EDPB in EDPS: “Razvoj podatkovnega gosodarstva da, a ob upoštevanju GDPR.”
EDPB in EDPS sta na pravkar končani plenarni seji sprejela skupno mnenje o predlogu uredbe EU o evropskem upravljanju podatkov (akt o upravljanju podatkov oz. z angleško kratico DGA). Cilj DGA je spodbuditi razpoložljivost podatkov s povečanjem zaupanja v posrednike podatkov in s krepitvijo mehanizmov za izmenjavo podatkov po vsej EU. DGA namerava zlasti spodbujati razpoložljivost podatkov javnega sektorja za ponovno uporabo, izmenjavo podatkov med podjetji in omogočanje uporabe osebnih podatkov s pomočjo „posrednika za izmenjavo osebnih podatkov“. DGA skuša tudi omogočiti uporabo podatkov za altruistične namene.
EDPB in EDPS priznavata legitimni cilj DGA za izboljšanje pogojev za izmenjavo podatkov na notranjem trgu. Hkrati je zaščita osebnih podatkov bistveni in sestavni element zaupanja v digitalno gospodarstvo. S tem skupnim mnenjem EDPB in EDPS zakonodajalce pozivata, naj zagotovijo, da bo prihodnji sporazum v celoti skladen z zakonodajo EU o varstvu osebnih podatkov, s čimer se krepi zaupanje v digitalno gospodarstvo in ohranja raven zaščite, ki jo zagotavlja zakonodaja EU pod nadzorom nadzornih organov držav članic EU.
“Pravni okvir EU o varstvu podatkov ne ovira razvoja podatkovnega gospodarstva. Ravno nasprotno, to omogoča: zaupanje v kakršno koli izmenjavo podatkov je mogoče doseči le s spoštovanjem obstoječe zakonodaje o varstvu podatkov. GDPR je temelj, na katerem je treba graditi evropski model upravljanja podatkov. Zato poudarjamo, da je treba zagotoviti skladnost z GDPR glede pristojnosti nadzornih organov, vlog različnih udeleženih akterjev, pravne podlage za obdelavo osebnih podatkov, potrebnih zaščitnih ukrepov in uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki.”
Andrea Jelinek, predsednica EDPB
EDPB in EDPS menita, da bi moral zakonodajalec EU zagotoviti, da bo besedilo DGA jasno in nedvoumno navajalo, da ta uredba ne bo vplivala na raven varstva osebnih podatkov posameznikov, prav tako ne bo spreminajala zakonodaje na področju varstva osebnih podatkov.
„Razumemo naraščajoči pomen podatkov za gospodarstvo in družbo, kot je opisano v evropski podatkovni strategiji. Vendar pa z „big data prihaja tudi velika odgovornost“, zato je treba uvesti ustrezne zaščitne ukrepe za zaščito podatkov. Krovni okvir za evropske podatkovne prostore bi moral zagotoviti, da to ne bo vplivalo na pravni red Skupnosti o varstvu podatkov.“
Wojciech Wiewiórowski, EDPS
Glede ponovne uporabe osebnih podatkov, ki jih hranijo organi javnega sektorja, EDPB in EDPS priporočata uskladitev DGA z obstoječimi pravili o varstvu osebnih podatkov, določenimi v GDPR in z direktivo o odprtih podatkih. Poleg tega je treba pojasniti, da je lahko ponovna uporaba osebnih podatkov, ki jih imajo organi javnega sektorja, dovoljena le, če je to utemeljeno v zakonodaji EU ali držav članic. Takšni zakoni bi morali vključevati seznam jasno združljivih namenov, za katere se lahko zakonito dovoli nadaljnja obdelava ali predstavlja nujen in sorazmeren ukrep v demokratični družbi za zaščito ciljev iz 23. člena GDPR.
Skupno mnenje o ponudnikih storitev za izmenjavo podatkov poudarja potrebo po zagotovitvi predhodnih informacij in nadzora za posameznike ob upoštevanju načel varovanja podatkov by design in by default, preglednosti in omejitvi namena.
Kar zadeva altruizem podatkov, EDPB in EDPS priporočata, naj DGA bolje opredeli namene splošnega interesa takega „altruizma podatkov“. Altruizem podatkov mora biti organiziran tako, da omogoča posameznikom, da zlahka podajo, vendar tudi umaknejo svoje soglasje.
Glede na možna tveganja za posameznike, na katere se nanašajo osebni podatki, kadar lahko njihove osebne podatke obdelujejo ponudniki storitev za izmenjavo podatkov ali organizacije za altruizem podatkov, EDPB in EDPS menita, da deklarativni režimi registracije za te subjekte, kot so določeni v DGA, ne določajo dovolj strogega postopka preverjanja, ki velja za take storitve. Zato EDPB in EDPS priporočata preučitev alternativnih postopkov, ki predvidevajo bolj sistematično vključevanje orodij za odgovornost, zlasti spoštovanje kodeksa ravnanja ali mehanizma potrjevanja.
Skupno mnenje vključuje tudi priporočila o določitvi nadzornih organov kot glavnih pristojnih organov za nadzor skladnosti z določbami DGA po posvetovanju z drugimi ustreznimi sektorskimi organi.
