Europejska Rada Ochrony Danych – Opinie w sprawie projektów decyzji stwierdzających odpowiedni stopień ochrony zapewnianej przez Zjednoczone Królestwo, wytyczne w sprawie stosowania art. 65 ust. 1 lit. a) RODO, wytyczne w sprawie targetowania użytkowników

14 April 2021 EDPB

Bruksela, 14 kwietnia 2019 r. – W trakcie swojej sesji plenarnej EROD przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni stopień ochrony zapewnianej przez Zjednoczone Królestwo. Opinia 14/2021 opiera się na RODO i zawiera ocenę zarówno ogólnych aspektów ochrony danych, jak i dostępu administracji rządowej do danych osobowych przekazywanych z EOG do celów egzekwowania prawa i bezpieczeństwa narodowego, zawartych w projekcie decyzji stwierdzającej odpowiedni stopień ochrony. Ocena ta opiera się na dokumencie
RODO – odpowiedni stopień ochrony przekazywanych danych osobowych WP254 Opinia 15/2021 opiera się na dyrektywie o ochronie danych w sprawach karnych (LED) i zawiera analizę projektu decyzji stwierdzającej odpowiedni stopień ochrony w świetle zaleceń 01/2021 dotyczących odpowiedniego stopnia ochrony w ramach dyrektywy o ochronie danych w sprawach karnych, a także stosownego orzecznictwa ujętego w zaleceniach 02/2020 w sprawie niezbędnych gwarancji europejskich dla środków nadzoru. Jest to pierwszy projekt decyzji wykonawczej stwierdzającej odpowiedni stopień ochrony zapewnianej przez państwo trzecie przedstawiony przez Komisję Europejską w ramach LED i poddany ocenie przez EROD.

EROD zauważa, że istnieją kluczowe obszary silnego dostosowania brytyjskich i unijnych ram ochrony danych w odniesieniu do niektórych podstawowych elementów, takich jak: podstawy zgodnego z prawem i rzetelnego przetwarzania danych do prawnie uzasadnionych celów; ograniczenie celu; jakość danych i zasada proporcjonalności; zatrzymywanie, bezpieczeństwo i poufność danych; przejrzystość; szczególne kategorie danych, a także w odniesieniu do zautomatyzowanego podejmowania decyzji i profilowania.

Przewodnicząca EROD Andrea Jelinek powiedziała: Ramy ochrony danych w Zjednoczonym Królestwie opierają się w dużej mierze na unijnych ramach ochrony danych. W brytyjskiej ustawie o ochronie danych z 2018 r. doprecyzowano stosowanie RODO w prawie Zjednoczonego Królestwa, wcześniej dokonano już transpozycji LED oraz przyznano uprawnienia i nałożono obowiązki na krajowy organ nadzorczy ds. ochrony danych – ICO. W związku z tym EROD uznaje, że w swoich ramach ochrony danych Zjednoczone Królestwo w większości przypadków odzwierciedliło przepisy RODO oraz LED; dokonana przez EROD analiza brytyjskiego prawa i praktyki wykazała również, że wiele aspektów jest zasadniczo równoważnych. Przepisy mogą się zmieniać, należy jednak utrzymać tę zbieżność. Dlatego z zadowoleniem przyjmujemy decyzję Komisji o ograniczeniu w czasie decyzji stwierdzającej odpowiedni stopień ochrony, a także jej zamiar ścisłego monitorowania rozwoju sytuacji w Zjednoczonym Królestwie.

EROD podkreśla, że Komisja Europejska powinna w swojej decyzji na podstawie RODO poddać dalszej ocenie lub ściśle monitorować szereg elementów, takich jak:

  • wyłączenie dotyczące kontroli imigracyjnej i jego konsekwencje dla ograniczeń praw osób, których dane dotyczą;
  • stosowanie ograniczeń w odniesieniu do dalszego przekazywania danych osobowych z EOG do Zjednoczonego Królestwa, na przykład na podstawie przyszłych decyzji stwierdzających odpowiedni stopień ochrony danych osobowych przyjętych przez Zjednoczone Królestwo, umów międzynarodowych zawartych między Zjednoczonym Królestwem a państwami trzecimi lub odstępstw.

Jeżeli chodzi o dostęp organów publicznych do danych osobowych przekazywanych Zjednoczonemu Królestwu do celów bezpieczeństwa narodowego, EROD z zadowoleniem przyjmuje ustanowienie trybunału ds. uprawnień dochodzeniowych (IPT) w celu zajęcia się wyzwaniami związanymi ze środkami odwoławczymi w dziedzinie bezpieczeństwa narodowego, a także wprowadzenie komisarzy sądowych w ustawie o uprawnieniach dochodzeniowo-śledczych z 2016 r. (IPA) w celu zapewnienia lepszego nadzoru w tej samej dziedzinie. EROD zidentyfikowała jednak szereg kwestii wymagających dalszych wyjaśnień lub monitorowania:

  • masowe przechwytywanie danych;
  • niezależna ocena i nadzór nad korzystaniem z narzędzi automatycznego przetwarzania danych;
  • gwarancje przewidziane w prawie Zjednoczonego Królestwa w odniesieniu do przekazywania danych za granicę, w szczególności w świetle stosowania wyłączeń ze względu na bezpieczeństwo narodowe.

Rada przyjęła wytyczne w sprawie stosowania art. 65 ust. 1 lit. a) RODO w celu określenia głównych etapów procedury oraz wyjaśnienia kompetencji EROD przy podejmowaniu prawnie wiążącej decyzji na podstawie art. 65 ust. 1 lit. a) RODO. Wytyczne zawierają również opis obowiązujących gwarancji proceduralnych i środków zaradczych. Wytyczne będą przedmiotem konsultacji publicznych przez okres sześciu tygodni.

Po konsultacjach publicznych EROD przyjęła ostateczną wersję wytycznych w sprawie targetowania użytkowników mediów społecznościowych. Celem wytycznych jest wyjaśnienie roli i zakresu odpowiedzialności dostawców mediów społecznościowych oraz osób objętych targetowaniem. W ostatecznej wersji zaktualizowano brzmienie tekstu, aby uwzględnić uwagi i informacje zwrotne otrzymane w trakcie konsultacji publicznych.

EROD przyjęła oświadczenie w sprawie umów międzynarodowych obejmujących przekazywanie danych EROD zwraca się do państw członkowskich UE, by oceniły i w razie potrzeby dokonały przeglądu swoich umów międzynarodowych, które obejmują międzynarodowe przekazywanie danych osobowych i które zostały zawarte przed dniem 24 maja 2016 r. (w odniesieniu do umów istotnych z punktu widzenia RODO) oraz przed dniem 6 maja 2016 r. (w odniesieniu do umów odnoszących się do LED) w celu dostosowania ich, w razie potrzeby, do unijnych przepisów o ochronie danych.

 

Informacje dla redaktorów:
Uwaga – wszystkie dokumenty przyjęte podczas posiedzenia plenarnego EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania i będą udostępniane na stronie internetowej EROD po zakończeniu tych kontroli.

EDPB_Press Release_2021_03