KOMISJA EUROPEJSKA

Bruksela, dnia 14.10.2022

COM(2022) 530 final

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY

Pierwsze sprawozdanie w sprawie stosowania rozporządzenia o ochronie danych dotyczącego instytucji, organów i jednostek organizacyjnych Unii
(rozporządzenia 2018/1725)

Spis treści

1    Wprowadzenie    

2    Oddzielne przepisy o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii dostosowane do prawodawstwa UE w dziedzinie ochrony danych    

3    Wdrażanie rozporządzenia 2018/1725 w instytucjach, organach i jednostkach organizacyjnych Unii    

3.1    Rola instytucji, organów i jednostek organizacyjnych Unii jako administratorów    

3.2    Wykonywanie praw osób, których dane dotyczą    

3.3    Ograniczanie praw osób, których dane dotyczą, za sprawą przepisów wewnętrznych    

3.4    Inspektorzy ochrony danych    

3.5    Oceny skutków dla ochrony danych    

3.6    Międzynarodowe przekazywanie danych    

4    Działania EIOD    

4.1    EIOD jako organ nadzorujący ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii    

4.2    EIOD jako doradca prawodawcy Unii    

4.3    Współpraca między EIOD a krajowymi organami ochrony danych    

4.4    Zasoby EIOD    

5    Korzystanie przez Komisję z jej uprawnień do przyjmowania aktów delegowanych i wykonawczych    

6    Przepisy o ochronie danych dotyczące jednostek organizacyjnych zajmujących się współpracą policyjną i współpracą wymiarów sprawiedliwości w sprawach karnych    

6.1    Rozszerzenie zakresu stosowania rozdziału dotyczącego ścigania przestępstw    

6.2    Doprecyzowanie zasad stosowania niektórych przepisów rozporządzenia do przetwarzania danych operacyjnych    

6.3    Uprawnienia EIOD dotyczące nadzoru nad jednostkami organizacyjnymi UE    

7    Dalsze działania    

ZAŁĄCZNIK    

1Wprowadzenie 

Rozporządzenie o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii 1 („rozporządzenie 2018/1725” lub „rozporządzenie”) stanowi główne 2 ramy regulacyjne ochrony danych przez instytucje, organy i jednostki organizacyjne Unii, gdy przetwarzają one dane osobowe jako administratorzy lub podmioty przetwarzające. Rozporządzenie to jest częścią filaru dobrych rządów i dobrego postępowania administracyjnego na szczeblu UE. Ma zastosowanie od 11 grudnia 2018 r. 3 , kiedy to uchyliło i zastąpiło poprzedzające je rozporządzenie (WE) nr 45/2001 4 .

W niniejszym komunikacie przedstawiono pierwsze sprawozdanie w sprawie stosowania rozporządzenia 2018/1725, zgodnie z jego art. 97. Dokonano w nim również przeglądu aktów prawnych przyjętych na podstawie Traktatów, które to akty prawne regulują przetwarzanie operacyjnych danych osobowych 5 przez organy lub jednostki organizacyjne Unii wykonujące czynności, które wchodzą w zakres współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych 6 , zgodnie z art. 98 rozporządzenia.

Komisja zgromadziła informacje dotyczące stosowania rozporządzenia przy pomocy ankiety, którą rozpoczęto w październiku 2021 r., i w ramach której zaproszono instytucje, organy i jednostki organizacyjne Unii do podzielenia się swoimi doświadczeniami w stosowaniu rozporządzenia. Na zaproszenie to odpowiedziało łącznie 56 7 instytucji, organów i jednostek organizacyjnych Unii, a statystyki przedstawione w niniejszym sprawozdaniu opierają się na tych odpowiedziach 8 . Odrębny wniosek o przedstawienie uwag przesłano do Europejskiego Inspektora Ochrony Danych (EIOD) jako do organu pełniącego rolę nadzorczą 9 . Ponadto Komisja opublikowała również zaproszenie do zgłaszania uwag 10 , co umożliwiło także społeczeństwu przedstawienie swoich uwag. W niniejszym sprawozdaniu omówiono kwestie poruszone w bardzo nielicznych zgłoszeniach otrzymanych w odpowiedzi na zaproszenie do zgłaszania uwag.

W niniejszym sprawozdaniu wskazano, że rozporządzenie 2018/1725 stanowi część unijnych ram ochrony danych, przedstawiono jego zastosowanie w działaniach instytucji, organów i jednostek organizacyjnych Unii i EIOD oraz przeanalizowano stosowanie rozdziału, który ma zastosowanie do unijnych jednostek organizacyjnych prowadzących działania w zakresie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Sprawozdanie zakończono zarysowaniem dalszych działań.

2Oddzielne przepisy o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii dostosowane do prawodawstwa UE w dziedzinie ochrony danych

Głównymi instrumentami w dziedzinie ochrony danych w UE są ogólne rozporządzenie o ochronie danych („RODO”) 11 , dyrektywa o ochronie danych w sprawach karnych 12 oraz dyrektywa o prywatności i łączności elektronicznej 13 . Nie mają one jednak zastosowania do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii 14 . Potrzebne są zatem odrębne, lecz spójne z powyższymi aktami przepisy o ochronie danych dotyczące konkretnie instytucji, organów i jednostek organizacyjnych Unii. Przepisy te określono właśnie w rozporządzeniu 2018/1725.

W celu zapewnienia spójnego podejścia do ochrony danych osobowych i swobodnego przepływu takich danych w UE rozporządzenie 2018/1725 dostosowano w miarę możliwości do przepisów o ochronie danych przyjętych w odniesieniu do sektora publicznego, określonych w RODO i w dyrektywie o ochronie danych w sprawach karnych. W każdym przypadku, w którym przepisy rozporządzenia 2018/1725 opierają się na tych samych założeniach, co przepisy RODO, należy interpretować je tak samo, gdyż należy uznawać je za równoważne z RODO 15 . To samo można przyjąć w odniesieniu do przepisów spójnych z dyrektywą o ochronie danych w sprawach karnych.

Jak opisano w punktach poniżej, rozporządzenie 2018/1725 dostosowano do szczególnego kontekstu instytucji, organów i jednostek organizacyjnych Unii.

·Ponieważ zakres jego stosowania dotyczy wyłącznie instytucji, organów i jednostek organizacyjnych Unii jako organów publicznych, pominięto w nim kilka przepisów z RODO, które mają zastosowanie wyłącznie do sektora prywatnego. Nie przewidziano w nim na przykład możliwości, by podstawą prawną przetwarzania danych były „prawnie uzasadnione interesy” administratora 16 .

·W rozporządzeniu 2018/1725 nie powtórzono jako takich kilku uprawnień Komisji do przyjmowania aktów wykonawczych lub delegowanych, lecz zamiast tego zawarto w nim odesłania do RODO lub dyrektywy o ochronie danych w sprawach karnych. Rozporządzenie 2018/1725 nie przewiduje na przykład mechanizmu umożliwiającego przyjmowanie decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do międzynarodowego przekazywania danych, jednak instytucje, organy i jednostki organizacyjne Unii mogą opierać się również na decyzjach stwierdzających odpowiedni stopień ochrony przyjętych na podstawie RODO lub dyrektywy o ochronie danych w sprawach karnych.

·W rozporządzeniu 2018/1725 ustanowiono też bezpośrednio Europejskiego Inspektora Ochrony Danych (EIOD), określając jego zadania, uprawnienia i procedury jego powoływania. Zgodnie z RODO i dyrektywą o ochronie danych w sprawach karnych odpowiednie organy nadzorcze ustanawia się na podstawie prawa krajowego, zgodnie z wymogami tych dwóch aktów prawnych.

·Rozdział rozporządzenia mający zastosowanie do organów i jednostek organizacyjnych UE w obszarze ścigania przestępstw 17 jest dla tych organów i jednostek organizacyjnych funkcjonalnie równoważny z dyrektywą o ochronie danych w sprawach karnych. Jako że rozporządzenie jest stosowane bezpośrednio, jego przepisy są jednak sformułowane w odmienny sposób. Określono w nim ogólne przepisy, które należy w stosownych przypadkach uzupełnić przepisami szczegółowymi w dokumentach ustanawiających organy i jednostki organizacyjne działające w tym obszarze. Określono w nim dostosowany system przetwarzania operacyjnych danych osobowych, przy uwzględnieniu szczególnego charakteru tego sektora, np. przepisów dotyczących informowania osób, których dane dotyczą, co zapewnia ochronę w ramach postępowania przygotowawczego.

3Wdrażanie rozporządzenia 2018/1725 w instytucjach, organach i jednostkach organizacyjnych Unii

3.1Rola instytucji, organów i jednostek organizacyjnych Unii jako administratorów

Zasadniczo informacje zwrotne otrzymane od instytucji, organów i jednostek organizacyjnych Unii wskazują, że pierwsze lata stosowania rozporządzenia skutecznie przyczyniły się do poprawy ich ogólnej kultury ochrony danych. W tym względzie 94 % instytucji, organów i jednostek organizacyjnych Unii stwierdziło, że wejście w życie rozporządzenia zwiększyło w ich organizacji znajomość przepisów o ochronie danych w pewnym lub w dużym stopniu. Zasadniczo instytucje, organy i jednostki organizacyjne Unii wskazały, że rozporządzenie wywarło pozytywny wpływ na ich politykę ochrony danych, a ich personel ma większą świadomość co do rozliczalności własnej organizacji jako administratora danych oraz co do wymogów dotyczących przetwarzania danych osobowych.

