Digital Omnibus: EROD i EIOD popierają uproszczenia i wzmacnianie konkurencyjności, jednocześnie wskazując kluczowe zastrzeżenia

Europejska Rada Ochrony Danych oraz Europejski Inspektor Ochrony Danych przyjęli wspólną opinię dotyczącą projektu rozporządzenia Digital Omnibus. Celem tego projektu jest uproszczenie unijnego cyfrowego otoczenia regulacyjnego, zmniejszenie obciążeń administracyjnych oraz zwiększenie konkurencyjności europejskich organizacji.

EROD i EIOD koncentrują się na aspektach dotyczących RODO, rozporządzenia EUDPR, dyrektywy ePrivacy oraz tzw. Data Acquis. W szczególności oceniają, czy projekt:

1)prowadzi do rzeczywistego uproszczenia i ułatwia zgodność z przepisami,

2)zwiększa pewność prawa oraz

3)wpływa na prawa podstawowe osób.

Zmiany w RODO i EUDPR budzą poważne obawy

Na początku tego roku EROD rozpoczęła skoordynowaną akcję dotyczącą prawa do usunięcia danych, czyli „prawa do bycia zapomnianym” (art. 17 RODO). Raport z wynikami tej akcji zostanie przyjęty w nadchodzących miesiącach. Niektóre proponowane zmiany budzą istotne zastrzeżenia, ponieważ mogą negatywnie wpłynąć na poziom ochrony przysługujący osobom, tworzyć niepewność prawną oraz utrudniać stosowanie przepisów o ochronie danych.

– Zdecydowanie apelujemy, aby nie przyjmować proponowanych zmian definicji danych osobowych. Zmiany te nie są zgodne z orzecznictwem Trybunału i prowadziłyby do znaczącego zawężenia pojęcia danych osobowych. Musimy mieć pewność, że wszelkie zmiany RODO i EUDPR rzeczywiście doprecyzowują obowiązki i zwiększają pewność prawa, jednocześnie utrzymując zaufanie i wysoki poziom ochrony praw i wolności jednostki – podkreślił Europejski Inspektor Ochrony Danych, prof. Wojciech Wiewiórowski.

EROD i EIOD apelują do współprawodawców, aby nie przyjmowali proponowanych zmian definicji danych osobowych, ponieważ wykraczają one daleko poza zakres technicznej lub ukierunkowanej nowelizacji RODO. Ponadto nie odzwierciedlają one orzecznictwa TSUE i prowadziłyby do znaczącego

zawężenia pojęcia danych osobowych. Komisja Europejska nie powinna otrzymać uprawnienia do określania, w drodze aktu wykonawczego, jakie dane po pseudonimizacji nie są już danymi osobowymi, gdyż wpływa to bezpośrednio na zakres stosowania unijnego prawa ochrony danych.

– Uproszczenia są niezbędne, aby ograniczyć biurokrację i wzmocnić konkurencyjność UE, ale nie kosztem praw podstawowych. Z zadowoleniem przyjmujemy działania Komisji na rzecz większej harmonizacji, spójności i pewności prawa. Jednak zdecydowanie apelujemy, aby nie przyjmować proponowanych zmian definicji danych osobowych, ponieważ mogą one znacząco osłabić ochronę danych jednostek – powiedziała przewodnicząca EROD, Anu Talus.

Kroki w dobrym kierunku

EROD i EIOD popierają podniesienie progu ryzyka, od którego powstaje obowiązek zgłoszenia naruszenia ochrony danych do właściwego organu nadzorczego, oraz wydłużenie terminu na dokonanie takiego zgłoszenia. Zmiany te mogłyby znacząco zmniejszyć obciążenia administracyjne organizacji, nie obniżając poziomu ochrony danych osobowych. Pozytywnie oceniono również propozycję wprowadzenia wspólnych wzorów zgłoszeń naruszeń oraz list kontrolnych dla ocen skutków dla ochrony danych.

EROD i EIOD z zadowoleniem przyjmują także propozycję wprowadzenia nowego wyjątku umożliwiającego przetwarzanie szczególnych kategorii danych na potrzeby uwierzytelniania biometrycznego, gdy środki weryfikacji znajdują się pod wyłączną kontrolą osoby. Popierają również harmonizację pojęcia „badań naukowych” oraz powiązanych zmian, ponieważ zwiększają one pewność prawa i wspierają spójność regulacyjną.

Zmiany wymagające dopracowania

Jak wskazano w opinii EROD 28/2024 dotyczącej modeli AI, prawnie uzasadniony interes może w niektórych przypadkach stanowić podstawę prawną przetwarzania w kontekście rozwoju i wdrażania modeli lub systemów AI. Dlatego EROD i EIOD nie uważają za konieczne wprowadzania do RODO szczególnego przepisu w tym zakresie. EROD i EIOD pozytywnie oceniają zamiar wprowadzenia szczególnego wyjątku od zakazu przetwarzania danych wrażliwych, pod pewnymi warunkami, obejmującego incydentalne i szczątkowe przetwarzanie takich danych w kontekście rozwoju i działania systemów lub modeli AI. Zalecają jednak doprecyzowanie zakresu wyjątku oraz zapewnienie odpowiednich zabezpieczeń na każdym etapie cyklu życia danych.

