EROD przyjmuje wytyczne w sprawie certyfikacji jako narzędzia do przekazywania danych
Europejska Rada Ochrony Danych (EROD) podczas 66. posiedzenia plenarnego, które miało miejsce w dniach 14-15 czerwca, przyjęła wytyczne w sprawie certyfikacji jako narzędzia do przekazywania danych i wiążącą decyzję na podstawie art. 65 w sprawie sporu dotyczącego sprawy Accor.
Ogólne rozporządzenie o ochronie danych osobowych (RODO) daje możliwość przekazywania danych osobowych do państw trzecich na podstawie odpowiednich zabezpieczeń. Art. 46 ust. 2 lit. f) RODO wprowadza zatwierdzone mechanizmy certyfikacji jako nowe narzędzie przekazywania danych osobowych do państw trzecich w przypadku braku stwierdzenia odpowiedniego stopnia ochrony.
Głównym celem niniejszych wytycznych jest zapewnienie bardziej szczegółowego objaśnienia praktycznego wykorzystania tego narzędzia przekazywania danych.
Wytyczne składają się z czterech części, z których każda koncentruje się na konkretnych aspektach dotyczących certyfikacji jako narzędzia służącego do przekazywania danych, takich jak:
- cel, zakres i różnorodność zaangażowanych podmiotów;
- wytyczne wykonawcze dotyczące wymogów akredytacyjnych dla podmiotów certyfikujących;
- szczegółowe kryteria certyfikacji w celu wykazania istnienia odpowiednich zabezpieczeń przy przekazywaniu danych;
- oraz wiążące i egzekwowalne zobowiązania, które należy wdrożyć.
Przedmiotowe wytyczne stanowią uzupełnienie Wytycznych 1/2018 w sprawie certyfikacji i określenia kryteriów w sprawie certyfikacji zgodnie z art. 42 i 43 rozporządzenia które zawierają bardziej ogólne zalecenia dotyczące certyfikacji. Wytyczne będą przedmiotem konsultacji publicznych do końca września.
Wiążąca decyzja EROD w sprawie rozstrzygnięcia sporu organów nadzorczych
EROD przyjęła wiążącą decyzję w sprawie rozstrzygnięcia sporu na podstawie art. 65 RODO. Wiążąca decyzja ma na celu rozwiązanie problemu braku porozumienia, co do pewnych aspektów projektu decyzji przedłożonej przez francuski organ nadzorczy (CNIL), oraz późniejszych sprzeciwów zgłoszonych przez jeden z organów nadzorczych, którego sprawa dotyczy.
Sprawa dotyczy spółki Accor SA, specjalizującej się w sektorze hotelarskim, której główna jednostka organizacyjna znajduje się we Francji,. Wiodący organ nadzorczy –CNIL– przedłożył projekt decyzji, po przeprowadzeniu postępowania skargowego w sprawie Accor SA, dotyczącego nieuwzględnienia prawa do sprzeciwu wobec otrzymywania wiadomości marketingowych drogą pocztową i/lub trudności napotkanych podczas wykonywania prawa dostępu. Pod koniec kwietnia 2021 r. CNIL udostępnił swój projekt decyzji innym organom nadzorczym, których sprawa dotyczy, zgodnie mechanizmem współpracy wynikającym z RODO. Jeden z organów nadzorczych, którego sprawa dotyczy, zgłosił sprzeciwy, zgodnie z art. 60 ust. 4 RODO, dotyczące m.in. wysokości administracyjnej kary pieniężnej.
Organy nadzorcze nie były w stanie osiągnąć porozumienia w sprawie jednego ze sprzeciwów, który następnie został przekazany przez CNIL do EROD w celu jego rozpatrzenia zgodnie z procedurą rozstrzygania sporów na podstawie art. 65 ust. 1 lit. a) RODO. EROD przyjęła w tej sprawie wiążącą decyzję. Decyzja ta odnosi się do meritum tej części sprzeciwu, którą uznano za mającą znaczenie dla sprawy i uzasadnioną, zgodnie z wymogami art. 4 pkt 24 RODO.
Decyzja zostanie przetłumaczona w trybie pilnym, a następnie formalnie notyfikowane zostaną organy nadzorcze, których sprawa dotyczy. Wiodący organ nadzorczy przyjmie swoją ostateczną decyzję skierowaną do administratora, na podstawie decyzji EROD, bez zbędnej zwłoki i najpóźniej miesiąc po notyfikowaniu decyzji przez EROD. EROD opublikuje swoją decyzję na swojej stronie internetowej bez zbędnej zwłoki, po tym jak wiodący organ nadzorczy powiadomi administratora o swojej decyzji krajowej.