Jako główne oddziaływanie rozporządzenia 2018/1725 w porównaniu z uchylonym rozporządzeniem nr 45/2001 wskazano prowadzenie oceny skutków dla ochrony danych, identyfikowanie naruszeń ochrony danych i zarządzanie tymi naruszeniami oraz uwzględnianie ochrony danych w fazie projektowania i domyślną ochronę danych. W rozporządzeniu 2018/1725, tak samo jak w RODO, bardziej widoczna jest możliwość współadministrowania – gdy większa liczba organizacji wspólnie określa cele i sposoby przetwarzania danych osobowych. EIOD przygotował wytyczne 18 na ten temat a Komisja opracowała wewnętrzne wzory ustaleń współadministratorów.

Chociaż co do zasady instytucje, organy i jednostki organizacyjne Unii z zadowoleniem przyjęły dodatkowe wymogi dotyczące rozliczalności niezbędne do wykazania zgodności z rozporządzeniem 2018/1725, niektóre z nich zauważyły, że przepisy rozporządzenia wiążą się z większym obciążeniem pracą. Zauważyły również, że w rozporządzeniu 2018/1725 ustanowiono stosunkowo skomplikowane przepisy, w związku z którymi w instytucjach, organach i jednostkach organizacyjnych Unii potrzeba więcej wiedzy fachowej, w tym wśród inspektorów ochrony danych (IOD), a także w sieciach koordynatorów ds. ochrony danych w tych instytucjach, organach i jednostkach organizacyjnych Unii, które posiadają takie sieci.

Wszystkie instytucje, organy i jednostki organizacyjne Unii poza dwiema prowadzą rejestry czynności przetwarzania w formie centralnego rejestru. Mimo że nie jest to szczególny wymóg na podstawie rozporządzenia, stanowi to dobrą praktykę, którą zaleca również EIOD 19 . Ponadto 72 % instytucji, organów i jednostek organizacyjnych Unii przekształciło wszystkie swoje powiadomienia do inspektora ochrony danych realizowane na podstawie poprzedniego rozporządzenia 20 w rejestry. Te z nich, które nie ukończyły jeszcze tego zadania, powinny dokonać przeglądu swojej dokumentacji dotyczącej operacji przetwarzania i zaktualizować ją, aby zagwarantować, że jest kompletna i aktualna.

3.2Wykonywanie praw osób, których dane dotyczą 

W rozporządzeniu zapewniono osobom, których dane dotyczą, szeroki zakres praw dotyczących przetwarzania ich danych osobowych, spójnych z RODO. Działając jako administratorzy, instytucje, organy i jednostki organizacyjne Unii mają szczególny obowiązek zapewniania łatwego wykonywania tych praw 21 . W związku z tym 96 % z nich wskazało, że przeprowadziły działania zwiększające świadomość, takie jak aktualizacja dostępnych publicznie informacji dotyczących ich operacji przetwarzania, wiadomości informacyjne czy przewodniki dla osób, których dane dotyczą.

Szereg z nich, na przykład Komisja, Europejski Bank Centralny i Europejska Służba Działań Zewnętrznych, zgłosiło wyraźny wzrost liczby żądań otrzymanych od osób fizycznych w latach 2018–2021 22 . W przypadku innych, takich jak Trybunał Sprawiedliwości Unii Europejskiej, Europejski Komitet Ekonomiczno-Społeczny i Agencja Unii Europejskiej ds. Azylu, dane liczbowe były jednak na stałym poziomie lub zmieniały się bez wyraźnej tendencji. Nie można jeszcze zaobserwować wyraźnej tendencji w liczbie żądań otrzymywanych od osób, których dane dotyczą, w następstwie wejścia w życie rozporządzenia 2018/1725, gdyż sposób rejestrowania różnych rodzajów żądań różni się między poszczególnymi instytucjami, organami i jednostkami organizacyjnymi Unii.

3.3Ograniczanie praw osób, których dane dotyczą, za sprawą przepisów wewnętrznych

Podobnie jak w przypadku RODO, w rozporządzeniu 2018/1725 23 przewidziano możliwość ograniczenia niektórych praw osób, których dane dotyczą. Można to zrobić przy pomocy aktów ustawodawczych i przepisów wewnętrznych 24 . Do takich przepisów wewnętrznych mają zastosowanie surowe kryteria. Przepisy takie muszą być jasne i precyzyjne, a ich stosowanie musi być przewidywalne dla osób, które im podlegają. Przepisy takie muszą być opublikowane w Dzienniku Urzędowym Unii Europejskiej i spełniać wymogi określone w Karcie praw podstawowych i w europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności 25 .

Ograniczenia opierające się na przepisach wewnętrznych mogą wiązać się wyłącznie z działalnością instytucji, organów i jednostek organizacyjnych Unii. Nie mogą one naruszać praw podstawowych, muszą stanowić niezbędne i proporcjonalne środki w demokratycznym społeczeństwie oraz muszą służyć zabezpieczeniu jednego z celów wyraźnie określonych w rozporządzeniu 26 . Każdej osobie, której dane dotyczą, i której prawa ograniczono, przysługuje prawo wniesienia skargi do EIOD 27 .

Znaczna większość instytucji, organów i jednostek organizacyjnych Unii (84 %) przyjęła przepisy wewnętrzne. Takie przepisy wprowadzono na przykład w celu umożliwienia odroczenia przekazania informacji osobie, której dotyczy wewnętrzne dochodzenie administracyjne 28 . W innych przypadkach przepisy takie miały na celu zapewnienie stałej skutecznej współpracy z państwami członkowskimi w tych obszarach, w których działania instytucji, organów i jednostek organizacyjnych Unii opierają się na informacjach otrzymanych od właściwych organów państw członkowskich. Na przykład przepisy wewnętrzne przyjęte przez Komisję w odniesieniu do przetwarzania danych osobowych do celów działań w zakresie konkurencji, zwalczania nadużyć finansowych i audytu wewnętrznego obejmują możliwość ograniczenia praw osób, których dane dotyczą, gdy dane uzyskano od właściwych organów państw członkowskich 29 . W przepisach tych określono możliwość nałożenia podobnych ograniczeń w przypadku, gdy organy krajowe nałożyły ograniczenia aktem prawnym na podstawie RODO 30 lub dyrektywy o ochronie danych w sprawach karnych 31 .

Jeżeli instytucja, organ lub jednostka organizacyjna Unii przyjęły przepisy wewnętrzne umożliwiające ograniczenie praw osób, których dane dotyczą, stosuje się je zazwyczaj indywidualnie do każdego przypadku, zgodnie z wymogami ujętymi w ich odpowiednich przepisach wewnętrznych. 69 % instytucji, organów i jednostek organizacyjnych Unii, które przyjęły przepisy, o których mowa w art. 25, wskazuje jednak, że jeszcze z nich nie korzystało. Te z nich, które korzystały z tych przepisów, zgłosiły poniżej 10 przypadków wprowadzenia ograniczeń, z wyjątkiem Parlamentu Europejskiego i Komisji. Potrzeba stosowania ograniczeń częściej pojawiała się w działaniach OLAF, szczególnie w odniesieniu do odraczania przekazywania osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, gdy dochodzenie jest jeszcze na wczesnym etapie, aby nie zaszkodzić gromadzeniu dowodów. OLAF zastosował również kilka ograniczeń dotyczących żądań dostępu do własnych danych osobowych osób, których dane dotyczą, które to żądania spotkały się z odmową wyłącznie w celu ochrony praw i wolności innych osób 32 , np. wyjawienie danych naraziłoby informatora na działania odwetowe.

Przepisy wewnętrzne instytucji, organów i jednostek organizacyjnych Unii zawierają zazwyczaj wymóg poinformowania własnego IOD o wszelkich stosowanych ograniczeniach i udostępnienia mu rejestru oraz wszelkich dokumentów dotyczących tych ograniczeń 33 .

3.4Inspektorzy ochrony danych

Obowiązek wyznaczenia IOD przez każdą instytucję, każdy organ i każdą jednostkę organizacyjną Unii określono już w rozporządzeniu nr 45/2001. W rozporządzeniu 2018/1725 zapewniono tej roli większą widoczność, wprowadzając zasadę rozliczalności. Oznacza to, że administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych i musi być w stanie wykazać, że są one przestrzegane.

W 46 % instytucji, organów i jednostek organizacyjnych Unii IOD korzystają ze wsparcia sieci koordynatorów ds. ochrony danych lub podobnych struktur 34 . Większe instytucje i jednostki częściej posiadają takie sieci (np. Parlament Europejski, Sekretariat Generalny Rady, Komisja i Europejska Służba Działań Zewnętrznych [ESDZ]). Ta ostatnia organizuje również i utrzymuje w delegaturach Unii sieć korespondentów ds. ochrony danych.

Wiele instytucji, organów i jednostek organizacyjnych Unii odnotowało więcej obowiązków i większe obciążenie pracą u swoich IOD (i co za tym idzie – koordynatorów ds. ochrony danych). Potwierdziły one, że trzeba przyznać IOD (i koordynatorom ds. ochrony danych) więcej zasobów i zapewnić, aby mogli skutecznie realizować politykę ochrony danych swoich instytucji, organów i jednostek organizacyjnych Unii. Wskazano również potrzebę zapewnienia IOD niezależności.

