KOMISJA EUROPEJSKA

Bruksela, dnia 25.7.2024

COM(2024) 357 final

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY

Drugie sprawozdanie dotyczące stosowania ogólnego rozporządzenia o ochronie danych

1Wprowadzenie

Niniejszy dokument jest drugim sprawozdaniem Komisji dotyczącym stosowania ogólnego rozporządzenia o ochronie danych (RODO), przyjętym zgodnie z art. 97 RODO. Pierwsze sprawozdanie przyjęto w dniu 24 czerwca 2020 r. („sprawozdanie z 2020 r.”) ( 1 )).

RODO stanowi jeden z fundamentów podejścia UE do transformacji cyfrowej. Jego podstawowe zasady – rzetelne, bezpieczne i przejrzyste przetwarzanie danych osobowych, gwarantujące zachowanie kontroli przez osoby fizyczne – leżą u podstaw wszystkich polityk UE obejmujących przetwarzanie danych osobowych.

Od czasu sprawozdania z 2020 r. UE przyjęła szereg inicjatyw służących postawieniu obywateli w centrum transformacji cyfrowej. Każda inicjatywa ma konkretny cel, np. stworzenie bezpieczniejszego środowiska online, uczynienie gospodarki cyfrowej sprawiedliwszą i bardziej konkurencyjną, ułatwianie przełomowych badań naukowych, zapewnienie rozwoju bezpiecznej i godnej zaufania sztucznej inteligencji (AI) czy stworzenie prawdziwego jednolitego rynku danych. Ilekroć inicjatywy te dotyczą danych osobowych, ich podstawią jest RODO. RODO stanowi również podstawę dla inicjatyw sektorowych mających wpływ na przetwarzanie danych osobowych, np. w obszarach usług finansowych, ochrony zdrowia, zatrudnienia, mobilności i egzekwowania prawa.

Wśród zainteresowanych stron, organów ochrony danych i państw członkowskich panuje powszechna zgoda co do tego, że pomimo pewnych trudności RODO dostarczyło istotnych rezultatów dla osób fizycznych i przedsiębiorstw. Podejście oparte na analizie ryzyka i neutralne pod względem technologicznym zapewnia solidną ochronę osób, których dane dotyczą, oraz proporcjonalne obowiązki administratorów danych i podmiotów przetwarzających. Jednocześnie należy poczynić dalsze postępy w wielu dziedzinach. W nadchodzących latach należy w szczególności skupić się na wspieraniu wysiłków zainteresowanych stron – zwłaszcza małych i średnich przedsiębiorstw (MŚP), małych podmiotów oraz naukowców i organizacji badawczych – podejmowanych w celu przestrzegania przepisów, na zapewnianiu jaśniejszych i bardziej użytecznych wytycznych przez organy ochrony danych oraz na poprawie spójności interpretacji i egzekwowania przepisów RODO w całej UE.

Zgodnie z art. 97 RODO Komisja analizuje w szczególności stosowanie i funkcjonowanie przepisów dotyczących międzynarodowego przekazywania danych osobowych do państw trzecich (tj. państw spoza UE/EOG) (rozdział V RODO) oraz dotyczących mechanizmów współpracy i spójności między krajowymi organami ochrony danych (rozdział VII RODO). Podobnie jak sprawozdanie z 2020 r. niniejsze sprawozdanie zawiera jednak ogólną ocenę stosowania RODO, która wykracza poza te dwa elementy: przedstawiono w nim również szereg działań niezbędnych do wspierania stosowania RODO w kluczowych obszarach priorytetowych.

W niniejszym sprawozdaniu wykorzystano następujące źródła: (i) stanowisko i ustalenia Rady przyjęte w grudniu 2023 r. ( 2 ); (ii) informacje zebrane od zainteresowanych stron, w szczególności za pośrednictwem grupy ekspertów ds. RODO z udziałem wielu zainteresowanych stron ( 3 ) oraz w drodze publicznego zaproszenia do zgłaszania uwag ( 4 ); oraz (iii) informacje otrzymane od organów ochrony danych (wkład Europejskiej Rady Ochrony Danych ( 5 ) (EROD) oraz sprawozdanie przygotowane przez Agencję Praw Podstawowych (FRA) na podstawie rozmów z poszczególnymi organami ochrony danych ( 6 ) („sprawozdanie FRA”). Sprawozdanie opiera się również na wnioskach z bieżącego monitorowania przez Komisję stosowania RODO, w tym dwustronnych dialogach z państwami członkowskimi na temat zgodności przepisów krajowych, oraz na doświadczeniach z czynnego udziału w pracach EROD i z bliskich kontaktów z szerokim gronem zainteresowanych stron w sprawie praktycznego stosowania rozporządzenia.

2Egzekwowanie RODO oraz funkcjonowanie mechanizmu współpracy i spójności 

Kompleksowy system egzekwowania RODO ma na celu zapewnienie zharmonizowanej interpretacji i egzekwowania przepisów przez niezależne organy ochrony danych. Wymaga on współpracy między organami ochrony danych w przypadkach transgranicznego przetwarzania danych, kiedy takie operacje w istotny sposób wpływają na osoby, których dane dotyczą, w wielu państwach członkowskich. Spory między organami rozstrzyga EROD w ramach mechanizmu spójności RODO.

2.1Usprawnienie rozpatrywania spraw transgranicznych: wniosek dotyczący przepisów proceduralnych

W sprawozdaniu z 2020 r. zwrócono uwagę na potrzebę dalszego usprawnienia i ujednolicenia postępowania w sprawach transgranicznych w całej UE, zwłaszcza ze względu na znaczne różnice w krajowych postępowaniach administracyjnych oraz w interpretacji pojęć związanych z mechanizmem współpracy w ramach RODO. W związku z tym w lipcu 2023 r. Komisja przyjęła wniosek dotyczący rozporządzenia w sprawie przepisów proceduralnych ( 7 ), opierając się również na wykazie problemów przedłożonym Komisji przez EROD w październiku 2022 r. ( 8 ) oraz na wkładzie zainteresowanych stron ( 9 ) i państw członkowskich ( 10 ). Wniosek uzupełnia RODO o szczegółowe przepisy dotyczące skarg transgranicznych, udziału skarżącego, praw procesowych stron objętych postępowaniem (administratorów i podmiotów przetwarzających) oraz współpracy między organami ochrony danych. Harmonizacja tych aspektów proceduralnych przyczyni się do terminowego kończenia postępowań oraz zapewnienia sprawnego środka ochrony prawnej dla osób fizycznych. Wniosek jest obecnie przedmiotem negocjacji na forum Parlamentu Europejskiego i Rady.

2.2Ściślejsza współpraca między organami ochrony danych i wykorzystanie mechanizmu spójności

W ostatnich latach znacznie wzrosła liczba spraw transgranicznych. Organy ochrony danych wykazały większą chęć korzystania z narzędzi współpracy przewidzianych w RODO. Wszystkie organy ochrony danych korzystały z narzędzia wzajemnej pomocy ( 11 ) oraz z „nieformalnych” wniosków o wzajemną pomoc na zasadzie dobrowolności. Organy ochrony danych preferują nieformalne wnioski, w przypadku których nie ma zastosowania termin ani ścisły obowiązek udzielenia odpowiedzi. Chociaż w 2021 r. EROD przyjęła wytyczne dotyczące wspólnych operacji ( 12 ), organy póki co nie korzystały w znacznym stopniu z tego narzędzia ( 13 ), a jako główne przyczyny ograniczonego stosowania tej procedury podają różnice w procedurach krajowych oraz niejasności co do tej procedury.

RODO daje zainteresowanym organom ochrony danych możliwość zgłoszenia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, jeżeli nie zgadzają się one z projektem decyzji wiodącego organu ochrony danych w sprawie transgranicznej. W przypadku gdy organy ochrony danych nie są w stanie porozumieć się w kwestiach wskazanych w mającym znaczenie dla sprawy i uzasadnionym sprzeciwie, RODO przewiduje rozstrzygnięcie sporu przez EROD ( 14 ). Najczęściej poruszane kwestie w mających znaczenie dla sprawy i uzasadnionych sprzeciwach to: (i) podstawa prawna przetwarzania; (ii) obowiązki w zakresie informacji i przejrzystości; (iii) powiadamianie o naruszeniach ochrony danych; (iv) prawa osób, których dane dotyczą; (v) odstępstwa od międzynarodowego przekazywania danych; (vi) stosowanie środków naprawczych; oraz (vii) wysokość administracyjnej kary pieniężnej.

System egzekwowania przepisów RODO opiera się na lojalnej i skutecznej współpracy między organami ochrony danych. Chociaż procedura rozstrzygania sporów odgrywa ważną rolę w tej strukturze egzekwowania prawa, powinna być stosowana w duchu, w jakim została opracowana, a mianowicie z należytym uwzględnieniem podziału kompetencji między organami ochrony danych, wymogu poszanowania praw procesowych oraz interesu osób, których dane dotyczą, w terminowym rozwiązaniu sprawy. Każda procedura rozstrzygania sporów wymaga znacznych zasobów od organu wiodącego, zainteresowanych organów i sekretariatu EROD oraz opóźnia zapewnienie środka ochrony prawnej osobom, których dane dotyczą.

Organy ochrony danych coraz częściej korzystają z mechanizmu spójności RODO. Obejmuje on trzy elementy: (i) opinie EROD; (ii) rozstrzyganie sporów przez EROD; oraz (iii) tryb pilny ( 21 ).

EROD coraz częściej porusza w swoich opiniach ważne sprawy mające charakter ogólny ( 22 ). EROD powinna zapewnić terminowe i konstruktywne konsultacje przed przyjęciem opinii. Sprawy sporne poddane pod rozstrzygnięcie dotyczyły takich kwestii, jak podstawa prawna przetwarzania danych do celów reklamy behawioralnej w mediach społecznościowych oraz przetwarzania danych dzieci w internecie. Większość późniejszych wiążących decyzji została zaskarżona do Sądu.

Przejrzystość procesu decyzyjnego EROD ma kluczowe znaczenie dla zapewnienia poszanowania prawa do dobrej administracji zgodnie z Kartą praw podstawowych UE. Tryb pilny na podstawie RODO umożliwia organom ochrony danych odstąpienie od mechanizmu współpracy i spójności, gdy jest to konieczne do ochrony praw i wolności osób, których dane dotyczą. Narzędzia takie jak tryb pilny, będące odstępstwem od zwykłej procedury współpracy przewidzianej w RODO, można stosować wyłącznie w wyjątkowych okolicznościach, kiedy zwykła procedura współpracy nie zdoła zapewnić ochrony praw i wolności osób, których dane dotyczą.

2.3Lepsze egzekwowanie przepisów

W ostatnich latach organy ochrony danych znacznie zintensyfikowały działania w zakresie egzekwowania przepisów, m.in. nałożono znaczne kary pieniężne w przełomowych sprawach na wielonarodowych gigantów technologicznych. Kary pieniężne nałożono na przykład w związku z: (i) naruszeniem zgodności z prawem i bezpieczeństwa przetwarzania; (ii) naruszeniem dotyczącym przetwarzania szczególnych kategorii danych osobowych; oraz (iii) nieprzestrzeganiem praw osób fizycznych ( 25 ). Skłoniło to prywatne przedsiębiorstwa do „poważnego traktowania ochrony danych” ( 26 ) i pomogło w ugruntowaniu kultury przestrzegania przepisów w organizacjach. Organy ochrony danych wydają decyzje stwierdzające naruszenia RODO w sprawach wszczętych na podstawie skarg oraz z własnej inicjatywy. Wiele organów ochrony danych skutecznie skorzystało z procedur „polubownego rozwiązania sporu” w celu szybkiego rozstrzygania spraw wszczętych na podstawie skarg, ku zadowoleniu skarżącego, choć procedury te nie są dostępne we wszystkich państwach członkowskich. We wniosku dotyczącym przepisów proceduralnych przewiduje się możliwość rozstrzygania skarg w drodze polubownego rozwiązania ( 27 ).

Organy ochrony danych w znacznym stopniu korzystały ze swoich uprawnień naprawczych, chociaż liczba środków naprawczych nałożonych przez poszczególne organy jest bardzo różna. Poza karami pieniężnymi najczęściej stosowanymi środkami naprawczymi były ostrzeżenia, upomnienia i nakazy zapewnienia zgodności z RODO. Administratorzy i podmioty przetwarzające często zaskarżają przed sądami krajowymi decyzje stwierdzające naruszenia RODO, najczęściej powołując się na względy proceduralne ( 28 ).

Chociaż większość organów ochrony danych uznaje swoje narzędzia na potrzeby prowadzenia postępowań za odpowiednie, niektóre organy wymagają dodatkowych narzędzi na szczeblu krajowym, np. odpowiednich sankcji w przypadku, gdy administratorzy nie współpracują lub nie dostarczają niezbędnych informacji ( 32 ). Organy ochrony danych uważają, że najważniejszymi czynnikami ograniczającymi ich zdolności w zakresie egzekwowania prawa są niewystarczające zasoby oraz luki w specjalistycznej wiedzy technicznej i prawnej ( 33 ).

2.4EROD

W skład EROD wchodzą: przewodniczący jednego organu ochrony danych każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych, zaś Komisja uczestniczy bez prawa głosu. Zadaniem EROD – wspieranej w jej pracach przez sekretariat – jest zapewnienie spójnego stosowania RODO ( 34 ). Większość organów ochrony danych uważa, że EROD odegrała pozytywną rolę w umacnianiu współpracy między nimi ( 35 ). Wiele organów ochrony danych przeznacza znaczne zasoby na działania EROD, chociaż mniejsze organy wskazują, że ich rozmiar uniemożliwia im pełne zaangażowanie ( 36 ). Niektóre organy uważają, że należy poprawić skuteczność procesów EROD, w szczególności poprzez zmniejszenie liczby posiedzeń i poświęcanie mniejszej uwagi drobnym kwestiom ( 37 ). W zależności od wyniku negocjacji w sprawie wniosku dotyczącego przepisów proceduralnych RODO, który ma na celu ograniczenie liczby spraw kierowanych do rozstrzygnięcia przez EROD, być może będzie trzeba zastanowić się, czy EROD potrzebuje dodatkowych zasobów.

Według stanu na listopad 2023 r. EROD wydała 35 wytycznych. Chociaż zainteresowane strony oraz organy ochrony danych uznały wytyczne za przydatne, to są zdania, że należy je wydawać szybciej oraz należy podnieść ich jakość ( 38 ). Zainteresowane strony zauważają, że często ich charakter jest zbyt teoretyczny, są nadmiernie długie i nie odzwierciedlają podejścia opartego na analizie ryzyka uwzględnionego w RODO ( 39 ). Organy ochrony danych i EROD powinny wydawać zwięzłe i praktyczne wytyczne, które będą stanowić odpowiedzi na konkretne problemy oraz odzwierciedlać równowagę między ochroną danych a innymi prawami podstawowymi. Wytyczne powinny być również łatwe do zrozumienia dla osób fizycznych nieposiadających przygotowania prawniczego, które na przykład pracują na rzecz MŚP i organizacji wolontariackich ( 40 ). Jednym ze sposobów osiągnięcia tego celu jest zwiększenie przejrzystości opracowywania wytycznych oraz przeprowadzanie konsultacji na wczesnym etapie, aby umożliwić lepsze zrozumienie dynamiki rynku, praktyk biznesowych i sposobów stosowania wytycznych w praktyce ( 41 ). Z zadowoleniem przyjmuje się fakt, że w strategii na lata 2024–2027 EROD położyła nacisk na swój cel, jakim jest zapewnienie praktycznych wytycznych dostępnych dla odpowiednich odbiorców ( 42 ).

