Predlog resolucije - B9-0211/2021Predlog resolucije
B9-0211/2021
Evropski parlament

PREDLOG RESOLUCIJE o poročilu Komisije o oceni izvajanja Splošne uredbe o varstvu podatkov dve leti po začetku uporabe

17.3.2021 - (2020/2717(RSP))

ob zaključku razprave o izjavi Komisije
v skladu s členom 132(2) Poslovnika

Juan Fernando López Aguilar
v imenu Odbora za državljanske svoboščine, pravosodje in notranje zadeve


Postopek : 2020/2717(RSP)
Potek postopka na zasedanju
Potek postopka za dokument :  
B9-0211/2021
Predložena besedila :
B9-0211/2021
Razprave :
Glasovanja :
Sprejeta besedila :

B9-0211/2021

Resolucija Evropskega parlamenta o poročilu Komisije o oceni izvajanja Splošne uredbe o varstvu podatkov dve leti po začetku uporabe

(2020/2717(RSP))

Evropski parlament,

 ob upoštevanju člena 8 Listine o temeljnih pravicah;

 ob upoštevanju člena 16 Pogodbe o delovanju Evropske unije,

 ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)[1];

 ob upoštevanju izjave Komisije z dne 24. junija 2020 o Sporočilu Komisije Evropskemu parlamentu in Svetu o varstvu podatkov kot stebru krepitve vloge državljanov in pristopu EU k digitalnemu prehodu – dve leti uporabe splošne uredbe o varstvu podatkov;

 ob upoštevanju Sporočila Komisije Evropskemu parlamentu in Svetu z dne 24. junija 2020 o varstvu podatkov kot stebru krepitve vloge državljanov in pristopu EU k digitalnemu prehodu – dve leti uporabe splošne uredbe o varstvu podatkov (COM(2020)0264);

 ob upoštevanju sporočila Komisije z dne 24. julija 2019 z naslovom Pravila o varstvu podatkov za utrjevanje zaupanja v EU in zunaj nje – ocena (COM(2019)0374);

 ob upoštevanju prispevka Evropskega odbora za varstvo podatkov (EDPB) k oceni splošne uredbe o varstvu podatkov na podlagi člena 97, sprejetega 18. februarja 2020[2];

 ob upoštevanju dokumenta Evropskega odbora za varstvo podatkov o prvem pregledu izvajanja splošne uredbe o varstvu podatkov ter vloge in sredstev nacionalnih nadzornih organov z dne 26. februarja 2019[3];

 ob upoštevanju smernic, ki jih je Evropski odbor za varstvo podatkov sprejel v skladu s členom 70(1)(e) splošne uredbe o varstvu podatkov;

 ob upoštevanju člena 132(2) Poslovnika,

 ob upoštevanju predloga resolucije Odbora za državljanske svoboščine, pravosodje in notranje zadeve,

A. ker se splošna uredba o varstvu podatkov uporablja od 25. maja 2018; ker so vse države članice razen Slovenije sprejele novo zakonodajo ali prilagodile svojo nacionalno zakonodajo o varstvu podatkov;

B. ker so v skladu z raziskavo o temeljnih pravicah, ki jo je izvedla Agencija za temeljne pravice, posamezniki vse bolj ozaveščeni o svojih pravicah v skladu s splošno uredbo o varstvu podatkov; ker imajo posamezniki kljub temu, da so organizacije sprejele ukrepe za omogočanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, še vedno težave pri uveljavljanju teh pravic, zlasti pravice do dostopa, prenosljivosti in večje preglednosti;

C. ker so nadzorni organi od začetka uporabe splošne uredbe o varstvu podatkov prejeli veliko več pritožb; ker to kaže, da se posamezniki, na katere se nanašajo osebni podatki, bolj zavedajo svojih pravic in želijo zaščititi svoje osebne podatke v skladu s splošno uredbo o varstvu podatkov; ker to kaže tudi na to, da še vedno prihaja do velikega števila nezakonitih postopkov obdelave podatkov;

D. ker so številna podjetja prehodno obdobje med začetkom veljavnosti splošne uredbe o varstvu podatkov in njeno uporabo izkoristila za temeljito čiščenje podatkov, da bi ocenila, katera obdelava podatkov se dejansko izvaja in katera obdelava podatkov morda ni več potrebna ali upravičena;

E. ker številni organi za varstvo podatkov ne obvladujejo števila pritožb; ker imajo številni organi za varstvo podatkov premalo osebja ter premalo sredstev in nimajo zadostnega števila strokovnjakov na področju informacijskih tehnologij;

F. ker se s splošno uredbo o varstvu podatkov priznava, da bi morale države članice pravila, ki urejajo svobodo izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim in/ali književnim izražanjem, z zakonom usklajevati s pravico do varstva osebnih podatkov; ker bi morale v skladu s členom 85 države članice v zakonodaji določiti izjeme za obdelavo podatkov v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja, če so potrebne za uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja;

G. ker je varstvo novinarskih virov temelj svobode tiska, kot je poudaril tudi Evropski odbor za varstvo podatkov; ker se splošna uredba o varstvu podatkov ne bi smela zlorabljati proti novinarjem in za omejitev dostopa do informacij: ker je nacionalni organi nikakor ne bi smel uporabljati za omejevanje medijske svobode;

Splošne ugotovitve

1. pozdravlja dejstvo, da je splošna uredba o varstvu podatkov postala svetovni standard za varstvo osebnih podatkov in dejavnik zbliževanja pri razvoju pravil; pozdravlja dejstvo, da je splošna uredba o varstvu podatkov EU postavila v ospredje mednarodnih razprav o varstvu podatkov in da so številne tretje države svojo zakonodajo o varstvu podatkov uskladile s splošno uredbo o varstvu podatkov; poudarja, da je bila Konvencija Sveta Evrope št. 108 o varstvu podatkov usklajena s splošno uredbo o varstvu podatkov (Konvencija 108+) in jo je že podpisalo 42 držav; poziva Komisijo in države članice, naj izkoristijo ta zagon, da se na ravni OZN, OECD, skupine G8 in skupine G20 zavzamejo za vzpostavitev mednarodnih standardov, ki bodo oblikovani v skladu z evropskimi vrednotami in načeli, brez ogrožanja splošne uredbe o varstvu podatkov; poudarja, da bi prevladujoč evropski položaj na tem področju naši celini pomagal pri boljšem varstvu pravic državljanov, zaščiti vrednot in načel, spodbujanju zaupanja vrednih digitalnih inovacij in pospeševanju gospodarske rasti s preprečevanjem razdrobljenosti;

