Rapport ta' evalwazzjoni tal-Kummissjoni dwar l-implimentazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data sentejn wara l-applikazzjoni tiegħu
Riżoluzzjoni tal-Parlament Ewropew tal-25 ta’ Marzu 2021 dwar ir-rapport ta' evalwazzjoni tal-Kummissjoni dwar l-implimentazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data sentejn wara l-applikazzjoni tiegħu (2020/2717(RSP))
Il-Parlament Ewropew,
– wara li kkunsidra l-Artikolu 8 tal-Karta tad-Drittijiet Fundamentali,
– wara li kkunsidra l-Artikolu 16 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
– wara li kkunsidra r-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta' April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta' data personali u dwar il-moviment liberu ta' tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (GDPR)(1),
– wara li kkunsidra d-dikjarazzjoni mill-Kummissjoni tal-24 ta' Ġunju 2020 dwar il-Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill dwar il-protezzjoni tad-data bħala pilastru tal-għoti tas-setgħa liċ-ċittadini u tal-approċċ tal-UE għat-tranżizzjoni diġitali - sentejn ta' applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data,
– wara li kkunsidra l-Komunikazzjoni tal-Kummissjoni tal-24 ta' Ġunju 2020 lill-Parlament Ewropew u lill-Kunsill dwar il-protezzjoni tad-data bħala pilastru tal-għoti tas-setgħa liċ-ċittadini u tal-approċċ tal-UE għat-tranżizzjoni diġitali - sentejn ta' applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (COM(2020)0264),
– wara li kkunsidra l-Komunikazzjoni tal-Kummissjoni tal-24 ta' Lulju 2019 bit-titolu "Regoli dwar il-protezzjoni tad-data bħala faċilitatur tal-fiduċja fl-UE u lil hinn – nieħdu kont" (COM(2019)0374),
– wara li kkunsidra l-kontribut tal-Bord Ewropew għall-Protezzjoni tad-Data (EDPB) għall-evalwazzjoni tal-GDPR skont l-Artikolu 97, adottata fit-18 ta' Frar 2020(2),
– wara li kkunsidra r-rapport tal-EDPB "First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities" (L-ewwel ħarsa ġenerali dwar l-implimentazzjoni tal-GDPR u r-rwoli u l-mezzi tal-awtoritajiet superviżorji nazzjonali) tas-26 ta' Frar 2019(3),
– wara li kkunsidra l-linji gwida adottati mill-EDPB skont l-Artikolu 70(1)(e) tal-GDPR,
– wara li kkunsidra l-Artikolu 132(2) tar-Regoli ta' Proċedura tiegħu,
– wara li kkunsidra l-mozzjoni għal riżoluzzjoni tal-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern,
A. billi l-GDPR ilu applikabbli mill-25 ta' Mejju 2018; billi, bl-eċċezzjoni tas-Slovenja, l-Istati Membri kollha adottaw leġiżlazzjoni ġdida jew adattaw il-liġi nazzjonali tagħhom dwar il-protezzjoni tad-data;
B. billi skont l-Istħarriġ dwar id-Drittijiet Fundamentali mwettaq mill-Aġenzija għad-Drittijiet Fundamentali, l-individwi huma dejjem aktar konxji dwar id-drittijiet tagħhom skont il-GDPR; billi minkejja l-fatt li l-organizzazzjonijiet stabbilew miżuri biex jiffaċilitaw l-eżerċizzju tad-drittijiet tas-suġġett tad-data, l-individwi għadhom iħabbtu wiċċhom ma' diffikultajiet meta jippruvaw jeżerċitaw dawn id-drittijiet, b'mod partikolari d-dritt ta' aċċess, portabbiltà, u trasparenza mtejba;
C. billi, mill-bidu tal-applikazzjoni tal-GDPR, l-awtoritajiet superviżorji rċevew żieda massiva fl-ilmenti; billi dan juri li s-suġġetti tad-data huma aktar konxji mid-drittijiet tagħhom u jridu jipproteġu d-data personali tagħhom skont il-GDPR; billi dan juri wkoll li għadhom iseħħu volumi kbar ta' operazzjonijiet illegali tal-ipproċessar tad-data;
D. billi ħafna negozji użaw il-perjodu ta' tranżizzjoni bejn id-dħul fis-seħħ u l-applikazzjoni tal-GDPR tiegħu għal "tindif tar-rebbiegħa" tad-data biex jivvalutaw liema pproċessar tad-data qed effettivament iseħħ u liema pproċessar tad-data jaf ma jkunx għadu meħtieġ jew ġustifikat;
E. billi ħafna awtoritajiet għall-protezzjoni tad-data (DPAs) ma jistgħux ilaħħqu mal-għadd ta' lmenti; billi ħafna DPAs ma għandhomx biżżejjed persunal, ma għandhomx biżżejjed riżorsi u ma għandhomx biżżejjed esperti tat-teknoloġija tal-informazzjoni;
F. billi l-GDPR jirrikonoxxi li l-liġi fl-Istati Membri għandha tirrikonċilja r-regoli li jirregolaw il-libertà tal-espressjoni u l-informazzjoni, inkluż l-espressjoni ġurnalistika, akkademika, artistika u/jew letterarja, fir-rigward tad-dritt għall-protezzjoni tad-data personali; billi skont l-Artikolu 85, il-leġiżlazzjoni tal-Istati Membri għandha tipprevedi eżenzjonijiet għall-ipproċessar tad-data mwettaq għal finijiet ġurnalistiċi jew għall-espressjoni akkademika, artistika jew letterarja, jekk dawn ikunu meħtieġa għar-rikonċiljazzjoni tad-dritt għall-protezzjoni tad-data personali mal-libertajiet tal-espressjoni u tal-informazzjoni;
G. billi, kif ġie enfasizzat ukoll mill-EDPB, il-protezzjoni tas-sorsi ġurnalistiċi hija l-pedament tal-libertà tal-istampa; billi ma għandux isir abbuż mill-GDPR kontra l-ġurnalisti u li jiġi limitat l-aċċess għall-informazzjoni: billi fl-ebda ċirkostanza ma għandu jintuża mill-awtoritajiet nazzjonali biex joħnoq il-libertà tal-media;
Osservazzjonijiet Ġenerali
1. Jilqa' l-fatt li l-GDPR sar standard globali għall-protezzjoni tad-data personali u huwa fattur għall-konverġenza fl-iżvilupp tan-normi; jilqa' l-fatt li l-GDPR poġġa lill-UE fuq quddiem nett tad-diskussjonijiet internazzjonali dwar il-protezzjoni tad-data, u għadd ta' pajjiżi terzi allinjaw il-liġijiet tagħhom dwar il-protezzjoni tad-data mal-GDPR; jirrimarka li l-Konvenzjoni 108 tal-Kunsill tal-Ewropa dwar il-Protezzjoni tad-Data ġiet allinjata mal-GDPR ("Konvenzjoni 108+") u diġà ġiet iffirmata minn 42 pajjiż; iħeġġeġ lill-Kummissjoni u lill-Istati Membri jużaw dan il-momentum biex jagħtu spinta, fil-livell tan-NU, l-OECD, il-G8 u l-G20, bil-għan li jinħolqu standards internazzjonali bbażati fuq il-valuri u l-prinċipji Ewropej mingħajr ma jiddgħajjef il-GDPR; jissottolinja li pożizzjoni Ewropea dominanti f'dan il-qasam tgħin lill-kontinent tagħna jiddefendi aħjar id-drittijiet taċ-ċittadini tagħna, jissalvagwardja l-valuri u l-prinċipji tagħna, jippromwovi innovazzjoni diġitali affidabbli, u jaċċellera t-tkabbir ekonomiku billi jevita l-frammentazzjoni;