W tym kontekście występują dwie tendencje. Z jednej strony w rozporządzeniu 2018/1725 położono większy nacisk na rozliczalność administratorów, np. likwidując procedurę wstępnej kontroli, która istniała na podstawie obowiązującego wcześniej rozporządzenia nr 45/2001, zmniejszając tym samym obciążenie administracyjne. Z drugiej strony administratorzy zwracają się do IOD lub koordynatorów ds. ochrony danych o dokładniejsze wytyczne co do tego, w jaki sposób najlepiej przestrzegać przepisów rozporządzenia 2018/1725. W tym względzie zauważono, że sieć inspektorów ochrony danych instytucji, organów i jednostek organizacyjnych Unii stała się istotnym forum do omawiania i wyjaśniania prawnych i technicznych kwestii szczególnych dla przetwarzania danych przez te instytucje, organy i jednostki. Sieć ta stanowi platformę wymiany informacji między IOD i EIOD oraz między samymi IOD. Jej członkowie prowadzą stałą współpracę i zazwyczaj spotykają się dwa razy w roku.

Ponad połowa (54 %) instytucji, organów i jednostek organizacyjnych Unii przeznaczyła więcej zasobów na swoich IOD i ogólnie osoby pełniące funkcje związane z ochroną danych. Większość (84 %) instytucji, organów i jednostek organizacyjnych Unii dostosowała swoje wewnętrzne procesy w celu zapewnienia, aby ich personel informował IOD o nowych operacjach przetwarzania danych osobowych i konsultował je z nimi. Zazwyczaj dokonuje się tego poprzez włączenie IOD np. w proces zarządzania zmianami lub do rady kierowniczej projektu.

3.5Oceny skutków dla ochrony danych

Najwięcej ocen skutków dla ochrony danych przeprowadziły Europejski Bank Centralny, Europejski Bank Inwestycyjny i Komisja. W porównaniu z działającym wcześniej na podstawie rozporządzenia nr 45/2001 systemem „kontroli wstępnej” 35 znacznie spadła liczba spraw przesyłanych do EIOD. Było to spodziewaną konsekwencją tej zmiany i ograniczyło konsultacje z EIOD dotyczące administracyjnych operacji przetwarzania, takich jak ocena pracowników.

W tabeli 1 przedstawiono przegląd ocen skutków dla ochrony danych przeprowadzonych przez instytucje, organy i jednostki organizacyjne Unii w latach 2019–2021.

Prawie wszystkie (94 %) instytucje, organy i jednostki organizacyjne Unii zgodziły się, że kryteria rozporządzenia 2018/1725 36 dotyczące sytuacji, w których muszą one przeprowadzić ocenę skutków dla ochrony danych, odpowiednio uwzględniają operacje przetwarzania wiążące się z wysokim ryzykiem. Te z nich, które się nie zgodziły z tym stwierdzeniem, podkreśliły, że przy interpretacji tych kryteriów EIOD powinien wziąć pod uwagę rozwój technologiczny. Na przykład przetwarzanie w chmurze nie należy już do „nowych technologii”, i należy to uwzględnić przy ocenie, czy konieczne jest prowadzenie oceny skutków dla ochrony danych. Instytucje, organy i jednostki organizacyjne Unii, które podniosły tę kwestię, zasadniczo uważają, że sam akt prawny jest wystarczająco jasny, i że jest to kwestią interpretacji przez EIOD.

Rozporządzenie nie zawiera żadnego konkretnego obowiązku publikowania wyników oceny skutków dla ochrony danych. Znaczna większość (84 %) instytucji, organów i jednostek organizacyjnych Unii nie publikuje przeprowadzonych przez siebie ocen skutków dla ochrony danych, 14 % natomiast publikuje je częściowo lub w formie podsumowania, usuwając informacje, które mogłyby stanowić naruszenie przyjętych zabezpieczeń związanych z bezpieczeństwem danych. Tylko jeden z tych podmiotów wskazał, że publikuje oceny skutków dla ochrony danych w całości. Publikacja ocen skutków dla ochrony danych, przy usunięciu w stosownych przypadkach informacji, które mogłyby zagrozić bezpieczeństwu operacji przetwarzania, zwiększa przejrzystość dotyczącą przestrzegania przepisów rozporządzenia przez instytucje, organy i jednostki organizacyjne Unii i stanowi dobrą praktykę zalecaną przez EIOD 37 .

3.6Międzynarodowe przekazywanie danych

Niemal wszystkie instytucje, organy i jednostki organizacyjne Unii (91 %) zgłosiły, że ich działania obejmują międzynarodowe przekazywanie danych osobowych, w tym przekazywanie danych do państw niebędących członkami UE/EOG, jak również do organizacji międzynarodowych. Kilka z nich wskazało jednak, że przekazywanie to odbywa się rzadko lub dotyczy wyłącznie ograniczonej ilości danych osobowych. W odniesieniu do stosowanych narzędzi przekazywania instytucje, organy i jednostki organizacyjne Unii odwoływały się w większości do decyzji stwierdzających odpowiedni stopień ochrony (przyjmowanych na podstawie RODO 38 lub dyrektywy o ochronie danych w sprawach karnych 39 ) i umów, np. w przypadku przekazywania danych prywatnym przedsiębiorstwom. W odniesieniu do przekazywania danych podmiotom prawa publicznego, stosowane są również inne narzędzia, takie jak prawnie wiążące umowy i porozumienia administracyjne. Ponadto 51 % instytucji, organów i jednostek organizacyjnych Unii wskazało, że prowadzi ograniczone, okazjonalne przekazywanie danych, np. w celu organizacji szkolenia, na podstawie ustawowego uzasadnienia przekazywania danych („wyjątki”) 40 .

W praktyce przekazywania danych nie dokonują zazwyczaj bezpośrednio instytucje, organy i jednostki organizacyjne Unii, lecz ich podmioty przetwarzające (niebędące instytucjami, organami ani jednostkami organizacyjnymi Unii) działające w ich imieniu. Komisja uregulowała zatem sytuację związaną z tym konkretnym scenariuszem w postaci standardowych klauzul umownych przyjętych na podstawie RODO w czerwcu 2021 r. 41 , aby pomóc administratorom i podmiotom przetwarzającym w zachowaniu zgodności z wymogami zarówno RODO, jak i rozporządzenia 2018/1725. W szczególności podmioty przetwarzające w Europejskim Obszarze Gospodarczym (EOG) mają możliwość włączenia tych standardowych klauzul umownych dotyczących międzynarodowego przekazywania danych do umów zawieranych z podwykonawcami przetwarzania w państwach trzecich 42 . Zapewnia to zachowanie zgodności z przepisami rozporządzenia 2018/1725 43 dotyczącymi korzystania z usług podwykonawców przetwarzania działających w imieniu instytucji, organów i jednostek organizacyjnych Unii, pod warunkiem zgodności obowiązków ochrony danych w umowach między: (i) instytucją, organem lub jednostką organizacyjną Unii a podmiotem przetwarzającym oraz (ii) podmiotem przetwarzającym i jego podwykonawcą przetwarzania 44 . Instytucje, organy i jednostki organizacyjne Unii mogą zapewnić taką zgodność, stosując standardowe klauzule umowne, które Komisja przyjęła w odniesieniu do relacji między administratorami a podmiotami przetwarzającymi 45 .

W celu dostarczenia dodatkowych narzędzi zapewniających odpowiednie zabezpieczenia bezpośredniego przekazywania danych z instytucji, organów i jednostek organizacyjnych Unii do państw trzecich (tj. bez udziału podmiotu przetwarzającego z UE/EOG) Komisja opracowuje obecnie standardowe klauzule umowne na podstawie art. 48 ust. 2 lit. b) rozporządzenia 2018/1725. Klauzule te będą w największym możliwym zakresie zgodne z istniejącymi klauzulami przyjętymi na podstawie RODO.

Ponadto, z uwagi na szczególne kwestie, jakie pojawiają się przy przekazywaniu danych osobowych do organizacji międzynarodowych (np. ze względu na status organizacji międzynarodowych oraz mające zastosowanie przywileje i immunitety), Komisja dąży do opracowania wspólnie z inspektorami ochrony danych instytucji, organów i jednostek organizacyjnych Unii konkretnych narzędzi (np. porozumień administracyjnych) dostosowanych do takiego przekazywania.

4Działania EIOD

4.1EIOD jako organ nadzorujący ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii

EIOD jest niezależnym organem nadzorującym ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii 46 , a jego rola jest podobna do roli krajowych organów nadzorczych ds. ochrony danych ustanawianych w państwach członkowskich na podstawie RODO i dyrektywy o ochronie danych w sprawach karnych.

W tabeli 2 w załączniku przedstawiono przegląd działań nadzorczych EIOD w latach 2018–2021. Ponieważ rozporządzenie 2018/1725 weszło w życie 11 grudnia 2018 r. 47 , dane liczbowe dotyczące 2018 r. stanowią podstawę porównania w sytuacją, jaka miała miejsce podczas obowiązywania poprzedniego rozporządzenia nr 45/2001.

EIOD odnotował zmianę tematów konsultacji otrzymywanych od instytucji, organów i jednostek organizacyjnych Unii od momentu rozpoczęcia stosowania rozporządzenia 2018/1725 w kierunku ich głównej działalności. Oznacza to zmianę w kierunku kwestii dotyczących przetwarzania danych osobowych do celów realizacji zadań przypisanych instytucjom, organom i jednostkom organizacyjnym Unii, wykonywanych w interesie publicznym, i odchodzenie od tematów „administracyjnych”, takich jak zarządzanie personelem.

