU in tretjih držav ter tako prispevala h krepitvi zmogljivosti in izboljšala sodelovanje „na terenu“. Akademija zagotavlja prilagojena usposabljanja na zahtevo organov tretjih držav ter združuje strokovno znanje predstavnikov skupnosti izvršilnih organov, akademskih krogov, zasebnega sektorja in evropskih institucij. Usposabljanja zagotavljajo dodano vrednost s prilagajanjem različnih elementov interesom in potrebam organa, ki je vložil zahtevo. Poleg tega lahko organi za varstvo podatkov iz EU in tretjih držav na teh usposabljanjih vzpostavljajo stike, si izmenjujejo znanje, izkušnje in dobre prakse ter opredelijo morebitna področja sodelovanja. Akademija je doslej zagotovila usposabljanja za organe za varstvo podatkov iz Indonezije, Brazilije, Kenije, Nigerije in Ruande, trenutno pa jih pripravlja za več drugih držav.

Poleg pomena ohranjanja dialoga med regulatorji obstaja vse večja potreba po razvoju ustreznih pravnih instrumentov za tesnejše oblike sodelovanja in medsebojne pomoči, tudi z omogočanjem potrebne izmenjave informacij v okviru preiskav, ki sta jo v povratnih informacijah priznala tudi Svet in odbor ( 202 ). Ker imajo kršitve zasebnosti vse pogosteje čezmejne učinke, jih je pogosto mogoče učinkovito preiskovati in obravnavati le s sodelovanjem med regulativnimi organi iz EU in tretjih držav. Komisija bo zato zaprosila za pooblastilo, da začne pogajanja za sklenitev sporazumov o sodelovanju na področju izvrševanja z ustreznimi tretjimi državami (kot je določeno tudi v členu 50 splošne uredbe o varstvu podatkov). V zvezi s tem ugotavlja, da je odbor pozval, naj se kot morebitni partnerji posebej obravnavajo države z največjim številom gospodarskih subjektov, za katere se neposredno uporablja splošna uredba o varstvu podatkov, zlasti države skupine G7 in/ali države, za katere je bil sprejet sklep o ustreznosti ( 203 ).

Vzpostavitev takih sporazumov o sodelovanju na področju izvrševanja in medsebojni pomoči bi pripomogla tudi k zagotavljanju skladnosti tujih gospodarskih subjektov, za katere se uporablja splošna uredba o varstvu podatkov, na primer zato, ker so pri ponujanju blaga ali storitev izrecno usmerjeni na trg EU, in učinkovitem izvrševanju v zvezi z njimi. Svet ugotavlja, da je v takih primerih pomembno zagotoviti skladnost s splošno uredbo o varstvu podatkov, ter izraža pomisleke glede enakih konkurenčnih pogojev, kot jih imajo subjekti v EU, in učinkovitega varstva pravic posameznikov ( 204 ). Komisija se strinja s pozivom Sveta, naj se proučijo različni načini za olajšanje izvrševanja v tem scenariju. Čeprav bi bolj formalne oblike sodelovanja z regulatorji tretjih držav zagotovo lahko imele pomembno vlogo, bi si bilo treba odločneje prizadevati tudi za uporabo drugih možnosti, ki so že na voljo. To vključuje polno uporabo nabora orodij za izvrševanje iz člena 58 splošne uredbe o varstvu podatkov in vključevanje predstavnikov tujih podjetij v EU (imenovanih v skladu s členom 27 navedene uredbe).

7.2.2Večstranska razsežnost

Komisija še naprej dejavno sodeluje tudi v številnih mednarodnih forumih za spodbujanje skupnih vrednot in zbliževanje na regionalni in svetovni ravni.

To vključuje na primer dejavno prispevanje k delu posvetovalnega odbora za Konvencijo o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Konvencija št. 108), ki je edini pravno zavezujoč večstranski instrument na področju varstva osebnih podatkov. Protokol o spremembi za posodobitev Konvencije št. 108 je do zdaj ratificiralo 31 držav ( 205 ), vključno s številnimi državami članicami EU in nekaterimi nečlanicami Sveta Evrope (Argentino, Mavricijem in Urugvajem). Med državami članicami EU samo ena ( 206 ) še ni podpisala posodobljene Konvencije št. 108, osem držav članic ( 207 ), ki jo je podpisalo, pa je še ni ratificiralo. Komisija zadevno državo članico poziva, naj podpiše posodobljeno konvencijo, ostale pa, naj jo hitro ratificirajo, da bo lahko v bližnji prihodnosti začela veljati. Poleg tega tretje države še naprej dejavno spodbuja, naj pristopijo h konvenciji.