2. Jikkonkludi li, sentejn wara d-dħul fis-seħħ tiegħu, il-GDPR kien suċċess ġenerali u jaqbel mal-Kummissjoni li f'dan l-istadju mhuwiex meħtieġ li tiġi aġġornata jew riveduta l-leġiżlazzjoni;
3. Jirrikonoxxi li sa l-evalwazzjoni li jmiss tal-Kummissjoni, l-enfasi trid tibqa' fuq it-titjib tal-implimentazzjoni u l-azzjonijiet biex jissaħħaħ l-infurzar tal-GDPR;
4. Jirrikonoxxi l-ħtieġa ta' infurzar b'saħħtu u effettiv tal-GDPR fi pjattaformi diġitali kbar, kumpaniji integrati u servizzi diġitali oħra, speċjalment fl-oqsma tar-reklamar online, il-mira fuq livell mikro, it-tfassil ta' profil algoritmiku, u l-klassifikazzjoni, it-tixrid u l-amplifikazzjoni tal-kontenut;
Bażi Ġuridika għall-Ipproċessar
5. Jissottolinja li s-sitt bażijiet ġuridiċi kollha stipulati fl-Artikolu 6 tal-GDPR huma validi bl-istess mod għall-ipproċessar tad-data personali, u li l-istess attività ta' pproċessar tista' taqa' taħt aktar minn bażi waħda; iħeġġeġ lill-awtoritajiet superviżorji tad-data jispeċifikaw li l-kontrolluri tad-data jeħtiġilhom jistrieħu fuq bażi ġuridika waħda biss għal kull għan tal-attivitajiet tal-ipproċessar, u jispeċifikaw kif kull bażi ġuridika tintuża għall-operazzjonijiet ta' pproċessar tagħhom; jinsab imħasseb li l-kontrolluri spiss isemmu l-bażijiet ġuridiċi kollha tal-GDPR fil-politika ta' privatezza tagħhom mingħajr spjegazzjoni ulterjuri u mingħajr ma jirreferu għall-operazzjoni ta' pproċessar speċifika kkonċernata; jissottolinja li din il-prattika tfixkel il-kapaċità tas-suġġetti tad-data u l-awtoritajiet superviżorji li jivvalutaw jekk dawn il-bażijiet ġuridiċi humiex xierqa; ifakkar li sabiex jiġu pproċessati kategoriji speċjali ta' data personali trid tiġi identifikata bażi ġuridika skont l-Artikolu 6 u kundizzjoni separata għall-ipproċessar skont l-Artikolu 9; ifakkar lill-kontrolluri dwar l-obbligu legali tagħhom li jwettqu valutazzjoni tal-impatt fuq il-protezzjoni tad-data (DPIA) meta l-ipproċessar tad-data x'aktarx li jirriżulta f'riskju għoli għad-drittijiet u l-libertajiet tal-persuni fiżiċi;
6. Ifakkar li mill-bidu tal-applikazzjoni tal-GDPR, "kunsens" tfisser kwalunkwe indikazzjoni mogħtija liberament, speċifika, infurmata u mhux ambigwa tax-xewqat tas-suġġett tad-data; jissottolinja li dan japplika wkoll għad-Direttiva dwar il-Privatezza Elettronika; jinnota li l-implimentazzjoni tal-kunsens validu tibqa' kompromessa bl-użu ta' interfaċċi qarrieqa ("dark patterns"), traċċar ma' kullimkien u prattiki mhux etiċi oħra; jinsab imħasseb li l-individwi ta' spiss jitqiegħdu taħt pressjoni finanzjarja biex jagħtu l-kunsens tagħhom għal skontijiet jew offerti kummerċjali oħra, jew huma sfurzati jagħtu l-kunsens billi jikkundizzjonaw l-aċċess għal servizz permezz ta' dispożizzjonijiet vinkolanti, bi ksur tal-Artikolu 7 tal-GDPR; ifakkar fir-regoli armonizzati tal-EDPB dwar x'jikkostitwixxi kunsens validu, li jissostitwixxu l-interpretazzjonijiet differenti minn ħafna DPAs nazzjonali, u jevitaw il-frammentazzjoni fis-Suq Uniku Diġitali; ifakkar ukoll fil-linji gwida tal-EDPB u tal-Kummissjoni li jistabbilixxu li għal każijiet li fihom is-suġġett tad-data inizjalment ikun ta l-kunsens tiegħu iżda fejn id-data personali tiġi pproċessata ulterjorament għal skop differenti mill-iskop li s-suġġett tad-data jkun ta l-kunsens tiegħu għalih, il-kunsens inizjali ma jistax jilleġittimizza pproċessar ulterjuri, peress li l-kunsens jeħtieġ li jkun infurmat u speċifiku biex ikun validu; jieħu nota tal-linji gwida futuri tal-EDPB dwar l-ipproċessar tad-data personali għar-riċerka xjentifika, li se jipprovdu ċarezza dwar it-tifsira tal-Premessa 50 tal-GDPR;
7. Jinsab imħasseb li l-"interess leġittimu" spiss jissemma b'mod abbużiv bħala bażi legali għall-ipproċessar; jirrimarka li l-kontrolluri għadhom jiddependu minn interess leġittimu mingħajr ma jwettqu t-test meħtieġ tal-bilanċ tal-interessi, li jinkludi valutazzjoni tad-drittijiet fundamentali; jinsab partikolarment imħasseb dwar il-fatt li xi Stati Membri qed jadottaw leġiżlazzjoni nazzjonali biex jiddeterminaw il-kundizzjonijiet għall-ipproċessar ibbażat fuq interess leġittimu billi jipprevedu l-ibbilanċjar tal-interessi rispettivi tal-kontrollur u tal-individwi kkonċernati, filwaqt li l-GDPR jobbliga lil kull kontrollur iwettaq dan it-test tal-ibbilanċjar b'mod individwali, u jagħmel użu minn dik il-bażi legali; jinsab imħasseb li xi interpretazzjonijiet nazzjonali ta' interess leġittimu ma jirrispettawx il-Premessa 47, u effettivament jipprojbixxu l-ipproċessar abbażi ta' interess leġittimu; jilqa' l-fatt li l-EDPB diġà jaħdem biex jaġġorna l-opinjoni tal-Grupp ta' Ħidma tal-Artikolu 29 (WP29) dwar l-applikazzjoni ta' interess leġittimu bħala bażi ġuridika għall-ipproċessar sabiex jiġu indirizzati l-kwistjonijiet enfasizzati fir-rapport tal-Kummissjoni;
Drittijiet tas-Suġġetti tad-Data