Zainteresowane strony podkreślają potrzebę opracowania dodatkowych wytycznych, w szczególności dotyczących anonimizacji i pseudonimizacji ( 43 ), prawnie uzasadnionego interesu i badań naukowych ( 44 ). W sprawozdaniu z 2020 r. Komisja wezwała EROD do przyjęcia wytycznych dotyczących badań naukowych, lecz wytycznych tych jeszcze nie przyjęto. Uznając znaczenie badań naukowych w społeczeństwie, w szczególności na potrzeby monitorowania chorób i opracowywania metod leczenia oraz wspierania innowacji, istotne jest, aby organy ochrony danych podjęły działania w celu wyjaśnienia tych kwestii bez dalszej zwłoki ( 45 ). Organy publiczne odniosłyby również korzyści z wytycznych dotyczących konkretnych wyzwań, z którymi się mierzą ( 46 ).

2.5Organy ochrony danych

2.5.1Niezależność i zasoby

Niezależność organów ochrony danych jest zapisana w Karcie praw podstawowych Unii Europejskiej i w Traktacie o funkcjonowaniu Unii Europejskiej. W RODO określono wymogi służące zapewnieniu działania organów ochrony danych w sposób „w pełni niezależny” ( 47 ). W sprawozdaniu FRA stwierdzono, że większość organów ochrony danych działa w sposób niezależny od rządu, parlamentu lub innych organów publicznych ( 48 ).

Organy ochrony danych potrzebują odpowiednich zasobów ludzkich, technicznych i finansowych, aby móc skutecznie i niezależnie wykonywać swoje zadania przewidziane w RODO. W sprawozdaniu z 2020 r. Komisja zauważyła, że zasoby przeznaczane na potrzeby organów ochrony danych nadal nie były zadowalające, i stale podnosiła tę kwestię w kontaktach z państwami członkowskimi. Od tego czasu odnotowano poprawę sytuacji.

Chociaż statystyki te wskazują na ogólną tendencję wzrostową w zakresie pozyskiwania zasobów przez organy ochrony danych, same organy uważają, że wciąż brakuje im wystarczających zasobów ludzkich ( 50 ). Podkreślają potrzebę posiadania bardzo specjalistycznej wiedzy technicznej, w szczególności w dziedzinie nowych i powstających technologii ( 51 ), której brak wpływa na ilość i jakość ich pracy, a także zwracają uwagę na trudności w konkurowaniu o zasoby ludzkie z sektorem prywatnym. Jako czynniki wpływające na ich wyniki organy ochrony danych wskazują niewystarczającą wiedzę prawną i brak umiejętności językowych. Jako kluczowe czynniki wpływające na zdolność organów do pozyskiwania i zatrzymywania pracowników wskazano niskie wynagrodzenie, niemożność samodzielnego wyboru pracowników oraz duże obciążenie pracą ( 52 ). Organy ochrony danych podkreślają również, że potrzebują środków finansowych na modernizację i cyfryzację swoich procesów oraz zakup wyposażenia technicznego ( 53 ). Wszystkie organy ochrony danych wykonują zadania wykraczające poza zakres zadań powierzonych im w RODO ( 54 ), np. jako organy nadzorcze w związku z dyrektywą o ochronie danych w sprawach karnych i dyrektywą o e-prywatności, natomiast wiele z nich wyraża obawy co do dodatkowych obowiązków wynikających z nowych przepisów cyfrowych ( 55 ).

2.5.2Trudności w rozpatrywaniu dużej liczby skarg

Kilka organów ochrony danych wskazuje, że zbyt dużą część ich zasobów pochłania rozpatrywanie licznych skarg, z których większość uważają za błahe i bezpodstawne, a rozpatrzenie każdej skargi jest obowiązkiem wynikającym z RODO, który podlega kontroli sądowej ( 56 ). Oznacza to, że organy ochrony danych nie mogą przeznaczyć wystarczających zasobów na inne działania, takie jak postępowania z własnej inicjatywy, kampanie informacyjne i współpraca z administratorami danych ( 57 ). Organy ochrony danych, jako organy publiczne, mają swobodę decydowania o rozdziale zasobów według własnego uznania na potrzeby realizacji każdego ze swoich zadań (wymienionych w art. 57 ust. 1 RODO) w interesie publicznym. Wiele organów ochrony danych przyjęło strategie mające na celu zwiększenie skuteczności rozpatrywania skarg, takie jak automatyzacja ( 58 ), stosowanie procedur polubownego rozwiązania sporów ( 59 ) i łączenie skarg dotyczących podobnych kwestii ( 60 ).

2.5.3Interpretacja RODO przez krajowe organy ochrony danych

Głównym celem RODO było wyeliminowanie fragmentarycznego podejścia do ochrony danych, które istniało w okresie obowiązywania poprzedniej dyrektywy o ochronie danych (dyrektywa 95/46/WE) ( 61 ). Organy ochrony danych nadal jednak przyjmują rozbieżne interpretacje kluczowych pojęć z zakresu ochrony danych ( 62 ). Zainteresowane strony uznają to za główną przeszkodę w spójnym stosowaniu RODO w UE. Istnienie rozbieżnych interpretacji prowadzi do niepewności prawa i zwiększa koszty ponoszone przez przedsiębiorstwa (np. poprzez wymaganie odmiennych dokumentów dla kilku państw członkowskich), zakłóca swobodny przepływ danych osobowych w UE, utrudnia prowadzenie działalności transgranicznej oraz utrudnia badania naukowe i innowacje w obszarze pilnych wyzwań społecznych.

Konkretne kwestie poruszone przez zainteresowane strony obejmują: (i) odmienne stanowiska zajmowane przez organy ochrony danych w trzech państwach członkowskich w kwestii właściwej podstawy prawnej dla przetwarzania danych osobowych w toku badań klinicznych; (ii) częste rozbieżne opinie na temat tego, czy dany podmiot jest administratorem czy podmiotem przetwarzającym; oraz (iii) niestosowanie się w niektórych przypadkach przez organy ochrony danych do wytycznych EROD lub wydawanie krajowych wytycznych, które są sprzeczne z wytycznymi EROD ( 63 ). Problemy te potęgują się, kiedy wiele organów ochrony danych w jednym państwie członkowskim przyjmuje sprzeczne interpretacje.

Część zainteresowanych stron uważa również, że niektóre organy ochrony danych i EROD przyjmują interpretacje odbiegające od podejścia opartego na analizie ryzyka określonego w RODO, co stanowi wyzwanie dla rozwoju gospodarki cyfrowej ( 64 ) oraz wolności i pluralizmu mediów. Jako kwestie wzbudzające obawy wskazano: (i) interpretację pojęcia anonimizacji; (ii) podstawę prawną prawnie uzasadnionego interesu oraz zgody ( 65 ); a także (iii) wyjątki od zakazu zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach ( 66 ). Należy przypomnieć, że zadaniem organów ochrony danych i EROD jest zapewnienie zarówno ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, jak i swobodnego przepływu danych osobowych w UE. Jak stwierdzono w RODO ( 67 ), prawo do ochrony danych osobowych należy postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.

2.5.4Współpraca z administratorami i podmiotami przetwarzającymi

Zainteresowane strony podkreślają korzyści płynące z możliwości konstruktywnego dialogu z organami ochrony danych w celu zapewnienia ich zgodności z RODO od samego początku, w szczególności w odniesieniu do powstających technologii. Zainteresowane strony zauważają, że niektóre organy ochrony danych aktywnie współpracują z administratorami danych, podczas gdy inne reagują powoli, udzielają niejasnych odpowiedzi lub nie udzielają ich wcale ( 68 ).

3Wdrażanie RODO przez państwa członkowskie

3.1Rozdrobnienie w stosowaniu na szczeblu krajowym

Chociaż RODO – jako rozporządzenie – ma bezpośrednie zastosowanie, nakłada ono na państwa członkowskie obowiązek stanowienia prawa w niektórych obszarach oraz przewiduje możliwość doprecyzowania jego stosowania w kilku obszarach ( 69 ). Państwa członkowskie muszą stanowić przepisy krajowe na warunkach i w granicach określonych w RODO. Podobnie jak w 2020 r. zainteresowane strony zgłaszają trudności wynikające z rozdrobnienia przepisów krajowych w sprawach, w których państwa członkowskie mają możliwość doprecyzowania norm zawartych RODO, w szczególności w kwestiach:

·minimalnego wieku dziecka wymaganego do wyrażenia zgody w przypadku oferowanych usług społeczeństwa informacyjnego ( 70 );

·wprowadzenia przez państwa członkowskie dalszych warunków dotyczących przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia ( 71 );

·przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych ( 72 ), co nastręcza trudności w niektórych sektorach regulowanych.

Jednocześnie, co ważne, wiele zainteresowanych stron twierdzi, że problem rozdrobnienia przepisów wynika głównie z rozbieżnych interpretacji RODO przez organy ochrony danych, a nie z korzystania przez państwa członkowskie z opcjonalnych klauzul precyzujących.

Państwa członkowskie uważają, że pewien stopień rozdrobnienia jest akceptowalny, a klauzule precyzujące przewidziane w RODO pozostają korzystne, w szczególności w obszarze do przetwarzania przez organy publiczne ( 73 ). RODO zobowiązuje państwa członkowskie do konsultowania się ze swoimi krajowymi organami ochrony danych przy przygotowywaniu przepisów dotyczących przetwarzania danych osobowych ( 74 ). W sprawozdaniu FRA stwierdzono, że niektóre rządy wyznaczyły bardzo krótkie terminy dla tych organów, a w niektórych przypadkach nie konsultują się z nimi w ogóle ( 75 ).

3.2Monitorowanie przez Komisję

Komisja na bieżąco monitoruje wdrażanie RODO. Komisja wszczęła przeciwko państwom członkowskim postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego w takich kwestiach, jak niezależność organów ochrony danych (w tym wolność od wpływów zewnętrznych i dostępność środka ochrony prawnej przed sądem w przypadku odwołania ze stanowiska) ( 76 ) oraz prawo do skutecznego środka ochrony prawnej przed sądem dla osób, których dane dotyczą, jeżeli organ ochrony danych nie rozpatrzy skargi ( 77 ). W ramach monitorowania Komisja zwraca się również do organów ochrony danych o przekazywanie, z zachowaniem ścisłej poufności, regularnych informacji ( 78 ) na temat spraw transgranicznych o dużej skali, w szczególności dotyczących wielonarodowych gigantów technologicznych.

Komisja regularnie komunikuje się z państwami członkowskimi na temat wdrażania RODO. Jak stwierdzono w sprawozdaniu z 2020 r., Komisja wciąż wykorzystuje wysiłki grupy ekspertów ds. RODO z państw członkowskich ( 79 ) w celu ułatwienia dyskusji i wymiany doświadczeń na temat skutecznego wdrażania RODO. Grupa ekspertów przeprowadziła szczegółowe dyskusje na temat: (i) nadzorowania operacji sądów dokonywanych w ramach sprawowania przez nie wymiaru sprawiedliwości (art. 55 RODO; art. 8 Karty); (ii) godzenia prawa do ochrony danych z prawem do wolności wypowiedzi (art. 85 RODO); oraz (iii) prawa do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu (art. 78 RODO). W wyniku tych dyskusji Komisja sporządziła zestawienie podejść przyjętych w celu wdrażania tych przepisów w państwach członkowskich ( 80 ). Komisja skorzystała również ze wsparcia tej grupy na potrzeby wymiany poglądów z państwami członkowskimi podczas przygotowywania wniosku w sprawie przepisów proceduralnych.

W ramach ocen Schengen, przeprowadzanych wspólnie przez państwa członkowskie i Komisję, ocenia się również zgodność przepisów i praktyk krajowych z przepisami o ochronie danych określonymi w prawie UE dotyczącym strefy Schengen. Corocznie przeprowadza się co najmniej pięć ocen na miejscu dotyczących ochrony danych, które aktualnie koncentrują się na wielkoskalowych systemach informatycznych i Systemie Informacyjnym Schengen, wizowym systemie informacyjnym, a także na funkcji nadzorczej krajowych organów ochrony danych nad tymi systemami.

Komisja wnosi aktywny wkład do dużej liczby spraw toczących się przed Trybunałem Sprawiedliwości (w ostatnich latach około 30 orzeczeń w trybie prejudycjalnym rocznie), które odgrywają kluczową rolę w spójnej interpretacji kluczowych pojęć RODO. Coraz bogatsze orzecznictwo Trybunału zawiera szereg wyjaśnień, dotyczących m.in. definicji danych osobowych ( 81 ), szczególnych kategorii danych osobowych ( 82 ), administratora ( 83 ), zgody ( 84 ), prawnie uzasadnionego interesu ( 85 ), prawa dostępu ( 86 ), prawa do usunięcia danych ( 87 ), prawa do odszkodowania ( 88 ), zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach ( 89 ), administracyjnych kar pieniężnych ( 90 ), inspektorów ochrony danych ( 91 ), publikowania danych osobowych w rejestrach ( 92 ) oraz stosowania RODO w działalności parlamentów ( 93 ).

4Prawa osób, których dane dotyczą

Osoby fizyczne są coraz bardziej zaznajomione ze swoimi prawami wynikającymi z RODO i czynnie z nich korzystają ( 94 ). Organy ochrony danych przeznaczają znaczne zasoby na propagowanie wiedzy na temat praw i obowiązków w zakresie ochrony danych wśród ogółu społeczeństwa, m.in. poprzez media społecznościowe i kampanie telewizyjne, infolinie, biuletyny informacyjne oraz prezentacje w instytucjach edukacyjnych ( 95 ). Wiele z tych inicjatyw skorzystało z finansowania unijnego ( 96 ). Agencja Praw Podstawowych zauważa, że chociaż świadomość ochrony danych wśród ogółu społeczeństwa wzrosła, nadal brakuje zrozumienia kwestii ochrony danych, o czym świadczy duża liczba błahych lub bezzasadnych skarg ( 97 ). Opracowano szereg przyjaznych dla użytkownika narzędzi cyfrowych, aby ułatwić osobom, których dane dotyczą, korzystanie z przysługujących im praw ( 98 ). Akty ustawodawcze, w szczególności akt w sprawie zarządzania danymi ( 99 ), powinny prowadzić do stworzenia dodatkowych sposobów wykonywania praw przez osoby, których dane dotyczą, w przyszłości. Zdaniem przedsiębiorstw coraz częściej korzysta się z prawa do usunięcia danych, natomiast rzadko z prawa do sprostowania danych i prawa do sprzeciwu.

4.1Prawo dostępu

Administratorzy donoszą, że osoby, których dane dotyczą, najczęściej powołują się na prawo dostępu (art. 15 RODO). Chociaż w 2022 r. EROD przyjęła wytyczne dotyczące tego prawa, administratorzy nadal zgłaszają problemy, na przykład z interpretacją pojęcia „nieuzasadnionych lub nadmiernych żądań” ( 100 ), podczas udzielania odpowiedzi na dużą liczbę żądań oraz podczas rozpatrywania żądań składanych w celach niezwiązanych z ochroną danych, na przykład w celu gromadzenia dowodów na potrzeby postępowań sądowych ( 101 ). Organizacje społeczeństwa obywatelskiego zauważają, że odpowiedzi na żądania o dostęp są często opóźnione lub niekompletne, zaś otrzymane dane nie zawsze są w możliwym do odczytu formacie ( 102 ). Organy publiczne powołują się na trudności w relacji między prawem dostępu a przepisami dotyczącymi publicznego dostępu do dokumentów ( 103 ). Z zadowoleniem przyjmuje się zatem rozpoczęcie przez EROD w lutym 2024 r. wspólnego działania w ramach skoordynowanego egzekwowania prawa dostępu ( 104 ).

