Rezolucija Europskog parlamenta od 25. ožujka 2021. o evaluacijskom izvješću Komisije o provedbi Opće uredbe o zaštiti podataka dvije godine nakon njezina stupanja na snagu (2020/2717(RSP))
Europski parlament,
– uzimajući u obzir članak 8. Povelje o temeljnim pravima,
– uzimajući u obzir članak 16. Ugovora o funkcioniranju Europske unije,
– uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ („Opća uredba o zaštiti podataka” (OUZP))(1),
– uzimajući u obzir izjavu Komisije od 24. lipnja 2020. o Komunikaciji Komisije Europskom parlamentu i Vijeću o zaštiti podataka kao jednom od stupova jačanja položaja građana i pristupa EU-a digitalnoj tranziciji – dvije godine primjene Opće uredbe o zaštiti podataka,
– uzimajući u obzir Komunikaciju Komisije od 24. lipnja 2020. Europskom parlamentu i Vijeću o zaštiti podataka kao jednom od stupova jačanja položaja građana i pristupa EU-a digitalnoj tranziciji – dvije godine primjene Opće uredbe o zaštiti podataka (COM(2020)0264),
– uzimajući u obzir Komunikaciju Komisije od 24. srpnja 2019. pod naslovom „Pravila o zaštiti podataka kao katalizator povjerenja u EU-u i izvan njega – analiza napretka” (COM(2019)0374),
– uzimajući u obzir doprinos Europskog odbora za zaštitu podataka evaluaciji Opće uredbe o zaštiti podataka u skladu s člankom 97., donesenoj 18. veljače 2020.(2),
– uzimajući u obzir dokument Europskog odbora za zaštitu podataka pod nazivom „Prvi pregled provedbe Opće uredbe o zaštiti podataka te uloga i sredstava nacionalnih nadzornih tijela” od 26. veljače 2019.(3),
– uzimajući u obzir smjernice koje je donio Europski odbor za zaštitu podataka u skladu s člankom 70. stavkom 1. točkom (e) Opće uredbe o zaštiti podataka,
– uzimajući u obzir članak 132. stavak 2. Poslovnika,
– uzimajući u obzir Prijedlog rezolucije Odbora za građanske slobode, pravosuđe i unutarnje poslove,
A. budući da se Opća uredba o zaštiti podataka primjenjuje od 25. svibnja 2018.; budući da su sve države članice, osim Slovenije, donijele novo zakonodavstvo ili prilagodile svoje nacionalno zakonodavstvo o zaštiti podataka;
B. budući da su prema istraživanju o temeljnim pravima iz 2019. koje je provela Agencija za temeljna prava pojedinci sve više svjesni svojih prava u skladu s Općom uredbom o zaštiti podataka; budući da se pojedinci i dalje suočavaju s poteškoćama pri ostvarivanju svojih prava, posebno u pogledu prava na pristup, prenosivost i veću transparentnost, unatoč činjenici da su organizacije uvele mjere kojima se olakšava ostvarivanje prava ispitanika;
C. budući da su od početka primjene Opće uredbe o zaštiti podataka nadzorna tijela zabilježila golem porast pritužbi; budući da to pokazuje da su ispitanici svjesniji svojih prava te da žele zaštititi svoje osobne podatke u skladu s Općom uredbom o zaštiti podataka; budući da to također pokazuje da se i dalje provodi velik broj nezakonitih postupaka obrade podataka;
D. budući da su mnoga poduzeća iskoristila prijelazno razdoblje između stupanja na snagu Opće uredbe o zaštiti podataka i njezine primjene za „proljetno čišćenje” kako bi procijenila koja se obrada podataka zapravo provodi i koja obrada podataka možda više nije potrebna ili opravdana;
E. budući da se mnoga tijela za zaštitu podataka ne mogu nositi s brojem pritužbi; budući da mnoga tijela za zaštitu nemaju dovoljno resursa niti stručnjaka za informacijsku tehnologiju;
F. budući da se u Općoj uredbi o zaštiti podataka uviđa da bi u pravu država članica trebalo uskladiti pravila kojima se uređuje sloboda izražavanja i informiranja, među ostalim novinarskog, akademskog, umjetničkog i/ili književnog izražavanja s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom; budući da se člankom 85. predviđa da države članice u svojem zakonodavstvu trebaju predvidjeti izuzeća za obradu podataka koja se obavlja u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja, ako su ona potrebna kako bi se uskladilo pravo na zaštitu osobnih podataka sa slobodom izražavanja i informiranja;
G. budući da je, kako je naglasio i Europski odbor za zaštitu podataka, zaštita novinarskih izvora temelj slobode tiska; budući da se Opća uredba o zaštiti podataka ne bi smjela zloupotrijebiti protiv novinara niti se njome smije ograničiti pristup informacijama; budući da je nacionalne vlasti ni u kojem slučaju ne bi smjele koristiti za gašenje slobode medija;
Opće napomene
1. pozdravlja činjenicu da je Opća uredba o zaštiti podataka postala globalni standard za zaštitu osobnih podataka i čimbenik konvergencije u razvoju normi; pozdravlja činjenicu da je Općom uredbom o zaštiti podataka EU postao predvodnik u međunarodnim raspravama o zaštiti podataka te da je niz trećih zemalja uskladio svoje zakone o zaštiti podataka s Općom uredbom o zaštiti podataka; ističe da je Konvencija br. 108 Vijeća Europe o zaštiti podataka usklađena s Općom uredbom o zaštiti podataka (Konvencija za zaštitu osoba glede automatizirane obrade osobnih podataka) i da su je potpisale 42 zemlje; potiče Komisiju i države članice da iskoriste taj zamah kako bi na razini UN-a, OECD-a, G8 i G20 potaknule stvaranje međunarodnih standarda koji se temelje na europskim vrijednostima i načelima bez ugrožavanja Opće uredbe o zaštiti podataka; naglašava da bi vodeći položaj Europe u tom području pomogao našem kontinentu da bolje brani prava naših građana, zaštiti naše vrijednosti i načela, promiče pouzdane digitalne inovacije i ubrza gospodarski rast izbjegavanjem fragmentacije;
