Czym jest Europejska Rada Ochrony Danych Osobowych i jakie ma zadania?
25 maja 2018 to data rozpoczęcia nowego etapu prawnej ochrony danych osobowych. W porządku prawnym Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, najbardziej rozpoznawalne jako RODO, zastąpiło dyrektywę 95/46/WE z 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wraz z reformą przepisów powstał nowy unijny organ doradczy do spraw zgodnego z prawem przetwarzania danych osobowych – Europejska Rada Ochrony Danych Osobowych.
- Rafał Stępniewski
- /
- 31 sierpnia 2018
25 maja 2018 to data rozpoczęcia nowego etapu prawnej ochrony danych osobowych. W porządku prawnym Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, najbardziej rozpoznawalne jako RODO, zastąpiło dyrektywę 95/46/WE z 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wraz z reformą przepisów powstał nowy unijny organ doradczy do spraw zgodnego z prawem przetwarzania danych osobowych – Europejska Rada Ochrony Danych Osobowych.
Dotychczas prężnie działającym organem, który wydał szereg cennych wytycznych i zaleceń ułatwiających wdrażanie efektywnego systemu ochrony danych osobowych była Grupa Robocza Artykułu 29. Już sama nazwa organu bezpośrednio nawiązywała do podstawy prawnej jej powołania, czyli art. 29 wyżej wskazanej dyrektywy 95/46/WE. Grupę roboczą zastąpiła obecnie nowa struktura – Europejska Rada Ochrony Danych Osobowych (dalej także jako EROD, Rada).
Status Europejskiej Rady Ochrony Danych
Europejska Rada Ochrony Danych została ustanowiona na mocy art. 68 RODO. Organ posiada osobowość prawną i jest reprezentowany przez przewodniczącego. W skład Rady wchodzą: przewodniczący organu nadzorczego w zakresie ochrony danych osobowych z każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W posiedzeniach EROD może brać udział również przedstawiciel Komisji Europejskiej, jednak bez prawa głosu.
Przedstawicielem Rzeczypospolitej Polskiej w EROD jest Prezes Urzędu Ochrony Danych Osobowych, którego funkcję pełni obecnie Edyta Bielak-Jomaa.
Artykuł 69 RODO nadaje Europejskiej Radzie Ochrony Danych pełną niezależność. Przepis wskazuje, że wypełniając swoje zadania, Rada nie musi prosić nikogo o instrukcje, ani uwzględniać niczyich wytycznych.
Kompetencje Europejskiej Rady Ochrony Danych
Zgodnie z artykułem 70 RODO celem działalności Rady jest nade wszystko dbanie o jednolite stosowanie ogólnego rozporządzenia o ochronie danych osobowych we wszystkich państwach członkowskich Unii Europejskiej oraz efektywnie współdziałanie organów nadzorczych w dziedzinie ochrony danych. Przepis nadaje Radzie możliwość inicjatywy, a także w określonych sytuacjach dopuszcza jej działanie w odpowiedzi na wniosek Komisji Europejskiej.
Art. 63 RODO stanowi o mechanizmie spójności, który wyraża się m.in. w opiniodawczej roli EROD, w jej działalności w zakresie rozstrzygania sporów oraz wymianie informacji między EROD a organami nadzorczymi państw członkowskich. Efektem tych działań ma być stosowanie przepisów RODO w całej Unii Europejskiej – na podstawie tych samych, jednorodnych interpretacji.
Katalog kompetencji EROD pozostaje otwarty, jednak w RODO wskazany został obszerny wykaz przykładowych zadań Rady, które generalnie dzielą się w głównej mierze na monitorowanie, opiniowanie, doradzanie oraz opracowywanie wytycznych.
Europejska Rada Ochrony Danych została powołana przede wszystkim, aby monitorować i zapewniać właściwe stosowanie RODO. Jej działania odbywają się bez uszczerbku względem działań organów nadzorczych w zakresie ochrony danych osobowych powołanych w państwach członkowskich UE. Jednocześnie EROD ma na celu upowszechnianie wiedzy i dokumentów na temat ustawodawstwa i praktyki w dziedzinie ochrony danych w Europie i na świecie.
EROD doradza Komisji Europejskiej w sprawach:
- związanych z ochroną danych osobowych w Unii, w tym w zakresie nowelizacji RODO,
- wymogów dotyczących wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dla potrzeb wiążących reguł korporacyjnych, a więc przekazywania danych poza obszar Europejskiego Obszaru Gospodarczego.
Jedną z najważniejszych kompetencji Rady jest wydawanie wytycznych. Zgodnie z wykazem z art. 70 RODO, wytyczne EROD mogą dotyczyć:
- usuwania z ogólnodostępnych usług łączności łącz do danych osobowych, kopi tych danych lub ich replikacji – obejmuje to sytuacje, gdy osoba zażąda usunięcia danych na podstawie art. 17 ust. 1, a administrator upublicznił jej dane w internecie,
- spójnego stosowania RODO – w tym zakresie EROD wytyczne wydaje z inicjatywy własnej, na wniosek jednego ze swoich członków lub Komisji Europejskiej, mogą one obejmować w szczególności wytyczne w zakresie:
- decyzji opartych na profilowaniu – na przykład przez instytucje bankowe, czy firmy ubezpieczeniowe,
- stwierdzania naruszenia ochrony danych osobowych i obowiązku notyfikacji naruszeń,
- wskazywania okoliczności, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – na przykład przetwarzanie danych biometrycznych,
- wiążących regułach korporacyjnych,
- przekazywania danych osobowych poza Europejski Obszar Gospodarczy,
- wykonywania kompetencji i nakładania kar pieniężnych przez organy nadzorcze,
- postępowania w przypadkach zgłaszania przez osoby fizyczne naruszeń RODO.
Kolejnym obszarem działalności Europejskiej Rady Ochrony Danych Osobowych jest zachęcanie do sporządzania kodeksów postępowania i ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie. Zatwierdza ona również kryteria certyfikacji i prowadzi rejestr mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych.
EROD pełni rolę opiniodawczą – przede wszystkim względem Komisji. Opiniuje m.in.:
- wymogi certyfikacyjne,
- graficzne znaki jakości,
- stopień ochrony w państwie trzecim lub organizacji międzynarodowej,
- projekty decyzji organów nadzorczych – w ramach realizacji mechanizmu spójności,
- kodeksy postępowań – opracowywane na poziomie unijnym.
Zadaniem Europejskiej Rady Ochrony Danych jest także prowadzenie publicznie dostępnego elektronicznego rejestru decyzji podjętych przez organy nadzorcze i wyroków sądowych w sprawach rozpatrywanych w ramach mechanizmu spójności stosowania RODO.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Działalność EROD
Rada została na mocy art. 71 ust. 1 RODO zobowiązana do przygotowywania sprawozdania rocznego dotyczącego ochrony danych osobowych w Unii. Jeżeli ma to zastosowanie sprawozdanie może obejmować również ochronę danych osobowych w państwach trzecich i organizacjach międzynarodowych. EROD przekazuje sprawozdanie Parlamentowi Europejskiemu, Radzie UE i Komisji, a także podaje treść komunikatu do publicznej wiadomości.
Europejska Rada Ochrony Danych obraduje pod kierownictwem przewodniczącego. Organ działa w ramach przyjętego regulaminu. Co do zasady członkowie Rady głosują zwykłą większością głosów.
Pod kierownictwem przewodniczącego Rady znajduje się również sekretariat, zapewniający Radzie wsparcie analityczne, administracyjne i logistyczne.
Jakie znaczenie ma działanie rady dla „przeciętnego obywatela” lub statystycznego, niewielkiego administratora?
Zdawać by się mogło, że działanie Europejskiej Rady Ochrony Danych odbywa się na tak wysokim poziomie, że niewiele ma wspólnego z działaniem statystycznego niewielkiego przedsiębiorcy – administratora danych. Faktycznie w założeniu EROD ma opiniować różne elementy działalności organów nadzorczych państw członkowskich – jak zatwierdzanie wymogów w zakresie certyfikacji czy wiążących reguł korporacyjnych, a także dawać pole do wspólnych konsultacji organów nadzorczych.
Działalność EROD może posiadać jednak duży wpływ na stosowanie RODO przez administratorów w państwach członkowskich UE, głównie dlatego, że od Rady będą wychodziły wszelkie tzw. najlepsze praktyki i interpretacje w zakresie stosowanie RODO w praktyce.
Warto śledzić stronę EROD, a przede wszystkim PUODO. Na stronie krajowego organu nadzorczego bowiem często pojawiają się tłumaczenia wytycznych – jeszcze przed publikacją oficjalnych tłumaczeń unijnych (1). W możliwym zakresie nie tracą również mocy wytyczne przyjęte przez Grupę Roboczą Artykułu 29, która odniosła się już do wielu kwestii związanych ze stosowaniem RODO (2).
Podsumowanie
Należy bardzo pozytywnie ocenić, że prawodawca europejskie przewidział powołanie unijnego organu doradczego w zakresie ochrony danych osobowych, który będzie niejako kontynuatorem Grupy Roboczej Artykułu 29. Lata funkcjonowania Grupy Roboczej pokazały, jak ważne mogą być ustalane wspólnie na poziomie międzynarodowym, wytyczne w zakresie bezpiecznego przetwarzania danych osobowych.
Wielką zaletą posiedzeń Europejskiej Rady Ochrony Danych będzie możliwość dzielenia się doświadczeniami związanymi z wdrożeniem zreformowanego systemu ochrony praw osób w związku z przetwarzaniem ich danych oraz reagowania – na najwyższym poziomie – na pojawiające się w tym względzie wątpliwości.
(1) https://edpb.europa.eu/edpb_pl
(2) https://uodo.gov.pl/pl/p/przyjete
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?