Na ravni skupin G20 in G7 so bile razprave o zasebnosti in tokovih podatkov osredotočene na operacionalizacijo koncepta „prostega pretoka podatkov na podlagi zaupanja“, ki ga je prvotno predlagala Japonska in s katerim se priznava, da lahko varstvo in varnost podatkov prispevata k zaupanju v digitalno gospodarstvo in olajšata tokove podatkov ( 208 ). V okviru tega ima posebej pomembno vlogo OECD, saj zagotavlja forum za strokovno skupnost za prosti pretok podatkov na podlagi zaupanja, ki združuje najrazličnejše deležnike (vlade, regulatorje, industrijo, civilno družbo, akademske kroge), ki prispevajo k specifičnim projektom in vprašanjem, povezanim z navedenim konceptom. Poleg tega je pomemben rezultat pobude za prosti pretok podatkov na podlagi zaupanja, h kateri je Komisija znatno prispevala, sprejetje prvega mednarodnega instrumenta na tem področju, tj. deklaracije OECD o vladnem dostopu do podatkov, ki jih hranijo subjekti zasebnega sektorja. Deklaracija vsebuje vrsto skupnih zahtev za zaščito zasebnosti pri dostopu do osebnih podatkov za namene nacionalne varnosti in kazenskega pregona. Ob vse večjem priznavanju po vsem svetu, da nesorazmeren vladni dostop negativno vpliva na zaupanje v prenose podatkov, je deklaracija pomemben prispevek k olajševanju zanesljivih tokov podatkov. Komisija bo še naprej spodbujala države, naj se pridružijo deklaraciji, ki je odprta tudi za države nečlanice OECD.

Komisija sodeluje tudi z različnimi regionalnimi organizacijami in mrežami, ki oblikujejo skupne zaščitne ukrepe za varstvo podatkov. Med njimi so ASEAN, Afriška unija, forum organov Azijsko-pacifiške skupine za varstvo zasebnosti (APPA), Ibero-ameriška mreža za varstvo podatkov in mreža afriških organov za varstvo podatkov (NADPA – RADPD). Konkreten primer takšnega plodnega sodelovanja je priprava zgoraj navedenega vodnika EU in ASEAN o vzorčnih določilih.

Nazadnje, Komisija ohranja dialog z različnimi mednarodnimi organizacijami, med drugim za proučevanje načinov za nadaljnje olajšanje tokov podatkov med EU in takimi organizacijami. Ker so številne organizacije v zadnjih letih posodobile svoje okvire za varstvo podatkov ali izvajajo postopek posodobitve, se pojavljajo tudi nove priložnosti za izmenjavo izkušenj in dobrih praks. V zvezi s tem so se letne delavnice z mednarodnimi organizacijami in posebno projektno skupino za mednarodne prenose podatkov, ki jih organizira Evropski nadzornik za varstvo podatkov, izkazale za posebej koristne forume za izmenjavo in proučitev konkretnih instrumentov za sodelovanje, vključno z izmenjavo osebnih podatkov ( 209 ).

8Zaključek

S splošno uredbo o varstvu podatkov se je v šestih letih od začetka njene uporabe izboljšala opolnomočenost ljudi, saj se jim je omogočil nadzor nad njihovimi podatki. Uredba je prispevala tudi k vzpostavitvi enakih konkurenčnih pogojev za podjetja in zagotovila podlago za številne pobude, ki spodbujajo digitalni prehod v EU.

Da bi v celoti uresničili dvojni cilj splošne uredbe o varstvu podatkov, tj. močno varstvo posameznikov ob sočasnem zagotavljanju prostega pretoka osebnih podatkov v EU in varnih tokov podatkov zunaj EU, pa so potrebni dodatni ukrepi, in sicer:

·dosledno izvrševanje splošne uredbe o varstvu podatkov, pri čemer bi bilo treba najprej hitro sprejeti predlog Komisije o postopkovnih pravilih, da se zagotovijo hitra pravna sredstva in pravna varnost v primerih, ki vplivajo na posameznike po vsej EU,

·proaktivno podporo organov za varstvo podatkov deležnikom, zlasti malim in srednjim podjetjem ter malim gospodarskim subjektom, pri njihovih prizadevanjih za skladnost,

·dosledno razlago in uporabo splošne uredbe o varstvu podatkov po vsej EU,

·učinkovito sodelovanje med regulatorji na nacionalni ravni in ravni EU, da se zagotovi dosledna in skladna uporaba vse večjega števila digitalnih pravil EU,

·nadaljnji napredek v zvezi z mednarodno strategijo Komisije o varstvu podatkov.

Da bi podprli učinkovito uporabo splošne uredbe o varstvu podatkov in prispevali k nadaljnjim razmislekom o varstvu podatkov, je potrebnih več tukaj opredeljenih ukrepov. Komisija bo podpirala in spremljala njihovo izvajanje tudi za namene naslednjega poročila leta 2028. 

Razvoj učinkovitih struktur sodelovanja

Evropski parlament in Svet sta pozvana, naj hitro sprejmeta predlog o postopkovnih pravilih za splošno uredbo o varstvu podatkov.

Odbor in organi za varstvo podatkov so pozvani, naj:

—vzpostavijo redno sodelovanje z drugimi sektorskimi regulatorji, zlasti tistimi, ki so bili vzpostavljeni v skladu z novo digitalno zakonodajo EU, pri vprašanjih, ki vplivajo na varstvo podatkov, in dejavno sodelujejo v strukturah na ravni EU, namenjenih olajševanju regulativnega sodelovanja,

—v celoti izkoristijo orodja za sodelovanje, ki jih zagotavlja splošna uredba o varstvu podatkov, tako da se reševanje sporov uporablja le v skrajnem primeru;

—izvajajo učinkovitejše in bolj ciljno usmerjene delovne dogovore za smernice, mnenja in odločitve ter prednostno obravnavajo ključna vprašanja, da bi zmanjšali breme za organe za varstvo podatkov in se hitreje odzvali na razvoj trga.

