Komunikat Komisji do Parlamentu Europejskiego oraz Rady

1. Wstęp

 Ogólne Rozporządzenie o Ochronie Danych^[1] (zwane dalej „Rozporządzeniem”) stosuje się
w Unii Europejskiej od ponad roku. Znajduje się ono w centrum spójnego oraz zmodernizowanego krajobrazu ochrony danych, który obejmuje również Dyrektywę o ochronie danych w obszarze wdrażania prawa^[2] oraz Rozporządzenie o ochronie danych dla instytucji oraz organów UE^[3]. Ramy te zostaną dopełnione Rozporządzeniem w sprawie prywatności elektronicznej, w odniesieniu do którego trwa obecnie proces legislacyjny.

Silne zasady ochrony danych są kluczowe, aby zagwarantować podstawowe prawo do ochrony danych osobowych. Są one kluczowe dla demokratycznego społeczeństwa^[4] oraz stanowią ważną część gospodarki opartej w coraz większym stopniu na danych. Unia Europejska stara się uchwycić wiele możliwości oferowanych przez transformację cyfrową w obszarze usług, miejsc pracy oraz innowacji, jednocześnie radząc sobie z wyzwaniami, które ona niesie. Kradzież tożsamości, wyciek danych wrażliwych, dyskryminacja osób, uprzedzenia, wymiana nielegalnych treści oraz rozwój inwazyjnych narzędzi nadzoru stanowią jedynie kilka przykładów kwestii, które coraz częściej pojawiają się w debacie publicznej, z której jasno wynika, że ludzie oczekują, aby ich dane były chronione.

Ochrona danych stała się fenomenem o prawdziwie światowym zasięgu, ponieważ ludzie
z całego świata coraz bardziej troszczą się oraz cenią ochronę oraz bezpieczeństwo swoich danych. Wiele krajów już przyjęło lub jest w trakcie przyjmowania całościowych zasad ochrony danych podobnych do tych, które zawarto w Rozporządzeniu, co skutkuje globalnym zbliżaniem zasad ochron danych. Oferuje to nowe możliwości ułatwienia przepływu danych pomiędzy podmiotami prywatnymi lub instytucjami publicznymi, zwiększając jednocześnie poziom ochrony danych osobowych w UE oraz na świecie.

Do ochrony danych podchodzi się dzisiaj poważniej niż kiedykolwiek wcześniej oraz ma ona szeroki wpływ na różnych interesariuszy oraz sektory. Komisja jest zdeterminowana, aby poprowadzić UE do zakończonego powodzeniem wdrożenia nowego reżimu ochrony danych oraz wspierać zapewnienie pełnego działania wszystkich jego części. Za pomocą niniejszego Komunikatu Komisja dokonuje inwentaryzacji osiągniętych do tej pory rezultatów w odniesieniu do spójnego wdrożenia zasad ochrony danych w UE, funkcjonowania nowego systemu zarządzania, wpływu na obywateli oraz biznes, jak również wysiłków UE w promowaniu globalnego zbliżenia reżimów ochrony danych. Bazuje on na Komunikacie Komisji w sprawie stosowania Rozporządzenia ze stycznia 2018 r.[5], jak również na informacjach dotyczących pracy Grupy wielu interesariuszy^[6], w szczególności jej wkładu do inwentaryzacji ostatniego roku, jak również dyskusji przeprowadzonej na spotkaniu dotyczącym inwentaryzacji, zorganizowanym przez Komisję 13 czerwca 2019 r.^[7]. Niniejszy komunikat stanowi również wkład do przeglądu, który Komisja planuje przeprowadzić w maju 2020 r. ^[8].

Ramy prawne ochrony danych UE stanowią kamień milowy Europejskiego, antropocentrycznego podejścia do innowacji. Stanowią one część środowiska regulacyjnego dla coraz szerszego zakresu polityk, obejmującego zdrowie oraz badania, sztuczną inteligencję, transport, energię, prawo konkurencji oraz wdrażanie prawa. Komisja konsekwentnie podkreślała znaczenie odpowiedniego wdrożenia oraz egzekwowania nowych zasad ochrony danych, wskazując na to w swoim Komunikacie w sprawie stosowania Rozporządzenia, wydanym w styczniu 2018 r. oraz Wytycznych w sprawie wykorzystania danych osobowych w kontekście wyborów, opublikowanych we wrześniu 2018 r^[9]. W momencie opublikowania niniejszego Komunikatu, zanotowano znaczny progres w dążeniu do celu, jednakże z pewnością potrzeba więcej pracy, aby Rozporządzenie w pełni działało.

