EDPB: Osnutek smernic o uporabi zakonitega interesa
EDPB je sprejel več pomembnih dokumentov, vključno z dolgo pričakovanimi osnutki smernic o obdelavi osebnih podatkov na podlagi zakonitega interesa. Odbor je prav tako izdal mnenje “o določenih obveznostih, ki izhajajo iz zanašanja na obdelovalce in pod-obdelovalce,” na zahtevo danskega organa za varstvo podatkov, Datatilsynet, na podlagi člena 64(2).
Kazalo
Zakoniti interesi v skladu z GDPR
Po sporočilu EDPB mora upravljavec, da bi se skliceval na zakoniti interes, izpolniti tri kumulativne pogoje:
- upoštevati je mogoče le interese, ki so zakoniti, jasno in natančno opredeljeni, resnični in prisotni.
- organizacije morajo razmisliti o nujnosti obdelave osebnih podatkov in ali obstajajo “manj invazivne alternative,” pri čemer morajo upoštevati tudi načelo minimizacije podatkov.
- upravljavci morajo upoštevati, da zakoniti interes ne prevlada nad interesi in temeljnimi pravicami posameznika.
V smernicah EDPB tudi določa, kako naj se ocena “izvaja v praksi, vključno v številnih specifičnih kontekstih, kot so preprečevanje goljufij, neposredno trženje in informacijska varnost.”
Osnutek smernic je zdaj odprt za javno posvetovanje do 20. novembra.
Smernice EDPB o zakonitih interesih so pravočasne in sledijo nedavni, a dolgo pričakovani sodbi Sodišča EU glede globe nizozemskega organa za varstvo podatkov, Autoriteit Persoonsgegevens, ki jo je izreklo Kraljevski nizozemski teniški zvezi.
V svojem sporočilu je EDPB navedel, da je upošteval odločitev Sodišča EU o razlagi zakonitega interesa v primeru C-621/22 z dne 4. oktobra 2024.
V nedavni objavi na blogu, ki analizira odločitev Sodišča EU, je Hogan Lovells zapisal:
“Čeprav Sodišče EU opozarja, da je treba pravne podlage iz člena 6 GDPR načeloma razlagati restriktivno, meni, da je stališče nizozemskega organa preveč omejevalno. Komercialni interesi ne smejo biti kategorično izključeni iz podlage zakonitega interesa, če niso v nasprotju z zakonom.”
Mnenje EDPB o obveznostih obdelovalcev
EDPB je prav tako sprejel mnenje o obveznostih upravljavcev pri zanašanju na obdelovalce in podizvajalce. To sledi zahtevi danskega organa za varstvo podatkov, Datatilsynet, na podlagi člena 64(2).
Mnenje se posebej osredotoča na primere, ko se upravljavci zanašajo na enega ali več obdelovalcev ali oidibdelovalcev, in obravnava osem vprašanj v zvezi z dolžnostmi upravljavcev ter z besedilom pogodb med upravljavci in obdelovalci.
Pomembno je, da EDPB navaja, da morajo “upravljavci imeti na voljo informacije o identiteti (tj. ime, naslov, kontaktna oseba) vseh obdelovalcev, podizvajalcev itd., da lahko najbolje izpolnijo svoje obveznosti v skladu s členom 28 GDPR.” Prav tako navaja, da “končna odločitev in odgovornost za vključitev določenega podizvajalca ostajata pri upravljavcu.”
Če pride do prenosa osebnih podatkov med dvema podizvajalcema zunaj Evropskega gospodarskega prostora, “mora obdelovalec kot izvoznik podatkov pripraviti ustrezno dokumentacijo, kot je podlaga za prenos, ocena vpliva prenosa in morebitni dodatni ukrepi,” navaja EDPB, pri čemer dodaja, da morajo upravljavci “to dokumentacijo oceniti in jo biti sposobni pokazati pristojnemu” organu za varstvo podatkov.
Izjava EDPB o osnutku uredbe za izvrševanje GDPR
Po amandmajih Evropskega parlamenta in Sveta k predlogu Evropske komisije za novo uredbo o dodatnih procesnih pravilih glede izvrševanja GDPR je EDPB sprejel izjavo, ki “na splošno pozdravlja” spremembe.
Predsednica EDPB Anu Talus je dejala: “Osnutek uredbe ima potencial, da močno poenostavi izvrševanje GDPR s povečanjem učinkovitosti obravnavanja primerov. Na ravni EU je potrebno več usklajevanja, da bi v celoti izkoristili mehanizme sodelovanja in doslednosti GDPR.”
Nazadnje, v očitno zelo aktivni seji ta mesec, je EDPB sprejel svoj delovni program za obdobje 2024–2025 in se strinjal, da podeli status opazovalca Kosovskemu informacijskemu in zasebnostnemu uradu.