EROD i EIOD przyjmują wspólną opinię dotyczącą aktu w sprawie zarządzania danymi

10 March 2021 EDPB

Bruksela, 10 marca — EROD i EIOD przyjęli wspólną opinię w sprawie wniosku dotyczącego rozporządzenia w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi). Akt ma na celu zwiększenie dostępności danych poprzez zwiększenie zaufania do pośredników w zakresie danych[1] oraz wzmocnienie mechanizmów udostępniania danych w całej UE. W szczególności rolą tego aktu jest promowanie udostępniania danych sektora publicznego do ponownego wykorzystania, udostępniania danych między przedsiębiorstwami oraz umożliwianie wykorzystywania danych osobowych z pomocą „pośrednika w udostępnianiu danych osobowych”. Celem aktu w sprawie zarządzania danymi jest również umożliwienie wykorzystywania danych udostępnianych z pobudek altruistycznych.

EROD i EIOD uznają uzasadniony cel aktu, jakim jest poprawa warunków udostępniania danych na rynku wewnętrznym. Jednocześnie ochrona danych osobowych stanowi istotny i integralny element budowania zaufania do gospodarki cyfrowej. We wspólnej opinii EROD i EIOD zwracają się do współprawodawców o zapewnienie, aby przyszły akt w sprawie zarządzania danymi był w pełni zgodny z przepisami UE w zakresie ochrony danych osobowych, dzięki czemu przyczyni się on do zwiększenia zaufania do gospodarki cyfrowej i utrzymania stopnia ochrony przewidzianego w prawie UE pod nadzorem organów nadzorczych państw członkowskich UE.

Andrea Jelinek, przewodnicząca EROD, wskazała: „Unijne ramy prawne w zakresie ochrony danych nie stoją na przeszkodzie rozwojowi gospodarki opartej na danych. Wręcz przeciwnie – umożliwiają ten rozwój: zaufanie do wszelkiego rodzaju udostępniania danych można osiągnąć jedynie przy poszanowaniu obowiązujących przepisów o ochronie danych. RODO jest podstawą do stworzenia europejskiego modelu zarządzania danymi. Dlatego też podkreślamy potrzebę zapewnienia spójności z RODO w odniesieniu do kompetencji organów nadzorczych, roli poszczególnych zaangażowanych podmiotów, podstawy prawnej przetwarzania danych osobowych, niezbędnych zabezpieczeń i wykonywania praw przez osoby, których dane dotyczą”.

Wojciech Wiewiórowski, EIOD, powiedział: „Rozumiemy rosnące znaczenie danych dla gospodarki i społeczeństwa, jak podkreślono w europejskiej strategii w zakresie danych. Duże zbiory danych wiążą się jednak z dużą odpowiedzialnością, należy zatem wprowadzić odpowiednie zabezpieczenia w zakresie ochrony danych. Nadrzędne ramy dotyczące europejskich przestrzeni danych powinny zapewnić, by dorobek prawny w zakresie ochrony danych pozostał nienaruszony”.

EROD i EIOD uważają, że prawodawca Unii powinien dopilnować, by brzmienie aktu w sprawie zarządzania danymi jasno i jednoznacznie oznaczało, że akt ten nie wpłynie na stopień ochrony danych osobowych osób fizycznych, ani też nie ulegną zmianie żadne prawa i obowiązki określone w przepisach dotyczących ochrony danych.

Jeżeli chodzi o ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego, EROD i EIOD zalecają dostosowanie aktu do obowiązujących przepisów dotyczących ochrony danych osobowych określonych w RODO oraz do dyrektywy w sprawie otwartych danych. Ponadto należy jasno stwierdzić, że ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone tylko wtedy, gdy ma podstawę w prawie UE lub prawie państwa członkowskiego. Takie przepisy powinny zawierać wykaz wyraźnie określonych wzajemnie zgodnych celów, na potrzeby których dalsze przetwarzanie może być prawnie dozwolone lub stanowi niezbędny i proporcjonalny środek w demokratycznym społeczeństwie służącym celom, o których mowa w art. 23 RODO.

Jeśli chodzi o dostawców usług udostępniania danych, we wspólnej opinii podkreślono potrzebę zapewnienia osobom fizycznym uprzednich informacji i kontroli, z uwzględnieniem zasad ochrony danych w fazie projektowania i domyślnej ochrony danych, a także zasad przejrzystości i ograniczenia celu. Ponadto należy doprecyzować warunki, na jakich tacy dostawcy usług mogliby skutecznie wspierać osoby fizyczne w wykonywaniu praw przysługujących im jako osobom, których dane dotyczą.

Jeśli chodzi o altruistyczne podejście do danych, EROD i EIOD zalecają, by w akcie w sprawie zarządzania danymi lepiej zdefiniować cele leżące w interesie ogólnym takiego „altruistycznego podejścia do danych”. Altruistyczne podejście do danych powinno być zorganizowane w taki sposób, aby umożliwiało osobom fizycznym łatwe wyrażenie zgody, ale także łatwe jej wycofanie.

W świetle możliwego ryzyka dla osób, których dane dotyczą, gdy ich dane osobowe mogą być przetwarzane przez dostawców usług udostępniania danych lub organizacje o altruistycznym podejściu do danych, EROD i EIOD uważają, że ramy dotyczące dobrowolnej rejestracji tych podmiotów, jak określono w akcie w sprawie zarządzania danymi, nie przewidują wystarczająco rygorystycznej procedury weryfikacji mającej zastosowanie do takich usług. W związku z tym EROD i EIOD zalecają zbadanie alternatywnych procedur przewidujących bardziej systematyczne uwzględnianie narzędzi rozliczalności, w szczególności przestrzeganie kodeksu postępowania lub mechanizmu certyfikacji.

Wspólna opinia zawiera również zalecenia dotyczące wyznaczenia organów nadzorczych jako głównych organów właściwych do spraw kontroli zgodności z przepisami aktu w sprawie zarządzania danymi, w porozumieniu z innymi odpowiednimi organami sektorowymi.

______________________________________
[1] Zob. uzasadnienie wniosku, s. 1.

Informacje dla redaktorów: Uwaga – wszystkie dokumenty przyjęte podczas posiedzenia plenarnego EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania i będą udostępniane na stronie internetowej EROD po zakończeniu tych kontroli.

EDPB_Press Release_statement_2021_02