![photo](https://uodo.gov.pl/photos/thumb/thumb_530x296/data/gallery/3551/_org/5665.png)
CEF 2024: EROD identyfikuje wyzwania związane z pełnym wdrożeniem prawa dostępu
Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie dotyczące wdrażania prawa dostępu przez administratorów. W sprawozdaniu podsumowano wyniki szeregu skoordynowanych działań krajowych przeprowadzonych w 2024 r. w ramach skoordynowanego egzekwowania prawa. Zawiera on listę kwestii, które zaobserwowano u niektórych administratorów, wraz z szeregiem zaleceń, które mają im pomóc we wdrożeniu prawa dostępu. Centralnym elementem jest wiedza administratorów na temat wytycznych EROD 01/2022 w sprawie praw osób, których dane dotyczą – prawo dostępu oraz tego, czy wytyczne te były przestrzegane w praktyce.
Wiceprzewodniczący EROD Zdravko Vukíc powiedział: Ramy skoordynowanego egzekwowania prawa są cenną inicjatywą, która pomaga zacieśnić współpracę między organami ochrony danych: zajmując się wybranymi kwestiami w skoordynowany sposób, dzięki czemu osiągają one większą skuteczność i większą spójność. Sposób, w jaki administratorzy wdrażają prawo dostępu, leży u podstaw ochrony danych i jest to jedno z najczęściej egzekwowanych praw osób, których dane dotyczą".
W 2024 r. 30 organów ochrony danych w całej Europie wszczęło skoordynowane postępowania w sprawie przestrzegania przez administratorów prawa dostępu, wszczynając formalne postępowania, oceniając, czy formalne postępowanie wyjaśniające było uzasadnione, lub przeprowadzając działania mające na celu ustalenie faktów. Na akcję odpowiedziało łącznie 1 185 administratorów, w tym małe i średnie przedsiębiorstwa (MŚP) oraz duże przedsiębiorstwa działające w różnych branżach i dziedzinach, a także różnego rodzaju podmioty publiczne.
Obszary wymagające poprawy i główne wyzwania
Wyniki sugerują, że konieczne jest zwiększanie świadomości na temat wytycznych 01/2022, zarówno na szczeblu krajowym, jak i unijnym, ponieważ wytyczne pomagają administratorom wdrażać prawo dostępu, wyjaśniają, w jaki sposób można ułatwić korzystanie z tego prawa, oraz wymieniają wyjątki i ograniczenia prawa dostępu.
W wyniku skoordynowanego działania w zakresie egzekwowania prawa w 2024r. zidentyfikowano siedem wyzwań. Jednym z nich jest brak udokumentowanych wewnętrznych procedur obsługi wniosków o dostęp. Ponadto zaobserwowano również niespójne i nadmierne interpretacje ograniczeń prawa dostępu, takie jak nadmierne poleganie na pewnych wyjątkach w celu automatycznego odrzucenia wniosków o dostęp. Innym przykładem są bariery, które mogą napotkać osoby fizyczne korzystające z prawa dostępu, takie jak wymogi formalne lub żądanie przedstawienia nadmiernej ilości dokumentów tożsamości. W odniesieniu do każdego zidentyfikowanego wyzwania w sprawozdaniu zawarto wykaz niewiążących zaleceń, które powinny zostać uwzględnione przez administratorów i organy ochrony danych.
Pozytywne wyniki
Pomimo istniejących wyzwań dwie trzecie uczestniczących organów ochrony danych oceniło poziom przestrzegania przez administratorów udzielających odpowiedzi w odniesieniu do prawa dostępu od "średniego" do "wysokiego". Jednym z ważnych czynników, które zidentyfikowano jako mające wpływ na ocenę, była liczba wniosków o dostęp otrzymanych przez administratorów, a także wielkość organizacji. Mówiąc dokładniej, administratorzy dużych rozmiarów lub administratorzy otrzymujący więcej wniosków osiągali wyższy poziom zgodności niż małe organizacje z mniejszymi zasobami.
Pozytywne wyniki zaobserwowano w całej Europie. Obejmują one wdrażanie najlepszych praktyk przez administratorów, takich jak przyjazne dla użytkownika formularze online umożliwiające osobom fizycznym łatwe składanie wniosków o dostęp, a także systemy samoobsługowe umożliwiające osobom fizycznym samodzielne pobieranie ich danych osobowych za pomocą kilku kliknięć i w dowolnym momencie.
Kontekst i dalsze kroki
Skoordynowane działanie w zakresie egzekwowania prawa jest kluczowym działaniem EROD w ramach strategii na lata 2024–2027, mającym na celu usprawnienie egzekwowania przepisów i współpracy między organami ochrony danych.
W ciągu ostatnich trzech lat przeprowadzono dwa poprzednie działania w ramach skoordynowanego egzekwowania prawa.
Wyniki tych działań krajowych są agregowane i analizowane razem w celu uzyskania głębszego wglądu w dany temat i umożliwienia ukierunkowanych działań następczych zarówno na szczeblu krajowym, jak i unijnym.
W 2023 r. EROD opublikowała sprawozdanie ze swojego pierwszego skoordynowanego działania w zakresie Korzystanie z usług w chmurze przez sektor publiczny. W 2024 r. EROD opublikowała również sprawozdanie z wyników drugiego skoordynowanego działania w zakresie Wyznaczenie i stanowisko inspektorów ochrony danych.
Skoordynowane działanie w zakresie egzekwowania prawa w 2025 r. będzie dotyczyło prawa do usunięcia danych.