Bruxelles, 20. listopada – Europski odbor za zaštitu podataka na svojoj je posljednjoj plenarnoj sjednici donio dva mišljenja o nacrtima odluka Europske komisije o produljenju valjanosti odluka Ujedinjene Kraljevine o primjerenosti na temelju Opće uredbe o zaštiti podataka (GDPR) i Direktive o zaštiti podataka pri izvršavanju zakonodavstva (LED) do prosinca 2031.*
U mišljenjima Europskog odbora za zaštitu podataka, koja je Komisija zatražila u skladu s člankom 70. stavkom 1. točkom (s) Opće uredbe o zaštiti podataka i člankom 51. stavkom 1. točkom (g) Direktive o zaštiti podataka pri izvršavanju zakonodavstva, razmatra se predloženo šestogodišnje produljenje dviju odluka Ujedinjene Kraljevine o primjerenosti koje bi trebale isteći u prosincu 2025.
Produljenje valjanosti odluka Ujedinjene Kraljevine o primjerenosti omogućit će organizacijama i nadležnim tijelima sa sjedištem u Europi da nastave prenositi podatke organizacijama i tijelima sa sjedištem u Ujedinjenoj Kraljevini bez provedbe dodatnih jamstava**.
„Europskiodbor za zaštitu podataka pozdravlja kontinuirano usklađivanje okvira Ujedinjene Kraljevine i europskog okvira za zaštitu podataka, unatoč nedavnim promjenama pravnog okvira Ujedinjene Kraljevine.
Pozivam Europsku komisiju da razmotri točke koje je istaknuo Odbor i osigura učinkovito praćenje nakon donošenja odluka. Time će se povećati pouzdanost primjerenosti Ujedinjene Kraljevine i osigurati veća pravna sigurnost za organizacije i nadležna tijela koji prenose osobne podatke iz Europe u Ujedinjenu Kraljevinu.”
Predsjednik Europskog odbora za zaštitu podataka, Anu Talus
Mišljenje o Općoj uredbi o zaštiti podataka
Odbor smatra da se većinom izmjena uvedenih u okvir Ujedinjene Kraljevine za zaštitu podataka nastoji pojasniti i olakšati usklađenost sa zakonom.
Neki aspekti nacrta odluke mogli bi se dodatno pojasniti.
Europskiodbor za zaštitu podataka poziva Europsku komisiju da dodatno analizira i prati izmjene Zakona o zadržanom pravu EU-a (opoziv i reforma) iz 2023., poznatog i kao Zakon REUL, posebno ukidanje načela nadređenosti prava EU-a i uklanjanje izravne primjene načela prava EU-a.
Europski odbor za zaštitu podataka napominje da su ministru dodijeljene nove ovlasti za uvođenje promjena u novi okvir za zaštitu podataka s pomoću sekundarnih propisa koji zahtijevaju manje parlamentarnog nadzora. To se odnosi na međunarodne prijenose, automatizirano donošenje odluka i upravljanje Uredom povjerenika za informiranje. Europski odbor za zaštitu podataka poziva Komisiju da se pozabavi mogućim rizicima od razilaženja tako da u konačnoj odluci o primjerenosti istakne područja koja namjerava pažljivo pratiti.
Europski odbor za zaštitu podataka također potiče Komisiju da dodatno razradi svoju procjenu i prati pravila o prijenosima iz Ujedinjene Kraljevine u treće zemlje. Novim testom primjerenosti, uvedenim Zakonom o podacima (korištenje i pristup) iz 2025., zahtijeva se da razina zaštite treće zemlje ne bude znatno niža od one koja je za ispitanike predviđena okvirom Ujedinjene Kraljevine, ali se taj test ne odnosi na rizik od pristupa vlade, postojanje pravne zaštite za pojedince i potrebu za neovisnim nadzornim tijelom.
Komisija bi također trebala dodatno procijeniti i pratiti kako vlada Ujedinjene Kraljevine navodno upotrebljava obavijesti o tehničkoj sposobnosti kojima se od poduzeća zahtijeva da zaobiđu šifriranje jer bi to stvorilo sistemske ranjivosti i predstavljalo rizik za cjelovitost i povjerljivost elektroničkih komunikacija.
Naposljetku, Europski odbor za zaštitu podataka poziva Komisiju da dodatno procijeni i prati promjene u strukturi ICO-a i izvršavanje njegovih korektivnih ovlasti. U tom kontekstu Europski odbor za zaštitu podataka sa zadovoljstvom prima na znanje politiku transparentnosti ICO-a i dostupnost statističkih i analitičkih podataka o njegovim provedbenim aktivnostima.
Novim odlukama o primjerenosti dopunit će se odluke iz 2021., koje će se i dalje primjenjivati na područja koja nisu obuhvaćena nacrtima odluka za 2025. Europski odbor za zaštitu podataka temelji se na mišljenjima iz 2021. (14/2021 i 15/2021). Konkretno, bliska usklađenost okvira Opće uredbe o zaštiti podataka i pravnog okvira Ujedinjene Kraljevine o ključnim odredbama, istaknuta 2021., i dalje vrijedi (uključujući, na primjer, transparentnost, prava ispitanika i posebne kategorije podataka).
O mišljenju LED-a
Europski odbor za zaštitu podataka pozdravlja stalno usklađivanje okvira za zaštitu podataka u Europi i Ujedinjenoj Kraljevini te potiče Komisiju da dopuni svoju procjenu aspekata povezanih s izuzećima u pogledu nacionalne sigurnosti. Takvim se izuzećima može odstupiti od većine načela zaštite podataka i nekih međunarodnih pravila o prijenosu za tijela za izvršavanje zakonodavstva, amogu se i ograničiti provedbene i inspekcijske ovlasti ICO-a.
Europski odbor za zaštitu podataka poziva Komisiju da analizira pravila Ujedinjene Kraljevine o prijenosu osobnih podataka u treće zemlje, posebno novi test primjerenosti, na isti način kao u mišljenju o Općoj uredbi o zaštiti podataka.
Odbor također ističe popustljiviji pristup automatiziranom donošenju odluka i nove ovlasti dodijeljene ministru u tom području. Podsjeća na važnost smislenog ljudskog preispitivanja i potiče Komisiju da pojasni i prati moguća izuzeća od prava pojedinaca na ljudsku intervenciju.
Naposljetku, Europski odbor za zaštitu podataka potvrđuje da sustav nadzora tijela kaznenog progona i mehanizmi pravne zaštite ostaju uglavnom nepromijenjeni te ponovno ističe potrebu da Komisija pomno prati primjenu korektivnih ovlasti i pravnih lijekova za pojedince u okviru Ujedinjene Kraljevine za zaštitu podataka.
Napomena urednicima:
* Europska komisija objavila je 22. srpnja 2025. dva nacrta izmjena provedbenih odluka o odgovarajućoj zaštiti osobnih podataka u Ujedinjenoj Kraljevini u skladu s člankom 45. stavkom 3. Opće uredbe o zaštiti podataka i člankom 36. stavkom 3. Direktive o zaštiti podataka pri izvršavanju zakonodavstva. Cilj je tih nacrta odluka produljiti valjanost prethodnih odluka o primjerenosti donesenih 28. lipnja 2021.
Komisija je u svibnju 2025. donijela odluku o produljenju valjanosti odluke o primjerenosti Ujedinjene Kraljevine za još šest mjeseci, od lipnja do prosinca 2025. Europski odbor za zaštitu podataka donio je mišljenje o tom produljenju u svibnju 2025.
** Odluka o primjerenosti ključni je mehanizam u zakonodavstvu EU-a o zaštiti podataka koji Europskoj komisiji omogućuje da utvrdi nudi li treća zemlja ili međunarodna organizacija odgovarajuću razinu zaštite podataka. Europska komisija ovlaštena je na temelju članka 45. Uredbe (EU) 2016/679 utvrditi nudi li zemlja izvan EU-a odgovarajuću razinu zaštite podataka.
Donošenje odluke o primjerenosti uključuje: 1) prijedlog Europske komisije, 2) mišljenje Europskog odbora za zaštitu podataka, 3) odobrenje predstavnika država članica EU-a, 4) donošenje odluke Europske komisije.
Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika. Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.