Bruksela, 11 lipca –9 i 10 lipca br. organy ochrony danych EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych (EROD), spotkali się na dwunastej sesji plenarnej. Omówiono szeroki zakres zagadnień.
Wytyczne w sprawie monitoringu wizyjnego
Rada przyjęła wytyczne w sprawie monitoringu wizyjnego, w których wyjaśniono, w jaki sposób RODO ma zastosowanie do przetwarzania danych osobowych podczas korzystania z urządzeń wideo, i których celem jest zapewnienie spójnego stosowania RODO w tej kwestii. Wytyczne dotyczą zarówno tradycyjnych urządzeń wideo, jak i inteligentnych urządzeń wideo. W przypadku tych drugich wytyczne koncentrują się na zasadach przetwarzania szczególnych kategorii danych. Ponadto wytyczne obejmują między innymi kwestie zgodności z prawem przetwarzania danych, możliwości zastosowania wyłączeń dla czynności o czysto osobistym lub domowym charakterze oraz ujawniania nagranego materiału osobom trzecim. Wytyczne te będą przedmiotem konsultacji publicznych.
Wspólna odpowiedź EROD i EIOD udzielona komisji LIBE w sprawie skutków amerykańskiej ustawy CLOUD
EROD przyjęła wspólną odpowiedź EROD i EIOD na wniosek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego w sprawie przeprowadzenia oceny prawnej dotyczącej wpływu amerykańskiej ustawy CLOUD na unijne ramy prawne w zakresie ochrony danych oraz upoważnienie do negocjowania umowy między UE a USA w sprawie transgranicznego dostępu do elektronicznych materiałów dowodowych na potrzeby współpracy wymiarów sprawiedliwości w sprawach karnych. Ustawa CLOUD umożliwia amerykańskim organom ścigania żądanie ujawniania danych przez usługodawców w Stanach Zjednoczonych, bez względu na to, gdzie dane są przechowywane.
EROD i EIOD podkreślają, że kompleksowa umowa między UE i USA dotycząca transgranicznego dostępu do elektronicznych materiałów dowodowych, zawierająca solidne proceduralne i materialne gwarancje praw podstawowych, wydaje się najodpowiedniejszym instrumentem do zapewnienia niezbędnego poziomu ochrony osób, których dane dotyczą, z UE oraz pewności prawa dla przedsiębiorstw.
Opinia na podstawie art. 64 RODO w sprawie przedłożonych przez duński organ nadzorczy standardowych klauzul umownych dla podmiotów przetwarzających zgodnie z art. 28 ust. 8 RODO
EROD przyjęła swoją opinię w sprawie projektu standardowych klauzul umownych w celu określenia ram procedur przetwarzania danych przez podmiot przetwarzający, przedłożonego EROD przez duński organ nadzorczy. Opinia ta, będąca pierwszą opinią na ten temat, ma na celu zapewnienie spójnego stosowania art. 28 RODO w odniesieniu do podmiotów przetwarzających. W opinii tej EROD wydała kilka zaleceń, które należy uwzględnić, aby opracowany przez duński organ nadzorczy projekt standardowych klauzul umownych można było uznać za standardowe klauzule umowne. Jeżeli wszystkie zalecenia zostaną wdrożone, duński organ nadzorczy będzie mógł wykorzystywać niniejszy projekt umowy jako standardowe klauzule umowne zgodnie z art. 28 ust. 8 RODO.
Opinia na podstawie art. 64 RODO w sprawie opracowanych przez austriacki organ nadzorczy kryteriów akredytacji dla podmiotów monitorujących kodeksy postępowania
Po przedłożeniu przez austriacki organ nadzorczy projektu decyzji w sprawie kryteriów akredytacji podmiotów monitorujących kodeksy postępowania EROD przyjęła opinię w tej sprawie. EROD zgodziła się, że w przypadku wszystkich kodeksów dotyczących organów i podmiotów niepublicznych istnieje obowiązek powołania akredytowanych podmiotów monitorujących zgodnie z RODO.
Opinia na podstawie art. 64 RODO w sprawie kompetencji organu nadzorczego w przypadku zmiany okoliczności dotyczących głównej lub pojedynczej jednostki organizacyjnej
EROD przyjęła opinię w sprawie kompetencji organu nadzorczego w przypadku zmiany okoliczności dotyczących głównej lub pojedynczej jednostki organizacyjnej. Może to nastąpić w przypadku przeniesienia głównej jednostki organizacyjnej w obrębie EOG, przeniesienia głównej jednostki organizacyjnej z państwa trzeciego do EOG lub w przypadku, gdy w EOG nie ma już głównej lub pojedynczej jednostki organizacyjnej. Zdaniem EROD w takich okolicznościach kompetencje wiodącego organu nadzorczego mogą zostać przeniesione na inny organ nadzorczy. W takim przypadku nadal będzie miała zastosowanie procedura współpracy określona w art. 60, a nowy wiodący organ nadzorczy będzie zobowiązany do współpracy z poprzednim wiodącym organem nadzorczym oraz z innymi odnośnymi organami nadzorczymi w celu osiągnięcia konsensusu. Przeniesienie kompetencji może mieć miejsce, dopóki właściwy organ nadzorczy nie podejmie ostatecznej decyzji.
Wspólna opinia EROD i EIOD w sprawie eHDSI
EROD przyjęła wspólną opinię EROD i EIOD w sprawie aspektów ochrony danych osobowych w kontekście przetwarzania danych pacjentów w europejskiej infrastrukturze usług cyfrowych w dziedzinie e-zdrowia (eHDSI). Jest to pierwsza wspólna opinia EROD i EIOD przyjęta w odpowiedzi na wniosek Komisji Europejskiej złożony na podstawie art. 42 ust. 2 rozporządzenia 2018/1725 w sprawie ochrony danych w instytucjach i organach UE. W swojej opinii EROD i EIOD stwierdzają, że w tej konkretnej sytuacji i ściśle w odniesieniu do przetwarzania danych pacjentów w ramach eHDSI nie ma powodu, aby podważać ocenę Komisji Europejskiej dotyczącą jej roli jako podmiotu przetwarzającego w ramach eHDSI. Ponadto we wspólnej opinii podkreśla się potrzebę zapewnienia, aby wszystkie obowiązki Komisji jako podmiotu przetwarzającego w związku z tą operacją przetwarzania danych, wyszczególnione w obowiązujących przepisach o ochronie danych, były jasno określone w odnośnym akcie wykonawczym.
Opracowany przez Cypr wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych
EROD przyjęła opinię w sprawie przedłożonego jej przez Cypr wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Wspomniane wykazy stanowią ważne narzędzie zapewniające spójne stosowanie RODO w całym EOG. Ocena skutków dla ochrony danych to proces pomocny w identyfikowaniu i ograniczaniu zagrożeń związanych z ochroną danych, które to zagrożenia mogą mieć wpływ na prawa i wolności osób fizycznych.
Opinia na podstawie art. 64 RODO w sprawie przedłożonych przez Francję, Hiszpanię i Czechy wykazów na mocy art. 35 ust. 5 (zwolnienie z obowiązku dotyczącego oceny skutków dla ochrony danych)
EROD przyjęła opinię w sprawie przedłożonych jej przez organy nadzorcze Francji, Hiszpanii i Czech wykazów na mocy art. 35 ust. 5.
Zalecenie w sprawie wykazu EIOD zgodnie z art. 39 ust. 4 rozporządzenia 2018/1725 (wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych)
EROD przyjęła zalecenie w sprawie wykazu na mocy art. 39 ust. 4 przedłożonego jej przez EIOD. EIOD musi konsultować się z EROD przed przyjęciem tych wykazów, jeżeli takie wykazy „odnoszą się do operacji przetwarzania danych przez administratora działającego wspólnie z co najmniej jednym administratorem innym niż instytucje i organy Unii” (art. 39 ust. 6 rozporządzenia (UE) 2018/1725). Podobnie jak w przypadku wykazów podlegających wymogowi dokonania oceny skutków dla ochrony danych na podstawie RODO, wykaz EIOD informuje administratorów o czynnościach przetwarzania, które wymagają dokonania oceny skutków dla ochrony danych.
Informacje dla redaktorów
Prosimy zwrócić uwagę, że wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz będą udostępniane na stronie internetowej EROD po ich zakończeniu.