W latach 2019–2021 wzrosła liczba niedopuszczalnych skarg otrzymywanych przez EIOD 48 . Większość skarg, które uznano za niedopuszczalne, było skierowanych przeciwko administratorom w państwach członkowskich, którzy nie podlegają nadzorowi EIOD, lecz swoich krajowych organów ochrony danych. Dane liczbowe za 2018 r. były najprawdopodobniej wyższe z tego względu, że zaczęło obowiązywać RODO. Przyczyniło się to do zwiększenia świadomości na temat przepisów o ochronie danych wśród ludności, lecz również do zwiększenia liczby niedopuszczalnych skarg. EIOD może również umorzyć dopuszczalne skargi, jeżeli uda się znaleźć ugodowe rozwiązanie.

W odniesieniu do inspekcji i audytów w 2019 r. nastąpił wzrost w porównaniu z 2018 r., po którym to wzroście nastąpił spadek w latach 2020 i 2021. Można to wyjaśnić pandemią COVID-19, która utrudniła odbywanie kontroli na miejscu i doprowadziła do ich zastąpienia zdalnymi audytami. EIOD dokonuje oceny ryzyka, aby zdecydować w których instytucjach, organach i jednostkach organizacyjnych Unii należy dokonać inspekcji. Ocena taka uwzględnia np. liczbę przedłożonych konsultacji, szczególnie jeżeli przetwarzane są szczególne kategorie danych jako część głównej działalności. EIOD może również zdecydować o przeprowadzeniu postępowań z własnej inicjatywy, np. dotyczących korzystania przez instytucje, organy i jednostki organizacyjne Unii z usług dostawców usług w chmurze.

W odniesieniu do naruszeń ochrony danych EIOD zgłosił, że w większości przypadków przyczyną był błąd ludzki, następnie były to błędy techniczne i zewnętrzne ataki 49 .

EIOD wykorzystał większość swoich uprawnień wynikających z rozporządzenia 2018/1725, w tym np. wprowadzenie czasowego zakazu operacji przetwarzania 50 . Nie wykorzystał dotychczas swojego nowego uprawnienia polegającego na nakładaniu administracyjnych kar pieniężnych, które jest na podstawie rozporządzenia środkiem ostatecznym 51 .

EIOD wskazał również w swoich uwagach na potrzeby niniejszego sprawozdania, że po wejściu w życie rozporządzenia 2018/1725 zainwestował w działania zwiększające świadomość, takie jak szkolenie, w którym w szczytowym 2019 r. wzięło udział, według szacunków, ponad 4 600 uczestników. Chociaż liczba uczestników spadła w latach 2020 i 2021, wciąż jest znacznie wyższa od szacunkowej liczby 1 000 uczestników w 2018 r., będącym rokiem odniesienia.

Informacje zwrotne uzyskane od instytucji, organów i jednostek organizacyjnych Unii na temat interakcji z EIOD i otrzymanych od niego wytycznych były w większości pozytywne – 86 % z nich wskazało, że odpowiedzi były zawsze lub w większości zrozumiałe. Instytucje, organy i jednostki organizacyjne Unii doceniły również zwiększone kontakty EIOD z siecią IOD.

Niektóre z nich zauważyły jednak, że porady EIOD docierały czasem zbyt późno 52 . Podkreśliły one znaczenie stałego wsparcia i porad ze strony EIOD i wezwały do udzielania terminowych i praktycznych wytycznych dotyczących niektórych kwestii z zakresu ochrony danych. Kwestie te obejmują wdrażanie podejścia opartego na analizie ryzyka w odniesieniu do administratorów, międzynarodowe przekazywanie danych i stosunki między administratorami (w tym współadministratorami) a ich podmiotami przetwarzającymi.

4.2EIOD jako doradca prawodawcy Unii

Komisja konsultuje się formalnie 53 z EIOD, szczególnie w sprawie wniosków ustawodawczych mających wpływ na przetwarzanie danych osobowych, po przyjęciu tych wniosków przez kolegium 54 . EIOD odpowiada na te konsultacje w formie opinii lub uwag 55 . EIOD wydaje również opinie z własnej inicjatywy, takie jak wstępna opinia w sprawie europejskiej przestrzeni danych dotyczących zdrowia 56 . Jeżeli wniosek ma szczególne znaczenie dla ochrony danych, Komisja może również skonsultować się z Europejską Radą Ochrony Danych (EROD). W takim przypadku EIOD i EROD powinni wydać wspólną opinię 57 w celu zapewnienia, aby prawodawca Unii uzyskał spójną poradę.

Komisja konsultuje się również z EIOD w sposób nieformalny przed przyjęciem przez kolegium aktów podlegających wymogom konsultacji. W odpowiedzi na takie konsultacje EIOD przedstawia Komisji nieformalne uwagi. Możliwość ta pomaga zapewnić pełną zgodność aktów wydawanych przez Komisję z przepisami o ochronie danych przed przyjęciem tych aktów. Nieformalne konsultacje prowadzi się szczególnie w przypadku aktów prawnych, które dotyczą kwestii szczególnie wrażliwych lub które mają większy wpływ na ochronę danych.

Działanie EIOD jako doradcy prawodawcy Unii zależy od liczby nowych wniosków przygotowanych przez Komisję. Po niższej liczbie takich wniosków składanych w ostatnim roku działalności ustępującej Komisji w 2021 r. wystąpił wyraźny wzrost uwag formalnych wynikający z większej liczby wniosków ustawodawczych i starań Komisji na rzecz zapewnienia konsekwentnej realizacji obowiązku konsultowania się z EIOD 58 . Obejmuje to akty wykonawcze i delegowane, które obejmują przetwarzanie danych osobowych. Po wejściu w życie rozporządzenia 2018/1725 Sekretariat Generalny Komisji opracował odpowiednie procedury i zwiększył świadomość służb odnośnie do wymogu konsultacji z EIOD. Wskutek tego działania zwiększyła się systematyczność konsultacji, w tym tych dotyczących aktów wykonawczych i delegowanych. Do celów planowania EIOD i służby Komisji organizują coroczne spotkania dotyczące nadchodzącego programu prac i wniosków, które będą wymagały konsultacji.

4.3Współpraca między EIOD a krajowymi organami ochrony danych

EIOD jest członkiem EROD i prowadzi jej sekretariat. Współpracuje również w inny sposób z krajowymi organami nadzorczymi w zakresie wykonywania ich obowiązków 59 . Działania takie obejmują kierowanie skarg do właściwego organu nadzorującego ochronę danych i sprawy dotyczące zewnętrznych dostawców usług, z których usług korzystają zarówno instytucje, organy i jednostki organizacyjne Unii, jak i administratorzy podlegający RODO. EIOD wnosi również istotny wkład do pracy EROD, podejmując się np. roli głównego sprawozdawcy lub współsprawozdawcy przy wydawaniu wytycznych lub w inny sposób biorąc udział w jej pracach.

W przypadku kilku wielkoskalowych systemów informatycznych i agencji ustanowionych na podstawie prawa Unii wymagana jest aktywna współpraca EIOD i krajowych organów nadzorczych, z których każdy działa w zakresie swoich odpowiednich obowiązków, aby zapewnić skoordynowany nadzór 60 . W przeszłości akty ustanawiające każdy system lub każdą agencję zawierały służące temu przepisy szczegółowe. W rozporządzeniu 2018/1725 61 stworzono ujednolicony system koordynacji takiego nadzoru, do którego można się odnieść w innych aktach. Postąpiono tak w przypadku systemu wymiany informacji na rynku wewnętrznym 62 , systemu ECRIS-TCN 63 , Eurojustu 64 i ostatnio Europolu 65 . Inne systemy wciąż korzystają z grup koordynacji nadzoru ze szczegółowymi przepisami określonymi w ich aktach ustanawiających lub szczegółowymi odniesieniami do spotkań w ramach EROD 66 .

EIOD wnosi również wkład do mechanizmu oceny Schengen ustanowionego na podstawie rozporządzenia Rady nr 1053/2013 67 . Na podstawie tego rozporządzenia Komisja może zwrócić się do EIOD o wyznaczenie obserwatora, który weźmie udział w kontroli na miejscu odnoszącej się do dziedziny objętej jego kompetencjami, tj. oceny ochrony danych 68 . Odpowiada to możliwości wyznaczenia przez Frontex i Europol obserwatorów odpowiednio do oceny zarządzania granicami i współpracy policyjnej. Zdaniem Komisji wiedza fachowa obserwatorów EIOD w wartościowy sposób przyczynia się do oceny ochrony danych.

4.4Zasoby EIOD

Liczba personelu EIOD (w tym sekretariatu EROD 69 ) w okresie sprawozdawczym stale rosła 70 , co odzwierciedla ogólną tendencję w krajowych organach nadzorczych ds. ochrony danych. Sekretariat EROD prowadzi z czasem coraz więcej działań, co przekłada się na coraz większą liczbę wytycznych, zaleceń, opinii i innych dokumentów EROD, w których przygotowaniu sekretariat uczestniczy. Konieczne jest zapewnienie wystarczających zasobów na działanie sekretariatu EROD z uwagi na spodziewany wzrost roli, jaką będzie miał w skutecznym egzekwowaniu RODO. Dotyczy to w szczególności celu EROD, jakim jest rozwinięcie ściślejszej współpracy w zakresie prac strategicznych oraz stosowanie nowych narzędzi usprawniających współpracę między organami ochrony danych 71 . W szczególności, aby EROD mogła wykonywać swoją pracę zgodnie w wymogami, potrzebny jest jej silny sekretariat wyposażony w odpowiednie zasoby, który może wspierać jej prace, szczególnie w kontekście mechanizmu spójności 72 , który będzie prawdopodobnie wykorzystywany w coraz większym stopniu.