2. zaključuje da je dvije godine nakon početka primjene Opća uredba o zaštiti podataka općenito uspješna te se slaže s Komisijom da u ovoj fazi nije potrebno ažurirati ili preispitivati zakonodavstvo;
3. potvrđuje da, do Komisijine sljedeće evaluacije, naglasak mora i dalje biti na poboljšanju provedbe i mjera za jačanje provedbe Opće uredbe o zaštiti podataka;
4. potvrđuje potrebu za snažnom i učinkovitom provedbom Opće uredbe o zaštiti podataka u odnosu na velike digitalne platforme, integrirana poduzeća i druge digitalne usluge, posebno u područjima kao što su internetsko oglašavanje, mikrociljanje, algoritamsko profiliranje, poredak, širenje i povećanje sadržaja;
Pravna osnova za obradu
5. naglašava da je svih šest pravnih osnova utvrđenih u članku 6. Opće uredbe o zaštiti podataka jednako valjano za obradu osobnih podataka te da ista aktivnost obrade može biti obuhvaćena više osnova; potiče nadzorna tijela da osiguraju da se voditelji obrade moraju držati samo jedne pravne osnovne za pojedinačni postupak obrade i da objasne na koji način se oslanjaju na svaku pojedinačnu pravnu osnovu za postupke obrade; zabrinut je da voditelji obrade često navode svu pravnu osnovu Opće uredbe o zaštiti podataka u politici zaštite privatnosti a da dodatno ne objasne i ne upute na konkretan postupak obrade; shvaća da takva praksa ne omogućuje ispitanicima i nadzornim tijelima da procijene jesu li takve pravne osnove primjerene; podsjeća da se za obradu posebnih kategorija osobnih podataka mora utvrditi zakonita osnova u skladu s člankom 6. i zaseban uvjet za obradu u skladu s člankom 9.; podsjeća voditelje obrade na njihovu pravnu obvezu da provedu procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada dovesti do visokog rizika za prava i slobode pojedinaca;
6. podsjeća da od početka primjene Opće uredbe o zaštiti podataka „privola” znači svako slobodno, dano, posebno, informirano i nedvosmisleno izražavanje želja ispitanika; naglašava da se to odnosi i na Direktivu o e-privatnosti; konstatira da je provedba važećeg pristanka i dalje ugrožena upotrebom prijevara putem sučelja („dark patterns”), raširenim praćenjem i drugim neetičkim praksama; zabrinut je zbog toga što su pojedinci često pod financijskim pritiskom da daju privolu u zamjenu za popuste ili druge komercijalne ponude ili su prisiljeni dati privolu uvjetovanjem pristupa usluzi putem vezanja, čime se krši članak 7. Opće uredbe o zaštiti podataka; podsjeća na usklađena pravila Europskog odbora za zaštitu podataka o tome što čini valjanu suglasnost, kojima se zamjenjuju različita tumačenja mnogih nacionalnih tijela za zaštitu podataka i izbjegava rascjepkanost unutar jedinstvenog digitalnog tržišta; također podsjeća na smjernice Europskog odbora za zaštitu podataka i Komisije kojima se utvrđuje da se u slučajevima u kojima je ispitanik prvotno dao suglasnost, ali u kojima se osobni podaci dalje obrađuju u svrhu različitu od svrhe za koju je ispitanik dao suglasnost, prvotnom suglasnošću ne može opravdati daljnja obrada jer pristanak mora biti informiran i specifičan da bi bio valjan; prima na znanje predstojeće smjernice Europskog odbora za zaštitu podataka o obradi osobnih podataka u svrhu znanstvenog istraživanja, kojima će se pojasniti značenje uvodne izjave 50. Opće uredbe o zaštiti podataka;
7. zabrinut je da se legitimni interes vrlo često zloupotrebljava kao pravna osnova za obradu; ističe da se voditelji obrade podataka i dalje oslanjaju na legitimni interes a da ne uzimaju u obzir ravnotežu interesa, koja uključuje procjenu temeljnih prava; posebno je zabrinut zbog činjenice da neke države članice donose nacionalno zakonodavstvo kako bi odredile uvjete za obradu na temelju legitimnog interesa, osiguravajući pritom uravnoteženje između interesa voditelja obrade i pojedinaca na koje se to odnosi, dok Opća uredba o zaštiti podataka obvezuje svakog voditelja obrade da taj test ravnoteže provodi zasebno i iskoristi tu pravnu osnovu; zabrinut je zbog toga što neka nacionalna tumačenja legitimnog interesa ne poštuju uvodnu izjavu 47. i učinkovito zabranjuju obradu na temelju legitimnog interesa; pozdravlja činjenicu da je Europski odbor za zaštitu podataka već započeo s radom na ažuriranju mišljenja Radne skupine iz članka 29. o primjeni legitimnog interesa kao pravne osnove za obradu kako bi se riješila pitanja istaknuta u izvješću Komisije;
Prava ispitanikâ
8. naglašava da je potrebno olakšati ostvarivanje pojedinačnih prava zajamčenih Općom uredbom o zaštiti podataka, kao što su prenosivost podataka ili prava u kontekstu automatizirane obrade, uključujući izradu profila; pozdravlja smjernice Europskog odbora za zaštitu podataka o automatiziranom donošenju i o prenosivosti podataka; konstatira da pravo na prenosivost podataka nije u potpunosti provedeno u nekoliko sektora; poziva Europski odbor za zaštitu podataka da potiče pružatelje digitalnih usluga da za sve svoje osnovne digitalne platforme uspostave jedinstvenu kontaktnu točku, s koje se zahtjevi korisnika mogu proslijediti odgovarajućem primatelju; ističe da pravo na anonimnost učinkovito sprečava neovlašteno otkrivanje, krađu identiteta i druge oblike zlouporabe osobnih podataka, u skladu s načelom smanjenja količine podataka;