4.2Prawo do przenoszenia

W sprawozdaniu z 2020 r. Komisja zobowiązała się do zbadania praktycznych środków mających ułatwić osobom fizycznym szersze korzystanie z prawa do przenoszenia danych (art. 20 RODO), zgodnie ze strategią w zakresie danych. Od tego czasu Komisja przyjęła szereg inicjatyw uzupełniających to prawo. Inicjatywy te ułatwiają przechodzenie na inne usługi, zapewniając tym samym większy wybór dla osób fizycznym, wspierając konkurencję i innowacje oraz umożliwiając osobom fizycznym czerpanie korzyści z wykorzystania ich danych. Akt w sprawie danych zapewnia użytkownikom inteligentnych urządzeń zwiększone prawo do przenoszenia danych generowanych w czasie użytkowania takich urządzeń oraz nakazuje, aby projekt produktu lub serwer producenta lub posiadacza danych umożliwiał takie przenoszenie danych z technicznego punktu widzenia. Akt o rynkach cyfrowych nakłada na dostawców podstawowych usług platformowych, określonych jako „strażnicy dostępu”, wymóg zapewnienia skutecznej możliwości przenoszenia danych użytkowników, w tym stałego dostępu do takich danych w czasie rzeczywistym. W przypadku kilku inicjatyw Komisji, które obecnie są przedmiotem negocjacji lub w sprawie których osiągnięto porozumienie polityczne, przewiduje się zwiększenie praw do przenoszenia danych w konkretnych dziedzinach, do takich inicjatyw należą dyrektywa w sprawie pracy za pośrednictwem platform internetowych ( 105 ), europejska przestrzeń danych dotyczących zdrowia ( 106 ) oraz ramy dostępu do danych finansowych ( 107 ).

4.3Prawo do wniesienia skargi

Jak wynika z dużej liczby skarg, istnieje powszechna świadomość prawa do wniesienia skargi do organu ochrony danych. Organizacje społeczeństwa obywatelskiego zwracają uwagę na nieuzasadnione różnice w krajowych praktykach rozpatrywania skarg, co jest przedmiotem wniosku Komisji w sprawie przepisów proceduralnych. Kilka państw członkowskich skorzystało z przewidzianej w RODO możliwości zapewnienia podmiotowi, który nie mają charakteru zarobkowego, prawa do wniesienia skargi niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą (art. 80 ust. 2). Przyjęta w 2020 r. dyrektywa w sprawie powództw przedstawicielskich ( 108 ) zapewni jednak większą harmonizację w tym zakresie, ułatwiając osobom fizycznym dochodzenie roszczeń zbiorowych w związku z naruszeniem RODO. Krajowe środki wdrażające dyrektywę zaczęły obowiązywać w czerwcu 2023 r.

4.4Ochrona danych osobowych dzieci

Dzieci wymagają szczególnej ochrony przy przetwarzaniu ich danych osobowych ( 109 ). RODO stanowi część kompleksowych ram prawnych zapewniających ochronę dzieci zarówno w internecie, jak i poza nim ( 110 ). Biorąc pod uwagę zwiększoną aktywność dzieci w internecie, w ostatnich latach podjęto szereg działań na szczeblu unijnym oraz krajowym w celu wzmocnienia ochrony dzieci w internecie. Organy ochrony danych nakładały wysokie kary pieniężne na przedsiębiorstwa obsługujące media społecznościowe za naruszenia RODO przy przetwarzaniu danych dzieci. Organy te współpracują również z innymi organami w dążeniu do zwiększenia ochrony dzieci w obszarze reklamy. W sprawozdaniu z 2020 r. Komisja zwróciła się do EROD o przyjęcie wytycznych dotyczących przetwarzania danych dzieci, a prace te są obecnie w toku ( 111 ). Akt o usługach cyfrowych zawiera przepisy szczegółowe mające na celu zapewnienie wysokiego poziomu prywatności, bezpieczeństwa i ochrony dzieci korzystających z platform internetowych.

Niektóre zainteresowane strony zgłaszają problemy związane z wykonywaniem praw osób, których dane dotyczą, w przypadku gdy osobami, których dane dotyczą, są dzieci. W szczególności wskazują, że dzieci nie rozumieją w pełni swoich praw, nie posiadają umiejętności cyfrowych i mogą ulegać nadmiernym wpływom ( 112 ). Komisja sfinansowała szereg inicjatyw na szczeblu krajowym dotyczących ochrony danych dzieci oraz krzewienia wśród dzieci świadomości w zakresie ochrony danych ( 113 ). W ramach strategii na rzecz lepszego internetu dla dzieci (BIK+) Komisja zapewnia dzieciom materiały informacyjne i szkolenia na temat ich praw cyfrowych, w tym ochrony danych (np. zgoda cyfrowa) ( 114 ). Coraz większy nacisk kładzie się na potrzebę skutecznych i sprzyjających zachowaniu prywatności narzędzi weryfikacji wieku. Na początku 2024 r. Komisja wraz z państwami członkowskimi, EROD i Europejską Grupą Regulatorów ds. Audiowizualnych Usług Medialnych powołała grupę zadaniową ds. weryfikacji wieku na podstawie aktu o usługach cyfrowych w celu omówienia i wspierania rozwoju ogólnoeuropejskiego podejścia do weryfikacji wieku. Prace te będą teraz kontynuowane w Grupie Roboczej ds. Ochrony Nieletnich w ramach Rady ds. Usług Cyfrowych. W kontekście rozporządzenia w sprawie europejskiej tożsamości cyfrowej ( 115 ), które weszło w życie w maju 2024 r., Komisja pracuje nad zapewnieniem, aby europejski portfel tożsamości cyfrowej był oferowany wszystkim obywatelom i mieszkańcom UE w 2026 r., w tym na potrzeby weryfikacji wieku. Tymczasem, zanim ekosystem portfela stanie się w pełni operacyjny, opracowane zostanie krótkoterminowe rozwiązanie służące weryfikacji wieku, które będzie dostępne w całej UE.

5Możliwości i wyzwania dla organizacji, w szczególności MŚP

RODO stworzyło równe warunki działania dla przedsiębiorstw działających na rynku wewnętrznym, a neutralne pod względem technologicznym i sprzyjające innowacjom podejście pozwala przedsiębiorstwom na ograniczenie biurokracji oraz czerpanie korzyści z większego zaufania konsumentów ( 116 ). Wiele przedsiębiorstw opracowało wewnętrzną kulturę ochrony danych oraz postrzegania prywatności i ochrony danych jako kluczowych aspektów konkurencyjności. Przedsiębiorstwa cenią podejście oparte na analizie ryzyka zawarte w RODO jako zasadę przewodnią umożliwiającą elastyczność i skalowalność ich obowiązków ( 117 ).

5.1Zestaw narzędzi dla przedsiębiorstw

RODO zapewnia zestaw instrumentów umożliwiających organizacjom elastyczne zarządzanie i wykazanie zgodności z obowiązującymi przepisami, w tym kodeksy postępowania, mechanizmy certyfikacji i standardowe klauzule umowne. Jak zapowiedziano w sprawozdaniu z 2020 r., w 2021 r. Komisja przyjęła standardowe klauzule umowne dotyczące stosunków między administratorami a podmiotami przetwarzającymi ( 118 ). Te standardowe klauzule umowne stanowią gotowe i łatwe do wdrożenia narzędzie dobrowolnego przestrzegania przepisów, które jest szczególnie przydatne dla MŚP lub organizacji, które mogą nie dysponować zasobami na potrzeby negocjowania indywidualnych umów z partnerami handlowymi. Przedsiębiorstwa przekazują rozmaite informacje zwrotne na temat stosowania standardowych klauzul umownych: niektóre przedsiębiorstwa (głównie MŚP) wykorzystują je w całości lub częściowo, podczas gdy inne (głównie większe przedsiębiorstwa) zazwyczaj ich nie stosują, ponieważ wolą stosować własne klauzule.

Przedsiębiorstwa podkreślają, że kodeksy postępowania mają duży potencjał jako sektorowe i opłacalne narzędzie służące przestrzeganiu przepisów ( 119 ). Efekty prac nad kodeksami postępowania są jednak ograniczone ( 120 ). Zgodnie z informacjami dostępnymi na chwilę obecną zatwierdzono tylko dwa ogólnounijne kodeksy (oba w sektorze chmury obliczeniowej), natomiast na szczeblu krajowym zatwierdzono sześć kodeksów ( 121 ). Zainteresowane strony wskazują uciążliwe wymogi (w tym potrzebę ustanowienia akredytowanego podmiotu monitorującego), brak zaangażowania ze strony organów ochrony danych oraz długotrwały proces zatwierdzania jako główne czynniki ograniczające stosowanie kodeksów postępowania ( 122 ).

Istnieje potrzeba zwiększenia przejrzystości procesu oraz jasnego określenia terminów zatwierdzania. Organy ochrony danych, a w przypadku kodeksów ogólnounijnych – EROD, powinny aktywniej zachęcać do opracowywania kodeksów postępowania poprzez współpracę ze stowarzyszeniami opracowującymi kodeksy. Pomoże to uporać się z rozbieżnościami interpretacyjnymi oraz przyspieszyć proces zatwierdzania. Zainteresowane strony ubolewają nad dużymi opóźnieniami w przyjmowaniu kodeksów postępowania, które wynikają z równoległego omawiania różnych kwestii w ramach prac nad wytycznymi. Również przedsiębiorstwa zgłaszają, że certyfikacja nie jest powszechnie stosowana, ponieważ proces opracowywania jest powolny i złożony. Podobnie jak w przypadku kodeksów postępowania organy ochrony danych powinny zapewnić jaśniej określone terminy przeglądu i zatwierdzania certyfikacji.

W swojej strategii na lata 2024–2027 EROD zobowiązała się do dalszego wspierania środków zgodności, takich jak certyfikacja i kodeksy postępowania, m.in. poprzez współpracę z kluczowymi grupami zainteresowanych stron w zamiarze wyjaśniania, w jaki sposób można wykorzystywać te narzędzia ( 123 ).

5.2Szczególne wyzwania dla MŚP i małych podmiotów

W sprawozdaniu z 2020 r. Komisja wezwała do zintensyfikowania wysiłków mających pomóc MŚP w przestrzeganiu RODO. W ostatnich latach organy ochrony danych i EROD kontynuowały prace nad narzędziami zapewniania zgodności dla MŚP – był one częściowo sfinansowane ze środków Komisji ( 124 ). W kwietniu 2023 r. EROD opublikowała przewodnik dotyczący ochrony danych dla małych przedsiębiorstw ( 125 ), który zawiera praktyczne informacje dla MŚP przedstawione w przystępnym i łatwo zrozumiałym formacie.

MŚP w wielu państwach członkowskich podkreślają korzyści płynące z zindywidualizowanego wsparcia ze strony lokalnych organów ochrony danych. Różne podejścia do podnoszenia świadomości oraz do wytycznych od organów ochrony danych oznaczają jednak, że w niektórych państwach członkowskich MŚP postrzegają przestrzeganie przepisów jako skomplikowane i obawiają się ich egzekwowania ( 126 ). Organy ochrony danych powinny podwoić wysiłki, aby sprostać tym wyzwaniom, m.in. poprzez proaktywną współpracę z MŚP w celu rozwiania wszelkich nieuzasadnionych obaw związanych z przestrzeganiem przepisów. Organy ochrony danych powinny skupić się na zapewnieniu zindywidualizowanego wsparcia i praktycznych narzędzi, takich jak szablony (np. do przeprowadzania ocen skutków dla ochrony danych), infolinie, obrazowe przykłady, listy kontrolne i wytyczne dotyczące konkretnych operacji przetwarzania (np. rozliczenia lub biuletyny informacyjne) oraz środków technicznych i organizacyjnych. Ponieważ większość MŚP nie dysponuje własną wiedzą fachową w zakresie ochrony danych, wszelkie wytyczne skierowane do MŚP powinny być łatwo zrozumiałe dla osób bez przygotowania prawniczego ( 127 ).

Zgodnie z podejściem opartym na analizie ryzyka określonym w RODO MŚP wykonujące czynności przetwarzania obarczone niskim ryzykiem nie ponoszą znacznego obciążenia regulacyjnego. Chociaż odstępstwo od wymogu prowadzenia rejestrów czynności przetwarzania ( 128 ) ma zastosowanie w ściśle określonych warunkach ( 129 ), MŚP prowadzące przetwarzanie o niskim ryzyku mogą przestrzegać przepisów, prowadząc uproszczoną dokumentację opartą na szablonach dostarczonych przez organy ochrony danych. Ponadto takie rejestry należy postrzegać jako użyteczne narzędzie dla MŚP umożliwiające podsumowanie wykonywanych przez nie czynności przetwarzania.

5.3Inspektorzy ochrony danych

Inspektorzy ochrony danych odgrywają ważną rolę w zapewnianiu zgodności z przepisami RODO w organizacjach, w których pracują. Ogólnie rzecz ujmując, inspektorzy ochrony danych działający w UE posiadają wiedzę i umiejętności niezbędne do wykonywania swoich zadań zgodnie z RODO, a ich niezależność jest respektowana ( 130 ). Wciąż jednak istnieje kilka wyzwań, w tym: (i) trudności w powoływaniu inspektorów ochrony danych dysponujących wymaganą wiedzą fachową; (ii) brak ogólnounijnych norm kształcenia i szkolenia; (iii) brak odpowiedniej integracji inspektorów ochrony danych w procesach organizacyjnych; (iv) brak zasobów; (v) dodatkowe zadania niezwiązane z ochroną danych; oraz (vi) niewystarczający staż pracy ( 131 ). EROD zauważyła, że organy ochrony danych powinny zintensyfikować działania uświadamiające, a także działania informacyjne i działania w zakresie egzekwowania prawa, aby inspektorzy ochrony danych mogli wykonywać swoją funkcję zgodnie z RODO ( 132 ).

6RODO jako filar polityki UE w sferze cyfrowej

6.1Polityka cyfrowa oparta na RODO

W sprawozdaniu z 2020 r. Komisja zobowiązała się do zapewnienia spójnego stosowania ram ochrony danych w odniesieniu do nowych technologii w celu wspierania innowacji i rozwoju technologicznego. Od tego czasu UE przyjęła szereg inicjatyw: niektóre z nich uzupełniają RODO lub określają, w jaki sposób należy je stosować w konkretnych obszarach, aby osiągnąć określone cele, jak przedstawiono poniżej.

·Akt o usługach cyfrowych ( 133 ), którego celem jest zapewnienie osobom fizycznym i przedsiębiorstwom bezpiecznego środowiska internetowego, zakazuje platformom internetowym wyświetlania reklam opartych na profilowaniu z wykorzystaniem „szczególnych kategorii danych osobowych” zdefiniowanych w RODO.

·Aby rynki cyfrowe stały się bardziej uczciwe i kontestowalne, akt o rynkach cyfrowych ( 134 ) zakazuje podmiotom wyznaczonym jako „strażnicy dostępu” łączenia i wykorzystywania danych osobowych pozyskiwanych za pośrednictwem ich podstawowych usług platformowych w ramach innych usług, chyba że użytkownik wyraził na to zgodę zgodnie z definicją w RODO.