2. ugotavlja, da je splošna uredba o varstvu podatkov dve leti po začetku uporabe na splošno uspešna, in se strinja s Komisijo, da v tej fazi zakonodaje ni treba posodobiti ali pregledati;

3. priznava, da se je treba do naslednje ocene Komisije še naprej osredotočati na izboljšanje izvajanja in ukrepe za okrepitev izvajanja splošne uredbe o varstvu podatkov;

4. priznava potrebo po doslednem in učinkovitem izvrševanju splošne uredbe o varstvu podatkov v zvezi z velikimi digitalnimi platformami, integriranimi podjetji in drugimi digitalnimi storitvami, zlasti na področjih, kot so spletno oglaševanje, mikrociljanje, algoritemsko profiliranje, razvrščanje, razširjanje in dopolnjevanje vsebine;

Pravna podlaga za obdelavo

5. poudarja, da je vseh šest pravnih podlag iz člena 6 splošne uredbe o varstvu podatkov enako veljavnih za obdelavo osebnih podatkov in da lahko ista dejavnost obdelave spada pod več kot eno podlago; poziva nadzorne organe za varstvo podatkov, naj določijo, da se morajo upravljavci podatkov za vsak namen dejavnosti obdelave opirati na samo eno pravno podlago, in naj navedejo, kako se pri postopku obdelave podatkov opirajo na posamezno pravno podlago; je zaskrbljen, da upravljavci v svoji politiki zasebnosti pogosto omenjajo vse pravne podlage iz splošne uredbe o varstvu podatkov, vendar brez dodatnih pojasnil in brez navedbe zadevnega postopka obdelave; ugotavlja, da ta praksa posameznikom, na katere se nanašajo osebni podatki, in nadzornim organom onemogoča, da bi ocenili, ali so te pravne podlage ustrezne; opozarja, da je treba za obdelavo posebnih vrst osebnih podatkov opredeliti zakonito podlago v skladu s členom 6 in ločen pogoj za obdelavo v skladu s členom 9; želi spomniti upravljavce na njihovo pravno obveznost izvedbe ocene učinka v zvezi z varstvom podatkov, kadar je verjetno, da bi obdelava podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov;

6. opozarja, da od začetka uporabe splošne uredbe o varstvu podatkov „privolitev“ pomeni vsako prostovoljno, specifično, ozaveščeno in nedvoumno izraženo voljo posameznika, na katerega se nanašajo osebni podatki; poudarja, da to velja tudi za Direktivo o zasebnosti in elektronskih komunikacijah; ugotavlja, da izvajanje veljavne privolitve še vedno ogrožajo uporaba temnih vzorcev, razširjeno sledenje in druge neetične prakse; je zaskrbljen, ker so posamezniki pogosto pod finančnim pritiskom, da dajo privolitev v zameno za popuste ali druge komercialne ponudbe, ali pa so prisiljeni v privolitev, ker je dostop do storitve pogojen z določbami o vezavi, kar je v nasprotju s členom 7 splošne uredbe o varstvu podatkov; opozarja na usklajena pravila Evropskega odbora za varstvo podatkov o tem, kaj je veljavna privolitev, ki nadomeščajo različne razlage številnih nacionalnih organov za varstvo podatkov in preprečujejo razdrobljenost na enotnem digitalnem trgu; opozarja tudi na smernice Evropskega odbora za varstvo podatkov in Komisije, v katerih je določeno, da v primerih, ko je posameznik, na katerega se nanašajo osebni podatki, prvotno dal privolitev, vendar se osebni podatki nadalje obdelujejo za namen, drugačen od tistega, za katerega dal privolitev, prvotna privolitev ne more upravičiti nadaljnje obdelave, saj mora biti privolitev informirana in specifična, da bi bila veljavna; je seznanjen s prihodnjimi smernicami Evropskega odbora za varstvo podatkov o obdelavi osebnih podatkov za znanstvene raziskave, ki bodo pojasnile pomen uvodne izjave 50 splošne uredbe o varstvu podatkov;

7. je zaskrbljen, da se zakoniti interes zelo pogosto neprimerno navaja kot pravna podlaga za obdelavo podatkov; poudarja, da se upravljavci še naprej opirajo na zakoniti interes, pri tem pa ne opravijo zahtevanega preizkusa uravnoteženosti interesov, ki vključuje oceno temeljnih pravic; je zlasti zaskrbljen zaradi dejstva, da nekatere države članice sprejemajo nacionalno zakonodajo za določitev pogojev za obdelavo na podlagi zakonitega interesa, in sicer z uravnoteženjem zadevnih interesov upravljavca in zadevnih posameznikov, medtem ko splošna uredba o varstvu podatkov zavezuje vsakega posameznega upravljavca, da ta preizkus uravnoteženosti izvede posamično in izkoristi to pravno podlago; je zaskrbljen, ker nekatere nacionalne razlage legitimnega interesa ne upoštevajo uvodne izjave 47 in dejansko prepovedujejo obdelavo na podlagi legitimnega interesa; pozdravlja dejstvo, da je Evropski odbor za varstvo podatkov že začel posodabljati mnenje delovne skupine iz člena 29 o uporabi legitimnega interesa kot pravne podlage za obdelavo podatkov, da bi se obravnavala vprašanja, izpostavljena v poročilu Komisije;