8. Jenfasizza li hemm bżonn li jiġi ffaċilitat l-eżerċizzju tad-drittijiet individwali previst mill-GDPR, bħall-portabbiltà tad-data jew id-drittijiet fil-kuntest tal-ipproċessar awtomatizzat, inkluż it-tfassil tal-profili; jilqa' l-linji gwida tal-EDPB dwar it-teħid awtomatizzat tad-deċiżjonijiet u dwar il-portabbiltà tad-data; jinnota li d-dritt għall-portabbiltà tad-data ma ġiex implimentat b'mod sħiħ f'diversi setturi; jistieden lill-EDPB jinkoraġġixxi lill-pjattaformi online joħolqu punt uniku ta' kuntatt għall-pjattaformi diġitali sottostanti kollha tagħhom, minn fejn jistgħu jintbagħtu t-talbiet tal-utenti lir-riċevitur it-tajjeb; jirrimarka li f'konformità mal-prinċipju tal-minimizzazzjoni tad-data, l-implimentazzjoni tad-dritt għall-anonimità effettivament tipprevjeni d-divulgazzjonijiet mhux awtorizzat, is-serq tal-identità u forom oħra ta' abbuż tad-data personali;
9. Jenfasizza li l-konformità mad-dritt għall-informazzjoni tirrikjedi li l-kumpaniji jipprovdu informazzjoni b'mod konċiż, trasparenti, intelliġibbli u faċilment aċċessibbli u jevitaw li jieħdu approċċ legali meta jabbozzaw avviżi dwar il-protezzjoni tad-data; jinsab imħasseb li xi kumpaniji għadhom qed jiksru l-obbligi tagħhom skont l-Artikolu 12(1) tal-GDPR u jonqsu milli jipprovdu l-informazzjoni rilevanti kollha rrakkomandata mill-EDPB, inkluż l-elenkar tal-ismijiet tal-entitajiet li jikkondividu d-data magħhom; ifakkar li l-obbligu li tingħata informazzjoni sempliċi u aċċessibbli huwa partikolarment strett fir-rigward tat-tfal; jinsab imħasseb dwar in-nuqqas mifrux ta' mekkaniżmi ta' aċċess li jiffunzjonaw tajjeb għas-suġġetti tad-data; jirrimarka li l-individwi spiss ma jkunux jistgħu jġiegħlu lill-pjattaformi tal-internet jiżvelaw il-profili tal-imġiba tagħhom lilhom; jinsab imħasseb li l-kumpaniji ta' spiss jinjoraw il-fatt li d-data inferita hija wkoll data personali, soġġetta għas-salvagwardji kollha skont il-GDPR;
Organizzazzjonijiet u Negozji Żgħar
10. Josserva li xi partijiet ikkonċernati jirrapportaw li l-applikazzjoni tal-GDPR kienet partikolarment ta' sfida, speċjalment għall-intrapriżi żgħar u ta' daqs medju (SMEs), għan-negozji ġodda, għall-organizzazzjonijiet u l-assoċjazzjonijiet, inklużi l-iskejjel, għall-klabbs kif ukoll għas-soċjetajiet; jinnota madankollu li ħafna mid-drittijiet u l-obbligi fil-GDPR mhumiex ġodda iżda diġà kienu fis-seħħ skont id-Direttiva 95/46/KE(4), għalkemm rari ġew infurzati; iqis li l-GDPR u l-infurzar tiegħu ma jridux iwasslu għal konsegwenzi mhux mixtieqa tal-konformità għal kumpaniji iżgħar li l-kumpaniji kbar ma jesperjenzawx; jemmen li aktar appoġġ, informazzjoni u taħriġ għandhom ikunu disponibbli mill-awtoritajiet nazzjonali u l-kampanji ta' informazzjoni tal-Kummissjoni sabiex jgħinu jżidu l-għarfien, fil-kwalità tal-implimentazzjoni u fis-sensibilizzazzjoni tar-rekwiżiti u l-għan tal-GDPR;
11. Jirrimarka li ma hemm l-ebda deroga għall-SMEs, għan-negozji ġodda, għall-organizzazzjonijiet u l-assoċjazzjonijiet, inklużi l-iskejjel, għall-klabbs kif ukoll għas-soċjetajiet, u li dawn huma soġġetti għall-kamp ta' applikazzjoni tal-GDPR; jistieden lill-EDPB, għalhekk, jipprovdi informazzjoni ċara biex tiġi evitata kwalunkwe konfużjoni dwar l-interpretazzjoni tal-GDPR, u joħloq għodda prattika tal-GDPR biex jiffaċilita l-implimentazzjoni tal-GDPR mill-SMEs, in-negozji ġodda, l-organizzazzjonijiet u l-assoċjazzjonijiet, inklużi l-iskejjel, il-klabbs kif ukoll is-soċjetajiet b'attivitajiet ta' pproċessar b'riskju baxx; jistieden lill-Istati Membri jagħmlu disponibbli mezzi suffiċjenti biex id-DPAs ixerrdu għarfien dwar dawn l-għodod prattiċi; iħeġġeġ lill-EDPB jiżviluppa mudelli tal-politika tal-privatezza li l-organizzazzjonijiet jistgħu jużaw biex jgħinuhom juru l-konformità proprja mal-GDPR fil-prattika mingħajr ma jkollhom jiddependu minn servizzi ta' partijiet terzi li jiswew ħafna flus;
L-infurzar
12. Jesprimi t-tħassib tiegħu dwar l-infurzar mhux uniformi u xi kultant ineżistenti tal-GDPR mid-DPAs nazzjonali aktar minn sentejn wara l-bidu tal-applikazzjoni tiegħu, u għalhekk jesprimi dispjaċir li s-sitwazzjoni ta' infurzar ma tjibitx b'mod sostanzjali meta mqabbla mas-sitwazzjoni skont id-Direttiva 95/46/KE;
13. Jieħu nota tal-fatt li ġew introdotti madwar 275 000 ilment u ngħataw 785 multa amministrattiva għal ksur differenti matul l-ewwel 18-il xahar tal-applikazzjoni tal-GDPR, iżda jirrimarka li sa issa ngħata segwitu lil numru żgħir ħafna biss tal-ilmenti mressqa; huwa konxju tal-problemi kkawżati minn ksur ta' data personali, u jfakkar fil-gwida attwali tal-EDPB li tipprovdi ċarezza, fost l-oħrajn, dwar l-iskeda ta' żmien għan-notifika, il-komunikazzjoni lis-suġġetti tad-data u r-rimedji; jirrimarka li formola standard Ewropea ta' notifika ta' ksur tad-data tista' tkun ta' benefiċċju għall-armonizzazzjoni tal-approċċi nazzjonali differenti; jesprimi madankollu dispjaċir għall-fatt li l-ammont tal-multi jvarja b'mod sinifikanti fl-Istati Membri kollha, u li xi multi maħruġa lil kumpaniji kbar huma baxxi wisq biex ikollhom l-effett deterrenti maħsub għall-ksur tal-protezzjoni tad-data; jistieden lid-DPAs isaħħu l-infurzar, il-prosekuzzjoni u l-penali għall-ksur tal-protezzjoni tad-data, u jagħmlu użu sħiħ mill-possibbiltajiet fil-GDPR li jimponu multi u jużaw miżuri korrettivi oħra; jisħaq li l-projbizzjonijiet fuq l-ipproċessar, jew l-obbligu li titħassar data personali miksuba b'mod li ma jkunx konformi mal-GDPR, jista' jkollhom effett deterrenti ugwali jekk mhux ogħla mill-multi; jistieden lill-Kummissjoni u lill-EDPB jarmonizzaw il-penali permezz ta' linji gwida u kriterji ċari, kif sar bil-konferenza tal-awtoritajiet superviżorji Ġermaniżi, sabiex tiżdied iċ-ċertezza tad-dritt u sabiex jiġi evitat li l-kumpaniji jistabbilixxu ruħhom fil-postijiet li jimponu l-aktar penali baxxi;
14. Jinsab imħasseb dwar it-tul tal-investigazzjonijiet tal-każijiet minn xi DPAs, u dwar l-effett negattiv tagħhom fuq l-infurzar effettiv u fuq il-fiduċja taċ-ċittadini; iħeġġeġ lid-DPAs iħaffu s-soluzzjoni tal-każijiet, u jużaw il-firxa sħiħa ta' possibbiltajiet skont il-GDPR, b'mod partikolari jekk ikun hemm ksur sistematiku u persistenti, inkluż b'interess ta' qligħ u b'għadd kbir ta' suġġetti tad-data affettwati;
