64. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 04.05.2022 r.
Europejski Inspektor Ochrony Danych (EIOD) i Europejska Rada Ochrony Danych (EROD) opublikowały wspólną opinię dotyczącą proponowanego aktu w sprawie danych.
EIOD i EROD z zadowoleniem przyjmują wysiłki podjęte w celu zapewnienia, aby akt w sprawie danych nie oddziaływał na obecne ramy ochrony danych. Jednocześnie, ponieważ akt w sprawie danych miałby również zastosowanie do wysoce wrażliwych danych osobowych, EIOD i EROD wzywają współprawodawców do zapewnienia należytej ochrony praw osób, których dane dotyczą. Dostęp, wykorzystywanie i udostępnianie danych osobowych przez podmioty inne niż osoby, których dane dotyczą, powinny odbywać się w pełnej zgodności ze wszystkimi zasadami i przepisami dotyczącymi ochrony danych. Ponadto produkty powinny być zaprojektowane w taki sposób, aby osoby, których dane dotyczą, miały możliwość korzystania z urządzeń anonimowo lub w sposób jak najmniej inwazyjny w zakresie prywatności.
Akt w sprawie danych ma na celu ustanowienie zharmonizowanych przepisów dotyczących dostępu i wykorzystywania danych generowanych z szerokiej gamy produktów i usług, w tym przedmiotów podłączonych do Internetu („Internet rzeczy”), wyrobów medycznych lub zdrowotnych oraz wirtualnych asystentów. Akt w sprawie danych ma również na celu zwiększenie prawa osób, których dane dotyczą, do przenoszenia danych na podstawie art. 20 ogólnego rozporządzenia o ochronie danych.
Wojciech Wiewiórowski, EIOD, powiedział: „Dane muszą być przetwarzane zgodnie z europejskimi wartościami, jeśli chcemy kształtować bezpieczniejszą cyfrową przyszłość. W miarę jak dążymy do stworzenia nowych możliwości wykorzystania danych, musimy zapewnić, aby istniejące ramy ochrony danych pozostały w pełni nienaruszone. Dostęp organów publicznych do danych powinien być zawsze odpowiednio określony i ograniczony do tego, co jest bezwzględnie niezbędne i proporcjonalne, co nie ma miejsca w projekcie aktu w sprawie danych”.
EIOD i EROD zalecają współprawodawcom wprowadzenie restrykcji lub ograniczeń dotyczących wykorzystywania danych generowanych w wyniku korzystania z produktu lub usługi przez jakikolwiek podmiot inny niż osoby, których dane dotyczą, w szczególności gdy dane te mogą pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego osób, których dane dotyczą, lub w inny sposób wiązałyby się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. EIOD i EROD zalecają wprowadzenie wyraźnych ograniczeń dotyczących wykorzystywania odpowiednich danych do celów marketingu bezpośredniego lub reklamy; monitoringu pracowników; obliczania, modyfikowania składek ubezpieczeniowych; punktowej oceny kredytowej. Należy również zapewnić ograniczenia w wykorzystywaniu danych w celu ochrony osób, których dane dotyczą szczególnie podatnych na zagrożenia, w szczególności małoletnich.
EIOD i EROD wyrażają głębokie obawy co do zgodności z prawem, niezbędności i proporcjonalności obowiązku udostępniania danych organom sektora publicznego państw członkowskich UE oraz instytucjom, organom i jednostkom organizacyjnym UE w przypadku wystąpienia „wyjątkowej potrzeby”. We wspólnej opinii EIOD i EROD podkreślają, że wszelkie ograniczenia prawa do ochrony danych osobowych wymagają odpowiednio dostępnej i przewidywalnej podstawy prawnej. Podstawa prawna musi również określać zakres i sposób wykonywania uprawnień przez właściwe organy oraz muszą towarzyszyć jej zabezpieczenia chroniące osoby, których dane dotyczą, przed arbitralną ingerencją. EIOD i EROD wzywają współprawodawców do bardziej rygorystycznego zdefiniowania hipotez dotyczących sytuacji nadzwyczajnej lub „wyjątkowej potrzeby” oraz tego, które organy sektora publicznego i instytucje UE powinny mieć możliwość zażądania danych.
Jeżeli chodzi o egzekwowanie przepisów, EIOD i EROD z zadowoleniem przyjmują wyznaczenie organów nadzorczych ds. ochrony danych jako właściwych organów odpowiedzialnych za monitorowanie stosowania aktu w sprawie danych w zakresie ochrony danych osobowych. EIOD i EROD zwracają się do współprawodawców o wyznaczenie krajowych organów ochrony danych jako właściwych organów koordynujących na mocy aktu w sprawie danych.
Andrea Jelinek, przewodnicząca EROD, powiedziała: „Kluczowe znaczenie ma solidne włączenie RODO do ogólnej architektury regulacyjnej opracowywanej na potrzeby rynku cyfrowego. Nie tylko w odniesieniu do tego wniosku, ale także w odniesieniu do innych wniosków ustawodawczych, takich jak akt w sprawie zarządzania danymi lub akt o rynkach cyfrowych. Należy zapewnić wyraźny podział kompetencji między odpowiednimi organami regulacyjnymi, a także skuteczną współpracę w celu uniknięcia ryzyka fragmentacji nadzoru, ustanowienia równoległego zbioru przepisów oraz zapewnienia pewności prawa organizacjom i osobom, których dane dotyczą”.
Na stronie internetowej EROD opublikowano oświadczenie prasowe, dotyczące przyjętej opinii: https://edpb.europa.eu/news/news/2022/eus-data-act-data-protection-must-prevail-empower-data-subjects_en
Tłumaczenie oświadczenia w języku polskim dostępne jest w załączniku poniżej.
Porządek obrad 64. posiedzenia plenarnego EROD znajduje się pod adresem: https://edpb.europa.eu/system/files/2022-05/20220504plen1.2agenda_public.pdf