Pravice posameznikov, na katere se nanašajo osebni podatki

8. poudarja, da je treba olajšati uveljavljanje pravic posameznikov, ki jih zagotavlja splošna uredba o varstvu podatkov, kot so prenosljivost podatkov ali pravice v okviru avtomatizirane obdelave, vključno z oblikovanjem profilov; pozdravlja smernice Evropskega odbora za varstvo podatkov o avtomatiziranem sprejemanju odločitev in prenosljivosti podatkov; ugotavlja, da pravica do prenosljivosti podatkov ni bila v celoti uveljavljena v več sektorjih; poziva Evropski odbor za varstvo podatkov, naj spodbuja spletne platforme k vzpostavitvi enotne kontaktne točke za vse njihove osnovne digitalne platforme, od koder se lahko zahteve uporabnikov posredujejo pravemu prejemniku; poudarja, da uveljavljanje pravice do anonimnosti v skladu z načelom najmanjšega obsega podatkov učinkovito preprečuje nepooblaščeno razkritje, krajo identitete in druge oblike zlorabe osebnih podatkov;

9. poudarja, da spoštovanje pravice do obveščenosti od podjetij zahteva, da informacije zagotovijo na jedrnat, pregleden, razumljiv in lahko dostopen način ter se pri pripravi obvestil o varstvu podatkov izogibajo pravno-formalnemu pristopu; je zaskrbljen, ker nekatera podjetja še naprej kršijo svoje obveznosti iz člena 12(1) splošne uredbe o varstvu podatkov in ne zagotovijo vseh ustreznih informacij, ki jih priporoča Evropski odbor za varstvo podatkov, vključno z navedbo imen subjektov, s katerimi izmenjujejo podatke; želi spomniti, da je obveznost zagotavljanja informacij, ki so enostavne in dostopne, zlasti stroga, ko gre za otroke; je zaskrbljen zaradi zelo razširjenega pomanjkanja ustrezno delujočih mehanizmov za dostop posameznikov, na katere se nanašajo osebni podatki; poudarja, da posamezniki pogosto ne morejo prisiliti internetnih platform, da bi jim razkrile svoje vedenjske profile; je zaskrbljen, da podjetja vse prepogosto ne upoštevajo dejstva, da so tudi izpeljani podatki osebni podatki, za katere se uporabljajo vsi zaščitni ukrepi v skladu s splošno uredbo o varstvu podatkov;

Mala podjetja in organizacije

10. ugotavlja, da nekateri deležniki poročajo o posebnem izzivu pri uporabi splošne uredbe o varstvu podatkov, predvsem za mala in srednja podjetja, zagonska podjetja, organizacije in združenja, vključno s šolami, klube in družbe; vendar opaža, da številne pravice in obveznosti iz splošne uredbe o varstvu podatkov niso nove, ampak so veljale že na podlagi Direktive 95/46/ES, čeprav so se redko uveljavljale; ugotavlja, da splošna uredba o varstvu podatkov in njeno izvrševanje ne smeta povzročiti nenamernih posledic c zvezi s skladnostjo za manjša podjetja, ki jih velika podjetja ne bi imela; meni, da morajo nacionalni organi in informacijske kampanje Evropske komisije zagotoviti večjo podporo, več informacij in usposabljanja, da bi pomagali izboljšati znanje, kakovost izvajanja in ozaveščenost o zahtevah in namenu splošne uredbe o varstvu podatkov;

11. poudarja, da ni odstopanj za mala in srednja podjetja, zagonska podjetja, organizacije in združenja, vključno s šolami, klubi in družbami, ter da zanje velja področje uporabe splošne uredbe o varstvu podatkov; zato poziva Evropski odbor za varstvo podatkov, naj zagotovi jasne informacije, da prepreči vsakršno zmedo glede razlage splošne uredbe o varstvu podatkov, in ustvari praktično orodje splošne uredbe o varstvu podatkov za njeno lažje izvajanje v malih in srednjih podjetjih, zagonskih podjetjih organizacijah in združenjih, vključno s šolami, klubih in družbah, kjer potekajo dejavnosti obdelave z majhnim tveganjem; poziva države članice, naj organom za varstvo podatkov zagotovijo zadostna sredstva za razširjanje znanja o teh praktičnih orodjih; spodbuja Evropski odbor za varstvo podatkov, naj oblikuje predloge za politiko zasebnosti, ki jih lahko organizacije uporabijo za pomoč pri dokazovanju dejanske skladnosti s splošno uredbo o varstvu podatkov v praksi, pri tem pa se jim ni treba opirati na drage storitve tretjih strani;

Izvrševanje

12. izraža zaskrbljenost, ker nacionalni organi za varstvo podatkov več kot dve leti po začetku uporabe splošne uredbe o varstvu podatkov te ne izvršujejo enako ali je sploh ne izvršujejo, in zato obžaluje, da se stanje glede izvrševanja ni bistveno izboljšalo v primerjavi s tistim pri Direktivi 95/46/ES;

13. ugotavlja, da je bilo v prvih 18 mesecih uporabe splošne uredbe o varstvu podatkov vloženih okrog 275 000 pritožb in da je bilo za različne kršitve izrečenih 785 upravnih glob, vendar poudarja, da je bil doslej nadalje obravnavan le zelo mali delež vloženih pritožb; se zaveda težav zaradi kršitev varstva osebnih podatkov in opozarja na sedanje smernice Evropskega odbora za varstvo podatkov, v katerih so med drugim pojasnjeni roki za obveščanje, komunikacija s posamezniki, na katere se nanašajo osebni podatki, in pravna sredstva; poudarja, da bi lahko bil evropski standardni obrazec za obvestilo o kršitvi varstva podatkov koristen za usklajevanje različnih nacionalnih pristopov; vendar obžaluje, da se višina glob med državami članicami zelo razlikuje in so nekatere globe, izrečene velikim podjetjem, prenizke, da bi imele predvideni odvračalni učinek od kršitev varstva podatkov; poziva organe za varstvo podatkov, naj okrepijo izvrševanje, pregon in kaznovanje kršitev varstva podatkov in v celoti izkoristijo možnosti v zvezi z globami iz splošne uredbe o varstvu podatkov in uporabijo druge popravljalne ukrepe; poudarja, da ima lahko prepoved obdelave ali obveznost izbrisa osebnih podatkov, pridobljenih na način, ki ni skladen s splošno uredbo o varstvu podatkov, enak ali večji odvračalni učinek kot globe; poziva Komisijo in Evropski odbor za varstvo podatkov, naj z oblikovanjem smernic in jasnih meril uskladita kazni, kot je to storila konferenca nemških nadzornih organov, da se okrepi pravna varnost in podjetjem prepreči izkoriščanje lokacij, na katerih so kazni najnižje;