9. naglašava da poštovanje prava na informiranost od poduzeća zahtijeva pružanje informacija na sažet, transparentan, razumljiv i lako dostupan način te izbjegavanje primjene legalističkog pristupa pri sastavljanju obavijesti o zaštiti podataka; zabrinut je jer poduzeća i dalje krše svoje obveze iz članka 12. stavka 1. Opće uredbe o zaštiti podataka i ne pružaju sve relevantne informacije koje preporuča Europski odbor za zaštitu podataka, među ostalim u pogledu popisa imena subjekata s kojima dijele podatke; podsjeća da je obveza pružanja jednostavnih i dostupnih informacija posebno stroga kada je riječ o djeci; zabrinut je zbog raširenog nedostatka mehanizama koji ispravno funkcioniraju a koji ispitanicima omogućuju pristup; ističe da pojedinci često ne mogu prisiliti internetske platforme da im otkriju njihove bihevioralne profile; zabrinut je jer poduzeća prečesto ignoriraju činjenice da izvedeni podaci također spadaju pod osobne podatke, što podliježe svim zaštitnim mjerama u okviru Opće uredbe o zaštiti podataka;
Mala poduzeća i organizacije
10. primjećuje da neki dionici navode da primjena Opće uredbe o zaštiti podataka posebno predstavlja izazov, posebno za mala i srednja poduzeća (MSP-ovi), novoosnovana poduzeća, organizacije i udruge, uključujući škole, i klubove kao i društva; napominje, međutim, da mnoga prava i obveze iz Opće uredbe o zaštiti podataka nisu nova i već su bila na snazi u skladu s Direktivom 95/46/EZ(4), ali se nisu provodila; smatra da Opća uredba o zaštiti podataka i njezina provedba ne smiju dovesti do neželjenih posljedica u pogledu usklađenosti za manja poduzeća koje ne bi utjecale na velika poduzeća; vjeruje da bi informativne kampanje nacionalnih tijela i Komisije trebale staviti na raspolaganje više potpore, više informacija i veći broj prilika za osposobljavanja kako bi se poboljšalo znanje, kvaliteta provedbe i svijest o zahtjevima i svrsi Opće uredbe o zaštiti podataka;
11. ističe da ne postoje odstupanja za MSP-ove, novoosnovana poduzeća, organizacije i udruženja, uključujući škole, klubove i društva, te da oni podliježu području primjene Opće uredbe o zaštiti podataka; poziva stoga Europski odbor za zaštitu podataka da pruži jasne informacije kako bi se izbjegla svaka pomutnja vezana uz provedbu Opće uredbe o zaštiti podataka te da stvori praktične alate Opće uredbe o zaštiti podataka kako bi se malim i srednjim poduzećima, novoosnovanim poduzećima, organizacijama i udrugama, uključujući škole, klubove, kao i društva s niskorizičnim aktivnostima obrade olakšala provedba Opće uredbe o zaštiti podataka; poziva države članice da tijelima za zaštitu podataka stave na raspolaganje dostatna sredstva za širenje znanja o tim praktičnim alatima; potiče Europski odbor za zaštitu podataka da razvije predloške za politiku zaštite privatnosti koje organizacije mogu upotrebljavati kako bi lakše mogle dokazati stvarnu usklađenost s Općom uredbom o zaštiti podataka u praksi, a da se pritom ne moraju oslanjati na skupe usluge trećih strana;
Provedba
12. izražava svoju zabrinutost zbog neujednačene i ponekad nepostojeće provedbe Opće uredbe o zaštiti podataka od strane nacionalnih tijela za zaštitu podataka više od dvije godine nakon početka njezine primjene te stoga žali zbog toga što se stanje u pogledu provedbe nije znatno poboljšalo u usporedbi sa stanjem u okviru Direktive 95/46/EZ;
13. prima na znanje da je tijekom prvih 18 mjeseci primjene Opće uredbe o zaštiti podataka podneseno oko 275 000 pritužbi i izdano 785 upravnih novčanih kazni za različite povrede, ali ističe da je dosad obrađen tek mali broj podnesenih pritužbi; svjestan je problema uzrokovanih povredama osobnih podataka i podsjeća na trenutačne smjernice Europskog odbora za zaštitu podataka kojima se pojašnjavaju rokovi za obavješćivanje, komunikacija s osobama čiji se podaci obrađuju i pravni lijekovi, među ostalim; ističe da bi europski standardni obrazac za obavješćivanje o povredi podataka mogao biti koristan za usklađivanje različitih nacionalnih pristupa; međutim, žali zbog toga što se iznos novčanih kazni znatno razlikuje među državama članicama i što su neke novčane kazne koje se izriču velikim poduzećima preniske da bi imale željeni učinak, a to je odvraćanje od kršenja zaštite podataka; poziva tijela za zaštitu podataka da povećaju provedbu, kazneni progon i izdavanje kazni za slučajeve kršenja zaštite podataka i da u potpunosti iskoriste mogućnosti iz Opće uredbe o zaštiti podataka za izricanje novčanih kazni i za primjenu drugih korektivnih mjera; naglašava da bi zabrana obrade ili obveza brisanja osobnih podataka stečenih na način koji nije u skladu s Općom uredbom o zaštiti podataka mogle imati jednak, ako ne i snažniji odvraćajući učinak od novčanih kazni; poziva Komisiju i Europski odbor za zaštitu podataka da usklade sankcije i pritom donesu smjernice i jasne kriterije, kao što je to učinila konferencija njemačkih nadzornih tijela, kako bi se povećala pravna sigurnost te spriječio odlazak poduzeća na lokacije na kojima se izriču najniže kazne;