W swoich uwagach do niniejszego sprawozdania EIOD uznał w szczególności, że w przypadku powierzenia mu dodatkowych zadań, np. gdy działa jako organ nadzoru rynku na podstawie wniosku ustawodawczego w sprawie sztucznej inteligencji 73 , należy zapewnić mu odpowiednie dodatkowe zasoby.

5Korzystanie przez Komisję z jej uprawnień do przyjmowania aktów delegowanych i wykonawczych

W rozporządzeniu 2018/1725 nadano Komisji kilka uprawnień do przyjmowania aktów wykonawczych i określania standardowych klauzul, a także zawarto odniesienia do uprawnień na podstawie RODO 74 .

Rozporządzenie 2018/1725 75 zawiera przepisy uprawniające Komisję do określania standardowych klauzul umownych w zakresie ochrony danych na potrzeby umów między administratorem a podmiotem przetwarzającym, odpowiadające uprawnieniu określonemu w RODO 76 . Komisja skorzystała z tego uprawnienia, przyjmując w czerwcu 2021 r. standardowe klauzule umowne dotyczące stosunków między administratorem a podmiotem przetwarzającym 77 , obejmujące zarówno RODO, jak i rozporządzenie 2018/1725. Klauzule te stanowią proste w użyciu narzędzie dla administratorów umożliwiające skuteczne zarządzanie ich relacjami z podmiotami przetwarzającymi.

W rozporządzeniu 2018/1725 78 uprawnia się również Komisję do przyjmowania standardowych klauzul umownych dotyczących ochrony danych w celu zapewnienia odpowiednich zabezpieczeń przekazywania danych osobowych poza UE/EOG. Komisja jest aktualnie w trakcie opracowywania takich klauzul.

6Przepisy o ochronie danych dotyczące jednostek organizacyjnych zajmujących się współpracą policyjną i współpracą wymiarów sprawiedliwości w sprawach karnych

Rozdział IX rozporządzenia zawiera przepisy dotyczące przetwarzania operacyjnych danych osobowych przez instytucje, organy i jednostki organizacyjne Unii podczas wykonywania przez nie czynności wchodzących w zakres współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych („rozdział dotyczący ścigania przestępstw”). Ma on na celu ograniczenie fragmentacji:

·między systemami ochrony danych mającymi zastosowanie do przetwarzania danych operacyjnych przez jednostki organizacyjne UE w tym obszarze;

·z systemem ochrony danych mającym zastosowanie do krajowych działań z zakresu ścigania przestępstw na podstawie dyrektywy o ochronie danych w sprawach karnych.

W tym celu w rozdziale dotyczącym ścigania przestępstw przedstawiono zestaw przepisów horyzontalnych opierających się na dyrektywie o ochronie danych w sprawach karnych. Przepisy te można w razie potrzeby uzupełnić przepisami szczegółowymi w aktach ustanawiających jednostek organizacyjnych, w zależności od ich odpowiednich mandatów i szczególnego charakteru ich zadań i operacji przetwarzania danych.

W rozporządzeniu 2018/1725 stwierdzono potrzebę zapewnienia jednolitej i spójnej ochrony osób fizycznych przy przetwarzaniu ich danych osobowych 79 . W tym celu wyraźnie wskazano cel rozszerzenia stosowania rozdziału dotyczącego ścigania przestępstw na jednostki organizacyjne, które w momencie przyjmowania rozporządzenia posiadały w swoich aktach ustanawiających odrębne ramy ochrony danych, mianowicie na Europol i Prokuraturę Europejską (EPPO). Odniesiono się również do możliwej zmiany rozdziału dotyczącego ścigania przestępstw, jeżeli zajdzie taka konieczność.

6.1Rozszerzenie zakresu stosowania rozdziału dotyczącego ścigania przestępstw

Na dzień sporządzenia niniejszego sprawozdania rozdział rozporządzenia 2018/1725 dotyczący ścigania przestępstw stosuje się do przetwarzania operacyjnych danych osobowych przez:

·Eurojust 80 z uzupełnieniem przepisami szczegółowymi ujętymi w rozporządzeniu w sprawie Eurojustu;

·Europol 81 z uzupełnieniem przepisami szczegółowymi ujętymi w rozporządzeniu w sprawie Europolu, które zmieniono 82 od czasu wejścia w życie rozporządzenia 2018/1725;

·Frontex – w odniesieniu do niewielkiej części jego działań, które wchodzą w zakres ścigania przestępstw 83 .

Rozdział dotyczący ścigania przestępstw nie ma jednak jeszcze zastosowania do EPPO, w przypadku którego rozporządzenie ustanawiające przyjęto przez przyjęciem rozporządzenia 2018/1725. Rozporządzenie w sprawie EPPO przewiduje samodzielny system przetwarzania danych operacyjnych. Konsekwencje takiej sytuacji są dwojakie. Po pierwsze, niektóre przepisy rozporządzenia w sprawie EPPO różnią się zasadniczo od rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw, np. w odniesieniu do przetwarzania danych osobowych, do których dostęp został „ograniczony” 84 . Po drugie, niektóre przepisy rozporządzenia w sprawie EPPO, chociaż są zasadniczo podobne, mają inne brzmienie niż przepisy rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw, co mogłoby prowadzić do odmiennych interpretacji.

W celu zapewnienia spójności i zgodnie z ogólnym celem minimalizowania fragmentacji przepisów o ochronie danych w odniesieniu do EPPO należy zastosować podobne podejście, jak podejście przyjęte w przypadku Eurojustu i Europolu. Ma to na celu zapewnienie bezpośredniego stosowania rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw do EPPO, przy zachowaniu wyłącznie koniecznych specyfikacji w rozporządzeniu w sprawie EPPO. Jednocześnie, biorąc pod uwagę, że EPPO funkcjonuje dopiero od roku, w perspektywie krótkoterminowej wciąż należy zebrać więcej spostrzeżeń co do praktycznego stosowania systemu ochrony danych EPPO. Umożliwi to precyzyjne określenie tych specyfikacji przy uwzględnieniu charakteru EPPO jako niezależnej prokuratury UE 85 .

6.2Doprecyzowanie zasad stosowania niektórych przepisów rozporządzenia do przetwarzania danych operacyjnych

Rozporządzenie 86 stanowi, że „[d]o przetwarzania operacyjnych danych osobowych [...] zastosowanie ma wyłącznie art. 3 [definicje] oraz rozdział IX [rozdział dotyczący ścigania przestępstw] niniejszego rozporządzenia”.

Rozdział dotyczący ścigania przestępstw zawiera przepisy prawa materialnego odpowiadające większości przepisów rozdziałów II–V rozporządzenia (zasady ogólne, prawa osoby, której dane dotyczą, niektóre obowiązki administratorów i podmiotów przetwarzających, międzynarodowe przekazywanie danych), z pewnymi różnicami uwzględniającymi szczególny charakter ścigania przestępstw (np. przepisy dotyczące informowania osób, których dane dotyczą, oraz ich prawo dostępu do ich danych).

Należy doprecyzować, wprowadzając w rozporządzeniu odpowiednią zmianę, że rozdział dotyczący ścigania przestępstw określa przepisy szczegółowe wyłącznie w stosunku do odpowiadających im przepisów innych rozdziałów rozporządzenia, które mają bezpośredni odpowiednik w rozdziale dotyczącym ścigania przestępstw. W ten sposób, jeżeli prawodawca nie zawrze przepisów szczegółowych w akcie ustanawiającym jednostkę organizacyjną, przepisy rozdziałów innych niż rozdział dotyczący ścigania przestępstw, które nie mają bezpośredniego odpowiednika w tymże rozdziale 87 , mają zastosowanie do przetwarzania danych operacyjnych.

Zmiana taka zwiększyłaby pewność prawa i zapewniłaby kompletne ramy (np. dotyczące pozycji IOD, współpracy z krajowymi organami nadzorczymi ds. ochrony danych), również dla każdej przyszłej jednostki organizacyjnej działającej w tym obszarze 88 . Takie kompletne ramy zmniejszyłyby również ryzyko fragmentacji.

6.3Uprawnienia EIOD dotyczące nadzoru nad jednostkami organizacyjnymi UE

Obecnie rozporządzenia ustanawiające EPPO, Eurojust i Europol zawierają przepisy szczegółowe dotyczące uprawnień EIOD 89 .

W zaktualizowanym rozporządzeniu w sprawie Europolu powierzono EIOD uprawnienia dostosowane do uprawnień wynikających z art. 58 rozporządzenia 2018/1725 90 . Dotyczy to w szczególności uprawnienia do nakładania administracyjnych kar pieniężnych i uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach do wskazania sposobu i terminu.

W przypadku EPPO uprawnienia EIOD sformułowano jednak inaczej niż w rozporządzeniu 2018/1725. EIOD nie posiada dwóch wspomnianych powyżej uprawnień 91 .

Rozporządzenie w sprawie Frontexu, w odniesieniu do niewielkiej części działań Frontexu, która podlega przepisom rozdziału dotyczącego ścigania przestępstw 92 , nie zawiera żadnych przepisów szczegółowych dotyczących uprawnień EIOD, co prowadzi do niepewności w tym zakresie.

Powierzenie EIOD pełnego zakresu uprawnień określonych w art. 58 rozporządzenia 2018/1725 można osiągnąć, stosując dwa następujące kroki.

1.Doprecyzowanie, że w rozporządzeniu 2018/1725, jako wariant domyślny, powierza się EIOD nadzór nad przepisami rozdziału dotyczącego ścigania przestępstw i uprawnienia przyznane na podstawie art. 58 tego rozporządzenia 93 . Wymaga to zmiany rozporządzenia, zaproponowanej w poprzedniej sekcji.

