Europski odbor za zaštitu podataka

Europski odbor za zaštitu podataka – 34. plenarna sjednica: Schrems II, Međudjelovanje Druge direktive o platnim uslugama (PSD2) i GDPR-a te pismo zastupnici EP-a Ďuriš Nicholsonovoj o praćenju kontakata, interoperabilnosti aplikacija i procjeni učinaka n

Monday, 20 July, 2020

Bruxelles, 20. srpnja – Tijekom svoje 34. plenarne sjednice Odbor je usvojio izjavu o presudi Suda Europske unije u predmetu Facebook Ireland i Schrems. Odbor je usvojio smjernice o međudjelovanju između Druge direktive o platnim uslugama (PSD2) i Opće uredbe o zaštiti podataka (GDPR), kao i pismo odgovora upućeno zastupnici EP-a Ďuriš Nicholsonovoj o praćenju kontakata, interoperabilnosti aplikacija i procjeni učinaka na zaštitu podataka.

Odbor je usvojio izjavu o presudi Suda Europske unije u predmetu C-311/18 - Povjerenik za zaštitu podataka protiv subjekata Facebook Ireland i Maximillian Schrems, kojom se stavlja izvan snage Odluka 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti te smatra mjerodavnom Odluka Komisije 2010/87 o standardnim ugovornim klauzulama za prijenos osobnih podataka izvršiteljima s poslovnim nastanom u trećim zemljama.

U pogledu sustava zaštite privatnosti, Odbor ističe da bi EU i SAD trebali uspostaviti cjelovit i djelotvoran okvir kojim se jamči da je, u skladu s presudom, razina pružene zaštite osobnih podataka u SAD-u u biti istovjetna onoj koja je zajamčena u EU-u. Odbor namjerava i dalje konstruktivno doprinositi osiguravanju transatlantskog prijenosa osobnih podataka koji donosi koristi građanima i organizacijama u Europskom gospodarskom prostoru i spreman je pružiti pomoć i smjernice Europskoj komisiji kako bi joj u suradnji s SAD-om pomogao razviti novi okvir, potpuno usklađen s pravom EU-a o zaštiti podataka.

U pogledu standardnih ugovornih klauzula, Odbor prima na znanje primarnu odgovornost izvoznika i uvoznika pri odlučivanju žele li ugovoriti standardne ugovorne klauzule, kako bi na temelju njih osigurali održanje razine zaštite koja je u biti istovjetna onoj zajamčenoj GDPR-om na temelju Povelje EU-a. Prilikom takve prethodne procjene izvoznik (prema potrebi uz pomoć uvoznika) uzima u obzir sadržaj standardnih ugovornih klauzula, konkretne okolnosti prijenosa te pravni režim primjenjiv u zemlji uvoznika. Sud naglašava da će izvoznik možda morati razmotriti uvođenje dodatnih mjera uz one obuhvaćene standardnim ugovornim klauzulama. Odbor će dodatno razmotriti što bi te dodatne mjere mogle obuhvaćati.

Odbor također prima na znanje dužnosti nadležnih nadzornih tijela da obustave ili zabrane prijenos podataka trećoj zemlji u skladu sa standardnim ugovornim klauzulama ako se, prema mišljenju nadležnih nadzornih tijela i s obzirom na sve okolnosti tog prijenosa, u toj trećoj zemlji ne postupa ili ne može postupati u skladu s tim klauzulama, a zaštita prenesenih podataka ne može se osigurati drugim sredstvima, osobito kada voditelj obrade ili izvršitelj obrade još nisu obustavili ili zaustavili prijenos.

Odbor podsjeća da je izdao smjernice o odstupanjima iz članka 49. GDPR-a te da se ta odstupanja moraju primjenjivati na svaki pojedinačni slučaj.

Odbor će provesti detaljniju procjenu presude i izdati dodatna pojašnjenja za dionike kao i smjernice o upotrebi instrumenata za prijenos osobnih podataka trećim zemljama u skladu s presudom. Kako je naveo Sud EU-a, Odbor i njegova europska nadzorna tijela spremni su osigurati dosljednost u cijelom Europskom gospodarskom prostoru.

Dokument je u cijelosti dostupan ovdje: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_hr

Odbor je usvojio smjernice o Drugoj direktivi o platnim uslugama (PSD2) Direktivom PSD2 modernizira se pravni okvir za tržište platnih usluga. Značajno je to što PSD2 uvodi pravni okvir za nove usluge iniciranja plaćanja (PISP) i usluge pružanja informacija o računu (AISP). Korisnici mogu zatražiti da se tim novim pružateljima platnih usluga dopusti pristup njihovim platnim računima. Nakon radionice za dionike održane u veljači 2019. Odbor je pripremio smjernice o primjeni GDPR-a na te nove usluge platnog prometa.

Smjernicama se ističe da je u tom kontekstu obrada posebnih kategorija osobnih podataka u pravilu zabranjena (na temelju članka 9. stavka 1. GDPR-a), osim kad ispitanik za to da izričitu privolu (članak 9. stavak 2. točka (a) GDPR-a) ili je to nužno za potrebe značajnog javnog interesa (članak 9. stavak 2. točka (g) GDPR-a).

Smjernicama se također razjašnjavaju uvjeti temeljem kojih pružatelji platnih usluga koji vode račun dopuštaju pristup informacijama o platnim računima pružateljima usluga iniciranja plaćanja (PISP) i pružateljima usluga informacija o računu (AISP), posebno detaljan pristup platnim računima.

Smjernicama se pojašnjava da članak 66. stavak 3. točka (g) te članak 67. stavak 2. točka (f) Druge direktive o platnim uslugama (PSD2) ne dozvoljavaju bilo kakvu drugu obradu, osim ako je ispitanik dao svoju privolu u skladu s člankom 6. stavkom 1. točkom (a) GDPR-a ili je ta obrada utvrđena pravom Unije ili pravom države članice. Smjernice će se uputiti na javnu raspravu.

Konačno, Odbor je usvojio pismo odgovora na pitanje zastupnice EP-a Ďuriš Nicholsonove o zaštiti podataka u kontekstu borbe protiv bolesti COVID-19. U pismu se odgovara na pitanja o usklađivanju i interoperabilnosti aplikacija za praćenje kontakata, procjeni učinaka na zaštitu podataka pri takvoj obradi i trajanju takve obrade.

EDPB_Press Release_2020_12