Ето текста на резолюцията на Европейския Парламент за прилагането на GDPR

Надзорните органи трябва да разполагат с достатъчно ресурси и не трябва да притискат медиите да разкриват източниците си, пише в документа

Изпълнението и ефективното прилагане на Общия регламент за защита на данните е от ключово значение, подчертават евродепутатите, но това може да се направи само ако надзорните органи имат достатъчно финансиране.

В резолюцията, приета на 25 март, членовете на ЕП казват, че до момента Общият регламент за защита на данните (GDPR) е постигнал цялостен успех и не трябва да бъде преразглеждан.

Доминирането на Европа в тази област в международен план би помогнало на ЕС да защити по-добре правата на гражданите, да насърчи надеждни цифрови иновации и да ускори икономическия растеж, казват евродепутатите.

Надзорните органи и изпълнението

Евродепутатите са загрижени, че много надзорни органи в ЕС не разполагат с достатъчно човешки, технически и финансови ресурси за изпълнение на задачите си. Те трябва да се справят с нарастващия брой ресурсно интензивни и сложни случаи и да координират и улесняват сътрудничеството между националните органи за защита на данните (DPA).

Евродепутатите изразиха опасения, че националните ОЗД прилагат GDPR неравномерно или изобщо не, което води до това, че тежестта на прилагането пада върху отделните граждани. По-специално те призовават ирландските и люксембургските ОЗД да ускорят текущите си разследвания по големи дела.

Улесняване на прилагането за МСП, училища и клубове

Тъй като прилагането на GDPR е особено предизвикателно за малките и средните предприятия (МСП) и някои други организации, членовете на Европейския парламент искат да получат повече информация и обучение, които да им помогнат да прилагат регламента по-ефективно.

Свобода на изразяване и информация

Депутатите също са загрижени, че някои национални публични власти злоупотребяват с GDPR, за да ограничат журналистите и неправителствените организации. Те подчертават, че правилата за защита на данните не трябва да се използват като начин за оказване на натиск върху журналистите да разкриват своите източници.

GDPR в политиките за обществено здраве

Както посочиха членовете на Европейския парламент, пандемията COVID-19 също подчерта, че са необходими ясни насоки от ОЗД и Европейския съвет за защита на данните (EDPB) за това как да се прилага правилно GDPR в политиките за обществено здраве.

 

Резолюция на Европейския парламент от 25 март 2021 г. относно доклада на Комисията за оценка на изпълнението на Общия регламент относно защитата на данните две години след неговото прилагане (2020/2717(RSP))

Европейският парламент,

–  като взе предвид член 8 от Хартата за основните права на Европейския съюз,

–  като взе предвид член 16 от Договора за функционирането на Европейския съюз,

–  като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОРЗД))(1),

–  като взе предвид изявлението на Комисията от 24 юни 2020 г. относно съобщението на Комисията до Европейския парламент и Съвета относно защитата на данните като стълб на оправомощаването на гражданите и на подхода на ЕС по отношение на цифровия преход – две години от прилагането на Общия регламент относно защитата на данните,

–  като взе предвид съобщението на Комисията от 24 юни 2020 г. до Европейския парламент и Съвета относно защитата на данните като стълб на оправомощаването на гражданите и на подхода на ЕС по отношение на цифровия преход – две години от прилагането на Общия регламент относно защитата на данните (COM(2020)0264),

–  като взе предвид Съобщението на Комисията от 24 юли 2019 г., озаглавено „Правилата за защита на данните като катализатор на доверието в ЕС и извън него – преглед на постигнатите резултати“ (COM(2019)0374),

–  като взе предвид приноса на Европейския комитет по защита на данните (ЕКЗД) към оценката на Общия регламент относно защитата на данните съгласно член 97, приет на 18 февруари 2020 г.(2),

–  като взе предвид „Първи преглед на прилагането на Общия регламент относно защитата на данните и ролите на националните надзорни органи и използваните от тях средства“ на Европейския комитет по защита на данните от 26 февруари 2019 г.(3),

–  като взе предвид насоките, приети от Европейския комитет по защита на данните съгласно член 70, параграф 1, буква д) от Общия регламент относно защитата на данните,

–  като взе предвид член 132, параграф 2 от своя Правилник за дейността,

–  като взе предвид предложението за резолюция на комисията по граждански свободи, правосъдие и вътрешни работи,

 

А.  като има предвид, че Общият регламент относно защитата на данните (ОРЗД) се прилага от 25 май 2018 г.; като има предвид, че с изключение на Словения всички държави членки приеха ново законодателство или адаптираха националното си законодателство за защита на данните;

 

Б.  като има предвид, че съгласно проучването относно основните права, проведено от Агенцията на Европейския съюз за основните права, физическите лица са все по-добре осведомени за своите права съгласно ОРЗД; като има предвид, че въпреки факта, че организациите са въвели мерки за улесняване на упражняването на правата на субектите на данните, физическите лица продължават да се сблъскват с трудности в опитите си да упражняват тези права, по-специално правото на достъп, преносимост и по-голяма прозрачност;

 

В.  като има предвид, че от началото на прилагането на ОРЗД надзорните органи отчитат значително увеличение на броя на жалбите; като има предвид, че това показва, че субектите на данни са запознати по-добре с правата си и искат да защитят личните си данни в съответствие с ОРЗД; като има предвид, че това показва също, че продължават да се извършват голям брой незаконни операции по обработване на данни;

 

