Zarejestruj się i uzyskaj dostęp do licznych narzędzi

KE opublikowała drugi raport dotyczący stosowania RODO

29/07/2024

Komisja Europejska 25 lipca 2024 r. przyjęła zgodnie z art. 97 RODO swoje drugie sprawozdanie w sprawie stosowania ogólnego rozporządzenia o ochronie danych UE. Pierwsze sprawozdanie przyjęto w czerwcu 2020 roku. Co się przez ten czas działo w temacie RODO zdaniem Komisji?


Sprawozdanie Komisji Europejskiej dotyczący RODO podkreśla znaczenie poprawy ochrony danych osobowych w Unii Europejskiej. W raporcie omówiono sukcesy, takie jak zwiększenie przejrzystości i uczciwości w przetwarzaniu danych oraz wzmocnienie współpracy między organami ochrony danych.

 

Wskazano jednak również na wyzwania, takie jak trudności w zarządzaniu sprawami transgranicznymi. Ponadto, sprawozdanie podkreśla potrzebę spójnego stosowania RODO oraz rozwiązywania kwestii związanych z międzynarodowym transferem danych, aby zapewnić ochronę danych osobowych obywateli UE poza jej granicami.

 

Komisja zamierza kontynuować pracę nad udoskonaleniem ram prawnych i operacyjnych RODO, aby lepiej odpowiadały na wyzwania wynikające z postępu technologicznego i globalizacji. Ważnym elementem jest także edukacja społeczeństwa i firm na temat praw i obowiązków związanych z ochroną danych.

Komisja zaleca wzmocnienie wsparcia dla małych i średnich przedsiębiorstw oraz poprawę jasności wytycznych dotyczących zgodności z przepisami.

 

Sprawozdanie kończy się wezwaniem do dalszych działań w celu zapewnienia skutecznej ochrony danych i poszanowania prywatności.

 

Wybrane fragmenty Sprawozdania:

5.3. Inspektorzy ochrony danych

Inspektorzy ochrony danych odgrywają ważną rolę w zapewnianiu zgodności z przepisami RODO w organizacjach, w których pracują. Ogólnie rzecz ujmując, inspektorzy ochrony danych działający w UE posiadają wiedzę i umiejętności niezbędne do wykonywania swoich zadań zgodnie z RODO, a ich niezależność jest respektowana. Wciąż jednak istnieje kilka wyzwań, w tym: (i) trudności w powoływaniu inspektorów ochrony danych dysponujących wymaganą wiedzą fachową; (ii) brak ogólnounijnych norm kształcenia i szkolenia; (iii) brak odpowiedniej integracji inspektorów ochrony danych w procesach organizacyjnych; (iv) brak zasobów; (v) dodatkowe zadania niezwiązane z ochroną danych; oraz (vi) niewystarczający staż pracy. EROD zauważyła, że organy ochrony danych powinny zintensyfikować działania uświadamiające, a także działania informacyjne i działania w zakresie egzekwowania prawa, aby inspektorzy ochrony danych mogli wykonywać swoją funkcję zgodnie z RODO.

 

6 RODO jako filar polityki UE w sferze cyfrowej

6.1Polityka cyfrowa oparta na RODO

W sprawozdaniu z 2020 r. Komisja zobowiązała się do zapewnienia spójnego stosowania ram ochrony danych w odniesieniu do nowych technologii w celu wspierania innowacji i rozwoju technologicznego. Od tego czasu UE przyjęła szereg inicjatyw: niektóre z nich uzupełniają RODO lub określają, w jaki sposób należy je stosować w konkretnych obszarach, aby osiągnąć określone cele, jak przedstawiono poniżej.

 

Akt o usługach cyfrowych, którego celem jest zapewnienie osobom fizycznym i przedsiębiorstwom bezpiecznego środowiska internetowego, zakazuje platformom internetowym wyświetlania reklam opartych na profilowaniu z wykorzystaniem „szczególnych kategorii danych osobowych” zdefiniowanych w RODO.

 

Aby rynki cyfrowe stały się bardziej uczciwe i kontestowalne, akt o rynkach cyfrowych zakazuje podmiotom wyznaczonym jako „strażnicy dostępu” łączenia i wykorzystywania danych osobowych pozyskiwanych za pośrednictwem ich podstawowych usług platformowych w ramach innych usług, chyba że użytkownik wyraził na to zgodę zgodnie z definicją w RODO.

 

W akcie w sprawie sztucznej inteligencji określono unijne przepisy o ochronie danych w konkretnych obszarach, w których wykorzystuje się sztuczną inteligencję, na przykład w systemach zdalnej identyfikacji biometrycznej, przetwarzania szczególnych kategorii danych w celu wykrywania stronniczości oraz dalszego przetwarzania danych osobowych w piaskownicach regulacyjnych.

 

Dyrektywa w sprawie pracy za pośrednictwem platform internetowych uzupełnia RODO w obszarze zatrudnienia, ustanawiając przepisy dotyczące zautomatyzowanych systemów monitorujących i decyzyjnych wykorzystywanych przez cyfrowe platformy pracy, a w szczególności ograniczenia dotyczące przetwarzania danych osobowych, przejrzystości sprawowania nadzoru przez człowieka oraz weryfikowania i możliwości przenoszenia.

 

Rozporządzenie w sprawie reklamy politycznej zakazuje wykorzystywania szczególnych kategorii danych osobowych w reklamie politycznej i wymaga zwiększenia przejrzystości w zakresie stosowanych technik targetowania i zwiększania ich wpływu.

 

Rozporządzenie w sprawie europejskiej tożsamości cyfrowej umożliwia stworzenie uniwersalnego, godnego zaufania i bezpiecznego europejskiego portfela tożsamości cyfrowej. Umożliwi to osobom fizycznym poświadczanie atrybutów osobistych, takich jak prawa jazdy, dyplomy i rachunki bankowe, przy zachowaniu pełnej kontroli nad ich danymi osobowymi i bez niepotrzebnej wymiany danych.

 

Wniosek dotyczący rozporządzenia w sprawie e-prywatności, który ma zastąpić obecną dyrektywę o e-prywatności i uzupełnić ramy prawne dotyczące prywatności i ochrony danych, jest przedmiotem negocjacji od kilku lat. Należy zastanowić się nad kolejnymi krokami w ramach tej inicjatywy, w tym nad jej związkiem z RODO.

 

Akt w sprawie Interoperacyjnej Europy ma na celu zapewnienie interoperacyjności cyfrowych usług publicznych w całej UE. Ułatwia on współpracę między organami ochrony danych, w szczególności poprzez piaskownice regulacyjne interoperacyjności.

 

Szereg inicjatyw UE zapewnia podstawy prawne przetwarzania danych osobowych przez podmioty prywatne do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania przestępstw. Wszelkie takie przepisy muszą być starannie ukierunkowane, aby zminimalizować ingerencję w prawo do ochrony danych osobowych i być proporcjonalne do zamierzonego celu. Karta, RODO i orzecznictwo Trybunału Sprawiedliwości stanowią ramy, w odniesieniu do których należy dokonywać oceny tych inicjatyw. Proponowany pakiet dotyczący przeciwdziałania praniu pieniędzy zawiera istotne zabezpieczenia w zakresie ochrony danych osobowych, bez uszczerbku dla celu, jakim jest ograniczenie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu oraz skuteczne wykrywanie nielegalnych prób niewłaściwego wykorzystania systemu finansowego UE.

 

W tym kontekście Rada podkreśliła, że wszelkie nowe przepisy UE zawierające przepisy dotyczące przetwarzania danych osobowych powinny być spójne z RODO i orzecznictwem Trybunału Sprawiedliwości.

 

6.2 Ramy prawne służące usprawnieniu wymiany danych

Strategia w zakresie danych ma na celu stworzenie jednolitego rynku danych, w ramach którego dane przepływają swobodnie wewnątrz UE i między sektorami z korzyścią dla przedsiębiorstw, naukowców i administracji publicznej. Głównym celem strategii w zakresie danych jest stworzenie wspólnych europejskich przestrzeni danych, które ułatwiają łączenie danych, dostęp do nich oraz ich wymianę. Jeżeli chodzi o dane osobowe, RODO zapewnia ramy dla wszystkich inicjatyw dążących do zwiększania swobodnego przepływu danych w UE, co samo w sobie jest celem RODO. Jeżeli chodzi o dane osobowe, środki ochrony przewidziane w RODO nie są przedmiotem dyskusji.

 

Akt w sprawie zarządzania danymi i akt w sprawie danych  stanowią filary strategii w zakresie danych. W akcie w sprawie zarządzania danymi określono konkretne przepisy w kontekście ponownego wykorzystywania danych sektora publicznego zawierających dane osobowe, określono ramy legislacyjne dotyczące usług pośrednictwa danych – w tym serwisów służących do zarządzania danymi osobowymi (PIMS) lub chmur danych osobowych oferowanych, by umożliwić osobom, których dane dotyczą, korzystanie z ich praw przewidzianych w RODO. W akcie określono również warunki korzystania z danych z pobudek altruistycznych. Akt w sprawie danych wzmacnia kontrolę osób, których dane dotyczą, nad danymi generowanymi przez nie w drodze użytkowania urządzeń inteligentnych, które posiadają, wynajmują lub dzierżawią, poprzez wprowadzenie wymogów technicznych dotyczących dostępu do danych i ich przenoszenia.

