Brak zasobów utrudnia egzekwowanie ochrony danych w UE
Duża liczba skarg, brak zasobów ludzkich i finansowych oraz rosnące obciążenie pracą – to niektóre z wyzwań, przed którymi stoi większość organów ochrony danych przy wdrażaniu RODO – stwierdza nowy raport Agencji Praw Podstawowych UE (FRA). FRA wzywa kraje UE do zapewnienia organom ochrony danych zasobów niezbędnych do zagwarantowania ochrony danych osobowych obywateli.
Raport FRA „RODO w praktyce – doświadczenia organów ochrony danych” podkreśla kluczowe kwestie, przedstawia najlepsze praktyki oraz sugeruje rozwiązania.
W podsumowaniu raportu zwrócono uwagę na następujące kwestie:
1. Brak zasobów – niedofinansowanie i brak personelu utrudniają organom nadzorczym pełne wykonywanie ich zadań. Nowe przepisy UE, takie jak akt w sprawie sztucznej inteligencji lub unijne systemy informacyjne służące zarządzaniu granicami zewnętrznymi, stworzą dla nich dodatkowe zadania. Trudno będzie je wdrożyć bez odpowiednich zasobów. Kraje UE powinny zabezpieczyć niezbędne zasoby finansowe, ludzkie i techniczne, aby umożliwić organom nadzorczym wypełnianie ich roli;
2. Uprawnienia nadzorcze – organy nadzorcze mają już uprawnienia do prowadzenia postępowań, jednak potrzebują więcej narzędzi, aby wzmocnić swoje zdolności nadzorcze. Obejmują one możliwość prowadzenia niejawnych postępowań lub możliwość nakładania kar finansowych na organizacje, które odmawiają współpracy. Komisja Europejska i Europejska Rada Ochrony Danych (EROD) powinny ocenić, jakie narzędzia są potrzebne i w razie potrzeby wzmocnić ramy prawne;
3. Wymiana najlepszych praktyk – z powodu braku zasobów organy nadzorcze często muszą przedkładać rozpatrywanie skarg nad inne zadania. Aby lepiej wspierać organy w rozpatrywaniu dużej liczby skarg, EROD powinna zapewnić więcej wytycznych i ułatwić wymianę najlepszych praktyk. Może to również wymagać przyznania EROD większych zasobów;
4. Konsultacje i udzielanie porad – z organami nadzorczymi często nie konsultuje się nowych przepisów lub wyznacza się im napięte terminy. Niektóre organy publiczne również nie konsultują się z organami nadzorczymi przed rozpoczęciem operacji przetwarzania danych. Aby zapewnić, że zasady dotyczące ochrony danych są uwzględniane we wnioskach legislacyjnych, kraje UE powinny konsultować się z organami nadzorczymi i zasięgać ich porad z wyprzedzeniem. Powinny również zachęcać instytucje publiczne do bardziej systematycznych konsultacji z organami nadzorczymi;
5. Podnoszenie świadomości – ludzie nie rozumieją w pełni swojego prawa do ochrony danych osobowych. Organizacje przetwarzające dane osobowe mają trudności z identyfikacją i zapobieganiem zagrożeniom dla ochrony danych, zwłaszcza jeśli chodzi o systemy sztucznej inteligencji. Dlatego też przeprowadzanych jest bardzo niewiele ocen skutków dla ochrony danych. Instytucje UE i kraje UE powinny promować wiedzę na temat zasad i obowiązków w zakresie ochrony danych. EROD powinna opracować szczegółowe wytyczne dotyczące przetwarzania danych z wykorzystaniem nowych technologii;
6. Dostęp do danych na potrzeby badań – badacze nadal mają trudności z dostępem do danych, mimo że unijne przepisy o ochronie danych zezwalają na ich przetwarzanie do celów naukowych. EROD powinna opracować szczegółowe wytyczne i wyjaśnić, co jest możliwe na mocy prawa UE;
7. Nowe technologie – RODO zapewnia przydatne narzędzia do radzenia sobie z nowymi wyzwaniami technologicznymi, jednak wiele organów nadzorczych ma trudności z ich właściwym uregulowaniem. Wraz z organami nadzorczymi EROD powinna zidentyfikować konkretne obszary związane z technologią, w których potrzebna jest większa jasność. Organy nadzorcze powinny ściślej współpracować przy doradzaniu w zakresie nowych technologii.
Raport opiera się na 70 rozmowach przeprowadzonych przez FRA z przedstawicielami organów nadzorczych ze wszystkich 27 państw członkowskich UE. Rozmowy odbyły się między czerwcem 2022 r. a czerwcem 2023 r.
Raport dostępny jest po angielsku: Lack of resources undermine EU data protection enforcement | European Union Agency for Fundamental Rights (europa.eu)