Г.  като има предвид, че много предприятия използваха преходния период между влизането в сила на ОРЗД и началото на прилагането му за „пролетно почистване“ на данните, за да оценят какво обработване на данни се извършва в действителност и кое обработване може вече да не е необходимо или обосновано;

 

Д.  като има предвид, че много органи за защита на данните (ОЗД) не са в състояние да се справят с броя на жалбите; като има предвид, че много ОЗД не разполагат с достатъчно персонал и ресурси, като липсва също така достатъчен брой експерти в областта на информационните технологии;

 

Е.  като има предвид, че ОРЗД следва да съвместява разпоредбите, уреждащи свободата на изразяване на мнение и свободата на информация, включително за журналистически, академични, художествени или литературни цели, с правото на защита на личните данни; като има предвид, че съгласно член 85 законодателството на държавите членки следва да предвижда изключения за обработването на данни, извършвано за журналистически цели или за целите на академично художествено или литературно изразяване, ако те са необходими за съвместяване на правото на защита на личните данни със свободата на изразяване и на информация;

 

Ж.  като има предвид, че както беше подчертано и от Европейския комитет по защита на данните, защитата на журналистическите източници е крайъгълният камък на свободата на печата; като има предвид, че ОРЗД не следва да се прилага неправомерно срещу журналисти и да се ограничава достъпът до информация; като има предвид, че при никакви обстоятелства регламентът не следва да се използва от националните органи за задушаване на свободата на медиите;

 

Общи забележки

  1. приветства факта, че ОРЗД се наложи като общ стандарт в областта на защитата на личните данни и допринася за сближаването при установяване на разпоредби; приветства факта, че ОРЗД постави ЕС на челно място в международните разисквания относно защитата на данните и че редица трети държави съгласуваха своето законодателство в областта на защитата на данните с ОРЗД; отбелязва, че Конвенция № 108 на Съвета на Европа относно защитата на личните данни е приведена в съответствие с ОРЗД („Конвенция № 108+“) и вече е подписана от 42 държави; настоятелно призовава Комисията и държавите членки да използват тази инерция, за да настояват на равнища ООН, ОИСР, Г-8 и Г-20 за създаването на международни стандарти, съобразени с европейските ценности и принципи, без да се ощетява ОРЗД; подчертава, че една господстваща европейска позиция в тази област би помогнала на нашия континент да защитава по-добре правата на нашите граждани, да опазва нашите ценности и принципи, да насърчава надеждните цифрови иновации и да ускори икономическия растеж чрез избягване на фрагментацията;
  2. заключава, че две години след като започна прилагането на ОРЗД, той се оценява като цяло като успешен и изразява съгласие с Комисията, че на този етап не е необходимо да се актуализира или преразглежда законодателството;
  3. потвърждава, че до следващата оценка на Комисията трябва да продължи да се поставя акцент върху подобряването на изпълнението и върху действията за укрепване на изпълнението на ОРЗД;
  4. потвърждава необходимостта от стабилно и ефективно прилагане на ОРЗД в големите цифрови платформи, интегрираните дружества и други цифрови услуги, по-специално в областите на онлайн рекламата, микротаргетирането, алгоритмичното профилиране и класирането, разпространението и разширяването на съдържание;

Правно основание за обработването

  1. подчертава, че всичките шест основания посочени в член 6 от ОРЗД са в еднаква степен валидни правни основания за обработването на лични данни и че една и съща дейност по обработване може да попада в обхвата на повече от едно основание; настоятелно призовава надзорните органи за защита на данните да уточнят, че администраторите на данни могат да използват само едно правно основание за всяка отделна цел на дейности по обработване и да уточняват как всяко правно основание се отнася към техните операции по обработване; изразява загриженост, че администраторите често цитират всички правни основания по ОРЗД в политиката си за поверителност без допълнително обяснение и без препратка към конкретната операция по обработване; разбира, че тази практика затруднява способността на субектите на данни и на надзорните органи да преценят дали тези правни основания са целесъобразни; припомня, че за обработването на специални категории лични данни трябва да се определи законосъобразно основание съгласно член 6 и отделно условие за обработването съгласно член 9; припомня на администраторите правното им задължение да извършват оценка на въздействието върху защитата на данните, когато съществува вероятност обработването на данни да породи висок риск за правата и свободите на физическите лица;
  2. припомня, че от началото на прилагането на ОРЗД „съгласие“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните; подчертава, че това се отнася и за Директивата за правото на неприкосновеност на личния живот и електронни комуникации; отбелязва, че въвеждането на валидно съгласие продължава да бъде възпрепятствано от използването на „неясни модели“, повсеместно проследяване и други неетични практики; изразява загриженост, че физическите лица често са подложени на финансов натиск да предоставят съгласие в замяна на отстъпки или други търговски оферти или са принудени да предоставят съгласие поради поставянето на достъпа до услуга в зависимост от обвързващи разпоредби, в нарушение на член 7 от ОРЗД; припомня, че ЕКЗД хармонизира правилата за това какво представлява валидно съгласие, като замени различните тълкувания от страна на много национални ОЗД и избегна фрагментирането в рамките на цифровия единен пазар; припомня също така насоките на ЕКЗД и на Комисията, съгласно които в случаите, когато субектът на данни първоначално е предоставил съгласие, но когато личните данни се обработват допълнително за цел, различна от целта, за която субектът на данните е предоставил съгласието си, първоначалното съгласие не може да легитимира по-нататъшното обработване, тъй като съгласието трябва да бъде информирано и конкретно, за да бъде валидно; отбелязва предстоящите насоки на ЕКЗД относно обработването на лични данни за целите на научни изследвания, които ще осигурят яснота относно значението на съображение 50 от ОРЗД;
  3. изразява загриженост, че понятието „законен интерес“ често се посочва неправомерно като правно основание за обработването на данни; отбелязва, че администраторите продължават да се позовават на законен интерес, без да извършват необходимата проверка на съгласуваността на интересите, която включва оценка на основните права; изразява особена загриженост във връзка с факта, че някои държави членки приемат национално законодателство за определяне на условията за обработване на данни въз основа на законен интерес, като организират постигането на баланс между съответните интереси на администратора и на засегнатите лица, докато ОРЗД задължава всеки отделен администратор да извършва тази проверка на съгласуването поотделно и да се позовава на това правно основание; изразява загриженост, че някои национални тълкувания на законния интерес не спазват съображение 47 и на практика забраняват обработването въз основа на законен интерес; приветства факта, че Европейският комитет по защита на данните вече започна работа по актуализирането на становището на Работната група по член 29 (WP29) относно прилагането на законния интерес като правно основание за обработване, за да се решат въпросите, изтъкнати в доклада на Комисията;

