Európsky výbor pre ochranu údajov

Európsky výbor pre ochranu údajov – šieste plenárne zasadnutie: Privacy Shiled, brexit, klinické skúšanie – otázky a odpovede, zoznamy spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov, usmernenia o cert

Thursday, 24 January, 2019
EDPB

Brusel 5. januára – V dňoch 22. a 23. januára sa európske orgány pre ochranu údajov združené v Európskom výbore pre ochranu údajov stretli na šiestom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.
 
Privacy Shield
Členovia výboru prijali správu EDPB o druhom každoročnom preskúmaní fungovania Privacy Shield medzi EÚ a USA. EDPB víta úsilie amerických orgánov a Komisie uplatňovať Privacy Shield, najmä opatrenia prijaté s cieľom prispôsobiť pôvodný proces certifikácie, začať ex officio uskutočňovať opatrenia dohľadu a presadzovania práva, ako aj úsilie o zverejnenie viacerých dôležitých dokumentov, a to čiastočne odtajnením (napríklad rozhodnutí súdu FISA), vymenovaním nového predsedu a troch nových členov Rady pre dohľad nad ochranou súkromia a občianskych slobôd (Privacy and Civil Liberties Oversight Board – PCLOB) a nedávno oznámeným vymenovaním stáleho ombudsmana.

Podľa zistení druhého spoločného preskúmania pretrvávajú vo veci uplatňovania Privacy Shield tieto obavy: Ide o obavy, ktoré vyjadrila už WP 29, predchodkyňa EDPB. Týkajú sa nedostatočných záruk, že nerozlišujúci zber a prístup k osobným údajom na účely národnej bezpečnosti je vylúčený. Okrem toho na základe doteraz poskytnutých informácií nemôže EDPB v súčasnosti počítať s tým, že ombudsman má dostatočné právomoci na nápravu nedodržiavania zásad Privacy Shield. Okrem toho výbor zdôrazňuje, že kontroly týkajúce sa dodržiavania zásad Privacy Shield nie sú dostatočne prísne.

EDPB má zároveň obavy, pokiaľ ide o potrebné kontroly dodržiavania požiadaviek na ďalší prenos, významový rozsah pojmu údaje o ľudských zdrojoch a procesu opätovnej certifikácie, aj pokiaľ ide o zoznam zvyšných otázok, ktoré boli vznesené po prvom spoločnom preskúmaní a stále nie sú doriešené.

Brexit
EDPB diskutoval o možných dôsledkoch brexitu v oblasti ochrany údajov. Členovia súhlasili, že budú spolupracovať a vymieňať si informácie o prípravách a nástrojoch, ktoré sú k dispozícii na prenos údajov do Spojeného kráľovstva, keď už Spojené kráľovstvo nebude súčasťou EÚ.

Klinické skúšanie – otázky a odpovede
Na žiadosť Európskej komisie (GR SANTE) prijal EDPB stanovisko k otázkam a odpovediam o klinickom skúšaní. V stanovisku sa skúmali najmä konkrétne aspekty príslušných právnych základov v kontexte klinického skúšania a druhotné používanie údajov o klinickom skúšaní na vedecké účely. Toto stanovisko bude teraz postúpené Európskej komisii.

Zoznamy spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov (DPIA)
EDPB prijal stanoviská k zoznamom spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov, ktoré výboru predložilo Lichtenštajnsko a Nórsko. Tieto zoznamy zásadne prispievajú ku konzistentnému uplatňovaniu všeobecného nariadenia o ochrane údajov v celom EHP. Posúdenie vplyvu na ochranu údajov je proces, ktorý umožňuje odhaliť a zmierniť riziká týkajúce sa ochrany údajov, ktoré by mohli mať vplyv na práva a slobody jednotlivcov. Prevádzkovateľ údajov musí vo všeobecnosti ešte pred začatím spracúvania údajov posúdiť, či je posúdenie vplyvu na ochranu údajov nutné, vnútroštátne dozorné orgány však stanovia druhy spracovateľských operácií, pri ktorých sa posúdenie vplyvu na ochranu údajov požaduje, a vypracujú zoznam takýchto operácií. Tieto dve stanoviská nadväzujú na 22 stanovísk prijatých počas septembrového plenárneho zasadnutia a na štyri stanoviská prijaté počas decembrového plenárneho zasadnutia a ďalej prispejú k stanoveniu spoločných kritérií pre zoznamy spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov v celom EHP.

Usmernenia o certifikácii
EDPB prijal finálnu verziu usmernení o certifikácii po ukončení verejnej konzultácie. Okrem toho výbor prijal aj novú prílohu. Návrh usmernení bol prijatý na prvom plenárnom zasadnutí EDPB v máji. Hlavným cieľom týchto usmernení je určiť všeobecné kritériá, ktoré môžu byť relevantné pre všetky typy certifikačných mechanizmov vydaných v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Usmernenia ako také skúmajú opodstatnenosť certifikácie ako nástroja na posilnenie adresnej zodpovednosti, poskytujú vysvetlenia kľúčových pojmov, ktoré sa používajú v ustanoveniach o certifikácii v článku 42 a článku 43, vysvetľujú rozsah toho, čo je možné certifikovať a aký je účel certifikácie. Usmernenia pomôžu členským štátom, dozorným orgánom a vnútroštátnym akreditačným orgánom pri preskúmavaní a schvaľovaní kritérií certifikácie v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Uvedená príloha bude predmetom verejnej konzultácie.

Odpoveď austrálskemu dozornému orgánu na oznámenie o porušení ochrany údajov
V októbri 2018 dostal predseda EDPB písomnú žiadosť od úradu austrálskeho informačného komisára týkajúcu sa uverejňovania oznámení o porušení ochrany údajov zo strany dozorných orgánov. EDPB víta záujem austrálskeho komisára o spoluprácu s Európskym výborom pre ochranu údajov v tejto otázke a zdôrazňuje význam medzinárodnej spolupráce. Vo svojej odpovedi EDPB poskytuje ďalšie informácie o tom, či a ako sa dozorné orgány zaoberajú uverejňovaním informácií týkajúcich sa oznámení o porušení ochrany údajov.