Komisja Europejska opublikowała, przygotowane dla Parlamentu i Rady Europejskiej, sprawozdanie z oceny i przeglądu funkcjonowania RODO. Zakres sprawozdania został uregulowany w art. 97 RODO, który nakreśla ramy przedstawionego sprawozdania. Komisja miała za zadanie dokonać analizy oraz przeglądu stosowania i funkcjonowania przepisów rozdziału V RODO w zakresie przekazywania danych osobowych do państw trzecich oraz rozdziału VII RODO dotyczącego współpracy organów nadzorczych w poszczególnych krajach UE oraz spójności ich działań.
Jak wygląda sprawozdanie.
Zostało opublikowane na stronie Komisji Europejskiej. Warto zwrócić uwagę na dający dużo do myślenia podtytuł:
„Ochrona danych jako filar wzmocnienia pozycji obywateli i podejście UE do transformacja cyfrowa – dwa lata stosowania ogólnego rozporządzenia o ochronie danych”.
Tutaj można zajrzeć do oryginału sprawozdania:
Click to access 1_en_act_part1_v6_1.pdf
Komisja Europejska, w pierwszych zdaniach, bardzo mocno akcentuję, że gospodarki wielu Państw, nie tylko w Unii Europejskie, opierają się co raz bardziej na przetwarzaniu danych, w tym danych osobowych.
Wkład merytoryczny do przygotowania sprawozdania przekazała Rada Unii Europejskiej, Europejska Rada Ochrony Danych oraz organy nadzorcze z poszczególnych krajów UE.
Nadto opublikowano dokument roboczy zbierający powyższy wkład merytoryczny w jednym miejscu:
Click to access 1_en_swd_part1_v6.pdf
Jakie są wnioski Komisji Europejskiej?
Egzekwowanie przestrzegania przepisów RODO oraz funkcjonowanie współpracy i mechanizmów spójności.
Według Komisji generalnie organy nadzorcze w poszczególnych krajach wykorzystywały swoje nowe uprawnienia w sposób zrównoważony. Mimo możliwości nakładania wielomilionowych administracyjnych kar pieniężnych organy nadzorcze korzystały w dużej mierze z mniej dolegliwych środków represyjnych. Wydawały ostrzeżenia, udzielały upomnienia, nakazywały administratorom pewne działania, a więc korzystały z katalogu uprawnień naprawczych, które im przysługują na mocy art. 58 ust. 2 RODO.
Komisja wskazuję, że ostatecznym celem RODO jest zmiana kultury i zachowania tych podmiotów, które są zaangażowane w przetwarzanie danych osobowych tak, aby przynieść jak najwięcej korzyści osobom, których dane dotyczą oraz rozwijać innowacyjne technologie.
Czytamy dalej, że chociaż jest jeszcze za wcześnie, aby w pełni ocenić funkcjonowanie nowych przepisów dotyczących współpracy to organy nadzorcze rozwinęły ją poprzez mechanizm „one-stop-shop”.
Mechanizm kompleksowej obsługi, o którym mowa w art. 61 RODO jest kluczowym atutem wewnętrznego rynku, służy do rozstrzygania wielu spraw transgranicznych. W tym zakresie ciekawe jest poniższe zestawienie dotyczące ilości prowadzonych przez organy nadzorcze postępowań transgranicznych:
Zharmonizowane zasady, choć nadal dochodzi do fragmentacji i odmiennego podejście organów nadzorczych.
Wszystkie kraje UE, prócz Słowenii, wprowadziły nowe przepisy krajowe dotyczące ochrony danych osobowych. RODO ma zapewnić spójne podejście do ochrony danych w całej Unii Europejskiej co wymaga od państw członkowskich stosowania i doprecyzowania w krajowych przepisach ogólnych zasad ochrony danych osobowych.
Komisja dostrzega duży stopień rozdrobnienia pewnych regulacji takich jak np. ustalenie wieku dziecka w przypadku wyrażania przez niego zgody w zakresie skorzystania z usług społeczeństwa informacyjnego:
Takie rozróżnienie regulacji, w założeniu jednolitym rynku, utrudnia ochronę danych dzieci, a także powoduje duże wyzwania dla transgranicznych przedsiębiorców, którzy zamiast dostosowywać się do spójnych przepisów muszą dostosowywać swoje modele biznesowe do konkretnego kraju, w którym operują.
Dla skutecznego funkcjonowania rynku wewnętrznego i uniknięcia niepotrzebnego obciążenia firm, ważne jest również, aby ustawodawstwo krajowe nie wykraczało poza marginesy określone w RODO ani nie wprowadzało dodatkowych wymagań co niestety ma miejsce. Zakres możliwych do wprowadzenia przez krajowego ustawodawcę ograniczeń reguluje precyzyjnie art. 23 RODO i tylko w tym zakresie kraje członkowskie powinny dokonywać zmian legislacyjnych w odniesieniu do ochrony danych osobowych.
Umożliwienie osobom kontrolowania ich danych.
Szanse i wyzwania dla organizacji, w szczególności dla małych i średnich
przedsiębiorstwa.
Według Komisji wprowadzenie przepisów RODO oraz rozporządzenia 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w UE pomogło wielu przedsiębiorcom rozwijać swoje usługi polegające np. na przesyłaniu danych pomiędzy krajami UE poprzez zapewnienie bezpłatnego przepływu takich danych.
Komisja podkreśla, to co widzimy także na naszym rodzimym rynku, że małe i średnie przedsiębiorstwa widzą we wdrożeniu RODO wyzwanie i bez pomocy krajowych organów nadzorczych nie uda im się osiągnąć zadowalającego stopnia zgodności.
Na pewno dobrą wiadomością jest to, że Komisja pracuje nad zaktualizowaniem standardowych klauzul umownych wykorzystywanych w relacjach administratora i podmiotu przetwarzającego w związku z transgranicznym przetwarzaniem danych osobowych.
Zastosowanie RODO do nowych technologii.
Przepisy RODO ze względu na swoją neutralność technologiczną dostosowują się do rozwiązań nowych technologii w miarę ich rozwoju. Przykładem takiego działania była potrzeba „wbudowania” w ramy RODO wielu europejskich aplikacji śledzących osoby w celu wyeliminowania rozpowszechniania się epidemii koronawirusa.
Wysuwa się tez publiczne pomysły na wykorzystanie sztucznej inteligencji np. do rozpoznawania cech identyfikujących z wykorzystaniem zdjęć biometrycznych w miejscach publicznych, które to działania dzięki neutralności przepisów RODO zaimplementować z sukcesem.
Według Komisji bardzo istotnym jest, aby krajowe organy nadzorcze skutecznie egzekwowały RODO w stosunku do gigantów technologicznych, którzy wykorzystują szeroki zakres danych do reklam on-line i mikrotargetowania.
Opracowanie nowoczesnego narzędzia do transgranicznego przesyłania danych.
Tutaj Komisja podkreśla ogromne znaczenie przyjęcia w 2019 r. decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do Japonii tworząc tym samym największy na świecie obszar bezpiecznego przepływu danych osobowych. Nadto Komisja pracuję nad poważną modernizacją treści standardowych klauzul umownych w celu ich dostosowania do nowych wymagań wprowadzonych przez RODO.
Komisja wskazuję, że prace dotyczące stwierdzenia powyższych standardów wobec Korei są już na zaawansowanym poziomie, a równolegle trwają rozmowy z innymi ważnymi krajami Azji i Ameryki Łacińskiej.
Na marginesie Komisja przygotowując omawiane sprawozdanie jest również zobowiązana do dokonania przeglądu decyzji w sprawie odpowiedniego stopnia ochrony danych. Jednak ze względu na to, że 16 lipca 2020 r. ma zostać wydany wyrok ETS w sprawie C-311/18 – Facebook Ireland i Schrems, Komisja postanowiła przełożyć prace na późniejszy termin.
W sprawozdaniu czytam także, że organy UE będą bardzo mocno i stanowczo realizować swoje podejście do edukowania przedsiębiorców z poza UE w zakresie konieczności wyznaczenia na terenie UE swojego przedstawiciela (art. 27 RODO). Komisja stanowczo sygnalizuję, że brak siedziby w UE nie zwalnia od przestrzegania obowiązków wynikających z RODO.
Podsumowanie
Jak widać RODO przysporzyło nie lada trudności nie tylko organizacjom, które miały je wdrożyć, ale także organom UE. Sprawozdanie Komisji Europejskiej dotyczące oceny i przeglądu RODO wskazuję na to, że główną rolę w dokonaniu interpretacji przepisów odegrają nie tylko krajowe organy nadzorcze, ale przede wszystkim orzecznictwo czy to Europejskiego Trybunału Sprawiedliwości czy też sądów krajowych państw członkowskich. Jednym zdaniem czekają nas ciekawe czasy, a przygoda z RODO dopiero się rozkręca.