·W akcie w sprawie sztucznej inteligencji ( 135 ) określono unijne przepisy o ochronie danych w konkretnych obszarach, w których wykorzystuje się sztuczną inteligencję, na przykład w systemach zdalnej identyfikacji biometrycznej, przetwarzania szczególnych kategorii danych w celu wykrywania stronniczości oraz dalszego przetwarzania danych osobowych w piaskownicach regulacyjnych.

·Dyrektywa w sprawie pracy za pośrednictwem platform internetowych ( 136 ) uzupełnia RODO w obszarze zatrudnienia, ustanawiając przepisy dotyczące zautomatyzowanych systemów monitorujących i decyzyjnych wykorzystywanych przez cyfrowe platformy pracy, a w szczególności ograniczenia dotyczące przetwarzania danych osobowych, przejrzystości sprawowania nadzoru przez człowieka oraz weryfikowania i możliwości przenoszenia.

·Rozporządzenie w sprawie reklamy politycznej ( 137 ) zakazuje wykorzystywania szczególnych kategorii danych osobowych w reklamie politycznej i wymaga zwiększenia przejrzystości w zakresie stosowanych technik targetowania i zwiększania ich wpływu.

·Rozporządzenie w sprawie europejskiej tożsamości cyfrowej umożliwia stworzenie uniwersalnego, godnego zaufania i bezpiecznego europejskiego portfela tożsamości cyfrowej. Umożliwi to osobom fizycznym poświadczanie atrybutów osobistych, takich jak prawa jazdy, dyplomy i rachunki bankowe, przy zachowaniu pełnej kontroli nad ich danymi osobowymi i bez niepotrzebnej wymiany danych.

Wniosek dotyczący rozporządzenia w sprawie e-prywatności ( 138 ), który ma zastąpić obecną dyrektywę o e-prywatności ( 139 ) i uzupełnić ramy prawne dotyczące prywatności i ochrony danych, jest przedmiotem negocjacji od kilku lat. Należy zastanowić się nad kolejnymi krokami w ramach tej inicjatywy, w tym nad jej związkiem z RODO.

Akt w sprawie Interoperacyjnej Europy ( 140 ) ma na celu zapewnienie interoperacyjności cyfrowych usług publicznych w całej UE. Ułatwia on współpracę między organami ochrony danych, w szczególności poprzez piaskownice regulacyjne interoperacyjności.

Szereg inicjatyw UE zapewnia podstawy prawne przetwarzania danych osobowych przez podmioty prywatne do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania przestępstw. Wszelkie takie przepisy muszą być starannie ukierunkowane, aby zminimalizować ingerencję w prawo do ochrony danych osobowych i być proporcjonalne do zamierzonego celu ( 141 ). Karta, RODO i orzecznictwo Trybunału Sprawiedliwości stanowią ramy, w odniesieniu do których należy dokonywać oceny tych inicjatyw. Proponowany pakiet dotyczący przeciwdziałania praniu pieniędzy ( 142 ) zawiera istotne zabezpieczenia w zakresie ochrony danych osobowych, bez uszczerbku dla celu, jakim jest ograniczenie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu oraz skuteczne wykrywanie nielegalnych prób niewłaściwego wykorzystania systemu finansowego UE.

W tym kontekście Rada podkreśliła, że wszelkie nowe przepisy UE zawierające przepisy dotyczące przetwarzania danych osobowych powinny być spójne z RODO i orzecznictwem Trybunału Sprawiedliwości.

6.2Ramy prawne służące usprawnieniu wymiany danych

Strategia w zakresie danych ma na celu stworzenie jednolitego rynku danych, w ramach którego dane przepływają swobodnie wewnątrz UE i między sektorami z korzyścią dla przedsiębiorstw, naukowców i administracji publicznej. Głównym celem strategii w zakresie danych jest stworzenie wspólnych europejskich przestrzeni danych, które ułatwiają łączenie danych, dostęp do nich oraz ich wymianę. Jeżeli chodzi o dane osobowe, RODO zapewnia ramy dla wszystkich inicjatyw dążących do zwiększania swobodnego przepływu danych w UE, co samo w sobie jest celem RODO. Jeżeli chodzi o dane osobowe, środki ochrony przewidziane w RODO nie są przedmiotem dyskusji.

Akt w sprawie zarządzania danymi ( 143 ) i akt w sprawie danych ( 144 ) stanowią filary strategii w zakresie danych. W akcie w sprawie zarządzania danymi określono konkretne przepisy w kontekście ponownego wykorzystywania danych sektora publicznego zawierających dane osobowe, określono ramy legislacyjne dotyczące usług pośrednictwa danych – w tym serwisów służących do zarządzania danymi osobowymi (PIMS) lub chmur danych osobowych oferowanych, by umożliwić osobom, których dane dotyczą, korzystanie z ich praw przewidzianych w RODO. W akcie określono również warunki korzystania z danych z pobudek altruistycznych. Akt w sprawie danych wzmacnia kontrolę osób, których dane dotyczą, nad danymi generowanymi przez nie w drodze użytkowania urządzeń inteligentnych, które posiadają, wynajmują lub dzierżawią, poprzez wprowadzenie wymogów technicznych dotyczących dostępu do danych i ich przenoszenia.

Europejska przestrzeń danych dotyczących zdrowia (EHDS) ( 145 ) odzwierciedla szczególne potrzeby zidentyfikowane w sektorze danych dotyczących zdrowia, a jednocześnie opiera się na RODO. Umożliwia ona osobom fizycznym łatwy dostęp do własnych danych dotyczących zdrowia w formacie elektronicznym i udostępnianie ich pracownikom służby zdrowia, także w innych państwach członkowskich, polepszając świadczenie opieki zdrowotnej i zwiększając kontrolę pacjentów nad ich danymi. Wprowadza również wspólne ramy prawne ponownego wykorzystywania danych dotyczących zdrowia do celów takich jak badania naukowe, innowacje i zdrowie publiczne, na podstawie zezwolenia wydanego przez organ ds. dostępu do danych dotyczących zdrowia. W trosce o ochronę danych osobowych europejska przestrzeń danych dotyczących zdrowia zapewni wiarygodne otoczenie z bezpiecznym dostępem do danych dotyczących zdrowia i ich bezpiecznym przetwarzaniem. Komisja nadal wspiera prace nad rozwojem wspólnych europejskich przestrzeni danych w 14 sektorach, wdrażając nowe ramy legislacyjne i finansując inicjatywy sektorowe.

6.3Zarządzanie nowymi przepisami dotyczącymi rynku cyfrowego

Rozwój przepisów dotyczących rynku cyfrowego wymaga ścisłej współpracy w różnych dziedzinach regulacyjnych ( 146 ). Taka współpraca jest konieczna tym bardziej, że kwestie ochrony danych w coraz większym stopniu przeplatają się z kwestiami np. z dziedziny prawa konkurencji, prawa ochrony konsumentów, przepisów dotyczących rynków cyfrowych, regulacji łączności elektronicznej i cyberbezpieczeństwa. Ma to miejsce na przykład w przypadku oceny zgodności z prawem Unii modeli typu „Wyraź zgodę albo płać”.

W niektórych przypadkach zadanie organów ochrony danych polega na egzekwowaniu przepisów szczegółowych nowych unijnych przepisów dotyczących rynku cyfrowego ( 147 ). Nowe przepisy dotyczące rynku cyfrowego tworzą również dostosowane do potrzeb struktury skupiające właściwe organy regulacyjne w celu zapewnienia spójnego egzekwowania przepisów, takie jak grupa wysokiego szczebla ds. aktu o rynkach cyfrowych, Europejska Rada ds. Innowacji w zakresie Danych (ustanowiona na podstawie aktu w sprawie zarządzania danymi) oraz Europejska Rada ds. Usług Cyfrowych (ustanowiona na podstawie aktu o usługach cyfrowych). W dyrektywie NIS 2 ( 148 ) określono bardziej szczegółowe przepisy dotyczące współpracy między organami regulacyjnymi a organami ochrony danych w zakresie obsługi incydentów bezpieczeństwa, które stanowią naruszenie ochrony danych osobowych.

Poza tymi formalnymi strukturami organy ochrony danych podejmują kroki w celu zapewnienia komplementarności i spójności ich działań z innymi obszarami regulacyjnymi. W lipcu 2020 r. organy ochrony konsumentów i ochrony danych utworzyły „grupę wolontariuszy” w celu określenia najlepszych praktyk i wymiany doświadczeń w zakresie egzekwowania prawa. Organy ochrony danych nadal uczestniczą we wspólnych warsztatach z siecią współpracy w zakresie ochrony konsumenta. W 2023 r. EROD powołała grupę zadaniową ds. wzajemnych zależności między ochroną danych, konkurencją i ochroną konsumenta.

Chociaż zmiany te są pozytywne, potrzebne są bardziej ustrukturyzowane i skuteczne środki współpracy, w szczególności w celu zaradzenia sytuacjom, które dotykają dużą liczbę osób w UE i angażują wiele organów regulacyjnych ( 149 ). Wszelkie takie struktury mają zapewniać, by organy przez cały czas pozostawały odpowiedzialne za wszelkie kwestie dotyczące zgodności z przepisami w ramach ich kompetencji. Państwa członkowskie powinny również dążyć do zapewnienia odpowiedniej współpracy na szczeblu krajowym ( 150 ).

7Międzynarodowe przekazywanie danych i ogólnoświatowa współpraca

7.1Zestaw narzędzi do przekazywania danych określony w RODO

Przepływy danych stały się integralną częścią cyfrowej transformacji społeczeństwa i globalizacji gospodarki. Obecnie, bardziej niż kiedykolwiek wcześniej, poszanowanie prywatności jest warunkiem stabilnych, bezpiecznych i konkurencyjnych przepływów handlowych, a także czynnikiem sprzyjającym wielu formom współpracy międzynarodowej. Zestaw narzędzi do przekazywania danych przewidziany w rozdziale V RODO oferuje szereg instrumentów na różne scenariusze przekazywania, przy jednoczesnym zapewnieniu wysokiego poziomu ochrony danych podczas opuszczania UE. 

Od czasu sprawozdania z 2020 r. wymogi dotyczące przekazywania danych określone w unijnych przepisach o ochronie danych zostały doprecyzowane, a zestaw narzędzi do przekazywania danych ewoluował. Ważne doprecyzowanie dotyczy pojęcia „międzynarodowego przekazywania danych”, które EROD ( 151 ) zdefiniowała jako obejmujące każde ujawnienie przez administratora lub podmiot przetwarzający danych osobowych, których przetwarzanie podlega RODO, innemu administratorowi lub podmiotowi przetwarzającemu w państwie trzecim, niezależnie od tego, czy przetwarzanie przez drugą stronę podlega RODO ( 152 ). Te wytyczne EROD były szczególnie ważne dla zapewnienia europejskim administratorom i podmiotom przetwarzającym pewności prawa co do scenariuszy, w których potrzebne jest narzędzie do przekazywania zgodnie z rozdziałem V RODO.

Również Trybunał Sprawiedliwości w wyroku w sprawie Schrems II ( 153 ) przedstawił dalsze wyjaśnienia w sprawie ochrony, jaką należy zapewnić za pomocą różnych instrumentów do przekazywania danych, aby zagwarantować, że poziom ochrony przewidziany w RODO nie zostanie naruszony ( 154 ). W szczególności instrumenty te muszą zapewniać osobom fizycznym, których dane są przekazywane poza UE, poziom ochrony merytorycznie równoważny poziomowi gwarantowanemu w UE ( 155 ). Obowiązkiem unijnego podmiotu przekazującego dane jest ocena, czy tak właśnie jest, biorąc pod uwagę szczególne okoliczności przekazywania ( 156 ).

Aby ocenić poziom ochrony, podmioty przekazujące dane muszą wziąć pod uwagę zarówno zabezpieczenia w zakresie ochrony danych określone w instrumencie przekazywania zawartym z podmiotem odbierającym dane spoza UE (np. umowa), jak i istotne elementy systemu prawnego państwa, w którym znajduje się podmiot odbierający dane, w szczególności w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa ( 157 ). Te ostatnie elementy należy analizować w świetle kryteriów oceny stwierdzających odpowiedni stopień ochrony, określonych w art. 45 RODO. Trybunał doprecyzował również te kryteria, w szczególności w odniesieniu do przepisów dotyczących dostępu organów publicznych do danych osobowych do celów egzekwowania prawa i bezpieczeństwa narodowego.

Interpretacja ta znalazła również odzwierciedlenie w wytycznych EROD aktualizujących „odpowiedni stopień ochrony przekazywanych danych osobowych” ( 158 ) (które zawierały wytyczne dotyczące elementów, które Komisja musi uwzględnić przy przeprowadzaniu oceny, czy stopień ochrony jest odpowiedni). EROD przyjęła również nowe wytyczne zawierające dalsze wyjaśnienia dotyczące: (i) elementów, które mają brać pod uwagę poszczególne podmioty przekazujące dane przy ocenie poziomu ochrony; (ii) przeglądu potencjalnych źródeł, które można wykorzystać; oraz (iii) przykładów możliwych środków uzupełniających (np. zabezpieczeń umownych i technicznych) ( 159 ). W wytycznych podkreślono, że każda ocena przeprowadzana przez podmioty przekazujące dane jest niepowtarzalna i że w związku z tym powinni oni uwzględniać szczególne cechy każdego przekazania, które mogą się różnić w zależności od celu przekazania danych, rodzajów zaangażowanych podmiotów, sektora, w którym następuje przekazanie, kategorii przekazywanych danych osobowych itp. ( 160 ).

Biorąc pod uwagę te różne wyjaśnienia dotyczące wymogów w zakresie międzynarodowego przekazywania danych, w ostatnich latach podjęto istotne kroki w celu dalszego rozwoju i wykorzystania w praktyce zestawu narzędzi do przekazywania danych określonych w RODO.

7.1.1Decyzje stwierdzające odpowiedni stopień ochrony

Jak odzwierciedlono również w informacjach zwrotnych otrzymanych od zainteresowanych stron, decyzje stwierdzające odpowiedni stopień ochrony wciąż odgrywają kluczową rolę w zestawie narzędzi do przekazywania danych przewidzianym w RODO ( 161 ), zapewniając proste i kompleksowe rozwiązanie w zakresie przekazywania danych bez konieczności zapewnienia przez podmiot przekazujący dane dalszych zabezpieczeń czy uzyskania jakiegokolwiek zezwolenia. Dzięki umożliwieniu swobodnego przepływu danych osobowych decyzje te otworzyły kanały handlowe dla podmiotów z UE, również dzięki uzupełnianiu i zwiększaniu korzyści płynących z umów handlowych oraz ułatwiły współpracę z partnerami zagranicznymi w wielu dziedzinach, od współpracy regulacyjnej po badania.

Od czasu sprawozdania z 2020 r. liczba państw, które wprowadziły nowoczesne przepisy o ochronie danych – przewidujące m.in. kluczowe zasady ochrony danych, prawa indywidualne oraz skuteczne egzekwowanie przepisów przez niezależne organy regulacyjne – nadal rośnie. Tendencja ta ( 162 ) sprawiła też, że Komisja mogła zintensyfikować prace w zakresie odpowiedniego stopnia ochrony. Obejmuje to przyjęcie decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do Zjednoczonego Królestwa ( 163 ), która ma kluczowe znaczenie dla zapewnienia właściwego funkcjonowania poszczególnych umów zawartych ze Zjednoczonym Królestwem po brexicie. Aby decyzja stwierdzająca odpowiedni stopień ochrony nie ulegała dezaktualizacji, zawiera ona „klauzulę wygaśnięcia”, zgodnie z którą decyzja wygasa w 2025 r., po czym może zostać odnowiona, jeżeli poziom ochrony będzie nadal odpowiedni. Komisja przyjęła również decyzję stwierdzającą odpowiedni stopień ochrony w odniesieniu do Republiki Korei ( 164 ), która stanowi uzupełnienie umowy o wolnym handlu między UE a Koreą w sprawie przepływu danych osobowych i ułatwia współpracę regulacyjną. Pierwszy przegląd decyzji stwierdzającej odpowiedni stopień ochrony zaplanowano na koniec 2024 r.