1. Jeden kontynent, jedno prawo: ramy ochrony danych istniejące w państwach członkowskich

Jednym z kluczowych celów Rozporządzenia było usunięcie sfragmentyzowanego krajobrazu 28 różnych praw krajowych, które istniały na podstawie poprzedniej Dyrektywy o ochronie danych ^[10] oraz zapewnienie pewności prawnej dla osób oraz biznesu w UE. Cel ten został w dużym stopniu osiągnięty.

Harmonizacja ram prawnych

Chociaż rozporządzenie jest bezpośrednio skuteczne w państwach członkowskich, nałożyło ono na nie obowiązek podjęcia szeregu działań prawnych na poziomie narodowym, w szczególności ustanowienia oraz nadania uprawnień krajowym organom ochrony danych^[11], ustanowienia zasad dotyczących szczegółowych kwestii, takich jak pogodzenie ochrony danych osobowych ze swobodą wypowiedzi oraz informacji oraz zmian lub uchylenia legislacji sektorowej dotyczącej aspektów ochrony danych. W momencie wydania niniejszego Komunikatu, jedynie trzy^[12] państwa członkowskie nie zaktualizowały swoich krajowych ustaw o ochronie danych. Na szczeblu krajowym ciągle trwają prace dotyczące dostosowania ustaw sektorowych. Po włączeniu Rozporządzenia do Umowy o Europejskim Obszarze Gospodarczym, jego obowiązywanie zostało rozciągnięte na Norwegię, Islandię oraz Liechtenstein, które również przyjęły swoje krajowe ustawy o ochronie danych.

Jednakże interesariusze nawołują do jeszcze większego stopnia harmonizacji w niektórych obszarach^[13]. Istotnie, Rozporządzenie pozwala państwom członkowskim na pewien zakres swobody w doprecyzowaniu jego zastosowania w niektórych obszarach, takich jak wiek dziecka potrzebny do wyrażenia zgody, dotyczącej usług internetowych,^[14] czy przetwarzanie danych osobowych w obszarach takich jak medycyna oraz zdrowie publiczne. W takim przypadku działanie państw członkowskich jest ograniczone przez dwa elementy:

1. wszelkie krajowe ustawy doprecyzowujące muszą spełniać wymogi Karty Praw Podstawowych^[15] (oraz nie wykraczać poza granice ustanowione w Rozporządzeniu, opartym na Karcie);
2. nie mogą naruszać swobodnego przepływu danych osobowych w UE^[16].

W niektórych przypadkach, państwa członkowskie wprowadziły dodatkowe względem Rozporządzenia wymogi na poziomie krajowym, w szczególności poprzez wiele ustaw sektorowych, co doprowadziło do rozdrobnienia oraz utworzenia niepotrzebnych przeszkód. Jednym z przykładów dodatkowych względem Rozporządzenia wymogów wprowadzonych przez państwa członkowskie jest obowiązek wyznaczenia Inspektora Ochrony Danych w spółkach zatrudniających 20 lub więcej pracowników w sposób ciągły zaangażowanych w automatyczne przetwarzanie danych osobowych, wprowadzony w prawie niemieckim.

Ciągłe wysiłki na rzecz większej harmonizacji

Komisja angażuje się w dwustronne rozmowy z krajowymi instytucjami, w trakcie których zwraca ona szczególną uwagę na środki krajowe w kontekście:

• zapewnienia skutecznej niezależności organów ochrony danych, co obejmuje zapewnienie im odpowiednich zasobów finansowych, ludzkich oraz technicznych;
• tego w jaki sposób prawa krajowe ograniczają prawa osób, których dane dotyczą;
• tego, że środki krajowe nie powinny wprowadzać wymogów wykraczających poza Rozporządzenie, jeżeli nie pozostawia ono marginesu, takich jak np. dodatkowe wymogi przetwarzania;
• obowiązku pogodzenia prawa do ochrony danych osobowych z wolnością informacji oraz wypowiedzi, biorąc pod uwagę, że obowiązek ten nie powinien być wykorzystywany
  w nienależyty sposób, skutkujący wyciszaniem pracy dziennikarzy.

