15. Spotkanie Grupy Państw Europy Środkowej i Wschodniej
W dniach 10-12 kwietnia 2013 r. w Belgradzie Generalny Inspektor Ochrony Danych Osobowych wziął udział w 15 Spotkaniu Organów Ochrony Danych Osobowych Państw Europy Środkowej i Wschodniej (CEEDPA). Gospodarzem tegorocznego wydarzenia był organ ochrony danych Serbii. Wśród uczestników spotkania znaleźli się przedstawiciele 14 organów ochrony danych z następujących krajów: Albanii, Bośni i Hercegowiny, Bułgarii, Węgier, Republiki Macedonii, Polski, Rosji, Słowacji, Słowenii, Serbii, Ukrainy, Chorwacji, Czarnogóry i Republiki Czeskiej.
Podczas spotkania skupiono się na trzech grupach tematów, na które wypowiedzieli się przedstawiciele organów ochrony danych, przedstawiając swoje krajowe doświadczenia. Były to następujące kwestie: bezpieczeństwo danych, przetwarzanie danych osobowych w kontekście zatrudnienia oraz niezależność organów ochrony danych i wyzwania, z jakimi mają do czynienia.
Dr Wojciech R. Wiewiórowski wygłosił wystąpienie pt. „Ocena wpływu na ochronę prywatności w usługach cloud computingu w e-Administracji”.
W czasie pierwszej sesji poświęconej bezpieczeństwu danych zajęto się dwoma tematami. Pierwszy dotyczył nowych tendencji w przetwarzaniu danych osobowych w sektorze publicznym, w szczególności w sferze przetwarzania elektronicznego oraz oceny wpływu na ochronę prywatności. W ramach drugiego tematu zaś przedstawiono przykłady naruszeń ochrony danych w praktyce ochrony danych osobowych w różnych krajach. Jeżeli chodzi o pierwszą kwestię, w dyskusji przeważało podejście, że rozpowszechnienie elektronicznych środków przetwarzania, szczególnie w sektorze publicznym, musi uwzględniać wskazane kwestie bezpieczeństwa, w sposób ściśle restrykcyjny, biorąc pod uwagę istotne dokumenty UE w tym obszarze. Jeżeli chodzi o przedstawione przykłady naruszeń ochrony danych osobowych, przedstawiciele wszystkich państw Europy Środkowej i Wschodniej doszli do podobnych wniosków, głównie ze względu na fakt, że nie wdrożono odpowiednich zabezpieczeń. Niewdrożenie właściwych środków bezpieczeństwa wynika co do zasady z nieodpowiednich środków organizacyjnych i zasobów ludzkich (tzw. czynnik ludzki) oraz z nie wprowadzenia standardów bezpieczeństwa przez administratorów danych.
Podczas drugiej sesji dotyczącej przetwarzania danych w kontekście zatrudnienia uczestnicy omówili różnorodne metody kontroli pracowników, wpływ wykorzystywania technologii informacyjno-komunikacyjnych na prawa osób, których dane dotyczą, a szczególnie aspekt ochrony prawnie uzasadnionego interesu pracodawcy oraz ochrony prawa do poszanowania godności pracownika. Uczestnicy omówili kwestie przeprowadzania testów wśród kandydatów do pracy w ramach procedur związanych z zatrudnieniem i rekrutacją oraz wyciągnęli wniosek, że jedyny dopuszczalny wyjątek może mieć zastosowanie w przypadku, gdy uprzednie testy osobowości czy też zdolności są niezbędne, a potrzebę ich przeprowadzenia można oszacować w zależności od obszaru zatrudnienia i zagrożeń. Uczestnicy zgodzili się, że pojęcie „zgody” na przetwarzanie danych osobowych w kontekście zatrudnienia jest niedopuszczalne w taki sposób, jak w innych obszarach, gdzie jest jasne, że zgoda jest udzielona dobrowolnie.
Trzecia sesja poświęcona była niezależności organów ochrony danych i wyzwaniom, z jakimi mają do czynienia. Podczas dyskusji nad pierwszą kwestią, czyli niezależnością organów, uczestnicy doszli do wniosku, że istnieją różne rozwiązania, które mają zapewnić niezależność z punktu wykonawczego, jak i legislacyjnego, a w niektórych sytuacjach podjęto inicjatywy na rzecz oddzielenia niezależnych organów od władzy wykonawczej rządu. Dyskusja na temat wyzwań, przed jakimi stają niezależne organy, skoncentrowana była na kwestiach transgranicznego przekazywania danych, wideo nadzoru obszarów publicznych oraz wypowiedzi szerzących nienawiść, zwłaszcza w mediach. Uczestnicy dyskusji zauważyli, że niezależność organów ochrony danych osobowych nie jest i nie może być nieograniczona, co oznacza, że organy te nie mogą znajdować się poza zasięgiem prawa i być zwolnione z kontroli. Wręcz przeciwnie: ich niezależność oznacza, że powinny być oddzielone organizacyjnie i funkcjonalnie od administracji publicznej i innych organów publicznych, których działania muszą kontrolować.
W czasie spotkania ustalono, że kolejne 16 Spotkanie CEEDPA odbędzie się w 2014 r. w Skopje, w Republice Macedonii. Ponadto przedstawiciele organów ochrony danych Węgier oraz Bośni i Hercegowiny wyraziły chęć zorganizowania 17 Spotkania CEEDPA w 2015 r., ale decyzja w tej sprawie zostanie podjęta na następnym spotkaniu w Republice Macedonii.
Ustalono także, że Federacja Rosyjska, posiadająca status obserwatora w Grupie Organów Ochrony Danych Osobowych Państw Europy Środkowej i Wschodniej, uzyskała pełne członkostwo.
Grupa Państw Europy Środkowej i Wschodniej powołana została z inicjatywy Generalnego Inspektora Ochrony Danych Osobowych w 2001 roku. Polski organ ochrony danych pełni funkcję sekretariatu CEEDPA.