Uzupełniłoby to również lukę w rozporządzeniu w sprawie Frontexu.

2.Usunięcie przepisów dotyczących uprawnień EIOD z aktów ustanawiających jednostki organizacyjne, w wyniku czego pełen zakres uprawnień EIOD na podstawie zmienionego rozporządzenia 2018/1725 miałby bezpośrednie zastosowanie do Eurojustu i do EPPO. Ma to na celu możliwie najlepsze dostosowanie tych przepisów do siebie, aby ograniczyć fragmentację przepisów o ochronie danych.

7Dalsze działania

W ogólnym ujęciu rozporządzenie 2018/1725 działa dobrze i jest dostosowane do celu, jaki ma spełniać. Na tym etapie Komisja nie zaproponuje zmian tych części, które są równoważne odpowiadającym im przepisom RODO, zachowując w ten sposób możliwie najbliższe dostosowanie między rozporządzeniem 2018/1725 i RODO 94 . Możliwe zmiany brane pod uwagę w niniejszym sprawozdaniu dotyczą innych części, szczególnie związku rozdziału dotyczącego ścigania przestępstw z pozostałymi przepisami rozporządzenia.

Wiosną 2022 r. Komisja przedstawiła wniosek w sprawie przepisów służących zwiększeniu bezpieczeństwa informacji w instytucjach, organach i jednostkach organizacyjnych Unii 95 , które pozytywnie wpłyną na bezpieczeństwo informacji, w tym na ochronę danych osobowych. Wniosek ten ma na celu dalsze zwiększenie odporności instytucji, organów i jednostek organizacyjnych Unii i ich zdolności do reagowania na zdarzenia, gdy stają przed zagrożeniem cyberbezpieczeństwa.

Komisja podejmie również kroki przedstawione w poniższych punktach:

-przy aktualizacji aktów ustanawiających w odniesieniu do wielkoskalowych systemów informatycznych, które to akty wciąż zawierają szczegółowe przepisy dotyczące modelu koordynacji nadzoru, zapewni, aby zastosowanie miał model koordynacji nadzoru określony w rozporządzeniu 2018/1725 96 , by uprościć procedury;

-rozważy zmiany w rozporządzeniu w celu:

ozwiększenia pewności prawa i uzupełnienia ram dotyczących przetwarzania danych operacyjnych, wyjaśniając w art. 2 ust. 2, że przepisy ogólne rozporządzenia mają również zastosowanie do przewarzania operacyjnych danych osobowych, o ile rozdział dotyczący ścigania przestępstw nie zawiera przepisów szczegółowych (takich jak przepisy dotyczące prawa dostępu). Zapewniłoby to również gotowe ramy dla wszystkich przyszłych jednostek organizacyjnych działających w dziedzinach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej;

ozapewnienia uczestnictwa EIOD w roli obserwatora we wszystkich ocenach ochrony danych w ramach mechanizmu oceny Schengen;

-rozważy następnie zmianę rozporządzeń w sprawie EPPO i Eurojustu w ramach przyszłego przeglądu, aby zapewnić pełne stosowanie przepisów dotyczących przetwarzania operacyjnych danych osobowych w zmienionym rozporządzeniu 2018/1725, przy uwzględnieniu szczególnego charakteru tych jednostek. Doprowadzi to również do ujednolicenia uprawnień EIOD wobec tych jednostek organizacyjnych z uprawnieniami, które posiada on względem pozostałych instytucji, organów i jednostek organizacyjnych Unii;

-zaproponuje standardowe klauzule umowne dotyczące międzynarodowego przekazywania danych osobowych 97 dla instytucji, organów i jednostek organizacyjnych Unii;

-będzie kontynuować ścisłą współpracę z EIOD (i w stosownych przypadkach – z EROD) w celu zapewnienia terminowych i ukierunkowanych konsultacji w sprawie nowych wniosków 98 , jak również będzie prowadzić nieformalne konsultacje z EIOD dotyczące istotnych tekstów przed ich przyjęciem.

EIOD wzywa się do:

-przedstawienia dodatkowych i terminowych praktycznych wytycznych dla instytucji, organów i jednostek organizacyjnych Unii, w tym dotyczących międzynarodowego przekazywania danych;

-dalszego zwiększania świadomości administratorów i podmiotów przetwarzających co do ich obowiązków wynikających z rozporządzenia 2018/1725, jak również doradzania IOD;

-zwiększenia starań w zakresie skutecznego egzekwowania przepisów rozporządzenia 2018/1725 w celu zapewnienia pełnej ochrony osób, których dane dotyczą.

Instytucje, organy i jednostki organizacyjne UE wzywa się do:

-dalszych i, w miarę potrzeby, intensywniejszych starań na rzecz zwiększania świadomości w celu zapewnienia wystarczającego poziomu wewnętrznej wiedzy fachowej dotyczącej przepisów rozporządzenia 2018/1725;

-rozważenia opublikowania oceny skutków dla ochrony danych, w stosownych przypadkach z wyłączeniem informacji, które mogłyby stanowić naruszenie zabezpieczeń związanych z bezpieczeństwem danych;

-zapewnienia, aby IOD (a także koordynatorzy ds. ochrony danych) dysponowali wystarczającymi zasobami oraz mieli taką pozycję w ramach instytucji, organów i jednostek organizacyjnych Unii, która umożliwia im wykonywanie ich zadań w sposób skuteczny i niezależny;

-zakończenia przekształcania swoich pozostałych zgłoszeń na podstawie poprzedniego rozporządzenia w sprawie ochrony danych w rejestry ochrony danych.

ZAŁĄCZNIK

Tabela 1 – Oceny skutków dla ochrony danych i uprzednie konsultacje przeprowadzone przez instytucje, organy i jednostki organizacyjne Unii

Tabela 2 – Działania nadzorcze EIOD

Tabela 3 – Działania doradcze EIOD

Tabela 4 – Zasoby EIOD

(1)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Tekst mający znaczenie dla EOG), Dz.U. L 295 z 21.11.2018, s. 39, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32018R1725 .  

(2)

Niektóre jednostki organizacyjne działające w obszarze wymiaru sprawiedliwości i spraw wewnętrznych mają w swoich dokumentach ustanawiających szczególne przepisy o ochronie danych, które uzupełniają to rozporządzenie albo które stosuje się zamiast niego, zob. sekcja 6.

(3)

Zgodnie z art. 101 ust. 2 wyłącznie w przypadku Eurojust rozporządzenie 2018/1725 ma zastosowanie od 12 grudnia 2019 r.

(4)

Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, Dz.U. L 8 z 12.1.2001, s. 1, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32001R0045  

(5)

Art. 3 ust. 2 rozporządzenia 2018/1725.

(6)

Część trzecia tytuł V rozdział 4 lub 5 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

(7)

Ankietę przesłano do instytucji, organów i jednostek organizacyjnych Unii, które istniały w tamtym czasie (wykaz: http://publications.europa.eu/code/pl/pl-5000900.htm ).

(8)

Wartości procentowe podane w niniejszym sprawozdaniu są zawsze odsetkiem instytucji, organów i jednostek organizacyjnych Unii, które udzieliły odpowiedzi na konkretne pytanie w kwestionariuszu.

(9)

Europejski Inspektor Ochrony Danych, „Contribution by the European Data Protection Supervisor to the Report on the application of Regulation (EU) 2018/1725, the EUDPR” [Wkład Europejskiego Inspektora Ochrony Danych do sprawozdania w sprawie stosowania rozporządzenia (UE) 2018/1725], 21 grudnia 2021 r., https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf

(10)

  https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13256-Rozporzadzenie-w-sprawie-ochrony-danych-osobowych-przez-instytucje-organy-i-jednostki-organizacyjne-Unii-sprawozdanie-w-sprawie-stosowania-aktu_pl

(11)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679

(12)

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, Dz.U. L 119 z 4.5.2016, s.89, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016L0680  

(13)

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej Dz.U. L 201 z 31.7.2002, s. 37, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32002L0058

(14)

Art. 2 ust. 3 RODO, art. 2 ust. 3 lit. b) dyrektywy o ochronie danych w sprawach karnych. Sama dyrektywa o prywatności i łączności elektronicznej nie ma zastosowania, ale w art. 37 rozporządzenia 2018/1725 zobowiązuje się instytucje, organy i jednostki organizacyjne Unii do ochrony informacji przesyłanych do, przechowywanych w, związanych z, przetwarzanych przez i pobieranych z końcowego urządzenia użytkowników łączących się z dostępnymi publicznie stronami internetowymi i aplikacjami mobilnymi tych instytucji i organów zgodnie z art. 5 ust. 3 dyrektywy 2002/58/WE.

(15)

Zob. motyw 5 rozporządzenia 2018/1725.

(16)

Taka sama sytuacja występowała w rozporządzeniu (WE) nr 45/2001, które poprzedzało omawiane rozporządzenie i które również nie przewidywało „prawnie uzasadnionego interesu” jako podstawy prawnej przetwarzania. W motywie 22 zdanie drugie rozporządzenia wyjaśniono, że „[p]rzetwarzanie danych osobowych w celu przeprowadzenia czynności wykonywanych w interesie ogólnym przez instytucje i organy Unii obejmuje przetwarzanie danych osobowych niezbędnych do zarządzania [nimi] oraz ich funkcjonowania”, co oznacza, że obejmuje ono również takie operacje przetwarzania, np. w celu zapewnienia kontroli dostępu fizycznego do pomieszczeń instytucji, organów i jednostek organizacyjnych Unii.

