KOMISJA EUROPEJSKA
Bruksela, dnia 14.10.2022
COM(2022) 530 final
KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY
Pierwsze sprawozdanie w sprawie stosowania rozporządzenia o ochronie danych dotyczącego instytucji, organów i jednostek organizacyjnych Unii
(rozporządzenia 2018/1725)
Spis treści
1
Wprowadzenie
2
Oddzielne przepisy o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii dostosowane do prawodawstwa UE w dziedzinie ochrony danych
3
Wdrażanie rozporządzenia 2018/1725 w instytucjach, organach i jednostkach organizacyjnych Unii
3.1
Rola instytucji, organów i jednostek organizacyjnych Unii jako administratorów
3.2
Wykonywanie praw osób, których dane dotyczą
3.3
Ograniczanie praw osób, których dane dotyczą, za sprawą przepisów wewnętrznych
3.4
Inspektorzy ochrony danych
3.5
Oceny skutków dla ochrony danych
3.6
Międzynarodowe przekazywanie danych
4
Działania EIOD
4.1
EIOD jako organ nadzorujący ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii
4.2
EIOD jako doradca prawodawcy Unii
4.3
Współpraca między EIOD a krajowymi organami ochrony danych
4.4
Zasoby EIOD
5
Korzystanie przez Komisję z jej uprawnień do przyjmowania aktów delegowanych i wykonawczych
6
Przepisy o ochronie danych dotyczące jednostek organizacyjnych zajmujących się współpracą policyjną i współpracą wymiarów sprawiedliwości w sprawach karnych
6.1
Rozszerzenie zakresu stosowania rozdziału dotyczącego ścigania przestępstw
6.2
Doprecyzowanie zasad stosowania niektórych przepisów rozporządzenia do przetwarzania danych operacyjnych
6.3
Uprawnienia EIOD dotyczące nadzoru nad jednostkami organizacyjnymi UE
7
Dalsze działania
ZAŁĄCZNIK
1Wprowadzenie
Rozporządzenie o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii („rozporządzenie 2018/1725” lub „rozporządzenie”) stanowi główne ramy regulacyjne ochrony danych przez instytucje, organy i jednostki organizacyjne Unii, gdy przetwarzają one dane osobowe jako administratorzy lub podmioty przetwarzające. Rozporządzenie to jest częścią filaru dobrych rządów i dobrego postępowania administracyjnego na szczeblu UE. Ma zastosowanie od 11 grudnia 2018 r., kiedy to uchyliło i zastąpiło poprzedzające je rozporządzenie (WE) nr 45/2001.
W niniejszym komunikacie przedstawiono pierwsze sprawozdanie w sprawie stosowania rozporządzenia 2018/1725, zgodnie z jego art. 97. Dokonano w nim również przeglądu aktów prawnych przyjętych na podstawie Traktatów, które to akty prawne regulują przetwarzanie operacyjnych danych osobowych przez organy lub jednostki organizacyjne Unii wykonujące czynności, które wchodzą w zakres współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zgodnie z art. 98 rozporządzenia.
Komisja zgromadziła informacje dotyczące stosowania rozporządzenia przy pomocy ankiety, którą rozpoczęto w październiku 2021 r., i w ramach której zaproszono instytucje, organy i jednostki organizacyjne Unii do podzielenia się swoimi doświadczeniami w stosowaniu rozporządzenia. Na zaproszenie to odpowiedziało łącznie 56 instytucji, organów i jednostek organizacyjnych Unii, a statystyki przedstawione w niniejszym sprawozdaniu opierają się na tych odpowiedziach. Odrębny wniosek o przedstawienie uwag przesłano do Europejskiego Inspektora Ochrony Danych (EIOD) jako do organu pełniącego rolę nadzorczą. Ponadto Komisja opublikowała również zaproszenie do zgłaszania uwag, co umożliwiło także społeczeństwu przedstawienie swoich uwag. W niniejszym sprawozdaniu omówiono kwestie poruszone w bardzo nielicznych zgłoszeniach otrzymanych w odpowiedzi na zaproszenie do zgłaszania uwag.
W niniejszym sprawozdaniu wskazano, że rozporządzenie 2018/1725 stanowi część unijnych ram ochrony danych, przedstawiono jego zastosowanie w działaniach instytucji, organów i jednostek organizacyjnych Unii i EIOD oraz przeanalizowano stosowanie rozdziału, który ma zastosowanie do unijnych jednostek organizacyjnych prowadzących działania w zakresie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Sprawozdanie zakończono zarysowaniem dalszych działań.
2Oddzielne przepisy o ochronie danych dotyczące instytucji, organów i jednostek organizacyjnych Unii dostosowane do prawodawstwa UE w dziedzinie ochrony danych
Głównymi instrumentami w dziedzinie ochrony danych w UE są ogólne rozporządzenie o ochronie danych („RODO”), dyrektywa o ochronie danych w sprawach karnych oraz dyrektywa o prywatności i łączności elektronicznej. Nie mają one jednak zastosowania do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii. Potrzebne są zatem odrębne, lecz spójne z powyższymi aktami przepisy o ochronie danych dotyczące konkretnie instytucji, organów i jednostek organizacyjnych Unii. Przepisy te określono właśnie w rozporządzeniu 2018/1725.
W celu zapewnienia spójnego podejścia do ochrony danych osobowych i swobodnego przepływu takich danych w UE rozporządzenie 2018/1725 dostosowano w miarę możliwości do przepisów o ochronie danych przyjętych w odniesieniu do sektora publicznego, określonych w RODO i w dyrektywie o ochronie danych w sprawach karnych. W każdym przypadku, w którym przepisy rozporządzenia 2018/1725 opierają się na tych samych założeniach, co przepisy RODO, należy interpretować je tak samo, gdyż należy uznawać je za równoważne z RODO. To samo można przyjąć w odniesieniu do przepisów spójnych z dyrektywą o ochronie danych w sprawach karnych.
Jak opisano w punktach poniżej, rozporządzenie 2018/1725 dostosowano do szczególnego kontekstu instytucji, organów i jednostek organizacyjnych Unii.
·Ponieważ zakres jego stosowania dotyczy wyłącznie instytucji, organów i jednostek organizacyjnych Unii jako organów publicznych, pominięto w nim kilka przepisów z RODO, które mają zastosowanie wyłącznie do sektora prywatnego. Nie przewidziano w nim na przykład możliwości, by podstawą prawną przetwarzania danych były „prawnie uzasadnione interesy” administratora.
·W rozporządzeniu 2018/1725 nie powtórzono jako takich kilku uprawnień Komisji do przyjmowania aktów wykonawczych lub delegowanych, lecz zamiast tego zawarto w nim odesłania do RODO lub dyrektywy o ochronie danych w sprawach karnych. Rozporządzenie 2018/1725 nie przewiduje na przykład mechanizmu umożliwiającego przyjmowanie decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do międzynarodowego przekazywania danych, jednak instytucje, organy i jednostki organizacyjne Unii mogą opierać się również na decyzjach stwierdzających odpowiedni stopień ochrony przyjętych na podstawie RODO lub dyrektywy o ochronie danych w sprawach karnych.