14. je zaskrbljen zaradi trajanja preiskav zadev, ki jih izvajajo nekateri organi za varstvo podatkov, in zaradi negativnega vpliva na učinkovito izvrševanje in zaupanje državljanov; poziva organe za varstvo podatkov, naj pospešijo reševanje zadev in izkoristijo vse možnosti iz splošne uredbe o varstvu podatkov, zlasti v primeru sistematičnih in vztrajnih kršitev, vključno s pridobitnim interesom in velikim številom prizadetih posameznikov, na katere se nanašajo osebni podatki;

15. je zaskrbljen, ker so nadzorni organi v 21 državah članicah od skupaj 31 držav, ki uporabljajo splošno uredbo o varstvu podatkov, in sicer so to vse članice Evropske unije ter Evropskega gospodarskega prostora in Združeno kraljestvo, izrecno navedli, da nimajo dovolj človeških, tehničnih in finančnih virov, prostorov in infrastrukture, da bi lahko učinkovito opravljali svoje naloge in izvajali pooblastila; je zaskrbljen zaradi pomanjkanja namenskega tehničnega osebja v večini nadzornih organov v EU, ki otežuje preiskave in izvrševanje; z zaskrbljenostjo ugotavlja, da so nadzorni organi pod pritiskom, saj jim za opravljanje nalog v zvezi z varovanjem osebnih podatkov vse bolj primanjkuje sredstev; ugotavlja, da bodo digitalne storitve vse bolj kompleksne zaradi vse pogostejše uporabe inovacij, kot je umetna inteligenca (tj. težava z omejeno preglednostjo obdelave podatkov bo vse večja, zlasti za učenje algoritmov); zato poudarja, kako pomembno je, da imajo nadzorni organi EU in Evropski odbor za varstvo podatkov zadostne finančne, tehnične in človeške vire, da bi lahko hitro, vendar temeljito obravnavali vse večje število zapletenih primerov, za katere je potrebno veliko virov, ter usklajevali in lajšali sodelovanje med nacionalnimi organi za varstvo podatkov, da bi ustrezno spremljali uporabo splošne uredbe o varstvu podatkov ter zaščitili temeljne pravice in svoboščine; izraža zaskrbljenost, da bi lahko zaradi nezadostnih sredstev za organe za varstvo podatkov, zlasti če se ta sredstva primerjajo s prihodki velikih informacijskotehnoloških podjetij, prišlo do dogovorov o poravnavi, saj bi ti omejili stroške dolgotrajnih in zapletenih postopkov;

16. poziva Komisijo, naj oceni možnost, da bi velikim multinacionalnim tehnološkim podjetjem naložili obveznost plačila za nadzor nad njimi, in sicer z uvedbo digitalnega davka EU;

17. z zaskrbljenostjo ugotavlja, da se zaradi pomanjkljivega izvrševanja organov za varstvo podatkov in neukrepanja Komisije v zvezi z obravnavanjem pomanjkanja virov organov za varstvo podatkov breme izvrševanja prelaga na posamezne državljane, ki lahko zahtevke za varstvo podatkov predložijo sodišču; je zaskrbljen, ker sodišča včasih posameznim tožnikom odredijo odškodnino, organizaciji ali podjetju pa ne naložijo, naj reši strukturne težave; meni, da se lahko z zasebnim izvrševanjem vzpostavi pomembna sodna praksa, vendar to ni nadomestilo za izvrševanje s strani organov za varstvo podatkov ali ukrepanje Komisije v zvezi z odpravo pomanjkanja virov; obžaluje dejstvo, da te države članice kršijo člen 52(4) splošne uredbe o varstvu podatkov; zato poziva države članice, naj izpolnijo svoje pravne obveznosti iz člena 52(4) za dodelitev zadostnih finančnih sredstev svojim organom za varstvo podatkov, da se jim omogoči izvajanje dela na najboljši možen način in zagotovijo enaki evropski konkurenčni pogoji za uveljavljanje splošne uredbe o varstvu podatkov; obžaluje dejstvo, da Komisija še ni začela postopkov za ugotavljanje kršitev proti tistim državam članicam, ki niso izpolnile svojih obveznosti iz splošne uredbe o varstvu podatkov, in poziva Komisijo, naj to nemudoma stori; poziva Komisijo in Evropski odbor za varstvo podatkov, naj zagotovita nadaljnje ukrepe na podlagi sporočila Komisije z dne 24. junija 2020, v katerem je ocenjeno delovanje splošne uredbe o varstvu podatkov, pa tudi njeno izvrševanje;

18. obžaluje, da se je večina držav članic odločila, da ne bo izvajala člena 80(2) splošne uredbe o varstvu podatkov; poziva vse države članice, naj uporabljajo člen 80(2) in izvajajo pravico do vložitve pritožbe in začetka postopka pred sodiščem, ne da bi bilo za to potrebno pooblastilo posameznika, na katerega se nanašajo osebni podatki; poziva države članice, naj pojasnijo položaj pritožnikov med postopki v nacionalni zakonodaji o upravnih postopkih, ki velja za nadzorne organe; poudarja, da bi bilo treba s tem pojasniti, da pritožniki v postopkih niso omejeni na pasivno vlogo, ampak bi morali imeti možnost posredovanja na različnih stopnjah;