Ponadto po unieważnieniu decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do Tarczy Prywatności UE-USA Komisja rozpoczęła rozmowy z rządem Stanów Zjednoczonych (USA) w celu przygotowania kolejnego porozumienia zgodnie z wymogami objaśnionymi przez Trybunał ( 165 ). Prezydent USA przyjął nowe rozporządzenie wykonawcze zwiększające zabezpieczenia w kontekście działań USA w obszarze rozpoznania radioelektronicznego, w którym wprowadzono nowe wiążące i możliwe do wyegzekwowania zabezpieczenia, aby zapewnić dostęp do danych na potrzeby bezpieczeństwa narodowego jedynie w niezbędnym i proporcjonalnym zakresie oraz zapewnić Europejczykom możliwość skutecznego dochodzenia roszczeń. Na tej podstawie Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA (DPF) ( 166 ), umożliwiając swobodny przepływ danych osobowych z UE do przedsiębiorstw z USA przystępujących do DPF. Ponieważ zabezpieczenia wprowadzone przez rząd USA w obszarze bezpieczeństwa narodowego mają zastosowanie do wszystkich przypadków przekazywania danych przedsiębiorstwom w USA, niezależnie od zastosowanego mechanizmu przekazywania danych przewidzianego w RODO, znacznie ułatwiono korzystanie z innych narzędzi, takich jak standardowe klauzule umowne i wiążące reguły korporacyjne. Pierwszy przegląd funkcjonowania DPF zostanie przeprowadzony latem 2024 r. w celu sprawdzenia, czy wszystkie istotne elementy zostały w pełni wdrożone w ramach prawnych USA i czy skutecznie funkcjonują one w praktyce.

Obecnie trwają negocjacje w sprawie odpowiedniego stopnia ochrony danych osobowych z Brazylią i Kenią, a także – po raz pierwszy – z kilkoma organizacjami międzynarodowymi (rozmowy na temat odpowiedniego stopnia ochrony są na przykład na zaawansowanym etapie z Europejską Organizacją Patentową) ( 167 ). Zgodnie z apelami różnych zainteresowanych stron ( 168 ) Komisja aktywnie zaangażowała się w wstępne rozmowy z krajami w różnych regionach świata.

Komisja stale monitoruje również rozwój sytuacji w państwach, które już korzystają z ustaleń dotyczących odpowiedniego stopnia ochrony, i dokonuje okresowego przeglądu istniejących decyzji, zgodnie ze swoimi odpowiednimi obowiązkami wynikającymi z RODO ( 169 ). W kwietniu 2023 r. Komisja przyjęła sprawozdanie z pierwszego okresowego przeglądu decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do Japonii ( 170 ), w którym stwierdziła, że Japonia nadal zapewnia odpowiedni poziom ochrony ( 171 ). W przeglądzie wykazano, że od czasu przyjęcia wzajemnych decyzji stwierdzających odpowiedni stopień ochrony unijne oraz japońskie ramy ochrony danych stały się jeszcze bardziej zbieżne.

Ponadto zgodnie z art. 97 RODO w ramach oceny stosowania i funkcjonowania RODO w 2020 r. rozpoczęto pierwszy przegląd 11 decyzji stwierdzających odpowiedni stopień ochrony ( 172 ) przyjętych na podstawie poprzednich unijnych ram ochrony danych (dyrektywy o ochronie danych). Zakończenie tego aspektu kontroli odroczono, przede wszystkim w celu uwzględnienia wyroku Trybunału Sprawiedliwości w sprawie Schrems II oraz późniejszej wykładni dokonanej przez EROD. Powyższe wyjaśnienia Trybunału dotyczące kluczowych elementów standardu odpowiedniego stopnia ochrony doprowadziły do szczegółowej wymiany informacji z zainteresowanymi państwami i terytoriami na temat istotnych aspektów ich ram prawnych, a także mechanizmów nadzoru i egzekwowania prawa.

15 stycznia 2024 r. Komisja opublikowała sprawozdanie dotyczące tych 11 decyzji wraz ze szczegółowymi sprawozdaniami krajowymi, w których opisano rozwój sytuacji w każdym z państw i terytoriów od czasu przyjęcia decyzji stwierdzających odpowiedni stopień ochrony, a także przepisy regulujące dostęp organów publicznych do danych, w szczególności do celów egzekwowania prawa i bezpieczeństwa narodowego ( 173 ). W sprawozdaniu stwierdzono, że wszystkie 11 państw i terytoriów nadal zapewnia odpowiedni poziom ochrony danych osobowych przekazywanych z UE. Świadczy to o tym, że wszystkie zainteresowane kraje i terytoria na różne sposoby unowocześniły i wzmocniły swoje ramy prawne dotyczące prywatności. Ponadto w celu wyeliminowania istotnych różnic w poziomie ochrony wynegocjowano i uzgodniono z niektórymi z tych państw i terytoriów dodatkowe zabezpieczenia dotyczące danych osobowych przekazywanych z Europy, gdy było to konieczne do zapewnienia ciągłości decyzji stwierdzającej odpowiedni stopień ochrony.

W przeglądach tych wykazano również, że decyzje stwierdzające odpowiedni stopień ochrony nie stanowiły „punktu końcowego”, lecz podstawę ściślejszej współpracy i dalszej konwergencji regulacyjnej między UE a partnerami o podobnych poglądach. Na przykład w sprawozdaniu z pierwszego przeglądu decyzji stwierdzającej odpowiedni stopień ochrony w Japonii uznano, że dalsze wzmocnienie japońskich ram ochrony danych może utorować drogę do rozszerzenia decyzji stwierdzającej odpowiedni stopień ochrony poza wymianę handlową, tak aby objąć nią transfery obecnie wyłączone z jej zakresu, np. w dziedzinie współpracy regulacyjnej i badań. Trwają rozmowy badające możliwości takiego ewentualnego przedłużenia. Ogólnie rzecz biorąc, decyzje stwierdzające odpowiedni stopień ochrony stały się strategicznym elementem całokształtu stosunków UE z tymi partnerami zagranicznymi i uznaje się je za główny czynnik umożliwiający pogłębienie współpracy w wielu dziedzinach.

Oprócz zapewnienia solidnej podstawy do zacieśnienia współpracy dwustronnej coraz większa sieć krajów i terytoriów, w odniesieniu do których UE przyjęła decyzję stwierdzającą odpowiedni stopień ochrony, stwarza nowe możliwości maksymalizacji korzyści płynących z bezpiecznego i swobodnego przepływu danych oraz ściślejszej współpracy między partnerami o podobnych poglądach w zakresie egzekwowania przepisów o ochronie danych. W marcu 2024 r. Komisja była gospodarzem pierwszego w historii posiedzenia wysokiego szczebla poświęconego bezpiecznym przepływom danych, w którym wzięli udział odpowiedzialni ministrowie oraz szefowie organów ochrony danych z 15 krajów i terytoriów, w odniesieniu do których UE przyjęła decyzję stwierdzającą odpowiedni stopień ochrony, a także przewodniczący Europejskiej Rady Ochrony Danych ( 174 ). Na posiedzeniu określono kilka konkretnych działań, nad którymi trwają dalsze prace w ramach tej grupy.

Mówiąc ogólniej, dzięki wywoływanemu „efektowi sieciowemu” decyzje stwierdzające odpowiedni stopień ochrony przyjęte przez Komisję Europejską mają coraz większe znaczenie również poza UE, ponieważ umożliwiają nie tylko swobodny przepływ danych między 30 gospodarkami EOG, ale także między dużo większą liczbą jurysdykcji na całym świecie uznawanych przez państwa, w odniesieniu do których wydano unijne decyzje stwierdzające odpowiedni stopień ochrony, za „bezpieczne miejsca docelowe” na podstawie ich własnych przepisów o ochronie danych ( 175 ).

7.1.2Instrumenty zapewniające odpowiednie zabezpieczenia

Od czasu sprawozdania z 2020 r. opracowano dodatkowe narzędzia zapewniające odpowiednie zabezpieczenia oraz wydano praktyczne wytyczne w celu ułatwienia ich stosowania.

Zgodnie z zapowiedzią zawartą w sprawozdaniu z 2020 r. Komisja przyjęła zaktualizowane standardowe klauzule umowne ( 176 ), opracowane w dużym stopniu w oparciu o informacje zwrotne od różnych zainteresowanych stron ( 177 ). Nowe standardowe klauzule umowne zastąpiły trzy zestawy standardowych klauzul umownych przyjętych na podstawie dyrektywy o ochronie danych. Najważniejsze zmiany obejmują: (i) zaktualizowane zabezpieczenia zgodnie z RODO; (ii) podejście modułowe z jednym punktem kompleksowej obsługi uwzględniającym szeroką gamę scenariuszy przekazywania danych; (iii) większą elastyczność w stosowaniu standardowych klauzul umownych przez wiele stron; oraz (iv) praktyczny zestaw narzędzi umożliwiający spełnienie wymogów zawartych w wyroku w sprawie Schrems II.

Zainteresowane strony z zadowoleniem przyjęły zaktualizowane standardowe klauzule umowne, a otrzymane informacje zwrotne stanowiły potwierdzenie, że standardowe klauzule umowne pozostają zdecydowanie najczęściej wykorzystywanym narzędziem przekazywania danych przez unijne podmioty przekazujące dane ( 178 ). Aby wspomóc podmioty przekazujące dane w ich wysiłkach na rzecz przestrzegania przepisów, Komisja opracowała listę pytań i odpowiedzi ( 179 ) zawierających dalsze wytyczne dotyczące stosowania klauzul, która będzie aktualizowana w przypadku pojawienia się nowych pytań lub otrzymania kolejnych informacji zwrotnych w ramach tej ewaluacji.

Wiele podmiotów przekazujących dane zgłasza trudności z przeprowadzeniem „ocen skutków przekazywania danych” wymaganych w wyroku w sprawie Schrems II, zwracając w szczególności uwagę na ich złożoność, a także na koszty i czas potrzebny na ich przeprowadzenie ( 180 ). Zainteresowane strony z zadowoleniem przyjmują wytyczne EROD i standardowe klauzule umowne, ale postulują opracowanie dodatkowych wytycznych (np. dotyczących obowiązków zaangażowanych stron i poziomu szczegółowości wymaganego w ocenach skutków przekazywania danych) oraz dodatkowych narzędzi pomagających w przeprowadzaniu takich ocen (np. szablonów, ogólnych ocen krajowych, katalogów ryzyka). Chociaż zainteresowane strony przekazały takie informacje zwrotne głównie na temat standardowych klauzul umownych, tego samego rodzaju oceny są również wymagane w przypadku innych instrumentów do przekazywania danych (takich jak wiążące reguły korporacyjne). Ważne jest zatem, aby EROD – opierając się na doświadczeniach ze stosowania wymogów Schrems II z ostatnich lat, m.in. w ramach działań krajowych organów ochrony danych w zakresie egzekwowania prawa – rozważyła zbadanie sposobów/narzędzi dalszego wspierania podmiotów przekazujących dane w ich wysiłkach na rzecz przestrzegania przepisów w tym kontekście.

Komisja opracowuje dodatkowe zestawy klauzul uzupełniające istniejące standardowe klauzule umowne, aby zapewnić unijnym podmiotom przekazującym dane kompleksowy i spójny pakiet. Obejmie to standardowe klauzule umowne na podstawie rozporządzenia (UE) 2018/1725 dotyczące przekazywania danych przez instytucje i organy UE operatorom komercyjnym w państwach trzecich ( 181 ) oraz standardowe klauzule umowne dotyczące przekazywania danych podmiotom odbierającym dane z państw trzecich, których operacje przetwarzania bezpośrednio podlegają RODO. Te ostatnie stanowią odpowiedź na apel zainteresowanych stron o uwzględnienie scenariuszy, w których podmiot odbierający dane jest objęty terytorialnym zakresem stosowania RODO (na przykład dlatego, że dane przetwarzanie wiąże się z rynkiem Unii zgodnie z art. 3 ust. 2 RODO) ( 182 ). Jak wyjaśniła EROD, narzędzie do przekazywania na podstawie rozdziału V RODO jest wymagane również w tym przypadku ze względu na zwiększone ryzyko związane z danymi osobowymi przetwarzanymi poza UE, na przykład z powodu potencjalnie kolidujących ze sobą przepisów krajowych lub nieproporcjonalnego dostępu rządu w państwie trzecim ( 183 ). Nowe standardowe klauzule umowne opracowywane przez Komisję w szczególności uwzględnią ten scenariusz i w pełni uwzględnią wymogi, które mają już bezpośrednie zastosowanie do tych administratorów i podmiotów przetwarzających na podstawie RODO ( 184 ).

Jak uznają również różne zainteresowane strony ( 185 ), klauzule wzorcowe odgrywają coraz większą rolę w ułatwianiu przepływu danych na całym świecie. Kilka jurysdykcji zatwierdziło unijne standardowe klauzule umowne jako mechanizm przekazywania na podstawie ich własnych przepisów o ochronie danych, z niewielkimi dostosowaniami formalnymi do krajowego porządku prawnego ( 186 ). Niektóre inne państwa trzecie przyjęły własne klauzule wzorcowe, które mają istotne cechy wspólne z unijnymi standardowymi klauzulami umownymi ( 187 ). Trafnym przykładem jest opracowanie klauzul wzorcowych przez inne międzynarodowe/regionalne organizacje lub sieci, takie jak komitet doradczy Konwencji nr 108 Rady Europy, Iberoamerykańska Sieć Ochrony Danych oraz Stowarzyszenie Narodów Azji Południowo-Wschodniej (ASEAN) ( 188 ). Otwiera to nowe możliwości ułatwiania przepływu danych między różnymi regionami świata na podstawie klauzul wzorcowych. Konkretnym przykładem jest przewodnik UE-ASEAN dotyczący standardowych klauzul umownych UE i klauzul wzorcowych ASEAN, który – opracowany w oparciu o wkład przedsiębiorstw – wspomaga ich wysiłki w celu przestrzegania przepisów w ramach obu zestawów klauzul ( 189 ).

Oprócz standardowych klauzul umownych wiążące reguły korporacyjne są nadal powszechnie stosowane do przepływów danych między członkami grup przedsiębiorstw lub między przedsiębiorstwami prowadzącymi wspólną działalność gospodarczą. Odkąd obowiązuje RODO, EROD przyjęła 80 pozytywnych opinii w sprawie krajowych decyzji zatwierdzających wiążące reguły korporacyjne ( 190 ). EROD wydała również wytyczne dotyczące elementów, które należy uwzględnić w wiążących regułach korporacyjnych dla administratorów danych (oraz informacji, które należy przekazać w ramach stosowania wiążących reguł korporacyjnych), zaktualizowanych do wymogów RODO i wyroku w sprawie Schrems II ( 191 ). Trwają również prace nad aktualizacją wytycznych dotyczących wiążących reguł korporacyjnych dla podmiotów przetwarzających dane ( 192 ). Ponieważ wiążące reguły korporacyjne mają na celu przyjęcie wiążących polityk/programów ochrony danych w przedsiębiorstwach, wiele zainteresowanych stron uważa je za szczególnie przydatne narzędzie służące przestrzeganiu przepisów oraz wiarygodny instrument do przekazywania danych ( 193 ). Jednocześnie zainteresowane strony wciąż donoszą, że czas trwania i złożoność procesu zatwierdzania przez krajowe organy ochrony danych uniemożliwiają szersze stosowanie wiążących reguł korporacyjnych. Ważne jest zatem, aby władze kontynuowały prace nad usprawnieniem i skróceniem procesu zatwierdzania.