15. Huwa mħasseb dwar il-fatt li l-awtoritajiet superviżorji ta' 21 Stat Membru mill-31 Stat ikkombinat li japplikaw il-GDPR, jiġifieri l-Istati Membri kollha tal-Unjoni Ewropea, taż-Żona Ekonomija Ewropea, u r-Renju Unit, iddikjaraw b'mod espliċitu li ma għandhomx biżżejjed riżorsi umani, tekniċi u finanzjarji, postijiet u infrastruttura biex iwettqu b'mod effettiv il-kompiti tagħhom u jeżerċitaw is-setgħat tagħhom; jinsab imħasseb dwar in-nuqqas ta' persunal tekniku ddedikat fil-biċċa l-kbira tal-awtoritajiet superviżorji madwar l-UE, li jagħmel l-investigazzjonijiet u l-infurzar diffiċli; jinnota bi tħassib li l-awtoritajiet superviżorji jinsabu taħt pressjoni minħabba d-diskrepanza dejjem akbar bejn ir-responsabbiltajiet biex jipproteġu d-data personali u r-riżorsi tagħhom biex jagħmlu dan; jinnota li s-servizzi diġitali se jsiru dejjem aktar kumplessi minħabba l-użu akbar ta' innovazzjonijiet bħall-intelliġenza artifiċjali (jiġifieri l-aggravar tal-problema ta' trasparenza limitata dwar l-ipproċessar tad-data, speċjalment għat-taħriġ algoritmiku); jinnota għalhekk l-importanza li l-awtoritajiet superviżorji tal-UE kif ukoll l-EDPB ikollhom biżżejjed riżorsi finanzjarji, tekniċi u umani sabiex ikunu jistgħu jittrattaw malajr iżda bir-reqqa għadd dejjem jikber ta' każijiet kumplessi u intensivi fir-riżorsi, u jikkoordinaw u jiffaċilitaw il-kooperazzjoni bejn id-DPAs nazzjonali, sabiex jimmonitorjaw kif xieraq l-applikazzjoni tal-GDPR u jipproteġu d-drittijiet u l-libertajiet fundamentali; jesprimi t-tħassib tiegħu li riżorsi insuffiċjenti għad-DPAs, b'mod partikolari meta r-riżorsi tagħhom jitqabblu mad-dħul tal-kumpaniji tat-teknoloġija tal-informazzjoni l-kbar, jistgħu jirriżultaw fi ftehimiet dwar soluzzjonijiet, peress li dan jillimita l-ispiża ta' proċedimenti twal u kkumplikati;
16. Jistieden lill-Kummissjoni tevalwa l-possibbiltà li l-kumpaniji teknoloġiċi kbar multinazzjonali jkunu obbligati jħallsu għas-sorveljanza tagħhom stess bl-introduzzjoni ta' taxxa diġitali tal-UE;
17. Jinnota bi tħassib li n-nuqqas ta' infurzar mid-DPAs, u n-nuqqas ta' azzjoni min-naħa tal-Kummissjoni biex tindirizza n-nuqqas ta' riżorsi tad-DPAs, iħalli l-piż tal-infurzar fuq iċ-ċittadini individwali biex iressqu t-talbiet għall-protezzjoni tad-data quddiem il-qorti; jinsab imħasseb li l-qrati xi kultant jordnaw li rikorrenti individwali jiġu kkumpensati mingħajr ma jordnaw lill-organizzazzjoni jew lill-kumpanija ssolvi l-problemi strutturali; iqis li l-infurzar privat jista' jiskatta ġurisprudenza importanti, iżda ma jikkostitwix sostituzzjoni għall-infurzar mid-DPAs jew azzjoni mill-Kummissjoni biex jiġi indirizzat in-nuqqas ta' riżorsi; jiddeplora l-fatt li dawn l-Istati Membri qed jiksru l-Artikolu 52(4) tal-GDPR; jistieden lill-Istati Membri jikkonformaw, għalhekk, mal-obbligu legali tagħhom skont l-Artikolu 52(4) biex jallokaw fondi suffiċjenti lid-DPAs tagħhom sabiex ikunu jistgħu jwettqu xogħolhom bl-aħjar mod possibbli u jiżguraw kundizzjonijiet ekwi Ewropej fl-infurzar tal-GDPR; jesprimi dispjaċir għall-fatt li l-Kummissjoni għadha ma bdietx il-proċeduri ta' ksur kontra dawk l-Istati Membri li naqsu milli jissodisfaw l-obbligi tagħhom skont il-GDPR, u jħeġġeġ lill-Kummissjoni tagħmel dan mingħajr dewmien; jistieden lill-Kummissjoni u lill-EDPB jorganizzaw segwitu għall-komunikazzjoni tal-Kummissjoni tal-24 ta' Ġunju 2020, fejn jiġi vvalutat il-funzjonament tal-GDPR kif ukoll l-infurzar tiegħu;
18. Jesprimi dispjaċir li l-maġġoranza tal-Istati Membri ddeċidew li ma jimplimentawx l-Artikolu 80(2) tal-GDPR; jistieden lill-Istati Membri kollha jagħmlu użu mill-Artikolu 80(2), u jimplimentaw id-dritt li jitressqu lmenti u li jmorru l-qorti mingħajr mandat minn suġġett tad-data; jistieden lill-Istati Membri jiċċaraw il-pożizzjoni tal-ilmentaturi matul il-proċedimenti fil-leġiżlazzjoni dwar il-proċeduri amministrattivi nazzjonali applikabbli għall-awtoritajiet superviżorji; jirrimarka li dan għandu jiċċara li l-ilmentaturi mhumiex limitati għal rwol passiv matul il-proċedura, iżda għandhom ikunu jistgħu jintervjenu fi stadji differenti;
Kooperazzjoni u konsistenza
19. Jirrimarka li l-infurzar dgħajjef huwa partikolarment evidenti fi lmenti transfruntiera, u jiddeplora l-fatt li d-DPAs f'14-il Stat Membru ma għandhomx ir-riżorsi xierqa biex jikkontribwixxu għall-mekkaniżmi ta' kooperazzjoni u konsistenza; jistieden lill-EDPB iżid l-isforzi tiegħu sabiex jiżgura l-applikazzjoni korretta tal-Artikolu 60 u l-Artikolu 63 tal-GDPR u jfakkar lill-awtoritajiet superviżorji li jistgħu jagħmlu użu, f'ċirkostanzi eċċezzjonali, mill-proċedura ta' urġenza prevista fl-Artikolu 66 tal-GDPR, b'mod partikolari l-miżuri proviżorji;
20. Jissottolinja l-importanza tal-mekkaniżmu ta' punt uniku ta' servizz fl-għoti ta' ċertezza tad-dritt u t-tnaqqis tal-piż amministrattiv kemm għall-kumpaniji kif ukoll għaċ-ċittadini; jesprimi tħassib kbir, madankollu, dwar il-funzjonament tal-mekkaniżmu, b'mod partikolari fir-rigward tar-rwol tad-DPAs Irlandiżi u Lussemburgiżi; jinnota li dawn id-DPAs huma responsabbli għat-trattament ta' għadd kbir ta' każijiet, peress li ħafna kumpaniji tat-teknoloġija rreġistraw il-kwartieri ġenerali tagħhom tal-UE fl-Irlanda jew fil-Lussemburgu; huwa partikolarment imħasseb dwar il-fatt li l-awtorità Irlandiża għall-protezzjoni tad-data ġeneralment tagħlaq il-biċċa l-kbira tal-każijiet b'soluzzjoni minflok sanzjoni u li l-każijiet riferuti lill-Irlanda fl-2018 lanqas biss laħqu l-istadju ta' abbozz ta' deċiżjoni skont l-Artikolu 60(3) tal-GDPR; jistieden lil dawn id-DPAs iħaffu l-investigazzjonijiet attwali tagħhom f'każijiet ewlenin sabiex juru liċ-ċittadini tal-UE li l-protezzjoni tad-data hija dritt infurzabbli fl-UE; jirrimarka li s-suċċess tal-"mekkaniżmu ta' punt uniku ta' servizz" huwa kontinġenti fuq il-ħin u l-isforz li d-DPAs jistgħu jiddedikaw għall-ġestjoni u l-kooperazzjoni ta' każijiet transfruntiera individwali fl-EDPB, u li n-nuqqas ta' rieda politika u riżorsi għandu konsegwenzi immedjati fuq il-punt sa fejn dan il-mekkaniżmu jista' jiffunzjona kif suppost;
