RODO okazało się elastyczne pod względem wspierania rozwiązań cyfrowych w nieprzewidzianych okolicznościach, takich jak kryzys związany z koronawirusem. W sprawozdaniu stwierdzono również, że coraz więcej państw członkowskich dokonuje harmonizacji przepisów, chociaż utrzymuje się pewien stopień fragmentacji, który musi być stale monitorowany. Podano również, że przedsiębiorstwa rozwijają kulturę przestrzegania przepisów i coraz częściej korzystają z silnej ochrony danych jako przewagi konkurencyjnej. Sprawozdanie zawiera wykaz działań mających na celu dalsze ułatwienie stosowania RODO wszystkim zainteresowanym stronom, w szczególności małym i średnim przedsiębiorstwom – pozwoli to propagować i dalej rozwijać prawdziwie europejską kulturę ochronę danych oraz stanowcze egzekwowanie przepisów.
Wiceprzewodnicząca do spraw wartości i przejrzystości Věra Jourová powiedziała: – Europejski system ochrony danych stał się dla nas drogowskazem w transformacji cyfrowej ukierunkowanej na człowieka i jest ważnym filarem, na którym opieramy inne strategie polityczne, takie jak strategia w zakresie danych lub podejście do sztucznej inteligencji. RODO stanowi doskonały przykład tego, w jaki sposób Unia Europejska, stosując podejście oparte na prawach podstawowych, wzmacnia pozycję swoich obywateli i daje przedsiębiorstwom możliwość jak najlepszego wykorzystania cyfrowej rewolucji. Musimy jednak nadal pracować, aby w pełni wykorzystać potencjał RODO.
Komisarz do spraw wymiaru sprawiedliwości Didier Reynders powiedział: – RODO pomyślnie spełnia swoje cele i stało się globalnym punktem odniesienia dla krajów, które chcą zapewnić swoim obywatelom wysoki poziom ochrony. Jak pokazuje jednak dzisiejsze sprawozdanie, wciąż możemy zrobić więcej. Potrzebujemy na przykład w Unii większej spójności w stosowaniu przepisów: jest to ważne dla obywateli i przedsiębiorstw, a zwłaszcza dla MŚP. Musimy również zapewnić obywatelom możliwość pełnego korzystania z przysługujących im praw. Komisja będzie monitorować postępy w ścisłej współpracy z Europejską Radą Ochrony Danych i w ramach regularnej wymiany informacji z państwami członkowskimi, tak aby RODO mogło w pełni wykorzystać swój potencjał.
Główne wnioski z przeglądu stosowania ogólnego rozporządzenia o ochronie danych
Obywatele mają więcej praw i są ich bardziej świadomi: RODO zwiększa przejrzystość i daje osobom prywatnym możliwe do egzekwowania prawa, takie jak prawo dostępu do danych, ich sprostowania, usunięcia, prawo do sprzeciwu i prawo do przenoszenia danych. Według wyników opublikowanej w zeszłym tygodniu ankiety przeprowadzonej przez Agencję Praw Podstawowych Unii Europejskiej 69 proc. ludności w wieku powyżej 16 lat w UE słyszało o RODO, a 71 proc. osób słyszało o swoim krajowym organie ochrony danych. Można jednak zrobić więcej, aby pomóc obywatelom w korzystaniu z przysługujących im praw, zwłaszcza z prawa do przenoszenia danych.
- Przepisy o ochronie danych są dostosowane do potrzeb ery cyfrowej: RODO daje osobom fizycznym większą podmiotowość, jeśli chodzi o decydowanie, co dzieje się z ich danymi w związku z transformacją cyfrową. Przyczynia się ono również do wspierania godnych zaufania innowacji, zwłaszcza dzięki podejściu opartemu na analizie ryzyka i zasadom takim jak uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.
- Organy ochrony danych korzystają z większych uprawnień naprawczych: RODO daje krajowym organom ochrony danych odpowiednie narzędzia do egzekwowania przepisów – od ostrzeżeń i upomnień po grzywny administracyjne. Stosowanie ich zależy jednak od odpowiednich niezbędnych zasobów ludzkich, technicznych i finansowych. Wiele państw członkowskich odnotowuje w związku z tym znaczny wzrost nakładów budżetowych i kadrowych. Ogólnie rzecz biorąc, w latach 2016–2019 wszystkie krajowe organy ochrony danych w UE łącznie odnotowały wzrost na poziomie 42 proc. nakładów kadrowych i 49 proc. nakładów budżetowych. Sytuacja w poszczególnych państwach członkowskich jest jednak nadal bardzo zróżnicowana.
- Organy ochrony danych współpracują ze sobą w ramach Europejskiej Rady Ochrony Danych (EROD) – nadal jednak pozostaje wiele do zrobienia: W RODO ustanowiono innowacyjny system zarządzania, który ma na celu zapewnienie spójnego i skutecznego stosowania tego rozporządzenia za pośrednictwem tzw. „mechanizmu kompleksowej współpracy”, dzięki któremu przedsiębiorstwo przetwarzające dane w różnych państwach ma jako interlokutora tylko jeden organ ochrony danych, a mianowicie organ państwa członkowskiego, w którym znajduje się jego główna siedziba. W okresie od 25 maja 2018 r. do 31 grudnia 2019 r. za pośrednictwem mechanizmu kompleksowej współpracy złożono 141 projektów decyzji, z czego 79 zostało przyjętych. Wciąż można jednak zrobić więcej, aby stworzyć naprawdę wspólną kulturę ochrony danych. W szczególności rozpatrywanie spraw transgranicznych wymaga bardziej skutecznego i zharmonizowanego podejścia oraz skutecznego wykorzystania wszystkich narzędzi przewidzianych w RODO, aby organy ochrony danych współpracowały ze sobą.