·W rozporządzeniu 2018/1725 ustanowiono też bezpośrednio Europejskiego Inspektora Ochrony Danych (EIOD), określając jego zadania, uprawnienia i procedury jego powoływania. Zgodnie z RODO i dyrektywą o ochronie danych w sprawach karnych odpowiednie organy nadzorcze ustanawia się na podstawie prawa krajowego, zgodnie z wymogami tych dwóch aktów prawnych.
·Rozdział rozporządzenia mający zastosowanie do organów i jednostek organizacyjnych UE w obszarze ścigania przestępstw jest dla tych organów i jednostek organizacyjnych funkcjonalnie równoważny z dyrektywą o ochronie danych w sprawach karnych. Jako że rozporządzenie jest stosowane bezpośrednio, jego przepisy są jednak sformułowane w odmienny sposób. Określono w nim ogólne przepisy, które należy w stosownych przypadkach uzupełnić przepisami szczegółowymi w dokumentach ustanawiających organy i jednostki organizacyjne działające w tym obszarze. Określono w nim dostosowany system przetwarzania operacyjnych danych osobowych, przy uwzględnieniu szczególnego charakteru tego sektora, np. przepisów dotyczących informowania osób, których dane dotyczą, co zapewnia ochronę w ramach postępowania przygotowawczego.
3Wdrażanie rozporządzenia 2018/1725 w instytucjach, organach i jednostkach organizacyjnych Unii
3.1Rola instytucji, organów i jednostek organizacyjnych Unii jako administratorów
Zasadniczo informacje zwrotne otrzymane od instytucji, organów i jednostek organizacyjnych Unii wskazują, że pierwsze lata stosowania rozporządzenia skutecznie przyczyniły się do poprawy ich ogólnej kultury ochrony danych. W tym względzie 94 % instytucji, organów i jednostek organizacyjnych Unii stwierdziło, że wejście w życie rozporządzenia zwiększyło w ich organizacji znajomość przepisów o ochronie danych w pewnym lub w dużym stopniu. Zasadniczo instytucje, organy i jednostki organizacyjne Unii wskazały, że rozporządzenie wywarło pozytywny wpływ na ich politykę ochrony danych, a ich personel ma większą świadomość co do rozliczalności własnej organizacji jako administratora danych oraz co do wymogów dotyczących przetwarzania danych osobowych.
Jako główne oddziaływanie rozporządzenia 2018/1725 w porównaniu z uchylonym rozporządzeniem nr 45/2001 wskazano prowadzenie oceny skutków dla ochrony danych, identyfikowanie naruszeń ochrony danych i zarządzanie tymi naruszeniami oraz uwzględnianie ochrony danych w fazie projektowania i domyślną ochronę danych. W rozporządzeniu 2018/1725, tak samo jak w RODO, bardziej widoczna jest możliwość współadministrowania – gdy większa liczba organizacji wspólnie określa cele i sposoby przetwarzania danych osobowych. EIOD przygotował wytyczne na ten temat a Komisja opracowała wewnętrzne wzory ustaleń współadministratorów.
Chociaż co do zasady instytucje, organy i jednostki organizacyjne Unii z zadowoleniem przyjęły dodatkowe wymogi dotyczące rozliczalności niezbędne do wykazania zgodności z rozporządzeniem 2018/1725, niektóre z nich zauważyły, że przepisy rozporządzenia wiążą się z większym obciążeniem pracą. Zauważyły również, że w rozporządzeniu 2018/1725 ustanowiono stosunkowo skomplikowane przepisy, w związku z którymi w instytucjach, organach i jednostkach organizacyjnych Unii potrzeba więcej wiedzy fachowej, w tym wśród inspektorów ochrony danych (IOD), a także w sieciach koordynatorów ds. ochrony danych w tych instytucjach, organach i jednostkach organizacyjnych Unii, które posiadają takie sieci.
Wszystkie instytucje, organy i jednostki organizacyjne Unii poza dwiema prowadzą rejestry czynności przetwarzania w formie centralnego rejestru. Mimo że nie jest to szczególny wymóg na podstawie rozporządzenia, stanowi to dobrą praktykę, którą zaleca również EIOD. Ponadto 72 % instytucji, organów i jednostek organizacyjnych Unii przekształciło wszystkie swoje powiadomienia do inspektora ochrony danych realizowane na podstawie poprzedniego rozporządzenia w rejestry. Te z nich, które nie ukończyły jeszcze tego zadania, powinny dokonać przeglądu swojej dokumentacji dotyczącej operacji przetwarzania i zaktualizować ją, aby zagwarantować, że jest kompletna i aktualna.
3.2Wykonywanie praw osób, których dane dotyczą
W rozporządzeniu zapewniono osobom, których dane dotyczą, szeroki zakres praw dotyczących przetwarzania ich danych osobowych, spójnych z RODO. Działając jako administratorzy, instytucje, organy i jednostki organizacyjne Unii mają szczególny obowiązek zapewniania łatwego wykonywania tych praw. W związku z tym 96 % z nich wskazało, że przeprowadziły działania zwiększające świadomość, takie jak aktualizacja dostępnych publicznie informacji dotyczących ich operacji przetwarzania, wiadomości informacyjne czy przewodniki dla osób, których dane dotyczą.
Szereg z nich, na przykład Komisja, Europejski Bank Centralny i Europejska Służba Działań Zewnętrznych, zgłosiło wyraźny wzrost liczby żądań otrzymanych od osób fizycznych w latach 2018–2021. W przypadku innych, takich jak Trybunał Sprawiedliwości Unii Europejskiej, Europejski Komitet Ekonomiczno-Społeczny i Agencja Unii Europejskiej ds. Azylu, dane liczbowe były jednak na stałym poziomie lub zmieniały się bez wyraźnej tendencji. Nie można jeszcze zaobserwować wyraźnej tendencji w liczbie żądań otrzymywanych od osób, których dane dotyczą, w następstwie wejścia w życie rozporządzenia 2018/1725, gdyż sposób rejestrowania różnych rodzajów żądań różni się między poszczególnymi instytucjami, organami i jednostkami organizacyjnymi Unii.
3.3Ograniczanie praw osób, których dane dotyczą, za sprawą przepisów wewnętrznych
Podobnie jak w przypadku RODO, w rozporządzeniu 2018/1725 przewidziano możliwość ograniczenia niektórych praw osób, których dane dotyczą. Można to zrobić przy pomocy aktów ustawodawczych i przepisów wewnętrznych. Do takich przepisów wewnętrznych mają zastosowanie surowe kryteria. Przepisy takie muszą być jasne i precyzyjne, a ich stosowanie musi być przewidywalne dla osób, które im podlegają. Przepisy takie muszą być opublikowane w Dzienniku Urzędowym Unii Europejskiej i spełniać wymogi określone w Karcie praw podstawowych i w europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności.
