CEF 2024: EOVP izpostavlja izzive za polno izvajanje pravice do dostopa

20 January 2025
Launch of coordinated enforcement

Bruselj, 20. januarja – Evropski odbor za varstvo podatkov (EOVP) je sprejel poročilo o izvajanju pravice do dostopa s strani upravljavcev. V poročilu so povzeti rezultati vrste usklajenih nacionalnih aktivnosti, izvedenih leta 2024 na podlagi usklajene akcije nadzora (Coordinated Enforcement Framework – CEF). V poročilu so navedeni izzivi, ki sojih nadzorni organi za varstvo osebnih podatkov prepoznali pri nekaterih upravljavcih, skupaj z vrsto priporočil, ki naj bi upravljavcem služile kot pomoč pri izvrševanju pravice do dostopa. Osrednji element usklajene akcije nadzora predstavlja seznanjenost upravljavcev s Smernicami Evropskega odbora za varstvo podatkov št. 01/2022 o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa in preverjanje, ali so smernice upoštevane v praksi. 

Podpredsednik Evropskega odbora za varstvo podatkov Zdravko Vukíc je pojasnil: „CEF predstavlja dragoceno pobudo, ki pomaga krepiti sodelovanje med nadzornimi organi za varstvo osebnih podatkov: z usklajenim nadzorom nad izbranimi temami se dosega večja učinkovitost in doslednost. Odgovor na vprašanje, kako upravljavci izvršujejo pravico do dostopa, spada v samo središče varstva osebnih podatkov ter ob enem predstavlja najpogosteje uveljavljano pravico posameznikov, na katere se osebni podatki nanašajo.“

V letu 2024 je 30 nadzornih organov za varstvo osebnih podatkov po vsej Evropi začelo usklajene akcije nadzora skladnosti upravljavcev s pravico do dostopa, tako da so začeli formalne nadzorne postopke; ocenjevali, ali je formalen postopek nadzora upravičen; in/ali ugotavljali dejstva in podatke o izvrševanju pravice do dostopa v praksi.  Na usklajeno akcijo nadzora se je odzvalo skupno 1185 upravljavcev, ki so jih sestavljala mala in srednja podjetja (MSP) ter velika podjetja, dejavna v različnih panogah in na različnih področjih, pa tudi različne vrste javnih subjektov.

 

Področja izboljšav in glavni izzivi

Rezultati kažejo, da je potrebno večje ozaveščanje upravljavcev o smernicah 01/2022 na nacionalni ravni in ravni EU, saj smernice upravljavcem pomagajo izvrševati pravico do dostopa ter pojasnjujejo, kako je mogoče to pravico lažje uveljavljati, ob enem pa navajajo izjeme in omejitve pravice do dostopa. 

Na podlagi ukrepa CEF za leto 2024 je bilo opredeljenih sedem izzivov. Eden od njih je pomanjkanje dokumentiranih notranjih postopkov za obravnavo zahtev za dostop. Poleg tega so bile obravnavane tudi nedosledne in pretirane razlage omejitev pravice do dostopa, kot je pretirano sklicevanje na nekatere izjeme za samodejno zavrnitev zahtev za dostop. Drug primer so ovire, s katerimi bi se posamezniki lahko srečali pri uveljavljanju svoje pravice do dostopa, kot so formalizacija zahtev ali večkrat pretirane zahteve po predložitvi identifikacijskih dokumentov za izvrševanje pravice do dostopa. Za vsak ugotovljen izziv poročilo vsebuje seznam nezavezujočih priporočil, ki naj bi jih upravljavci in nadzorni organi za varstvo osebnih podatkov upoštevali.

 

Pozitivne ugotovitve

Kljub obstoječim izzivom sta dve tretjini sodelujočih nadzornih organov ocenili raven skladnosti sodelujočih upravljavcev kot „povprečno“ do „visoko“. Pomemben dejavnik, za katerega je bilo ugotovljeno, da vpliva na raven skladnosti upravljavcev, je bil obseg zahtev za dostop, ki so jih prejeli upravljavci, in velikost zadevne organizacije. Natančneje, za velike upravljavce ali upravljavce, ki so prejeli več zahtev, je bilo verjetneje, da bodo dosegli višjo raven skladnosti kot majhne organizacije z manj viri.

Pozitivne ugotovitve so bile opažene po vsej Evropi. Ti vključujejo izvajanje najboljših praks s strani upravljavcev, kot so uporabniku prijazni spletni obrazci, ki posameznikom omogočajo enostavno vložitev zahteve za dostop, in samopostrežni sistemi, ki posameznikom omogočajo, da z nekaj kliki in kadar koli samostojno prenesejo svoje osebne podatke

 

Ozadje in naslednji koraki 

CEF predstavlja ključen projekt in akcijo EOVP v okviru njegove strategije za obdobje 2024–2027, namenjen racionalizaciji nadzora in sodelovanja med nadzornimi organi za varstvo osebnih podatkov. 

V zadnjih treh letih sta bili izvedeni dve predhodni usklajeni akciji nadzora. 

Rezultati teh nacionalnih akcij nadzora se združijo in analizirajo skupaj, da se pridobi globlji vpogled v temo in omogoči ciljno usmerjeno nadaljnje ukrepanje tako na nacionalni ravni kot na ravni EU.

Evropski odbor za varstvo podatkov je leta 2023 objavil poročilo o svoji prvi usklajeni akciji nadzora v zvezi z uporabo storitev v oblaku v javnem sektorju. V letu 2024 pa je objavil tudi poročilo o izidu druge usklajene akcije nadzora v zvezi z imenovanjem in položajem pooblaščenih oseb za varstvo podatkov.

Usklajena akcija nadzora v letu 2025 bo namenjena izvajanju pravice do izbrisa.