Države članice morajo:

—zagotoviti učinkovito in popolno neodvisnost nacionalnih organov za varstvo podatkov,

—organom za varstvo podatkov dodeliti zadostne vire, da bodo lahko izpolnjevali svoje naloge, pri čemer bi jim morale zagotoviti zlasti tehnične vire in strokovno znanje, ki so potrebni za obravnavanje nastajajočih tehnologij in izpolnjevanje novih odgovornosti v skladu z digitalno zakonodajo,

—organom za varstvo podatkov zagotoviti preiskovalna orodja, ki jih potrebujejo za učinkovito uporabo izvršilnih pooblastil na podlagi splošne uredbe o varstvu podatkov,

—podpirati dialog med organi za varstvo podatkov in drugimi nacionalnimi regulatorji, zlasti tistimi, ki so bili vzpostavljeni v skladu z novo digitalno zakonodajo.

Komisija bo:

—dejavno podpirala sozakonodajalca pri hitrem sprejetju predloga o postopkovnih pravilih za splošno uredbo o varstvu podatkov,

—še naprej pozorno spremljala učinkovito in popolno neodvisnost nacionalnih organov za varstvo podatkov,

—na podlagi izkušenj vzpostavila sinergije in zagotovila skladnost med splošno uredbo o varstvu podatkov in vso zakonodajo, ki se nanaša na obdelavo osebnih podatkov, ter po potrebi sprejela ustrezne ukrepe za zagotovitev pravne varnosti,

—proučila, kako bi se bolje obravnavala potreba po strukturiranem in učinkovitem regulativnem sodelovanju, da bi zagotovila učinkovito, dosledno in skladno uporabo digitalnih pravil EU ob spoštovanju pristojnosti organov za varstvo podatkov za vsa vprašanja v zvezi z obdelavo osebnih podatkov.

Izvajanje in dopolnitev pravnega okvira

Države članice morajo:

—zagotoviti pravočasno posvetovanje z organi za varstvo podatkov pred sprejetjem zakonodaje o obdelavi osebnih podatkov.

Komisija bo:

—še naprej uporabljala vsa orodja, ki jih ima na voljo, vključno s postopki za ugotavljanje kršitev, da zagotovi skladnost držav članic s splošno uredbo o varstvu podatkov,

—še naprej podpirala izmenjavo mnenj in nacionalnih praks med državami članicami, tudi v okviru strokovne skupine držav članic za splošno uredbo o varstvu podatkov,

—izvajala ukrepe za zagotovitev, da so otroci na spletu zaščiteni, opolnomočeni in spoštovani,

—proučila možne naslednje korake v zvezi s predlogom uredbe o zasebnosti in elektronskih komunikacijah, vključno z njeno povezavo s splošno uredbo o varstvu podatkov.

Podpora deležnikom

Odbor in organi za varstvo podatkov so pozvani, naj:

—vzpostavijo konstruktiven dialog z upravljavci in obdelovalci o skladnosti s splošno uredbo o varstvu podatkov,

—dodatno okrepijo prizadevanja za podporo skladnosti MSP, in sicer z zagotavljanjem prilagojenih smernic in orodij, z odpravo vseh neutemeljenih pomislekov MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, glede skladnosti ter s pomočjo MSP pri njihovih prizadevanjih za skladnost,

—podprejo podjetja pri izvajanju učinkovitih ukrepov za skladnost, kot so certificiranje in kodeksi ravnanja (tudi kot orodja za prenose), s sodelovanjem z deležniki med postopkom odobritve, zagotovitvijo jasnih rokov za odobritve in pojasnitvijo ključnim skupinam deležnikov, kako se lahko ta orodja uporabljajo, v skladu z zavezo iz strategije odbora za obdobje 2024–2027,

—zagotovijo, da so nacionalne smernice in uporaba splošne uredbe o varstvu podatkov na nacionalni ravni skladne s smernicami odbora in sodno prakso Sodišča,

—odpravijo različne razlage splošne uredbe o varstvu podatkov, ki jih sprejemajo organi za varstvo podatkov, tudi organi v isti državi članici,

—v skladu z zavezo iz strategije odbora za obdobje 2024–2027 zagotovijo smernice, ki so jedrnate, praktične in dostopne ustrezni ciljni skupini,

—zagotovijo učinkovitejše posvetovanje o smernicah in mnenjih v zgodnejši fazi, da se bodo bolje razumele tržna dinamika in poslovne prakse, ustrezno preudarijo prejete povratne informacije in upoštevajo konkretno uporabo sprejetih razlag,

—prednostno dokončajo delo, ki poteka v zvezi s smernicami o podatkih otrok, znanstvenih raziskavah, anonimizaciji, psevdonimizaciji in zakonitem interesu,

—okrepijo dejavnosti ozaveščanja ter ukrepe za obveščanje in izvrševanje, da zagotovijo, da lahko pooblaščene osebe za varstvo podatkov izpolnjujejo svojo vlogo v skladu s splošno uredbo o varstvu podatkov.

