CEF 2024: EROD identyfikuje wyzwania związane z pełnym wdrożeniem prawa dostępu

Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie dotyczące wdrażania prawa dostępu przez administratorów. W sprawozdaniu podsumowano wyniki szeregu skoordynowanych działań krajowych przeprowadzonych w 2024 r. w ramach skoordynowanego egzekwowania prawa. Zawiera on listę kwestii, które zaobserwowano u niektórych administratorów, wraz z szeregiem zaleceń, które mają im pomóc we wdrożeniu prawa dostępu. Centralnym elementem jest wiedza administratorów na temat wytycznych EROD 01/2022 w sprawie praw osób, których dane dotyczą – prawo dostępu  oraz tego, czy wytyczne te były przestrzegane w praktyce.

Wiceprzewodniczący EROD Zdravko Vukíc powiedział: Ramy skoordynowanego egzekwowania prawa są cenną inicjatywą, która pomaga zacieśnić współpracę między organami ochrony danych: zajmując się wybranymi kwestiami w skoordynowany sposób, dzięki czemu osiągają one większą skuteczność i większą spójność. Sposób, w jaki administratorzy wdrażają prawo dostępu, leży u podstaw ochrony danych i jest to jedno z najczęściej egzekwowanych praw osób, których dane dotyczą".

W 2024 r. 30 organów ochrony danych w całej Europie wszczęło skoordynowane postępowania w sprawie przestrzegania przez administratorów prawa dostępu, wszczynając formalne postępowania, oceniając, czy formalne postępowanie wyjaśniające było uzasadnione, lub przeprowadzając działania mające na celu ustalenie faktów.  Na akcję odpowiedziało łącznie 1 185 administratorów, w tym małe i średnie przedsiębiorstwa (MŚP) oraz duże przedsiębiorstwa działające w różnych branżach i dziedzinach, a także różnego rodzaju podmioty publiczne.

Obszary wymagające poprawy i główne wyzwania

Wyniki sugerują, że konieczne jest zwiększanie świadomości na temat wytycznych 01/2022, zarówno na szczeblu krajowym, jak i unijnym, ponieważ wytyczne pomagają administratorom wdrażać prawo dostępu, wyjaśniają, w jaki sposób można ułatwić korzystanie z tego prawa, oraz wymieniają wyjątki i ograniczenia prawa dostępu.

W wyniku skoordynowanego działania w zakresie egzekwowania prawa w 2024r. zidentyfikowano siedem wyzwań. Jednym z nich jest brak udokumentowanych wewnętrznych procedur obsługi wniosków o dostęp. Ponadto zaobserwowano również niespójne i nadmierne interpretacje ograniczeń prawa dostępu, takie jak nadmierne poleganie na pewnych wyjątkach w celu automatycznego odrzucenia wniosków o dostęp. Innym przykładem są bariery, które mogą napotkać osoby fizyczne korzystające z prawa dostępu, takie jak wymogi formalne lub żądanie przedstawienia nadmiernej ilości dokumentów tożsamości. W odniesieniu do każdego zidentyfikowanego wyzwania w sprawozdaniu zawarto wykaz niewiążących zaleceń, które powinny zostać uwzględnione przez administratorów i organy ochrony danych.

Pozytywne wyniki

Pomimo istniejących wyzwań dwie trzecie uczestniczących organów ochrony danych oceniło poziom przestrzegania przez administratorów udzielających odpowiedzi w odniesieniu do prawa dostępu od "średniego" do "wysokiego". Jednym z ważnych czynników, które zidentyfikowano jako mające wpływ na ocenę, była liczba wniosków o dostęp otrzymanych przez administratorów, a także wielkość organizacji. Mówiąc dokładniej, administratorzy dużych rozmiarów lub administratorzy otrzymujący więcej wniosków osiągali wyższy poziom zgodności niż małe organizacje z mniejszymi zasobami.

Pozytywne wyniki zaobserwowano w całej Europie. Obejmują one wdrażanie najlepszych praktyk przez administratorów, takich jak przyjazne dla użytkownika formularze online umożliwiające osobom fizycznym łatwe składanie wniosków o dostęp, a także systemy samoobsługowe umożliwiające osobom fizycznym samodzielne pobieranie ich danych osobowych za pomocą kilku kliknięć i w dowolnym momencie.

Kontekst i dalsze kroki

Skoordynowane działanie w zakresie egzekwowania prawa jest kluczowym działaniem EROD w ramach strategii na lata 2024–2027, mającym na celu usprawnienie egzekwowania przepisów i współpracy między organami ochrony danych.

W ciągu ostatnich trzech lat przeprowadzono dwa poprzednie działania w ramach skoordynowanego egzekwowania prawa.

Wyniki tych działań krajowych są agregowane i analizowane razem w celu uzyskania głębszego wglądu w dany temat i umożliwienia ukierunkowanych działań następczych zarówno na szczeblu krajowym, jak i unijnym.

W 2023 r. EROD opublikowała sprawozdanie ze swojego pierwszego skoordynowanego działania w zakresie Korzystanie z usług w chmurze przez sektor publiczny. W 2024 r. EROD opublikowała również sprawozdanie z wyników drugiego skoordynowanego działania w zakresie Wyznaczenie i stanowisko inspektorów ochrony danych.

Skoordynowane działanie w zakresie egzekwowania prawa w 2025 r. będzie dotyczyło  prawa do usunięcia danych.