Sodelovanje in doslednost

19. poudarja, da je slabo izvrševanje še posebej očitno v čezmejnih pritožbah, in obžaluje, da organi za varstvo podatkov v 14 državah članicah nimajo ustreznih sredstev, da bi prispevali k mehanizmom sodelovanja in doslednosti; poziva Evropski odbor za varstvo podatkov, naj si bolj prizadeva za zagotovitev pravilne uporabe členov 60 in 63 splošne uredbe o varstvu podatkov, nadzorne organe pa opominja, naj v izjemnih okoliščinah uporabljajo nujni postopek iz člena 66 splošne uredbe o varstvu podatkov, ter zlasti začasne ukrepe;

20. poudarja pomen mehanizma „vse na enem mestu“ pri zagotavljanju pravne varnosti in zmanjšanju upravnih bremen za podjetja in državljane; vseeno pa izraža veliko zaskrbljenost glede delovanja tega mehanizma, zlasti glede vloge irskega in luksemburškega organa za varstvo podatkov; ugotavlja, da sta ta organa za varstvo podatkov zadolžena za obravnavanje velikega števila primerov, saj je veliko tehnoloških podjetij svoj sedež v EU registriralo na Irskem ali v Luksemburgu; je zlasti zaskrbljen, ker irski organ za varstvo podatkov večino zadev zaključi s poravnavo namesto s sankcijo in ker primeri, ki so bili na Irskem vloženi leta 2018, še niso dosegli niti faze osnutka odločitve v skladu s členom 60(3) splošne uredbe o varstvu podatkov; poziva ta organa za varstvo podatkov, naj pospešita tekoče preiskave večjih primerov, da bi državljanom EU pokazala, da je varstvo podatkov izvršljiva pravica v EU; poudarja, da je uspešnost mehanizma „vse na enem mestu“ odvisna od časa in prizadevanj, ki jih lahko organi za varstvo podatkov namenijo obravnavanju posameznih čezmejnih primerov in sodelovanju v zvezi z njimi v okviru Evropskega odbora za varstvo podatkov, in da pomanjkanje politične volje in virov neposredno vpliva na mero, do katere lahko ta mehanizem ustrezno deluje;

21. ugotavlja, da so med smernicami držav članic in smernicami Evropskega odbora za varstvo podatkov nedoslednosti; poudarja, da lahko nacionalni organi za varstvo podatkov različno razlagajo splošno uredbo o varstvu podatkov, zaradi česar jo lahko države članice različno uporabljajo; ugotavlja, da to ustvarja geografske prednosti in slabosti za podjetja; poziva Komisijo, naj oceni, ali nacionalni upravni postopki ovirajo polno in uspešno sodelovanje v skladu s členom 60 splošne uredbe o varstvu podatkov in njeno uspešno izvajanje; poziva organe za varstvo podatkov, naj si prizadevajo za dosledno razlago in smernice ob pomoči Evropskega odbora za varstvo podatkov; posebej poziva Evropski organ za varstvo podatkov, naj opredeli osnovne elemente skupnega upravnega postopka za obravnavo pritožb v čezmejnih primerih pri sodelovanju iz člena 60; poudarja, da bi bilo to treba storiti prek upoštevanja smernic o skupnih rokih za izvajanje preiskav in sprejemanje odločitev; poziva Evropski organ za varstvo podatkov, naj okrepi mehanizem za skladnost in zagotovi njegovo obvezno uporabo pri vsaki zadevi splošne uporabe ali vsakem primeru s čezmejnim učinkom, da bi se preprečili neskladni pristopi in odločitve posameznih organov za varstvo podatkov, saj bi to ogrozilo enotno razlago in uporabo splošne uredbe o varstvu podatkov; meni, da bodo skupna razlaga, uporaba in smernice prispevale k oblikovanju in uspehu enotnega digitalnega trga;

22. poziva Evropski odbor za varstvo podatkov, naj dnevni red sej objavi vnaprej pred sejami ter javnosti in Evropskemu parlamentu zagotovi podrobnejši povzetek sej;

Razdrobljenost izvajanja splošne uredbe o varstvu podatkov

23. obžaluje, da države članice uporabljajo določila o neobvezni natančnejši ureditvi (npr. obdelava v javnem interesu ali s strani javnih organov na podlagi zakonodaje države članice in starosti otrok za privolitev) na način, ki je onemogočil doseganje popolne harmonizacije varstva podatkov in odpravo različnih tržnih pogojev za podjetja po vsej EU, ter izraža zaskrbljenost, da bi to lahko povečalo stroške spoštovanja splošne uredbe o varstvu podatkov; poziva Evropski organ za varstvo podatkov, naj predstavi smernice za obravnavo različnih načinov izvajanja določil o neobvezni natančnejši ureditvi v državah članicah; poziva Komisijo, naj v okviru svojih pooblastil posreduje v državah članicah, v katerih nacionalni ukrepi, dejanja in odločitve spodkopavajo duha, cilj in besedilo splošne uredbe o varstvu podatkov, da bi preprečili neenako varstvo državljanov in izkrivljanja trga; v zvezi s tem poudarja, da so države članice sprejele drugačen starostni razpon za privolitev staršev; zato poziva Komisijo in države članice, naj ocenijo učinek te razdrobljenosti na dejavnosti otrok in njihovo zaščito na spletu; poudarja, da bi morale v primeru kolizije med nacionalnim pravom države članice in splošno uredbo o varstvu podatkov prevladati določbe splošne uredbe o varstvu podatkov;