Komisija bo:

—še naprej zagotavljala finančno podporo za dejavnosti organov za varstvo podatkov, ki MSP olajšujejo izvajanje obveznosti iz splošne uredbe o varstvu podatkov,

—uporabljala vsa razpoložljiva sredstva, da bo zagotavljala hitra pojasnila o zadevah, ki so pomembne za deležnike, vključno z MSP, zlasti tako, da bo zaprosila odbor za mnenje.

Nadaljnji razvoj nabora orodij za prenose podatkov in mednarodnega sodelovanja

Odbor in organi za varstvo podatkov so pozvani, naj:

—dokončajo delo v zvezi z racionalizacijo in skrajšanjem postopka odobritve zavezujočih poslovnih pravil ter posodobitvijo smernic o elementih, ki jih morajo vsebovati zavezujoča poslovna pravila za obdelovalce,

—proučijo načine/orodja za dodatno pomoč izvoznikom podatkov pri njihovih prizadevanjih za skladnost z zahtevami iz sodbe v zadevi Schrems II,

—proučijo dodatne načine za zagotovitev učinkovitega izvrševanja glede gospodarskih subjektov s sedežem v tretjih državah, ki spadajo na ozemeljsko področje uporabe splošne uredbe o varstvu podatkov.

Države članice morajo:

—čim prej podpisati in ratificirati posodobljeno Konvencijo št. 108+ Sveta Evrope, da bo lahko začela veljati.

Komisija bo:

—dosegla nadaljnji napredek v tekočih pogovorih o ustreznosti, proučila nadaljnji razvoj obstoječih ugotovitev o ustreznosti in si prizadevala za nove dialoge z zainteresiranimi partnerji o ustreznosti,

—podpirala okrepljeno sodelovanje v okviru mreže držav, za katere so bili sprejeti sklepi o ustreznosti,

—dokončala delo v zvezi z dodatnimi standardnimi pogodbenimi določili, zlasti za prenose podatkov uvoznikom podatkov, ki opravljajo dejavnosti obdelave, za katere se neposredno uporablja splošna uredba o varstvu podatkov, in za prenose podatkov, ki jih izvedejo institucije in organi EU na podlagi Uredbe (EU) 2018/1725,

—sodelovala z mednarodnimi partnerji pri olajševanju tokov podatkov na podlagi vzorčnih pogodbenih določil,

—z izmenjavo izkušenj in dobrih praks podpirala tekoče procese reform v tretjih državah glede novih ali posodobljenih pravil o varstvu podatkov,

—sodelovala z mednarodnimi in regionalnimi organizacijami, kot sta OECD in skupina G7, pri spodbujanju zanesljivih tokov podatkov, ki temeljijo na visokih standardih varstva podatkov, tudi v okviru pobude za prosti pretok podatkov na podlagi zaupanja,

—olajševala in podpirala izmenjave med evropskimi in mednarodnimi regulatorji, tudi v okviru Akademije za varstvo podatkov,

—prispevala k olajševanju mednarodnega sodelovanja na področju izvrševanja med nadzornimi organi, tudi s pogajanji o sporazumih o sodelovanju in medsebojni pomoči.

(1) ()    Varstvo podatkov kot steber krepitve vloge državljanov in pristopa EU k digitalnemu prehodu – dve leti uporabe splošne uredbe o varstvu podatkov (COM(2020) 264 final z dne 24. junija 2020).

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/sl/pdf .

(3) ()    Povzetek prispevka večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov je na voljo v poročilu večdeležniške strokovne skupine za uporabo splošne uredbe o varstvu podatkov iz junija 2024 . Prispevki, prejeti v okviru javnega poziva k predložitvi dokazov in dvostranskih srečanj z deležniki, večinoma ustrezajo stališčem članov večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(4) ()     https://ec.europa.eu/info/law/better-regulation/  

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 (Prispevek EOVP k vrednotenju splošne uredbe o varstvu podatkov na podlagi člena 97) | Evropski odbor za varstvo podatkov (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities (Splošna uredba o varstvu podatkov v praksi – izkušnje organov za varstvo podatkov) Agencija Evropske unije za temeljne pravice (europa.eu) .

(7) ()    Predlog uredbe Evropskega parlamenta in Sveta o določitvi dodatnih postopkovnih pravil v zvezi z izvrševanjem Uredbe (EU) 2016/679 (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_sl  

(9) ()    V okviru večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov in poziva k predložitvi dokazov, objavljenega februarja 2023.

(10) ()    Zlasti v okviru strokovne skupine držav članic za splošno uredbo o varstvu podatkov: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sl&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Člen 61 splošne uredbe o varstvu podatkov.

(12) ()     Internal EDPB Document 1/2021 on the application of Art. 62 GDPR – Joint Operations (Notranji dokument EOVP št. 1/2021 o uporabi člena 62 splošne uredbe o varstvu podatkov – skupno ukrepanje) (europa.eu) .

(13) ()    Člen 62 splošne uredbe o varstvu podatkov.

(14) ()    Člen 65 splošne uredbe o varstvu podatkov.

(15) ()    Do 3. novembra 2023 (prispevek odbora).

(16) ()    V skladu s členom 60(3) splošne uredbe o varstvu podatkov.

(17) ()    Do 3. novembra 2023.

(18) ()    Irski organ je predložil največ uradnih zahtev (246), nemški organi pa so prejeli največ zahtev (516).

(19) ()    Največ neuradnih zahtev je predložil irski organ (4 245), sledili pa so mu nemški organi (2 036).

(20) ()    Od 289 ustreznih in utemeljenih ugovorov, ki so jih podali organi, so 101 ugovor (35 %) podali nemški organi. Stopnja uspešnosti pri doseganju soglasja o ustreznih in utemeljenih ugovorih se giblje med 15 % (ugovorov nemških organov) in 100 % (ugovorov poljskega organa).

(21)

()    Členi 64, 65 oziroma 66 splošne uredbe o varstvu podatkov.

(22) ()    Mnenja na podlagi člena 64(2) splošne uredbe o varstvu podatkov.

(23)

()    V skladu s členom 65(1), točka (a), splošne uredbe o varstvu podatkov.

(24) ()    V skladu s členom 66(2) splošne uredbe o varstvu podatkov.

(25) ()    Glej oddelek 5.3.4 prispevka odbora.

(26) ()    Poročilo FRA, stran 36.

(27) ()    Predlog postopkovnih pravil, člen 5.

(28) ()    V Romuniji je bilo vseh 26 odločitev o ugotovitvi kršitve izpodbijanih pred sodiščem, na Nizozemskem pa je bilo izpodbijanih 23 % odločitev. Stopnja uspešnosti izpodbijanj je bila najvišja v Belgiji (39 %).

(29) ()    Največ preiskav na lastno pobudo so začeli organi za varstvo podatkov v Nemčiji (7 647), sledili pa so jim organi na Madžarskem (3 332), v Avstriji (1 681) in Franciji (1 571).

(30) ()     Leta 2022 je devet organov za varstvo podatkov prejelo več kot 2 000 pritožb. Največ pritožb so evidentirale Nemčija (32 300), Italija (30 880), Španija (15 128), Nizozemska (13 133) in Francija (12 193), najmanj pa Lihtenštajn (40), Islandija (140) in Hrvaška (271).

(31) ()    Upravne globe so naložili vsi organi, razen organi Danske, ki upravnih glob ne uporabljajo. Največ glob je bilo naloženih v Nemčiji (2 106) in Španiji (1 596). Najmanj jih je bilo naloženih v Lihtenštajnu (3) ter na Islandiji (15) in Finskem (20).

(32) ()    Poročilo FRA, stran 38.

(33) ()    Poročilo FRA, strani 20 in 23. Glej tudi stališče in ugotovitve Sveta, odstavek 17.

(34) ()    Člen 70(1) splošne uredbe o varstvu podatkov.

(35) ()    Poročilo FRA, stran 64.

(36) ()    Poročilo FRA, stran 67. Leta 2023 so največ sredstev za dejavnosti odbora namenili nemški organi za varstvo podatkov (26 ekvivalentov polnega delovnega časa (EPDČ)), sledili so organi Irske (16) in Francije (12) (prispevek odbora).

(37) ()    Poročilo FRA, stran 67.

(38) ()    Poročilo FRA, stran 67, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(39) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(40) ()    Glej tudi stališče in ugotovitve Sveta, odstavek 45.

(41) ()    Glej tudi stališče in ugotovitve Sveta, odstavek 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Glej tudi stališče in ugotovitve Sveta, odstavek 31, točka (d).

(44) ()    Zlasti je treba pojasniti pomen pojma „znanstvene raziskave“, vlogo privolitve v obdelavo osebnih podatkov za raziskave, ustrezno pravno podlago ter vloge in odgovornost vključenih akterjev.

(45) ()    Glej tudi stališče in ugotovitve Sveta, odstavek 31, točka (b).

(46) ()    Stališče in ugotovitve Sveta, odstavka 27 in 28.

(47) ()    Člen 52 splošne uredbe o varstvu podatkov.

(48) ()    Poročilo FRA, stran 31.

(49) ()    Glej oddelek 4.4.1 prispevka odbora, tudi za absolutne številke.

(50) ()    Samo pet organov za varstvo podatkov meni, da imajo ustrezne človeške vire (prispevek odbora, stran 33).

(51) ()    Poročilo FRA, stran 20. Nekateri organi za varstvo podatkov nekatere naloge, kot so obravnavanje pritožb, pravna analiza in forenzična analiza, oddajo zunanjim izvajalcem.

(52) ()    Poročilo FRA, stran 24.

(53) ()    Poročilo FRA, stran 22.

(54) ()    Glej oddelek 4.4.5 prispevka odbora.

(55) ()    Prispevek odbora, str. 32.

(56) ()    Poročilo FRA, stran 48.

(57) ()    Poročilo FRA, stran 45. Organi za varstvo podatkov menijo, da so preiskave po uradni dolžnosti še posebej pomembne, saj se pritožniki številnih kršitev splošne uredbe o varstvu podatkov morda ne zavedajo.

(58) ()    Poročilo FRA, stran 8.

(59) ()    Poročilo FRA, stran 39.

(60) ()    Poročilo FRA, stran 41.

(61) ()    Uvodna izjava 9 splošne uredbe o varstvu podatkov.

(62) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(63) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(64) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(65) ()    Člen 6(1), točka (f) oziroma (a), splošne uredbe o varstvu podatkov.

(66) ()    Člen 22(2) splošne uredbe o varstvu podatkov.

(67) ()    Uvodna izjava 4.

(68) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov. 

(69) ()    Npr. najnižja starost za privolitev otroka v zvezi s storitvami informacijske družbe (člen 8(1) splošne uredbe o varstvu podatkov).

(70) ()    Člen 8(1) splošne uredbe o varstvu podatkov.

(71) ()    Možnost, določena v členu 9(4) splošne uredbe o varstvu podatkov.

(72) ()    Člen 10 splošne uredbe o varstvu podatkov.

(73) ()    Stališče in ugotovitve Sveta, odstavek 30.

(74) ()    Člen 36 splošne uredbe o varstvu podatkov.

(75) ()    Poročilo FRA, stran 11.

(76) ()    Belgija (2021/4045) in Belgija (2022/2160).

(77) ()    Finska (2022/4010) in Švedska (2022/2022).

(78) ()    Informacije o referenčni številki primera in vrsti preiskave (na lastno pobudo ali na podlagi pritožbe), povzetek obsega preiskave, informacije o zadevnih organih za varstvo podatkov, ključnih sprejetih postopkovnih korakih in datumih, sprejetih preiskovalnih ali drugih ukrepih ter datumih.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sl&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=sl&meetingId=31754&fromExpertGroups=3461 .

(81) ()    in C-319/22, ECLI:EU:C:2023:837.

(82) ()    Zadevi C-184/20, ECLI:EU:C:2022:601, in C-252/21, ECLI:EU:C:2023:537.

(83) ()    Zadeve C-683/21, ECLI:EU:C:2023:949, C-604/22, ECLI:EU:C:2024:214, in C-231/22, ECLI:EU:C:2024:7.

(84) ()    Zadeva C-61/19, ECLI:EU:C:2020:901.

(85) ()    Zadevi C-597/19, ECLI:EU:C:2021:492, in C-252/21, ECLI:EU:C:2023:537.

(86) ()    Zadevi C-307/22, ECLI:EU:C:2023:811, in C-154/21, ECLI:EU:C:2023:3.

(87) ()    Zadeva C-460/20, ECLI:EU:C:2022:962.

(88) ()    Zadeve C-300/21, ECLI:EU:C:2023:370, C-687/21, ECLI:EU:C:2024:72, in C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Združeni zadevi C‑26/22 in C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Zadevi C-807/21, ECLI:EU:C:2023:950, in C-683/21, ECLI:EU:C:2023:949.

(91) ()    in C-453/21, ECLI:EU:C:2023:79.

(92) ()    Zadevi C-439/19, ECLI:EU:C:2021:504, in C-184/20, ECLI:EU:C:2022:601.

(93) ()    Zadevi C-33/22, ECLI:EU:C:2024:46, in C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Stališče in ugotovitve Sveta, odstavek 13.

(95) ()    Prispevek odbora, oddelek 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_sl .

(97) ()    Poročilo FRA, strani 9 in 48.

(98) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(99) ()    Člen 10 Uredbe (EU) 2022/868 (akt o upravljanju podatkov) (UL L 152, 3.6.2022, str. 1).

(100) ()    Člen 12(5) splošne uredbe o varstvu podatkov.

(101) ()    Vendar je Sodišče pojasnilo, da posamezniku, na katerega se nanašajo osebni podatki, ni treba navesti razlogov za zahtevo za dostop do osebnih podatkov: Zadeva C-307/22, ECLI:EU:C:2023:811, točka 38.

(102) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov. 

(103) ()    Stališče in ugotovitve Sveta, odstavka 27 in 28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_sl .

(105) ()     Platformni delavci in delavke: Svet potrdil dogovor o novih pravilih za izboljšanje njihovih delovnih pogojev – Svet (europa.eu) .

(106) ()    Predlog uredbe o evropskem zdravstvenem podatkovnem prostoru (COM(2022) 197 final).

(107) ()    Predlog uredbe o okviru za dostop do finančnih podatkov in spremembi uredb (EU) št. 1093/2010, (EU) št. 1094/2010, (EU) št. 1095/2010 in (EU) 2022/2554 (COM(2023) 360 final).

(108) ()    Direktiva (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1).

(109) ()    Uvodna izjava 38 splošne uredbe o varstvu podatkov.

(110) ()    Priporočilo o razvoju in krepitvi integriranih sistemov za zaščito otrok v njihovo korist: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_sl .

(111) ()    Glej tudi stališče in ugotovitve Sveta, odstavek 31, točka (a).

(112) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_sl .

(114) ()     https://digital-strategy.ec.europa.eu/sl/policies/strategy-better-internet-kids .

(115) ()    Uredba (EU) 2024/1183 o spremembi Uredbe (EU) št. 910/2014 v zvezi z vzpostavitvijo evropskega okvira za digitalno identiteto (UL L, 2024/1183, 30.4.2024).

(116) ()    Kot je priznano v poročilu platforme Pripravljeni na prihodnost, tj. strokovne skupine na visoki ravni, ki je bila ustanovljena, da bi Komisiji pomagala pri prizadevanjih za poenostavitev zakonodaje EU in zmanjšanje s tem povezanih nepotrebnih stroškov: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_sl . Glej tudi povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov ter stališče in ugotovitve Sveta, odstavek 12.

(117) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(118) ()    Izvedbeni sklep Komisije (EU) 2021/915 z dne 4. junija 2021 o standardnih pogodbenih določilih med upravljavci in obdelovalci v skladu s členom 28(7) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta ter členom 29(7) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (C/2021/3701) (UL L 199, 7.6.2021, str. 18).

(119) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(120) ()    Stališče in ugotovitve Sveta, odstavek 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_sl?f%5B0%5D=coc_scope%3Anational .

(122) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(127) ()    Glej stališče in ugotovitve Sveta, odstavek 24, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(128) ()    Člen 30(5) splošne uredbe o varstvu podatkov.

(129) ()    Za organizacije, ki zaposlujejo manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvajajo, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali če obdelava vključuje posebne vrste podatkov iz člena 9(1) splošne uredbe o varstvu podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10 navedene uredbe.

(130) ()    Stališče in ugotovitve Sveta, odstavek 26, ter poročilo EOVP 2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers (Usklajeni izvršilni ukrep 2023: določitev in položaj pooblaščenih oseb za varstvo podatkov): https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov. 

(132) ()    Glej priporočila iz usklajenega izvršilnega ukrepa EOVP.

(133) ()    Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (UL L 277, 27.10.2022, str. 1).

(134) ()    Uredba (EU) 2022/1925 (akt o digitalnih trgih) (UL L 265, 12.10.2022, str. 1).

(135) ()    Uredba (EU) 2024/1689 (akt o umetni inteligenci) (UL L, 2024/1689, 12.7.2024).

(136) ()     Platformni delavci in delavke: Svet potrdil dogovor o novih pravilih za izboljšanje njihovih delovnih pogojev – Svet (europa.eu) .

(137) ()    Uredba (EU) 2024/900 o preglednosti in ciljanju v političnem oglaševanju (UL L, 2024/900, 20.3.2024).

(138) ()    Predlog uredbe o zasebnosti in elektronskih komunikacijah (COM(2017) 10 final).

(139) ()    Direktiva 2002/58/ES (direktiva o e-zasebnosti) (UL L 201, 31.7.2002, str. 37).

(140)

()    Uredba (EU) 2024/903 (akt o interoperabilni Evropi) (UL L, 2024/903, 22.3.2024).

(141) ()    Glej stališče in ugotovitve Sveta, odstavek 31, točka (f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_sl .

(143) ()    Uredba (EU) 2022/868 (akt o upravljanju podatkov) (UL L 152, 3.6.2022, str. 1).

(144) ()    Uredba (EU) 2023/2854 (akt o podatkih) (UL L, 2023/2854, 22.12.2023).

(145)

()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_SL.html .

(146) ()    Glej stališče in ugotovitve Sveta, odstavka 40 in 41, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(147) ()    Glej na primer člen 37(3) akta o podatkih.

(148) ()    Direktiva (EU) 2022/2555 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).

(149) ()    Glej stališče in ugotovitve Sveta, odstavki 18, 40 in 41, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(150) ()     Nemčija je vzpostavila „digitalni grozd“, ki vključuje regulatorje z različnih področij, da bi razširila njihovo sodelovanje pri vseh vidikih digitalizacije ter zagotovila izmenjavo znanja in dobrih praks: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Smernice EOVP št. 05/2021.

(152) ()     Oddelek 2 Smernic EOVP št. 05/2021.

(153) ()     Zadeva C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Schrems II, točka 93.

(155) ()     Schrems II, točki 96 in 105.

(156) ()     Schrems II, točka 131.

(157) ()     Schrems II, točka 105.

(158) ()     Priporočila EOVP št. 02/2020 in referenčni dokument o ustreznosti, WP 254 rev. 01.

(159) ()     Priporočila EOVP št. 01/2020, ki jih dopolnjujejo priporočila št. 02/2020.

(160) ()     Glej npr. točke 8 do 13, 32 in 33 priporočil EOVP št. 01/2020.

(161) ()     Glej npr. prispevek odbora, strani 7 in 8, stališče in ugotovitve Sveta, odstavek 36, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(162) ()     Sporočilo Komisije Izmenjava in varstvo osebnih podatkov v globaliziranem svetu z dne 10. januarja 2017 (COM(2017) 7 final).