21. Josserva inkonsistenzi bejn il-linji gwida tal-Istati Membri u l-linji gwida tal-EDPB; jirrimarka li d-DPAs nazzjonali jistgħu jaslu għal interpretazzjonijiet differenti tal-GDPR, li jirriżultaw f'applikazzjonijiet differenti fost l-Istati Membri; jinnota li din is-sitwazzjoni qed toħloq vantaġġi kif ukoll żvantaġġi ġeografiċi għall-kumpaniji; iħeġġeġ lill-Kummissjoni tivvaluta jekk il-proċeduri amministrattivi nazzjonali jxekklux l-effettività sħiħa tal-kooperazzjoni skont l-Artikolu 60 tal-GDPR kif ukoll l-implimentazzjoni effettiva tiegħu; jistieden lid-DPAs jistinkaw għal interpretazzjoni u gwida konsistenti ffaċilitati permezz tal-EDPB; jistieden speċifikament lill-EDPB jistabbilixxi elementi bażiċi ta' proċedura amministrattiva komuni biex jittratta l-ilmenti f'każijiet transfruntiera skont il-kooperazzjoni stabbilita fl-Artikolu 60; iħeġġeġ li dan għandu jsir billi tiġi segwita l-gwida dwar skedi ta' żmien komuni għat-twettiq ta' investigazzjonijiet u l-adozzjoni ta' deċiżjonijiet; jistieden lill-EDPB isaħħaħ il-mekkaniżmu ta' konsistenza u jagħmlu obbligatorju għal kwalunkwe kwistjoni ta' applikazzjoni ġenerali jew għal kwalunkwe każ b'effetti transfruntiera sabiex jiġu evitati approċċi u deċiżjonijiet inkonsistenti minn DPAs individwali, peress li dan jista' jfixkel l-interpretazzjoni u l-applikazzjoni uniformi tal-GDPR; iqis li din l-interpretazzjoni, l-applikazzjoni u l-gwida komuni se jikkontribwixxu għall-ħolqien u s-suċċess tas-suq uniku diġitali;
22. Jistieden lill-EDPB jippubblika l-aġenda tal-laqgħa tiegħu qabel il-laqgħat tiegħu u jipprovdi sommarji aktar dettaljati tal-laqgħat tiegħu lill-pubbliku u lill-Parlament;
Frammentazzjoni tal-implimentazzjoni tal-GDPR
23. Jiddeplora l-fatt li l-użu mill-Istati Membri tal-klawżoli ta' speċifikazzjoni fakultattivi (eż. l-ipproċessar fl-interess pubbliku jew mill-awtoritajiet pubbliċi abbażi tal-liġi tal-Istati Membri u l-età tat-tfal għall-kunsens) kien ta' detriment għall-kisba ta' armonizzazzjoni sħiħa tal-protezzjoni tad-data u għall-eliminazzjoni ta' kundizzjonijiet diverġenti tas-suq għall-kumpaniji madwar l-UE, u jesprimi tħassib li dan jista' jwassal għal żieda fil-prezz tal-konformità tal-GDPR; jistieden lill-EDPB iressaq gwida dwar kif għandha tiġi ttrattata l-implimentazzjoni differenti tal-klawżoli ta' speċifikazzjoni fakultattivi bejn l-Istati Membri; jistieden lill-Kummissjoni tuża s-setgħat tagħha biex tintervjeni fl-Istati Membri fejn il-miżuri, l-azzjonijiet u d-deċiżjonijiet nazzjonali jdgħajfu l-ispirtu, l-objettiv u t-test tal-GDPR, bil-ħsieb li tiġi evitata protezzjoni mhux ugwali għaċ-ċittadini u distorsjonijiet tas-suq; jenfasizza f'dan il-punt li l-Istati Membri adottaw firxa differenti ta' etajiet għall-kunsens tal-ġenituri; jistieden, għalhekk, lill-Kummissjoni u lill-Istati Membri jivvalutaw l-impatt ta' din il-frammentazzjoni fuq l-attivitajiet tat-tfal u fuq il-protezzjoni tagħhom online; jisħaq li fil-każ ta' konflitt tal-liġijiet bejn il-liġi nazzjonali ta' Stat Membru u l-GDPR, id-dispożizzjonijiet tal-GDPR għandhom jipprevalu;
24. Jesprimi tħassib kbir dwar l-abbuż tal-GDPR minn xi awtoritajiet pubbliċi ta' xi Stati Membri biex ifixklu lill-ġurnalisti u l-organizzazzjonijiet mhux governattivi; jaqbel bis-sħiħ mal-Kummissjoni li r-regoli dwar il-protezzjoni tad-data m'għandhomx jaffettwaw l-eżerċizzju tal-libertà tal-espressjoni u tal-informazzjoni, speċjalment billi joħolqu effett disważiv jew billi jiġu interpretati bħala mod kif issir pressjoni fuq il-ġurnalisti biex jiżvelaw is-sorsi tagħhom; jesprimi, madankollu, id-diżappunt tiegħu dwar il-fatt li l-Kummissjoni għadha ma temmitx il-valutazzjoni tagħha tal-ibbilanċjar bejn id-dritt għall-protezzjoni tad-data personali u l-libertà tal-espressjoni u tal-informazzjoni, kif deskritt fl-Artikolu 85 tal-GDPR; jistieden lill-Kummissjoni tlesti l-valutazzjoni tagħha tal-leġiżlazzjoni nazzjonali f'dan ir-rigward mingħajr dewmien żejjed u tuża l-għodod kollha disponibbli, inklużi l-proċeduri ta' ksur, biex tiżgura li l-Istati Membri jikkonformaw mal-GDPR u biex tillimita kwalunkwe frammentazzjoni tal-qafas dwar il-protezzjoni tad-data personali;
Protezzjoni tad-data mid-disinn
25. Jistieden lill-awtoritajiet superviżorji jevalwaw l-implimentazzjoni tal-Artikolu 25 dwar il-protezzjoni tad-data mid-disinn u b'mod awtomatiku, b'mod partikolari bil-għan li jiġu żgurati miżuri tekniċi u operazzjonali meħtieġa biex jiġu implimentati l-prinċipji ta' minimizzazzjoni tad-data u limitazzjoni tal-iskop, u biex jiġi ddeterminat l-effett li din id-dispożizzjoni kellha sa issa fuq il-manifatturi tat-teknoloġiji tal-ipproċessar; jilqa' l-fatt li l-EDPB adottat fil-Linji Gwida 04/2019 ta' Ottubru 2020 dwar l-Artikolu 25 il-protezzjoni tad-data mid-disinn u b'mod awtomatiku sabiex jikkontribwixxi għaċ-ċarezza tad-dritt tal-kunċetti; jistieden lill-awtoritajiet superviżorji jivvalutaw ukoll l-użu xieraq tas-settings prestabbiliti kif previst fl-Artikolu 25(2), inkluż minn fornituri ewlenin tas-servizzi online; jirrakkomanda li l-EDPB jadotta linji gwida