EROD i EIOD zgadzają się z celem Komisji, jakim jest zapewnienie administratorom większej jasności prawnej w sytuacjach nadużywania praw przez osoby, których dane dotyczą. Uważają jednak, że wykonywanie prawa dostępu w celach innych niż ochrona danych osobowych nie powinno być elementem definiującym nadużycie. W odniesieniu do nowego wyjątku dotyczącego obowiązków informacyjnych, EROD i EIOD popierają uproszczenie wymogów i zmniejszenie obciążeń administracyjnych, zwłaszcza dla MŚP, ale sugerują doprecyzowania, aby zapewnić pewność prawa i zagwarantować, że osoby fizyczne nadal będą mogły otrzymać istotne informacje o swoich danych, gdy będzie to konieczne.

Ostatnia grupa zmian dotyczy zautomatyzowanego podejmowania decyzji indywidualnych – EROD i EIOD wskazują, że przepisy te wymagają doprecyzowania, aby były znaczące i prawnie spójne.

Zmiany w dyrektywie ePrivacy

EROD i EIOD popierają cel polegający na znalezieniu rozwiązania regulacyjnego dla problemu „zmęczenia zgodami” oraz nadmiaru banerów cookie. Dotyczy to m.in. proponowanych wymogów dotyczących stosowania zautomatyzowanych i możliwych do odczytu maszynowego sygnałów wyrażających wybory użytkowników dotyczące przetwarzania ich danych. Wykorzystanie środków technicznych może ułatwić administratorom zgodność z przepisami oraz pomóc osobom w skutecznym egzekwowaniu ich wyborów on-line.

EROD i EIOD pozytywnie oceniają również ograniczone dodatkowe wyjątki od ogólnego zakazu przechowywania lub uzyskiwania dostępu do danych w urządzeniach końcowych. Zachęcają współprawodawców do promowania reklamy kontekstowej zamiast behawioralnej poprzez dodanie szczególnego wyjątku otoczonego odpowiednimi zabezpieczeniami.

Obie instytucje z zadowoleniem przyjmują także fakt, że nadzór nad tymi kwestiami zostanie powierzony organom ochrony danych. Jednocześnie podkreślają trudności prawne i techniczne wynikające z współistnienia dwóch różnych reżimów dla danych osobowych i nieosobowych. Przedstawiają także dodatkowe rekomendacje mające na celu zwiększenie pewności prawa, minimalizację ryzyka oraz wspieranie odpowiedzialnej innowacji.

Zmiany w Data Acquis

EROD i EIOD popierają uproszczenie Data Acquis poprzez włączenie do Data Act przepisów Data Governance Act oraz dyrektywy Open Data dotyczących ponownego wykorzystywania danych i dokumentów będących w posiadaniu podmiotów sektora publicznego. W odniesieniu do dostępu przyznawanego przez podmioty publiczne na potrzeby ponownego wykorzystywania danych zalecają utrzymanie jasności obecnych przepisów – w szczególności tego, że nie nakładają one obowiązku umożliwienia ponownego wykorzystywania danych ani nie stanowią podstawy prawnej do udzielania takiego dostępu.

W kontekście sytuacji nadzwyczajnych EROD i EIOD zalecają potwierdzenie, że dane osobowe mogą być udostępniane podmiotom sektora publicznego wyłącznie w formie pseudonimizowanej, jeśli dane anonimowe są niewystarczające do reagowania na sytuację kryzysową. W odniesieniu do usług pośrednictwa danych i organizacji altruizmu danych EROD i EIOD podkreślają znaczenie odpowiedzialnego i godnego zaufania udostępniania danych. Zalecają utrzymanie szczególnych zabezpieczeń, promowanie przejrzystości i nadzoru.

EROD i EIOD rekomendują dalsze uspójnienie przepisów dotyczących egzekwowania prawa (np. poprzez umożliwienie wymiany informacji między organami regulacyjnymi, w tym organami ochrony danych, oraz doprecyzowanie roli organów ochrony danych w egzekwowaniu Data Act). Z zadowoleniem przyjmują też potwierdzenie roli Europejskiej Rady ds. Innowacji w Dziedzinie Danych (EDIB) we wspieraniu spójnego stosowania Data Act. W odniesieniu do wytycznych zalecają umożliwienie Komisji wydawania wytycznych dotyczących dowolnego aspektu Data Act oraz doprecyzowanie roli EDIB jako organu wspierającego Komisję w tym procesie. Pozwoliłoby to Komisji opracowywać wspólne wytyczne z EROD, a EDIB – doradzać i wspierać Komisję w ich przygotowaniu.

Źródło:

Komunikat Europejskiej Rady Ochrony Danych: Digital Omnibus: EDPB and EDPS supportsimplificationand competitivenesswhileraisingkeyconcerns| EuropeanData ProtectionBoard