Права на субекта на данни

  1. подчертава, че е налице необходимост да се улесни упражняването на индивидуалните права, предвидени в ОРЗД, като преносимостта на данните или правата в контекста на автоматизираното обработване, включително профилирането; приветства насоките на Европейския комитет по защита на данните относно автоматизираното вземане на решения и относно преносимостта на данните; отбелязва, че правото на преносимост на данните в редица сектори не се прилага изцяло; призовава Европейския комитет по защита на данните да насърчи онлайн платформите да създадат единно звено за контакт за всички основни цифрови платформи, откъдето запитванията на ползвателите да се препращат към правилния получател; отбелязва, че в съответствие с принципа за свеждане на данните до минимум, спазването на правото на анонимност ефективно предотвратява неразрешеното оповестяване, кражбата на самоличност и други форми на злоупотреба с личните данни;
  2. подчертава, че правото на информация изисква от дружествата да предоставят информация в кратка, прозрачна, разбираема и лесно достъпна форма и да избягват да възприемат формалистичен подход при изготвянето на декларации за защита на данните; изразява загриженост, че някои дружества продължават да нарушават задълженията си по член 12, параграф 1 от ОРЗД и не предоставят цялата съответна информация, препоръчана от Европейския комитет по защита на данните, включително посочването на имената на субектите, с които обменят данни; припомня, че задължението за предоставяне на ясна и достъпна информация е особено строго по отношение на децата; изразява загриженост относно широко разпространената липса на правилно функциониращи механизми за достъп на субектите на данни; отбелязва, че лицата често не могат да принудят интернет платформите да им разкрият техните поведенчески профили; изразява загриженост, че твърде често дружествата пренебрегват факта, че извлечените данни също представляват лични данни, за които се прилагат всички гаранции съгласно ОРЗД;

Малки предприятия и организации

  1. отбелязва, че някои заинтересовани лица съобщават, че прилагането на ОРЗД е особено трудно най-вече за малките и средните предприятия (МСП), стартиращите предприятия, организациите и асоциациите, включително училищата и клубовете, както и обществата; отбелязва обаче, че много от правата и задълженията в ОРЗД не са нови, а са в сила съгласно Директива 95/46/EО(4), но се прилагат рядко; счита, че ОРЗД и неговото прилагане не трябва да водят до нежелани последици по отношение на спазването за по-малките дружества, с които големите дружества не биха се сблъскали; счита, че следва да осигурят по-голяма подкрепа, информация и обучение от страна на националните органи и информационни кампании на Комисията, за да се помогне за повишаване на знанията, качеството на прилагането и осведомеността относно изискванията и целта на ОРЗД;
  2. посочва, че не се предвиждат дерогации за МСП, стартиращите предприятия, организациите и сдруженията, включително училищата, клубовете, както и обществата, и че те попадат в обхвата на ОРЗД; следователно призовава Европейския комитет по защита на данните да осигури ясна информация, за да се избегне всякакво объркване относно тълкуването на ОРЗД, както и да създаде практически инструмент за улесняване на прилагането на ОРЗД от страна на МСП, стартиращите предприятия, организациите и асоциациите, включително училищата, клубовете, както и обществата с нискорискови дейности по обработване на данни; призовава държавите членки да предоставят достатъчно средства, за да могат органите за защита на данните да разпространяват познания относно тези практически инструменти; насърчава ЕКЗД да разработи образци на политиката за защита на неприкосновеността на личния живот, които организациите могат да използват, за да им помогнат да докажат действителното спазване на ОРЗД на практика, без да се налага да разчитат на скъпоструващи услуги от трети лица;