Od czasu sprawozdania z 2020 r. podjęto również kroki w celu ułatwienia stosowania certyfikacji i kodeksów postępowania jako narzędzi do przekazywania danych, np. EROD przyjęła specjalne wytyczne dotyczące obu narzędzi ( 194 ). Jednocześnie zainteresowane strony zgłaszają te same kwestie dotyczące terminów i złożoności procesu zatwierdzania, które wymieniono powyżej w odniesieniu do certyfikacji i kodeksów postępowania jako narzędzi rozliczalności.

W RODO przewidziano również konkretne instrumenty – umowy międzynarodowe i uzgodnienia administracyjne zatwierdzane przez organy ochrony danych – które mają służyć organom publicznym do przekazywania danych osobowych swoim odpowiednikom w państwach trzecich lub organizacjom międzynarodowym. EROD przyjęła wytyczne dotyczące zabezpieczeń mogących wspierać negocjowanie takich umów i uzgodnień, które należy uwzględnić w takich instrumentach ( 195 ).

7.1.3Zapewnienie komplementarności z innymi politykami

Ponieważ przepływy danych stały się niezbędne dla tak wielu działań, kluczowe znaczenie ma zapewnienie komplementarności polityki ochrony danych z innymi politykami. Zapewnienie zabezpieczeń w zakresie ochrony danych w instrumentach międzynarodowych jest często nie tylko warunkiem wstępnym przepływu danych, ale również ważnym czynnikiem umożliwiającym stabilną i wiarygodną współpracę.

Na przykład umowy międzynarodowe przewidujące niezbędne zabezpieczenia w zakresie ochrony danych, m.in. poprzez zapewnienie ciągłości ochrony po stronie organu wnioskującego, mają zasadnicze znaczenie dla zagwarantowania wzajemności oraz ułatwienia organom ścigania transgranicznego dostępu do elektronicznego materiału dowodowego będącego w posiadaniu przedsiębiorstw, a tym samym skuteczniejszej walki z przestępczością. Podejście to znajduje odzwierciedlenie w drugim protokole dodatkowym do Konwencji o cyberprzestępczości ( 196 ), który wzmacnia istniejące zasady uzyskiwania transgranicznego dostępu do elektronicznego materiału dowodowego w postępowaniach przygotowawczych, przy jednoczesnym zapewnieniu odpowiednich zabezpieczeń w zakresie ochrony danych. W międzyczasie protokół podpisało kilka państw członkowskich UE. Trwają też negocjacje dwustronne między UE a USA w sprawie umowy o transgranicznym dostępie do elektronicznego materiału dowodowego na potrzeby współpracy w sprawach karnych ( 197 ).

Wymiana danych dotyczących przelotu pasażera (PNR) jest kolejnym obszarem polityki bezpieczeństwa UE, w którym wykorzystano opracowane solidne zabezpieczenia w zakresie ochrony danych. W 2023 r. UE i Kanada zakończyły negocjacje w sprawie nowej umowy PNR zgodnie z wymogami określonymi przez Trybunał Sprawiedliwości w opinii 1/15 ( 198 ). Podobne zabezpieczenia zawarto w rozdziale dotyczącym PNR w umowie o handlu i współpracy między UE a Zjednoczonym Królestwem. Uwzględnienie zwiększonej ochrony prywatności w tych umowach, które mogą służyć za wzór przyszłych umów z innymi partnerami, daje przewoźnikom lotniczym pewność prawa, a jednocześnie zapewnia stabilność ważnych wymian informacji w celu zwalczania terroryzmu i innego rodzaju poważnej przestępczości transgranicznej.

Komisja jest również zwolennikiem zdecydowanych postanowień służących ochronie prywatności i pobudzaniu handlu cyfrowego na forum Światowej Organizacji Handlu w ramach trwających negocjacji w sprawie inicjatywy dotyczącej wspólnego oświadczenia w sprawie handlu elektronicznego. Podobne postanowienia dotyczące zwalczania nieuzasadnionych przeszkód w handlu cyfrowym, przy jednoczesnej ochronie niezbędnej przestrzeni politycznej stron w dziedzinie ochrony danych, były konsekwentnie włączane do umów o wolnym handlu zawieranych przez UE po rozpoczęciu stosowania RODO, w szczególności w umowie o handlu i współpracy między UE a Zjednoczonym Królestwem oraz w umowach z Chile, Japonią i Nową Zelandią. Postanowienia dotyczące prywatności i przepływu danych są również przedmiotem dyskusji w ramach trwających negocjacji w sprawie handlu cyfrowego z Singapurem i Koreą Południową.

7.2Współpraca międzynarodowa w zakresie ochrony danych

7.2.1Wymiar dwustronny

Komisja nadal angażuje się w dialog z państwami i organizacjami międzynarodowymi na temat opracowywania, reformy i wdrażania zasad prywatności, m.in. przedkładając opinie w ramach konsultacji publicznych na temat projektów aktów prawnych lub środków regulacyjnych w dziedzinie prywatności ( 199 ), występując przed właściwymi organami parlamentarnymi ( 200 ) oraz uczestnicząc w specjalnych spotkaniach z przedstawicielami rządów, delegacjami parlamentarnymi i organami regulacyjnymi z wielu regionów świata ( 201 ). Wiele z tych działań przeprowadzono w ramach finansowanego przez UE projektu „Wzmocniona ochrona danych i przepływy danych”, który wspiera kraje zamierzające opracować nowoczesne ramy ochrony danych lub wzmocnić zdolności swoich organów regulacyjnych poprzez szkolenia, dzielenie się wiedzą, budowanie zdolności i wymianę najlepszych praktyk. Komisja wniosła również wkład w inne inicjatywy, takie jak sojusz cyfrowy UE-CELAC.

Ochrona danych będzie również nadal odgrywać kluczową rolę w pracach Komisji związanych z rozszerzeniem Unii. Przepisy UE w zakresie ochrony danych są ważnym elementem ogólnych wysiłków krajów objętych procesem rozszerzenia, podejmowanym w celu dostosowania ich ram prawnych do ram prawnych UE (zwłaszcza z uwagi na fakt, że przetwarzanie i wymiana danych osobowych stanowią podstawę tak wielu polityk). Ponadto niezależność i prawidłowe funkcjonowanie organu ochrony danych jest kluczowym elementem ogólnych mechanizmów kontroli i równowagi oraz praworządności, a jego znaczenie będzie rosło w miarę stopniowego włączania przez UE krajów objętych procesem rozszerzenia do jednolitego rynku (jak przewidziano w inicjatywach takich jak plan wzrostu gospodarczego dla Bałkanów Zachodnich).

Coraz ważniejszy aspekt dialogu UE z państwami trzecimi dotyczy wymiany informacji między organami regulacyjnymi. Jak zapowiedziano w sprawozdaniu z 2020 r., Komisja utworzyła „Akademię Ochrony Danych”, aby wspierać wymianę informacji między organami ochrony danych UE i państw trzecich i w ten sposób przyczynić się do budowania zdolności i poprawy współpracy „w terenie”. Akademia oferuje dostosowane do potrzeb szkolenia na wniosek organów państw trzecich oraz gromadzi wiedzę fachową przedstawicieli organów egzekwowania prawa, środowiska akademickiego, sektora prywatnego i instytucji europejskich. Wartość dodana szkoleń polega na dostosowywaniu poszczególnych elementów do interesów i potrzeb organu wnioskującego. Ponadto szkolenia te umożliwiają organom ochrony danych UE i państw trzecich nawiązywanie kontaktów, wymianę wiedzy, doświadczeń i najlepszych praktyk oraz określenie potencjalnych obszarów współpracy. Dotychczas Akademia przeprowadziła szkolenia dla organów ochrony danych w Indonezji, Brazylii, Kenii, Nigerii i Rwandzie, a obecnie przygotowuje szkolenia dla kilku innych krajów.

Oprócz dużego znaczenia utrzymywania dialogu między organami regulacyjnymi istnieje coraz większa potrzeba – co potwierdzono również w informacjach zwrotnych otrzymanych od Rady i EROD ( 202 ) – opracowania odpowiednich instrumentów prawnych służących bliższej współpracy i wzajemnej pomocy, w tym poprzez umożliwienie niezbędnej wymiany informacji w kontekście dochodzeń. Ponieważ naruszenia prywatności wywołują coraz większe skutki transgraniczne, zazwyczaj można skutecznie je badać oraz im zaradzić jedynie w drodze współpracy między organami regulacyjnymi z UE i spoza UE. Komisja zwróci się zatem o upoważnienie do rozpoczęcia negocjacji w celu zawarcia umów o współpracy w zakresie egzekwowania przepisów z odpowiednimi państwami trzecimi (jak przewidziano również w art. 50 RODO). W tym względzie Komisja odnotowuje wniosek EROD o szczególne uznanie państw, w których większość operatorów bezpośrednio podlega RODO, za potencjalne odpowiedniki, w szczególności państw grupy G-7 lub państw, które korzystają z decyzji stwierdzających odpowiedni stopień ochrony ( 203 ).

Wprowadzenie takich umów o współpracy w zakresie egzekwowania przepisów i wzajemnej pomocy pomogłoby również zapewnić przestrzeganie przepisów przez podmioty zagraniczne podlegające RODO oraz skuteczne egzekwowanie tych przepisów, na przykład dlatego, że są one nastawione na rynek UE, oferując towary lub usługi. Rada uznaje znaczenie egzekwowania w takich przypadkach zgodności z RODO i wyraża obawy na temat równości warunków działania z podmiotami w UE, a także skutecznej ochrony praw osób fizycznych ( 204 ). Komisja zgadza się z postulatem Rady dotyczącym zbadania różnych sposobów na ułatwienie egzekwowania przepisów w tym scenariuszu. Chociaż bardziej formalne formy współpracy z organami regulacyjnymi z państw trzecich z pewnością mogłyby odegrać ważną rolę, należy także aktywniej wykorzystywać inne – już istniejące – możliwości. Obejmuje to pełne wykorzystanie zestawu narzędzi służących egzekwowaniu przepisów, o którym mowa w art. 58 RODO, oraz zaangażowanie przedstawicieli zagranicznych przedsiębiorstw w UE (wyznaczonych zgodnie z art. 27 RODO).

7.2.2Wymiar wielostronny

Komisja nadal aktywnie uczestniczy również w rozmaitych forach międzynarodowych, by propagować wspólne wartości i rozszerzać konwergencję na szczeblu regionalnym i globalnym.

Obejmuje to m.in. aktywny udział w pracach komitetu doradczego ds. konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) – jedynego prawnie wiążącego instrumentu wielostronnego w dziedzinie ochrony danych osobowych. Do tej pory 31 państw ratyfikowało protokół zmieniający w celu uaktualnienia konwencji nr 108 ( 205 ), w tym wiele państw członkowskich UE, a także niektóre państwa niebędące członkami Rady Europy (Argentyna, Mauritius i Urugwaj). Spośród państw członkowskich UE brakuje jeszcze tylko jednego podpisu ( 206 ), natomiast osiem państw członkowskich ( 207 ) podpisało zaktualizowaną konwencję, ale jeszcze jej nie ratyfikowało. Komisja wzywa jedno pozostałe państwo członkowskie do podpisania zaktualizowanej konwencji oraz wszystkie pozostałe do szybkiego przystąpienia do ratyfikacji, aby umożliwić jej wejście w życie w najbliższej przyszłości. Ponadto Komisja w dalszym ciągu aktywnie zachęca do przystępowania do konwencji państwa trzecie.

Na szczeblu G-20 i G-7 dyskusje na temat prywatności i przepływu danych koncentrowały się na wprowadzeniu w życie koncepcji „swobodnego przepływu danych opartego na zaufaniu” (DFFT), pierwotnie zaproponowanej przez Japonię i zakładającej, że ochrona i bezpieczeństwo danych mogą przyczynić się do zwiększenia zaufania do gospodarki cyfrowej oraz usprawnić przepływy danych ( 208 ). OECD odgrywa w tym kontekście szczególnie ważną rolę, zapewniając forum dla wspólnoty ekspertów DFFT, skupiającej szerokie grono zainteresowanych stron (rządy, organy regulacyjne, przemysł, społeczeństwo obywatelskie, środowisko akademickie), aby wnosić wkład w konkretne projekty oraz kwestie związane z DFFT. Ponadto istotnym rezultatem inicjatywy DFFT, do którego Komisja przyczyniła się w znacznym stopniu, jest przyjęcie przez OECD deklaracji w sprawie dostępu rządu do danych osobowych znajdujących się w posiadaniu podmiotów sektora prywatnego, która jest pierwszym międzynarodowym instrumentem w tej dziedzinie. Zawiera ona szereg wspólnych wymogów dotyczących ochrony prywatności przy dostępie do danych osobowych do celów bezpieczeństwa narodowego i egzekwowania prawa. W związku z coraz powszechniejszym na całym świecie przekonaniem, że nieproporcjonalny dostęp rządu negatywnie wpływa na zaufanie do przekazywania danych, deklaracja ta stanowi istotny wkład w ułatwianie przepływu zaufanych danych. Komisja będzie nadal zachęcać państwa do przystąpienia do deklaracji, która jest również otwarta dla członków nienależących do OECD.

Komisja współpracuje także z różnymi organizacjami i sieciami regionalnymi, które kształtują wspólne zabezpieczenia w zakresie ochrony danych. Dotyczy to na przykład ASEAN, Unii Afrykańskiej, forum organów ochrony prywatności w Azji i Pacyfiku, Iberoamerykańskiej Sieci Ochrony Danych oraz sieci afrykańskich organów ochrony danych (NADPA–RADPD). Opracowanie wyżej wspomnianego przewodnika UE-ASEAN dotyczącego klauzul wzorcowych jest konkretnym przykładem takiej owocnej współpracy.

Ponadto Komisja prowadzi dialog z rozmaitymi organizacjami międzynarodowymi, m.in. w celu badania sposobów dalszego ułatwiania przepływu danych między UE a takimi organizacjami. Ponieważ w ostatnich latach wiele organizacji zaktualizowało swoje ramy ochrony danych lub jest w trakcie ich aktualizacji, pojawiają się również nowe możliwości wymiany doświadczeń i najlepszych praktyk. W tym kontekście doroczne warsztaty z udziałem organizacji międzynarodowych oraz specjalnej grupy zadaniowej ds. międzynarodowego przekazywania danych organizowane przez Europejskiego Inspektora Ochrony Danych okazały się szczególnie cennymi forami wymiany oraz badania konkretnych instrumentów współpracy, w tym wymiany danych osobowych ( 209 ).

8Podsumowanie

W ciągu sześciu lat stosowania RODO wzmocniło pozycję obywateli, umożliwiając im sprawowanie kontroli nad własnymi danymi. Pomogło również stworzyć równe warunki działania dla przedsiębiorstw i stanowiło filar dla wielu inicjatyw napędzających transformację cyfrową w UE.

