Bruksela, 20 stycznia – Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie w sprawie wykonywania prawa dostępu przez administratorów. W sprawozdaniu podsumowano wyniki szeregu skoordynowanych działań krajowych przeprowadzonych w 2024 r. w ramach skoordynowanego egzekwowania przepisów. Wymieniono w nim problemy zaobserwowane w przypadku niektórych administratorów wraz z szeregiem zaleceń, które mają im pomóc we wdrażaniu prawa dostępu. Centralnym elementem jest wiedza administratorów na temat wytycznych EROD 01/2022 w sprawie praw osób, których dane dotyczą – prawo dostępu oraz czy wytyczne te były przestrzegane w praktyce.
Wiceprzewodniczący EROD Zdravko Vukíc powiedział: „Instrument »Łącząc Europę« jest cenną inicjatywą, która pomaga zacieśnić współpracę między organami ochrony danych: zajmując się wybranymi tematami w sposób skoordynowany, osiągają większą skuteczność i większą spójność. Sposób, w jaki administratorzy wdrażają prawo dostępu, leży u podstaw ochrony danych i jest jednym z najczęściej wykonywanych praw osób, których dane dotyczą”.
W 2024 r. 30 organów ochrony danych w całej Europie wszczęło skoordynowane dochodzenia w sprawie przestrzegania przez administratorów prawa dostępu, wszczynając formalne dochodzenia, oceniając, czy formalne postępowanie wyjaśniające było uzasadnione, lub przeprowadzając działania informacyjne. Na działanie odpowiedziało łącznie 1185 kontrolerów, w tym małe i średnie przedsiębiorstwa (MŚP) oraz duże przedsiębiorstwa działające w różnych branżach i dziedzinach, a także różnego rodzaju podmioty publiczne.
Obszary wymagające poprawy i główne wyzwania
Wyniki sugerują, że konieczne jest zwiększenie świadomości na temat wytycznych 01/2022, zarówno na szczeblu krajowym, jak i unijnym, ponieważ wytyczne pomagają administratorom wdrażać prawo dostępu, wyjaśniają, w jaki sposób można ułatwić korzystanie z tego prawa, oraz wymieniają wyjątki i ograniczenia prawa dostępu.
W wyniku działania w ramach instrumentu „Łącząc Europę” w 2024 r. zidentyfikowano siedem wyzwań. Jednym z nich jest brak udokumentowanych wewnętrznych procedur rozpatrywania wniosków o dostęp. Ponadto zaobserwowano również niespójne i nadmierne interpretacje ograniczeń prawa dostępu, takie jak nadmierne powoływanie się na pewne wyjątki w celu automatycznego odrzucania wniosków o dostęp. Innym przykładem są bariery, które osoby fizyczne mogą napotkać przy korzystaniu z prawa dostępu, takie jak wymogi formalne lub wymóg przedstawienia nadmiernych dokumentów tożsamości. W odniesieniu do każdego zidentyfikowanego wyzwania w sprawozdaniu przedstawiono wykaz niewiążących zaleceń, które administratorzy i organy ochrony danych powinni wziąć pod uwagę.
Pozytywne wyniki
Pomimo istniejących wyzwań dwie trzecie uczestniczących organów ochrony danych oceniło poziom przestrzegania przez administratorów udzielających odpowiedzi prawa dostępu od „średniego” do „wysokiego”. Jednym z ważnych czynników zidentyfikowanych jako mające wpływ na poziom zgodności była liczba wniosków o udzielenie dostępu otrzymanych przez administratorów, a także wielkość organizacji. W szczególności w przypadku dużych administratorów lub administratorów otrzymujących więcej wniosków istnieje większe prawdopodobieństwo osiągnięcia wyższego poziomu zgodności niż w przypadku małych organizacji dysponujących mniejszymi zasobami.
Pozytywne wyniki zaobserwowano w całej Europie. Obejmują one wdrożenie przez administratorów najlepszych praktyk, takich jak przyjazne dla użytkownika formularze internetowe umożliwiające osobom fizycznym łatwe składanie wniosków o dostęp, a także systemy samoobsługowe umożliwiające osobom fizycznym samodzielne pobieranie ich danych osobowych za pomocą kilku kliknięć i w dowolnym momencie.
Kontekst i dalsze kroki
Instrument „Łącząc Europę” jest kluczowym działaniem EROD w ramach jej strategii na lata 2024–2027, mającym na celu usprawnienie egzekwowania przepisów i współpracy między organami ochrony danych.
W ciągu ostatnich trzech lat przeprowadzono dwa poprzednie działania w ramach instrumentu „Łącząc Europę”.
Wyniki tych działań krajowych są agregowane i analizowane łącznie, aby uzyskać głębszy wgląd w temat i umożliwić ukierunkowane działania następcze zarówno na szczeblu krajowym, jak i unijnym.
W 2023 r. EROD opublikowała sprawozdanie na temat swoich pierwszych skoordynowanych działań w zakresie korzystania z usług opartych na chmurze obliczeniowej przez sektor publiczny.
W 2024 r. EROD opublikowała również sprawozdanie z wyników drugiego skoordynowanego działania dotyczącego wyznaczenia i stanowiska inspektorów ochrony danych.
Działanie w ramach instrumentu „Łącząc Europę” na 2025 r. będzie dotyczyło wdrożenia prawa do usunięcia danych.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.