biex jiddetermina taħt liema kundizzjonijiet speċifiċi u f'liema (klassijiet ta') każijiet, il-manifatturi tal-ICT għandhom jitqiesu bħala kontrolluri skont l-Artikolu 4(7), fis-sens li jiddeterminaw il-mezzi tal-ipproċessar; jirrimarka li l-prattiki tal-protezzjoni tad-data għadhom fil-biċċa l-kbira jiddependu minn kompiti manwali u formati arbitrarji, u huma miżgħuda b'sistemi inkompatibbli; jistieden lill-EDPB jiżviluppa linji gwida li jgħinu fl-implimentazzjoni tar-rekwiżiti tal-protezzjoni tad-data fil-prattika, inklużi linji gwida għall-valutazzjonijiet tal-impatt fuq il-protezzjoni tad-data (l-Artikolu 35), il-protezzjoni tad-data mid-disinn u b'mod awtomatiku (l-Artikolu 25), l-informazzjoni mmirata lejn is-suġġetti tad-data (l-Artikoli 12–14), l-eżerċizzju tad-drittijiet tas-suġġetti tad-data (l-Artikoli 15–18, 20–21), u r-rekords tal-attivitajiet ta' pproċessar (l-Artikolu 30); jistieden lill-EDPB jiżgura li tali linji gwida jkunu jistgħu jiġu applikati faċilment u jippermettu komunikazzjoni bejn magna u oħra bejn is-suġġetti tad-data, il-kontrolluri u d-DPAs (awtomatizzazzjoni tal-protezzjoni tad-data); jistieden lill-Kummissjoni tiżviluppa l-ikoni li jistgħu jinqraw minn magna skont l-Artikolu 12(8) biex jiġu infurmati s-suġġetti tad-data, f'koordinazzjoni mill-qrib mal-EDPB; iħeġġeġ lill-EDPB u lill-awtoritajiet superviżorji jisfruttaw il-potenzjal sħiħ tal-Artikolu 21(5) dwar modi awtomatizzati ta' oġġezzjoni għall-ipproċessar ta' data personali;
Linji Gwida
26. Jistieden lill-EDPB jarmonizza l-implimentazzjoni tar-rekwiżiti dwar il-protezzjoni tad-data fil-prattika permezz tal-iżvilupp ta' linji gwida, fost l-oħrajn, il-ħtieġa li jiġu vvalutati r-riskji relatati mal-informazzjoni dwar l-ipproċessar tad-data għas-suġġetti tad-data (l-Artikoli 12–14), mal-eżerċizzju tad-drittijiet tas-suġġetti tad-data (l-Artikoli 15–18, 20–21) u mal-implimentazzjoni tal-prinċipju ta' obbligu ta' rendikont; jistieden lill-EDPB joħroġ linji gwida li jikklassifikaw l-użu leġittimu differenti tal-każijiet ta' tfassil ta' profili skont ir-riskji tagħhom għad-drittijiet u l-libertajiet tas-suġġetti tad-data, flimkien ma' rakkomandazzjonijiet għal miżuri tekniċi u organizzattivi xierqa, u b'delineazzjoni ċara tal-każijiet ta' użu illegali; jistieden lill-EDPB jirrieżamina WP29 05/2014 tad-WP29 tal-10 ta' April 2014 dwar Tekniki ta' Anonimizzazzjoni u jistabbilixxi lista ta' kriterji mhux ambigwi sabiex tinkiseb l-anonimizzazzjoni; iħeġġeġ lill-EDPB jiċċara l-ipproċessar tad-data għal skopijiet ta' riżorsi umani; jieħu nota tal-konklużjoni tal-EDPB li l-ħtieġa li jiġu vvalutati r-riskji relatati mal-ipproċessar tad-data, kif previst fil-GDPR, għandha tinżamm, peress li r-riskji għas-suġġetti tad-data mhumiex relatati mad-daqs tal-kontrolluri tad-data; jitlob użu aħjar tal-mekkaniżmu li bih il-Kummissjoni tista' titlob parir mill-EDPB dwar il-kwistjonijiet koperti mill-GDPR;
27. Jinnota li l-pandemija tal-COVID-19 enfasizzat il-ħtieġa ta' gwida ċara mid-DPAs u l-EDPB dwar l-implimentazzjoni u l-infurzar adegwati tal-GDPR fil-politiki dwar is-saħħa pubblika; ifakkar, f'dan ir-rigward, fil-Linji Gwida 03/2020 dwar l-ipproċessar tad-data li tikkonċerna s-saħħa għall-iskop tar-riċerka xjentifika fil-kuntest tat-tifqigħa tal-COVID-19 u fil-Linji Gwida 04/2020 dwar l-użu ta' data ta' lokalizzazzjoni u għodod ta' traċċar tal-kuntatti fil-kuntest tat-tifqigħa tal-COVID-19; jistieden lill-Kummissjoni tiżgura konformità sħiħa mal-GDPR meta toħloq l-ispazju komuni Ewropew tad-data dwar is-saħħa;
Il-flussi u l-kooperazzjoni internazzjonali tad-data personali
28. Jisħaq fuq l-importanza li jkunu permessi flussi liberi ta' data personali fil-livell internazzjonali mingħajr ma jitbaxxa l-livell ta' protezzjoni garantit skont il-GPDR; jappoġġja l-prattika tal-Kummissjoni li tindirizza l-protezzjoni tad-data u l-flussi ta' data personali b'mod separat mill-ftehimiet kummerċjali; jemmen li l-kooperazzjoni internazzjonali fil-qasam tal-protezzjoni tad-data u l-konverġenza tar-regoli rilevanti lejn il-GDPR se jtejbu l-fiduċja reċiproka, irawmu l-fehim tal-isfidi teknoloġiċi u legali, u eventwalment jiffaċilitaw il-flussi transfruntiera tad-data, li huma ta' importanza ewlenija għall-kummerċ internazzjonali; jirrikonoxxi r-realtà ta' rekwiżiti legali konfliġġenti għall-kumpaniji li jwettqu attivitajiet ta' pproċessar tad-data fl-UE, kif ukoll f'ġuriżdizzjonijiet ta' pajjiżi terzi, b'mod partikolari l-Istati Uniti;
29. Jisħaq li d-deċiżjonijiet ta' adegwatezza ma għandhomx ikunu deċiżjonijiet politiċi iżda legali; jinkoraġġixxi sforzi kontinwi biex jiġu promossi oqfsa legali globali li jippermettu t-trasferimenti tad-data abbażi tal-GDPR u l-Konvenzjoni 108+ tal-Kunsill tal-Ewropa; jinnota, barra minn hekk, li l-partijiet ikkonċernati jkomplu jikkunsidraw id-deċiżjonijiet ta' adegwatezza bħala strument essenzjali għal tali flussi ta' data peress li ma jorbtuhomx ma' kundizzjonijiet jew awtorizzazzjonijiet addizzjonali; jenfasizza, madankollu, li sa issa d-deċiżjonijiet ta' adegwatezza ġew adottati biss għal disa' pajjiżi, minkejja li ħafna pajjiżi terzi oħra reċentement adottaw liġijiet ġodda dwar il-protezzjoni tad-data b'regoli u prinċipji simili bħall-GDPR; jinnota li, sal-lum, l-ebda mekkaniżmu uniku li jiggarantixxi t-trasferiment legali tad-data personali kummerċjali bejn l-UE u l-Istati Uniti ma ffaċċja sfida legali fil-Qorti tal-Ġustizzja tal-Unjoni Ewropea (QĠUE);
30. Jilqa' l-adozzjoni tal-ewwel deċiżjoni ta' adegwatezza reċiproka bejn l-UE u l-Ġappun, li ħolqot l-akbar żona ta' flussi ta' data ħielsa u sikuri fid-dinja; jistieden, madankollu, lill-Kummissjoni tqis il-kwistjonijiet kollha mqajma mill-Parlament fl-ewwel rieżami ta' dan l-istrument u tagħmel ir-riżultati disponibbli pubblikament mill-aktar fis possibbli, peress li r-rieżami kellu jiġi adottat sa Jannar 2021;
