Europejska Rada Ochrony Danych

Europejska Rada Ochrony Danych – 34. sesja plenarna: Schrems II, relacje między drugą dyrektywą w sprawie usług płatniczych a ogólnym rozporządzeniem o ochronie danych (RODO) oraz pismo do posłanki do Parlamentu Europejskiego Lucii Ďuriš Nicholsonovej w s

Monday, 20 July, 2020

Bruksela, 20 lipca – podczas 34. sesji plenarnej EROD przyjęła oświadczenie dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie Facebook Ireland i Schrems. Rada przyjęła wytyczne dotyczące relacji między drugą dyrektywą w sprawie usług płatniczych a RODO, a także pismo z odpowiedzią skierowane do posłanki do Parlamentu Europejskiego Lucii Ďuriš Nicholsonovej dotyczące ustalania kontaktów zakaźnych, interoperacyjności aplikacji i ocen skutków dla ochrony danych.

EROD przyjęła oświadczenie dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 – Data Protection Commissioner / Facebook Ireland i Maximillian Schrems, w którym stwierdzono nieważność decyzji 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA oraz uznano, że decyzja Komisji 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich jest ważna.

Jeśli chodzi o Tarczę Prywatności, EROD zwraca uwagę, że UE i Stany Zjednoczone powinny opracować kompletne i skuteczne ramy gwarantujące, że poziom ochrony danych osobowych w Stanach Zjednoczonych jest zasadniczo równoważny poziomowi gwarantowanemu w UE, zgodnie z wyrokiem. EROD zamierza nadal odgrywać konstruktywną rolę w zapewnianiu transatlantyckiego przekazywania danych osobowych, które przynosi korzyści obywatelom i organizacjom EOG, i jest gotowa zapewnić Komisji Europejskiej pomoc i wytyczne, aby pomóc jej opracowywać – wraz ze Stanami Zjednoczonymi – nowe ramy, które będą w pełni zgodne z unijnymi przepisami o ochronie danych.

Jeśli chodzi o standardowe klauzule umowne, EROD zwraca uwagę, że to przede wszystkim podmiot przekazujący dane i podmiot odbierający dane ponoszą odpowiedzialność przy podejmowaniu decyzji, czy przyjąć standardowe klauzule umowne, aby zagwarantować, że zapewniają one poziom ochrony będący zasadniczo równoważny poziomowi gwarantowanemu na podstawie RODO w świetle karty UE. Dokonując takiej oceny wstępnej podmiot przekazujący dane (w razie potrzeby z pomocą podmiotu odbierającego dane) bierze pod uwagę treść standardowych klauzul umownych, szczególne okoliczności przekazania danych, a także system prawny mający zastosowanie w państwie podmiotu odbierającego dane. Trybunał podkreśla, że podmiot przekazujący dane może być zmuszony rozważyć wprowadzenie dodatkowych środków oprócz środków zawartych w standardowych klauzulach umownych. EROD będzie w dalszym ciągu analizować, na czym miałyby polegać te dodatkowe środki.

EROD przyjmuje też do wiadomości obowiązki właściwych organów nadzorczych w zakresie zawieszenia lub zakazania przekazywania danych do państwa trzeciego na podstawie standardowych klauzul umownych, jeżeli – zdaniem właściwego organu nadzorczego i w świetle wszystkich okoliczności takiego przekazania – klauzule te nie zostały lub nie mogą być spełnione w tym państwie trzecim, a ochrony przekazywanych danych nie można zapewnić w ramach innych środków, zwłaszcza w przypadku gdy administrator lub podmiot przetwarzający sam już nie zawiesił lub nie zakończył przekazywania danych.

EROD przypomina, że przyjęła wytyczne w sprawie art. 49 RODO oraz że przewidziane w tym artykule wyjątki muszą być stosowane przy uwzględnieniu poszczególnych przypadków.

EROD dokona bardziej szczegółowej oceny wyroku i udzieli zainteresowanym stronom dalszych wyjaśnień i wskazówek dotyczących stosowania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z wyrokiem. Jak stwierdził Trybunał Sprawiedliwości Unii Europejskiej, EROD i jej europejskie organy nadzorcze są też gotowe do zapewnienia spójności w całym EOG.

Pełna wersja oświadczenia jest dostępna tutaj: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

EROD przyjęła wytyczne w sprawie drugiej dyrektywy w sprawie usług płatniczych. Drugą dyrektywą w sprawie usług płatniczych modernizuje się ramy prawne rynku usług płatniczych. Co ważne, wprowadza się ramy prawne nowych usług inicjowania płatności (PISP) oraz usług dostępu do informacji o rachunku (AISP). Użytkownicy mogą wnosić o to, aby podmioty świadczące te nowe usługi płatnicze uzyskały dostęp do ich rachunków płatniczych. Po warsztatach dla zainteresowanych stron, które odbyły się w lutym 2019 r., EROD opracowała wytyczne dotyczące stosowania RODO do tych nowych usług płatniczych.

W wytycznych podkreśla się, że w tym kontekście przetwarzanie szczególnych kategorii danych osobowych jest na ogół zabronione (zgodnie z art. 9 ust. 1 RODO), z wyjątkiem przypadków, gdy osoba, której dane dotyczą, wyraziła na to wyraźną zgodę (art. 9 ust. 2 lit. a) RODO) lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO).

Wytyczne odnoszą się też do warunków udzielania przez dostawców usług płatniczych prowadzących rachunki dostępu do informacji o rachunku płatniczym na potrzeby usług inicjowania płatności i usług dostępu do informacji o rachunku, zwłaszcza szczegółowego dostępu do rachunków płatniczych.

W wytycznych wyjaśnia się, że ani art. 66 ust. 3 lit. g) ani art. 67 ust. 2 lit. f) drugiej dyrektywy w sprawie usług płatniczych nie zezwalają na dalsze przetwarzanie danych, chyba że podmiot, którego dane dotyczą, udzielił na to zgody na podstawie art. 6 ust. 1 lit. a) RODO lub przetwarzanie takie jest przewidziane w prawie unijnym lub prawie państwa członkowskiego. Wytyczne zostaną przedłożone do konsultacji publicznych.

Ponadto Rada przyjęła pismo w odpowiedzi na pytania posłanki do Parlamentu Europejskiego Lucii Ďuriš Nicholsonovej dotyczące ochrony danych w kontekście walki z COVID-19. W piśmie tym odniesiono się do pytań dotyczących harmonizacji i interoperacyjności aplikacji służących do ustalania kontaktów zakaźnych, wymogu dokonania oceny skutków dla ochrony danych w odniesieniu do takiego przetwarzania danych oraz możliwego czasu przetwarzania danych.

EDPB_Press Release_2020_12