
Bruksela, 9 października – Podczas ostatniej sesji plenarnej Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie niektórych obowiązków wynikających z polegania na podmiotach przetwarzających i podwykonawcach przetwarzania, wytycznych dotyczących uzasadnionego interesu, oświadczenia w sprawie ustanowienia dodatkowych przepisów proceduralnych dotyczących egzekwowania RODO oraz programu prac EROD na lata 2024–2025.
Po pierwsze, EROD przyjęła opinię w sprawie niektórych obowiązków wynikających z polegania na podmiotach przetwarzających i podwykonawcach przetwarzania w następstwie wniosku złożonego do Rady na podstawie art. 64 ust. 2 RODO przez duński organ ochrony danych. Art. 64 ust. 2 RODO stanowi, że każdy organ ochrony danych może zwrócić się do Rady o wydanie opinii w sprawach o zasięgu ogólnym lub wywołujących skutki w więcej niż jednym państwie członkowskim.
Opinia dotyczy sytuacji, w których administratorzy polegają na co najmniej jednym podwykonawcy przetwarzania i co najmniej jednym podwykonawcy przetwarzania. W szczególności zadano w nim osiem pytań dotyczących interpretacji niektórych obowiązków administratorów, którzy polegają na podmiotach przetwarzających i podwykonawcach przetwarzania, a także brzmienia umów między administratorem a podmiotem przetwarzającym, wynikających w szczególności z art. 28 RODO.
W opinii wyjaśniono, że administratorzy powinni mieć zawsze dostęp do informacji dotyczących tożsamości (tj. imienia i nazwiska, adresu, osoby kontaktowej) wszystkich podmiotów przetwarzających, podwykonawców przetwarzania itp., aby mogli jak najlepiej wypełniać swoje obowiązki wynikające z art. 28 RODO. Ponadto spoczywający na administratorze obowiązek sprawdzenia, czy (pod)podmioty przetwarzające zapewniają „wystarczające gwarancje”, powinien mieć zastosowanie niezależnie od ryzyka naruszenia praw i wolności osób, których dane dotyczą, chociaż zakres takiej weryfikacji może się różnić, w szczególności w zależności od ryzyka związanego z przetwarzaniem.
W opinii stwierdzono również, że o ile pierwotny podmiot przetwarzający powinien zapewnić, aby proponował podwykonawców przetwarzania z wystarczającymi gwarancjami, ostateczna decyzja i odpowiedzialność za zaangażowanie konkretnego podwykonawcy przetwarzania pozostaje po stronie administratora.
EROD uważa, że zgodnie z RODO administrator nie ma obowiązku systematycznego zwracania się o umowy dotyczące podwykonawstwa przetwarzania w celu sprawdzenia, czy obowiązki w zakresie ochrony danych zostały przeniesione w dół łańcucha przetwarzania. Administrator powinien ocenić, czy zażądanie kopii takich umów lub dokonanie ich przeglądu jest konieczne, aby móc wykazać zgodność z RODO.
Ponadto w przypadku gdy przekazywanie danych osobowych poza Europejski Obszar Gospodarczy odbywa się między dwoma (pod)podmiotami przetwarzającymi, podmiot przetwarzający jako przekazujący dane powinien przygotować odpowiednią dokumentację, np. dotyczącą zastosowanej podstawy przekazania, oceny skutków przekazania oraz ewentualnych środków uzupełniających. Ponieważ jednak administrator nadal podlega obowiązkom wynikającym z art. 28 ust. 1 RODO dotyczącym „wystarczających gwarancji”, oprócz obowiązków wynikających z art. 44 w celu zapewnienia, aby przekazywanie danych osobowych nie podważyło poziomu ochrony, powinien on ocenić tę dokumentację i być w stanie przedstawić ją właściwemu organowi ochrony danych.
Następnie Rada przyjęła wytyczne dotyczące przetwarzania danych osobowych w oparciu o uzasadniony interes.
Administratorzy danych potrzebują podstawy prawnej, aby przetwarzać dane osobowe zgodnie z prawem. Uzasadniony interes jest jedną z sześciu możliwych podstaw prawnych.
W niniejszych wytycznych przeanalizowano kryteria określone w art. 6 ust. 1 lit. f) RODO, które administratorzy muszą spełnić, aby przetwarzać dane osobowe zgodnie z prawem na podstawie uzasadnionego interesu. Uwzględniono w nim również niedawne orzeczenie ETS w tej sprawie (C-621/22, 4 października 2024 r.).
Aby powołać się na uzasadniony interes, administrator musi spełnić łącznie trzy warunki:
-
realizacja prawnie uzasadnionego interesu przez administratora lub osobę trzecią;
-
Niezbędność przetwarzania danych osobowych w celu realizacji prawnie uzasadnionego interesu;
-
Interesy lub podstawowe wolności i prawa osób fizycznych nie mają pierwszeństwa przed uzasadnionym interesem (uzasadnionymi interesami) administratora lub strony trzeciej (wyrównanie).
Po pierwsze, jedynie interesy zgodne z prawem, jasno i precyzyjnie wyrażone, rzeczywiste i obecne mogą zostać uznane za uzasadnione. Na przykład takie uzasadnione interesy mogą istnieć w sytuacji, gdy osoba fizyczna jest klientem lub służy administratorowi.
Po drugie, jeżeli istnieją rozsądne, równie skuteczne, ale mniej inwazyjne alternatywy dla osiągnięcia zamierzonych interesów, przetwarzanie nie może zostać uznane za konieczne. Konieczność przetwarzania należy również zbadać zgodnie z zasadą minimalizacji danych.
Po trzecie, administrator musi zapewnić, aby jego uzasadniony interes nie był nadrzędny wobec interesów jednostki i podstawowych praw do wolności. W tym wyważaniu administrator musi wziąć pod uwagę interesy osób fizycznych, wpływ przetwarzania i ich uzasadnione oczekiwania, a także istnienie dodatkowych zabezpieczeń, które mogłyby ograniczyć wpływ na osobę fizyczną.
Ponadto w niniejszych wytycznych wyjaśniono, w jaki sposób ocena ta powinna być przeprowadzana w praktyce, w tym w wielu szczególnych kontekstach, takich jak zapobieganie nadużyciom finansowym, marketing bezpośredni i bezpieczeństwo informacji. W dokumencie wyjaśniono również związek między tą podstawą prawną a szeregiem praw osób, których dane dotyczą, wynikających z RODO.
Wytyczne będą przedmiotem konsultacji publicznych do 20 listopada 2024 r.
Następnie Rada przyjęła oświadczenie w następstwie zmian wprowadzonych przez Parlament Europejski i Radę do wniosku Komisji Europejskiej dotyczącego rozporządzenia ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania RODO.
W oświadczeniu zasadniczo z zadowoleniem przyjęto zmiany wprowadzone przez Parlament Europejski i Radę oraz zalecono dalsze uwzględnianie konkretnych elementów, aby nowe rozporządzenie pozwoliło osiągnąć cele polegające na usprawnieniu współpracy między organami i poprawie egzekwowania RODO.
Oświadczenie zawiera praktyczne zalecenia, które można wykorzystać w kontekście zbliżających się rozmów trójstronnych. EROD przypomina w szczególności o potrzebie ustanowienia podstawy prawnej i zharmonizowanej procedury polubownego rozstrzygania sporów oraz formułuje zalecenia w celu zapewnienia jak najskuteczniejszego osiągnięcia konsensusu w sprawie podsumowania kluczowych kwestii. Rada z zadowoleniem przyjmuje również włączenie dodatkowych terminów, przypominając jednocześnie, że muszą one być realistyczne, i wzywa współprawodawców do usunięcia przepisów dotyczących istotnych i uzasadnionych zastrzeżeń oraz „uzasadnienia” w procedurze rozstrzygania sporów.
Chociaż w oświadczeniu z zadowoleniem przyjęto cel, jakim jest osiągnięcie większej przejrzystości, wprowadzenie wspólnych akt sprawy, zgodnie z propozycją Parlamentu Europejskiego, wymagałoby złożonych zmian w systemach zarządzania dokumentami i komunikacji stosowanych na szczeblu europejskim i krajowym. Rozwiązania techniczne służące jego wdrożeniu powinny zostać starannie ocenione, a warunki udzielania dostępu do niego powinny zostać doprecyzowane.
EROD z zadowoleniem przyjmuje poprawkę Rady umożliwiającą wiodącemu organowi ochrony danych rezygnację z tzw. wzmocnionej współpracy w prostych i nieskomplikowanych przypadkach, ale podkreśla potrzebę dalszego wyjaśnienia zakresu tej rezygnacji.
Przewodnicząca EROD Anu Talus powiedziała: Projekt rozporządzenia może znacznie usprawnić egzekwowanie RODO poprzez zwiększenie skuteczności rozpatrywania spraw. Potrzebna jest większa harmonizacja na szczeblu UE, aby zmaksymalizować pełną skuteczność mechanizmów współpracy i spójności przewidzianych w RODO.
Na ostatniej sesji plenarnej Rada przyjęła swój program prac na lata 2024–2025. Jest to pierwszy z dwóch programów prac, które wdrożą strategię EROD na lata 2024–2027 przyjętą w kwietniu 2024 r. Opiera się on na priorytetach określonych w strategii EROD i uwzględnia również potrzeby określone jako najważniejsze dla zainteresowanych stron.
Ponadto członkowie EROD zgodzili się przyznać kosowskiej Agencji ds. Informacji i Prywatności (kosowski organ ochrony danych) status obserwatora działań EROD, zgodnie z art. 8 regulaminu wewnętrznego EROD.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.