Прилагане

  1. изразява загриженост относно неравномерното и понякога несъществуващо прилагане на ОРЗД от националните ОЗД повече от две години след началото на прилагането му, и поради това изразява съжаление, че положението с прилагането не се е подобрило съществено в сравнение със ситуацията около Директива 95/46/EО;
  2. отбелязва, че през първите 18 месеца от прилагането на ОРЗД са били подадени около 275 000 жалби и са наложени 785 административни глоби за различни нарушения, но посочва, че само по много малък дял от подадените жалби до момента са предприети последващи действия; съзнава проблемите, причинени от нарушения на сигурността на личните данни, и припомня настоящите насоки на ЕКЗД, които предоставят яснота относно графика за уведомяване, известяване на субектите на данни и средства за правна защита, наред с другото; посочва, че един европейски стандартен формуляр за уведомяване при нарушаване на сигурността на данните би могъл да бъде от полза за хармонизирането на различните национални подходи; изразява съжаление обаче, че размерът на глобите варира в значителна степен между държавите членки и че някои глоби, наложени на големи дружества, са твърде ниски, за да се постигне търсеният възпиращ ефект по отношения на нарушенията на защитата на данните; призовава органите за защита на данните да засилят правоприлагането, преследването и глобите при нарушения на защита на данните и да използват в пълна степен възможностите за налагане на глоби, уредени в ОРЗД, и другите предвидени коригиращи мерки; подчертава, че забраните за обработване или задължението за премахване на лични данни, придобити по начин, който не е в съответствие с ОРЗД, може да имат същия, ако не и по-голям възпиращ ефект от глобите; призовава Комисията и Европейския комитет по защита на данните да хармонизират санкциите чрез насоки и ясни критерии, както това беше направено от конференцията на германските надзорни органи, за да се повиши правната сигурност и да не се позволява на дружествата да се установяват на места, където се налагат най-ниски санкции;
  3. изразява загриженост относно продължителността на разследването на случаи от страна на някои органи за защита на данните и относно свързаното с това неблагоприятно въздействие върху ефективното прилагане и върху доверието на гражданите; настоятелно призовава органите за защита на данните да ускорят решаването на случаите и да използват пълния набор от възможности по силата на ОРЗД, по-специално ако са налице системни и повтарящи се нарушения, включително с възмездна цел и голям брой засегнати субекти на данни;
  4. изразява загриженост по повод факта, че надзорните органи на 21 държави членки от 31-те държави, прилагащи ОРЗД, по-конкретно всички държави – членки на Европейския съюз, Европейското икономическо пространство и Обединеното кралство, изрично са заявили, че не разполагат с достатъчно човешки, технически и финансови ресурси, помещения и инфраструктура, за да изпълняват ефективно своите задачи и да упражняват правомощията си; изразява загриженост относно липсата на специализиран технически персонал в повечето надзорни органи в ЕС, което затруднява разследванията и правоприлагането; със загриженост отбелязва, че надзорните органи са под напрежение с оглед на нарастващото разминаване между техните отговорности да защитават личните данни и ресурсите им да правят това; отбелязва, че цифровите услуги ще стават все по-сложни поради увеличеното използване на иновации като изкуствения интелект (т.е. влошаване на проблема с ограничената прозрачност при обработването на данни, особено за алгоритмично обучение); поради това изтъква значението на това надзорните органи на ЕС, както и ЕКЗД да разполагат с достатъчно финансови, технически и човешки ресурси, за да могат да се справят бързо, но задълбочено с нарастващия брой ресурсоемки и сложни случаи, и да координират и улесняват сътрудничеството между националните ОЗД, да наблюдават по подходящ начин прилагането на ОРЗД и да защитават основните права и свободи; изразява загриженост, че недостатъчните ресурси за ОЗД, по-специално когато техните ресурси се сравнят с приходите на големите информационни и технологични дружества, могат да станат причина за уреждане на спорове чрез споразумения, тъй като това би ограничило разходите и продължителността на тромавите производства;
  5. призовава Комисията да оцени възможността да задължи големите многонационални технологични дружества да плащат за своя собствен надзор чрез въвеждането на цифров данък в ЕС;
  6. със загриженост отбелязва, че липсата на правоприлагане от ОЗД и бездействието от страна на Комисията за справяне с липсата на ресурси на ОЗД оставят тежестта на правоприлагането върху отделните граждани, които да предявяват в съда искове, свързани със защитата на данните; изразява загриженост, че понякога съдилищата разпореждат обезщетяването на отделни ищци, без да задължават организацията или дружеството да разрешат структурни проблеми; счита, че частното правоприлагане може да задейства важна съдебна практика, но не съставлява заместител на правоприлагането от страна на ОЗД, нито действие от страна на Комисията за справяне с липсата на ресурси. изразява съжаление по повод факта, че тези държави членки нарушават член 52, параграф 4 от ОРЗД; следователно призовава държавите членки да спазват правното си задължение по член 52, параграф 4 да разпределят достатъчно средства за своите ОЗД, за да им дадат възможност да работят по възможно най-добрия начин и да гарантират еднакви условия на конкуренция на европейско равнище за прилагането на ОРЗД; изразява съжаление във връзка с факта, че Комисията все още не е започнала процедури за установяване на неизпълнение на задължения срещу държавите членки, които не са изпълнили задълженията си съгласно ОРЗД, и настоятелно призовава Комисията да направи това незабавно; призовава Комисията и ЕКЗД да организират последващи действия по Съобщението на Комисията от 24 юни 2020 г., като оценят функционирането и прилагането на ОРЗД;
  7. изразява съжаление, че по-голямата част от държавите членки решиха да не прилагат член 80, параграф 2 от ОРЗД; призовава всички държави членки да се възползват от член 80, параграф 2 и да приложат правото за подаване на жалби и явяване в съда без упълномощаване от субекта на данни; призовава държавите членки да изяснят положението на жалбоподателите в рамките на производства по националното административно-процесуално законодателство, приложимо за надзорните органи; отбелязва, че това следва да поясни, че жалбоподателите не се ограничават до изпълняване на пасивна роля по време на процедурата, а следва да могат да встъпват в различните фази на производството;