24. je močno zaskrbljen, ker javni organi nekaterih držav članic zlorabljajo splošno uredbo o varstvu podatkov za omejevanje delovanja novinarjev in nevladnih organizacij; se močno strinja s Komisijo, da pravila o varstvu podatkov ne bi smela vplivati na svobodo izražanja in obveščanja, zlasti ne z negativnim vplivanjem ali razlagami, katerih namen je ustvarjati pritisk na novinarje, da razkrijejo svoje vire; kljub temu izraža razočaranje, ker Komisija še ni dokončala ocene o ravnovesju med pravico do varstva osebnih podatkov ter svobodo izražanja in obveščanja, kot je določeno v členu 85 splošne uredbe o varstvu podatkov; poziva Komisijo, naj brez nepotrebnega odlašanja dokonča oceno nacionalne zakonodaje v zvezi s tem in uporabi vsa razpoložljiva orodja, med drugim postopke za ugotavljanje kršitev, da zagotovi upoštevanje splošne uredbe o varstvu podatkov v državah članicah in omeji morebitno razdrobljenost okvira za varstvo podatkov;

Vgrajeno varstvo podatkov

25. poziva nadzorne organe, naj ocenijo izvajanje člena 25 o vgrajenem in privzetem varstvu podatkov, zlasti glede zagotavljanja tehničnih in operativnih ukrepov, ki so potrebni za izvajanje načel najmanjšega obsega podatkov in omejitve namena ter za ugotavljanje učinka te določbe na proizvajalce tehnologij za obdelavo; pozdravlja dejstvo, da je Evropski odbor za varstvo podatkov oktobra 2020 sprejel smernice št. 04/2019 o vgrajenem in privzetem varstvu podatkov iz člena 25, da bi prispeval k pravni jasnosti konceptov; poziva nadzorne organe, naj ocenijo tudi ustrezno uporabo privzetih nastavitev, kot je določeno v členu 25(2), med drugim tudi s strani velikih ponudnikov spletnih storitev; priporoča, naj Evropski organ za varstvo podatkov sprejme smernice, s katerimi določi, v kakšnih posebnih pogojih in primerih (razredih primerov) se proizvajalci IKT štejejo za upravljavce iz člena 4(7) v smislu, da določajo načine obdelave; poudarja, da so prakse na področju varstva podatkov še vedno v veliki meri odvisne od fizično opravljenih nalog in arbitrarnih formatov ter polne nezdružljivih sistemov; poziva Evropski odbor za varstvo podatkov, naj oblikuje smernice, ki bodo pripomogle k izvajanju zahtev glede varstva podatkov v praksi, vštevši smernice za ocene učinka v zvezi z varstvom podatkov (člen 35), vgrajeno in privzeto varstvo podatkov (člen 25), informacije, namenjene posameznikom, na katere se nanašajo osebni podatki (členi 12–14), uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki (členi 15–18, 20–21), in evidence dejavnosti obdelave (člen 30); poziva Evropski odbor za varstvo podatkov, naj zagotovi, da bo te smernice enostavno uporabljati in da bodo omogočale strojno komunikacijo med posamezniki, na katere se osebni podatki nanašajo, upravljavci in organi za varstvo podatkov (avtomatizirano varstvo podatkov); poziva Komisijo, naj v tesnem sodelovanju z Evropskim odborom za varstvo podatkov razvije strojno berljive ikone v skladu s členom 12(8) za obveščanje posameznikov, na katere se nanašajo osebni podatki; spodbuja Evropski odbor za varstvo podatkov in nadzorne organe, naj spodbujajo izkoriščanje polnega potenciala člena 21(5) o avtomatiziranih načinih ugovarjanja obdelavi osebnih podatkov;

Smernice

26. poziva Evropski odbor za varstvo podatkov, naj harmonizira izvajanje zahtev glede varstva podatkov v praksi z oblikovanjem smernic, ki bodo med drugim obravnavale potrebo po oceni tveganj, povezanih z informacijami o obdelavi podatkov za posameznike, na katere se nanašajo osebni podatki (členi 12–14), uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki (členi 15–18, 20–21) in izvajanje načela odgovornosti; poziva Evropski odbor za varstvo podatkov, naj objavi smernice, ki razvrščajo različne primere zakonite uporabe profiliranja v skladu z njihovim tveganjem glede pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, skupaj s priporočili glede ustreznih tehničnih in organizacijskih ukrepov ter jasno razmejitvijo primerov nezakonite uporabe; poziva Evropski odbor za varstvo podatkov, naj pregleda mnenje delovne skupine iz člena 29 št. 05/2014 z dne 10. aprila 2014 o tehnikah anonimizacije in sestavi seznam nedvoumnih meril, da se doseže anonimizacija; spodbuja Evropski odbor za varstvo podatkov, naj pojasni obdelavo podatkov za kadrovske namene; je seznanjen z ugotovitvijo Evropskega odbora za varstvo podatkov, da bi bilo treba ohraniti potrebo po oceni tveganj v zvezi z obdelavo podatkov, kot je določeno v splošni uredbi o varstvu podatkov, saj tveganja za posameznike, na katere se nanašajo osebni podatki, niso povezana z velikostjo upravljavcev podatkov; poziva k boljši uporabi mehanizma, v skladu s katerim lahko Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet o zadevah, ki jih zajema splošna uredba o varstvu podatkov;

27. ugotavlja, da je pandemija covida-19 izpostavila nujnost jasnih smernic organov za varstvo podatkov in Evropskega organa za varstvo podatkov o ustreznem izvajanju in izvrševanju splošne uredbe o varstvu podatkov pri javnozdravstvenih ukrepih; v zvezi s tem opozarja na smernice št. 03/2020 o obdelavi zdravstvenih podatkov za namene znanstvenih raziskav v okviru izbruha bolezni covid-19 in na smernice št. 04/2020 o uporabi podatkov o lokaciji in orodij za sledenje stikom v okviru izbruha covida-19; poziva Komisijo, naj pri oblikovanju skupnega evropskega zdravstvenega podatkovnega prostora zagotovi popolno skladnost s splošno uredbo o varstvu podatkov;

Mednarodni pretok osebnih podatkov in sodelovanje

28. poudarja, da je pomembno omogočiti prost pretok osebnih podatkov na mednarodni ravni, ne da bi pri tem znižali raven varstva, ki jo zagotavlja splošna uredba o varstvu podatkov; podpira prakso Komisije, da varstvo podatkov in pretok osebnih podatkov obravnava ločeno od trgovinskih sporazumov; meni, da se bo z mednarodnim sodelovanjem na področju varstva podatkov in približevanjem ustreznih pravil k splošni uredbi o varstvu podatkov izboljšalo vzajemno zaupanje, okrepilo razumevanje tehnoloških in pravnih izzivov ter sčasoma olajšal čezmejni pretok podatkov, ki je ključnega pomena za mednarodno trgovino; priznava dejanski obstoj nasprotujočih si pravnih zahtev za podjetja, ki opravljajo dejavnosti obdelave podatkov v EU in tretjih državah, zlasti v ZDA;

29. poudarja, da sklepi o ustreznosti ne bi smeli biti politične, temveč pravne odločitve; spodbuja nadaljnja prizadevanja za spodbujanje globalnih pravnih okvirov, da bi omogočili prenose podatkov na podlagi splošne uredbe o varstvu podatkov in Konvencije Sveta Evrope št. 108+; ugotavlja tudi, da deležniki menijo, da so sklepi o ustreznosti bistveno orodje za ta pretok podatkov, saj ga ne vežejo na dodatne pogoje ali odobritve; vendar poudarja, da so bili sklepi o ustreznosti do zdaj sprejeti samo za devet držav, čeprav so številne druge tretje države nedavno sprejele nove predpise o varstvu podatkov, ki vsebujejo podobna pravila in načela kot splošna uredba o varstvu podatkov; ugotavlja, da doslej noben enotni mehanizem, ki je zagotavljal pravni prenos poslovnih osebnih podatkov med EU in ZDA, ni zdržal pravnega pregleda na Sodišču Evropske unije;

30. pozdravlja sprejetje prvega vzajemnega sklepa o ustreznosti med EU in Japonsko, s katerim se je ustvarilo največje območje prostega in varnega pretoka podatkov na svetu; vendar poziva Komisijo, naj pri prvem pregledu tega instrumenta upošteva vsa vprašanja, ki jih je izpostavil Parlament, in čim prej objavi rezultate, saj bi moral biti pregled sprejet že januarja 2021;

31. poziva Komisijo, naj objavi sklop meril, ki se uporabljajo pri določanju, ali tretja država zagotavlja raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v EU, zlasti glede dostopa do pravnih sredstev in vladnega dostopa do podatkov; vztraja, da je treba zagotoviti učinkovito uporabo določb v zvezi s prenosi ali razkritji, ki jih pravo Unije v skladu s členom 48 splošne uredbe o varstvu podatkov ne dovoljuje, ter skladnost z njimi, zlasti kar zadeva zahtevo organov tretjih držav za dostop do osebnih podatkov v Uniji, ter poziva Evropski odbor za varstvo podatkov in organe za varstvo podatkov k zagotovitvi smernic in izvrševanju teh določb, med drugim pri oceni in razvoju mehanizmov za prenos osebnih podatkov;

32. poziva Komisijo, naj sprejme delegirane akte za določitev zahtev, ki jih je treba upoštevati za certifikacijski mehanizem za varstvo podatkov v skladu s členom 42(1), naj spodbudi njegovo uporabo, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabil ustrezne zaščitne ukrepe, tudi v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, kot sredstvo za mednarodne prenose, kot je določeno v členu 46(2)(f);

33. ponovno poudarja, da programi množičnega nadzora, ki zajemajo množično zbiranje podatkov, onemogočajo ugotovitve o ustreznosti; poziva Komisijo, naj ugotovitve Sodišča Evropske unije v zadevah Schrems I[4], II[5] in Privacy International & al. (2020)[6] uporablja pri vseh pregledih sklepov o ustreznosti ter tekočih in prihodnjih pogajanjih; opozarja, da bi morali prenosi, ki temeljijo na odstopanjih za posebne primere v skladu s členom 49 splošne uredbe o varstvu podatkov, ostati izjema; v zvezi s tem pozdravlja smernice Evropskega odbora za varstvo podatkov in organov za varstvo podatkov ter jih poziva, naj zagotovijo dosledno razlaganje pri uporabi in nadzoru teh odstopanj v skladu s smernice Evropskega odbora za varstvo podatkov št. 02/2018;

34. poziva organe za varstvo podatkov in Komisijo, naj v skladu s sodno prakso Sodišča Evropske unije sistematično ocenjujejo, ali se pravila o varstvu podatkov v tretjih državah uporabljajo v praksi;

35. poziva Komisijo, naj brez nepotrebnega odlašanja objavi pregled sklepov o ustreznosti, sprejetih v skladu z direktivo iz leta 1995; poudarja, da se za mednarodne prenose podatkov v primerih, ko sklep o ustreznosti ni na voljo, najpogosteje uporabljajo standardne pogodbene klavzule; ugotavlja, da je Sodišče potrdilo veljavnost Sklepa 2010/87/EU o standardnih pogodbenih klavzulah[7], hkrati pa zahtevalo oceno ravni varstva podatkov, prenesenih v tretjo državo, in ustreznih vidikov pravnega sistema te tretje države v zvezi z dostopom javnih organov do prenesenih osebnih podatkov; poziva Komisijo, naj pospeši svoje delo v zvezi s posodobljenimi standardnimi pogodbenimi klavzulami za mednarodne prenose podatkov, da zagotovi enake konkurenčne pogoje za mala in srednja podjetja (MSP) na mednarodni ravni; pozdravlja dejstvo, da je Komisija objavila osnutek standardnih pogodbenih klavzul in da je njen cilj, da postanejo uporabnikom prijaznejše in da se odpravijo ugotovljene pomanjkljivosti sedanjih standardov;

