Europejska Rada Ochrony Danych

Europejska Rada Ochrony Danych – piętnasta sesja plenarna

Thursday, 14 November, 2019
EDPB

Bruksela, 14 listopada – 12 i 13 listopada br. organy ochrony danych EOG i Europejski Inspektor Ochrony Danych zrzeszeni w Europejskiej Radzie Ochrony Danych spotkali się na piętnastej sesji plenarnej. Na sesji tej omówiono szeroki zakres zagadnień.
 
Trzeci roczny przegląd Tarczy Prywatności
Europejska Rada Ochrony Danych przyjęła sprawozdanie dotyczące trzeciego rocznego przeglądu Tarczy Prywatności UE-USA. W swoim sprawozdaniu EROD z zadowoleniem odnotowuje poczynania dokonane przez amerykańskie organy związane z wdrożeniem Tarczy Prywatności, w szczególności w odniesieniu do nadzoru z urzędu i działań w zakresie egzekwowania prawa dotyczących aspektów komercyjnych oraz nominacji ostatnich brakujących członków Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB) oraz stałego Rzecznika ds. Tarczy Prywatności.

Jednakże pewne sprawy oczekują jeszcze na rozstrzygnięcie. Rada podkreśla, że znaczące kontrole zgodności z treścią zasad Tarczy Prywatności nadal wzbudzają niepokój. Inne obszary, którym należy poświęcić więcej uwagi, to stosowanie wymogów Tarczy Prywatności w odniesieniu do dalszego przekazywania danych, dane w zakresie zasobów ludzkich i podmioty przetwarzające oraz proces ponownej certyfikacji. Bardziej ogólnie członkowie zespołu rewizyjnego uzyskaliby szerszy dostęp do informacji niepublicznych dotyczących aspektów komercyjnych i toczących się postępowań.

Jeśli chodzi o gromadzenie danych przez organy publiczne, to EROD zachęca PCLOB do opracowywania i publikacji kolejnych sprawozdań, m.in. do przeprowadzania niezależnej oceny programów nadzoru realizowanych poza terytorium USA przy równoległym przekazywaniu danych z UE do USA. Rada stale powtarza, że jej eksperci posiadający odpowiednie poświadczenie bezpieczeństwa są przygotowani do przeglądu kolejnych dokumentów i omówienia dodatkowych niejawnych szczegółów.

Mimo że Rada z zadowoleniem przyjmuje pojawienie się nowych elementów w tegorocznym przeglądzie, to jednak wciąż nie może uznać, że Rzecznik ds. Tarczy Prywatności posiada wystarczające uprawnienia do dostępu do informacji i do usuwania niezgodności.

Wytyczne dotyczące zasięgu terytorialnego
EROD przyjęła ostateczną wersję wytycznych dotyczących zasięgu terytorialnego po publicznych konsultacjach. Wytyczne mają na celu zapewnienie wspólnej interpretacji ogólnego rozporządzenia o ochronie danych (RODO) dla organów ochrony danych państw EOG podczas oceny, czy określone przetwarzanie danych przez administratora lub podmiot przetwarzający wchodzi w zakres terytorialny ram prawnych zgodnie z art. 3 RODO. Wytyczne zawierają dalsze wyjaśnienia dotyczące stosowania RODO w różnych sytuacjach, na przykład, w przypadku gdy administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną poza terytorium EOG, w tym w odniesieniu do wyznaczenia i roli przedstawiciela na mocy art. 27 RODO.

Ostateczna wersja wytycznych zawiera zaktualizowaną treść i dalsze uzasadnienie prawne, aby można było uwzględnić uwagi i informacje zwrotne otrzymane podczas konsultacji publicznych, przy jednoczesnym podtrzymaniu ogólnej interpretacji i metodyki przedstawionej w pierwszej wersji wytycznych.

Wytyczne dotyczące uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych
EROD przyjęła wytyczne dotyczące uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Wytyczne koncentrują się na obowiązku uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO. Podstawowym obowiązkiem w tym przypadku jest skuteczne wdrożenie zasad ochrony danych oraz praw i wolności osób, których dane dotyczą, w fazie projektowania i domyślnej ich ochrony. Wymaga to od administratorów wdrożenia odpowiednich środków technicznych i organizacyjnych oraz niezbędnych zabezpieczeń, mających na celu skuteczne ustalenie zasad ochrony danych oraz ochronę praw i wolności osób, których dane dotyczą. Ponadto administratorzy muszą być w stanie wykazać, że wdrożone środki są skuteczne. Wytyczne zostaną przedłożone do konsultacji publicznych.

Opinia na podstawie art. 64 w sprawie wiążących reguł korporacyjnych ExxonMobil
EROD przyjęła opinię w sprawie projektu decyzji dotyczącej wiążących reguł korporacyjnych ExxonMobil przedstawionych Radzie przez belgijski organ nadzorczy. EROD jest zdania, że projekt wiążących reguł korporacyjnych dla administratora stanowi wystarczające zabezpieczenie w rozumieniu art. 46 ust.2 lit. b) i jest zgodny z art. 47 RODO.

Odpowiedź pisemna do LIBE dotycząca unijnych systemów informacyjnych
EROD przyjęła swoje pismo w odpowiedzi na wniosek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu Europejskiego o ocenę prawną wniosków Komisji Europejskiej w sprawie rozporządzenia ustanawiającego warunki dostępu do innych systemów informacyjnych UE oraz rozporządzenia ustanawiającego warunki dostępu do innych systemów informacyjnych UE do celów ETIAS. W swoim piśmie EROD twierdzi, że wnioski powinny być postrzegane jako część szerszego kontekstu, tj. jako wykonawcze elementy ram interoperacyjności, i przypomina o obawach wyrażonych wcześniej przez Grupę Roboczą art. 29. Ponadto w piśmie wskazano na obawy dotyczące podstawowych zasad ochrony danych, tj. przejrzystości, ochrony danych w fazie projektowania i domyślnej ochrony danych, a także ograniczenia celu.

Protokół dodatkowy do konwencji budapesztańskiej o cyberprzestępczości
EROD przyjęła wkład do projektu drugiego protokołu dodatkowego do Konwencji Rady Europy o cyberprzestępczości (konwencja budapesztańska), który zostanie rozpatrzony w ramach konsultacji prowadzonych przez Komitet Konwencji o cyberprzestępczości Rady Europy (T-CY). EROD przypomina, że należy zagwarantować ochronę danych osobowych i pewność prawną, a tym samym przyczynić się do osiągnięcia celu, jakim jest ustanowienie trwałych uzgodnień w zakresie wymiany danych osobowych z państwami trzecimi do celów egzekwowania prawa, które są w pełni zgodne z traktatami UE i Kartą praw podstawowych.

Uwaga dla redaktorów:
Wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz zostaną udostępnione na stronie internetowej EROD po ich zakończeniu.