Wymieniamy się wiedzą i spostrzeżeniami z innymi organami nadzorczymi
Z Marią Owczarek, dyrektorką Departamentu Współpracy Międzynarodowej oraz z Krzysztofem Królem, zastępcą dyrektorki, rozmawiał Karol Witowski, Rzecznik Prasowy UODO.
Od 1 stycznia, w ramach reorganizacji w UODO, wyodrębniony w nowej strukturze został Departament Współpracy Międzynarodowej, którego została Pani dyrektorką. Czym zajmuje się Departament?
Maria Owczarek: Nowoutworzony Departament Współpracy Międzynarodowej – poza dotychczasowymi zadaniami, związanymi ze współpracą międzynarodową Prezesa UODO, którą realizowaliśmy wcześniej w ramach właściwości Departamentu Współpracy Międzynarodowej
i Edukacji – objął także nowe zadania (należące dotąd do innych departamentów), związane
z certyfikacją i transferami danych do państw trzecich i organizacji międzynarodowych. W ramach departamentu wydzielony został także Wydział ds. Postępowań Transgranicznych, który zajmuje się prowadzeniem postępowań w ramach mechanizmu kompleksowej współpracy (tzw. One-Stop-Shop), których prowadzenie należało wcześniej do Departamentu Skarg.
Nowa struktura pozwoliła skupić wszystkie sprawy dotyczące współpracy międzynarodowej
w jednym miejscu. Umożliwiło nam to jeszcze lepszą organizację pracy Urzędu na forach europejskich i międzynarodowych współpracy, a także bardziej efektywną i skuteczną współpracę
z innymi organami ochrony danych w ramach Europejskiej Rady Ochrony Danych (EROD).
Za nami 7 lat stosowania RODO. W wywiadzie dla biuletynu sprzed 2 lat powiedziała Pani, że jednym z największych sukcesów rozporządzenia jest wzmocnienie pozycji europejskich organów nadzorczych i współpraca między nimi, dzięki narzędziom, które zagwarantowało RODO i za sprawą ustanowienia EROD. Czy przez te dwa lata coś się zmieniło?
M.O.: W dalszym ciągu stoję na stanowisku, że jednym z najważniejszych osiągnięć RODO jest wzmocnienie roli europejskich organów ochrony danych oraz ich współpracy, co zostało umożliwione dzięki narzędziom wprowadzonym przez RODO i utworzeniu EROD. Tak jak wspominałam
w poprzednim wywiadzie, na początku EROD koncentrowała się na opracowywaniu wytycznych, które miały na celu wyjaśnienie kluczowych zasad RODO oraz dostarczenie jasnej interpretacji pojęć w nim zawartych. W związku z tym, że RODO było nowością, ważne dla nas – organów ochrony danych – było przedstawienie spójnej i jasnej interpretacji przepisów, która zagwarantuje ich jednolite stosowanie w UE. Obecnie EROD kontynuuje prace nad wytycznymi, ale aktualnie skupia się bardziej na wzmocnieniu współpracy pomiędzy organami, monitorowaniu egzekwowania przepisów, a także na promowaniu narzędzi rozliczalności, takich jak wiążące reguły korporacyjne, kodeksy postępowania czy certyfikacja.
W poprzednim wywiadzie wspominała Pani także o wyzwaniach dla współpracy organów wynikających z różnic w krajowych postępowaniach administracyjnych
i związanej z tym inicjatywie organów ochrony danych, tzw. „liście życzeń”, której efektem są trwające obecnie prace nad rozporządzeniem proceduralnym. Na jakim etapie są prace nad rozporządzeniem i co zmieniło się od czasu, gdy ostatnio o tym rozmawialiśmy?
M.O.: Tak jak mówiłam, organy nadzorcze same zidentyfikowały przeszkody proceduralne, które ich zdaniem są trudne do wyeliminowania na poziomie stosowania RODO i wskazały potrzebę wprowadzenia zmian. W następstwie swojego oświadczenia w sprawie współpracy w zakresie egzekwowania prawa Europejska Rada Ochrony Danych przesłała Komisji Europejskiej wykaz aspektów proceduralnych, wymagających dalszej harmonizacji na szczeblu UE, w celu zmaksymalizowania pełnej skuteczności mechanizmów współpracy ustanowionych w RODO (tzw. „lista życzeń”).
