Bruksela, 24 stycznia – W dniach 22 i 23 stycznia europejskie organy ochrony danych zrzeszone w Europejskiej Radzie Ochrony Danych (EROD) spotkały się na szóstej sesji plenarnej. Omówiono szeroki zakres zagadnień.
Tarcza Prywatności
Członkowie Rady przyjęli sprawozdanie EROD dotyczące drugiego rocznego przeglądu Tarczy Prywatności UE–USA. EROD z zadowoleniem przyjęła wysiłki podjęte przez władze Stanów Zjednoczonych i przez Komisję w celu wdrożenia Tarczy Prywatności, w szczególności te w obrębie dostosowania procesu wstępnej certyfikacji, rozpoczęcia z urzędu działań nadzorczych i w zakresie egzekwowania prawa oraz wysiłki zmierzające do opublikowania szeregu istotnych dokumentów (na przykład decyzji sądu FISA), między innymi poprzez zniesienie klauzuli tajności, a także mianowanie nowego przewodniczącego i trzech nowych członków Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB) oraz niedawno ogłoszone powołanie stałego Rzecznika ds. Tarczy Prywatności.
W świetle ustaleń drugiego wspólnego przeglądu niektóre obawy związane z wdrożeniem Tarczy Prywatności pozostają aktualne. Chodzi między innymi o obawy wyrażone już przez poprzednika EROD, Grupę Roboczą Art. 29, dotyczące braku realnej gwarancji, że wyklucza się nieograniczone zbieranie oraz dostęp do danych osobowych do celów bezpieczeństwa narodowego. Co więcej EROD nie może uznać w oparciu o dostępne obecnie informacje, że Rzecznik ds. Tarczy Prywatności ma wystarczające uprawnienia, by zaradzić niezgodnościom. Rada zauważyła też, że kontrole dotyczące zgodności z zasadami Tarczy Prywatności nie są dostatecznie rygorystyczne.
EROD ma ponadto dodatkowe obawy związane z kontrolami koniecznymi do spełnienia wymogów w celu dalszego przekazywania danych, z zakresem znaczenia danych dotyczących zasobów ludzkich oraz procesu ponownej certyfikacji, a także z szeregiem innych kwestii poruszonych w wyniku pierwszego wspólnego przeglądu, będących nadal w toku rozpatrywania.
Brexit
EROD omówiła możliwe konsekwencje Brexitu dla ochrony danych. Członkowie zgodzili się na współpracę i wymianę informacji na temat przygotowań i dostępnych narzędzi pozwalających na przekazywanie danych do Zjednoczonego Królestwa po wyjściu Zjednoczonego Królestwa z UE.
Pytania i odpowiedzi na temat badań klinicznych
Na wniosek Komisji Europejskiej (DG SANTE) EROD przyjęła swoją opinię dotyczącą pytań i odpowiedzi na temat badań klinicznych (w sprawie wzajemnej zależności między rozporządzeniem w sprawie badań klinicznych a RODO). W opinii poruszono w szczególności kwestie związane z odpowiednimi podstawami prawnymi w kontekście badań klinicznych oraz z wtórnym wykorzystywaniem do celów naukowych danych pochodzących z badań klinicznych. Opinia zostanie następnie przekazana Komisji Europejskiej.
Wykazy rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych
EROD przyjęła opinie w sprawie wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych, przedłożonych Radzie przez Liechtenstein i Norwegię. Wspomniane wykazy stanowią ważne narzędzie służące spójnemu stosowaniu RODO w całym EOG. Ocena skutków dla ochrony danych to proces pomocny w identyfikowaniu i ograniczaniu zagrożeń związanych z ochroną danych, które mogą mieć wpływ na prawa i wolności osób fizycznych. Rozważenie, czy przed podjęciem działalności związanej z przetwarzaniem niezbędne jest dokonanie oceny skutków dla ochrony danych, należy zasadniczo do obowiązków administratora danych. Krajowe organy nadzorcze są natomiast odpowiedzialne za sporządzenie i opublikowanie wykazu rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Te dwie opinie, kolejne po 22 opiniach przyjętych w czasie wrześniowej sesji plenarnej oraz czterech opiniach przyjętych w czasie grudniowej sesji plenarnej, przyczynią się do ustanowienia wspólnych kryteriów dla wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych w całym EOG.
Wytyczne dotyczące certyfikacji
Po konsultacjach społecznych EROD przyjęła ostateczną wersję wytycznych dotyczących certyfikacji. Ponadto Rada przyjęła nowy załącznik. Wstępną wersję wytycznych przyjęto w maju, podczas pierwszej sesji plenarnej EROD. Głównym celem tych wytycznych jest określenie nadrzędnych kryteriów, które mogą mieć zastosowanie do wszystkich rodzajów mechanizmów certyfikacji wydanych zgodnie z art. 42 i 43 RODO. W związku z tym w wytycznych zbadano zasadność stosowania certyfikacji jako narzędzia służącego rozliczalności, wyjaśniono kluczowe pojęcia zawarte w art. 42 i 43 przepisów dotyczących certyfikacji, a także określono zakres tego, co może być certyfikowane i przedstawiono zarys celów certyfikacji. Wytyczne pomogą państwom członkowskim, organom nadzorczym i krajowym jednostkom akredytującym w dokonywaniu przeglądu i zatwierdzaniu kryteriów certyfikacji zgodnie z art. 42 i 43 RODO. Załącznik będzie przedmiotem konsultacji publicznych.
Odpowiedź udzielona australijskiemu organowi nadzorczemu w sprawie zgłoszenia naruszenia ochrony danych
W październiku 2018 r. przewodnicząca EROD otrzymała z Urzędu Rzecznika ds. Informacji Australii pisemny wniosek dotyczący publikacji zgłoszeń naruszeń ochrony danych przez organy nadzorcze. EROD z zadowoleniem przyjęła zainteresowanie australijskiego Rzecznika ds. Informacji współpracą z Europejską Radą Ochrony Danych na tym polu i podkreśliła znaczenie współpracy międzynarodowej. W udzielonej odpowiedzi EROD przedstawia dalsze wskazówki odnośnie do tego, czy i w jaki sposób organy nadzorcze powinny publikować informacje dotyczące zgłoszeń naruszeń ochrony danych.