Brusel 9. októbra – Európsky výbor pre ochranu údajov (EDPB) prijal na svojom poslednom plenárnom zasadnutí stanovisko k určitým povinnostiam vyplývajúcim zo spoliehania sa na sprostredkovateľa (sprostredkovateľov) a subdodávateľa (subdodávateľov), usmernenia k oprávnenému záujmu, vyhlásenie o stanovení dodatočných procesných pravidiel presadzovania všeobecného nariadenia o ochrane údajov a pracovný program EDPB na roky 2024 – 2025.
Po prvé, EDPB prijal stanovisko k určitým povinnostiam vyplývajúcim zo spoliehania sa na sprostredkovateľa(-ov) a ďalšieho(-ich) sprostredkovateľa(-ov) v nadväznosti na žiadosť dánskeho orgánu pre ochranu údajov podľa článku 64 ods. 2 všeobecného nariadenia o ochrane údajov adresovanú výboru. V článku 64 ods. 2 všeobecného nariadenia o ochrane údajov sa stanovuje, že každý orgán pre ochranu osobných údajov môže požiadať výbor o vydanie stanoviska k záležitostiam so všeobecnou pôsobnosťou alebo s účinkami vo viac ako jednom členskom štáte.
Stanovisko sa týka situácií, keď sa prevádzkovatelia spoliehajú na jedného alebo viacerých sprostredkovateľov a ďalších sprostredkovateľov. Konkrétne sa zaoberá ôsmimi otázkami týkajúcimi sa výkladu určitých povinností prevádzkovateľov, ktorí sa spoliehajú na sprostredkovateľov a ďalších sprostredkovateľov, ako aj znením zmlúv medzi prevádzkovateľom a sprostredkovateľom, ktoré vyplývajú najmä z článku 28 všeobecného nariadenia o ochrane údajov.
V stanovisku sa vysvetľuje, že prevádzkovatelia by mali mať vždy k dispozícii informácie o totožnosti (t. j. meno, adresu, kontaktnú osobu) všetkých sprostredkovateľov, subdodávateľov atď., aby mohli čo najlepšie plniť svoje povinnosti podľa článku 28 všeobecného nariadenia o ochrane údajov. Okrem toho by sa povinnosť prevádzkovateľa overiť, či (sub)sprostredkovatelia poskytujú „dostatočné záruky“, mala uplatňovať bez ohľadu na riziko pre práva a slobody dotknutých osôb, hoci rozsah takéhoto overenia sa môže líšiť, najmä na základe rizík spojených so spracúvaním.
V stanovisku sa tiež uvádza, že zatiaľ čo pôvodný sprostredkovateľ by mal zabezpečiť, aby navrhol ďalších sprostredkovateľov s dostatočnými zárukami, konečné rozhodnutie a zodpovednosť za zapojenie konkrétneho ďalšieho sprostredkovateľa zostáva na prevádzkovateľovi.
EDPB sa domnieva, že podľa všeobecného nariadenia o ochrane údajov prevádzkovateľ nemá povinnosť systematicky požadovať, aby sa v zmluvách o subspracovávaní overilo, či sa povinnosti v oblasti ochrany údajov preniesli do celého spracovateľského reťazca. Prevádzkovateľ by mal posúdiť, či je vyžiadanie kópie takýchto zmlúv alebo ich preskúmanie potrebné na to, aby mohol preukázať súlad so všeobecným nariadením o ochrane údajov.
Okrem toho, ak sa prenosy osobných údajov mimo Európskeho hospodárskeho priestoru uskutočňujú medzi dvoma (sub)sprostredkovateľmi, sprostredkovateľ ako vývozca údajov by mal pripraviť príslušnú dokumentáciu, napríklad dokumentáciu týkajúcu sa použitého dôvodu prenosu, posúdenia vplyvu prenosu a možných doplňujúcich opatrení. Keďže sa však na prevádzkovateľa stále vzťahujú povinnosti vyplývajúce z článku 28 ods. 1 všeobecného nariadenia o ochrane údajov týkajúce sa „dostatočných záruk“, okrem povinností podľa článku 44 s cieľom zabezpečiť, aby úroveň ochrany nebola oslabená prenosmi osobných údajov, mal by posúdiť túto dokumentáciu a byť schopný ju preukázať príslušnému orgánu pre ochranu údajov.
Výbor ďalej prijal usmernenia týkajúce sa spracúvania osobných údajov na základe oprávneného záujmu.
Prevádzkovatelia potrebujú právny základ na zákonné spracúvanie osobných údajov. Oprávnený záujem je jedným zo šiestich možných právnych základov.
V týchto usmerneniach sa analyzujú kritériá stanovené v článku 6 ods. 1 písm. f) všeobecného nariadenia o ochrane údajov, ktoré musia prevádzkovatelia spĺňať, aby mohli zákonne spracúvať osobné údaje na základe oprávneného záujmu. Zohľadňuje sa v ňom aj nedávny rozsudok Súdneho dvora Európskej únie v tejto veci (C-621/22, 4. októbra 2024).
Na to, aby sa prevádzkovateľ mohol spoliehať na oprávnený záujem, musí splniť tri kumulatívne podmienky:
-
sledovanie oprávneného záujmu prevádzkovateľom alebo treťou stranou;
-
Nevyhnutnosť spracúvania osobných údajov na účely sledovania oprávneného záujmu;
-
Záujmy alebo základné slobody a práva fyzických osôb nemajú prednosť pred oprávnenými záujmami prevádzkovateľa alebo tretej strany (vyrovnávanie).
V prvom rade za oprávnené možno považovať len tie záujmy, ktoré sú zákonné, jasne a presne formulované, skutočné a prítomné. Takéto oprávnené záujmy by mohli napríklad existovať v situácii, keď je jednotlivec klientom, alebo v službách prevádzkovateľa.
Po druhé, ak existujú primerané, rovnako účinné, ale menej rušivé alternatívy na dosiahnutie sledovaných záujmov, spracúvanie nemožno považovať za nevyhnutné. Nevyhnutnosť spracúvania by sa mala preskúmať aj so zásadou minimalizácie údajov.
Po tretie prevádzkovateľ musí zabezpečiť, aby jeho oprávnený záujem neprevažoval nad záujmami jednotlivca, základnými právami slobôd. Pri tomto vyvažovaní musí prevádzkovateľ zohľadniť záujmy jednotlivcov, vplyv spracúvania a ich primerané očakávania, ako aj existenciu dodatočných záruk, ktoré by mohli obmedziť vplyv na jednotlivca.
Okrem toho sa v týchto usmerneniach vysvetľuje, ako by sa toto posúdenie malo vykonávať v praxi, a to aj vo viacerých špecifických kontextoch, ako je predchádzanie podvodom, priamy marketing a bezpečnosť informácií. V dokumente sa vysvetľuje aj vzťah medzi týmto právnym základom a viacerými právami dotknutých osôb podľa všeobecného nariadenia o ochrane údajov.
Usmernenia budú predmetom verejnej konzultácie do 20. novembra 2024.
Výbor následne prijal vyhlásenie v nadväznosti na zmeny, ktoré Európsky parlament a Rada vykonali v návrhu nariadenia Európskej komisie, ktorým sa stanovujú dodatočné procesné pravidlá týkajúce sa presadzovania všeobecného nariadenia o ochrane údajov.
Vo vyhlásení sa vo všeobecnosti vítajú zmeny zavedené Európskym parlamentom a Radou a odporúča sa ďalšie riešenie konkrétnych prvkov, aby sa novým nariadením dosiahli ciele zefektívnenia spolupráce medzi orgánmi a zlepšenia presadzovania všeobecného nariadenia o ochrane údajov.
Vyhlásenie obsahuje praktické odporúčania, ktoré sa môžu použiť v súvislosti s nadchádzajúcimi trialógmi. EDPB predovšetkým opätovne zdôrazňuje potrebu právneho základu a harmonizovaného postupu urovnania sporov formou zmieru a predkladá odporúčania s cieľom zabezpečiť, aby sa čo najefektívnejšie dosiahol konsenzus o zhrnutí kľúčových otázok. Výbor tiež víta zahrnutie dodatočných lehôt, pričom pripomína, že musia byť realistické, a naliehavo vyzýva spoluzákonodarcov, aby v rámci postupu riešenia sporov odstránili ustanovenia týkajúce sa relevantných a odôvodnených námietok a „odôvodnenia“.
Hoci sa vo vyhlásení víta cieľ dosiahnuť väčšiu transparentnosť, zavedenie spoločného spisu, ako to navrhuje Európsky parlament, by si vyžadovalo komplexné zmeny v systémoch správy dokumentov a komunikácie používaných na európskej a vnútroštátnej úrovni. Technické riešenia na jeho vykonávanie by sa mali dôkladne posúdiť a spôsoby udeľovania prístupu k nemu by sa mali ďalej objasniť.
EDPB víta zmenu Rady, ktorá vedúcemu orgánu pre ochranu osobných údajov umožňuje neuplatňovať tzv. posilnenú spoluprácu v jednoduchých a jednoduchých prípadoch, zdôrazňuje však potrebu ďalšieho objasnenia rozsahu pôsobnosti tejto výnimky.
Predseda EDPB Anu Talus v tejto súvislosti uviedol: „Návrh nariadenia má potenciál výrazne zefektívniť presadzovanie všeobecného nariadenia o ochrane údajov zvýšením efektívnosti vybavovania prípadov. Na úrovni EÚ je potrebná väčšia harmonizácia, aby sa maximalizovala plná účinnosť mechanizmov spolupráce a konzistentnosti všeobecného nariadenia o ochrane údajov.“
Rada na svojom poslednom plenárnom zasadnutí prijala svoj pracovný program na roky 2024 – 2025. Ide o prvý z dvoch pracovných programov, ktorými sa bude vykonávať stratégia EDPB na roky 2024 – 2027 prijatá v apríli 2024. Vychádza z priorít stanovených v stratégii EDPB a zohľadňujú sa v nej aj potreby identifikované ako najdôležitejšie pre zainteresované strany.
Členovia EDPB napokon súhlasili s udelením štatútu pozorovateľa činnostiam EDPB Kosovskej agentúre pre informácie a ochranu osobných údajov (Kosovan DPA) v súlade s článkom 8 rokovacieho poriadku EDPB.
Tlačová správa bola automaticky preložená z angličtiny. EDPB nezaručuje presnosť prekladu. Ak existujú pochybnosti, pozrite si oficiálny text v jeho anglickej verzii.