Evropski odbor za varstvo podatkov

Evropski odbor za varstvo podatkov – 34. plenarno zasedanje: sodba Schrems II, medsebojno vplivanje revidirane direktive o plačilnih storitvah in splošne uredbe o varstvu podatkov ter dopis poslanki Evropskega parlamenta Ďuriš Nicholsonová glede iskanja s

Monday, 20 July, 2020

Bruselj, 20. julij – Odbor EOVP je na svojem 34. plenarnem zasedanju sprejel izjavo o sodbi Sodišča Evropske unije v zadevi Facebook Ireland proti Schrems. Odbor je sprejel smernice o medsebojnem vplivanju revidirane direktive o plačilnih storitvah (PSD2) in splošne uredbe o varstvu podatkov ter z dopisom odgovoril poslanki Evropskega parlamenta Ďuriš Nicholsonová glede iskanja stikov, interoperabilnosti aplikacij in ocene varstva podatkov.

Odbor EOVP je sprejel izjavo o sodbi Sodišča Evropske unije v zadevi C-311/18 (Data Protection Commissioner proti Facebook Ireland in Maximillian Schrems), ki razveljavlja Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA, in za veljavnega šteje Sklep Komisije 2010/87 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah.

Odbor v zvezi z zasebnostnim ščitom poudarja, da bi v skladu s sodbo morale EU in ZDA vzpostaviti celovit in učinkovit okvir, ki zagotavlja, da je raven varstva osebnih podatkov v ZDA v bistvu enakovredna tisti, ki je zagotovljena v EU. Odbor namerava še naprej konstruktivno prispevati k zagotavljanju varnosti čezatlantskega prenosa osebnih podatkov, ki koristi državljanom in organizacijam v EGP, ter je Evropski komisiji pripravljen zagotoviti pomoč in smernice za oblikovanje novega okvira, ki bo v celoti skladen z zakonodajo EU o varstvu podatkov.

Kar zadeva standardne pogodbene klavzule, je odbor seznanjen s primarno odgovornostjo izvoznika in uvoznika pri odločanju o pristopu k tem klavzulam, da zagotovi njihovo vzdrževanje ravni varstva, ki je v bistvu enakovredna tisti, ki jo zagotavlja splošna uredba o varstvu podatkov ob upoštevanju Listine EU. Pri tovrstni predhodni oceni izvoznik (po potrebi s pomočjo uvoznika) upošteva vsebino standardnih pogodbenih klavzul, posebne okoliščine prenosa in pravno ureditev, ki se uporablja v državi uvoznika. Sodišče poudarja, da mora morda izvoznik poleg ukrepov, vključenih v standardnih pogodbenih klavzulah, razmisliti še o dodatnih ukrepih. Odbor bo podrobneje proučil, kateri bi lahko bili ti dodatni ukrepi.

Odbor je seznanjen tudi z dolžnostmi pristojnih nadzornih organov, da začasno ustavijo ali prepovejo prenos podatkov v tretjo državo v skladu s standardnimi pogodbenimi klavzulami, če po mnenju pristojnega nadzornega organa in ob upoštevanju vseh okoliščin navedenega prenosa te klavzule niso ali ne morejo biti izpolnjene v navedeni tretji državi, varstva prenesenih podatkov pa ni mogoče zagotoviti z drugimi sredstvi, zlasti kadar upravljavec ali obdelovalec podatkov ni že sam začasno ali dokončno ustavil prenosa podatkov.

Odbor želi opozoriti na to, da je sprejel smernice v zvezi s členom 49 splošne uredbe o varstvu podatkov in da je treba tovrstna odstopanja uporabljati za vsak primer posebej.

Odbor bo podrobneje ocenil sodbo ter deležnikom zagotovil dodatna pojasnila in smernice glede uporabe instrumentov za prenos osebnih podatkov v tretje države v skladu s sodbo. Odbor in njegovi evropski nadzorni organi so poleg tega pripravljeni, kot je navedlo Sodišče Evropske unije, zagotoviti doslednost na celotnem območju EGP.

Izjava je v celoti na voljo na tej povezavi: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Odbor EOVP je sprejel smernice o revidirani direktivi o plačilnih storitvah (PSD2). Direktiva PSD2 posodablja pravni okvir za trg plačilnih storitev. Pomembno je, da navedena direktiva uvaja pravni okvir za nove storitve odreditve plačil (PISP) in storitve zagotavljanja informacij o računih (AISP). Uporabniki lahko zahtevajo, da je novim ponudnikom storitev zagotovljen dostop do njihovih plačilnih računov. Po delavnici za deležnike, ki je potekala februarja 2019, je odbor EOVP pripravil smernice o uporabi splošne uredbe o varstvu podatkov pri novih plačilnih storitvah.

V njih je poudarjeno, da je v tem okviru na splošno prepovedana obdelava posebnih kategorij osebnih podatkov (v skladu s členom 9(1) splošne uredbe o varstvu podatkov), razen kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev (člen 9(2)(a) splošne uredbe o varstvu podatkov) ali je obdelava potrebna iz razlogov bistvenega javnega interesa (člen 9(2)(g) splošne uredbe o varstvu podatkov).

Smernice obravnavajo tudi okoliščine, v katerih ponudniki plačilnih storitev, ki vodijo račun, zagotovijo dostop do informacij o plačilnem računu ponudnikom storitev odreditve plačil in ponudnikom storitev zagotavljanja informacij o računih, zlasti dostop do podrobnih informacij o plačilnih računih.

V smernicah je pojasnjeno, da niti člen 66(3)(g) niti člen 67(2)(f) direktive PSD2 ne dovoljujeta kakršne koli nadaljnje obdelave, razen če posameznik, na katerega se nanašajo osebni podatki, da privolitev v skladu s členom 6(1)(a) splošne uredbe o varstvu podatkov ali je obdelava v skladu s pravom Unije ali države članice. Smernice bodo predložene v javno posvetovanje.

Na koncu je odbor pripravil dopis z odgovori na vprašanja poslanke Evropskega parlamenta Ďuriš Nicholsonová glede varstva podatkov v okviru boja proti covidu-19. V dopisu so obravnavana vprašanja o usklajevanju in interoperabilnosti aplikacij za sledenje stikom, zahtevi po oceni varstva podatkov za tovrstno obdelavo in trajanju, ko bi potekala obdelava.

EDPB_Press Release_2020_12