Europejska Rada Ochrony Danych – piąte posiedzenie plenarne: projekt decyzji stwierdzającej odpowiedni stopień ochrony danych w Japonii, wykazy rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych (DK, HR, LU i SI) oraz wytyczne w

5 December 2018 EDPB

Bruksela, 5 grudnia – W dniach 4 i 5 grudnia europejskie organy ochrony danych zrzeszone w Europejskiej Radzie Ochrony Danych (EROD) spotkały się na piątej sesji plenarnej. Omówiono szeroki zakres zagadnień.
 
Projekt decyzji stwierdzającej odpowiedni stopień ochrony danych osobowych w Japonii
Członkowie EROD przyjęli opinię w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony danych osobowych w Japonii, który został przekazany Radzie przez Komisję Europejską we wrześniu 2018 r. EROD dokonała oceny na podstawie dokumentacji udostępnionej przez Komisję Europejską. Najważniejszym celem EROD było sprawdzenie, czy japońskie przepisy ramowe zapewniają odpowiedni stopień ochrony danych osobowych osób fizycznych. Należy przy tym pamiętać o tym, że EROD nie oczekuje, iż japońskie ramy prawne będą powielać europejskie przepisy o ochronie danych. EROD z zadowoleniem przyjmuje starania podjęte przez Komisję Europejską i Japońską Komisję Ochrony Danych (PPC) na rzecz zwiększenia konwergencji japońskich i europejskich ram prawnych. Poprawki wprowadzone w przepisach uzupełniających, których celem jest zniwelowanie pewnych różnic między tymi dwoma systemami, są bardzo ważne i spotkały się z pozytywnym przyjęciem. Jednak w następstwie dokładnej analizy projektu decyzji Komisji stwierdzającej odpowiedni stopień ochrony danych w Japonii, a także analizy obowiązujących w Japonii ramowych przepisów o ochronie danych, EROD zauważa, że nadal istnieje szereg problemów, takich jak ochrona przekazywanych z UE do Japonii danych osobowych – w ciągu całego cyklu ich życia. EROD zaleca również Komisji Europejskiej rozpatrzenie złożonych przez EROD wniosków o wyjaśnienia, przedstawienie dalszych dowodów i wyjaśnień dotyczących podniesionych kwestii, a także ścisłe monitorowanie skuteczności stosowania przyjętych rozwiązań.

Zdaniem EROD decyzja stwierdzająca odpowiedni stopień ochrony danych w Japonii ma ogromne znaczenie. Jako pierwsza decyzja stwierdzająca odpowiedni stopień ochrony danych od momentu wejścia w życie ogólnego rozporządzenia o ochronie danych (RODO), będzie ona stanowić precedens.

Wykazy rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych
EROD przyjęła opinie w sprawie wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych przekazanych przez Danię, Chorwację, Luksemburg i Słowenię. Wspomniane wykazy stanowią ważne narzędzie służące spójnemu stosowaniu RODO w całym EOG. Ocena skutków dla ochrony danych to proces pomocny w identyfikowaniu i ograniczaniu zagrożeń związanych z ochroną danych, które mogą mieć wpływ na prawa i wolności osób fizycznych. Rozważenie, czy przed podjęciem działalności związanej z przetwarzaniem niezbędne jest dokonanie oceny skutków dla ochrony danych, należy zasadniczo do obowiązków administratora danych. Krajowe organy nadzorcze są natomiast odpowiedzialne za sporządzenie i opublikowanie wykazu rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Cztery wymienione opinie, wraz z 22 przyjętymi już podczas posiedzenia wrześniowego, przyczynią się do ustanowienia wspólnych kryteriów dla wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych na terytorium EOG. Przewodnicząca EROD Andrea Jelinek powiedziała: „Proces ten stanowił dla EROD doskonałą okazję do zapoznania się z możliwościami i wyzwaniami, jakie wiążą się w praktyce z kwestią spójności. RODO nie wymaga pełnej harmonizacji ani ‘unijnego wykazu’, ale wymaga większej spójności. Udało nam się ją osiągnąć poprzez uzgodnienie wspólnego stanowiska w odniesieniu do wszystkich tych opinii”.

Wytyczne w sprawie akredytacji
EROD przyjęła zmienioną wersję wytycznych w sprawie akredytacji przygotowanych przez Grupę Roboczą Art. 29, w tym nowy załącznik do wytycznych. Projekt wytycznych został pierwotnie przyjęty przez Grupę Roboczą Art. 29, a następnie przekazany do konsultacji publicznych. EROD zakończyła analizę i osiągnęła porozumienie w sprawie ostatecznej wersji. Celem wytycznych jest udostępnienie wskazówek dotyczących interpretowania i wdrożenia przepisów art. 43 RODO. Przede wszystkim mają one pomóc państwom członkowskim, organom nadzorczym i krajowym jednostkom akredytującym w ustanowieniu spójnej i ujednoliconej podstawy na potrzeby akredytowania jednostek certyfikujących, które wydają certyfikaty zgodnie z RODO. Wytyczne zostały uzupełnione o załącznik, w którym znajdują się wskazówki odnośnie do dodatkowych wymogów w zakresie akredytowania jednostek certyfikujących, które to wymogi powinny zostać wprowadzone przez organy nadzorcze. Załącznik ten będzie przedmiotem konsultacji publicznych.