Pełne osiągnięcie dwóch celów RODO – tj. silnej ochrony osób fizycznych przy jednoczesnym zapewnieniu swobodnego przepływu danych osobowych w UE oraz bezpiecznego przepływu danych poza UE – wymaga dalszych działań.

·rzetelne egzekwowanie RODO, począwszy od szybkiego przyjęcia wniosku Komisji w sprawie przepisów proceduralnych w celu zapewnienia szybkich środków odwoławczych oraz pewności prawa w sprawach dotyczących osób fizycznych w całej UE;

·proaktywne wsparcie ze strony organów ochrony danych dla zainteresowanych stron, zwłaszcza MŚP i małych podmiotów, w ich wysiłkach w celu przestrzegania przepisów;

·spójna interpretacja i stosowanie RODO w całej UE;

·skuteczna współpraca między organami regulacyjnymi zarówno na szczeblu krajowym, jak i unijnym w celu zagwarantowania konsekwentnego i spójnego stosowania coraz liczniejszych unijnych przepisów dotyczących rynku cyfrowego;

·dalsze postępy w realizacji międzynarodowej strategii Komisji w zakresie ochrony danych.

Aby wesprzeć skuteczne stosowanie RODO i umożliwić dalsze refleksje na temat ochrony danych, konieczne jest podjęcie szeregu działań w tym zakresie. Komisja będzie wspierać i monitorować ich realizację również z myślą o kolejnym sprawozdaniu w 2028 r. 

Rozwijanie skutecznych struktur współpracy

Wzywa się Parlament Europejski i Radę do szybkiego przyjęcia wniosku w sprawie przepisów proceduralnych RODO.

EROD oraz organy ochrony danych wzywa się do:

-nawiązania regularnej współpracy z innymi sektorowymi organami regulacyjnymi w kwestiach mających wpływ na ochronę danych, w szczególności ustanowionymi na podstawie nowych przepisów cyfrowych UE, oraz aktywnie uczestniczyć w strukturach na szczeblu UE zaprojektowanych w celu ułatwienia współpracy regulacyjnej między systemami i sieciami;

-pełniejszego wykorzystania narzędzi współpracy przewidzianych w RODO, tak aby rozstrzyganie sporów było stosowane tylko w ostateczności;

-wdrożenia bardziej skutecznych i skonkretyzowanych ustaleń roboczych dotyczących wytycznych, opinii i decyzji oraz ustalenia priorytetów w kluczowych kwestiach w celu zmniejszenia obciążenia organów ochrony danych i szybszego reagowania na zmiany na rynku.

Państwa członkowskie muszą:

-zapewnić efektywną i pełną niezależność krajowych organów ochrony danych;

-przydzielić organom ochrony danych wystarczające zasoby, aby umożliwić im wykonywanie powierzonych im zadań, w szczególności przez zapewnienie im zasobów technicznych i wiedzy fachowej niezbędnych do obsługi powstających technologii, oraz wywiązywanie się z nowych obowiązków wynikających z przepisów cyfrowych;

-wyposażyć organy ochrony danych w narzędzia dochodzeniowe niezbędne do skutecznego korzystania z uprawnień w zakresie egzekwowania przepisów przewidzianych w RODO;

-wspierać dialog między organami ochrony danych oraz innymi krajowymi organami regulacyjnymi, w szczególności organami ustanowionymi na podstawie nowych przepisów cyfrowych.

Komisja będzie:

-dążyć do szybkiego przyjęcia wniosku w sprawie przepisów proceduralnych RODO przez współustawodawców;

-nadal ściśle monitorować efektywną i pełną niezależność krajowych organów ochrony danych;

-tworzyć synergię i spójność między RODO a wszystkimi przepisami odnoszącymi się do kwestii przetwarzania danych osobowych, bazując na doświadczeniu, oraz – w razie potrzeby – podejmować odpowiednie działania w celu zagwarantowania pewności prawa;

-zastanawiać się nad skuteczniejszym rozwiązaniem potrzeby zorganizowanej i skutecznej współpracy między organami regulacyjnymi w celu zagwarantowania skutecznego, konsekwentnego i spójnego stosowania unijnych przepisów dotyczących rynku cyfrowego, przy jednoczesnym poszanowaniu kompetencji organów ochrony danych we wszystkich kwestiach dotyczących przetwarzania danych osobowych.

Wdrażanie i uzupełnianie ram prawnych

Państwa członkowskie muszą:

-dopilnować konsultacji z organami ochrony danych w odpowiednim czasie przed przyjęciem przepisów dotyczących przetwarzania danych osobowych.

Komisja będzie:

-w dalszym ciągu wykorzystywać wszystkie dostępne narzędzia, w tym postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego, w celu zagwarantowania, by państwa członkowskie przestrzegały RODO;

-nadal wspierać wymianę poglądów i praktyk krajowych między państwami członkowskimi, także za pośrednictwem grupy ekspertów ds. RODO z państw członkowskich;

-podejmować działania w celu zapewnienia dzieciom ochrony, upodmiotowienia i poszanowania w internecie;

-zastanawiać się nad ewentualnymi kolejnymi krokami dotyczącymi wniosku dotyczącego rozporządzenia o e-prywatności, w tym nad jego związkiem z RODO.

Wspieranie zainteresowanych stron

EROD oraz organy ochrony danych wzywa się do:

-konstruktywnego dialogu z administratorami i podmiotami przetwarzającymi na temat zgodności z RODO;

-dalszego zwiększania wysiłków mających pomóc MŚP w przestrzeganiu przepisów poprzez zapewnienie dostosowanych wytycznych i narzędzi, rozwiewanie wszelkich nieuzasadnionych obaw dotyczących przestrzegania przepisów, jakie mogą odczuwać MŚP, których głównym przedmiotem działalności nie jest przetwarzanie danych osobowych, oraz wspieranie ich w ich wysiłkach w celu przestrzegania przepisów;

-wspierania wdrażania przez przedsiębiorstwa skutecznych środków w zakresie zgodności, takich jak certyfikacja i kodeksy postępowania (w tym jako narzędzia do przekazywania danych), poprzez współpracę z zainteresowanymi stronami w trakcie procesu zatwierdzania, zapewnienie jasno określonych terminów do zatwierdzania oraz – zgodnie z zobowiązaniem zawartym w strategii EROD na lata 2024–2027 – wyjaśnienie kluczowym grupom zainteresowanych stron, w jaki sposób narzędzia te mogą być wykorzystywane;

-zapewnienia, by krajowe wytyczne i stosowanie RODO na szczeblu krajowym były spójne z wytycznymi EROD i orzecznictwem Trybunału Sprawiedliwości;

-rozwiązania problemu rozbieżnych interpretacji RODO przez poszczególne organy ochrony danych, również organy w tym samym państwie członkowskim;

-przedstawienia zwięzłych, praktycznych i dostępnych dla odpowiednich odbiorców wytycznych, zgodnie z zobowiązaniem zawartym w strategii EROD na lata 2024–2027;

-zapewnienia wcześniejszych i bardziej konstruktywnych konsultacji w sprawie wytycznych i opinii w celu lepszego zrozumienia dynamiki rynku i praktyk biznesowych, odpowiedniego uwzględnienia otrzymanych informacji zwrotnych oraz uwzględnienia konkretnych zastosowań przyjętych interpretacji;

-zakończenia bieżących prac nad wytycznymi dotyczącymi danych dzieci, badań naukowych, anonimizacji, pseudonimizacji i prawnie uzasadnionego interesu;

-intensyfikacji działań uświadamiających oraz działań informacyjnych i egzekucyjnych w celu zagwarantowania, że inspektorzy ochrony danych będą w stanie wykonywać swoją funkcję zgodnie z RODO.

Komisja będzie:

-nadal zapewniać wsparcie finansowe dla działań organów ochrony danych, które ułatwiają MŚP realizację obowiązków wynikających z RODO;

-wykorzystywać wszelkie dostępne środki w celu zapewnienia stosownych wyjaśnień w kwestiach istotnych dla zainteresowanych stron, w tym dla MŚP, w szczególności poprzez zwracanie się do EROD o wydanie opinii.

Dalszy rozwój zestawu narzędzi na potrzeby przekazywania danych i współpracy międzynarodowej

EROD oraz organy ochrony danych wzywa się do:

-zakończenia prac nad usprawnieniem i skróceniem procesu zatwierdzania wiążących reguł korporacyjnych, a także nad aktualizacją wytycznych dotyczących elementów, które powinny znaleźć się w wiążących regułach korporacyjnych podmiotów przetwarzających;

-zbadania sposobów/narzędzi dalszego wspierania podmiotów przekazujących dane w ich wysiłkach w związku z przestrzeganiem wymogów zawartych w wyroku w sprawie Schrems II;

-zbadania dalszych sposobów na zapewnienie skutecznego egzekwowania przepisów wobec podmiotów mających siedziby w państwach trzecich objętych zakresem terytorialnym stosowania RODO.

Państwa członkowskie muszą:

-doprowadzić do jak najszybszego podpisania i ratyfikacji zaktualizowanej konwencji 108+ Rady Europy, aby umożliwić jej wejście w życie.

Komisja będzie:

-czynić dalsze postępy w trwających rozmowach w sprawie odpowiedniego stopnia ochrony, badać możliwości dalszego rozwoju dotychczasowych ustaleń dotyczących odpowiedniego stopnia ochrony oraz prowadzić z zainteresowanymi partnerami nowe dialogi w przedmiocie stwierdzenia odpowiedniego stopnia ochrony;

-dążyć do zacieśnienia współpracy w ramach sieci państw korzystających z decyzji stwierdzających odpowiedni stopień ochrony;

-finalizować prace nad dodatkowymi standardowymi klauzulami umownymi, w szczególności dotyczącymi przekazywania danych podmiotom odbierającym dane, których przetwarzanie podlega bezpośrednio RODO, oraz przekazywania danych na podstawie rozporządzenia (UE) 2018/1725 przez instytucje i organy UE;

-współpracować z partnerami międzynarodowymi w celu usprawniania przepływu danych na podstawie wzorcowych klauzul umownych;

-wspierać trwające procesy reform w państwach trzecich w zakresie nowych lub zmodernizowanych przepisów o ochronie danych przez dzielenie się doświadczeniami i najlepszymi praktykami;

-współpracować z organizacjami międzynarodowymi i regionalnymi, takimi jak OECD oraz grupa G7, w celu wspierania zaufanych przepływów danych w oparciu o wysokie standardy ochrony danych, w tym w kontekście inicjatywy „Data Free Flow with Trust”;

-ułatwiać i wspierać wymiany między europejskimi i międzynarodowymi organami regulacyjnymi, w tym za pośrednictwem Akademii Ochrony Danych;

-przyczyniać się do ułatwienia międzynarodowej współpracy w zakresie egzekwowania prawa między organami nadzoru, w tym przez negocjowanie umów o współpracy i wzajemnej pomocy.

(1) ()    Ochrona danych jako filar wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej – dwa lata stosowania ogólnego rozporządzenia o ochronie danych, COM(2020) 264 final z 24.6.2020.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/pl/pdf .

(3) ()    Podsumowanie wkładu grupy ekspertów ds. RODO z udziałem wielu zainteresowanych stron jest dostępne tutaj: Sprawozdanie wielostronnej grupy ekspertów ds. stosowania RODO – czerwiec 2024 r. Uwagi otrzymane w odpowiedzi na publiczne zaproszenie do zgłaszania uwag oraz w ramach spotkań dwustronnych z zainteresowanymi stronami w dużej mierze odzwierciedlają opinie wyrażone przez członków grupy ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_pl .

(5) ()     Wkład EROD w ocenę RODO na podstawie art. 97 | Europejska Rada Ochrony Danych (europa.eu) .

(6) ()     RODO w praktyce – doświadczenia organów ochrony danych | Agencja Praw Podstawowych Unii Europejskiej (europa.eu) .

(7) ()    Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679 (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .

(9) ()    Za pośrednictwem grupy ekspertów ds. RODO z udziałem wielu zainteresowanych stron oraz w odpowiedzi na zaproszenie do zgłaszania uwag ogłoszone w lutym 2023 r.

(10) ()    W szczególności za pośrednictwem grupy ekspertów ds. RODO z państw członkowskich: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pl&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Art. 61 RODO.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)

(13) ()    Art. 62 RODO.

(14) ()    Art. 65 RODO.

(15) ()    Na dzień 3 listopada 2023 r. (wkład EROD).

(16) ()    Zgodnie z art. 60 ust. 3 RODO.

(17) ()    Na dzień 3 listopada 2023 r.

(18) ()    Najwięcej formalnych wniosków złożył organ irlandzki (246), zaś najwięcej wniosków otrzymały organy niemieckie (516).

(19) ()    Organ irlandzki złożył też najwięcej nieformalnych wniosków (4 245), na drugim miejscu uplasowały się organy niemieckie (2 036).

(20) ()    Niemieckie władze zgłosiły 101 (35 %) spośród 289 mających znaczenie dla sprawy i uzasadnionych sprzeciwów . Wskaźnik powodzenia w osiągnięciu porozumienia w kwestiach mających znaczenie dla sprawy i uzasadnionych sprzeciwów waha się od 15 % (sprzeciwów zgłoszonych przez władze niemieckie) do 100 % (sprzeciwów zgłoszonych przez władze polskie).

(21)

()    Odpowiednio art. 64, 65 i 66 RODO.

(22) ()    Opinie na podstawie art. 64 ust. 2 RODO.

(23)

()    Zgodnie z art. 65 ust. 1 lit. a) RODO.

(24) ()    Na podstawie art. 66 ust. 2 RODO.

(25) ()    Zob. sekcja 5.3.4 wkładu EROD.

(26) ()    Sprawozdanie FRA, s. 36.

(27) ()    Art. 5 wniosku dotyczącego przepisów proceduralnych.

(28) ()    W Rumunii do sądu zaskarżono wszystkie 26 decyzji stwierdzających naruszenie, natomiast w Niderlandach wskaźnik zaskarżenia wyniósł 23 %. Wskaźnik powodzenia wniesionych środków zaskarżenia był najwyższy w Belgii (39 %).

(29) ()    Największą liczbę postępowań z własnej inicjatywy wszczęły organy ochrony danych w Niemczech (7 647), wyprzedzając Węgry (3 332), Austrię (1 681) i Francję (1 571).

(30) ()    W 2022 r. dziewięć organów ochrony danych otrzymało ponad 2 000 skarg. Największą liczbę skarg odnotowano w Niemczech (32 300), we Włoszech (30 880), w Hiszpanii (15 128), Niderlandach (13 133) i we Francji (12 193), natomiast najniższą w Liechtensteinie (40), Islandii (140) i Chorwacji (271).

(31) ()    Administracyjne kary pieniężne nakładały wszystkie organy z wyjątkiem Danii, w której nie stosuje się administracyjnych kar pieniężnych. Największą liczbę kar pieniężnych nałożono w Niemczech (2 106) i Hiszpanii (1 596). Najmniej kar pieniężnych nałożono w Liechtensteinie (3), Islandii (15) i Finlandii (20).

(32) ()    Sprawozdanie FRA, s. 38.

(33) ()    Sprawozdanie FRA, s. 20 i 23. Zob. również stanowisko i ustalenia Rady, pkt 17.

(34) ()    Art. 70 ust. 1 RODO.

(35) ()    Sprawozdanie FRA, s. 64.

(36) ()    Sprawozdanie FRA, s. 67. W 2023 r. niemieckie organy ochrony danych przeznaczyły najwięcej zasobów na działania EROD (26 ekwiwalentów pełnego czasu pracy (EPC)), wyprzedzając Irlandię (16 EPC) i Francję (12 EPC) (wkład EROD).

