31.7.2012   

SL

Uradni list Evropske unije

C 229/90

Mnenje Evropskega ekonomsko-socialnega odbora o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)

(COM(2012) 11 final – 2012/011 (COD))

2012/C 229/17

Glavni poročevalec: Jorge PEGADO LIZ

Evropski parlament in Svet sta 16. februarja oziroma 1. marca 2012 sklenila, da v skladu s členom 304 Pogodbe o delovanju Evropske unije Evropski ekonomsko-socialni odbor zaprosita za mnenje o naslednjem dokumentu:

Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)

COM(2012) 11 final – 2012/011 (COD).

Predsedstvo Evropskega ekonomsko-socialnega odbora je 21. februarja 2012 za pripravo dela ne tem področju zadolžilo strokovno skupino za zaposlovanje, socialne zadeve in državljanstvo.

Zaradi nujnosti postopka je Evropski ekonomsko-socialni odbor na 481. plenarnem zasedanju 23. in 24. maja 2012 (seja z dne 23. maja) za glavnega poročevalca imenoval g. PEGADA LIZA ter mnenje sprejel s 165 glasovi za, 34 glasovi proti in 12 vzdržanimi glasovi.

1.   Sklepi in priporočila

1.1

EESO pozdravlja splošno usmeritev Komisije, se strinja z izbiro predlagane pooblastilne podlage in načeloma odobrava cilje predloga, ki v veliki meri upoštevajo mnenje Odbora. Glede pravnega statusa varstva podatkov EESO meni, da je treba obdelavo in prenos podatkov v okviru notranjega trga omejiti v skladu s pravico do varstva osebnih podatkov v smislu člena 8 Listine o temeljnih pravicah in člena 16(2) PDEU.

1.2

EESO ni popolnoma prepričan, da je uredba najustreznejši pravni instrument za predlagane cilje, zato poziva Komisijo, naj natančneje ponazori in utemelji razloge, zakaj je ta instrument boljši kot direktiva ali celo nujno potreben.

1.3

Vseeno izraža obžalovanje zaradi preštevilnih izjem in omejitev, ki vplivajo na potrjena načela pravice do varstva osebnih podatkov.

1.4

Odbor se v novih razmerah digitalnega gospodarstva strinja z mnenjem Komisije, da „imajo posamezniki pravico do učinkovitega nadzora nad svojimi osebnimi podatki“, in želi tudi, da se ta pravica razširi na različne namene uporabe, za katere se individualni profili oblikujejo na podlagi podatkov, ki se zbirajo na številne (zakonite in včasih nezakonite) načine, in na obdelavo tako pridobljenih podatkov.

1.5

Ker gre za temeljne pravice, bi morala uskladitev s pomočjo uredbe na posebnih področjih državam članicam vseeno omogočiti, da v nacionalnem pravu sprejmejo določbe, ki jih v tej uredbi ni ali ki so ugodnejše od tistih v uredbi.

1.6

Poleg tega Odbor ne more sprejeti vseh skoraj sistematičnih sklicevanj na delegirane akte, ki ne spadajo izrecno v okvir člena 290 PDEU.

1.7

Odbor kljub temu pozdravlja osredotočenje na oblikovanje učinkovitega institucionalnega okvira za zagotovitev učinkovitosti zakonskih določb tako na ravni podjetij (uradne osebe za varstvo podatkov) kot na ravni javnih organov držav članic (neodvisni nadzorni organi). Vendar bi želel, da bi se Komisija odločila za pristop, ki bi bil bliže resničnim potrebam in željam državljanov ter bolj sistematičen glede na naravo nekaterih področij gospodarske in družbene dejavnosti.

1.8

EESO meni, da je v predlagano besedilo mogoče vnesti vrsto izboljšav in več natančnosti, ter navaja natančne primere za več členov v smislu boljše opredelitve pravic, krepitve varstva državljanov na splošno in posebej delavcev, narave privolitve, zakonitosti obdelave ter zlasti funkcij uradnih oseb za varstvo podatkov in obdelave podatkov na področju zaposlovanja.

1.9

EESO meni še, da bi bilo treba vključiti neupoštevane elemente, kot so razširitev področja uporabe, obdelava občutljivih podatkov ali skupinske tožbe.

1.10

EESO tako meni, da je treba v področje uporabe uredbe izrecno vključiti iskalnike, ki večino prihodka ustvarijo z usmerjenim oglaševanjem na podlagi zbiranja osebnih podatkov o njihovih uporabnikih, celo oblikovanja njihovih profilov. Enako bi moralo veljati tudi za spletne strežnike, ki ponujajo prostor za shranjevanje oziroma – nekateri – programsko opremo (računalništvo v oblaku ali cloud computing) ter v komercialne namene zbirajo podatke o svojih uporabnikih.

1.11

In enako bi moralo veljati tudi za osebne informacije, objavljene na socialnih omrežjih, ki bi morala – v skladu s pravico biti pozabljen – posamezniku, na katerega se nanašajo osebni podatki, omogočati spremembo ali izbris informacij ali na njegovo željo odstranitev njegove osebne strani in povezav na druge zelo obiskane spletne strani, kjer so te informacije reproducirane ali komentirane. V tem smislu bi bilo treba spremeniti člen 9.

1.12

EESO še poziva Komisijo, naj znova razmisli o nekaterih vidikih predloga, ki se mu zdijo nesprejemljivi za občutljiva področja, kot so zaščita otrok, pravica do ugovora, oblikovanje profilov, nekatere omejitve pravic, prag 250 delavcev za imenovanje uradne osebe za varstvo podatkov in način ureditve sistema „vse na enem mestu“.

2.   Uvod

2.1

EESO je bil zaprošen za mnenje o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)  (1).

2.2

Vendar je treba opozoriti, da je ta predlog del „svežnja“, ki obsega tudi uvodno sporočilo (2), predlog direktive (3) in Poročilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij na podlagi člena 29(2) Okvirnega sklepa Sveta z dne 27. novembra 2008  (4). EESO ni bil zaprošen za mnenje o vseh delih predlagane zakonodaje, ampak samo o predlogu uredbe, čeprav bi ga morali zaprositi tudi za mnenje o predlogu direktive.

2.3

Predlog, za katerega obravnavo je bil EESO zaprošen, se po mnenju Komisije nahaja na sečišču dveh izmed najpomembnejših pravno-političnih in politično-gospodarskih usmeritev EU.

2.3.1

Po eni strani člen 8 Listine Evropske unije o temeljnih pravicah in člen 16(1) Pogodbe o delovanju Evropske unije (PDEU) potrjujeta varstvo podatkov kot temeljno pravico, ki jo je kot tako treba zaščititi. Sporočili Evropske komisije o stockholmskem programu in akcijskem načrtu za izvajanje tega programa temeljita prav na teh členih (5).

2.3.2

Po drugi strani pa Evropska digitalna agenda in splošneje strategija Evropa 2020 priporočata utrditev razsežnosti „enotnega trga“ pri varstvu podatkov in zmanjšanje upravnih bremen za podjetja.

2.4

Namen Komisije je posodobiti načela iz konsolidirane Direktive 95/46/ES o varstvu podatkov, da bi tako v prihodnosti zagotovila pravice posameznika na področju spoštovanja zasebnosti v digitalni družbi in njenih omrežjih. Želeni cilji so okrepiti pravice državljanov, utrditi notranji trg EU, zagotoviti visoko raven varstva podatkov na vseh področjih (tudi na področju pravosodnega sodelovanja v kazenskih zadevah) in pravilno izvajanje za to sprejetih predpisov, olajšati čezmejno obdelavo podatkov in določiti univerzalne standarde na področju varstva podatkov.

3.   Splošne ugotovitve

3.1

Odbor se v novih razmerah digitalnega gospodarstva strinja z mnenjem Komisije, da „imajo posamezniki pravico do učinkovitega nadzora nad svojimi osebnimi podatki“, in želi tudi, da se ta pravica razširi na različne namene uporabe, za katere se individualni profili oblikujejo na podlagi podatkov, ki se zbirajo na številne (zakonite in včasih nezakonite) načine, in na obdelavo tako pridobljenih podatkov. Odbor tudi meni, da morata biti obdelava in prenos podatkov v okviru enotnega trga omejena s pravico do varstva, ki izhaja iz člena 8 Listine o temeljnih pravicah. Gre za temeljno pravico, vključeno v institucionalno pravo Unije in večino nacionalnih zakonodaj držav članic.

3.2

Vsak državljan ali rezident Unije ima s tem temeljne pravice, ki so vključene v Listino in Pogodbe; te pravice so priznane tudi v zakonodaji držav članic, včasih celo na ustavni ravni. Druge pravice, kot sta pravica do osebne podobe ali pravica do varstva zasebnosti, dopolnjujejo in krepijo pravico do varstva podatkov, ki se nanaša nanje. Zato mora biti mogoče, da se spoštovanje teh pravic zagotovi z zahtevo spletni strani, da spremeni ali odstrani osebni profil ali zbirko s strežnika; če tega ne izpolni, pa da se doseže ustrezno sodno odredbo.

3.3

Vodenje zbirk z osebnimi podatki je za javno upravo (6), upravljanje človeških virov podjetij, komercialne službe, združenja in sindikate, politične stranke ali socialna spletna mesta in spletne iskalnike nujno; vendar pa te zbirke, katerih cilji so različni, zaradi zaščite zasebnosti posameznikov, ki so zakonito vpisani vanje, ne smejo zbirati podatkov, ki niso bistveni za njihovo uporabo, in ne smejo biti medsebojno povezane z IKT, če to ni nujno in če ni pravnega varstva. Neomejen dostop določenega organa do vseh podatkov bi ogrožal državljanske svoboščine in zasebno življenje.

3.4

V zvezi z zbirkami, ki jih vodijo pravne osebe zasebnega prava, morajo imeti vpleteni posamezniki pravico do dostopa, popravka in celo odstranitve zbirke, in sicer tako glede zbirk, namenjenih za pospeševanje prodaje, kot glede zbirk socialnih spletnih strani.

3.5

Za zbirke, ki jih vodijo javne ali zasebne uprave in ki izpolnjujejo zakonske obveznosti, morajo posamezniki imeti pravico do dostopa, popravka v primeru napake, tudi odstranitve, če je vpis posameznika postal nepotreben, na primer v primeru amnestije v kazenski evidenci ali v primeru izteka pogodbe o zaposlitvi, po izteku zakonsko predpisanega roka za hrambo podatkov.

3.6

EESO pozdravlja splošno usmeritev Komisije in priznava, da cilji konsolidirane Direktive 95/46/ES ostajajo aktualni, čeprav je po 17 letih zaradi vseh tehnoloških in družbenih sprememb, ki so se zgodile v digitalnem okolju, temeljita revizija postala nujno potrebna. Na primer, v Direktivi 95/46/ES niso bili obravnavani nekateri vidiki čezmejne izmenjave informacij in podatkov med upravami, pristojnimi za pregon kaznivih dejanj in izvrševanje sodb v okviru policijskega in pravosodnega sodelovanja. To vprašanje je obravnavano v osnutku direktive, vključenem v sveženj o varstvu podatkov, o katerem Odbor ni bil zaprošen za mnenje.

3.7

EESO načeloma pozdravlja cilje predloga, ki sodijo v okvir varovanja temeljnih pravic in v veliki meri upoštevajo mnenje Odbora (7), zlasti kar zadeva:

oblikovanje enotnega sklopa pravil o varstvu podatkov, ki bo veljal v vsej Uniji in zagotavljal najvišjo možno raven varstva;

izrecno ponovno potrditev prostega pretoka osebnih podatkov v EU;

odpravo več nekoristnih upravnih obveznosti, ki bi po mnenju Komisije podjetjem omogočila prihranek približno 2,3 milijarde EUR na leto;

obveznost za podjetja in organizacije, da nacionalni nadzorni organ čim prej obvestijo o resnih kršitvah osebnih podatkov (če je mogoče v 24 urah);

možnost, da se državljani obrnejo na organ, pristojen za varstvo podatkov v njihovi državi, tudi ko njihove podatke obdeluje podjetje s sedežem zunaj ozemlja EU;

prizadevanja, da se olajša dostop posameznikov do njihovih osebnih podatkov ter tudi prenos osebnih podatkov od enega ponudnika storitev do drugega (pravica do prenosljivosti podatkov);

„pravico biti pozabljen“, da se državljanom zagotovi najboljše obvladovanje tveganj, povezanih z varstvom podatkov na spletu, in možnost, da dosežejo odstranitev svojih osebnih podatkov, če njihove ohranitve ne upravičuje noben zakonit razlog;

okrepitev – v primerjavi s sedanjem položajem – vloge neodvisnih nacionalnih organov, pristojnih za varstvo podatkov, da bi lahko bolje zagotavljali izvajanje in spoštovanje pravil EU na ozemlju svoje države, zlasti tako, da bodo imeli pristojnost za izrekanje denarnih kazni podjetjem, ki kršijo pravila, pri čemer bodo lahko te kazni znašale do 1 milijona EUR ali 2 % skupnega letnega prometa podjetja;

tehnološko nevtralnost in uporabo uredbe za vse obdelave podatkov ne glede na to, ali gre za samodejne ali ročne obdelave;

obveznost izvajanja ocen učinka glede varstva podatkov.

3.8

EESO pozdravlja poudarek, namenjen varstvu temeljnih pravic, in se v celoti strinja z izbiro predlagane pravne podlage, ki je prvič uporabljena v zakonodaji. Poudarja tudi velik pomen tega predloga za uresničevanje enotnega trga in njegove pozitivne učinke v okviru strategije Evropa 2020. Kar zadeva izbiro uredbe, se del članov EESO ne glede na skupine, ki jim pripadajo, strinja s Komisijo, saj meni, da je to najustreznejši pravni instrument za zagotovitev enotnega izvajanja in enako, visoko raven varstva v vseh državah članicah; nekateri drugi člani pa menijo, da bi bilo mogoče načelo subsidiarnosti in podatke bolje zavarovati z direktivo, zlasti v državah članicah, ki že zagotavljajo višjo raven varstva od tiste, ki je opredeljena v predlogu Komisije. EESO se zaveda, da so tudi države članice v zvezi s tem vprašanjem razdvojene. Zato poziva Komisijo, naj bolje utemelji svoj predlog ter pojasni njegovo skladnost z načelom subsidiarnosti in razloge, zakaj je izbira uredbe nepogrešljiva za predlagane cilje.

3.8.1

Ker gre za uredbo, ki se nemudoma in v celoti uporablja v vseh državah članicah, ne da bi jo bilo treba prenesti v njihovo zakonodajo, EESO opozarja Komisijo, da je treba poskrbeti za skladnost prevodov v vse jezike, kar ne velja pri prevodih tega predloga.

3.9

EESO meni, da bi lahko Komisija po eni strani v predlogu šla še dlje pri razsežnosti varstva nekaterih pravic, ki so zaradi neštetih izjem in omejitev skoraj brez vsebine, po drugi strani pa bi morala bolje uravnotežiti pravice različnih strani. Tako obstaja nevarnost neravnotežja med cilji temeljne pravice do varstva podatkov in cilji enotnega trga, in to v škodo temeljne pravice. EESO se v glavnem strinja z mnenjem Evropskega nadzornika za varstvo podatkov (8).

3.10

EESO bi želel, da Komisija sprejme pristop, ki bi bolj ustrezal resničnim potrebam in željam državljanov ter bil bolj sistematičen glede na naravo nekaterih področij gospodarske in družbene dejavnosti, kot so na primer spletno poslovanje, neposredno trženje, delovna razmerja, javni organi, nadzor in varnost, DNK itd., tako da bi razlikovala med pravnimi ureditvami glede na te zelo različne vidike obdelave podatkov.

3.11

Kar zadeva različne določbe v predlogu (vse so povzete v členu 86), so zelo pomembni vidiki pravnega instrumenta in delovanja sistema odvisni od prihodnjih delegiranih aktov (26 prenosov pooblastil za nedoločen čas). EESO meni, da to močno presega meje, določene v členu 290 Pogodbe in opredeljene v sporočilu Evropske komisije Izvajanje člena 290 Pogodbe o delovanju Evropske unije  (9), kar ima posledice za pravno varnost in gotovost instrumenta. EESO meni, da bi lahko določeno število prenosov pooblastil urejal neposredno evropski zakonodajalec, za druge pa bi bili lahko pristojni nacionalni nadzorni organi oz. njihova združenja na evropski ravni (10). To bi okrepilo izvajanje načel subsidiarnosti in povečalo pravno varnost.

3.12

EESO razume razloge, zakaj Komisija v tem predlogu zaradi njegove posebne pravne narave obravnava le pravice fizičnih oseb, vendar jo poziva, naj pozornost nameni tudi podatkom o pravnih osebah, zlasti tistih s pravno osebnostjo.

4.   Posebne ugotovitve

Pozitivne točke:

4.1   Predlog je še vedno v skladu z namenom in cilji Direktive 95/46/ES, zlasti glede nekaterih opredelitev pojmov, bistva načel o kakovosti podatkov in upravičenosti obdelave, obdelav posebnih vrst podatkov ter nekaterih pravic do obveščenosti in dostopa do podatkov.

4.2   Predlog uvaja pozitivne inovacije glede bistvenih vidikov, med katere sodijo nove opredelitve pojmov, boljša opredelitev pogojev privolitve, zlasti v zvezi z otroki, in kategorizacija novih pravic, kot sta pravici do popravka in izbrisa, zlasti pravica „biti pozabljen“, vsebina pravice do ugovora in oblikovanje profilov, zelo podrobne obveznosti upravljavcev in obdelovalcev, varstvo podatkov ter splošni okvir kazni, zlasti upravnih sankcij.

4.3   Odbor pozdravlja tudi osredotočenje predloga na oblikovanje učinkovitega institucionalnega okvira za zagotovitev učinkovitosti zakonskih določb na ravni podjetij (uradne osebe za varstvo podatkov) in na ravni javnih organov držav članic (neodvisni nadzorni organi) ter na okrepitev sodelovanja med temi organi in Komisijo (ustanovitev Evropskega odbora za varstvo podatkov). Vendar pa opozarja, da je treba ohraniti pristojnosti nacionalnih in deloma regionalnih uradnih oseb za varstvo podatkov v državah članicah.

4.4   Nazadnje meni, da sta pozitivni tudi spodbuda za pripravo pravil ravnanja ter vloga potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov.

Kaj bi lahko izboljšali:

4.5   Člen 3 – Ozemeljsko področje uporabe

4.5.1   Pogoji uporabe, določeni v odstavku 2, so preveč omejevalni: spomnimo se na farmacevtska podjetja s sedežem zunaj Evrope, ki želijo za klinične poskuse imeti dostop do kliničnih podatkov o vpletenih posameznikih, ki prebivajo v EU.

4.6   Člen 4 – Opredelitve pojmov

4.6.1   Pojem „privolitve“, ki je bistvena podlaga celotne strukture varstva podatkov, bi moral biti natančneje opredeljen, kar zadeva vse njegove elemente in zlasti opis „jasnega pritrdilnega dejanja“ (zlasti v francoski različici).

4.6.2   V členu 4 bi moral biti opredeljen tudi pojem „prenos podatkov“, ki ni opredeljen nikjer.

4.6.3   Opredeliti je treba pojem „poštenosti“ iz člena 5(a).

4.6.4   Natančno je treba opredeliti tudi pojem podatkov, „ki jih posameznik objavi“ (člen 9(2)(e)).

4.6.5   Opredeliti bi bilo treba tudi pojem „oblikovanja profilov“, ki se uporablja v vsem predlogu.

4.7   Člen 6 – Zakonitost obdelave

4.7.1   V točki (f) se zdi pojem „pravnih interesov, za katere si prizadeva upravljavec“ – ki niso že zajeti v vseh prejšnjih točkah – nejasen in subjektiven, zato bi ga bilo treba bolje opredeliti v samem besedilu, ne pa pustiti, da se opredeli v delegiranem aktu (odstavek 5), zlasti ker v odstavku 4 točka (f) ni omenjena (to je pomembno na primer za poštne storitve in neposredno trženje (11)).

4.8   Člen 7 – Pogoji za privolitev

4.8.1   V odstavku 3 bi bilo treba zapisati, da preklic privolitve preprečuje vsakršno prihodnjo obdelavo in da vpliva na zakonitost obdelave šele od trenutka, ko je privolitev preklicana.

4.9   Člen 14 – Informacije

4.9.1   V odstavku 4(b) bi bilo treba določiti najdaljši možni rok.

4.10   Člen 31 – Obveščanje nadzornega organa o kršitvi

4.10.1   Obveščanje o kršitvah ne glede na njihovo vrsto lahko ogrozi delovanje sistema in dejansko prepreči, da odgovorni za kršitev zares odgovarjajo.

4.11   Člen 35 – Imenovanje uradne osebe za varstvo podatkov

4.11.1   V zvezi z uradno osebo za varstvo podatkov bi bilo treba bolje določiti pogoje, povezane s to funkcijo, zlasti: zaščito pred odpovedjo delovnega razmerja, ki mora biti jasno opredeljena in veljati tudi po obdobju, v katerem bo zadevna oseba opravljala to funkcijo; osnovne pogoje z jasnimi zahtevami za opravljanje te dejavnosti; oprostitev uradne osebe za varstvo podatkov vsakršne odgovornosti, če je delodajalca ali nacionalne organe za varstvo podatkov opozorila na nepravilnosti; pravico do neposrednega sodelovanja predstavnikov zaposlenih pri imenovanju uradne osebe za varstvo podatkov ter pravico do rednega obveščanja teh predstavnikov (12) o nastalih težavah in njihovem reševanju. Natančno bi bilo treba določiti tudi vprašanje sredstev, namenjenih za opravljanje te funkcije.

4.12   Člen 39 – Potrjevanje

4.12.1   Nalogo potrjevanja bi morala prevzeti Komisija.

4.13   Člena 82 in 33 – Obdelava v okviru zaposlitve

4.13.1   V členu 82 manjka izrecno sklicevanje na ocenjevanje uspešnosti (ki ni omenjeno niti v členu 20, ki se nanaša na „oblikovanje profilov“). Poleg tega ni pojasnjeno, ali to pooblastilo velja tudi za besedilo določb o uradni osebi za varstvo podatkov. Prepoved „oblikovanja profilov“ na področju zaposlovanja bi prav tako morala biti izrecno določena v zvezi z oceno učinka o varstvu podatkov (člen 33).

4.14   Členi 81, 82, 83 in 84

4.14.1   Izraz „v mejah te uredbe“ bi bilo treba nadomestiti z izrazom „na podlagi te uredbe“.

Kaj manjka in bi moralo biti vključeno:

4.15   Področje uporabe

4.15.1   Ker gre za temeljne pravice, bi morala uskladitev na posebnih področjih državam članicam omogočiti, da v nacionalnem pravu sprejmejo določbe, ki jih v uredbi ni ali ki so ugodnejše od tistih v uredbi, kot že velja za področja iz členov od 80 do 85.

4.15.2   Naslovi internetnega protokola posameznikov bi morali biti izrecno vključeni v navedbe uredbe glede osebnih podatkov, ki jih je treba varovati, in ne zgolj v uvodne izjave.

4.15.3   Iskalniki, ki večino prihodka ustvarijo z oglaševanjem, zbirajo osebne podatke o svojih uporabnikih in jih uporabljajo za komercialne namene, morajo biti vključeni v področje uporabe uredbe in ne zgolj v uvodne izjave.

4.15.4   Natančno bi bilo treba določiti, da v področje uporabe sodijo tudi socialna omrežja, in to ne samo v primeru oblikovanja profilov v komercialne namene.

4.15.5   Če ne obstaja poimensko sodno dovoljenje, morajo na področje uporabe uredbe spadati tudi nekatere metode za nadzor in filtriranje interneta, s katerimi naj bi se borili proti ponarejanju, ker imajo za posledico oblikovanje profilov nekaterih uporabnikov interneta, zbiranje teh profilov in nadzor vseh njihovih premikov.

4.15.6   Zaželeno bi bilo tudi, da obveznosti uredbe veljajo tudi za institucije in organe Unije.

4.16   Člen 9 – Obdelava posebnih vrst osebnih podatkov

4.16.1   Najbolje bi bilo opredeliti posebne ureditve glede na okoliščine, položaj in cilje obdelave podatkov. Dodati je treba prepoved „oblikovanja profilov“ na teh področjih.

4.16.2   V obdelavo občutljivih podatkov za statistične namene je treba vnesti načelo nediskriminacije.

4.17   Na naslednjih področjih bi bilo treba vključiti nekatere (neizkoriščene) možnosti:

sodelovanje predstavnikov zaposlenih na vseh nacionalnih in evropskih ravneh pri pripravi „zavezujočih poslovnih pravil“, ki bi morala odslej veljati kot pogoj za mednarodni prenos podatkov (člen 43);

obveščanje in posvetovanje z evropskim svetom delavcev ob mednarodnih prenosih podatkov zaposlenih, zlasti v tretje države;

obveščanje in sodelovanje evropskih socialnih partnerjev in nevladnih organizacij za varstvo potrošnikov in človekovih pravic pri imenovanju članov Evropskega odbora za varstvo podatkov, ki bo nadomestil „delovno skupino iz člena 29“;

obveščanje in sodelovanje teh partnerjev in nevladnih organizacij na nacionalni ravni pri imenovanju članov nacionalnih organov za varstvo podatkov, kar zdaj prav tako ni predvideno.

4.18   Členi od 74 do 77 – Skupinske tožbe zaradi nezakonitosti zbirk in odškodninske skupinske tožbe

4.18.1   Večina kršitev pravic do varstva podatkov je kolektivnih; ko se zgodijo, ista kršitev ne zadeva le enega posameznika, temveč skupino posameznikov, katerih podatki so v zbirki. Tradicionalna individualna pravna sredstva niso ustrezen ukrep proti tej vrsti kršitev. Čeprav člen 76 vsakemu organu, organizaciji ali združenju, katerega cilj je zaščita pravic in interesov posameznikov, dovoljuje, da v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, začne postopke iz členov 74 in 75, pa to ne velja, ko se zahteva pridobitev odškodnine, saj v tem primeru člen 77 to možnost predvideva le za posameznike, ne dopušča pa postopka skupinskega zastopanja ali skupinske tožbe.

4.18.2   Odbor zato opozarja na to, da je v zadnjih letih v več mnenjih poudaril potrebo in nujnost, da EU dobi usklajen pravni instrument skupinske tožbe na evropski ravni, ki je potreben na številnih področjih prava EU in kot tak obstaja v več državah članicah.

Kaj je nesprejemljivo:

4.19   Člen 8 – Obdelava osebnih podatkov otroka

4.19.1   Po opredelitvi „otroka“ v skladu z Newyorško konvencijo kot osebe, mlajše od 18 let (člen 4(18)), ni sprejemljivo, da je v členu 8(1) otrokom, starim 13 let, dana možnost, da „privolijo“ v obdelavo svojih osebnih podatkov.

4.19.2   Čeprav Odbor razume potrebo po opredelitvi posebnih pravil za mala in srednje velika podjetja, ni sprejemljivo, da lahko Komisija z delegiranim aktom MSP preprosto oprosti obveznosti spoštovanja pravic otrok.

4.20   Člen 9 – Obdelava posebnih vrst osebnih podatkov

4.20.1   Glede določb člena 9(2)(a) prav tako ni nobenega razloga, da lahko otroci dajo svojo „privolitev“ k obdelavi podatkov, ki zadevajo njihovo nacionalno poreklo, politična prepričanja, vero, zdravje, spolno življenje ali kazenske obsodbe.

4.20.2   Podatki, ki jih posamezniki prostovoljno objavijo sami, na primer na Facebooku, ne bi smeli biti izključeni iz varstva, kar je mogoče sklepati iz člena 9(e), zanje bi morala veljati vsaj pravica biti pozabljen.

4.21   Člen 13 – Pravice v zvezi s prejemniki

4.21.1   Izjema iz zadnjega dela tega člena – „razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor“ – ni niti upravičena niti sprejemljiva.

4.22   Člen 14 – Informacije

4.22.1   Prav tako ni sprejemljiva enaka izjema v odstavku 5(b) tega člena.

4.23   Člen 19(1) – Pravica do ugovora

4.23.1   Nejasna opredelitev, uporabljena za izjemo – „zakoniti in nujni razlogi“ –, ni sprejemljiva, saj je zaradi nje pravica do ugovora brez vsebine.

4.24   Člen 20 – Ukrepi na podlagi oblikovanja profilov

4.24.1   Prepoved oblikovanja profilov ne bi smela biti omejena na „samodejne“ obdelave (13).

4.24.2   V odstavku 2(a) je treba izraz „kadar obstajajo ustrezni ukrepi“ nadomestiti s „kadar so bili sprejeti ustrezni ukrepi“.

4.25   Člen 21 – Omejitve

4.25.1   Besedilo člena 21(1)(c) je popolnoma nesprejemljivo, ker vsebuje nejasne in neopredeljene izraze, kot so: gospodarski in finančni interes, proračunske, denarne ali davčne zadeve ter celo stabilnost in celovitost trga, pri čemer je bilo slednje dodano besedilu Direktive 95/46/ES.

4.26   Členi 25, 28 in 35 – Prag 250 delavcev

4.26.1   Prag 250 delavcev, ki določa možnost uporabe nekaterih določb o varstvu, kot je na primer določba o uradni osebi za varstvo podatkov, bi povzročil, da bi bilo do uporabe take določbe upravičenih le malo manj kot 40 % zaposlenih. Ista omejitev bi v zvezi z obveznostjo hranjenja dokumentacije pomenila, da večina zaposlenih ne bi imela nobene možnosti nadzirati uporabo svojih osebnih podatkov, tako da ne bi bilo nobenega nadzora več. Odbor predlaga, da se razmisli o možnosti nižjega praga, na primer števila delavcev, ki se v državah članicah v glavnem uporablja za oblikovanje organa v podjetju, ki zastopa interese delavcev. Lahko bi predvideli še drugačen pristop, ki bi temeljil na objektivnih merilih in bi se na primer nanašal na število zbirk s področja varovanja podatkov, ki se obdelajo v nekem določenem časovnem obdobju, ne glede na velikost podjetja ali službe.

4.27   Člen 51 – „Vse na enem mestu“

4.27.1   Čeprav Odbor razume, da se za olajšanje delovanja podjetij in učinkovitejše mehanizme varstva podatkov želi uporabiti načelo „vse na enem mestu“, pa to načelo vseeno lahko povzroči občutno poslabšanje varstva podatkov o državljanih na splošno in posebej osebnih podatkov delavcev, zaradi česar bi postala nična sedanja obveznost zagotavljanja, da so prenosi osebnih podatkov predmet pogodbe na ravni podjetja in da jih odobri nacionalna komisija za varstvo podatkov (14).

4.27.2   Poleg tega se zdi, da je ta sistem v nasprotju s prizadevanji za upravljanje na lokalni ravni in predstavlja tveganje, da se državljanu odvzame možnost, da njegov zahtevek obravnava nadzorni organ, ki mu bo najbližji in najbolj dostopen.

4.27.3   Obstajajo torej razlogi za ohranitev pristojnosti organa države članice, v kateri prebiva pritožnik.

V Bruslju, 23. maja 2012

Predsednik Evropskega ekonomsko-socialnega odbora

Staffan NILSSON

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Komisija v teh sporočilih poudarja, da mora Unija „vzpostaviti celovit sistem varstva osebnih podatkov, v katerem bodo zajete vse pristojnosti Unije“, in „zagotoviti dosledno uporabo pravice do varstva podatkov“, tako da bodo fizične osebe imele pravico do učinkovitega nadzora nad svojimi osebnimi podatki.

(6)  Glej mnenje o ponovni uporabi informacij javnega sektorja, CESE UL C 191, 29.6.2012, str. 129.

(7)  Glej mnenje EESO, UL C 248, 25.8.2011, str. 123.

(8)  Mnenje Evropskega nadzornika za varstvo podatkov o svežnju za varstvu podatkov, 7.3.2012.

(9)  COM(2009) 673 final, 9.12.2009.

(10)  Glej ugovor glede subsidiarnosti, ki ga je izrekel francoski senat.

(11)  Morali bi imeti več pojasnil o vprašanju pospeševanja prodaje s poimensko naslovljenimi dopisi, saj bi nespremenjena uporaba uredbe vodila do njegove prepovedi, čeprav je to skoraj nevsiljiva in usmerjena metoda pridobivanja novih strank.

(12)  Na primer pošiljanje rednega poročila o dejavnosti uradne osebe za varstvo podatkov predstavnikom zaposlenih ali izvoljenim predstavnikom zaposlenih v upravnem odboru ali nacionalnem in/ali evropskem nadzornem svetu, kjer ti obstajajo.

(13)  Glej priporočilo CM/Rec(2010) 13 Odbora ministrov Sveta Evrope z dne 23. novembra 2010.

(14)  Zlasti neodvisni upravni organi, pristojni za odobritev in nadzor sestave poimenskih zbirk; nasprotno, njihove pristojnosti bi se morale razširiti na digitalno družbo in socialna omrežja, tudi zaradi vrednosti izmenjav individualnih profilov za pospeševanje prodaje.

PRILOGA

k Mnenju Evropskega ekonomsko-socialnega odbora

Naslednji amandma, ki je bil med razpravo zavrnjen, je prejel vsaj četrtino glasov (člen 54(3) poslovnika):

Točki 4.25 in 4.25.1 se črtata

Rezultat glasovanja

Za

:

87

Proti

:

89

Vzdržani

:

26