Bruselj, 9. oktobra – Evropski odbor za varstvo podatkov (EOVP) je na zadnjem plenarnem zasedanju sprejel Mnenje o določenih obveznostih, ki izhajajo iz sodelovanja z obdelovalci in podobdelovalci, Smernice o zakonitem interesu, Izjavo o določitvi dodatnih postopkovnih pravil za izvrševanje Splošne uredbe o varstvu podatkov in delovni program EOVP za obdobje 2024–2025.
Prvič, EOVP je na podlagi zahteve iz drugega odstavka 64. člena Splošne uredbe o varstvu podatkov, ki jo je odboru predložil danski organ za varstvo podatkov, sprejel Mnenje o določenih obveznostih, ki izhajajo iz sodelovanja z obdelovalci in podobdelovalci. Drugi odstavek 64. člena Splošne uredbe o varstvu podatkov določa, da lahko vsak organ za varstvo podatkov zaprosi odbor za mnenje o zadevah, ki se splošno uporabljajo ali imajo učinke v več kot eni državi članici.
Mnenje se nanaša na primere, ko upravljavci sodelujejo z enim ali več obdelovalci in podobdelovalci. Zlasti obravnava osem vprašanj o razlagi nekaterih dolžnosti upravljavcev, ki sodelujejo z obdelovalci in podobdelovalci, ter besedilo pogodb med upravljavci in obdelovalci, ki izhaja zlasti iz 28. člena Splošne uredbe o varstvu podatkov.
V mnenju je pojasnjeno, da bi morali imeti upravljavci vedno na voljo informacije o identiteti (tj. ime, naslov, kontaktna oseba) vseh obdelovalcev, podobdelovalcev itd., da lahko kar najbolje izpolnijo svoje obveznosti iz 28. člena Splošne uredbe o varstvu podatkov. Poleg tega bi se morala obveznost upravljavca, da preveri, ali (pod)obdelovalci zagotavljajo „zadostna jamstva“, uporabljati ne glede na tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, čeprav se obseg takega preverjanja lahko razlikuje, zlasti na podlagi tveganj, povezanih z obdelavo.
V mnenju je navedeno tudi, da bi moral prvotni obdelovalec sicer zagotoviti, da predlaga podobdelovalce z zadostnimi jamstvi, vendar končna odločitev in odgovornost o zaposlitvi določenega podobdelovalca ostajata v rokah upravljavca.
EOVP meni, da upravljavec v skladu s Splošno uredbo o varstvu podatkov ni dolžan sistematično zahtevati pogodb o podobdelavi, da bi preveril, ali so bile obveznosti varstva podatkov prenesene navzdol po verigi obdelave. Upravljavec bi moral oceniti, ali je treba zahtevati kopijo takih pogodb ali njihov pregled, da bi lahko dokazal skladnost s Splošno uredbo o varstvu podatkov.
Poleg tega bi moral obdelovalec kot izvoznik podatkov, kadar prenosi osebnih podatkov zunaj Evropskega gospodarskega prostora potekajo med dvema (pod)obdelovalcema, pripraviti ustrezno dokumentacijo, na primer v zvezi z uporabljeno podlago za prenos, oceno učinka prenosa in morebitnimi dopolnilnimi ukrepi. Ker pa za upravljavca še vedno veljajo dolžnosti, ki izhajajo iz prvega odstavka 28. člena Splošne uredbe o varstvu podatkov o „zadostnih jamstvih“, poleg tistih iz 44. člena za zagotovitev, da prenosi osebnih podatkov ne ogrožajo ravni varstva, bi moral upravljavec to dokumentacijo oceniti in jo biti zmožen predložiti pristojnemu organu za varstvo podatkov.
Dalje, odbor je sprejel Smernice o obdelavi osebnih podatkov na podlagi zakonitega interesa.
Upravljavci podatkov potrebujejo pravno podlago za zakonito obdelavo osebnih podatkov. Zakoniti interes je ena od šestih možnih pravnih podlag.
V teh smernicah so analizirana merila iz točke (f) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, ki jih morajo upravljavci izpolnjevati za zakonito obdelavo osebnih podatkov na podlagi zakonitega interesa. Upošteva tudi nedavno sodbo Sodišča v zvezi s tem (C-621/22, 4. oktober 2024).
Da bi se upravljavec lahko oprl na zakoniti interes, mora izpolnjevati tri kumulativne pogoje:
- zasledovanje zakonitega interesa s strani upravljavca ali tretje osebe;
- nujnost obdelave osebnih podatkov za namene zasledovanja zakonitega interesa;
- Interesi ali temeljne pravice in svoboščine posameznikov ne prevladajo nad zakonitimi interesi upravljavca ali tretje osebe (tehtanje).
Prvič, samo zakoniti, jasno in natančno izraženi, resnični in sedanji interesi se lahko štejejo za legitimne. Takšni zakoniti interesi bi lahko na primer obstajali, kadar je posameznik stranka ali v službi upravljavca.
Drugič, če obstajajo razumne, enako učinkovite, vendar manj vsiljive alternative za uresničevanje želenih interesov, se obdelava morda ne bo štela za potrebno. Nujnost obdelave bi bilo treba preučiti tudi z upoštevanjem načela najmanjšega obsega podatkov.
Tretjič, upravljavec mora zagotoviti, da njegov zakoniti interes ne prevlada nad posameznikovimi interesi, temeljnimi pravicami in svoboščinami. Pri tem tehtanju mora upravljavec upoštevati interese posameznikov, vpliv obdelave in njihova razumna pričakovanja ter obstoj dodatnih zaščitnih ukrepov, ki bi lahko omejili vpliv na posameznika.
Poleg tega je v teh smernicah pojasnjeno, kako bi bilo treba to oceno izvesti v praksi, tudi v številnih posebnih okoliščinah, kot so preprečevanje goljufij, neposredno trženje in informacijska varnost. V dokumentu je pojasnjeno tudi razmerje med to pravno podlago in številnimi pravicami posameznikov v skladu s Splošno uredbo o varstvu podatkov.
O smernicah bo potekalo javno posvetovanje do 20. novembra 2024.
Dalje, odbor je sprejel izjavo po spremembah, ki sta jih Evropski parlament in Svet vnesla v predlog uredbe Evropske komisije o določitvi dodatnih postopkovnih pravil v zvezi z izvrševanjem Splošne uredbe o varstvu podatkov.
Izjava na splošno pozdravlja spremembe, ki sta jih vnesla Evropski parlament in Svet, ter priporoča nadaljnjo obravnavo posebnih elementov, da bi nova uredba dosegla cilja in sicer racionalizacijo sodelovanja med organi in izboljšanje izvrševanja Splošne uredbe o varstvu podatkov.
Izjava vsebuje praktična priporočila, ki se lahko uporabijo v okviru prihodnjih trialogov. EOVP zlasti ponovno poudarja potrebo po pravni podlagi in usklajenem postopku za sporazumne rešitve sporov ter podaja priporočila za zagotovitev, da se soglasje o povzetku ključnih vprašanj doseže na najučinkovitejši način. Odbor pozdravlja tudi vključitev dodatnih rokov, hkrati pa opozarja, da morajo biti realistični, in poziva sozakonodajalca, naj črtata določbe v zvezi z ustreznimi in utemeljenimi ugovori ter obrazložitvijo v postopku reševanja sporov.
Izjava sicer pozdravlja cilj doseganja večje preglednosti, vendar bi uvedba skupnega spisa, kot je predlagal Evropski parlament, zahtevala zapletene spremembe sistemov za upravljanje dokumentov in komunikacijo, ki se uporabljajo na evropski in nacionalni ravni. Tehnične rešitve za njegovo uvedbo bi bilo treba skrbno oceniti, prav tako pa bi bilo treba dodatno pojasniti načine za odobritev dostopa do njega.
EOVP pozdravlja spremembo Sveta, ki vodilnemu organu za varstvo podatkov omogoča izvzetje iz tako imenovanega okrepljenega sodelovanja v preprostih in enostavnih primerih, vendar poudarja, da je treba dodatno pojasniti področje uporabe tega izvzetja.
Predsednica EOVP Anu Talus je povedala: „Osnutek uredbe bi lahko močno poenostavil izvrševanje Splošne uredbe o varstvu podatkov s povečanjem učinkovitosti obravnave zadev. Potrebna je večja harmonizacija na ravni EU, da bi čim bolj povečali polno učinkovitost mehanizmov za sodelovanje in skladnost iz Splošne uredbe o varstvu podatkov.“
Odbor je na zadnjem plenarnem zasedanju sprejel delovni program za obdobje 2024–2025. To je prvi od dveh delovnih programov, s katerima se bo izvajala strategija EOVP za obdobje 2024–2027, ki je bila sprejeta aprila 2024. Temelji na prednostnih nalogah, ki so določene v strategiji EOVP in upošteva tudi potrebe, ki so opredeljene kot najpomembnejše za deležnike.
Nazadnje, člani EOVP so se strinjali, da bodo kosovski agenciji za informacije in zasebnost podelili status opazovalke dejavnosti EOVP v skladu z 8. členom poslovnika EOVP.