14. izražava zabrinutost zbog trajanja istrage slučajeva koju provode neka tijela za zaštitu podataka i njegova negativnog učinka na učinkovitu provedbu i povjerenje građana; potiče tijela za zaštitu podataka da ubrzaju obradu predmeta i da iskoriste cijeli niz mogućnosti u okviru Opće uredbe o zaštiti podataka, posebno ako postoje sustavna i stalna kršenja, među ostalim s financijskim interesom i velikim brojem pogođenih ispitanika;
15. zabrinut je zbog činjenice da su nadzorna tijela iz 21 države članice od ukupno 31 države koja primjenjuje Opću uredbu o zaštiti podataka, točnije svih država članica Europske unije, Europskog gospodarskog prostora i Ujedinjene Kraljevine, izričito izjavila da nemaju dovoljno ljudskih, tehničkih i financijskih resursa niti prostorija i infrastrukture za učinkovito obavljanje svojih zadaća i izvršavanje svojih ovlasti; zabrinut je zbog nedostatka tehničkog osoblja u većini nadzornih tijela diljem EU-a, što otežava istrage i provedbu; sa zabrinutošću primjećuje da su nadzorna tijela pod pritiskom s obzirom na sve veću neusklađenost između njihovih zaduženja u pogledu zaštite osobnih podataka i resursa koje za to imaju; napominje da će digitalne usluge postati sve složenije zbog povećane upotrebe inovacija kao što je umjetna inteligencija (tj. to će dovesti do pogoršanja problema ograničene transparentnosti obrade podataka, posebno za algoritamsko osposobljavanje); stoga ističe da je važno da nadzorna tijela EU-a i Europski odbor za zaštitu podataka raspolažu dostatnim financijskim, tehničkim i ljudskim resursima kako bi se mogli brzo, ali temeljito nositi sa sve većim brojem složenih slučajeva koji zahtijevaju velike resurse te koordinirati i olakšati suradnju među nacionalnim tijelima za zaštitu podataka, pravilno pratiti primjenu Opće uredbe o zaštiti podataka i štititi temeljna prava i slobode; izražava zabrinutost da bi nedovoljna sredstva za tijela za zaštitu podataka, posebno kada se ta sredstva uspoređuju s prihodima velikih tehnoloških poduzeća, mogla dovesti do sporazuma o nagodbama jer bi se time ograničili troškovi dugotrajnih i složenih postupaka;
16. poziva Komisiju da razmotri mogućnost obvezivanja velikih multinacionalnih tehnoloških poduzeća da snose troškove za vlastiti nadzor preko digitalnog poreza EU-a;
17. sa zabrinutošću napominje da zbog nedostatka provedbe od strane tijela za zaštitu podataka i zbog nedovoljnog djelovanja Komisije u rješavanju nedostatka resursa za tijela za zaštitu podataka, teret provedbe pada na pojedinačne građane kako bi se zahtjevi za zaštitu podataka podnijeli sudu; zabrinut je zbog toga što sudovi ponekad određuju naknadu za pojedinačne tužitelje bez nalaganja organizaciji ili poduzeću da riješe strukturne probleme; smatra da privatni postupak provedbe može pokrenuti važnu sudsku praksu, ali ne predstavlja zamjenu za provedbu od strane tijela za zaštitu podataka ili za djelovanje Komisije u rješavanju problema nedostatka sredstava. ne odobrava što te države članice krše članak 52. stavak 4. Opće uredbe o zaštiti podataka; poziva države članice da stoga ispune svoju pravnu obvezu u skladu s člankom 52. stavkom 4. o dodjeli većih sredstava svojim tijelima za zaštitu podataka kako bi im se omogućilo da svoj posao obavljaju na najbolji mogući način i kako bi se osigurali jednaki uvjeti na europskoj razini u pogledu provedbe Opće uredbe o zaštiti podataka; žali što Komisija još nije počela pokretanje postupaka zbog povrede protiv onih država članica koje nisu ispunile svoje obveze u skladu s Općom uredbom o zaštiti podataka i apelira na Komisiju da to učini bez odgode; poziva Europsku komisiju i Europski odbor za zaštitu podataka da poprate komunikaciju Komisije od 24. lipnja 2020. u okviru čega će se ocijeniti funkcioniranje i provedba Opće uredbe o zaštiti podataka;
18. žali zbog toga što je većina država članica odlučila ne provesti članak 80. stavak 2. Opće uredbe o zaštiti podataka; poziva sve države članice da se koriste člankom 80. stavkom 2. i da omoguće pravo na podnošenje pritužbi i obraćanje sudu a da nije potrebna ovlast osobe čiji se podaci obrađuju; poziva države članice da razjasne položaj podnositelja prijava tijekom postupaka u okviru nacionalnog zakonodavstva o upravnim postupcima koje se primjenjuje na nadzorna tijela; ističe da bi se time trebalo pojasniti da podnositelji pritužbi ne bi trebali imati samo pasivnu ulogu tijekom postupka već i mogućnost sudjelovanja u različitim fazama;
Suradnja i dosljednost
19. ističe da je slaba provedba posebno vidljiva u prekograničnim pritužbama i žali zbog činjenice da tijela nadležna za zaštitu podataka u 14 država članica nemaju odgovarajuća sredstva za doprinos mehanizmima suradnje i dosljednosti; poziva Europski odbor za zaštitu podataka da uloži veće napore kako bi se zajamčila ispravna primjena članaka 60. i 63. Opće uredbe o zaštiti podataka te podsjeća nadzorna tijela da u iznimnim okolnostima mogu primijeniti hitni postupak iz članka 66. Opće uredbe o zaštiti podataka, posebno privremene mjere;
20. naglašava važnost mehanizma jedinstvene kontaktne točke u pružanju pravne sigurnosti i u smanjenju administrativnog opterećenja za poduzeća kao i za građane; veoma je zabrinut u vezi s funkcioniranjem mehanizma, posebno kad je riječ o ulozi irskog i luksemburškog tijela za zaštitu podataka; primjećuje da su ta tijela za zaštitu podataka odgovorna za rješavanje velikog broja predmeta jer su mnoga tehnološka poduzeća registrirala sjedište u EU-u u Irskoj ili Luksemburgu; posebno je zabrinut zbog toga što irsko tijelo za zaštitu podataka obično zaključuje većinu predmeta nagodbom umjesto sankcijama te što predmeti upućeni Irskoj 2018. nisu ni došli u fazu nacrta odluke u skladu s člankom 60. stavkom 3. Opće uredbe o zaštiti podataka; traži to tijelo za zaštitu podataka da ubrza istrage glavnih predmeta koji su u tijeku kako bi se građanima EU-a pokazalo da je zaštita podataka pravo koje se provodi u EU-u; ističe da uspjeh tog mehanizma jedinstvene kontaktne točke ovisi o vremenu i naporima koje tijela za zaštitu podataka mogu posvetiti rješavanju pojedinačnih prekograničnih slučajeva u Europskom odboru za zaštitu podataka, te da nedostatak političke volje i sredstava ima izravne posljedice na to u kojoj mjeri taj mehanizam može pravilno funkcionirati;
21. primjećuje nedosljednosti između smjernica država članica i smjernica Europskog odbora za zaštitu podataka; ističe da nacionalna tijela za zaštitu podataka mogu različito tumačiti Opću uredbu o zaštiti podataka, što bi moglo dovesti do različitih primjena među državama članicama; primjećuje da ta situacija stvara geografske prednosti i nedostatke za poduzeća; potiče Komisiju da procijeni narušavaju li nacionalni administrativni postupci punu učinkovitost suradnje u skladu s člankom 60. Opće uredbe o zaštiti podataka, kao i njezinu učinkovitu provedbu; poziva tijela za zaštitu podataka da nastoje postići dosljedno tumačenje i uspostave smjernice uz pomoć Europskog odbora za zaštitu podataka; posebno poziva Europski odbor za zaštitu podataka da uspostavi osnovne elemente zajedničkog upravnog postupka za rješavanje pritužbi u prekograničnim predmetima u okviru suradnje iz članka 60.; potiče da se to učini praćenjem smjernica o zajedničkim rokovima za provođenje istraga i donošenje odluka; poziva Europski odbor za zaštitu podataka da ojačaju mehanizam konzistentnosti i učine ga obveznim za sva pitanja opće primjene ili za svaki slučaj koji proizvodi prekogranične učinke kako bi se izbjegli nedosljedni pristupi i odluke pojedinačnih tijela za zaštitu podataka koji ugrožavaju ujednačeno tumačenje i primjenu Opće uredbe o zaštiti podataka; smatra da će to zajedničko tumačenje, primjena i usmjeravanje doprinijeti stvaranju i uspjehu jedinstvenog digitalnog tržišta;
22. poziva Europski odbor za zaštitu podataka da prije sastanaka objavi svoj dnevni red i da javnosti i Parlamentu dostavi detaljniji sažetak sastanaka;
Fragmentarnost provedbe Opće uredbe o zaštiti podataka
23. žali zbog činjenice da je primjena fakultativnih klauzula o specifikaciji u državama članicama (npr. obrada u javnom interesu ili obrada koju provode javna tijela na temelju prava države članice i dobi djece za pristanak) naštetila postizanju potpune usklađenosti zaštite podataka i uklanjanju različitih tržišnih uvjeta za poduzeća diljem EU-a te izražava zabrinutost da bi to moglo povećati troškove poštovanja Opće uredbe o zaštiti podataka; poziva Europski odbor za zaštitu podataka da predstavi smjernice o tome kako postupati s različitom provedbom fakultativnih klauzula među državama članicama; poziva Komisiju da iskoristi svoje ovlasti kako bi intervenirala u državama članicama u kojima nacionalne mjere, djelovanje i odluke ugrožavaju duh, cilj i tekst Opće uredbe o zaštiti podataka kako bi se spriječila nejednaka zaštita građana i narušavanje tržišta; u tom smislu ističe da su države članice usvojile drugačiju dob do koje je potreban pristanak roditelja; poziva stoga Komisiju i države članice da procijene učinak te neusklađenosti na aktivnosti djece i njihovu zaštitu online; naglašava da bi u slučaju neusklađenosti zakona između nacionalnog prava države članice i Opće uredbe o zaštiti podataka prednost trebale imati odredbe Opće uredbe o zaštiti podataka;
24. izražava veliku zabrinutost zbog toga što javna tijela nekih država članica zloupotrebljavaju Opću uredbu o zaštiti podataka kako bi se ograničilo djelovanje novinara i nevladinih organizacija; u potpunosti se slaže s Komisijom da pravila o zaštiti podataka ne bi trebala ugrožavati slobodu izražavanja i informiranja, posebno ako se njima pokušava zastrašivati ili ako se način na koji se ona tumače upotrebljava kako bi se vršio pritisak na novinare da otkriju svoje izvore; međutim, razočaran je zbog toga što Komisija još nije dovoljno procijenila kako pravilno vagati između prava na zaštitu osobnih podataka i slobode izražavanja i informiranja kako je istaknuto u članku 85. Opće uredbe o zaštiti podataka; poziva Komisiju da bez nepotrebne odgode dovrši svoju procjenu nacionalnog zakonodavstva u tom pogledu i da se koristi svim dostupnim alatima, među ostalim i postupcima zbog povrede prava, kako bi se zajamčilo da države članice poštuju Opću uredbu o zaštiti podataka i kako bi se ograničila rascjepkanost okvira za zaštitu podataka;
Integrirana zaštita podataka
25. poziva nadzorna tijela da ocijene provedbu članka 25. o tehničkoj i integriranoj zaštiti podataka, posebno s obzirom na osiguranje tehničkih i operativnih mjera potrebnih za provedbu načela smanjenja količine podataka i ograničavanja svrhe te da utvrde učinak koji je ta odredba dosad imala na proizvođače tehnologija za obradu; pozdravlja činjenicu da je Europski odbor za zaštitu podataka u listopadu 2020. usvojio smjernice 04/2019 o tehničkoj i zadanoj zaštiti podataka u skladu s člankom 25. kako bi se doprinijelo pravnoj jasnoći koncepata; poziva nadzorna tijela da također ocijene pravilnu upotrebu zadanih postavki kako je predviđeno člankom 25. stavkom 2., među ostalim i upotrebu glavnih pružatelja internetskih usluga; preporučuje da Europski odbor za zaštitu podataka donese smjernice kako bi utvrdio pod kojim posebnim uvjetima i u kojim se razredima slučajeva proizvođači IKT-a smatraju voditeljima obrade u skladu s člankom 4. stavkom 7. jer određuju načine obrade; ističe da prakse zaštite podataka i dalje uvelike ovise o poslovima koji se obavljaju ručno i da su proizvoljnih formata te da su prožete neusklađenim sustavima; poziva Europski odbor za zaštitu podataka da razvije smjernice kojima se pomaže u provedbi zahtjeva za zaštitu podataka u praksi, među ostalim smjernice za procjene učinka na zaštitu podataka (članak 35.), tehničku i integriranu zaštitu podataka (članak 25.), informiranje ispitanika (članci 12. – -14.), ostvarivanje prava ispitanika (članci 15. – -18. i 20. – -21.) i evidenciju aktivnosti obrade (članak 30.); poziva Europski odbor za zaštitu podataka da se pobrine za to da te smjernice budu lako primjenjive i da budu strojno čitljive kako bi se omogućila komunikacija među strojevima za osobe čiji se podaci obrađuju, nadzornika i tijelo za zaštitu podataka (automatizirana zaštita podataka); poziva Komisiju da u skladu s člankom 12. stavkom 8. razvije strojno čitljive ikone za obavješćivanje ispitanika, u bliskoj suradnji s Europskim odborom za zaštitu podataka; potiče Europski odbor za zaštitu podataka i nadzorna tijela da iskoriste puni potencijal članka 21. stavka 5. o automatiziranim načinima prigovora na obradu osobnih podataka;
Smjernice
26. poziva Europski odbor za zaštitu podataka da izradom smjernica uskladi provedbu zahtjeva za zaštitu podataka u praksi, među ostalim, potrebu za procjenom rizika povezanih s informacijama o obradi podataka za ispitanike (članci od 12. do 14.), ostvarivanje prava ispitanika (članci 15. – 18., 20. – 21.) i provedbu načela odgovornosti; poziva Europski odbor za zaštitu podataka da izda smjernice u kojima se klasificira kako na različite zakonite načine koristiti izradu profila prema rizicima po pitanju prava i sloboda ispitanika, te koje sadrže preporuke za odgovarajuće tehničke i organizacijske mjere kao i jasna razgraničenja slučajeva nezakonite uporabe; poziva Europski odbor za zaštitu podataka da preispita mišljenje Radne skupine iz članka 29. 05/2014. od 10. travnja 2014. o tehnikama anonimizacije i da sastavi popis nedvosmislenih kriterija kako bi se postigla anonimizacija; potiče Europski odbor za zaštitu podataka da pojasni obradu podataka za potrebe ljudskih resursa; prima na znanje zaključak Europskog odbora za zaštitu podataka da bi trebalo procijeniti rizike povezane s obradom podataka, kako je predviđeno Općom uredbom o zaštiti podataka, jer rizici za ispitanike nisu povezani s veličinom voditelja obrade podataka; poziva na bolju upotrebu mehanizma u okviru kojeg Komisija može zatražiti savjet od Europskog odbora za zaštitu podataka o pitanjima obuhvaćenima Općom uredbom o zaštiti podataka;
27. napominje da je pandemija bolesti COVID-19 istaknula potrebu za jasnim vodstvom nadležnih tijela za zaštitu podataka i Europskog odbora za zaštitu podataka o odgovarajućoj provedbi Opće uredbe o zaštiti podataka u području javnog zdravlja; u tom pogledu podsjeća na Smjernice 03/2020 o obradi zdravstvenih podataka u svrhu znanstvenog istraživanja u kontekstu izbijanja bolesti COVID-19 i Smjernice 04/2020 o uporabi podataka o lokaciji i alata za praćenje kontakata u kontekstu pandemije bolesti COVID-19; poziva Komisiju da osigura potpunu usklađenost s Općom uredbom o zaštiti podataka pri stvaranju zajedničkog europskog prostora za zdravstvene podatke;
Međunarodni prijenos osobnih podataka i suradnja
28. naglašava važnost omogućavanja slobodnog protoka osobnih podataka na međunarodnoj razini bez snižavanja razine zaštite zajamčene Općom uredbom o zaštiti podataka; podržava praksu Komisije da zaštitu podataka i prijenos osobnih podataka rješava odvojeno od trgovinskih sporazuma; smatra da će se međunarodnom suradnjom u području zaštite podataka i usklađivanjem relevantnih pravila u odnosu na Opću uredbu o zaštiti podataka ojačati uzajamno povjerenje, potaknuti razumijevanje tehnoloških i pravnih izazova i u konačnici olakšati prekogranični prijenos podataka koji su neophodni za međunarodnu trgovinu; priznaje da postoje proturječni pravni zahtjevi za poduzeća koja obavljaju aktivnosti u vezi s obradom podataka u EU-u, kao i u jurisdikcijama trećih zemalja, posebno SAD-a;
29. naglašava da odluke o primjerenosti ne bi trebale biti političke nego pravne odluke; potiče stalne napore za promicanje globalnih pravnih okvira kako bi se omogućio prijenos podataka na temelju Opće uredbe o zaštiti podataka i Konvencije Vijeća Europe 108+; također primjećuje da dionici odluke o primjerenosti smatraju ključnim alatom za takav protok podataka jer ih ne povezuju s dodatnim uvjetima ili odobrenjima; međutim, ističe da su dosad donesene odluke o primjerenosti samo za devet zemalja, iako su mnoge dodatne treće zemlje nedavno donijele nove zakone o zaštiti podataka sa sličnim pravilima i načelima poput onih u Općoj uredbi o zaštitu podataka; napominje da do sada nijedan jedinstveni mehanizam kojim bi se zajamčio zakoniti prijenos poslovnih osobnih podataka između EU-a i SAD-a nije dobio pravni spor pred Sudom Europske unije;
30. pozdravlja donošenje prve odluke o uzajamnoj primjerenosti između EU-a i Japana, kojom je stvoreno najveće područje slobodnog i sigurnog protoka podataka na svijetu; poziva Komisiju da uzme u obzir sva pitanja koja je Parlament postavio u prvom preispitivanju tog instrumenta i da objavi rezultate što je prije moguće jer je revizija trebala biti usvojena do siječnja 2021.;
31. poziva Komisiju da objavi skup kriterija koji se primjenjuju pri utvrđivanju toga smatra li se da treća zemlja pruža „u načelu istovjetnu” razinu zaštite onoj koja se pruža u EU-u, posebno u pogledu pristupa pravnim lijekovima i vladina pristupa podacima; ustraje u tome da treba zajamčiti učinkovitu primjenu odredba i usklađenost s odredbama koje se odnose na prijenose ili otkrivanje podataka koje Unija nije odobrila u skladu s člankom 48. Opće uredbe o zaštiti podataka, posebno u pogledu zahtjeva tijela trećih zemalja za pristup osobnim podacima u Uniji, te poziva Odbor za zaštitu podataka i tijela za zaštitu podataka da pruže smjernice i provedu te odredbe, među ostalim u procjeni i razvoju mehanizama prijenosa osobnih podataka;
32. poziva Komisiju da donese delegirane akte u svrhu utvrđivanja uvjeta koje treba uzeti u obzir za mehanizam certificiranja zaštite podataka u skladu s člankom 42. stavkom 1. kako bi se potaknula njegova upotreba, zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji da primijeni odgovarajuće zaštitne mjere, među ostalim u pogledu prava ispitanika, kao sredstva za međunarodne prijenose, kako je predviđeno člankom 46. stavkom 2. točkom (f);
33. ponavlja činjenicu da programi masovnog nadzora koji obuhvaćaju prikupljanje skupnih podataka ometaju nalaze o primjerenosti; potiče Komisiju da zaključke Suda Europske unije primijeni u predmetima Schrems I(5), II(6) i Privacy International & al (2020.)(7) na sve revizije odluka o primjerenosti, kao i na tekuće i buduće pregovore; podsjeća da prijenosi koji se temelje na izuzećima za posebne situacije u skladu s člankom 49. Opće uredbe o zaštiti podataka za prijenose moraju ostati iznimka; pozdravlja u tom pogledu smjernice Europskog odbora za zaštitu podataka i tijela za zaštitu podataka i poziva ih da zadrže dosljedno tumačenje u primjeni i kontroli takvih odstupanja u skladu sa smjernicama Europskog odbora za zaštitu podataka 02/2018;
34. poziva tijela za zaštitu podataka i Komisiju da sustavno procjenjuju primjenjuju li se pravila o zaštiti podataka u praksi u trećim zemljama, u skladu sa sudskom praksom Suda Europske unije;
35. snažno poziva Komisiju da bez nepotrebne odgode objavi svoju reviziju odluka o primjerenosti donesenih u skladu s Direktivom iz 1995.; naglašava da su, u nedostatku odluke o primjerenosti, standardne ugovorne klauzule (SCC) najčešće korišteni alat za međunarodne prijenose podataka; konstatira da je Sud potvrdio valjanost Odluke 2010/87/EU o SCC(8) i istovremeno zahtijevao procjenu razine zaštite koja se pruža za podatke koji se prenose trećoj zemlji kao i relevantnih aspekata pravnog sustava te treće zemlje u pogledu pristupa javnih tijela prenesenim osobnim podacima; poziva Komisiju da ubrza modernizaciju standardnih ugovornih klauzula za međunarodni prijenos podataka kako bi se osigurali jednaki uvjeti za mala i srednja poduzeća (MSP) na međunarodnoj razini; pozdravlja činjenicu da je Komisija objavila nacrt partnerstva „Pametni gradovi i zajednice” i cilj da se partnerstvo „Pametni gradovi i zajednice” učini pristupačnijim korisnicima i da se uklone utvrđeni nedostaci trenutačnih standarda;
36. podsjeća na Smjernice Europskog odbora za zaštitu podataka 1/2019 o kodeksima ponašanja i tijelima za praćenje u skladu s Uredbom (EU) 2016/679; potvrđuje da se taj instrument trenutačno nedovoljno upotrebljava unatoč tome što se njime jamči usklađenost s Općom uredbom o zaštiti podataka kada se upotrebljava zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji u pogledu primjene odgovarajućih zaštitnih mjera; ističe potencijal tog instrumenta za bolju potporu malim i srednjim poduzećima i pružanje veće pravne sigurnosti u kontekstu međunarodnih prijenosa podataka u različitim sektorima;
Buduće zakonodavstvo Unije