Następnie Komisja opublikowała wniosek dotyczący rozporządzenia ustanawiającego dodatkowe zasady proceduralne, odnoszące się do egzekwowania RODO, w sprawie którego EROD i Europejski Inspektor Ochrony Danych (EIOD) przedstawili zalecenia we wspólnej opinii.
EROD z zadowoleniem przyjęła cel wniosku, jakim jest lepsza ochrona praw podstawowych poprzez szybsze, sprawniejsze i skuteczniejsze procedury egzekwowania prawa. Jednocześnie podkreśliła, że wprowadzenie wszelkich nowych kroków proceduralnych i dodatkowych zadań organów nadzorczych spowoduje zapotrzebowanie na dodatkowe zasoby organów.
Z tego powodu EROD wezwała prawodawców UE, a także Komisję Europejską i państwa członkowskie do podjęcia niezbędnych działań w celu zapewnienia, aby EROD i jej członkowie dysponowali zasobami niezbędnymi do skutecznego wdrożenia RODO i przepisów proceduralnych.
W kwietniu 2024 r. Parlament Europejski i Rada wprowadziły poprawki do projektu rozporządzenia do wniosku Komisji Europejskiej dotyczącego rozporządzenia ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania RODO, w odpowiedzi na które EROD w październiku 2024 r. przyjęła oświadczenie.
W oświadczeniu z 2024 r. EROD przyjęła stanowisko Parlamentu Europejskiego i ogólne podejście Rady do wniosku. EROD zauważyła, że prawodawcy uwzględnili niektóre zalecenia zawarte we wspólnej opinii, ale zaleciła dalsze zajęcie się niektórymi elementami, aby nowe rozporządzenie mogło osiągnąć swoje cele, tj. usprawnić współpracę i poprawić egzekwowanie RODO. Ponadto EROD podkreśliła, że duża liczba odniesień do prawa krajowego w nowym rozporządzeniu nie byłaby zgodna z duchem zwiększonej harmonizacji i dlatego należy jej unikać.
W szczególności EROD przypomniała o potrzebie ustanowienia podstawy prawnej i zharmonizowanej procedury polubownego rozstrzygania sporów, przedstawiając zalecenia mające na celu zapewnienie osiągnięcia konsensusu w sprawie podsumowania kluczowych kwestii w najbardziej efektywny sposób. EROD z zadowoleniem przyjęła również włączenie dodatkowych terminów proceduralnych, przypominając jednocześnie, że muszą one być realistyczne.
Podczas gdy EROD przyjęła cel osiągnięcia większej przejrzystości, wprowadzenie wspólnych akt sprawy, zgodnie z propozycją Parlamentu Europejskiego, wymagałoby – zdaniem organów – złożonych zmian w systemach zarządzania dokumentami i komunikacji stosowanych na szczeblu europejskim i krajowym.
EROD przyjęła także poprawkę Rady umożliwiającą wiodącemu organowi ochrony danych rezygnację
z tzw. wzmocnionej współpracy w prostych i nieskomplikowanych sprawach, ale podkreśla potrzebę dalszego wyjaśnienia zakresu możliwości skorzystania z takiej procedury rezygnacji.
Jak powiedziała Przewodnicząca EROD Anu Talus, w komunikacie opublikowanym po posiedzeniu plenarnym: „Projekt rozporządzenia ma potencjał, aby znacznie usprawnić egzekwowanie RODO poprzez zwiększenie efektywności rozpatrywania spraw. Potrzebna jest większa harmonizacja na poziomie UE, aby zmaksymalizować pełną skuteczność mechanizmów współpracy i spójności RODO”.
Aktualnie, podczas Polskiej Prezydencji przy Radzie UE, trwają końcowe tak zwane „trójstronne” negocjacje między Parlamentem Europejskim, państwami członkowskimi i Komisją Europejską.
Czekamy z niecierpliwością na efekt negocjacji i przyjęcie ostatecznego tekstu rozporządzenia, które – mam nadzieję – nie tylko ułatwi współpracę pomiędzy organami, ale przede wszystkim przyczyni się do lepszej i skuteczniejszej ochrony praw osób, których dane dotyczą.