31. Jistieden lill-Kummissjoni tippubblika s-sett ta' kriterji użati biex jiġi ddeterminat jekk pajjiż terz huwiex meqjus li jipprovdi livell ta' protezzjoni "essenzjalment ekwivalenti" għal dak mogħti fl-UE speċjalment fir-rigward tal-aċċess għal rimedji, u aċċess tal-gvern għad-data; jinsisti fuq il-ħtieġa li tiġi żgurata l-applikazzjoni effettiva tad-dispożizzjonijiet relatati mat-trasferimenti jew mad-divulgazzjonijiet mhux awtorizzati mid-dritt tal-Unjoni skont l-Artikolu 48 tal-GDPR jew il-konformità magħhom, b'mod partikolari fir-rigward tat-talbiet minn awtoritajiet ta' pajjiżi terzi għal aċċess għal data personali fl-Unjoni, u jistieden lill-EDPB u lid-DPAs jipprovdu gwida u jinfurzaw dawn id-dispożizzjonijiet, inkluż fil-valutazzjoni u l-iżvilupp ta' mekkaniżmi ta' trasferiment ta' data personali;
32. Jistieden lill-Kummissjoni tadotta atti delegati bil-għan li tispeċifika r-rekwiżiti li għandhom jitqiesu għall-mekkaniżmu ta' ċertifikazzjoni tal-protezzjoni tad-data skont l-Artikolu 42(1), biex tagħti spinta lill-użu ta' dan tal-aħħar, flimkien ma' impenji vinkolanti u infurzabbli tal-kontrollur jew tal-proċessur fil-pajjiż terz biex japplika s-salvagwardji xierqa, inkluż fir-rigward tad-drittijiet tas-suġġetti tad-data, bħala mezz għal trasferimenti internazzjonali, kif previst fl-Artikolu 46(2)(f);
33. Itenni l-fatt li l-programmi ta' sorveljanza tal-massa li jinkludu l-ġbir ta' data fuq skala kbira jipprevjenu s-sejbiet ta' adegwatezza; iħeġġeġ lill-Kummissjoni tapplika l-konklużjonijiet tal-QĠUE fil-kawżi Schrems I (5), II(6) u Privacy International & al (2020)(7) għar-rieżamijiet kollha tad-deċiżjonijiet ta' adegwatezza kif ukoll għan-negozjati li għaddejjin u dawk futuri; ifakkar li t-trasferimenti li jiddependu minn derogi għal sitwazzjonijiet speċifiċi skont l-Artikolu 49 tal-GDPR għandhom jibqgħu eċċezzjonali; jilqa' l-linji gwida tal-EDPB u tad-DPAs f'dan ir-rigward u jistedinhom jiżguraw interpretazzjoni konsistenti fl-applikazzjoni u l-kontroll ta' tali derogi skont il-Linji Gwida 02/2018 tal-EDPB;
34. Jistieden lid-DPAs u lill-Kummissjoni jivvalutaw b'mod sistematiku jekk ir-regoli tal-protezzjoni tad-data humiex applikati fil-prattika f'pajjiżi terzi, f'konformità mal-każistika tal-QĠUE;
35. Iħeġġeġ lill-Kummissjoni tippubblika r-rieżami tagħha tad-deċiżjonijiet ta' adegwatezza adottati skont id-Direttiva tal-1995 mingħajr dewmien żejjed; jenfasizza li, fin-nuqqas ta' deċiżjoni ta' adegwatezza, il-klawżoli kuntrattwali xierqa (SCC) huma l-aktar għodda użata għat-trasferimenti internazzjonali tad-data; jinnota li l-QĠUE kkonfermat il-validità tad-Deċiżjoni 2010/87/UE dwar l-SCC(8) filwaqt li rrikjediet valutazzjoni tal-livell ta' protezzjoni mogħti għal data ttrasferita lil pajjiż terz u tal-aspetti rilevanti tas-sistema legali ta' dak il-pajjiż terz fir-rigward tal-aċċess tal-awtoritajiet pubbliċi għad-data personali ttrasferita; iħeġġeġ lill-Kummissjoni tħaffef il-ħidma tagħha fuq l-SCC modernizzati għat-trasferimenti internazzjonali tad-data biex jiġu żgurati kundizzjonijiet ekwi għall-intrapriżi żgħar u medji (SMEs) fil-livell internazzjonali; jilqa' l-pubblikazzjoni tal-Kummissjoni tal-abbozzi ta' SCC u l-għan li tagħmel lill-SCC aktar faċli biex jintużaw u li tindirizza n-nuqqasijiet identifikati tal-istandards attwali;
36. Ifakkar fil-Linji Gwida tal-EDPB 1/2019 dwar il-Kodiċijiet ta' Kondotta u l-Korpi ta' Monitoraġġ skont ir-Regolament (UE) 2016/679; jirrikonoxxi li dan l-istrument attwalment mhux jintuża biżżejjed minkejja li jiżgura l-konformità tal-GDPR meta jintuża flimkien ma' impenji vinkolanti u infurzabbli tal-kontrollur jew tal-proċessur fil-pajjiż terz biex jiġu applikati s-salvagwardji xierqa; jenfasizza l-potenzjal ta' dan l-istrument biex jappoġġja aħjar lill-SMEs u jipprovdi aktar ċertezza tad-dritt fil-kuntest tat-trasferimenti internazzjonali tad-data f'setturi differenti;
Il-leġiżlazzjoni futura tal-Unjoni
37. Huwa tal-fehma li billi jkun teknoloġikament newtrali, il-GDPR jipprovdi qafas regolatorju solidu għat-teknoloġiji emerġenti; iqis, madankollu, li huma meħtieġa aktar sforzi biex jiġu indirizzati kwistjonijiet usa' tad-diġitizzazzjoni, bħal sitwazzjonijiet ta' monopolju u żbilanċi fil-poter permezz ta' regolamentazzjoni speċifika, u biex titqies bir-reqqa l-korrelazzjoni tal-GDPR ma' kull inizjattiva leġiżlattiva ġdida sabiex tiġi żgurata l-konsistenza u jiġu indirizzati n-nuqqasijiet legali; ifakkar lill-Kummissjoni dwar l-obbligu tagħha li tiżgura proposti leġiżlattivi, bħall-governanza tad-data, l-att dwar id-data, l-att dwar is-servizzi diġitali jew l-intelliġenza artifiċjali, iridu dejjem ikunu konformi mal-GDPR u d-Direttiva dwar l-Infurzar tal-Liġi(9); iqis li t-testi finali adottati mill-koleġiżlaturi permezz ta' negozjati interistituzzjonali jeħtieġ li jirrispettaw bis-sħiħ l-acquis tal-protezzjoni tad-data; jesprimi dispjaċir, madankollu, li l-Kummissjoni nnifisha mhux dejjem ikollha approċċ konsistenti għall-protezzjoni tad-data fil-proposti leġiżlattivi; jisħaq li referenza għall-applikazzjoni tal-GDPR, jew "mingħajr preġudizzju għall-GDPR", ma tagħmilx il-proposta tal-GDPR awtomatikament konformi; jistieden lill-Kummissjoni tikkonsulta lill-Kontrollur Ewropew għall-Protezzjoni tad-Data (EDPS) u lill-EDPB fejn hemm impatt fuq il-protezzjoni tad-drittijiet u l-libertajiet tal-individwi fir-rigward tal-ipproċessar tad-data personali wara l-adozzjoni tal-proposti għal att leġiżlattiv; jistieden ukoll lill-Kummissjoni, biex meta tħejji proposti jew rakkomandazzjonijiet, tagħmel ħilitha biex tikkonsulta lill-EDPS, sabiex tiżgura l-konsistenza tar-regoli dwar il-protezzjoni tad-data fl-Unjoni kollha, u biex dejjem twettaq valutazzjoni tal-impatt;