Ograniczenia opierające się na przepisach wewnętrznych mogą wiązać się wyłącznie z działalnością instytucji, organów i jednostek organizacyjnych Unii. Nie mogą one naruszać praw podstawowych, muszą stanowić niezbędne i proporcjonalne środki w demokratycznym społeczeństwie oraz muszą służyć zabezpieczeniu jednego z celów wyraźnie określonych w rozporządzeniu. Każdej osobie, której dane dotyczą, i której prawa ograniczono, przysługuje prawo wniesienia skargi do EIOD.
Znaczna większość instytucji, organów i jednostek organizacyjnych Unii (84 %) przyjęła przepisy wewnętrzne. Takie przepisy wprowadzono na przykład w celu umożliwienia odroczenia przekazania informacji osobie, której dotyczy wewnętrzne dochodzenie administracyjne. W innych przypadkach przepisy takie miały na celu zapewnienie stałej skutecznej współpracy z państwami członkowskimi w tych obszarach, w których działania instytucji, organów i jednostek organizacyjnych Unii opierają się na informacjach otrzymanych od właściwych organów państw członkowskich. Na przykład przepisy wewnętrzne przyjęte przez Komisję w odniesieniu do przetwarzania danych osobowych do celów działań w zakresie konkurencji, zwalczania nadużyć finansowych i audytu wewnętrznego obejmują możliwość ograniczenia praw osób, których dane dotyczą, gdy dane uzyskano od właściwych organów państw członkowskich. W przepisach tych określono możliwość nałożenia podobnych ograniczeń w przypadku, gdy organy krajowe nałożyły ograniczenia aktem prawnym na podstawie RODO lub dyrektywy o ochronie danych w sprawach karnych.
Jeżeli instytucja, organ lub jednostka organizacyjna Unii przyjęły przepisy wewnętrzne umożliwiające ograniczenie praw osób, których dane dotyczą, stosuje się je zazwyczaj indywidualnie do każdego przypadku, zgodnie z wymogami ujętymi w ich odpowiednich przepisach wewnętrznych. 69 % instytucji, organów i jednostek organizacyjnych Unii, które przyjęły przepisy, o których mowa w art. 25, wskazuje jednak, że jeszcze z nich nie korzystało. Te z nich, które korzystały z tych przepisów, zgłosiły poniżej 10 przypadków wprowadzenia ograniczeń, z wyjątkiem Parlamentu Europejskiego i Komisji. Potrzeba stosowania ograniczeń częściej pojawiała się w działaniach OLAF, szczególnie w odniesieniu do odraczania przekazywania osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, gdy dochodzenie jest jeszcze na wczesnym etapie, aby nie zaszkodzić gromadzeniu dowodów. OLAF zastosował również kilka ograniczeń dotyczących żądań dostępu do własnych danych osobowych osób, których dane dotyczą, które to żądania spotkały się z odmową wyłącznie w celu ochrony praw i wolności innych osób, np. wyjawienie danych naraziłoby informatora na działania odwetowe.
Przepisy wewnętrzne instytucji, organów i jednostek organizacyjnych Unii zawierają zazwyczaj wymóg poinformowania własnego IOD o wszelkich stosowanych ograniczeniach i udostępnienia mu rejestru oraz wszelkich dokumentów dotyczących tych ograniczeń.
3.4Inspektorzy ochrony danych
Obowiązek wyznaczenia IOD przez każdą instytucję, każdy organ i każdą jednostkę organizacyjną Unii określono już w rozporządzeniu nr 45/2001. W rozporządzeniu 2018/1725 zapewniono tej roli większą widoczność, wprowadzając zasadę rozliczalności. Oznacza to, że administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych i musi być w stanie wykazać, że są one przestrzegane.
W 46 % instytucji, organów i jednostek organizacyjnych Unii IOD korzystają ze wsparcia sieci koordynatorów ds. ochrony danych lub podobnych struktur. Większe instytucje i jednostki częściej posiadają takie sieci (np. Parlament Europejski, Sekretariat Generalny Rady, Komisja i Europejska Służba Działań Zewnętrznych [ESDZ]). Ta ostatnia organizuje również i utrzymuje w delegaturach Unii sieć korespondentów ds. ochrony danych.
Wiele instytucji, organów i jednostek organizacyjnych Unii odnotowało więcej obowiązków i większe obciążenie pracą u swoich IOD (i co za tym idzie – koordynatorów ds. ochrony danych). Potwierdziły one, że trzeba przyznać IOD (i koordynatorom ds. ochrony danych) więcej zasobów i zapewnić, aby mogli skutecznie realizować politykę ochrony danych swoich instytucji, organów i jednostek organizacyjnych Unii. Wskazano również potrzebę zapewnienia IOD niezależności.
W tym kontekście występują dwie tendencje. Z jednej strony w rozporządzeniu 2018/1725 położono większy nacisk na rozliczalność administratorów, np. likwidując procedurę wstępnej kontroli, która istniała na podstawie obowiązującego wcześniej rozporządzenia nr 45/2001, zmniejszając tym samym obciążenie administracyjne. Z drugiej strony administratorzy zwracają się do IOD lub koordynatorów ds. ochrony danych o dokładniejsze wytyczne co do tego, w jaki sposób najlepiej przestrzegać przepisów rozporządzenia 2018/1725. W tym względzie zauważono, że sieć inspektorów ochrony danych instytucji, organów i jednostek organizacyjnych Unii stała się istotnym forum do omawiania i wyjaśniania prawnych i technicznych kwestii szczególnych dla przetwarzania danych przez te instytucje, organy i jednostki. Sieć ta stanowi platformę wymiany informacji między IOD i EIOD oraz między samymi IOD. Jej członkowie prowadzą stałą współpracę i zazwyczaj spotykają się dwa razy w roku.
Ponad połowa (54 %) instytucji, organów i jednostek organizacyjnych Unii przeznaczyła więcej zasobów na swoich IOD i ogólnie osoby pełniące funkcje związane z ochroną danych. Większość (84 %) instytucji, organów i jednostek organizacyjnych Unii dostosowała swoje wewnętrzne procesy w celu zapewnienia, aby ich personel informował IOD o nowych operacjach przetwarzania danych osobowych i konsultował je z nimi. Zazwyczaj dokonuje się tego poprzez włączenie IOD np. w proces zarządzania zmianami lub do rady kierowniczej projektu.
3.5Oceny skutków dla ochrony danych
Najwięcej ocen skutków dla ochrony danych przeprowadziły Europejski Bank Centralny, Europejski Bank Inwestycyjny i Komisja. W porównaniu z działającym wcześniej na podstawie rozporządzenia nr 45/2001 systemem „kontroli wstępnej” znacznie spadła liczba spraw przesyłanych do EIOD. Było to spodziewaną konsekwencją tej zmiany i ograniczyło konsultacje z EIOD dotyczące administracyjnych operacji przetwarzania, takich jak ocena pracowników.
W tabeli 1 przedstawiono przegląd ocen skutków dla ochrony danych przeprowadzonych przez instytucje, organy i jednostki organizacyjne Unii w latach 2019–2021.
Prawie wszystkie (94 %) instytucje, organy i jednostki organizacyjne Unii zgodziły się, że kryteria rozporządzenia 2018/1725 dotyczące sytuacji, w których muszą one przeprowadzić ocenę skutków dla ochrony danych, odpowiednio uwzględniają operacje przetwarzania wiążące się z wysokim ryzykiem. Te z nich, które się nie zgodziły z tym stwierdzeniem, podkreśliły, że przy interpretacji tych kryteriów EIOD powinien wziąć pod uwagę rozwój technologiczny. Na przykład przetwarzanie w chmurze nie należy już do „nowych technologii”, i należy to uwzględnić przy ocenie, czy konieczne jest prowadzenie oceny skutków dla ochrony danych. Instytucje, organy i jednostki organizacyjne Unii, które podniosły tę kwestię, zasadniczo uważają, że sam akt prawny jest wystarczająco jasny, i że jest to kwestią interpretacji przez EIOD.
Rozporządzenie nie zawiera żadnego konkretnego obowiązku publikowania wyników oceny skutków dla ochrony danych. Znaczna większość (84 %) instytucji, organów i jednostek organizacyjnych Unii nie publikuje przeprowadzonych przez siebie ocen skutków dla ochrony danych, 14 % natomiast publikuje je częściowo lub w formie podsumowania, usuwając informacje, które mogłyby stanowić naruszenie przyjętych zabezpieczeń związanych z bezpieczeństwem danych. Tylko jeden z tych podmiotów wskazał, że publikuje oceny skutków dla ochrony danych w całości. Publikacja ocen skutków dla ochrony danych, przy usunięciu w stosownych przypadkach informacji, które mogłyby zagrozić bezpieczeństwu operacji przetwarzania, zwiększa przejrzystość dotyczącą przestrzegania przepisów rozporządzenia przez instytucje, organy i jednostki organizacyjne Unii i stanowi dobrą praktykę zalecaną przez EIOD.
3.6Międzynarodowe przekazywanie danych
Niemal wszystkie instytucje, organy i jednostki organizacyjne Unii (91 %) zgłosiły, że ich działania obejmują międzynarodowe przekazywanie danych osobowych, w tym przekazywanie danych do państw niebędących członkami UE/EOG, jak również do organizacji międzynarodowych. Kilka z nich wskazało jednak, że przekazywanie to odbywa się rzadko lub dotyczy wyłącznie ograniczonej ilości danych osobowych. W odniesieniu do stosowanych narzędzi przekazywania instytucje, organy i jednostki organizacyjne Unii odwoływały się w większości do decyzji stwierdzających odpowiedni stopień ochrony (przyjmowanych na podstawie RODO lub dyrektywy o ochronie danych w sprawach karnych) i umów, np. w przypadku przekazywania danych prywatnym przedsiębiorstwom. W odniesieniu do przekazywania danych podmiotom prawa publicznego, stosowane są również inne narzędzia, takie jak prawnie wiążące umowy i porozumienia administracyjne. Ponadto 51 % instytucji, organów i jednostek organizacyjnych Unii wskazało, że prowadzi ograniczone, okazjonalne przekazywanie danych, np. w celu organizacji szkolenia, na podstawie ustawowego uzasadnienia przekazywania danych („wyjątki”).
W praktyce przekazywania danych nie dokonują zazwyczaj bezpośrednio instytucje, organy i jednostki organizacyjne Unii, lecz ich podmioty przetwarzające (niebędące instytucjami, organami ani jednostkami organizacyjnymi Unii) działające w ich imieniu. Komisja uregulowała zatem sytuację związaną z tym konkretnym scenariuszem w postaci standardowych klauzul umownych przyjętych na podstawie RODO w czerwcu 2021 r., aby pomóc administratorom i podmiotom przetwarzającym w zachowaniu zgodności z wymogami zarówno RODO, jak i rozporządzenia 2018/1725. W szczególności podmioty przetwarzające w Europejskim Obszarze Gospodarczym (EOG) mają możliwość włączenia tych standardowych klauzul umownych dotyczących międzynarodowego przekazywania danych do umów zawieranych z podwykonawcami przetwarzania w państwach trzecich. Zapewnia to zachowanie zgodności z przepisami rozporządzenia 2018/1725 dotyczącymi korzystania z usług podwykonawców przetwarzania działających w imieniu instytucji, organów i jednostek organizacyjnych Unii, pod warunkiem zgodności obowiązków ochrony danych w umowach między: (i) instytucją, organem lub jednostką organizacyjną Unii a podmiotem przetwarzającym oraz (ii) podmiotem przetwarzającym i jego podwykonawcą przetwarzania. Instytucje, organy i jednostki organizacyjne Unii mogą zapewnić taką zgodność, stosując standardowe klauzule umowne, które Komisja przyjęła w odniesieniu do relacji między administratorami a podmiotami przetwarzającymi.
W celu dostarczenia dodatkowych narzędzi zapewniających odpowiednie zabezpieczenia bezpośredniego przekazywania danych z instytucji, organów i jednostek organizacyjnych Unii do państw trzecich (tj. bez udziału podmiotu przetwarzającego z UE/EOG) Komisja opracowuje obecnie standardowe klauzule umowne na podstawie art. 48 ust. 2 lit. b) rozporządzenia 2018/1725. Klauzule te będą w największym możliwym zakresie zgodne z istniejącymi klauzulami przyjętymi na podstawie RODO.
Ponadto, z uwagi na szczególne kwestie, jakie pojawiają się przy przekazywaniu danych osobowych do organizacji międzynarodowych (np. ze względu na status organizacji międzynarodowych oraz mające zastosowanie przywileje i immunitety), Komisja dąży do opracowania wspólnie z inspektorami ochrony danych instytucji, organów i jednostek organizacyjnych Unii konkretnych narzędzi (np. porozumień administracyjnych) dostosowanych do takiego przekazywania.
4Działania EIOD
4.1EIOD jako organ nadzorujący ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii
EIOD jest niezależnym organem nadzorującym ochronę danych w instytucjach, organach i jednostkach organizacyjnych Unii, a jego rola jest podobna do roli krajowych organów nadzorczych ds. ochrony danych ustanawianych w państwach członkowskich na podstawie RODO i dyrektywy o ochronie danych w sprawach karnych.
W tabeli 2 w załączniku przedstawiono przegląd działań nadzorczych EIOD w latach 2018–2021. Ponieważ rozporządzenie 2018/1725 weszło w życie 11 grudnia 2018 r., dane liczbowe dotyczące 2018 r. stanowią podstawę porównania w sytuacją, jaka miała miejsce podczas obowiązywania poprzedniego rozporządzenia nr 45/2001.