Сътрудничество и съгласуваност

  1. посочва, че слабото правоприлагане е особено очевидно при трансграничните жалби, и изразява съжаление във връзка с факта, че ОЗД в 14 държави членки не разполагат с необходимите ресурси, за да допринасят за механизмите за сътрудничество и съгласуваност; призовава ЕКЗД да увеличи усилията си за обезпечаване на правилното прилагане на член 60 и член 63 от ОРЗД и припомня на надзорните органи, че те могат, при извънредни обстоятелства, да използват процедурата по спешност, предвидена в член 66 от ОРЗД, по-специално временните мерки;
  2. подчертава значението на „механизма за обслужване на едно гише“ за осигуряването на правна сигурност и намаляването на административната тежест както за дружествата, така и за гражданите; все пак изразява дълбока загриженост относно функционирането на механизма, по-специално по отношение на ирландския и люксембургския ОЗД; отбелязва, че тези ОЗД отговарят за разглеждането на огромен брой случаи, тъй като много технологични дружества са регистрирали европейските си централи в Ирландия или Люксембург; изразява особена загриженост, че ирландският орган за защита на данните като цяло приключва повечето случаи със спогодба вместо санкция и че случаите, отнесени до Ирландия през 2018 г., дори не са достигнали етапа на проекторешение съгласно член 60, параграф 3 от ОРЗД; призовава посочените ОЗД да ускорят водените от тях разследвания на големи случаи, за да се покаже на гражданите на ЕС, че правото на защита на данните в ЕС има изпълнителна сила; отбелязва, че успехът на този „механизъм за обслужване на едно гише“ е зависим от времето и усилията, които ОЗД могат да посветят на работата и сътрудничеството по отделните трансгранични случаи в ЕКЗД, и че липсата на политическа воля и ресурси има непосредствени последици за степента, до която този механизъм може да функционира правилно;
  3. констатира несъответствия между насоките на държавите членки и насоките на Европейския комитет по защита на данните; посочва, че националните ОЗД могат да стигнат до различни тълкувания на ОРЗД, което да доведе до различни приложения сред държавите членки; отбелязва, че това положение създава географски предимства, както и неблагоприятни последици за дружествата; настоятелно призовава Комисията да оцени дали националните административни процедури възпрепятстват пълната ефективност на сътрудничеството съгласно член 60 от ОРЗД, както и ефективното му прилагане; призовава ОЗД да се стремят към последователно тълкуване и насоки със съдействието на ЕКЗД; призовава по-конкретно ЕКЗД да установи основни елементи на обща административна процедура за разглеждане на жалби по трансгранични случаи в рамките на сътрудничеството, установено в член 60; настоятелно призовава това да бъде направено чрез следване на насоки за общи срокове за провеждане на разследвания и приемане на решения; призовава ЕКЗД да засили механизма за съгласуваност и да го направи задължителен за всеки въпрос от общ характер или за всеки случай с трансгранично въздействие, с цел да се избегнат несъгласуваните подходи и решения от страна на отделни ОЗД, тъй като това би застрашило единното тълкуване и прилагане на ОРЗД; счита, че това общо тълкуване, прилагане и насоки ще допринесе за създаването и успеха на цифровия единен пазар;
  4. призовава Европейския комитет по защита на данните да публикува дневния ред на заседанията си предварително и да предоставя по-подробна обобщена информация за тях на обществеността и на Парламента;

Фрагментирано прилагане на ОРЗД

  1. изразява съжаление във връзка с факта, че използването от страна на държавите членки на факултативни клаузи за спецификация (напр. обработване в обществен интерес или от публични органи въз основа на законодателството на държавата членка и възрастта за предоставяне на съгласие от деца) е било в ущърб на постигането на пълна хармонизация в областта на защитата на данните и на премахването на различаващите се пазарни условия за дружествата в целия ЕС, и изразява загриженост, че това може да доведе до повишаване на разходите за спазване на ОРЗД; призовава Европейския комитет по защита на данните да представи насоки за начините, по които да се процедира с различното прилагане на факултативни клаузи за спецификация в държавите членки; призовава Комисията да използва своите правомощия, за да се намесва в държавите членки, в които националните мерки, действия и решения подкопават духа, целта и съдържанието на Общия регламент относно защитата на данните, с оглед на предотвратяването на неравностойната защита на гражданите и изкривяванията на пазара; подчертава в този контекст, че държавите членки са приели различна възрастова група за родителско съгласие; поради това призовава Комисията и държавите членки да направят оценка на въздействието на тази разпокъсаност върху дейностите на децата и тяхната защита онлайн; подчертава, че в случай на стълкновение на закони между националното право на дадена държава членка и ОРЗД, разпоредбите на ОРЗД следва да имат предимство;
  2. изразява сериозна загриженост относно злоупотребата с ОРЗД от страна на публичните органи на някои държави членки с цел ограничаване на журналисти и неправителствени организации; напълно е съгласен с Комисията, че правилата за защита на данните не следва да засягат упражняването на свободата на изразяване и информация чрез създаването на възпиращ ефект или чрез тълкуването им като начин за оказване на натиск върху журналисти да разкриват своите източници; изразява разочарованието си обаче относно факта, че Комисията все още не е завършила оценката си за съгласуването на правото на защита на личните данни със свободата на изразяване и информация, както това е посочено в член 85 от ОРЗД; призовава Комисията да завърши оценката си на националните законодателства в това отношение без ненужно забавяне и да използва всички налични инструменти, включително производства за установяване на неизпълнение на задължения, за да се гарантира, че държавите членки спазват ОРЗД и да се ограничи всяко разпокъсване на рамката за защита на данните;