(163) ()     Izvedbeni sklep Komisije (EU) 2021/1772 (UL L 360, 11.10.2021, str. 1).

(164) ()     Izvedbeni sklep Komisije (EU) 2022/254 (UL L 44, 24.2.2022, str. 1).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_sl .

(166) ()     Izvedbeni sklep Komisije (EU) 2023/1795 (UL L 231, 20.9.2023, str. 118).

(167) ()     Evropska patentna organizacija je medvladna organizacija, ustanovljena na podlagi Evropske patentne konvencije. Njena glavna naloga je podeljevanje evropskih patentov. V okviru tega tesno sodeluje s podjetji in javnimi organi v državah članicah EU ter z različnimi institucijami in organi EU.

(168) ()     Prispevek odbora, strani 7 in 8.

(169) ()     Člen 45(4) in (5) splošne uredbe o varstvu podatkov. Glej tudi Schrems I, točka 76.

(170) ()     Izvedbeni sklep Komisije (EU) 2019/419 (UL L 76, 19.3.2019, str. 1). Glej tudi https://ec.europa.eu/commission/presscorner/detail/sl/IP_19_421 . Ta sklep je bil prvi sklep o ustreznosti, sprejet na podlagi splošne uredbe o varstvu podatkov, in prvi vzajemni dogovor o ustreznosti.

(171) ()     Poročilo Komisije z dne 3. aprila 2023 o prvem pregledu izvajanja sklepa o ustreznosti za Japonsko (COM(2023) 275 final in SWD(2023) 75 final).

(172) ()     Za Andoro, Argentino, Kanado (za gospodarske subjekte), Ferske otoke, Guernsey, Otok Man, Izrael, Jersey, Novo Zelandijo, Švico in Urugvaj.

(173) ()     Poročilo Komisije z dne 15. januarja 2024 o prvem pregledu izvajanja sklepov o ustreznosti, sprejetih na podlagi člena 25(6) Direktive 95/46/ES (COM(2024) 7 final in SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/sl/mex_24_1307#11 .

(175) ()     Na primer Argentina, Kolumbija, Izrael, Maroko, Švica in Urugvaj.

(176) ()     Izvedbeni sklep Komisije (EU) 2021/914 (UL L 199, 7.6.2021, str. 31).

(177) ()     Na primer skupno mnenje EOVP in ENVP št. 2/2021 v okviru postopka za sprejetje standardnih pogodbenih določil.

(178) ()     Stališče in ugotovitve Sveta, odstavek 37, prispevek odbora, stran 9, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_sl .

(180) ()     Glej npr. povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(181) ()     V skladu s členom 48(2), točka (b), Uredbe (EU) 2018/1725.

(182) ()     Stališče in ugotovitve Sveta, odstavek 37, prispevek odbora, stran 9, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(183) () Smernice EOVP št. 05/2021, str. 3.

(184) ()     Kot je določeno tudi v Smernicah EOVP št. 05/2021, oddelek 4.

(185) ()     Prispevek odbora, stran 9, ter povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(186) ()     Npr. Združeno kraljestvo ( https://ico.org.uk/media/for-organizacije/documents/4019539/international-data-transfer-addendum.pdf ) in Švica ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Npr. Nova Zelandija ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) in Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Glej https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 , https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf in https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()      https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Prispevek odbora, str. 9.

(191) ()     Priporočila EOVB št. 1/2022.

(192) ()     Prispevek odbora, str. 9.

(193) ()     Povzetek povratnih informacij večdeležniške strokovne skupine za splošno uredbo o varstvu podatkov.

(194) ()    Smernice EOVP št. 07/2022 in Smernice št. 04/2021.

(195) ()     Smernice EOVP št. 2/2020.

(196) ()     Drugi dodatni protokol h Konvenciji o kibernetski kriminaliteti o okrepljenem sodelovanju in razkritju elektronskih dokazov (CETS št. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_sl .

(198) ()     Predlog Komisije za sklep Sveta o podpisu, v imenu Evropske unije, Sporazuma med Kanado in Evropsko unijo o prenosu in obdelavi podatkov iz evidence podatkov o potnikih (podatki iz PNR) (COM(2024) 94 final).

(199) ()     To se je nanašalo na posvetovanja, ki so jih organizirali na primer Avstralija, Kitajska, Ruanda, Argentina, Brazilija, Etiopija, Indonezija, Peru, Malezija in Tajska.

(200) ()     Na primer pred parlamentarnimi organi Čila, Ekvadorja in Paragvaja.

(201) ()  To je vključevalo tudi organizacijo seminarjev in študijskih obiskov, na primer s Kenijo, Indonezijo in Singapurjem.

(202) ()     Prispevek odbora, stran 8, ter stališče in ugotovitve Sveta, odstavek 38.

(203) ()     Prispevek odbora, str. 8.

(204) ()     Stališče in ugotovitve Sveta, odstavek 39.

(205) ()     Protokol o spremembi Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (CETS št. 223).

(206) ()     Danska.

(207) ()     Belgija, Češka, Grčija, Irska, Latvija, Luksemburg, Nizozemska in Švedska.

(208) ()     Glej npr.  https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()      https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .