67. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 12.07.2022 r.
Podczas 67. posiedzenia plenarnego EROD przyjęła procedurę i kryteria oceny spraw transgranicznych o „strategicznym znaczeniu”, jak również wybrała pierwsze sprawy pilotażowe dla tego projektu. Przyjęto także wspólna opinię EROD i EIOD w sprawie Europejskiej Przestrzeni Danych Dotyczących Zdrowia.
W związku ze zobowiązaniami EROD zawartymi w wiedeńskiej deklaracji w sprawie współpracy w zakresie egzekwowania prawa, Rada przyjęła zestaw kryteriów służących do oceny, czy sprawę transgraniczną można zakwalifikować jako sprawę o „strategicznym znaczeniu” dla ściślejszej współpracy. Rada przyjęła również procedurę szczegółowo określającą kroki, jakie należy podjąć po zidentyfikowaniu sprawy strategicznej. Ponadto EROD wybrała pierwsze sprawy pilotażowe do przetestowania tego projektu.
Sprawy o znaczeniu strategicznym to przede wszystkim sprawy objęte mechanizmem kompleksowej współpracy, które mogą wiązać się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą, w kilku państwach członkowskich EOG. W celu zidentyfikowania sprawy o znaczeniu strategicznym należy wziąć pod uwagę jedno lub więcej z następujących kryteriów:
- problem strukturalny lub powtarzający się w kilku państwach członkowskich, w szczególności gdy sprawa dotyczy ogólnej kwestii prawnej w odniesieniu do wykładni, stosowania lub egzekwowania RODO;
- sprawa będąca na styku ochrony danych i innych dziedzin prawnych;
- oraz sprawa, która dotyczy dużej liczby osób, których dane dotyczą, w kilku państwach członkowskich;
- sprawa dotycząca dużej liczby skarg w kilku państwach członkowskich;
- sprawa dotycząca zasadniczej kwestii wchodzącej w zakres strategii EROD;
- sprawa, w której RODO sugeruje, że można założyć wysokie ryzyko, takie jak:
- przetwarzanie szczególnych kategorii danych;
- przetwarzanie danych dotyczących osób wymagających szczególnej opieki, takich jak osoby niepełnoletnie;
- sytuacje, w których wymagana jest ocena skutków dla ochrony danych.
W ramach EROD organy nadzorcze mogą zaproponować innym organom każdą sprawę, która spełnia co najmniej jedno z powyższych kryteriów. Następnie członkowie Rady zadecydują, która z proponowanych spraw zostanie uznana za sprawę o strategicznym znaczeniu na szczeblu europejskim.
Po zidentyfikowaniu sprawy o strategicznym znaczeniu będzie ona potraktowana priorytetowo i wspierana przez EROD. Uczestnictwo w tym projekcie jest dobrowolne, a wszystkie organy nadzorcze mogą składać swoje propozycje spraw. W szczególności organy nadzorcze będą wymieniać informacje i ściśle współpracować na wczesnym etapie prowadzenia postępowań. Rozpatrywanie spraw o znaczeniu strategicznym będzie się odbywać zgodnie z procedurami współpracy i spójności, określonymi w rozdziale VII RODO. W celu rozpoczęcia projektu, EROD zatwierdziła trzy sprawy pilotażowe.
Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli także wspólną opinię w sprawie Wniosku Komisji Europejskiej w sprawie Europejskiej Przestrzeni Danych Dotyczących Zdrowia. Celem wniosku jest ułatwienie utworzenia Europejskiej Unii Zdrowotnej oraz umożliwienie UE pełnego wykorzystania potencjału, jaki oferuje bezpieczna wymiana, wykorzystywanie i ponowne wykorzystywanie danych dotyczących zdrowia.
Chociaż EROD i EIOD uznają wysiłki Komisji na rzecz dostosowania wniosku do przepisów RODO, zauważają, że przedmiotowy wniosek doda jeszcze jeden poziom do już złożonego zbioru przepisów dotyczących przetwarzania danych dotyczących zdrowia. Dlatego podkreślają potrzebę wyjaśnienia związku między przepisami przedmiotowego wniosku, przepisami RODO i prawa państw członkowskich, również z bieżącymi inicjatywami europejskimi.
Ponadto EROD i EIOD przyznają, że infrastruktura wymiany elektronicznych danych dotyczących zdrowia przewidziana we wniosku ma na celu ułatwienie wymiany danych dotyczących zdrowia. Jednakże, ze względu na dużą ilość elektronicznych danych dotyczących zdrowia, które byłyby przetwarzane, ich wysoce wrażliwy charakter, ryzyko niezgodnego z prawem dostępu oraz konieczność pełnego zapewnienia skutecznego nadzoru ze strony niezależnych organów ochrony danych, EROD i EIOD wzywają Parlament Europejski i Radę do dodania do wniosku wymogu przechowywania elektronicznych danych dotyczących zdrowia w EOG, bez uszczerbku dla dalszego przekazywania danych zgodnie z rozdziałem V RODO.
Jeżeli chodzi o cele wtórnego wykorzystania danych dotyczących zdrowia, EROD i EIOD są zdania, że we wniosku brakuje odpowiedniego określenia celów, dla których elektroniczne dane dotyczące zdrowia mogą być dalej przetwarzane. W celu osiągnięcia równowagi, która odpowiednio uwzględnia cele realizowane we wniosku oraz ochronę danych osobowych osób fizycznych, których dotyczy przetwarzanie, współprawodawcy powinni dodatkowo określić te cele i określić, kiedy istnieje wystarczający związek między zdrowiem publicznym a/lub zabezpieczeniem społecznym.
Ponadto, w odniesieniu do modelu zarządzania wprowadzonego we wniosku, należy starannie dostosować zadania i kompetencje nowych organów publicznych, w szczególności z uwzględnieniem zadań i kompetencji krajowych organów nadzorczych, EROD i EIOD przy przetwarzaniu danych dotyczących zdrowia.
EROD i EIOD podkreślają, że organy ochrony danych są jedynymi właściwymi organami odpowiedzialnymi za kwestie ochrony danych i powinny pozostać jedynym punktem kontaktowym dla osób fizycznych w odniesieniu do tych kwestii. Należy unikać nakładania się kompetencji oraz określić dziedziny i wymogi dotyczące współpracy
Europejska Rada Ochrony Danych (EROD) wydała także oświadczenie w sprawie przekazywania danych osobowych do Federacji Rosyjskiej. EROD przypomina w nim, że przekazanie danych osobowych do państwa trzeciego, w przypadku braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO, jest możliwe tylko wtedy, gdy administrator lub podmiot przetwarzający zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).