(37) ()    Sprawozdanie FRA, s. 67.

(38) ()    Sprawozdanie FRA, s. 67; streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(39) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(40) ()    Zob. również stanowisko i ustalenia Rady, pkt 45.

(41) ()    Zob. również stanowisko i ustalenia Rady, pkt 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Zob. również stanowisko i ustalenia Rady, pkt 31 lit. d).

(44) ()    W szczególności wymagają one jasności co do znaczenia terminu „badań naukowych”, roli zgody na przetwarzanie danych osobowych na potrzeby badań naukowych, odpowiedniej podstawy prawnej oraz ról i odpowiedzialności zaangażowanych podmiotów.

(45) ()    Zob. również stanowisko i ustalenia Rady, pkt 31 lit. b).

(46) ()    Stanowisko i ustalenia Rady, pkt 27–28.

(47) ()    Art. 52 RODO.

(48) ()    Sprawozdanie FRA, s. 31.

(49) ()    Zob. sekcja 4.4.1 wkładu EROD – również pod kątem liczb bezwzględnych.

(50) ()    Tylko pięć organów ochrony danych uważa, że dysponują odpowiednimi zasobami ludzkimi (wkład EROD, s. 33).

(51) ()    Sprawozdanie FRA, s. 20. Niektóre organy ochrony danych podzlecają zewnętrznym wykonawcom niektóre zadania, takie jak rozpatrywanie skarg, analiza prawna i analiza kryminalistyczna.

(52) ()    Sprawozdanie FRA, s. 24.

(53) ()    Sprawozdanie FRA, s. 22.

(54) ()    Zob. sekcja 4.4.5 wkładu EROD.

(55) ()    Wkład EROD, s. 32.

(56) ()    Sprawozdanie FRA, s. 48.

(57) ()    Sprawozdanie FRA, s. 45. Organy ochrony danych uznają postępowania z urzędu za szczególnie istotne, ponieważ skarżący mogą nie być świadomi wielu naruszeń RODO.

(58) ()    Sprawozdanie FRA, s. 8.

(59) ()    Sprawozdanie FRA, s. 39.

(60) ()    Sprawozdanie FRA, s. 41.

(61) ()    Motyw 9 RODO.

(62) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(63) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(64) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(65) ()    Odpowiednio art. 6 ust. 1 lit. f) i a) RODO.

(66) ()    Art. 22 ust. 2 RODO.

(67) ()    Motyw 4.

(68) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron. 

(69) ()    Np. minimalny wiek dziecka wymagany do wyrażenia zgody w przypadku usług społeczeństwa informacyjnego (art. 8 ust. 1 RODO).

(70) ()    Art. 8 ust. 1 RODO.

(71) ()    Możliwość przewidziana w art. 9 ust. 4 RODO.

(72) ()    Art. 10 RODO.

(73) ()    Stanowisko i ustalenia Rady, pkt 30.

(74) ()    Art. 36 RODO.

(75) ()    Sprawozdanie FRA, s. 11.

(76) ()    Belgia (2021/4045) i Belgia (2022/2160).

(77) ()    Finlandia (2022/4010) i Szwecja (2022/2022).

(78) ()    W tym informacji o numerze referencyjnym sprawy, rodzaju postępowania (z własnej inicjatywy lub na podstawie skargi), zakresie postępowania, organach ochrony danych, których sprawa dotyczy, podjętych kluczowych krokach proceduralnych i datach, czynnościach wyjaśniających lub wszelkich innych wprowadzonych środkach i datach.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pl&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=pl&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Sprawa C-319/22, ECLI:EU:C:2023:837.

(82) ()    Sprawy C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Sprawy C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Sprawa C-61/19, ECLI:EU:C:2020:901.

(85) ()    Sprawy C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Sprawy C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Case C-460/20, ECLI:EU:C:2022:962.

(88) ()    Case C-300/21, ECLI:EU:C:2023:370; Case C-687/21, ECLI:EU:C:2024:72; Case C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Sprawy połączone C‑26/22 oraz C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Sprawy C-807/21, ECLI:EU:C:2023:950; Sprawa C-683/21, ECLI:EU:C:2023:949.

(91) ()    Sprawa C-453/21, ECLI:EU:C:2023:79.

(92) ()    Sprawy C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Sprawy C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Stanowisko i ustalenia Rady, pkt 13.

(95) ()    Sekcja 6 wkładu EROD.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    Sprawozdanie FRA, s. 9 i 48.

(98) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(99) ()    Art. 10 rozporządzenia (UE) 2022/868 (akt w sprawie zarządzania danymi), Dz.U. L 152 z 3.6.2022, s. 1.

(100) ()    Art. 12 ust. 5 RODO.

(101) ()    Trybunał Sprawiedliwości wyjaśnił jednak, że osoba, której dane dotyczą, nie jest zobowiązana do podania powodów żądania dostępu do danych osobowych: Sprawa C-307/22, ECLI:EU:C:2023:811, pkt 38.

(102) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron. 

(103) ()    Stanowisko i ustalenia Rady, pkt 27–28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Osoby pracujące za pośrednictwem platform internetowych: Rada zatwierdza porozumienie w sprawie nowych przepisów mających poprawić warunki pracy – Consilium (europa.eu) .

(106) ()    Wniosek dotyczący rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (COM(2022) 197 final).

(107) ()    Wniosek dotyczący rozporządzenia w sprawie ram dostępu do danych finansowych oraz zmiany rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010, (UE) 1095/2010 i (UE) 2022/2554 (COM(2023) 360 final).

(108) ()    Dyrektywa (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE – Dz.U. L 409 z 4.12.2020, s. 1.

(109) ()    Motyw 38 RODO.

(110) ()    Zalecenie w sprawie rozwoju i wzmocnienia zintegrowanych systemów ochrony dziecka w najlepszym interesie dziecka: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_en .

(111) ()    Zob. również stanowisko i ustalenia Rady, pkt 31 lit. a).

(112) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .

(115) ()    Rozporządzenie (UE) 2024/1183 w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej, Dz.U. L 2024/1183 z 30.4.2024.

(116) ()    Jak stwierdzono w sprawozdaniu platformy ds. dostosowania się do wymogów przyszłości, powołano grupę ekspertów wysokiego szczebla, którzy pomogą Komisji w upraszczaniu przepisów UE i zmniejszaniu niepotrzebnych kosztów: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_pl . Zob. również streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron oraz stanowisko i ustalenia Rady, pkt 12.

(117) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(118) ()    Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (C/2021/3701) – Dz.U. L 199 z 7.6.2021, s. 18.

(119) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(120) ()    Stanowisko i ustalenia Rady, pkt 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(127) ()    Zob. stanowisko i ustalenia Rady, pkt 24; streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(128) ()    Art. 30 ust. 5 RODO.

(129) ()    W przypadku gdy podmiot zatrudnia mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

(130) ()    Pkt 26 stanowiska i ustaleń Rady; EROD, Skoordynowane egzekwowanie przepisów w 2023 r. – wyznaczanie i pozycja inspektorów ochrony danych: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(132) ()    Zob. zalecenia EROD dotyczące skoordynowanego egzekwowania przepisów.

(133) ()    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych), Dz.U. L 277 z 27.10.2022, s. 1.

(134) ()    Rozporządzenie (UE) 2022/1925 (akt o rynkach cyfrowych), Dz.U. L 265 z 12.10.2022, s. 1.

(135) ()    Rozporządzenie (UE) 2024/1689 (akt w sprawie sztucznej inteligencji), Dz.U. L 2024/1689 z 12.07.2024.

(136) ()     Osoby pracujące za pośrednictwem platform internetowych: Rada zatwierdza porozumienie w sprawie nowych przepisów mających poprawić warunki pracy – Consilium (europa.eu) .

(137) ()    Rozporządzenie (UE) 2024/900 w sprawie przejrzystości i targetowania reklamy politycznej, Dz.U. L 2024/900 z 20.3.2024.

(138) ()    Wniosek dotyczący rozporządzenia w sprawie prywatności i łączności elektronicznej – COM(2017) 10 final.

(139) ()    Dyrektywa 2002/58/WE (dyrektywa o e-prywatności) – Dz.U. L 201 z 31.7.2002, s. 37.

(140)

()    Rozporządzenie (UE) 2024/903 (akt w sprawie Interoperacyjnej Europy), Dz.U. L 2024/903 z 22.3.2024.

(141) ()    Zob. stanowisko i ustalenia Rady, pkt 31 lit. f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .

(143) ()    Rozporządzenie (UE) 2022/868 (akt w sprawie zarządzania danymi), Dz.U. L 152 z 3.6.2022, s. 1.

(144) ()    Rozporządzenie (UE) 2023/2854 (akt w sprawie danych), Dz.U. L 2023/2854 z 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_PL.html .

(146) ()    Zob. stanowisko i ustalenia Rady, pkt 40–41; Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(147) ()    Zob. na przykład art. 37 ust. 3 aktu w sprawie danych.

(148) ()    Dyrektywa (UE) 2022/2555 (dyrektywa NIS 2), Dz.U. L 333 z 27.12.2022, s. 80.

(149) ()    Zob. stanowisko i ustalenia Rady, pkt 18 i 40–41 oraz streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(150) ()     Niemcy utworzyły „klaster cyfrowy” składający się z organów regulacyjnych w z różnych dziedzin, aby rozszerzyć współpracę we wszystkich aspektach cyfryzacji oraz dzielić się wiedzą i najlepszymi praktykami: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Wytyczne EROD 05/2021.

(152) ()     Sekcja 2 wytycznych EROD 05/2021.

(153) ()     Sprawa C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Schrems II, pkt 93.

(155) ()     Schrems II, pkt 96 i 105.

(156) ()     Schrems II, pkt 131.

(157) ()     Schrems II, pkt 105.

(158) ()     Zalecenia EROD 02/2020 i Odpowiedni stopień ochrony przekazywanych danych osobowych, WP 254 rev. 01.

(159) ()     Zalecenia EROD 01/2020, uzupełnione zaleceniami 02/2020.

(160) ()     Zob. np. pkt 8–13 i 32–33 zaleceń EROD 01/2020.

(161) ()     Zob. np. wkład EROD, s. 7–8. Pkt 36 stanowiska i ustaleń Rady; Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(162) ()    Komunikat Komisji „Wymiana i ochrona danych osobowych w zglobalizowanym świecie”, COM(2017) 7 final z 10.1.2017.

(163) ()     Decyzja wykonawcza Komisji (UE) 2021/1772, Dz.U. L 360 z 11.10.2021, s. 1.

(164) ()    Decyzja wykonawcza Komisji (UE) 2022/254, Dz.U. L 44 z 24.2.2022, s. 1.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .

(166) ()    Decyzja wykonawcza Komisji (UE) 2023/1795, Dz.U. L 231 z 20.9.2023, s. 118.

(167) ()     Europejska Organizacja Patentowa jest organizacją międzyrządową utworzoną na podstawie konwencji o patencie europejskim. Jej głównym zadaniem jest udzielanie patentów europejskich. W tym zakresie ściśle współpracuje ona z przedsiębiorstwami i organami publicznymi w państwach członkowskich UE, a także z różnymi instytucjami i organami UE.

(168) ()     Wkład EROD, s. 7–8.

(169) ()    Art. 45 ust. 4 i 5 RODO. Zob. również wyrok w sprawie Schrems I, pkt 76.

(170) ()     Decyzja wykonawcza Komisji (UE) 2019/419, Dz.U. L 76 z 19.3.2019, s. 1. Zob. także https://ec.europa.eu/commission/presscorner/detail/pl/IP_19_421 . Decyzja ta była pierwszą decyzją stwierdzającą odpowiedni stopień ochrony przyjętą na podstawie RODO i pierwszym porozumieniem w sprawie wzajemnej ochrony danych osobowych.

(171) ()     Sprawozdanie Komisji dotyczące pierwszego przeglądu funkcjonowania decyzji stwierdzającej odpowiedni stopień ochrony w Japonii, 3.4.2023, COM(2023) 275 final (i SWD(2023) 75 final).

(172) ()     Andora, Argentyna, Guernsey, Izrael, Jersey, Kanada (dla podmiotów handlowych), Nowa Zelandia, Szwajcaria, Urugwaj, Wyspy Owcze i Wyspa Man.

(173) ()     Sprawozdanie Komisji w sprawie pierwszego przeglądu decyzji stwierdzających odpowiedni stopień ochrony, które przyjęto na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, COM(2024) 7 final (oraz SWD(2024) 3 final) z 15.1.2024.

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .

(175) ()     Np. Argentyna, Izrael, Kolumbia, Maroko, Szwajcaria i Urugwaj.

(176) ()     Decyzja wykonawcza Komisji (UE) 2021/914, Dz.U. L 199 z 7.6.2021, s. 31.

(177) ()     Obejmowały one m.in. wspólną opinię EROD i EIOD 2/2021 w ramach procedury przyjmowania standardowych klauzul umownych.

(178) ()     Stanowisko i ustalenia Rady, pkt 37, wkład EROD, s. 9, streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Zob. np. streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(181) ()     Zgodnie z art. 48 ust. 2 lit. b) rozporządzenia (UE) 2018/1725.

(182) ()     Stanowisko i ustalenia Rady, pkt 37, wkład EROD, s. 9, streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(183) () Wytyczne EROD 05/2021, pkt 3.

(184) ()     Jak określono również w sekcji 4 wytycznych EROD 05/2021.

(185) ()     Wkład EROD, s. 9, streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(186) ()     Np. Wielka Brytania ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) i Szwajcaria ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Np. Nowa Zelandia ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) i Argentyna ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Zob. https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf oraz https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Wkład EROD, s. 9.

(191) ()     Zalecenia EROD 01/2022.

(192) ()     Wkład EROD, s. 9.

(193) ()     Streszczenie informacji zwrotnych przekazanych przez grupę ekspertów ds. RODO z udziałem wielu zainteresowanych stron.

(194) ()    Wytyczne EROD 07/2022 i 04/2021.

(195) ()     Wytyczne EROD 2/2020.

(196) ()     Drugi protokół dodatkowy do Konwencji o cyberprzestępczości dotyczący wzmocnionej współpracy i ujawniania elektronicznego materiału dowodowego (CETS nr 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Wniosek Komisji dotyczący decyzji Rady w sprawie podpisania, w imieniu Unii Europejskiej, umowy między Kanadą a Unią Europejską o przekazywaniu i przetwarzaniu danych dotyczących przelotu pasażera (PNR), COM(2024) 94 final.

(199) ()     Dotyczyło to konsultacji zorganizowanych na przykład przez Australię, Chiny, Rwandę, Argentynę, Brazylię, Etiopię, Indonezję, Peru, Malezję i Tajlandię.

(200) ()     Np. przed organami parlamentarnymi Chile, Ekwadoru i Paragwaju.

(201) () Obejmowało to również organizację seminariów i wizyt studyjnych, np. z udziałem przedstawicieli Kenii, Indonezji i Singapuru.

(202) ()     Wkład EROD, s. 8; stanowisko i ustalenia Rady, pkt 38.

(203) ()     Wkład EROD, s. 8.

(204) ()     Stanowisko i ustalenia Rady, pkt 39.

(205) ()     Protokół zmieniający Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (CETS nr 223).

(206) ()    Dania.

(207) ()    Belgia, Czechy, Grecja, Irlandia, Łotwa, Luksemburg, Niderlandy i Szwecja.

(208) ()     Zob. np. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .