Podstawowe informacje
W dniu 24 czerwca Komisja Europejska opublikowała Komunikat do Parlamentu Europejskiego i Rady Ochrona danych jako filar wzmocnienia pozycji obywateli i podejścia UE do przejścia na system cyfrowy – dwa lata stosowania Ogólnego rozporządzenia o ochronie danych. Stanowi on pierwsze podsumowanie pierwszych 2 lat obowiązywania RODO.
W opublikowanym dokumencie Komisja Europejska uznała, że w ogólnym rozrachunku pierwsze lata obowiązywania RODO należy ocenić pozytywnie. Komisja zwraca uwagę, że za sprawą RODO na terenie Unii Europejskiej wdrożono standardy bezpieczeństwa przetwarzania danych osobowych, ich przepływu oraz kontroli niemające swoich odpowiedników w innych systemach prawnych. Tym samym, Unia Europejska stała się wzorem dla innych państw i wyznacza kierunki rozwoju prawa ochrony danych osobowych.
Wśród korzystnych aspektów wdrożenia RODO Komisja wymienia m.in. zwiększenie świadomości prawnej w zakresie ochrony danych osobowych, zapewnienie większej kontroli osób fizycznych nad przetwarzaniem ich danych osobowych, ułatwienie dochodzenia swych praw przez podmioty danych oraz wzmożenie aktywności organów nadzoru (dostrzegając jednak, że nie we wszystkich przypadkach nastąpiło to ze wzrostem budżetu tych jednostek).
Autorzy Komunikatu zwracają jednak uwagę, że pomimo generalnego sukcesu rewolucji prawnej jaką było RODO szereg aspektów związanych ze stosowaniem Rozporządzenia wymaga poprawy.
Brak spójności stosowania RODO
Komisja zauważyła, że czynnikiem utrudniającym wykorzystanie potencjału RODO są rozbieżności występujące na etapie stosowania Rozporządzenia. Dochodzi m.in. do sytuacji, w których organy krajowe wydają wytyczne mające ułatwić zrozumienie RODO, które są sprzeczne ze wskazaniami Europejskiej Rady Ochrony Danych. Dlatego też, wśród działań na przyszłość wskazano konieczność wzmocnienia współpracy pomiędzy organami nadzorczymi oraz wypracowywanie jednolitych stanowisk prawnych. Ponadto, wsłuchując się w głos podmiotów zainteresowanych tematyką ochrony danych Komisja zwróciła uwagę, że wiele porad operuje na znacznym poziomie uogólnienia, przez co nie jest w pełni przydatna dla podmiotów stosujących RODO – dlatego też, zaleca by wytyczne przygotowywane w przyszłości wskazywały konkretne, życiowe przykłady, które odbiorcy będą mogli łatwiej odnieść do własnej sytuacji.
Kolejnym czynnikiem znacząco wpływającym na brak spójności stosowania RODO są odrębności prawne występujące w poszczególnych państwach członkowskich – przykładem wskazanym przez Komisję jest odrębne uregulowanie wieku, od którego dzieci mogą wyrażać samodzielnie zgodę na przetwarzanie ich danych osobowych w ramach społeczeństwa informacyjnego. Art. 8 ust. 1 RODO przewiduje ogólną granicę 16 lat z zastrzeżeniem, że państwa członkowskie UE mogą obniżyć granicę nawet do 13 roku życia. Innym przykładem różnic między systemami prawnymi państw członkowskich są wzajemne zależności między prawem do prywatności o wolnością wypowiedzi i informacji. Komisja Europejska rekomenduje – w miarę możliwości – ujednolicanie systemów prawnych.
Realizacja praw przez osoby fizyczne
Komisja zwraca uwagę na trudności w realizacji praw przyznanych osobom fizycznym na mocy RODO. Autorzy zwracają uwagę na potrzebę ułatwienia dochodzenia tych praw – jednym ze środków ku temu ma być umożliwienie wnoszenia we wszystkich państwach UE powództw zbiorowych dotyczących ochrony danych osobowych. Środek taki jest przewidywany przez projekt Dyrektywy w sprawie powództw przedstawicielskich w celu ochrony zbiorowych interesów konsumentów i uchylającej dyrektywę 2009/22/WE. Szczególną uwagę poświęcono prawu do przenoszenia danych osobowych – autorzy zauważają, że jego skuteczność jest ograniczona do kilku sektorów oraz wskazują na konieczność precyzyjnego określenia czym jest format nadający się do odczytu maszynowego.
Uciążliwe obowiązki nakładane na małych i średnich przedsiębiorców
Wśród innych negatywnych konsekwencji wdrożenia RODO dostrzeżono, że jest ono szczególnie uciążliwe dla małych i średnich przedsiębiorców, którzy z jednej strony są tak samo jak większe podmioty zobowiązani do wdrożenia odpowiednich środków; z drugiej zaś brak im odpowiednich środków finansowych oraz niezbędnej fachowej wiedzy. Na chwilę obecną Komisja odrzuca jednak możliwość wprowadzenia wyłączeń stosowania przepisów Rozporządzenia dla określonych podmiotów, gdyż zgodnie z przyjętą przez RODO zasadą podejścia opartego na ryzyku (tj. podejścia, zgodnie z którym każdy podmiot wdraża środki adekwatne do ryzyka, które wiążę się z jego działalnością) środki stosowane przez mniejsze podmioty powinny być łagodniejsze i mniej restrykcyjne niż środki stosowane przez podmioty, które przetwarzają dane na większą skalę. Należy jednak zauważyć, że Komisja dostrzega fakt, że w przyszłości nowelizacja przepisów Rozporządzenia w zakresie wymogów stawianych małym i średnim przedsiębiorcom może być wskazana.
Komisja zauważa także konieczność dalszego rozwoju instytucji certyfikacji oraz kodeksów postępowań, których stosowanie może znacząco ułatwić małym i średnim przedsiębiorcom realizację obowiązków wynikających z RODO oraz późniejsze wykazanie zgodności z wymogami Rozporządzenia. W tym samym celu Komisja zaleca przygotowywanie przez krajowe organy nadzoru oraz przez Europejską Radę Ochrony Danych ułatwień dla małych i średnich przedsiębiorców – np. wzorów zawiadomień o naruszeniu ochrony danych osobowych, czy też uproszczonych wzorów rejestrów czynności przetwarzania.
Przekazywanie danych osobowych do państw trzecich
Ostatnim z głównych zagadnień poruszanych w Komunikacie jest kwestia transferu danych osobowych poza granice Unii Europejskiej. Komisja zwraca uwagę na konieczność kontynuowania przeglądu decyzji stwierdzających adekwatny poziom ochrony przez państwa trzecie, wydanych przed wejściem w życie RODO, jak i na potrzebę uaktualniania i dostosowywania do zmieniających się realiów standardowych klauzul umownych – jest to tym ważniejsze, że standardowe klauzule umowne są powszechnie używanym środkiem mającym zapewnić zgodność transferu danych z przepisami Rozporządzenia.
Konkluzja
Autorzy Komunikatu zwracają jednak uwagę, że jest jeszcze za wcześnie na wydanie ostatecznego osądu nad RODO. Następne sprawozdanie powinno zostać sporządzone w 2024 r. i do tego czasu szereg błędów wytkniętych w Komunikacie powinno zostać naprawionych – wówczas nadarzy się sposobność do kolejnej, bardziej szczegółowej oceny.