Európsky výbor pre ochranu údajov

Európsky výbor pre ochranu údajov – šieste plenárne zasadnutie: Štít na ochranu osobných údajov, brexit, klinické skúšanie – otázky a odpovede, zoznamy na posúdenie vplyvu na ochranu údajov, usmernenia o certifikácii, odpoveď Európskeho výboru na ochranu

Thursday, 24 January, 2019
EDPB

Brusel 5. januára – V dňoch 22. a 23. januára sa európske orgány pre ochranu údajov združené v Európskom výbore pre ochranu údajov stretli na šiestom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.
 
Štít na ochranu osobných údajov
Členovia výboru prijali správu EDPB o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA. Európsky výbor pre ochranu údajov víta úsilie amerických orgánov a Komisie uplatňovať štít na ochranu osobných údajov, najmä opatrenia prijaté s cieľom prispôsobiť pôvodný proces certifikácie, začať ex officio uskutočňovať opatrenia dohľadu a presadzovania práva, ako aj úsilie o zverejnenie viacerých dôležitých dokumentov, a to čiastočne odtajnením (napríklad rozhodnutí súdu FISA), vymenovaním nového predsedu a troch nových členov Rady pre dohľad nad ochranou súkromia a občianskych slobôd (Privacy and Civil Liberties Oversight Board – PCLOB) a nedávno oznámeným vymenovaním stáleho ombudsmana.

Podľa zistení druhého spoločného preskúmania pretrvávajú vo veci uplatňovania štítu na ochranu osobných údajov tieto obavy: Ide o obavy, ktoré vyjadrila už pracovná skupina podľa článku 29, predchodkyňa EDPB. Týkajú sa nedostatočných záruk, že nerozlišujúci zber a prístup k osobným údajom na účely národnej bezpečnosti je vylúčený. Okrem toho na základe doteraz poskytnutých informácií nemôže Európsky výbor pre ochranu údajov v súčasnosti počítať s tým, že ombudsman má dostatočné právomoci na nápravu nedodržiavania zásad štítu. Okrem toho rada zdôrazňuje, že kontroly týkajúce sa dodržiavania zásad štítu na ochranu osobných údajov nie sú dostatočne prísne.

Európsky výbor pre ochranu údajov má zároveň obavy, pokiaľ ide o potrebné kontroly dodržiavania požiadaviek na ďalší prenos, významový rozsah pojmu údaje o ľudských zdrojoch a procesu opätovnej certifikácie, aj pokiaľ ide o zoznam zvyšných otázok, ktoré boli vznesené po prvom spoločnom preskúmaní a stále nie sú doriešené.

Brexit
Európsky výbor pre ochranu údajov diskutoval o možných dôsledkoch brexitu v oblasti ochrany údajov. Členovia súhlasili, že budú spolupracovať a vymieňať si informácie o prípravách a nástrojoch, ktoré sú k dispozícii na prenos údajov do Spojeného kráľovstva, keď už Spojené kráľovstvo nebude súčasťou EÚ.

Klinické skúšanie – otázky a odpovede
Na žiadosť Európskej komisie (GR SANTE) prijal EDPB stanovisko k otázkam a odpovediam o klinickom skúšaní. V stanovisku sa skúmali najmä konkrétne aspekty príslušných právnych základov kontexte klinického skúšania a druhotné používanie údajov o klinickom skúšaní na vedecké účely. Toto stanovisko bude teraz postúpené Európskej komisii.

Zoznamy na posúdenie vplyvu na ochranu údajov (DPIA)
EDPB prijal stanoviská k zoznamom na posúdenie vplyvu na ochranu údajov, ktoré rade predložilo Lihtenštajnsko a Nórsko. Tieto zoznamy zásadne prispievajú ku konzistentnému uplatňovaniu všeobecného nariadenia o ochrane údajov v celom EHP. Posudzovanie vplyvu na ochranu údajov je proces, ktorý umožňuje odhaliť a zmierniť riziká týkajúce sa ochrany údajov, ktoré by mohli mať vplyv na práva a slobody jednotlivcov. Prevádzkovateľ údajov musí vo všeobecnosti ešte pred začatím spracúvania údajov posúdiť, či je posúdenie vplyvu na ochranu údajov nutné, vnútroštátne dozorné orgány však stanovia druhy operácií spracúvania údajov, pri ktorých sa posúdenie vplyvu na ochranu údajov požaduje, a vypracujú zoznam takýchto operácií. Tieto dve stanoviská nadväzujú na 22 stanovísk prijatých počas septembrového plenárneho zasadnutia a na štyri stanoviská prijaté počas decembrového plenárneho zasadnutia a ďalej prispejú k stanoveniu spoločných kritérií pre zoznamy na posúdenie vplyvu na ochranu údajov v celom EHP.

Usmernenia o certifikácii
EDPB prijal finálnu verziu usmernení o certifikácii po ukončení verejnej konzultácie. Okrem toho rada prijala aj novú prílohu. Návrh usmernení bol prijatý na prvom plenárnom zasadnutí Európskeho výboru pre ochranu údajov v máji. Hlavným cieľom týchto usmernení je určiť všeobecné kritériá, ktoré môžu byť relevantné pre všetky typy certifikačných mechanizmov vydaných v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Usmernenia ako také skúmajú opodstatnenosť certifikácie ako nástroja na posilnenie adresnej zodpovednosti, poskytujú vysvetlenia kľúčových pojmov, ktoré sa používajú v ustanoveniach o certifikácii v článku 42 a článku 43, vysvetľujú rozsah toho, čo je možné certifikovať a aký je účel certifikácie. Usmernenia pomôžu členským štátom, dozorným orgánom a vnútroštátnym akreditačným orgánom pri preskúmavaní a schvaľovaní kritérií certifikácie v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Uvedená príloha bude predmetom verejnej konzultácie.

Odpoveď austrálskemu dozornému orgánu na oznámenie o porušení ochrany údajov
V októbri 2018 dostal predseda Európskeho výboru pre ochranu údajov písomnú žiadosť od úradu austrálskeho informačného komisára týkajúcu sa uverejňovania oznámení o porušení ochrany údajov zo strany orgánov dohľadu. Európsky výbor pre ochranu údajov víta záujem austrálskeho komisára o spoluprácu s Európskym výborom pre ochranu údajov v tejto otázke a zdôrazňuje význam medzinárodnej spolupráce. Vo svojej odpovedi Európsky výbor pre ochranu údajov poskytuje ďalšie informácie o tom, či a ako sa orgány dohľadu zaoberajú uverejňovaním informácií týkajúcich sa oznámení o porušení ochrany údajov.