37. smatra da tehnološki neutralna Opća uredba o zaštiti podataka pruža čvrst regulatorni okvir za tehnologije u nastajanju; ipak smatra da su potrebni dodatni napori kako bi se posebnim propisima riješila šira pitanja digitalizacije, kao što su monopol i neravnoteže moći, te kako bi se pažljivo razmotrila povezanost Opće uredbe o zaštiti podataka sa svakom novom zakonodavnom inicijativom radi jamčenja dosljednosti i uklanjanja pravnih nedostataka; podsjeća Komisiju na njezinu obvezu da osigura da zakonodavni prijedlozi, kao što su upravljanje podacima, akt o podacima, djelovanje u području digitalnih usluga ili umjetna inteligencija, uvijek moraju biti u potpunosti u skladu s Općom uredbom o zaštiti podataka i Direktivom o izvršavanju zakonodavstva(9); smatra da se konačnim tekstovima koje su suzakonodavci donijeli u međuinstitucijskim pregovorima mora u potpunosti poštovati pravna stečevina o zaštiti podataka; međutim, žali zbog toga što sama Komisija u zakonodavnim prijedlozima nema uvijek dosljedan pristup zaštiti podataka; ističe da prijedlog nije automatski u skladu s Općom uredbom o zaštiti podataka ako se poziva na Opću uredbu o zaštiti podataka ili sadrži stavku „ne dovodeći u pitanje Opću uredbu o zaštiti podataka”; poziva Komisiju da se savjetuje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u slučaju da nakon donošenja prijedloga zakonodavnog akta postoji utjecaj na zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka; nadalje poziva Komisiju da se pri pripremi prijedloga ili preporuka savjetuje s Europskim nadzornikom za zaštitu podataka kako bi se osigurala dosljednost pravila o zaštiti podataka u cijeloj Uniji te da uvijek provede procjenu učinka;
38. napominje da se profiliranje, iako je dopušteno člankom 22. Opće uredbe o zaštiti podataka samo pod strogim i ograničenim uvjetima, sve više upotrebljava jer internetske aktivnosti pojedinaca omogućuju dublji uvid u njihov psihološki i privatni život; primjećuje da bi, budući da profiliranje omogućuje upravljanje ponašanjem korisnika, prikupljanje i upotreba osobnih podataka o upotrebi digitalnih usluga trebali biti ograničeni na strogo neophodno kako bi se korisnicima mogla pružiti i naplatiti usluga; poziva Komisiju da predloži strog sektorski zakon o zaštiti podataka za osjetljive kategorije osobnih podataka ako to još nije učinila; traži strogu provedbu Opće uredbe o zaštiti podataka za obradu osobnih podataka;
39. poziva na osnaživanje potrošača kako bi mogli donositi utemeljene odluke o posljedicama upotrebe novih tehnologija na privatnost te na osiguravanje poštene i transparentne obrade pružanjem jednostavnih mogućnosti davanja i povlačenja suglasnosti za obradu njihovih osobnih podataka kako je predviđeno Općom uredbom o zaštiti podataka;
Direktiva o kaznenom progonu
40. zabrinut je zbog toga što pravila o zaštiti podataka koja se upotrebljavaju za potrebe kaznenog progona ne mogu držati korak s novostvorenim kompetencijama za kazneni progon; stoga poziva Komisiju da provede evaluaciju Direktive o kaznenom progonu prije roka predviđenog Direktivom i da tu reviziju učini javno dostupnom;
Uredba o e-privatnosti
41. izražava duboku zabrinutost zbog toga što države članice ne provode Direktivu o e-privatnosti(10) s obzirom na promjene uvedene Općom uredbom o zaštiti podataka; poziva Komisiju da ubrza svoju procjenu i pokrene postupke zbog povrede protiv onih država članica koje nisu pravilno provele Direktivu o e-privatnosti; vrlo je zabrinut zbog toga što dugogodišnja reforma e-privatnosti dovodi do fragmentacije pravnog okruženja u EU-u, što šteti i poduzećima i građanima; podsjeća da je Uredba o e-privatnosti(11) osmišljena tako da nadopunjuje i precizira Opću uredbu o zaštiti podataka i da se podudara s početkom primjene Opće uredbe o zaštiti podataka; ističe da reforma pravila o e-privatnosti ne smije dovesti do smanjenja trenutačne razine zaštite koja se pruža Općom uredbom o zaštiti podataka i Direktivom o e-privatnosti; žali zbog činjenice da je Vijeću trebalo četiri godine da konačno usvoji svoje pregovaračko stajalište o prijedlogu Uredbe o e-privatnosti, dok je Parlament u listopadu 2017. usvojio svoje pregovaračko stajalište; podsjeća da je važno ažurirati pravila o e-privatnosti iz 2002. i 2009. radi bolje zaštite temeljnih prava građana i pravne sigurnosti za poduzeća, što će upotpuniti Opću uredbu o zaštiti podataka;
o o o
42. nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Komisiji, Europskom vijeću, vladama i nacionalnim parlamentima država članica, Europskom odboru za zaštitu podataka i Europskom nadzorniku za zaštitu podataka.
Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).
Presuda Suda Europske unije od 16. srpnja 2020., Povjerenika za zaštitu podataka protiv Facebook Ireland Limited i Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
Presude u predmetu C-623/17 Privacy International i u spojenim predmetima C-511/18 La Quadrature du Net i drugi, C-512/18 French Data Network i drugi te C-520/18 Ordre des barreaux francophones et germanophones i drugi.
Odluka Komisije 2010/87/EU od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama, u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća, kako je zadnje izmijenjena Provedbenom odlukom Komisije (EU) 2016/2297 od 16. prosinca 2016. (SL L 39, 12.2.2010., str. 5.).
Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).
Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (SL L 201, 31.7.2002., str. 37.).
Prijedlog uredbe Europskog parlamenta i Vijeća o poštovanju privatnog života i zaštiti osobnih podataka u elektroničkim komunikacijama te stavljanju izvan snage Direktive 2002/58/EZ (COM(2017)0010).