Czym jest Europejska Rada Ochrony Danych Osobowych i jakie ma zadania?

25 maja 2018 to data rozpoczęcia nowego etapu prawnej ochrony danych osobowych. W porządku prawnym Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, najbardziej rozpoznawalne jako RODO, zastąpiło dyrektywę 95/46/WE z 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wraz z reformą przepisów powstał nowy unijny organ doradczy do spraw zgodnego z prawem przetwarzania danych osobowych – Europejska Rada Ochrony Danych Osobowych.

Czym jest Europejska Rada Ochrony Danych Osobowych i jakie ma zadania?

Rafał Stępniewski

31 sierpnia 2018

25 maja 2018 to data rozpoczęcia nowego etapu prawnej ochrony danych osobowych. W porządku prawnym Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, najbardziej rozpoznawalne jako RODO, zastąpiło dyrektywę 95/46/WE z 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wraz z reformą przepisów powstał nowy unijny organ doradczy do spraw zgodnego z prawem przetwarzania danych osobowych – Europejska Rada Ochrony Danych Osobowych.

Dotychczas prężnie działającym organem, który wydał szereg cennych wytycznych i zaleceń ułatwiających wdrażanie efektywnego systemu ochrony danych osobowych była Grupa Robocza Artykułu 29. Już sama nazwa organu bezpośrednio nawiązywała do podstawy prawnej jej powołania, czyli art. 29 wyżej wskazanej dyrektywy 95/46/WE. Grupę roboczą zastąpiła obecnie nowa struktura – Europejska Rada Ochrony Danych Osobowych (dalej także jako EROD, Rada).

Status Europejskiej Rady Ochrony Danych

Europejska Rada Ochrony Danych została ustanowiona na mocy art. 68 RODO. Organ posiada osobowość prawną i jest reprezentowany przez przewodniczącego. W skład Rady wchodzą: przewodniczący organu nadzorczego w zakresie ochrony danych osobowych z każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W posiedzeniach EROD może brać udział również przedstawiciel Komisji Europejskiej, jednak bez prawa głosu.

Przedstawicielem Rzeczypospolitej Polskiej w EROD jest Prezes Urzędu Ochrony Danych Osobowych, którego funkcję pełni obecnie Edyta Bielak-Jomaa.

Artykuł 69 RODO nadaje Europejskiej Radzie Ochrony Danych pełną niezależność. Przepis wskazuje, że wypełniając swoje zadania, Rada nie musi prosić nikogo o instrukcje, ani uwzględniać niczyich wytycznych.

Kompetencje Europejskiej Rady Ochrony Danych

Zgodnie z artykułem 70 RODO celem działalności Rady jest nade wszystko dbanie o jednolite stosowanie ogólnego rozporządzenia o ochronie danych osobowych we wszystkich państwach członkowskich Unii Europejskiej oraz efektywnie współdziałanie organów nadzorczych w dziedzinie ochrony danych. Przepis nadaje Radzie możliwość inicjatywy, a także w określonych sytuacjach dopuszcza jej działanie w odpowiedzi na wniosek Komisji Europejskiej.

Art. 63 RODO stanowi o mechanizmie spójności, który wyraża się m.in. w opiniodawczej roli EROD, w jej działalności w zakresie rozstrzygania sporów oraz wymianie informacji między EROD a organami nadzorczymi państw członkowskich. Efektem tych działań ma być stosowanie przepisów RODO w całej Unii Europejskiej – na podstawie tych samych, jednorodnych interpretacji.

Katalog kompetencji EROD pozostaje otwarty, jednak w RODO wskazany został obszerny wykaz przykładowych zadań Rady, które generalnie dzielą się w głównej mierze na monitorowanie, opiniowanie, doradzanie oraz opracowywanie wytycznych.

Europejska Rada Ochrony Danych została powołana przede wszystkim, aby monitorować i zapewniać właściwe stosowanie RODO. Jej działania odbywają się bez uszczerbku względem działań organów nadzorczych w zakresie ochrony danych osobowych powołanych w państwach członkowskich UE. Jednocześnie EROD ma na celu upowszechnianie wiedzy i dokumentów na temat ustawodawstwa i praktyki w dziedzinie ochrony danych w Europie i na świecie.

EROD doradza Komisji Europejskiej w sprawach:

  • związanych z ochroną danych osobowych w Unii, w tym w zakresie nowelizacji RODO,
  • wymogów dotyczących wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dla potrzeb wiążących reguł korporacyjnych, a więc przekazywania danych poza obszar Europejskiego Obszaru Gospodarczego.

Jedną z najważniejszych kompetencji Rady jest wydawanie wytycznych. Zgodnie z wykazem z art. 70 RODO, wytyczne EROD mogą dotyczyć:

  • usuwania z ogólnodostępnych usług łączności łącz do danych osobowych, kopi tych danych lub ich replikacji – obejmuje to sytuacje, gdy osoba zażąda usunięcia danych na podstawie art. 17 ust. 1, a administrator upublicznił jej dane w internecie,
  • spójnego stosowania RODO – w tym zakresie EROD wytyczne wydaje z inicjatywy własnej, na wniosek jednego ze swoich członków lub Komisji Europejskiej, mogą one obejmować w szczególności wytyczne w zakresie:
    • decyzji opartych na profilowaniu – na przykład przez instytucje bankowe, czy firmy ubezpieczeniowe,
    • stwierdzania naruszenia ochrony danych osobowych i obowiązku notyfikacji naruszeń,
    • wskazywania okoliczności, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – na przykład przetwarzanie danych biometrycznych,
    • wiążących regułach korporacyjnych,
    • przekazywania danych osobowych poza Europejski Obszar Gospodarczy,
    • wykonywania kompetencji i nakładania kar pieniężnych przez organy nadzorcze,
    • postępowania w przypadkach zgłaszania przez osoby fizyczne naruszeń RODO.

Kolejnym obszarem działalności Europejskiej Rady Ochrony Danych Osobowych jest zachęcanie do sporządzania kodeksów postępowania i ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie. Zatwierdza ona również kryteria certyfikacji i prowadzi rejestr mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych.

EROD pełni rolę opiniodawczą – przede wszystkim względem Komisji. Opiniuje m.in.:

  • wymogi certyfikacyjne,
  • graficzne znaki jakości,
  • stopień ochrony w państwie trzecim lub organizacji międzynarodowej,
  • projekty decyzji organów nadzorczych – w ramach realizacji mechanizmu spójności,
  • kodeksy postępowań – opracowywane na poziomie unijnym.

Zadaniem Europejskiej Rady Ochrony Danych jest także prowadzenie publicznie dostępnego elektronicznego rejestru decyzji podjętych przez organy nadzorcze i wyroków sądowych w sprawach rozpatrywanych w ramach mechanizmu spójności stosowania RODO.

Działalność EROD

Rada została na mocy art. 71 ust. 1 RODO zobowiązana do przygotowywania sprawozdania rocznego dotyczącego ochrony danych osobowych w Unii. Jeżeli ma to zastosowanie sprawozdanie może obejmować również ochronę danych osobowych w państwach trzecich i organizacjach międzynarodowych. EROD przekazuje sprawozdanie Parlamentowi Europejskiemu, Radzie UE i Komisji, a także podaje treść komunikatu do publicznej wiadomości.

Europejska Rada Ochrony Danych obraduje pod kierownictwem przewodniczącego. Organ działa w ramach przyjętego regulaminu. Co do zasady członkowie Rady głosują zwykłą większością głosów.

Pod kierownictwem przewodniczącego Rady znajduje się również sekretariat, zapewniający Radzie wsparcie analityczne, administracyjne i logistyczne.

Jakie znaczenie ma działanie rady dla „przeciętnego obywatela” lub statystycznego, niewielkiego administratora?

Zdawać by się mogło, że działanie Europejskiej Rady Ochrony Danych odbywa się na tak wysokim poziomie, że niewiele ma wspólnego z działaniem statystycznego niewielkiego przedsiębiorcy – administratora danych. Faktycznie w założeniu EROD ma opiniować różne elementy działalności organów nadzorczych państw członkowskich – jak zatwierdzanie wymogów w zakresie certyfikacji czy wiążących reguł korporacyjnych, a także dawać pole do wspólnych konsultacji organów nadzorczych.

Działalność EROD może posiadać jednak duży wpływ na stosowanie RODO przez administratorów w państwach członkowskich UE, głównie dlatego, że od Rady będą wychodziły wszelkie tzw. najlepsze praktyki i interpretacje w zakresie stosowanie RODO w praktyce.

Warto śledzić stronę EROD, a przede wszystkim PUODO. Na stronie krajowego organu nadzorczego bowiem często pojawiają się tłumaczenia wytycznych – jeszcze przed publikacją oficjalnych tłumaczeń unijnych (1). W możliwym zakresie nie tracą również mocy wytyczne przyjęte przez Grupę Roboczą Artykułu 29, która odniosła się już do wielu kwestii związanych ze stosowaniem RODO (2).

Podsumowanie

Należy bardzo pozytywnie ocenić, że prawodawca europejskie przewidział powołanie unijnego organu doradczego w zakresie ochrony danych osobowych, który będzie niejako kontynuatorem Grupy Roboczej Artykułu 29. Lata funkcjonowania Grupy Roboczej pokazały, jak ważne mogą być ustalane wspólnie na poziomie międzynarodowym, wytyczne w zakresie bezpiecznego przetwarzania danych osobowych.

Wielką zaletą posiedzeń Europejskiej Rady Ochrony Danych będzie możliwość dzielenia się doświadczeniami związanymi z wdrożeniem zreformowanego systemu ochrony praw osób w związku z przetwarzaniem ich danych oraz reagowania – na najwyższym poziomie – na pojawiające się w tym względzie wątpliwości.

(1) https://edpb.europa.eu/edpb_pl

(2) https://uodo.gov.pl/pl/p/przyjete

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!