- Porady i wytyczne ze strony organów ochrony danych: Europejska Rada Ochrony Danych wydaje wytyczne obejmujące kluczowe aspekty rozporządzenia, a także nowe zagadnienia. Kilka organów ochrony danych stworzyło nowe narzędzia, w tym infolinie dla osób fizycznych i przedsiębiorstw oraz zestawy narzędzi dla małych przedsiębiorstw i mikroprzedsiębiorstw. Należy koniecznie zadbać o to, by wytyczne na szczeblu krajowym były w pełni zgodne z wytycznymi przyjętymi przez Europejską Radę Ochrony Danych.
- Pełne wykorzystanie potencjału międzynarodowego przekazywania danych: W ciągu ostatnich dwóch lat międzynarodowe zaangażowanie Komisji w zakresie bezpłatnego i bezpiecznego przekazywania danych przyniosło istotne rezultaty. Dotyczy to m.in. Japonii, z którą UE dzieli obecnie największy na świecie obszar wolnych i bezpiecznych przepływów danych. Wraz z partnerami z całego świata Komisja będzie kontynuować prace dotyczące odpowiedniego stopnia ochrony danych. Ponadto Komisja, we współpracy z EROD, rozważa modernizację innych mechanizmów przekazywania danych, w tym standardowych klauzul umownych – najczęściej wykorzystywanego narzędzia do przekazywania danych. EROD pracuje nad konkretnymi wytycznymi dotyczącymi certyfikacji i kodeksów postępowania w odniesieniu do przekazywania danych poza UE – należy je jak najszybciej sfinalizować. Ponieważ Europejski Trybunał Sprawiedliwości w wyroku, który ma zostać wydany 16 lipca może przedstawić wyjaśnienia, które mogą mieć znaczenie dla niektórych elementów normy dotyczącej odpowiedniego stopnia ochrony danych, Komisja przedstawi oddzielnie sprawozdanie na temat dotychczasowych decyzji stwierdzających odpowiedni stopień ochrony po wydaniu wyroku przez Trybunał Sprawiedliwości.
- Wspieranie współpracy międzynarodowej W ciągu ostatnich dwóch lat Komisja zintensyfikowała dialog dwustronny, regionalny i wielostronny, wspierając globalną kulturę poszanowania prywatności i konwergencję między różnymi systemami ochrony prywatności z korzyścią zarówno dla obywateli, jak i przedsiębiorstw. Komisja zobowiązuje się kontynuować te prace w ramach szerzej zakrojonych działań zewnętrznych, na przykład w kontekście partnerstwa strategicznego Afryka–UE i w ramach wsparcia dla międzynarodowych inicjatyw, takich jak „Free Flow with Trust”. W czasach, gdy naruszenia prywatności mogą mieć wpływ na dużą liczbę osób jednocześnie w kilku częściach świata, nadszedł moment, aby zacieśnić międzynarodową współpracę między organami odpowiedzialnymi za egzekwowanie przepisów w zakresie ochrony danych. Dlatego też Komisja zwróci się do Rady o udzielenie zgody na rozpoczęcie negocjacji w celu zawarcia umów o wzajemnej pomocy i współpracy z odpowiednimi państwami trzecimi.
Dostosowanie prawa Unii do dyrektywy o ochronie danych w sprawach karnych
Ponadto Komisja opublikowała dziś również komunikat, w którym określono dziesięć aktów prawnych regulujących przetwarzanie danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, które to przepisy powinny zostać dostosowane do dyrektywy o ochronie danych w sprawach karnych. Dostosowanie to zapewni pewność prawa i pozwoli doprecyzować, jakie są cele przetwarzania danych osobowych przez właściwe organy oraz jakie rodzaje danych mogą być przedmiotem takiego przetwarzania.
Kontekst
Zgodnie z RODO Komisja składa sprawozdania z oceny i przeglądu tego rozporządzenia – pierwsze z nich po dwóch latach stosowania, a następne co cztery lata, począwszy od pierwszego sprawozdania.
RODO jest jednolitym zbiorem przepisów prawa Unii dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wzmacnia ono zabezpieczenia w zakresie ochrony danych, zapewnia dodatkowe i większe prawa osobom fizycznym, zwiększa przejrzystość i odpowiedzialność wszystkich podmiotów zajmujących się danymi osobowymi. Rozporządzenie to wyposażyło krajowe organy ochrony danych w szersze, zharmonizowane uprawnienia w zakresie egzekwowania przepisów oraz wprowadziło nowy system zarządzania dla organów ochrony danych. Zapewnia ono również równe warunki działania dla wszystkich przedsiębiorstw działających na rynku UE, niezależnie od miejsca ich działalności, zapewnia swobodny przepływ danych w UE, ułatwia bezpieczne przekazywanie danych na poziomie międzynarodowym i stało się punktem odniesienia na szczeblu globalnym.
Jak określono w art. 97 ust. 2 RODO, opublikowane dzisiaj sprawozdanie obejmuje w szczególności międzynarodowe przekazywanie danych oraz „mechanizm współpracy i spójności”, chociaż Komisja w swoim przeglądzie przyjęła szersze podejście, aby zająć się kwestiami podniesionymi przez różne podmioty w ciągu ostatnich dwóch lat. Dotyczy to informacji przekazanych przez Radę, Parlament Europejski, Europejską Radę Ochrony Danych, krajowe organy ochrony danych oraz zainteresowane podmioty.