EIOD odnotował zmianę tematów konsultacji otrzymywanych od instytucji, organów i jednostek organizacyjnych Unii od momentu rozpoczęcia stosowania rozporządzenia 2018/1725 w kierunku ich głównej działalności. Oznacza to zmianę w kierunku kwestii dotyczących przetwarzania danych osobowych do celów realizacji zadań przypisanych instytucjom, organom i jednostkom organizacyjnym Unii, wykonywanych w interesie publicznym, i odchodzenie od tematów „administracyjnych”, takich jak zarządzanie personelem.
W latach 2019–2021 wzrosła liczba niedopuszczalnych skarg otrzymywanych przez EIOD. Większość skarg, które uznano za niedopuszczalne, było skierowanych przeciwko administratorom w państwach członkowskich, którzy nie podlegają nadzorowi EIOD, lecz swoich krajowych organów ochrony danych. Dane liczbowe za 2018 r. były najprawdopodobniej wyższe z tego względu, że zaczęło obowiązywać RODO. Przyczyniło się to do zwiększenia świadomości na temat przepisów o ochronie danych wśród ludności, lecz również do zwiększenia liczby niedopuszczalnych skarg. EIOD może również umorzyć dopuszczalne skargi, jeżeli uda się znaleźć ugodowe rozwiązanie.
W odniesieniu do inspekcji i audytów w 2019 r. nastąpił wzrost w porównaniu z 2018 r., po którym to wzroście nastąpił spadek w latach 2020 i 2021. Można to wyjaśnić pandemią COVID-19, która utrudniła odbywanie kontroli na miejscu i doprowadziła do ich zastąpienia zdalnymi audytami. EIOD dokonuje oceny ryzyka, aby zdecydować w których instytucjach, organach i jednostkach organizacyjnych Unii należy dokonać inspekcji. Ocena taka uwzględnia np. liczbę przedłożonych konsultacji, szczególnie jeżeli przetwarzane są szczególne kategorie danych jako część głównej działalności. EIOD może również zdecydować o przeprowadzeniu postępowań z własnej inicjatywy, np. dotyczących korzystania przez instytucje, organy i jednostki organizacyjne Unii z usług dostawców usług w chmurze.
W odniesieniu do naruszeń ochrony danych EIOD zgłosił, że w większości przypadków przyczyną był błąd ludzki, następnie były to błędy techniczne i zewnętrzne ataki.
EIOD wykorzystał większość swoich uprawnień wynikających z rozporządzenia 2018/1725, w tym np. wprowadzenie czasowego zakazu operacji przetwarzania. Nie wykorzystał dotychczas swojego nowego uprawnienia polegającego na nakładaniu administracyjnych kar pieniężnych, które jest na podstawie rozporządzenia środkiem ostatecznym.
EIOD wskazał również w swoich uwagach na potrzeby niniejszego sprawozdania, że po wejściu w życie rozporządzenia 2018/1725 zainwestował w działania zwiększające świadomość, takie jak szkolenie, w którym w szczytowym 2019 r. wzięło udział, według szacunków, ponad 4 600 uczestników. Chociaż liczba uczestników spadła w latach 2020 i 2021, wciąż jest znacznie wyższa od szacunkowej liczby 1 000 uczestników w 2018 r., będącym rokiem odniesienia.
Informacje zwrotne uzyskane od instytucji, organów i jednostek organizacyjnych Unii na temat interakcji z EIOD i otrzymanych od niego wytycznych były w większości pozytywne – 86 % z nich wskazało, że odpowiedzi były zawsze lub w większości zrozumiałe. Instytucje, organy i jednostki organizacyjne Unii doceniły również zwiększone kontakty EIOD z siecią IOD.
Niektóre z nich zauważyły jednak, że porady EIOD docierały czasem zbyt późno. Podkreśliły one znaczenie stałego wsparcia i porad ze strony EIOD i wezwały do udzielania terminowych i praktycznych wytycznych dotyczących niektórych kwestii z zakresu ochrony danych. Kwestie te obejmują wdrażanie podejścia opartego na analizie ryzyka w odniesieniu do administratorów, międzynarodowe przekazywanie danych i stosunki między administratorami (w tym współadministratorami) a ich podmiotami przetwarzającymi.
4.2EIOD jako doradca prawodawcy Unii
Komisja konsultuje się formalnie z EIOD, szczególnie w sprawie wniosków ustawodawczych mających wpływ na przetwarzanie danych osobowych, po przyjęciu tych wniosków przez kolegium. EIOD odpowiada na te konsultacje w formie opinii lub uwag. EIOD wydaje również opinie z własnej inicjatywy, takie jak wstępna opinia w sprawie europejskiej przestrzeni danych dotyczących zdrowia. Jeżeli wniosek ma szczególne znaczenie dla ochrony danych, Komisja może również skonsultować się z Europejską Radą Ochrony Danych (EROD). W takim przypadku EIOD i EROD powinni wydać wspólną opinię w celu zapewnienia, aby prawodawca Unii uzyskał spójną poradę.
Komisja konsultuje się również z EIOD w sposób nieformalny przed przyjęciem przez kolegium aktów podlegających wymogom konsultacji. W odpowiedzi na takie konsultacje EIOD przedstawia Komisji nieformalne uwagi. Możliwość ta pomaga zapewnić pełną zgodność aktów wydawanych przez Komisję z przepisami o ochronie danych przed przyjęciem tych aktów. Nieformalne konsultacje prowadzi się szczególnie w przypadku aktów prawnych, które dotyczą kwestii szczególnie wrażliwych lub które mają większy wpływ na ochronę danych.
Działanie EIOD jako doradcy prawodawcy Unii zależy od liczby nowych wniosków przygotowanych przez Komisję. Po niższej liczbie takich wniosków składanych w ostatnim roku działalności ustępującej Komisji w 2021 r. wystąpił wyraźny wzrost uwag formalnych wynikający z większej liczby wniosków ustawodawczych i starań Komisji na rzecz zapewnienia konsekwentnej realizacji obowiązku konsultowania się z EIOD. Obejmuje to akty wykonawcze i delegowane, które obejmują przetwarzanie danych osobowych. Po wejściu w życie rozporządzenia 2018/1725 Sekretariat Generalny Komisji opracował odpowiednie procedury i zwiększył świadomość służb odnośnie do wymogu konsultacji z EIOD. Wskutek tego działania zwiększyła się systematyczność konsultacji, w tym tych dotyczących aktów wykonawczych i delegowanych. Do celów planowania EIOD i służby Komisji organizują coroczne spotkania dotyczące nadchodzącego programu prac i wniosków, które będą wymagały konsultacji.