38. Jinnota li t-tfassil tal-profili, għalkemm l-Artikolu 22 tal-GDPR jippermettih biss taħt kundizzjonijiet stretti u limitati, qed jintuża dejjem aktar peress li l-attivitajiet online tal-individwi jippermettu għarfien profond tal-psikoloġija u l-ħajja privata tagħhom; jinnota li peress li t-tfassil tal-profili jagħmilha possibbli li tiġi mmanipulata l-imġiba tal-utenti, il-ġbir u l-ipproċessar ta' data personali dwar l-użu ta' servizzi diġitali konnessi ma' network għandhom ikunu limitati sal-punt meħtieġ biex jiġi pprovdut u fatturat l-użu tas-servizz; jistieden lill-Kummissjoni tipproponi leġiżlazzjoni stretta speċifika għas-settur dwar il-protezzjoni tad-data għal kategoriji sensittivi ta' data personali meta tkun għadha ma għamlitx dan; jitlob l-infurzar strett tal-GDPR fl-ipproċessar tad-data personali;
39. Jitlob li l-konsumaturi jingħataw is-setgħa biex ikunu jistgħu jieħdu deċiżjonijiet infurmati dwar l-implikazzjonijiet fuq il-privatezza tal-użu ta' teknoloġiji ġodda u jiġi żgurat ipproċessar ġust u trasparenti billi jiġu pprovduti għażliet faċli għall-użu biex jingħata u jiġi rtirat il-kunsens għall-ipproċessar tad-data personali tagħhom kif previst mill-GDPR;
Id-Direttiva dwar l-Infurzar tal-Liġi
40. Jinsab imħasseb li r-regoli dwar il-protezzjoni tad-data użati għal skopijiet ta' infurzar tal-liġi huma ferm inadegwati biex ilaħħqu mal-kompetenzi li għadhom kif inħolqu għall-infurzar tal-liġi; jistieden għalhekk lill-Kummissjoni tevalwa d-Direttiva dwar l-Infurzar tal-Liġi aktar kmieni mill-iskadenza prevista fid-Direttiva u tagħmel ir-rieżami disponibbli għall-pubbliku;
Ir-Regolament dwar il-Privatezza Elettronika
41. Jesprimi t-tħassib serju tiegħu dwar in-nuqqas ta' implimentazzjoni tad-Direttiva dwar il-Privatezza Elettronika(10) mill-Istati Membri fid-dawl tal-bidliet introdotti mill-GDPR; jistieden lill-Kummissjoni tħaffef il-valutazzjoni tagħha u tibda proċeduri ta' ksur kontra dawk l-Istati Membri li naqsu milli jimplimentaw b'mod xieraq id-Direttiva dwar il-Privatezza Elettronika; jinsab imħasseb ħafna li r-riforma tal-privatezza elettronika li ilha biex issir diversi snin twassal għal frammentazzjoni tax-xenarju legali fl-UE, li jkun ta' detriment kemm għan-negozji kif ukoll għaċ-ċittadini; ifakkar li r-Regolament dwar il-Privatezza Elettronika(11) kien imfassal biex jikkomplementa u jiddettalja l-GDPR u jikkoinċidi mad-dħul fl-applikazzjoni tal-GDPR; jissottolinja li r-riforma tar-Regoli dwar il-Privatezza Elettronika ma tridx twassal għal tnaqqis fil-livell attwali tal-protezzjoni mogħtija skont il-GDPR u d-Direttiva dwar il-Privatezza Elettronika; jesprimi dispjaċir għall-fatt li għaddew erba' snin biex il-Kunsill eventwalment jadotta l-pożizzjoni ta' negozjar tiegħu dwar il-proposta għar-Regolament dwar il-Privatezza Elettronika, filwaqt li l-Parlament adotta l-pożizzjoni ta' negozjar tiegħu f'Ottubru 2017; ifakkar fl-importanza li jiġu aġġornati r-regoli dwar il-Privatezza Elettronika mill-2002 u l-2009 sabiex jittejbu l-protezzjoni tad-drittijiet fundamentali taċ-ċittadini u ċ-ċertezza tad-dritt għall-kumpaniji, li jikkomplementaw il-GDPR;
o o o
42. Jagħti istruzzjonijiet lill-President tiegħu biex jgħaddi din ir-riżoluzzjoni lill-Kummissjoni, lill-Kunsill Ewropew, lill-gvernijiet u lill-parlamenti nazzjonali tal-Istati Membri, lill-Bord Ewropew għall-Protezzjoni tad-Data u lill-Kontrollur Ewropew għall-Protezzjoni tad-Data.
Id-Direttiva tal-Parlament Ewropew u tal-Kunsill 95/46/KE ta’ l-24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward ta’ l-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data (ĠU L 281, 23.11.1995, p. 31).
Is-Sentenza tal-Qorti tal-Ġustizzja tas-6 ta' Ottubru 2015, Maximillian Schrems vs Il-Kummissarju tal-Protezzjoni tad-Data, C-362/14, ECLI:UE:C:2015:650.
Is-Sentenza tal-Qorti tal-Ġustizzja tas-16 ta' Lulju 2020, Il-Kummissarju tal-Protezzjoni tad-Data vs Facebook Ireland Limited u Maximillian Schrems, C-311/18, ECLI:EU:C:2015:559.
Is-Sentenzi fil-Kawża C-623/17, Privacy International, u fil-Kawżi Magħquda C-511/18, La Quadrature du Net u Oħrajn, C-512/18, French Data Network u Oħrajn, u C-520/18, Ordre des barreaux francophones et germanophone u Oħrajn,
Id-Deċiżjoni tal-Kummissjoni (2010/87/UE) tal-5 ta' Frar 2010 dwar klawżoli kuntrattwali standard għat-trasferiment ta' data personali għall-proċessuri stabbiliti f'pajjiżi terzi, taħt id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill, kif emendata mid-Deċiżjoni ta' Implimentazzjoni tal-Kummissjoni (UE) 2016/2297 tas-16 ta' Diċembru 2016, (ĠU L 39, 12.2.2010, p. 5).
Id-Direttiva (UE) 2016/680 tal-Parlament Ewropew u tal-Kunsill tas-27 ta' April 2016 dwar il-protezzjoni ta' persuni fiżiċi fir-rigward tal-ipproċessar ta' data personali mill-awtoritajiet kompetenti għall-finijiet ta' prevenzjoni, investigazzjoni, sejbien jew prosekuzzjoni ta' reati kriminali jew l-esekuzzjoni ta' pieni kriminali, u dwar il-moviment liberu ta' tali data, u li jħassar Deċiżjoni Kwadra tal-Kunsill 2008/977/ĠAI (ĠU L 119, 4.5.2016, p. 89).
Id-Direttiva 2002/58/EC tal-Parlament Ewropew u l-Kunsill tat-12 ta' Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika, (ĠU L 201, 31.7.2002, p. 37).
Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill dwar ir-rispett għall-ħajja privata u l-protezzjoni ta' data personali f'komunikazzjoni elettronika u li jħassar id-Direttiva 2002/58/KE (COM(2017)0010).