 

Europejska przestrzeń danych dotyczących zdrowia (EHDS) odzwierciedla szczególne potrzeby zidentyfikowane w sektorze danych dotyczących zdrowia, a jednocześnie opiera się na RODO. Umożliwia ona osobom fizycznym łatwy dostęp do własnych danych dotyczących zdrowia w formacie elektronicznym i udostępnianie ich pracownikom służby zdrowia, także w innych państwach członkowskich, polepszając świadczenie opieki zdrowotnej i zwiększając kontrolę pacjentów nad ich danymi. Wprowadza również wspólne ramy prawne ponownego wykorzystywania danych dotyczących zdrowia do celów takich jak badania naukowe, innowacje i zdrowie publiczne, na podstawie zezwolenia wydanego przez organ ds. dostępu do danych dotyczących zdrowia. W trosce o ochronę danych osobowych europejska przestrzeń danych dotyczących zdrowia zapewni wiarygodne otoczenie z bezpiecznym dostępem do danych dotyczących zdrowia i ich bezpiecznym przetwarzaniem. Komisja nadal wspiera prace nad rozwojem wspólnych europejskich przestrzeni danych w 14 sektorach, wdrażając nowe ramy legislacyjne i finansując inicjatywy sektorowe.

 

6.3 Zarządzanie nowymi przepisami dotyczącymi rynku cyfrowego

Rozwój przepisów dotyczących rynku cyfrowego wymaga ścisłej współpracy w różnych dziedzinach regulacyjnych Taka współpraca jest konieczna tym bardziej, że kwestie ochrony danych w coraz większym stopniu przeplatają się z kwestiami np. z dziedziny prawa konkurencji, prawa ochrony konsumentów, przepisów dotyczących rynków cyfrowych, regulacji łączności elektronicznej i cyberbezpieczeństwa. Ma to miejsce na przykład w przypadku oceny zgodności z prawem Unii modeli typu „Wyraź zgodę albo płać”.

 

W niektórych przypadkach zadanie organów ochrony danych polega na egzekwowaniu przepisów szczegółowych nowych unijnych przepisów dotyczących rynku cyfrowego. Nowe przepisy dotyczące rynku cyfrowego tworzą również dostosowane do potrzeb struktury skupiające właściwe organy regulacyjne w celu zapewnienia spójnego egzekwowania przepisów, takie jak grupa wysokiego szczebla ds. aktu o rynkach cyfrowych, Europejska Rada ds. Innowacji w zakresie Danych (ustanowiona na podstawie aktu w sprawie zarządzania danymi) oraz Europejska Rada ds. Usług Cyfrowych (ustanowiona na podstawie aktu o usługach cyfrowych). W dyrektywie NIS 2 określono bardziej szczegółowe przepisy dotyczące współpracy między organami regulacyjnymi a organami ochrony danych w zakresie obsługi incydentów bezpieczeństwa, które stanowią naruszenie ochrony danych osobowych.

 

Poza tymi formalnymi strukturami organy ochrony danych podejmują kroki w celu zapewnienia komplementarności i spójności ich działań z innymi obszarami regulacyjnymi. W lipcu 2020 r. organy ochrony konsumentów i ochrony danych utworzyły „grupę wolontariuszy” w celu określenia najlepszych praktyk i wymiany doświadczeń w zakresie egzekwowania prawa. Organy ochrony danych nadal uczestniczą we wspólnych warsztatach z siecią współpracy w zakresie ochrony konsumenta. W 2023 r. EROD powołała grupę zadaniową ds. wzajemnych zależności między ochroną danych, konkurencją i ochroną konsumenta.

Chociaż zmiany te są pozytywne, potrzebne są bardziej ustrukturyzowane i skuteczne środki współpracy, w szczególności w celu zaradzenia sytuacjom, które dotykają dużą liczbę osób w UE i angażują wiele organów regulacyjnych. Wszelkie takie struktury mają zapewniać, by organy przez cały czas pozostawały odpowiedzialne za wszelkie kwestie dotyczące zgodności z przepisami w ramach ich kompetencji. Państwa członkowskie powinny również dążyć do zapewnienia odpowiedniej współpracy na szczeblu krajowym."

 

Treść Sprawozdania https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52024DC0357

 

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

 

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

 

 

Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Zaktualizowane narzędzie do kompleksowego zarządzania przetwarzaniem i ochroną danych osobowych - Gestiona
Zaktualizowane narzędzie do kompleksowego zarządzania przetwarzaniem i ochroną danych osobowych - Gestiona