36. opozarja na smernice Evropskega odbora za varstvo podatkov št. 1/2019 o kodeksih ravnanja in organih za spremljanje v skladu z Uredbo 2016/679; priznava, da se ta instrument trenutno premalo uporablja kljub zagotavljanju skladnosti s splošno uredbo o varstvu podatkov, kadar se uporablja skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabil ustrezne zaščitne ukrepe; poudarja potencial tega instrumenta za boljšo podporo MSP ter zagotavljanje večje pravne varnosti v okviru mednarodnih prenosov podatkov med različnimi sektorji;

Prihodnja zakonodaja Unije

37. meni, da splošna uredba o varstvu podatkov, ki je tehnološko nevtralna, zagotavlja trden regulativni okvir za nastajajoče tehnologije; kljub temu meni, da so potrebna nadaljnja prizadevanja za obravnavo širših vprašanj digitalizacije, kot so monopolni položaji in neravnovesja moči, s sprejetjem posebnih ureditev, in da je treba skrbno preučiti povezavo med splošno uredbo o varstvu podatkov in vsako novo zakonodajno pobudo, da bi zagotovili doslednost in odpravili pravne vrzeli; opozarja Komisijo na njeno obveznost, da zagotovi, da bodo zakonodajni predlogi, kot so upravljanje podatkov, akt o podatkih, akt o digitalnih storitvah ali o umetni inteligenci vedno v celoti skladni s splošno uredbo o varstvu podatkov in direktivo o preprečevanju, odkrivanju in preiskovanju kaznivih dejanj[8]; meni, da morajo končna besedila, ki sta jih sozakonodajalca sprejela v medinstitucionalnih pogajanjih, v celoti spoštovati pravni red o varstvu podatkov; vendar obžaluje, da Komisija sama v zakonodajnih predlogih nima vedno doslednega pristopa k varstvu podatkov; poudarja, da predlog, ki se sklicuje na uporabo splošne uredbe o varstvu podatkov ali pri katerem se navede, da „ne posega v splošno uredbo o varstvu podatkov“, še ni nujno samodejno skladen s splošno uredbo o varstvu podatkov; poziva Komisijo, naj se posvetuje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov, kadar to vpliva na varstvo pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov po sprejetju predlogov zakonodajnega akta; poleg tega poziva Komisijo, naj si pri pripravi predlogov ali priporočil prizadeva za posvetovanje z Evropskim nadzornikom za varstvo podatkov, da bi zagotovila doslednost pravil o varstvu podatkov po vsej Uniji, in naj vedno opravi oceno učinka;

38. ugotavlja, da se profiliranje, čeprav ga člen 22 splošne uredbe o varstvu podatkov dovoljuje le pod strogimi in ozko opredeljenimi pogoji, vse pogosteje uporablja, saj spletne dejavnosti posameznikov omogočajo temeljit vpogled v njihovo psihologijo in zasebno življenje; ugotavlja, da bi bilo treba zbiranje in obdelavo osebnih podatkov v zvezi z uporabo digitalnih storitev omejiti na obseg, ki je nujno potreben za zagotavljanje in zaračunavanje storitve, saj se lahko s profiliranjem manipulira njihovo ravnanje; poziva Komisijo, naj predlaga strogo področno zakonodajo o varstvu podatkov za občutljive kategorije osebnih podatkov, če tega še ni storila; zahteva strogo izvrševanje splošne uredbe o varstvu podatkov pri obdelavi osebnih podatkov;

39. poziva h krepitvi vloge potrošnikov, da bodo lahko sprejemali obveščene odločitve o posledicah uporabe novih tehnologij za zasebnost ter zagotovili pošteno in pregledno obdelavo z zagotavljanjem možnosti, ki so preproste za uporabo, za dajanje in preklic privolitve v obdelavo njihovih osebnih podatkov, kot je določeno v splošni uredbi o varstvu podatkov;

Direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj

40. je zaskrbljen, da so pravila o varstvu podatkov, ki se uporabljajo za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, v veliki meri neustrezna, da bi lahko sledila novim kompetencam na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj; zato poziva Komisijo, naj direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj oceni pred rokom, določenim v direktivi, in naj pregled objavi;

Uredba o e-zasebnosti

41. izraža globoko zaskrbljenost, ker države članice zaradi sprememb, uvedenih s splošno uredbo o varstvu podatkov, ne izvajajo direktive o e-zasebnosti[9]; poziva Komisijo, naj pospeši ocenjevanje in začne postopke za ugotavljanje kršitev proti tistim državam članicam, ki niso ustrezno prenesle direktive o e-zasebnosti; je močno zaskrbljen, da bo reforma e-zasebnosti, ki zamuja že več let, ustvarila razdrobljeno pravno ureditev v EU, kar bo škodilo podjetjem in državljanom; opozarja, da je bila uredba o e-zasebnosti[10] zasnovana tako, da dopolnjuje in podrobno opredeljuje splošno uredbo o varstvu podatkov ter sovpada z začetkom uporabe splošne uredbe o varstvu podatkov; poudarja, da reforma pravil o e-zasebnosti ne sme povzročiti znižanja sedanje ravni varstva, ki jo zagotavljata splošna uredba o varstvu podatkov in direktiva o e-zasebnosti; obžaluje, da je trajalo štiri leta, da je Svet končno sprejel pogajalsko stališče o predlogu uredbe o e-zasebnosti, Parlament pa je svoje pogajalsko stališče sprejel oktobra 2017; opozarja na pomen nadgradnje pravil o zasebnosti na spletu iz leta 2002 in 2009, da se izboljšata varstvo temeljnih pravic državljanov ter pravna varnost za podjetja, v dopolnitev splošne uredbe o varstvu podatkov;

°

° °

42. naroči svojemu predsedniku, naj to resolucijo posreduje Komisiji, Evropskemu svetu, vladam in parlamentom držav članic, Evropskemu odboru za varstvo podatkov in Evropskemu nadzorniku za varstvo podatkov.

 

Zadnja posodobitev: 22. marec 2021
Pravno obvestilo - Varstvo osebnih podatkov