Защита на данните на етапа на проектирането

  1. призовава надзорните органи да направят оценка на прилагането на член 25 относно защитата на данните на етапа на проектирането и по подразбиране, по-специално като гарантират техническите и оперативните мерки, необходими за прилагането на принципите на свеждане на данните до минимум и на ограничаване в рамките на целта, и да определят ефекта, който тази разпоредба е оказала върху производителите на технологии за обработване; приветства факта, че през октомври 2020 г. ЕКЗД прие Насоки 04/2019 относно член 25 относно защитата на данните на етапа на проектирането и по подразбиране, за да допринесе за правната яснота на понятията; призовава надзорните органи да извършат оценка и на правилното използване на настройките по подразбиране, предвидени в член 25, параграф 2, включително от основните доставчици на онлайн услуги; препоръчва ЕКЗД да приеме насоки, в които да се определя при какви специфични условия и в кои (класове) случаи производителите на ИКТ следва да се считат за администратори съгласно член 4, параграф 7, в смисъл, че те са тези, които определят средствата за обработването на личните данни; посочва, че практиките за защита на данните все още зависят до голяма степен от извършвани на ръка задачи и произволни формати и съдържат безброй несъвместими системи; призовава ЕКЗД да разработи насоки, които спомагат за практическото прилагане на изискванията за защита на данните, включително насоки за оценките на въздействието върху защитата на данните (член 35), защитата на данните на етапа на проектирането и по подразбиране (член 25), информацията, насочена към субектите на данни (членове 12 – 14), упражняването на правата на субектите на данни (членове 15 – 18, 20 и 21) и регистрите на дейностите по обработване (член 30); призовава ЕКЗД да гарантира, че тези насоки са лесно приложими и също така позволяват комуникация „машина–машина“ между субектите на данни, администраторите и органите за защита на данните (автоматизирана защита на данните); призовава Комисията да разработи в тясно сътрудничество с ЕКЗД машинночитаеми икони за информиране на субектите на данни в съответствие с член 12, параграф 8; насърчава ЕКЗД и надзорните органи да разгърнат пълния потенциал на член 21, параграф 5 относно използването на автоматизираните средства за възражение срещу обработването на лични данни;

Насоки

  1. призовава ЕКЗД да хармонизира прилагането на изискванията за защита на данните на практика чрез разработването на насоки относно, наред с другото, необходимостта от оценка на рисковете, свързани с обработването на информация за субектите на данни (членове 12 – 14), с упражняването на правата на субектите на данни (членове 15 – 18, 20 – 21) и с прилагането на принципа на отчетност; призовава ЕКЗД да издаде насоки за класифициране на различните случаи на законно използване на профилирането според рисковете от тях за правата и свободите на субектите на данни, както и препоръки за подходящите технически и организационни мерки, с ясно разграничаване на незаконните случаи на употреба; призовава ЕКЗД да преразгледа Становище 05/2014 на Работната група по член 29 от 10 април 2014 г. относно техниките за анонимизиране и да изготви списък с недвусмислени критерии с цел постигане на анонимизиране; насърчава ЕКЗД да изясни обработването на данни за целите на човешките ресурси; отбелязва заключението на ЕКЗД, че следва да се запази необходимостта от оценка на рисковете, свързани с обработването на данни, както е предвидено в ОРЗД, тъй като рисковете за субектите на данни не са свързани с размера на администраторите на данни; призовава за по-добро използване на механизма, чрез който Комисията може да поиска съвет от Европейския комитет по защита на данните по въпросите, обхванати от ОРЗД;
  2. отбелязва, че пандемията от COVID-19 изтъкна необходимостта от ясни насоки от страна на ОЗД и на Европейския комитет по защита на данните за адекватното прилагане и изпълнение на ОРЗД в областта на политиките за обществено здравеопазване; във връзка с това припомня Насоки 03/2020 относно обработването на данни за здравословното състояние за целите на научните изследвания в контекста на избухването на COVID-19 и Насоки 04/2020 относно използването на данни за местоположението и инструменти за проследяване на контакти в контекста на избухването на COVID-19; призовава Комисията да гарантира пълно спазване на ОРЗД при създаването на общото европейско пространство на здравни данни;

Международни потоци от лични данни и сътрудничество

  1. подчертава значението на създаването на условия за свободното движение на лични данни на международно равнище, без да се понижава нивото на защита, обезпечавано от ОРЗД; подкрепя практиката на Комисията за разглеждане на защитата на данните и потоците от лични данни отделно от търговските споразумения; счита, че международното сътрудничество в областта на защитата на данните и сближаването на съответните правила с разпоредбите на ОРЗД ще подобрят взаимното доверие, ще насърчат разбирането на технологичните и правните предизвикателства и в крайна сметка ще улеснят трансграничните потоци от данни, които са от ключово значение за международната търговия; признава съществуващите на практика противоречащи си правни изисквания за дружествата, осъществяващи дейности по обработване на данни в ЕС, както и в юрисдикциите на трета държава, по-специално САЩ;
  2. подчертава, че решенията относно адекватното ниво на защита не следва да бъдат политически, а правни решения; подкрепя продължаващите усилия за насърчаване на глобалните правни рамки, за да се даде възможност за предаване на данни въз основа на Общия регламент относно защитата на данните и Конвенцията на Съвета на Европа от 108 г. +; отбелязва също така, че заинтересованите лица считат решенията относно адекватното ниво на защита за съществен инструмент за тези потоци от данни, тъй като не ги свързват с допълнителни условия или разрешения; подчертава обаче, че засега решения относно адекватното ниво на защита са приети само за девет държави, въпреки че много други трети държави наскоро приеха нови закони за защита на данните, съдържащи правила и принципи подобни на тези в ОРЗД; отбелязва, че към днешна дата нито един единен механизъм, гарантиращ законното предаване на търговски лични данни между ЕС и САЩ, не е бил предмет на съдебен спор пред Съда на Европейския съюз;
  3. приветства приемането на първото общо решение относно адекватното ниво на защита между ЕС и Япония, което създаде най-голямата област за свободни и безопасни потоци от данни в света; въпреки това призовава Комисията да вземе предвид всички въпроси, повдигнати от Парламента при първия преглед на този инструмент, и да направи резултатите обществено достояние възможно най-скоро, тъй като прегледът е трябвало да бъде приет до януари 2021 г.;
  4. призовава Комисията да публикува набора от критерии, използвани за определяне на това дали се счита, че дадена трета държава предоставя ниво на защита, което „по същество е равностойно“ на нивото на защита в ЕС, особено по отношение на достъпа до средства за правна защита и достъпа на правителствата до данните; настоява, че е необходимо да се гарантира ефективното прилагане и спазването на разпоредбите, свързани с предаването или разкриването на данни, което не е разрешено от правото на Съюза в съответствие с член 48 от ОРЗД, по-специално по отношение на искания от страна на органи на трети държави за достъп до лични данни в Съюза, и призовава Европейския комитет по защита на данните и органите за защита на данните да предоставят насоки и да прилагат тези разпоредби, включително при оценката на разработването на механизми за предаване на лични данни;
  5. призовава Комисията да приеме делегирани актове с цел уточняване на изискванията, които трябва да бъдат взети предвид при механизма за сертифициране за защита на данните съгласно член 42, параграф 1, за да се засили използването на последния, заедно с обвързващи и приложими ангажименти на администратора или обработващия лични данни в третата държава да прилагат подходящи гаранции, включително по отношение на правата на субектите на данни, като средство за международно предаване на данни, както е предвидено в член 46, параграф 2, буква е);
  6. потвърждава факта, че програмите за масово наблюдение, включващи събиране на масиви от данни, възпрепятстват решенията за адекватност на защитата; настоятелно призовава Комисията да приложи решенията на Съда на ЕС по дела Schrems I(5), II(6)и Privacy International et al (2020 г.)(7) при преразглеждането на всички решения относно адекватното ниво на защита, както и към текущите и бъдещите преговори; припомня, че предаването въз основа на дерогации при конкретни ситуации съгласно член 49 от ОРЗД следва да остане изключение; приветства насоките на ЕКЗД и ОЗД в това отношение и ги призовава да гарантират последователно тълкуване при прилагането и контрола на такива дерогации в съответствие с Насоки 02/2018 на ЕКЗД;
  7. призовава органите за защита на данните и Комисията систематично да оценяват дали правилата за защита на данните се прилагат на практика в третите държави в съответствие със съдебната практика на Съда на ЕС;
  8. настоятелно призовава Комисията да публикува без ненужно забавяне своя преглед на решенията относно адекватното ниво на защита, приети съгласно Директивата от 1995 г.; изтъква, че при липсата на решения относно адекватното ниво на защита, най-широко използваният инструмент за международно предаване на данни са стандартните договорни клаузи; отбелязва, че Съдът на ЕС потвърди валидността на Решение 2010/87/ЕС относно стандартните договорни клаузи (СДК)(8), като същевременно изиска оценка на равнището на защита, осигурявано за данните, предавани на трета държава, и на съответните аспекти на правната система на тази трета държава по отношение на всеки достъп на публичните органи до предаваните лични данни; настоятелно призовава Комисията да ускори работата си по осъвременените СДК за международно предаване на данни, за да се гарантират еднакви условия на конкуренция за малките и средните предприятия (МСП) на международно равнище; приветства публикуването от страна на Комисията на проекта за СДК и целта СДК да бъдат по-лесни за ползване и да се преодолеят установените недостатъци на настоящите стандарти;
  9. припомня Насоките 1/2019 на ЕКЗД относно кодексите за поведение и органите за наблюдение съгласно Регламент (ЕС) 2016/679; признава, че този инструмент понастоящем не се използва достатъчно, въпреки че гарантира спазването на ОРЗД, когато се използва заедно със задължителни и приложими ангажименти на администратора или обработващия лични данни в третата държава за прилагане на подходящите гаранции; подчертава потенциала на този инструмент за по-добра подкрепа на МСП и за осигуряване на по-голяма правна сигурност в контекста на международното предаване на данни в различни сектори;

