EDPB objavil končno različico smernic glede prenosa podatkov organom tretjih držav in izobraževalno gradivo SPE o umetni inteligenci in varstvu podatkov
Na svoji junijski plenarni seji je EDPB sprejel končno različico smernic glede 48. člena GDPR, ki se nanaša na prenose osebnih podatkov organom tretjih držav, in sicer po opravljeni javni obravnavi. Poleg tega je Odbor predstavil dva nova projekta v okviru t. i. Pomožne skupine strokovnjakov (Support Pool of Experts – SPE), ki vključujeta izobraževalno gradivo na temo umetne inteligence in varstva podatkov. Odbor je razpravljal tudi o zaprosilu Evropske komisije za skupno mnenje EDPB in Evropskega nadzornika za varstvo podatkov (EDPS) glede osnutka predloga za poenostavitev obveznosti vodenja evidenc v skladu z GDPR.
Kazalo
Prenosi podatkov organom tretjih držav
Po zaključeni javni razpravi je EDPB sprejel končno različico smernic glede prenosa osebnih podatkov organom tretjih držav. V teh smernicah se Odbor osredotoča na člen 48 GDPR in pojasnjuje, kako lahko organizacije ustrezno presodijo pogoje, pod katerimi lahko zakonito odgovorijo na zahteve organov tretjih držav (tj. organov držav zunaj Evropske unije) za dostop do osebnih podatkov.
EDPB pojasnjuje, da sodbe ali odločbe organov tretjih držav ne morejo samodejno učinkovati v EU. Praviloma je za prenos podatkov potrebna mednarodna pogodba, ki lahko zagotovi pravno podlago in ustrezne zaščitne ukrepe. Če takšna pogodba ne obstaja ali ne vsebuje ustreznih varovalk, se lahko v izjemnih okoliščinah in na podlagi presoje v posameznem primeru uporabijo druge pravne podlage ali razlogi za prenos.
Spremembe v posodobljenih smernicah ne spreminjajo njihove osnovne usmeritve, temveč nudijo dodatna pojasnila na področjih, ki so se izpostavila v javni razpravi. Med drugim se smernice zdaj podrobneje ukvarjajo s primeri, ko je prejemnik zahteve obdelovalec podatkov. Poleg tega naslavljajo situacijo, v kateri matična družba s sedežem v tretji državi prejme zahtevo tamkajšnjih organov in nato zaprosi svojo podružnico v EU za posredovanje osebnih podatkov.
Nadgradnja znanj o umetni inteligenci in varstvu podatkov
Na junijski plenarni seji je EDPB predstavil tudi dva nova projekta SPE, in sicer: Law & Compliance in AI Security and Data Protection ter Fundamentals of Secure AI Systems with Personal Data. Projekta sta bila uvedena na pobudo grškega organa za varstvo podatkov (HDPA) in vključujeta izobraževalna gradiva na področju umetne inteligence in varstva osebnih podatkov.
Poročilo Law & Compliance in AI Security & Data Protection je namenjeno pravnim strokovnjakom, kot so pooblaščene osebe za varstvo podatkov (DPO-ji) in drugi strokovnjaki s področja zasebnosti.
Drugo poročilo, Fundamentals of Secure AI Systems with Personal Data, pa je bolj tehnično usmerjeno in cilja na strokovnjake za kibernetsko varnost, razvijalce ter upravljavce visokorizičnih sistemov umetne inteligence.
Glavni cilj projektov je naslavljanje kritičnega pomanjkanja strokovnega znanja na presečišču umetne inteligence in varstva podatkov, kar predstavlja eno ključnih ovir za razvoj zasebnosti prijazne umetne inteligence. Izobraževalno gradivo naj bi strokovnjakom zagotovilo temeljne kompetence za ustvarjanje spodbudnejšega okolja za izvajanje zakonodaje o varstvu podatkov.
Odbor se je odločil, da bo oba dokumenta objavil kot datoteki PDF. Ob upoštevanju hitrega razvoja umetne inteligence je EDPB poleg tega začel tudi novo inovativno pobudo v obliki enoletnega pilotnega projekta, ki predvideva modificirano skupnostno različico obeh poročil. EDPB bo sodeloval z avtorji poročil pri njihovem prenosu v svoj Git repozitorij**, kar bo v bližnji prihodnosti omogočilo zunanjim sodelavcem – ob pogoju, da imajo uporabniški račun na tej platformi in spoštujejo pogoje licence Creative Commons Attribution-ShareAlike – predlaganje sprememb ali podajanje komentarjev k dokumentom.
Poenostavitev obveznosti vodenja evidenc po GDPR
Nazadnje je Odbor razpravljal tudi o zaprosilu Evropske komisije za izdajo skupnega mnenja EDPB in EDPS glede njenega predloga za poenostavitev obveznosti vodenja evidenc za mikro, mala in srednje velika podjetja (SME), majhna srednja podjetja (SMC) ter organizacije z manj kot 750 zaposlenimi. Gre za ciljno spremembo 5. odstavka 30. člena GDPR. Skupno mnenje EDPB in EDPS glede te zadeve bo izdano v roku osmih tednov.
