Europejska Rada Ochrony Danych

Europejska Rada Ochrony Danych – 37. sesja plenarna: wytyczne dotyczące administratora i podmiotu przetwarzającego, wytyczne dotyczące selekcji docelowych użytkowników mediów społecznościowych (targeting), grupa zadaniowa ds. skarg wniesionych w następstw

Friday, 4 September, 2020

Bruksela, 3 września – Rada przyjęła wytyczne dotyczące koncepcji administratora i podmiotu przetwarzającego zawartych w RODO oraz wytyczne dotyczące selekcji docelowych użytkowników mediów społecznościowych (targeting). Dodatkowo EROD stworzyła grupę zadaniową ds. skarg wniesionych w następstwie wyroku TSUE w sprawie Schrems II oraz grupę zadaniową zajmującą się dodatkowymi środkami, które mogą być wymagane od podmiotów przekazujących dane i podmiotów odbierających dane w celu zapewnienia odpowiedniej ochrony przy przekazywaniu danych w świetle wyroku TSUE w sprawie Schrems II.

Rada przyjęła wytyczne dotyczące koncepcji administratora i podmiotu przetwarzającego zawartych w RODO. Od czasu rozpoczęcia stosowania RODO pojawiają się pytania, w jakim stopniu RODO zmieniło te pojęcia, zwłaszcza w odniesieniu do pojęcia współadministratorów (w rozumieniu art. 26 RODO oraz w następstwie kilku orzeczeń TSUE), a także obowiązków podmiotów przetwarzających (w szczególności art. 28 RODO) określonych w rozdziale IV RODO.

W marcu 2019 r. EROD wraz ze swoim Sekretariatem zorganizowała spotkanie dla zainteresowanych podmiotów, podczas którego wyraźnie wskazano konieczność opracowania bardziej praktycznych wskazówek i umożliwiono Radzie lepiej zrozumieć potrzeby i problemy w tym obszarze. Nowe wytyczne składają się z dwóch głównych części: w jednej wyjaśnia się różne pojęcia; w drugiej ujęto szczegółowe wskazówki dotyczące najważniejszych konsekwencji tych pojęć dla administratorów, podmiotów przetwarzających i współadministratorów. Wytyczne zawierają schemat blokowy przedstawiający kolejne praktyczne wskazówki. Wytyczne będą przedmiotem konsultacji publicznych.

EROD przyjęła wytyczne dotyczące selekcji docelowych użytkowników mediów społecznościowych (targeting). Wytyczne mają na celu przekazanie zainteresowanym podmiotom praktycznych wskazówek i zawierają szereg przykładów różnych sytuacji, tak aby zainteresowane podmioty mogły szybko rozpoznać „scenariusz” najbliższy praktyki targetowania, którą zamierzają stosować. Głównym celem wytycznych jest objaśnienie ról i zadań podmiotów prowadzących media społecznościowe i osób, do których one docierają. W tym kontekście wytyczne między innymi wskazują potencjalne zagrożenia dla swobód osób fizycznych, główne zaangażowane podmioty i ich role, stosowanie najważniejszych wymogów w zakresie ochrony danych, takich jak legalność i przejrzystość oraz ocena skutków dla ochrony danych, a także kluczowe elementy ustaleń między podmiotami prowadzącymi media społecznościowe a osobami, do których one docierają. Dodatkowo wytyczne skupiają się na różnych mechanizmach targetowania, przetwarzaniu specjalnych kategorii danych oraz obowiązku współadministratorów w zakresie wdrażania odpowiednich ustaleń na podstawie art. 26 RODO. Na sesji plenarnej wytyczne zostaną przekazane do konsultacji publicznych.

Rada stworzyła grupę zadaniową, która zajmie się skargami wniesionymi w następstwie wyroku TSUE w sprawie Schrems II. Do organów ochrony danych w EOG wniesiono łącznie 101 identycznych skarg przeciwko administratorom w państwach członkowskich EOG dotyczących korzystania przez nich z usług Google/Facebook związanych z przekazywaniem danych osobowych. W szczególności skarżący, reprezentowani przez organizację pozarządową NOYB, twierdzą, że Google i Facebook przekazują dane osobowe do USA na podstawie Tarczy Prywatności UE–USA lub standardowych klauzul umownych oraz że zgodnie z ostatnim wyrokiem TSUE w sprawie C-311/18 administrator nie jest w stanie zapewnić odpowiedniej ochrony danych osobowych skarżących. Grupa zadaniowa przeanalizuje tę kwestię przy zapewnieniu ścisłej współpracy między członkami Rady.

W następstwie orzeczenia TSUE w sprawie Schrems II oraz w uzupełnieniu dokumentu z najczęstszymi pytaniami przyjętego w dniu 23 lipca Rada utworzyła grupę zadaniową. Ta grupa zadaniowa przygotuje zalecenia, które pomogą administratorom i podmiotom przetwarzającym w wykonywaniu ich obowiązku polegającego na wskazywaniu i wdrażaniu odpowiednich środków dodatkowych w celu zapewnienia należytej ochrony przy przekazywaniu danych do państw trzecich.

Przewodnicząca EROD Andrea Jelinek: „EROD zdaje sobie sprawę, że orzeczenie Schrems II nakłada na administratorów ważne zadanie. Oprócz oświadczenia i dokumentu z najczęstszymi pytaniami, które wkrótce opublikujemy w następstwie tego wyroku, przygotujemy wytyczne mające pomóc administratorom i podmiotom przetwarzającym w wykonywaniu ich obowiązków podczas rozpoznawania i wdrażania odpowiednich środków dodatkowych o charakterze prawnym, technicznym i organizacyjnym, aby przestrzegać podstawowego standardu równoważności przy przekazywaniu danych osobowych do państw trzecich. Konsekwencje wyroku mają jednak szeroki zakres, a okoliczności przekazywania danych do państw trzecich są bardzo zróżnicowane. Dlatego nie ma jednego uniwersalnego i szybkiego rozwiązania. Każda organizacja będzie musiała ocenić prowadzone przez siebie operacje przetwarzania i przekazywania danych oraz przyjąć odpowiednie środki”.

Uwaga dla redaktorów:
Wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz zostaną udostępnione na stronie internetowej EROD po ich zakończeniu.

EDPB_Press Release_2020_14