Бъдещо законодателство на Съюза

  1. счита, че бидейки технологично неутрален, ОРЗД осигурява стабилна регулаторна рамка за нововъзникващи технологии; въпреки това счита, че са необходими допълнителни усилия за справяне с по-широките проблеми на цифровизацията, като например ситуации на монопол и дисбаланси на силите чрез специфично регулиране, както и за внимателно разглеждане на съответствието на ОРЗД с всяка нова законодателна инициатива, за да се гарантира последователност и да се преодолеят правните пропуски; припомня на Комисията нейното задължение да гарантира, че законодателните предложения, като например управлението на данните, законодателството в областта на данните, цифровите услуги или изкуствения интелект, трябва винаги да са в пълно съответствие с ОРЗД и Директивата относно правоприлагането в областта на защитата на данните(9); счита, че окончателните текстове, приети от съзаконодателите чрез междуинституционални преговори, трябва да зачитат изцяло достиженията на правото на ЕС в областта на защитата на данните; изразява съжаление обаче, че самата Комисия не винаги има последователен подход към защитата на данните в законодателните предложения; подчертава, че една препратка към прилагането на ОРЗД или формулировка „без да се засяга Общият регламент относно защитата на данните“, не привежда автоматично дадено предложение в съответствие с ОРЗД; призовава Комисията да се консултира с Европейския надзорен орган по защита на данните (ЕНОЗД) и с Европейския комитет по защита на данните, когато, в резултат на приемането на предложения за законодателен акт, обработването на лични данни оказва въздействие върху защитата на правата и свободите на физическите лица; освен това призовава Комисията, когато подготвя предложения или препоръки, да се стреми да се консултира с ЕНОЗД, за да се гарантира съгласуваност на правилата за защита на данните в целия Съюз, и винаги да извършва оценка на въздействието;
  2. отбелязва, че профилирането, въпреки че е разрешено от член 22 от ОРЗД само при строги и стриктни условия, все повече се използва, тъй като онлайн дейностите на физическите лица дават възможност за задълбочена представа за тяхната психология и личен живот; отбелязва, че тъй като профилирането позволява да се манипулира поведението на ползвателите, събирането и обработването на лични данни във връзка с използването на цифрови услуги следва да се ограничи до строго необходимото за предоставянето на услугата и фактурирането на потребителите; призовава Комисията да предложи строго секторно законодателство за защита на данните за чувствителни категории лични данни там, където това все още не е направено; изисква стриктно прилагане на ОРЗД при обработването на лични данни;
  3. призовава за оправомощаване на потребителите, така че те да могат да вземат информирани решения относно последиците за неприкосновеността на личния живот от използването на нови технологии и да гарантират справедливо и прозрачно обработване, като предоставят лесни за използване варианти за предоставяне и оттегляне на съгласие за обработването на техните лични данни, както е предвидено в ОРЗД;

Директива относно правоприлагането в областта на защитата на данните

  1. изразява загриженост, че правилата относно защитата на данните, използвани за целите на правоприлагането, до голяма степен са неадекватни, за да се следват новосъздадените правомощия за правоприлагане; поради това призовава Комисията да извърши оценка на Директивата относно правоприлагането в областта на защитата на данните по-рано от предвидения в директивата срок и да направи прегледа публично достъпен;

Регламентът за неприкосновеността на личния живот и електронните съобщения

  1. изразява дълбока загриженост във връзка с неприлагането на Директивата за правото на неприкосновеност на личния живот и електронни комуникации(10)от страна на държавите членки с оглед на промените, въведени с ОРЗД; призовава Комисията да ускори изготвянето на своята оценка и да започне производства за установяване на неизпълнение на задължения срещу държавите членки, които не са приложили правилно Директивата за правото на неприкосновеност на личния живот и електронни комуникации; изразява дълбока загриженост, че забавената с няколко години реформа на неприкосновеността на личния живот в електронната среда води до фрагментация на правната среда в ЕС, в ущърб както за предприятията, така и за гражданите; припомня, че се предвиждаше Регламентът за неприкосновеността на личния живот и електронните съобщения(11) да допълва и конкретизира ОРЗД и да съвпадне с влизането в сила на ОРЗД; подчертава, че реформата на правилата за неприкосновеност на личния живот в електронната среда не трябва да води до понижаване на настоящото равнище на защита, предоставяно съгласно ОРЗД и Директивата за правото на неприкосновеност на личния живот и електронни комуникации; изразява съжаление във връзка с факта, че за да може Съветът в крайна сметка да приеме преговорната си позиция по предложението за регламент за неприкосновеността на личния живот и електронните съобщения, бяха необходими четири години, докато Парламентът прие своята преговорна позиция през октомври 2017 г.; припомня, че е важно да се осъвременят правилата на Регламента за неприкосновеността на личния живот и електронните съобщения от 2002 г. и 2009 г., за да се подобри защитата на основните права на гражданите и правната сигурност за дружествата, допълвайки ОРЗД;

o

  1. възлага на своя председател да предаде настоящата резолюция на Комисията, Европейския съвет, правителствата и националните парламенти на държавите членки, Европейския комитет по защита на данните и Европейския надзорен орган по защита на данните.

 

(1)       OВ L 119, 4.5.2016 г., стр. 1.

(2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf

(3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf

(4)       Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(5)       Решение на Съда на ЕС от 6 октомври 2015 г., Maximillian Schrems/Data Protection Commissioner, C- 362/14, ECLI:EU:C:2015:650.

(6)       Решение на Съда на ЕС от 16 юли 2020 г., Data Protection Commissioner/ Facebook Ireland Limited and Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

(7)       Решения по дело C-623/17, Privacy International и по съединени дела C-511/18, La Quadrature du Net и др., C-512/18, French Data Network и др., и C-520/18, Ordre des barreaux francophones et germanophone и др.

(8)       Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета, изменено чрез решение за изпълнение на Комисията (ЕС) 2016/2297 от 16 декември 2016 г. (OВ L 39, стp. 5).

(9)       Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).

(10)    Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (ОВ L 201, 31.7.2002 г., стр. 37).

(11)    Предложение за регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения и за отмяна на Директива 2002/58/ЕО (COM(2017)0010).

 

Можете да споделите: