95. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 16.07.2024 r.

EROD przyjmuje oświadczenie w sprawie roli organów ochrony danych w kontekście AI Act, FAQ odnoszące się do ram ochrony danych UE-USA i nowego Europejskiego Znaku Jakości Ochrony Danych

Podczas 95. posiedzenia plenarnego, które odbyło się w dniu 16 lipca 2024r.  Europejska Rada Ochrony Danych (EROD) przyjęła oświadczenie w sprawie roli organów ochrony danych w kontekście aktu o sztucznej inteligencji (AI Act).

Jak podkreśliła EROD w przyjętym oświadczeniu, organy ochrony danych mają już doświadczenie i wiedzę specjalistyczną w zakresie wpływu sztucznej inteligencji na prawa podstawowe, w szczególności prawo do ochrony danych osobowych, i dlatego w wielu przypadkach powinny zostać wyznaczone jako organy nadzoru rynku, o których mowa w AI Act. Takie rozwiązanie zapewniłoby lepszą koordynację między różnymi organami regulacyjnymi, zwiększyło pewność prawa dla wszystkich interesariuszy, jak również wzmocniło nadzór i egzekwowanie zarówno aktu sztucznej inteligencji, jak i unijnych przepisów o ochronie danych.

Zgodnie z aktem o sztucznej Inteligencji państwa członkowskie wyznaczą organy nadzoru rynku na poziomie krajowym przed 2 sierpnia 2025 r. w celu nadzorowania stosowania i wdrażania aktu o sztucznej inteligencji.

W swoim oświadczeniu EROD zaleca, aby:

• jak wskazano w akcie o sztucznej inteligencji, organy ochrony danych były wyznaczane jako organy nadzoru rynku dla systemów sztucznej inteligencji wysokiego ryzyka wykorzystywanych do egzekwowania prawa, zarządzania granicami, wymiaru sprawiedliwości i procesów demokratycznych;
• państwa członkowskie rozważyły wyznaczenie organów ochrony danych jako organów nadzoru rynku również dla innych systemów sztucznej inteligencji wysokiego ryzyka, biorąc pod uwagę opinie krajowego organu ochrony danych, w szczególności w przypadku, gdy te systemy sztucznej inteligencji wysokiego ryzyka znajdują się w sektorach, które mogą mieć wpływ na prawa i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych;
• organy ochrony danych, o ile zostały wyznaczone jako organy nadzoru rynku, zostały wyznaczone jako pojedyncze punkty kontaktowe dla opinii publicznej i odpowiedników na szczeblu państw członkowskich UE;
• ustanowione zostały jasne procedury współpracy między organami nadzoru rynku a innymi organami regulacyjnymi, których zadaniem jest nadzór nad systemami sztucznej inteligencji, w tym organami ochrony danych. Ponadto należy ustanowić odpowiednią współpracę między unijnym biurem ds. sztucznej inteligencji a organami ochrony danych/EROD.

Wiceprzewodnicząca EROD Irene Loizidou Nicolaidou powiedziała: „Organy ochrony danych powinny odgrywać znaczącą rolę w egzekwowaniu aktu o sztucznej inteligencji, ponieważ większość systemów sztucznej inteligencji wiąże się z przetwarzaniem danych osobowych. Jestem głęboko przekonana, że organy ochrony danych są odpowiednie do tej roli ze względu na ich pełną niezależność i głębokie zrozumienie zagrożeń związanych ze sztuczną inteligencją dla praw podstawowych, w oparciu o ich dotychczasowe doświadczenie”.

Następnie EROD przyjęła dwa dokumenty z najczęściej zadawanymi pytaniami (FAQ) dotyczące Ram Ochrony Danych UE-USA (DPF), mające na celu dostarczenie większej ilości wyjaśnień na temat funkcjonowania DPF.

Najczęściej zadawane pytania dla osób fizycznych zawierają informacje na temat funkcjonowania DPF: jak z niego korzystać, jak złożyć skargę i jak ta skarga zostanie rozpatrzona.

Podobnie, najczęściej zadawane pytania dla przedsiębiorców wyjaśniają, którzy amerykańscy przedsiębiorcy kwalifikują się do przystąpienia do DPF: co należy zrobić przed przekazaniem danych osobowych do przedsiębiorstwa w USA, które posiada certyfikat DPF, oraz gdzie znaleźć dalsze wskazówki w tym zakresie.

Wreszcie, Europejska Rada Ochrony Danych przyjęła opinię zatwierdzającą Katalog Kryteriów EuroPriSe do celów certyfikacji czynności przetwarzania przez podmioty przetwarzające, co skutkuje przyznaniem Europejskiego Znaku Jakości Ochrony Danych*. Europejskie Znaki Jakości Ochrony Danych służą jako ważne narzędzia przyczyniające się do zapewnienia zgodności z RODO.

We wrześniu 2022 r. Europejska Rada Ochrony Danych przyjęła opinię w sprawie kryteriów certyfikacji EuroPriSe, umożliwiając ich uznanie w Niemczech jako kryteriów certyfikacji operacji przetwarzania przez podmioty przetwarzające. W następstwie aktualizacji systemu niniejsza nowa opinia zatwierdza kryteria jako mające zastosowanie w całej UE/EOG oraz jako Europejski Znak Ochrony Jakości Danych.

Certyfikacja RODO przyczynia się do wykazania zgodności z przepisami oraz do zwiększenia przejrzystości i zaufania. Pozwala na lepszą ocenę stopnia ochrony oferowanego przez produkty, usługi, procesy lub systemy wykorzystywane przez organizacje przetwarzające dane osobowe.

*Europejski Znak Ochrony Jakości Ochrony Danych EuroPrise zostanie dodany do rejestru mechanizmów certyfikacji i znaków jakości ochrony danych zgodnie z art. 42ust. 8 RODO.

Agenda z 95. posiedzenia plenarnego znajduje się pod tym linkiem:

https://www.edpb.europa.eu/our-work-tools/agenda/2024/edpb-plenary-meeting-16-july_pl