Pozostając w temacie współpracy organów, Meta niedawno ogłosiła plany w zakresie wykorzystywania danych upublicznionych przez użytkowników do szkolenia systemów generatywnej sztucznej inteligencji w Europie. Jak wygląda współpraca dot. weryfikacji działania mechanizmu sprzeciwu przez Prezesa Urzędu z pozostałymi organami nadzorczymi, będącymi członkami EROD?
M.O.: Działanie mechanizmu wyrażenia sprzeciwu było weryfikowane przez organy nadzorcze na bieżąco od samego początku od kiedy jest on dostępny, czyli od 16 kwietnia 2025 r. Z zebranych przez nas dotychczas informacji wynika, że do użytkowników usług Meta trafiły wiadomości elektroniczne lub powiadomienia na platformach społecznościowych dotyczące planowanego przetwarzania,
a mechanizm sprzeciwu jest również dostępny z poziomu centrum prywatności w aplikacjach Meta.
Otrzymaliśmy również skargę w związku z planowanym w zeszłym roku przetwarzaniem danych przez Metę. Skarga została złożona w ramach skoordynowanej akcji organizacji NOYB. Skargi dotyczące przetwarzania przez Meta są rozpatrywane przez irlandzki organ nadzorczy, jako wiodący organ nadzorczy, który jest właściwy z uwagi na lokalizację w UE głównej siedziby Mety w Irlandii.
Działania Meta w kontekście zgodności z przepisami RODO są przedmiotem współpracy między organami nadzorczymi, a w szczególności irlandzkim organem oraz przedstawicielami Meta. Polski organ nadzorczy również w niej uczestniczy.
Europejska Rada Ochrony Danych wypowiadała się w przedmiocie zgodności z RODO takiego przetwarzania w Opinii EROD 28/2024 w sprawie niektórych aspektów ochrony danych związanych
z przetwarzaniem danych osobowych w kontekście modeli sztucznej inteligencji – odnoszącej się m.in. do tego, kiedy może być ono oparte na podstawie uzasadnionego interesu. Obecny kształt planów przedstawionych przez spółkę Meta jest wynikiem między innymi tej właśnie opinii. W przypadku wystąpienia w przyszłości okoliczności, które wskazywałyby na niezgodność takiego przetwarzania z ustaleniami opinii EROD oraz zasadami RODO, organy nadzorcze będą podejmować działania zgodnie z przysługującymi uprawnieniami i procedurami współpracy.
W związku z planami Meta, niemiecki organ nadzorczy w Hamburgu zwrócił się do tej spółki z pismem o wyjaśnienia w tej sprawie. Pismo to może doprowadzić do zastosowania tzw. trybu pilnego, przewidzianego w art. 66 RODO. Na jego podstawie hamburski organ tymczasowo może podjąć
działania (na okres do trzech miesięcy), mające na celu ochronę praw lub wolności osób. W ich efekcie EROD może wydać opinie lub decyzje.
Z tego właśnie mechanizmu w zeszłym roku skorzystał Prezes UODO wobec Meta i zakazał publikowania postów wykorzystujących dane osobowe Pana Rafała Brzoski oraz jego żony Pani Omeny Mensah.
Nowym zadaniem Departamentu Współpracy Międzynarodowej jest także certyfikacja. W związku z tym mam pytanie, jaką rolę odgrywają organy nadzorcze w procesie certyfikacji? Przybliżał Pan to zagadnienie uczestnikom serii webinariów „Certyfikacja w ochronie danych”, jednak dla szerszego grona odbiorców temat może się wydawać skomplikowany.
Krzysztof Król: Zacznijmy od przedstawienia uczestników certyfikacji w Polsce. Po pierwsze mamy podmioty certyfikujące. To one są odpowiedzialne za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji dotyczącej czynności przetwarzania przez dany podmiot wnioskujący
o certyfikację – danego administratora lub podmiot przetwarzający.
Ponieważ ocena czynności przetwarzania jest zadaniem trudnym, wymagającym znacznej wiedzy fachowej oraz odpowiedniej metodologii, RODO przedstawia dalsze uregulowania względem przyznawania certyfikacji. Podmioty certyfikujące muszą zostać akredytowane, zanim będą mogły działać. Zgodnie z RODO akredytacja ta dokonywana może być przez krajowe jednostki akredytujące albo organy nadzorcze. Samodzielna akredytacja przez organ nadzorczy nie została przyjęta przez polskiego ustawodawcę, zatem w Polsce akredytuje krajowa jednostka akredytująca, czyli Polskie Centrum Akredytacji (PCA).
