EDPB je v okviru svojega 48. plenarnega zasedanja sprejel mnenje o osnutku odločitve o ustreznosti Združenega kraljestva, Smernice o uporabi člena 65(1)(a) GDPR, Smernice o targetiranju na uporabnike družbenih omrežji in Izjavo o mednarodnih sporazumih, vključno s prenosi.
Na plenarnem zasedanju je EDPB sprejel dve mnenji o osnutku odločb o ustreznosti Združenega kraljestva. Mnenje 14/2021 temelji na GDPR in ocenjuje tako splošne vidike varstva podatkov kot tudi vladni dostop do osebnih podatkov, prenesenih iz EGP za namene kazenskega pregona in nacionalne varnosti, vključene v osnutek odločbe o ustreznosti. Ta ocena temelji na smernicah o ustreznosti WP254.
Mnenje 15/2021 temelji na direktivi o kazenskem pregonu in analizira osnutek odločbe o ustreznosti v luči priporočil 01/2021 o ustreznosti v skladu z direktivo o kazenskem pregonu (“Policijska direktiva”) in ustrezne sodne prakse, ki se odraža v priporočilih 02/2020 o evropskih bistvenih jamstvih za nadzorne ukrepe. To je prvi osnutek izvedbenega sklepa o ustreznosti tretje države v skladu z z direktivo, ki ga je kdajkoli predstavila Evropska komisija in ocenil EDPB.
EDPB ugotavlja, da obstajajo ključna področja močne usklajenosti med okviri EU in Združenega kraljestva za varstvo osebnih podatkov glede nekaterih temeljnih določb, kot so:
- podlage za zakonito in pošteno obdelavo v zakonite namene;
- omejitev namena;
- kakovost in sorazmernost osebnih podatkov;
- hramba podatkov, varnost in zaupnost;
- preglednost;
- posebne kategorije osebnih podatkov;
- avtomatizirano odločanje in profiliranje.
“Okvir za varstvo osebnih podatkov v Združenem kraljestvu v veliki meri temelji na okviru EU za varstvo osebnih podatkov. Zakon o varstvu osebnih podatkov v Združenem kraljestvu iz leta 2018 poleg prenosa policijske direktive določa tudi uporabo GDPR v zakonodaji Združenega kraljestva ter podelitev pooblastil in nacionalni nadzorni organ za varstvo podatkov ICO. Zato EDPB priznava, da je Združeno kraljestvo v svojem okviru za varstvo podatkov večinoma odražalo GDPR in Policijsko direktivo, pri analizi svoje zakonodaje in prakse pa je EDPB opredelil številne vidike, ki – čeprav se zakoni lahko razvijajo – jih je treba ohraniti. Zato pozdravljamo odločitev Komisije, da časovno omeji dodeljeno ustreznost, in namero, da pozorno spremlja razvoj dogodkov v Združenem kraljestvu.”
Andrea Jelinek, predsedujoča EDPB
EDPB poudarja, da bi morala Evropska komisija v svoji odločitvi na podlagi GDPR nadalje oceniti in / ali natančno spremljati več postavk, na primer:
- izjema priseljevanja in njene posledice na omejitve pravic posameznikov, na katere se nanašajo osebni podatki;
- uporaba omejitev nadaljnjega prenosa osebnih podatkov EGP, prenesenih v Združeno kraljestvo, na primer na podlagi prihodnjih odločb o ustreznosti, ki jih je sprejelo Združeno kraljestvo, mednarodnih sporazumov, sklenjenih med Združenim kraljestvom in tretjimi državami, ali pa odstopanj.
V zvezi z dostopom državnih organov za namene nacionalne varnosti do osebnih podatkov, ki se prenašajo v Združeno kraljestvo, EDPB pozdravlja ustanovitev Tribunala za nadzor nad preiskovalnimi pooblastili za reševanje vprašanj na področju nacionalne varnosti in uvedbo sodnih pooblaščencev v Zakon o preiskovalnih pooblastilih iz leta 2016 za zagotovitev boljšega nadzora na tem področju. EDPB še vedno opredeljuje številne točke, ki zahtevajo nadaljnja pojasnila in / ali spremljanje:
- masovno prestrezanje (komunikacij);
- neodvisna ocena in nadzor uporabe orodij za avtomatizirano obdelavo;
- zaščitni ukrepi, ki jih zagotavlja zakonodaja Združenega kraljestva, ko gre za razkritje informacij v tujini, zlasti glede na uporabo izjeme nacionalne varnosti.
Odbor je sprejel tudi osnutek Smernic o uporabi člena 65(1)(a) GDPR za določitev glavnih faz postopka in razjasnitev pristojnosti EDPB pri sprejemanju pravno zavezujoče odločitve na podlagi člena 65(1)(a) GDPR. Smernice vključujejo tudi opis veljavnih postopkovnih zaščitnih ukrepov in pravnih sredstev. Smernice bodo predmet javnega posvetovanja šest tednov.
EDPB je po javnem posvetovanju sprejel tudi končno različico smernic o targetiranju uporabnikov družbenih omrežij. Cilj smernic je pojasniti vloge in odgovornosti ponudnikov socialnih omrežij in targetiranih posameznikov. Končna različica vključuje posodobljeno besedilo za obravnavo komentarjev in povratnih informacij, prejetih med javnim posvetovanjem.
EDPB je sprejel še izjavo o mednarodnih sporazumih, vključno s prenosi. EDPB poziva države članice EU, naj ocenijo in po potrebi pregledajo svoje mednarodne sporazume, ki vključujejo mednarodne prenose osebnih podatkov in so bili sklenjeni pred 24. majem 2016 (za tiste, ki se nanašajo na GDPR) in 6. majem 2016 (za tiste, ki se nanašajo na Policijsko direktivo), da jih po potrebi uskladi z zakonodajo EU o varstvu podatkov.