4.3Współpraca między EIOD a krajowymi organami ochrony danych
EIOD jest członkiem EROD i prowadzi jej sekretariat. Współpracuje również w inny sposób z krajowymi organami nadzorczymi w zakresie wykonywania ich obowiązków. Działania takie obejmują kierowanie skarg do właściwego organu nadzorującego ochronę danych i sprawy dotyczące zewnętrznych dostawców usług, z których usług korzystają zarówno instytucje, organy i jednostki organizacyjne Unii, jak i administratorzy podlegający RODO. EIOD wnosi również istotny wkład do pracy EROD, podejmując się np. roli głównego sprawozdawcy lub współsprawozdawcy przy wydawaniu wytycznych lub w inny sposób biorąc udział w jej pracach.
W przypadku kilku wielkoskalowych systemów informatycznych i agencji ustanowionych na podstawie prawa Unii wymagana jest aktywna współpraca EIOD i krajowych organów nadzorczych, z których każdy działa w zakresie swoich odpowiednich obowiązków, aby zapewnić skoordynowany nadzór. W przeszłości akty ustanawiające każdy system lub każdą agencję zawierały służące temu przepisy szczegółowe. W rozporządzeniu 2018/1725 stworzono ujednolicony system koordynacji takiego nadzoru, do którego można się odnieść w innych aktach. Postąpiono tak w przypadku systemu wymiany informacji na rynku wewnętrznym, systemu ECRIS-TCN, Eurojustu i ostatnio Europolu. Inne systemy wciąż korzystają z grup koordynacji nadzoru ze szczegółowymi przepisami określonymi w ich aktach ustanawiających lub szczegółowymi odniesieniami do spotkań w ramach EROD.
EIOD wnosi również wkład do mechanizmu oceny Schengen ustanowionego na podstawie rozporządzenia Rady nr 1053/2013. Na podstawie tego rozporządzenia Komisja może zwrócić się do EIOD o wyznaczenie obserwatora, który weźmie udział w kontroli na miejscu odnoszącej się do dziedziny objętej jego kompetencjami, tj. oceny ochrony danych. Odpowiada to możliwości wyznaczenia przez Frontex i Europol obserwatorów odpowiednio do oceny zarządzania granicami i współpracy policyjnej. Zdaniem Komisji wiedza fachowa obserwatorów EIOD w wartościowy sposób przyczynia się do oceny ochrony danych.
4.4Zasoby EIOD
Liczba personelu EIOD (w tym sekretariatu EROD) w okresie sprawozdawczym stale rosła, co odzwierciedla ogólną tendencję w krajowych organach nadzorczych ds. ochrony danych. Sekretariat EROD prowadzi z czasem coraz więcej działań, co przekłada się na coraz większą liczbę wytycznych, zaleceń, opinii i innych dokumentów EROD, w których przygotowaniu sekretariat uczestniczy. Konieczne jest zapewnienie wystarczających zasobów na działanie sekretariatu EROD z uwagi na spodziewany wzrost roli, jaką będzie miał w skutecznym egzekwowaniu RODO. Dotyczy to w szczególności celu EROD, jakim jest rozwinięcie ściślejszej współpracy w zakresie prac strategicznych oraz stosowanie nowych narzędzi usprawniających współpracę między organami ochrony danych. W szczególności, aby EROD mogła wykonywać swoją pracę zgodnie w wymogami, potrzebny jest jej silny sekretariat wyposażony w odpowiednie zasoby, który może wspierać jej prace, szczególnie w kontekście mechanizmu spójności, który będzie prawdopodobnie wykorzystywany w coraz większym stopniu.
W swoich uwagach do niniejszego sprawozdania EIOD uznał w szczególności, że w przypadku powierzenia mu dodatkowych zadań, np. gdy działa jako organ nadzoru rynku na podstawie wniosku ustawodawczego w sprawie sztucznej inteligencji, należy zapewnić mu odpowiednie dodatkowe zasoby.
5Korzystanie przez Komisję z jej uprawnień do przyjmowania aktów delegowanych i wykonawczych
W rozporządzeniu 2018/1725 nadano Komisji kilka uprawnień do przyjmowania aktów wykonawczych i określania standardowych klauzul, a także zawarto odniesienia do uprawnień na podstawie RODO.
Rozporządzenie 2018/1725 zawiera przepisy uprawniające Komisję do określania standardowych klauzul umownych w zakresie ochrony danych na potrzeby umów między administratorem a podmiotem przetwarzającym, odpowiadające uprawnieniu określonemu w RODO. Komisja skorzystała z tego uprawnienia, przyjmując w czerwcu 2021 r. standardowe klauzule umowne dotyczące stosunków między administratorem a podmiotem przetwarzającym, obejmujące zarówno RODO, jak i rozporządzenie 2018/1725. Klauzule te stanowią proste w użyciu narzędzie dla administratorów umożliwiające skuteczne zarządzanie ich relacjami z podmiotami przetwarzającymi.
W rozporządzeniu 2018/1725 uprawnia się również Komisję do przyjmowania standardowych klauzul umownych dotyczących ochrony danych w celu zapewnienia odpowiednich zabezpieczeń przekazywania danych osobowych poza UE/EOG. Komisja jest aktualnie w trakcie opracowywania takich klauzul.
6Przepisy o ochronie danych dotyczące jednostek organizacyjnych zajmujących się współpracą policyjną i współpracą wymiarów sprawiedliwości w sprawach karnych
Rozdział IX rozporządzenia zawiera przepisy dotyczące przetwarzania operacyjnych danych osobowych przez instytucje, organy i jednostki organizacyjne Unii podczas wykonywania przez nie czynności wchodzących w zakres współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych („rozdział dotyczący ścigania przestępstw”). Ma on na celu ograniczenie fragmentacji:
·między systemami ochrony danych mającymi zastosowanie do przetwarzania danych operacyjnych przez jednostki organizacyjne UE w tym obszarze;
·z systemem ochrony danych mającym zastosowanie do krajowych działań z zakresu ścigania przestępstw na podstawie dyrektywy o ochronie danych w sprawach karnych.
W tym celu w rozdziale dotyczącym ścigania przestępstw przedstawiono zestaw przepisów horyzontalnych opierających się na dyrektywie o ochronie danych w sprawach karnych. Przepisy te można w razie potrzeby uzupełnić przepisami szczegółowymi w aktach ustanawiających jednostek organizacyjnych, w zależności od ich odpowiednich mandatów i szczególnego charakteru ich zadań i operacji przetwarzania danych.
W rozporządzeniu 2018/1725 stwierdzono potrzebę zapewnienia jednolitej i spójnej ochrony osób fizycznych przy przetwarzaniu ich danych osobowych. W tym celu wyraźnie wskazano cel rozszerzenia stosowania rozdziału dotyczącego ścigania przestępstw na jednostki organizacyjne, które w momencie przyjmowania rozporządzenia posiadały w swoich aktach ustanawiających odrębne ramy ochrony danych, mianowicie na Europol i Prokuraturę Europejską (EPPO). Odniesiono się również do możliwej zmiany rozdziału dotyczącego ścigania przestępstw, jeżeli zajdzie taka konieczność.
6.1Rozszerzenie zakresu stosowania rozdziału dotyczącego ścigania przestępstw
Na dzień sporządzenia niniejszego sprawozdania rozdział rozporządzenia 2018/1725 dotyczący ścigania przestępstw stosuje się do przetwarzania operacyjnych danych osobowych przez:
·Eurojust z uzupełnieniem przepisami szczegółowymi ujętymi w rozporządzeniu w sprawie Eurojustu;
·Europol z uzupełnieniem przepisami szczegółowymi ujętymi w rozporządzeniu w sprawie Europolu, które zmieniono od czasu wejścia w życie rozporządzenia 2018/1725;
·Frontex – w odniesieniu do niewielkiej części jego działań, które wchodzą w zakres ścigania przestępstw.
Rozdział dotyczący ścigania przestępstw nie ma jednak jeszcze zastosowania do EPPO, w przypadku którego rozporządzenie ustanawiające przyjęto przez przyjęciem rozporządzenia 2018/1725. Rozporządzenie w sprawie EPPO przewiduje samodzielny system przetwarzania danych operacyjnych. Konsekwencje takiej sytuacji są dwojakie. Po pierwsze, niektóre przepisy rozporządzenia w sprawie EPPO różnią się zasadniczo od rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw, np. w odniesieniu do przetwarzania danych osobowych, do których dostęp został „ograniczony”. Po drugie, niektóre przepisy rozporządzenia w sprawie EPPO, chociaż są zasadniczo podobne, mają inne brzmienie niż przepisy rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw, co mogłoby prowadzić do odmiennych interpretacji.
W celu zapewnienia spójności i zgodnie z ogólnym celem minimalizowania fragmentacji przepisów o ochronie danych w odniesieniu do EPPO należy zastosować podobne podejście, jak podejście przyjęte w przypadku Eurojustu i Europolu. Ma to na celu zapewnienie bezpośredniego stosowania rozdziału rozporządzenia 2018/1725 dotyczącego ścigania przestępstw do EPPO, przy zachowaniu wyłącznie koniecznych specyfikacji w rozporządzeniu w sprawie EPPO. Jednocześnie, biorąc pod uwagę, że EPPO funkcjonuje dopiero od roku, w perspektywie krótkoterminowej wciąż należy zebrać więcej spostrzeżeń co do praktycznego stosowania systemu ochrony danych EPPO. Umożliwi to precyzyjne określenie tych specyfikacji przy uwzględnieniu charakteru EPPO jako niezależnej prokuratury UE.
6.2Doprecyzowanie zasad stosowania niektórych przepisów rozporządzenia do przetwarzania danych operacyjnych
Rozporządzenie stanowi, że „[d]o przetwarzania operacyjnych danych osobowych [...] zastosowanie ma wyłącznie art. 3 [definicje] oraz rozdział IX [rozdział dotyczący ścigania przestępstw] niniejszego rozporządzenia”.
Rozdział dotyczący ścigania przestępstw zawiera przepisy prawa materialnego odpowiadające większości przepisów rozdziałów II–V rozporządzenia (zasady ogólne, prawa osoby, której dane dotyczą, niektóre obowiązki administratorów i podmiotów przetwarzających, międzynarodowe przekazywanie danych), z pewnymi różnicami uwzględniającymi szczególny charakter ścigania przestępstw (np. przepisy dotyczące informowania osób, których dane dotyczą, oraz ich prawo dostępu do ich danych).
Należy doprecyzować, wprowadzając w rozporządzeniu odpowiednią zmianę, że rozdział dotyczący ścigania przestępstw określa przepisy szczegółowe wyłącznie w stosunku do odpowiadających im przepisów innych rozdziałów rozporządzenia, które mają bezpośredni odpowiednik w rozdziale dotyczącym ścigania przestępstw. W ten sposób, jeżeli prawodawca nie zawrze przepisów szczegółowych w akcie ustanawiającym jednostkę organizacyjną, przepisy rozdziałów innych niż rozdział dotyczący ścigania przestępstw, które nie mają bezpośredniego odpowiednika w tymże rozdziale, mają zastosowanie do przetwarzania danych operacyjnych.
Zmiana taka zwiększyłaby pewność prawa i zapewniłaby kompletne ramy (np. dotyczące pozycji IOD, współpracy z krajowymi organami nadzorczymi ds. ochrony danych), również dla każdej przyszłej jednostki organizacyjnej działającej w tym obszarze. Takie kompletne ramy zmniejszyłyby również ryzyko fragmentacji.
6.3Uprawnienia EIOD dotyczące nadzoru nad jednostkami organizacyjnymi UE
Obecnie rozporządzenia ustanawiające EPPO, Eurojust i Europol zawierają przepisy szczegółowe dotyczące uprawnień EIOD.
W zaktualizowanym rozporządzeniu w sprawie Europolu powierzono EIOD uprawnienia dostosowane do uprawnień wynikających z art. 58 rozporządzenia 2018/1725. Dotyczy to w szczególności uprawnienia do nakładania administracyjnych kar pieniężnych i uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach do wskazania sposobu i terminu.
W przypadku EPPO uprawnienia EIOD sformułowano jednak inaczej niż w rozporządzeniu 2018/1725. EIOD nie posiada dwóch wspomnianych powyżej uprawnień.
Rozporządzenie w sprawie Frontexu, w odniesieniu do niewielkiej części działań Frontexu, która podlega przepisom rozdziału dotyczącego ścigania przestępstw, nie zawiera żadnych przepisów szczegółowych dotyczących uprawnień EIOD, co prowadzi do niepewności w tym zakresie.
Powierzenie EIOD pełnego zakresu uprawnień określonych w art. 58 rozporządzenia 2018/1725 można osiągnąć, stosując dwa następujące kroki.
1.Doprecyzowanie, że w rozporządzeniu 2018/1725, jako wariant domyślny, powierza się EIOD nadzór nad przepisami rozdziału dotyczącego ścigania przestępstw i uprawnienia przyznane na podstawie art. 58 tego rozporządzenia. Wymaga to zmiany rozporządzenia, zaproponowanej w poprzedniej sekcji.
Uzupełniłoby to również lukę w rozporządzeniu w sprawie Frontexu.
2.Usunięcie przepisów dotyczących uprawnień EIOD z aktów ustanawiających jednostki organizacyjne, w wyniku czego pełen zakres uprawnień EIOD na podstawie zmienionego rozporządzenia 2018/1725 miałby bezpośrednie zastosowanie do Eurojustu i do EPPO. Ma to na celu możliwie najlepsze dostosowanie tych przepisów do siebie, aby ograniczyć fragmentację przepisów o ochronie danych.
7Dalsze działania
W ogólnym ujęciu rozporządzenie 2018/1725 działa dobrze i jest dostosowane do celu, jaki ma spełniać. Na tym etapie Komisja nie zaproponuje zmian tych części, które są równoważne odpowiadającym im przepisom RODO, zachowując w ten sposób możliwie najbliższe dostosowanie między rozporządzeniem 2018/1725 i RODO. Możliwe zmiany brane pod uwagę w niniejszym sprawozdaniu dotyczą innych części, szczególnie związku rozdziału dotyczącego ścigania przestępstw z pozostałymi przepisami rozporządzenia.