(17)

Rozdział IX dotyczący przetwarzania operacyjnych danych osobowych przez organy i jednostki organizacyjne Unii podczas wykonywania przez nie czynności wchodzących w zakres części trzeciej tytuł V rozdział 4 lub 5 TFUE.

(18)

Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 [Pojęcia administratora, podmiotu przetwarzającego i współadministratora na podstawie rozporządzenia (UE) 2018/1725], https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint

(19)

Rozliczalność w praktyce: Wytyczne dotyczące dokumentowania operacji przetwarzania dla instytucji, organów i jednostek organizacyjnych Unii – część I: Ocena rejestrów i progów, s. 7, https://edps.europa.eu/sites/default/files/publication/19-07-17_accountability_on_the_ground_part_i_en.pdf

(20)

Art. 25 rozporządzenia (WE) nr 45/2001.

(21)

Art. 14 rozporządzenia 2018/1725.

(22)

Obejmuje to żądania dotyczące udzielenia informacji ogólnych i żądania dotyczące wykonywania praw osób, których dane dotyczą, na podstawie rozdziału II rozporządzenia, takich jak prawo dostępu do ich danych osobowych znajdujących się w posiadaniu instytucji, organów i jednostek organizacyjnych Unii.

(23)

Art. 25 rozporządzenia 2018/1725.

(24)

Odpowiada to możliwościom ograniczania praw osób, których dane dotyczą, na poziomie krajowym w niektórych państwach członkowskich, np. za sprawą zarządzeń ministerialnych.

(25)

Art. 25 ust. 5 i motyw 24 rozporządzenia 2018/1725.

(26)

Art. 25 ust. 1 rozporządzenia 2018/1725.

(27)

Art. 25 ust. 6 rozporządzenia 2018/1725.

(28)

Zob. na przykład decyzja nr 59/2021 Sekretarza Generalnego Rady Unii Europejskiej ustanawiająca przepisy wykonawcze dotyczące stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 oraz ograniczenia praw osób, których dane dotyczą, do celów dochodzeń administracyjnych, postępowania dyscyplinarnego i sądowego 2022/C 25/02, Dz.U. C 25 z 18.1.2022, s. 2.

(29)

Decyzja Komisji (UE) 2018/1961, Dz.U. L 315 z 12.12.2018, s. 35; decyzja Komisji (UE) 2018/1962, Dz.U. L 315 z 12.12.2018, s. 41; decyzja Komisji (UE) 2018/1927, Dz.U. L 313 z 10.12.2018, s. 39.

(30)

Art. 23 RODO.

(31)

Art. 13 ust. 3, art. 15 lub 16 dyrektywy o ochronie danych w sprawach karnych.

(32)

Zob. art. 2 ust. 2 decyzji Komisji 2018/1962 odnoszący się do ochrony osób trzecich, o których mowa w art. 25 ust. 1 lit. h) rozporządzenia 2018/1725.

(33)

Zaleca się to również w wytycznych dotyczących art. 25 rozporządzenia wydanych przez EIOD i dostępnych pod adresem: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en .

(34)

Na przykład Komisja Europejska posiada inspektora ochrony danych przypisanego do Sekretariatu Generalnego i korzysta ze wsparcia koordynatorów ds. ochrony danych w każdej dyrekcji generalnej.

(35)

Art. 27 rozporządzenia (WE) nr 45/2001. W ramach tego systemu operacje przetwarzania, np. operacje obejmujące wszelkie przetwarzanie danych osobowych odnoszących się do zdrowia i dotyczących przestępstw lub podejrzeń o popełnienie przestępstwa, wyroków karnych lub środków bezpieczeństwa lub operacje zmierzające do oceny aspektów osobistych odnoszących się do podmiotu danych, włącznie z jego możliwościami, wydajnością lub postępowaniem, muszą podlegać „uprzedniemu sprawdzeniu” przez EIOD. W rezultacie pod przepis ten podlegała znaczna liczba zgłoszeń (i odpowiadających im opinii EIOD) dotyczący bardzo podobnych operacji przetwarzania, np. procedur wyboru i oceny pracowników.

(36)

Art. 39 rozporządzenia 2018/1725.

(37)

Chociaż publikacja (podsumowania) sprawozdań z oceny skutków dla ochrony danych nie jest obowiązkowa na podstawie rozporządzenia 2018/1725, stanowi ona dobrą praktykę zalecaną przez EIOD, zob. „Accountability on the ground” [rozliczalność w praktyce], część II, s. 18–19, https://edps.europa.eu/node/4582_en  

(38)

Art. 45 ust. 3 RODO.

(39)

Art. 36 ust. 3 dyrektywy o ochronie danych w sprawach karnych.

(40)

Art. 50 rozporządzenia 2018/1725.

(41)

Decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

(42)

Korzystając z „modułu trzeciego” standardowych klauzul umownych.

(43)

Art. 29 ust. 4 rozporządzenia 2018/1725.

(44)

Zob. motyw 8 decyzji wykonawczej Komisji 2021/914 i przypis 1 w załączniku do tej decyzji.

(45)

Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.

(46)

 Z wyjątkiem Trybunału Sprawiedliwości Unii Europejskiej działającego jako władza sądownicza, zob. art. 57 ust. 1 lit. a) oraz motyw 74 rozporządzenia 2018/1725. W takich przypadkach kontrolę prowadzi się przy pomocy specjalnych mechanizmów ustanowionych decyzją Trybunału Sprawiedliwości z dnia 1 października 2019 r. w sprawie ustanowienia wewnętrznego mechanizmu kontroli w zakresie przetwarzania danych osobowych w związku z wykonywaniem przez Trybunał Sprawiedliwości władzy sądowniczej (Dz.U. C 383 z 2019, s. 2) oraz decyzją Sądu z dnia 16 października 2019 r. w sprawie ustanowienia wewnętrznego mechanizmu kontroli w zakresie przetwarzania danych osobowych w związku z wykonywaniem przez Sąd władzy sądowniczej (Dz.U. C 383 z 2019, s. 4). Ponadto wciąż funkcjonuje wspólny organ nadzorczy dla systemu informacji celnej ustanowiony na podstawie decyzji Rady 2009/917/WSiSW.

(47)

Wyjątkiem jest w tym względzie Eurojust, w przypadku którego rozporządzenie 2018/1725 ma zastosowanie od 12 grudnia 2019 r., zob. art. 101 ust. 2 rozporządzenia.

(48)

Zob. tabela 2 w załączniku.

(49)

Dane za 2020 r. (ostatni rok, w przypadku którego dostępne są pełne statystyki): 52 % naruszeń ochrony danych spowodował błąd ludzki; 21 % spowodował błąd techniczny; 17 % spowodował atak zewnętrzny; a pozostałe przypadki naruszenia wynikały z innych powodów, np. niewłaściwego używania uprzywilejowanych kont.

(50)

Na przykład operacji przetwarzania przez ówczesny Europejski Urząd Wsparcia w dziedzinie Azylu (EASO) na potrzeby monitorowania mediów społecznościowych: https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf W odpowiedzi ówczesne EASO zaprzestało operacji przetwarzania, których dotyczyło postępowanie.

(51)

Na podstawie RODO możliwe jest bezpośrednie nakładanie kar pieniężnych za naruszenie ochrony, np. gdy administrator nie poinformuje we właściwy sposób osób, których dane dotyczą, o przetwarzaniu ich danych osobowych (art. 12–14 RODO). Na podstawie rozporządzenia 2018/1725 EIOD może nakładać kary pieniężne wyłącznie w przypadku niezastosowania się do polecenia, np. zastosowania środków zaradczych w związku z niedotrzymaniem obowiązku poinformowania we właściwy sposób osób, których dane dotyczą, na podstawie art. 14–16 rozporządzenia.

(52)

67 % z nich stwierdziło, że otrzymywały odpowiedź EIOD terminowo lub w większości terminowo, 33 % zachowało natomiast neutralne stanowisko lub stwierdziło, że odpowiedź dochodziła (w większości) zbyt późno.

(53)

Art. 42 rozporządzenia 2018/1725.

(54)

W przypadku aktów wykonawczych i delegowanych formalne konsultacje mogą się odbywać równolegle z okresem przeznaczonym na zgłaszanie informacji zwrotnych przez społeczeństwo w odniesieniu do projektów aktów wykonawczych i delegowanych.

(55)

EIOD nazywa odpowiedzi na wnioski ustawodawcze i zalecenia na podstawie art. 218 TFUE „opiniami”. Odpowiedzi dotyczące aktów wykonawczych lub delegowanych nazywa się „uwagami”, zob. również decyzja Europejskiego Inspektora Ochrony Danych z dnia 15 maja 2020 r. w sprawie przyjęcia regulaminu wewnętrznego EIOD, Dz.U. L 204 z 26.6.2020, s. 49, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32020Q0626(01)&qid=1661435596175

(56)

Wstępna opinia EIOD 8/2020 w sprawie europejskiej przestrzeni danych dotyczących zdrowia, https://edps.europa.eu/data-protection/our-work/publications/opinions/preliminary-opinion-82020-european-health-data-space_en  

(57)

Art. 42 ust. 2 rozporządzenia 2018/1725.

(58)

Art. 42 rozporządzenia 2018/1725.

(59)

Zgodnie z art. 61 rozporządzenia 2018/1725 EIOD współpracuje również ze wspólnym organem nadzorczym utworzonym na mocy art. 25 decyzji Rady 2009/917/WSiSW.

