97. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 7-8.10.2024 r.

EROD przyjmuje opinię w sprawie podmiotów przetwarzających, wytyczne w sprawie uzasadnionego interesu, oświadczenie w sprawie projektu rozporządzenia w sprawie egzekwowania RODO oraz program prac na lata 2024–2025

Na ostatnim posiedzeniu plenarnym, które się odbyło w dniach 7-8 października 2024r., Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie niektórych obowiązków wynikających z polegania na podmiotach przetwarzających i podprzetwarzających, wytyczne w sprawie uzasadnionego interesu, oświadczenie w sprawie ustanowienia dodatkowych przepisów proceduralnych dotyczących egzekwowania RODO oraz program prac EROD na lata 2024–2025.

Po pierwsze, EROD przyjęła opinię w sprawie niektórych obowiązków wynikających z polegania na podmiotach przetwarzających i podprzetwarzających w następstwie wniosku złożonego na podstawie art. 64 ust. 2 RODO przez duński organ ochrony danych (OOD) do Rady. Art. 64 ust. 2 stanowi, że każdy organ ochrony danych może zwrócić się do Europejskiej Rady Ochrony Danych o wydanie opinii w sprawach o zasięgu ogólnym lub wywołujących skutki w więcej niż jednym państwie członkowskim.

Opinia dotyczy sytuacji, w których administratorzy polegają na co najmniej jednym podmiocie przetwarzającym lub podprzetwarzającym. W szczególności poruszono w niej osiem pytań dotyczących wykładni niektórych obowiązków administratorów opierających się na podmiotach przetwarzających i podprzetwarzających, a także treści umów między administratorem a podmiotem przetwarzającym, wynikających w szczególności z art. 28 RODO.

W opinii wyjaśniono, że administratorzy powinni mieć zawsze łatwo dostępne informacje na temat tożsamości (tj. imię i nazwisko, adres, osoba kontaktowa) wszystkich podmiotów przetwarzających, podprzetwarzających itp. tak, aby mogli jak najlepiej wypełniać swoje obowiązki wynikające z art. 28 RODO. Ponadto, obowiązek administratora do sprawdzenia, czy podmioty (pod)przetwarzające przedstawiają „wystarczające gwarancje”, powinien mieć zastosowanie niezależnie od ryzyka dla praw i wolności osób, których dane dotyczą, chociaż zakres takiej weryfikacji może się różnić, w szczególności w zależności od ryzyka związanego z przetwarzaniem.

W opinii stwierdzono również, że chociaż początkowy podmiot przetwarzający powinien zapewnić, że zaproponuje podmiot podprzetwarzający z wystarczającymi gwarancjami, ostateczna decyzja i odpowiedzialność za zaangażowanie konkretnego podmiotu podprzetwarzającego pozostaje w gestii administratora.

EROD uważa, że zgodnie z RODO administrator nie ma obowiązku systematycznego zwracania się o umowy powierzenia przetwarzania danych w celu sprawdzenia, czy obowiązki w zakresie ochrony danych zostały przekazane w łańcuchu przetwarzania. Administrator powinien ocenić, czy zwrócenie się o kopię takich umów lub ich przegląd jest niezbędny, aby móc wykazać zgodność z RODO.

Ponadto, w przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy między dwoma podmiotami podprzetwarzającymi, podmiot przetwarzający jako przekazujący dane powinien przygotować odpowiednią dokumentację, np. dotyczącą zastosowanej podstawy przekazania, oceny skutków przekazania i ewentualnych środków uzupełniających. Ponieważ jednak administrator danych nadal podlega obowiązkom wynikającym z art. 28 ust. 1 RODO w zakresie „wystarczających gwarancji”, oprócz obowiązków wynikających z art. 44 w celu zapewnienia, że poziom ochrony nie zostanie osłabiony przez przekazywanie danych osobowych, powinien on ocenić tę dokumentację i być w stanie przedstawić ją właściwemu organowi ochrony danych.

Następnie EROD przyjęła wytyczne dotyczące przetwarzania danych osobowych w oparciu o uzasadniony interes.

Administratorzy danych potrzebują podstawy prawnej do zgodnego z prawem przetwarzania danych osobowych. Uzasadniony interes jest jedną z sześciu możliwych podstaw prawnych.

Niniejsze wytyczne analizują kryteria określone w art. 6 ust. 1 lit. f RODO, które administratorzy muszą spełnić, aby zgodnie z prawem przetwarzać dane osobowe na podstawie prawnie uzasadnionego interesu. Uwzględniają również niedawne orzeczenie TSUE w tej sprawie (C-621/22 z 4 października 2024 r.).

 Aby powołać się na prawnie uzasadniony interes, administrator musi spełnić łącznie trzy warunki:

1. Realizacja prawnie uzasadnionego interesu przez administratora lub przez stronę trzecią;
2. Niezbędność przetwarzania danych osobowych do celów realizacji prawnie uzasadnionego interesu;
3. Interesy lub podstawowe wolności i prawa osób fizycznych nie mają pierwszeństwa przed uzasadnionym interesem lub uzasadnionymi interesami administratora lub osoby trzeciej (równoważenie).

Po pierwsze, za uzasadnione można uznać tylko te interesy, które są zgodne z prawem, jasno i precyzyjnie sformułowane, rzeczywiste i aktualne. Na przykład takie uzasadnione interesy mogą istnieć w sytuacji, gdy dana osoba jest klientem lub świadczy usługi na rzecz administratora danych.

Po drugie, jeżeli istnieją rozsądne, równie skuteczne, ale mniej inwazyjne alternatywy dla osiągnięcia zamierzonych interesów, przetwarzanie może nie zostać uznane za niezbędne. Konieczność przetwarzania należy również zbadać pod kątem zasady minimalizacji danych.

Po trzecie, administrator musi zapewnić, że jego uzasadniony interes nie jest nadrzędny wobec interesów, podstawowych praw i wolności osoby fizycznej. W ramach tego równoważenia administrator musi wziąć pod uwagę interesy osób fizycznych, wpływ przetwarzania i ich uzasadnione oczekiwania, a także istnienie dodatkowych zabezpieczeń, które mogłyby ograniczyć wpływ na osobę fizyczną.

Ponadto w niniejszych wytycznych wyjaśniono, w jaki sposób ocena ta powinna być przeprowadzana w praktyce, w tym w szeregu konkretnych kontekstów, takich jak zapobieganie nadużyciom finansowym, marketing bezpośredni i bezpieczeństwo informacji. Dokument wyjaśnia również związek między tą podstawą prawną a szeregiem praw osób, których dane dotyczą, wynikających z RODO.

Wytyczne będą przedmiotem konsultacji publicznych do 20 listopada 2024 r.

Następnie EROD przyjęła oświadczenie w związku ze zmianami wprowadzonymi przez Parlament Europejski i Radę do wniosku Komisji Europejskiej dotyczącego rozporządzenia ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania RODO.

W oświadczeniu zasadniczo z zadowoleniem przyjęto zmiany wprowadzone przez Parlament Europejski i Radę oraz zalecono dalsze odniesienie się do konkretnych elementów, tak aby nowe rozporządzenie osiągnęło cele polegające na usprawnieniu współpracy między organami i poprawy egzekwowania RODO.

Oświadczenie zawiera praktyczne zalecenia, które mogą zostać wykorzystane w kontekście zbliżających się rozmów trójstronnych. W szczególności EROD ponownie podkreśla potrzebę podstawy prawnej i zharmonizowanej procedury polubownego rozstrzygania sporów oraz formułuje zalecenia w celu zapewnienia, aby konsensus w sprawie podsumowania kluczowych kwestii został osiągnięty w jak najbardziej efektywny sposób. EROD z zadowoleniem przyjmuje również wprowadzenie dodatkowych terminów, przypominając jednocześnie, że muszą one być realistyczne, i wzywa współprawodawców do usunięcia przepisów mających znaczenie dla sprawy i uzasadnionych sprzeciwów oraz uzasadnienia w procedurze rozstrzygania sporów. 

Chociaż w oświadczeniu z zadowoleniem przyjęto cel, jakim jest osiągnięcie większej przejrzystości, wprowadzenie wspólnych akt sprawy, zgodnie z propozycją Parlamentu Europejskiego, wymagałoby kompleksowych zmian w systemach zarządzania dokumentami i komunikacji stosowanych na szczeblu europejskim i krajowym. Należy dokładnie ocenić rozwiązania techniczne służące jego wdrożeniu, a także doprecyzować warunki udzielania dostępu.

EROD z zadowoleniem przyjmuje poprawkę Rady umożliwiającą wiodącemu organowi ochrony danych odstąpienie od tzw. wzmocnionej współpracy w prostych i nieskomplikowanych przypadkach, ale podkreśla potrzebę dalszego wyjaśnienia zakresu tej klauzuli opt-out.

Przewodnicząca EROD Anu Talus powiedziała: "Projekt rozporządzenia może znacznie usprawnić egzekwowanie RODO poprzez zwiększenie efektywności rozpatrywania spraw. Potrzebna jest większa harmonizacja na szczeblu UE, aby zmaksymalizować pełną skuteczność mechanizmów współpracy i spójności przewidzianych w RODO”.

Ponadto EROD przyjęła swój program prac na lata 2024–2025. Jest to pierwszy z dwóch programów prac, które będą wdrażać strategię EROD na lata 2024–2027 przyjętą w kwietniu 2024 r. Opiera się ona na priorytetach określonych w strategii EROD i uwzględnia również potrzeby uznane za najważniejsze dla zainteresowanych stron.

Na koniec członkowie EROD zgodzili się przyznać status obserwatora działań EROD kosowskiej Agencji Informacji i Prywatności (kosowskiemu organowi ochrony danych), zgodnie z art. 8 regulaminu EROD.

Agenda z 97. posiedzenia plenarnego znajduje się pod tym linkiem:

EDPB plenary meeting - 7 & 8 October | European Data Protection Board (europa.eu)