Wiosną 2022 r. Komisja przedstawiła wniosek w sprawie przepisów służących zwiększeniu bezpieczeństwa informacji w instytucjach, organach i jednostkach organizacyjnych Unii, które pozytywnie wpłyną na bezpieczeństwo informacji, w tym na ochronę danych osobowych. Wniosek ten ma na celu dalsze zwiększenie odporności instytucji, organów i jednostek organizacyjnych Unii i ich zdolności do reagowania na zdarzenia, gdy stają przed zagrożeniem cyberbezpieczeństwa.
Komisja podejmie również kroki przedstawione w poniższych punktach:
-przy aktualizacji aktów ustanawiających w odniesieniu do wielkoskalowych systemów informatycznych, które to akty wciąż zawierają szczegółowe przepisy dotyczące modelu koordynacji nadzoru, zapewni, aby zastosowanie miał model koordynacji nadzoru określony w rozporządzeniu 2018/1725, by uprościć procedury;
-rozważy zmiany w rozporządzeniu w celu:
ozwiększenia pewności prawa i uzupełnienia ram dotyczących przetwarzania danych operacyjnych, wyjaśniając w art. 2 ust. 2, że przepisy ogólne rozporządzenia mają również zastosowanie do przewarzania operacyjnych danych osobowych, o ile rozdział dotyczący ścigania przestępstw nie zawiera przepisów szczegółowych (takich jak przepisy dotyczące prawa dostępu). Zapewniłoby to również gotowe ramy dla wszystkich przyszłych jednostek organizacyjnych działających w dziedzinach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej;
ozapewnienia uczestnictwa EIOD w roli obserwatora we wszystkich ocenach ochrony danych w ramach mechanizmu oceny Schengen;
-rozważy następnie zmianę rozporządzeń w sprawie EPPO i Eurojustu w ramach przyszłego przeglądu, aby zapewnić pełne stosowanie przepisów dotyczących przetwarzania operacyjnych danych osobowych w zmienionym rozporządzeniu 2018/1725, przy uwzględnieniu szczególnego charakteru tych jednostek. Doprowadzi to również do ujednolicenia uprawnień EIOD wobec tych jednostek organizacyjnych z uprawnieniami, które posiada on względem pozostałych instytucji, organów i jednostek organizacyjnych Unii;
-zaproponuje standardowe klauzule umowne dotyczące międzynarodowego przekazywania danych osobowych dla instytucji, organów i jednostek organizacyjnych Unii;
-będzie kontynuować ścisłą współpracę z EIOD (i w stosownych przypadkach – z EROD) w celu zapewnienia terminowych i ukierunkowanych konsultacji w sprawie nowych wniosków, jak również będzie prowadzić nieformalne konsultacje z EIOD dotyczące istotnych tekstów przed ich przyjęciem.
EIOD wzywa się do:
-przedstawienia dodatkowych i terminowych praktycznych wytycznych dla instytucji, organów i jednostek organizacyjnych Unii, w tym dotyczących międzynarodowego przekazywania danych;
-dalszego zwiększania świadomości administratorów i podmiotów przetwarzających co do ich obowiązków wynikających z rozporządzenia 2018/1725, jak również doradzania IOD;
-zwiększenia starań w zakresie skutecznego egzekwowania przepisów rozporządzenia 2018/1725 w celu zapewnienia pełnej ochrony osób, których dane dotyczą.
Instytucje, organy i jednostki organizacyjne UE wzywa się do:
-dalszych i, w miarę potrzeby, intensywniejszych starań na rzecz zwiększania świadomości w celu zapewnienia wystarczającego poziomu wewnętrznej wiedzy fachowej dotyczącej przepisów rozporządzenia 2018/1725;
-rozważenia opublikowania oceny skutków dla ochrony danych, w stosownych przypadkach z wyłączeniem informacji, które mogłyby stanowić naruszenie zabezpieczeń związanych z bezpieczeństwem danych;
-zapewnienia, aby IOD (a także koordynatorzy ds. ochrony danych) dysponowali wystarczającymi zasobami oraz mieli taką pozycję w ramach instytucji, organów i jednostek organizacyjnych Unii, która umożliwia im wykonywanie ich zadań w sposób skuteczny i niezależny;
-zakończenia przekształcania swoich pozostałych zgłoszeń na podstawie poprzedniego rozporządzenia w sprawie ochrony danych w rejestry ochrony danych.
ZAŁĄCZNIK
Tabela 1 – Oceny skutków dla ochrony danych i uprzednie konsultacje przeprowadzone przez instytucje, organy i jednostki organizacyjne Unii
|
2019
|
2020
|
2021
|
Zaakceptowane ryzyko szczątkowe
|
30
|
50
|
77
|
Uprzednie konsultacje z EIOD
|
3
|
3
|
5
|
Porzucone projekty
|
2
|
2
|
0
|
Tabela 2 – Działania nadzorcze EIOD
|
2018
|
2019
|
2020
|
2021
|
Konsultacje
|
50
|
75
|
59
|
52
|
Uprzednie konsultacje
|
0
|
0
|
1
|
4
|
Zezwolenia na przekazanie
|
0
|
1
|
0
|
4
|
Otrzymane dopuszczalne skargi
|
58
|
59
|
43
|
44
|
Decyzje dotyczące dopuszczalnych skarg
|
23
|
48
|
35
|
22
|
Otrzymane niedopuszczalne skargi
|
240
|
151
|
203
|
269
|
Przeprowadzone inspekcje/audyty
|
5
|
9
|
4
|
4
|
Przeprowadzone formalne postępowania
|
0
|
4
|
1
|
2
|
Otrzymane zgłoszenia o naruszeniu ochrony danych
|
7
|
95
|
121
|
82
|
Tabela 3 – Działania doradcze EIOD
|
2018
|
2019
|
2020
|
2021
|
Uwagi
|
13
|
3
|
19
|
72
|
Opinie
|
7
|
6
|
8
|
12
|
Opinie z inicjatywy własnej
|
1
|
1
|
2
|
0
|
Wspólne opinie z EROD
|
0
|
1
|
0
|
5
|
Uwagi nieformalne
|
33
|
16
|
13
|
25
|
Tabela 4 – Zasoby EIOD
|
2018
|
2019
|
2020
|
2021
|
2022 (dane szacunkowe)
|
Łączna liczba personelu EIOD (w tym sekretariatu EROD)
|
98
|
100
|
118
|
126
|
139
|
Personel EIOD w sekretariacie EROD
|
19
|
22
|
27
|
34
|
38
|
Budżet
|
13 539 302 EUR (wykonane)
|
15 301 687 EUR (wykonane)
|
14 211 719 EUR (wykonane)
|
16 761 285 EUR (wykonane)
|
20 202 000 EUR (projekt)
|