(60)

Na przykład system informacyjny Schengen, wizowy system informacyjny i Eurodac. Zob. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE, Dz.U. L 312 z 7.12.2018, s. 56; rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych, Dz.U. L 218 z 13.8.2008, s. 60; oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, Dz.U. L 180 z 29.6.2013, s. 1.

(61)

Art. 62 rozporządzenia 2018/1725.

(62)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1724 z dnia 2 października 2018 r. w sprawie utworzenia jednolitego portalu cyfrowego w celu zapewnienia dostępu do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, a także zmieniające rozporządzenie (UE) nr 1024/2012, Dz.U. L 295 z 21.11.2018, s. 1.

(63)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/816 z dnia 17 kwietnia 2019 r. ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726, Dz.U. L 135 z 22.5.2019, s. 1.

(64)

Art. 42 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1727 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojust) oraz zastąpienia i uchylenia decyzji Rady 2002/187/WSiSW, Dz.U. L 295 z 21.11.2018, s. 138.

(65)

Zob. zmiany w art. 44 ust. 2 rozporządzenia w sprawie Europolu wprowadzone rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/991 z dnia 8 czerwca 2022 r. zmieniającym rozporządzenie (UE) 2016/794 w odniesieniu do współpracy Europolu z podmiotami prywatnymi, przetwarzania danych osobowych przez Europol w celu wspierania postępowań przygotowawczych oraz roli Europolu w zakresie badań naukowych i innowacji, Dz.U. L 169 z 27.6.2022, s. 1.

(66)

Art. 57 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006, Dz.U. L 312 z 7.12.2018, s. 14 oraz art. 71 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE, Dz.U. L 312 z 7.12.2018, s. 56.

(67)

Rozporządzenie Rady (UE) nr 1053/2013 z dnia 7 października 2013 r. w sprawie ustanowienia mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen oraz uchylenia decyzji komitetu wykonawczego z dnia 16 września 1998 r. dotyczącej utworzenia Stałego Komitetu ds. Oceny i Wprowadzania w Życie Dorobku Schengen, Dz.U. L 295 z 6.11.2013, s. 27.

(68)

Art. 10 ust. 5 rozporządzenia Rady (UE) nr 1053/2013 z dnia 7 października 2013 r.

(69)

Art. 57 ust. 1 lit. l) rozporządzenia 2018/1725.

(70)

Zob. tabela 4 w załączniku.

(71)

Oświadczenie EROD dotyczące ściślejszej współpracy w zakresie akt strategicznych, 29 kwietnia 2022 r.: DPAs decide on closer cooperation for strategic files | European Data Protection Board (europa.eu) .

(72)

Rozdział VII RODO.

(73)

COM(2021) 206 final.

(74)

Zob. art. 47 rozporządzenia, umożliwiający instytucjom, organom i jednostkom organizacyjnym Unii powoływanie się na decyzje stwierdzające odpowiedni stopień ochrony przyjmowane na podstawie RODO i dyrektywy o ochronie danych w sprawach karnych oraz art. 14 ust. 8 rozporządzenia, odnoszący się do przyjmowania aktów delegowanych dotyczących znaków graficznych na podstawie art. 12 ust. 8 RODO.

(75)

Art. 29 ust. 7 rozporządzenia 2018/1725.

(76)

Art. 28 ust. 7 RODO.

(77)

Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (Tekst mający znaczenie dla EOG), Dz.U. L 199 z 7.6.2021, s. 18, https://eur-lex.europa.eu/legal-content/AUTO/?uri=CELEX:32021D0915  

(78)

Art. 48 ust. 2 lit. b) rozporządzenia 2018/1725.

(79)

Art. 98 ust. 2 rozporządzenia 2018/1725.

(80)

Art. 26 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1727 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojust) oraz zastąpienia i uchylenia decyzji Rady 2002/187/WSiSW, Dz.U. L 295 z 21.11.2018, s. 138.

(81)

Art. 28 zmienionego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW.

(82)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/991 z dnia 8 czerwca 2022 r. zmieniające rozporządzenie (UE) 2016/794 w odniesieniu do współpracy Europolu z podmiotami prywatnymi, przetwarzania danych osobowych przez Europol w celu wspierania postępowań przygotowawczych oraz roli Europolu w zakresie badań naukowych i innowacji, Dz.U. L 169 z 27.6.2022, s. 1.

(83)

Zob. art. 10 ust. 1 lit. q) i art. 90 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1896 z dnia 13 listopada 2019 r. w sprawie Europejskiej Straży Granicznej i Przybrzeżnej oraz uchylenia rozporządzeń (UE) nr 1052/2013 i (UE) 2016/1624, Dz.U. L 295 z 14.11.2019, s. 1, https://eur-lex.europa.eu/eli/reg/2019/1896/oj  

(84)

W art. 61 ust. 4 rozporządzenia w sprawie EPPO zezwala się na przetwarzanie danych, do których dostęp ograniczono, „z wyjątkiem przechowywania – wyłącznie do celów ochrony praw osoby, której dane dotyczą, lub innej osoby fizycznej lub prawnej będącej stroną postępowania prowadzonego przez Prokuraturę Europejską lub do celów [dowodowych]”. Odpowiadający mu art. 82 ust. 3 rozporządzenia 2018/1725 stanowi, że „[d]ane, do których dostęp ograniczono, można przetwarzać wyłącznie w celu, ze względu na który ich usunięcie nie było możliwe”, co obejmuje zachowanie danych do celów dowodowych, nie odnosi się jednak do ochrony praw osób, których dane dotyczą, ani innych osób.

(85)

Doświadczenia uzyskanego w przypadku Eurojustu i Europolu nie można bezpośrednio przenieść na EPPO, gdyż jej mandat nie polega na wspieraniu i poprawie współpracy wśród organów krajowych, lecz na prowadzeniu postępowań przygotowawczych oraz wnoszeniu i popieraniu oskarżeń w przypadku przestępstw, które mają wpływ na interesy finansowe UE.

(86)

Art. 2 ust. 2 rozporządzenia 2018/1725.

(87)

Na przykład spoczywający na administratorach obowiązek współpracy na podstawie art. 32 rozporządzenia, przepisy dotyczące inspektorów ochrony danych w art. 43–45 rozporządzenia, art. 31, dotyczący rejestrowania czynności przetwarzania, oraz przepisy dotyczące współpracy z innymi organami nadzorczymi na podstawie art. 61 rozporządzenia.

(88)

Konieczne byłoby wciąż określenie szczegółowych ram prawnych takich jednostek organizacyjnych zgodnie z wymogami rozporządzenia 2018/1725, np. określenie okresów przechowywania zgodnie z art. 72. Nie byłoby jednak potrzeby regulowania praw osoby, której dane dotyczą, ani uprawnień EIOD, o ile prawodawca nie zdecydowałby się na odejście od podejścia określonego w rozporządzeniu.

(89)

Art. 85 rozporządzenia w sprawie EPPO, art. 40 rozporządzenia w sprawie Eurojustu i art. 43 rozporządzenia w sprawie Europolu.

(90)

Niektóre zadania EIOD, które nie dotyczą Europolu, np. zatwierdzanie standardowych klauzul umownych, nie są powtórzone.

(91)

Na podstawie art. 85 ust. 3 lit. b) rozporządzenia w sprawie EPPO i art. 40 ust. 3 lit. b) rozporządzenia w sprawie Eurojustu w przypadku domniemanego naruszenia przepisów regulujących przetwarzanie operacyjnych danych osobowych EIOD może tylko przekazać sprawę EPPO lub Eurojustowi i w stosownych przypadkach zaproponować środki prawne służące usunięciu tego naruszenia i poprawie ochrony osób, których dane dotyczą.

(92)

Zob. art. 10 ust. 1 lit. q) i art. 90 rozporządzenia w sprawie Frontexu.

(93)

W art. 1 ust. 3 rozporządzenia powierza się EIOD zadanie „[monitorowania stosowania] przepisów niniejszego rozporządzenia w odniesieniu do wszystkich operacji przetwarzania przeprowadzanych przez instytucję lub organ Unii”. Chociaż przepis ten można interpretować jako mający zastosowanie również do działań objętych zakresem stosowania rozdziału dotyczącego ścigania przestępstw, warto byłoby to wyrazić wprost, żeby zapewnić pewność prawa.

(94)

W przypadku zmiany RODO na późniejszym etapie Komisja rozważy niezbędne zmiany w rozporządzeniu 2018/1725, aby zachować dostosowanie do siebie obu tekstów.

(95)

Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii, COM(2022) 122 final.

(96)

Art. 62 rozporządzenia 2018/1725.

(97)

Na podstawie art. 48 ust. 2 lit. b) rozporządzenia 2018/1725.

(98)

Zgodnie z art. 42 rozporządzenia 2018/1725.

(99)

Z których dwie odbyły się po wejściu w życie rozporządzenia 2018/1725.

(100)

Do 15 listopada 2021 r.

(101)

W tym sprawy zamknięte za sprawą ugodowego rozwiązania, przekazania IOD i za sprawą innego sposobu zamknięcia.

(102)

Do połowy listopada 2021 r.

(103)

Na podstawie poprzedniego rozporządzenia nr 45/2001 EIOD liczył konsultacje dotyczące aktów delegowanych/wykonawczych jako uwagi „nieformalne”. Pewna liczba uwag umieszczonych jako uwagi nieformalne w 2018 r. zostałaby policzona w późniejszych latach jako „uwagi formalne”.

(104)

Przedstawione dane liczbowe to dane zaktualizowane w stosunku do danych liczbowych zawartych w uwagach EIOD do niniejszego sprawozdania.