Niemniej jednak organ ochrony danych pełni znaczącą rolę w procesie certyfikacji. Po pierwsze określa krajowe wymogi akredytacji podmiotów certyfikujących. W Polsce dodatkowe wymogi akredytacji podmiotów certyfikujących zostały zatwierdzone przez Prezesa UODO 8 grudnia 2023 r.
i są dostępne na stronie Urzędu. Akredytacja podmiotów certyfikujących jest dokonywana na podstawie właśnie tych wymogów oraz standardu ISO/IEC 17065/2012.
Z kolei podmioty certyfikujące udzielają certyfikacji na podstawie danych kryteriów certyfikacji tworzonych przez właścicieli systemu certyfikacji. Kryteria certyfikacji muszą zostać zatwierdzone przez organy ochrony danych. Dany organ nadzorczy ocenia kryteria certyfikacji oraz przygotowuje projekt decyzji w przedmiocie ich zatwierdzenia. Następnie projekt zostaje przekazany Europejskiej Radzie Ochrony Danych, która wydaje opinię dotyczącą zatwierdzenia takich kryteriów.
Po uwzględnieniu tej opinii organ nadzorczy zatwierdza kryteria. Zatem udział organów nadzorczych jest niezbędny zarówno przy zatwierdzaniu kryteriów certyfikacji, jak i przy tworzeniu dodatkowych wymogów, na podstawie których dokonywana jest akredytacja podmiotów certyfikujących. Ponadto organ nadzorczy może sam udzielać certyfikacji na podstawie własnego systemu certyfikacji lub też opracować system certyfikacji i powierzyć procedurę certyfikacji podmiotom certyfikującym.
Jakie są działania UODO dot. certyfikacji w ochronie danych osobowych na forum europejskim i krajowym?
K.K.: Na forum krajowym UODO jest zaangażowane w szerzenie wiedzy i promowanie certyfikacji jako mechanizmu wykazywania zgodności z RODO. Przykładem takich działań jest chociażby wspomniana seria webinariów. W jednym z tych webinariów uczestniczył przedstawiciel Polskiego Centrum Akredytacji, z kolei przedstawicielka Urzędu Ochrony Danych Osobowych wzięła udział w podcaście prowadzonym przez PCA.
Nawiązanie relacji z Polskim Centrum Akredytacji, która umożliwia wymianę informacji, współpracę przy projektach jest kolejnym ważnym działaniem na polu krajowym budującym grunt pod sprawne przeprowadzanie certyfikacji RODO w Polsce. Właściwie ten grunt został już przygotowany, bo zatwierdzone zostały również dodatkowe wymogi akredytacji podmiotów przetwarzających. Jesteśmy więc gotowi na pierwsze zgłoszenia od podmiotów chcących uczestniczyć w certyfikacji dot. ochrony danych np. poprzez opracowywanie systemów certyfikacji.
Na forum europejskim prężnie działamy w ramach podgrup Europejskiej Rady Ochrony Danych. Wymieniamy się wiedzą i spostrzeżeniami z innymi organami nadzorczymi, wspólnie dokonujemy oceny kryteriów certyfikacji na potrzeby opinii EROD w przedmiocie zatwierdzenia kryteriów certyfikacji. W ramach EROD rozmawiamy też o sposobach współpracy z organizacją zrzeszającą krajowe jednostki akredytujące – European Accreditation oraz między organami ochrony danych
w przypadku certyfikacji obejmującej swym zakresem więcej niż jedno państwo. Pracujemy również nad zatwierdzaniem europejskich znaków jakości w dziedzinie ochrony danych osobowych mających zasięg ogólnoeuropejski.
Dziękuję Państwu za rozmowę.
M.O., K.K.: Dziękujemy bardzo, o wszystkich aktywnościach departamentu współpracy międzynarodowej będziemy informować na stronie UODO (w aktualnościach i zakładce EROD), a także na łamach biuletynu. Zachęcamy też do śledzenia aktywności organów ochrony danych na stronie EROD.