Praca organów ochrony danych, współpracujących w ramach Europejskiej Rady Ochrony Danych (dalej zwanej „Radą”) jest kluczowym bodźcem spójnego stosowania nowych zasad: działania wdrażające dotyczące kilku państw członkowskich są przeprowadzane za pomocą mechanizmu współpracy oraz spójności^[17] w ramach Rady oraz wytycznych, przyjętych przez Radę w celu przyczynienia się do wspólnego zrozumienia Rozporządzenia. Część interesariuszy oczekuje jednak, aby organy ochrony danych dalej posuwały się w tym kierunku.

Praca sądów krajowych oraz Trybunału Sprawiedliwości Unii Europejskiej również pomaga
w stworzeniu spójnej interpretacji zasad ochrony danych. Sądy krajowe wydawały w ostatnim czasie orzeczenia unieważniające przepisy prawa krajowego, który odchodziły od RODO^[18].

• Układają się wszystkie elementy nowego systemu zarządzania

Rozporządzenie utworzyło nową strukturę zarządzania, umieszczając w jej środku niezależne, krajowe organy ochrony danych, jako podmioty wdrażające Rozporządzenie oraz będące punktami pierwszego kontaktu dla interesariuszy. Chociaż większość organów ochrony danych skorzystała ze wzrostu zasobów w ciągu kilku ostatnich lat, ciągle istnieją olbrzymie różnice pomiędzy państwami członkowskimi^[19].

Organy ochrony danych korzystają ze swoich nowych uprawnień

Rozporządzenie wyposażyło organy ochrony danych w silniejsze uprawnienia wykonawcze.
W przeciwieństwie do obaw wyrażanych przez niektórych interesariuszy przed majem 2018 r., organy ochrony danych przyjęły zrównoważone podejście w odniesieniu do swoich uprawnień wykonawczych. Skupiły się one raczej na dialogu niż sankcjach, w szczególności w odniesieniu do małych podmiotów, które nie przetwarzają danych osobowych w ramach swojej podstawowej działalności. Jednocześnie nie powstrzymują się one od skutecznego korzystania z nowych uprawnień, gdy jest to konieczne, co obejmuje prowadzenie postępowań w obszarze mediów społecznościowych^[20] oraz nakładania administracyjnych kar pieniężnych wahających się od kilku tysięcy do kilku milionów EURO, w zależności od stopnia poważności naruszenia zasad ochrony danych.

Przykłady kar nałożonych przez organy ochrony danych:^[21]

• 5 000 Euro nałożone na kafejkę zajmującą się zakładami sportowymi w Austrii, za niezgodny z prawem monitoring wideo;
• 220 000 Euro nałożone na spółkę sprzedającą dane w Polsce, za brak poinformowania osób o przetwarzaniu ich danych;
• 250 000 euro nałożone na hiszpańską ligę piłkarską – La Liga, za brak przejrzystości przy projektowaniu jej aplikacji na smartfony;
• 50 milionów EURO nałożone na Google we Francji, w związku z warunkami uzyskania zgody od użytkowników.

Przy prowadzeniu postępowań kluczowe jest, aby organy ochrony danych zebrały odpowiednie dowody, przestrzegały wszystkich kroków proceduralnych, zgodnie z prawem krajowym oraz zapewniały należyte postępowanie w często złożonych sprawach. Wymaga to czasu oraz angażuje dużą ilość pracy, co tłumaczy fakt, że większość postępowań rozpoczętych po wejściu w życie Rozporządzenia ciągle trwa.

Pamiętając o powyższym, sukces Rozporządzenia nie powinien być jednak mierzony ilością nałożonych kar, a zmianami w kulturze oraz zachowaniu wszystkich zaangażowanych aktorów. W tym kontekście, organy ochrony danych dysponują innych narzędziami, takimi jak: nałożenie tymczasowego lub nieokreślonego czasowo ograniczenia przetwarzania, co obejmuje zakaz lub nakazanie zawieszenia przepływów danych do odbiorcy w państwie trzecim^[22].

Niektóre organy ochrony danych utworzyły nowe narzędzia, takie jak infolinia oraz narzędzia dla biznesu, podczas gdy inne rozwinęły nowe podejścia, takie jak piaskownice regulacyjne^[23] tworzone w celu udzielenia pomocy spółkom w ich staraniach dotyczących zachowania zgodności. Jednakże część interesariuszy uważa, że nie otrzymali oni wystarczającego wsparcia oraz informacji, w szczególności małe oraz średnie przedsiębiorstwa w niektórych państwach członkowskich^[24]. Aby pomóc zaradzić tej sytuacji, Komisja zapewnia granty organom ochrony danych przeznaczone na dotarcie do interesariuszy, w szczególności osób fizycznych oraz małych i średnich przedsiębiorstw^[25].

Europejska Rada Ochrony Danych działa

Organy ochrony danych zintensyfikowały swoją prace w ramach Europejskiej Rady Ochrony Danych^[26]. Ta intensywna praca pozwoliła Radzie na przyjęcie około 20 wytycznych dotyczących kluczowych aspektów Rozporządzenia^[27]. Przyszłe obszary prac Rady są zaprezentowane w 2 letnim programie^[28], zgodnie z wymogami Rozporządzenia.

W przypadku spraw między-granicznych każdy organ nadzorczy nie jest już tylko organem krajowym, a częścią procesu rzeczywiście obejmującego UE, od momentu postępowania po wydanie decyzji. Taka ścisła współpraca stała się codzienną praktyką: do końca czerwca 2019 r. w ramach mechanizmu współpracy rozpatrzono 516 między-granicznych spraw.

Komisja aktywnie przyczynia się do pracy Rady^[29], w celu promowania litery oraz ducha Rozporządzenia oraz przywołuje ogólne zasady prawa UE^[30].

W kierunku utworzenia kultury ochrony danych UE

Potencjał nowego systemu zarządzania ciągle nie jest w pełni poznany. Ważne jest, aby Rada dalej upraszczała podejmowanie decyzji oraz rozwinęła wspólną kulturę ochrony danych UE wśród swoich członków. Możliwość łączenia wysiłków organów ochrony danych^[31]  w odniesieniu do spraw dotyczących więcej niż jednego państwa członkowskiego, np. w celu przeprowadzenia wspólnych postępowań oraz podjęcia działań wdrażających, może przyczynić się do osiągnięcia takiego celu, jednocześnie zmniejszając ograniczenia dotyczące zasobów.

Wielu interesariuszy życzyłoby sobie jeszcze więcej współpracy oraz jednolitego podejścia ze strony krajowych organów ochrony danych ^[32]. Zwracają się oni również o większą spójność porad przekazywanych przez organy ochrony danych^[33], oraz pełnego dostosowania wytycznych krajowych do wytycznych Rady. Niektórzy oczekują również dalszego wyjaśnienia kluczowych założeń Rozporządzenia, takich jak podejście oparte na ryzyku, biorąc w szczególności pod uwagę obawy małych oraz średnich przedsiębiorstw.

W tym kontekście, uwzględnienie interesariuszy w pracach Rady jest kluczowe. Z tego względu Komisja z zadowoleniem przyjęła systematyczne konsultacje organizowane przez Radę, dotyczących jej wytycznych. Praktyka ta, wraz z organizowaniem na wczesnym etapie warsztatów dotyczących wybranych tematów dla interesariuszy, powinna być kontynuowana oraz wzmacniana w celu zapewnienia przejrzystości, inkluzyjności oraz dopasowania prac Rady do potrzeb.

1. Osoby korzystają ze swoich praw, jednakże zwiększanie świadomości powinno być kontynuowane

Kolejnym kluczowym celem Rozporządzenia jest wzmocnienie praw osób. Rozporządzenie jest powszechnie uznawane przez organizacje praw człowieka oraz organizacje konsumentów za ważny wkład do tworzenia rzetelnego rynku cyfrowego, opartego na obustronnym zaufaniu.

Większa świadomość praw ochrony danych

Osoby fizyczne w UE są coraz bardziej świadome zasad ochrony danych oraz swoich praw: 67% respondentów w badaniu Eurobaromentru z maja 2019 r.^[34] jest świadomych istnienia Rozporządzania, a 57% wie, że istnieje krajowy organ ochrony danych, do którego mogą zwrócić się o informacje lub złożyć skargę. 73% słyszało o przynajmniej jednym z praw przyznanych przez Rozporządzenie. Jednakże znaczna ilość osób fizycznych w UE ciągle nie podejmuje aktywnych kroków w celu ochrony swoich danych osobowych, gdy łączą się z Internetem np. 44% osób fizycznych nie zmieniło swoich domyślnych ustawień dotyczących prywatności w portalach społecznościowych.

Osoby fizyczne coraz częściej korzystają ze swoich praw

Ta zwiększona świadomość praw doprowadziła do zwiększenia intensywności korzystania z nich przez osoby, poprzez wysyłanie zapytań konsumenckich oraz częstsze zwracanie się o informacje lub składanie skarg do organów ochrony danych^[35]. Biznes poinformował również, że zwiększyła się ilość wniosków o dostęp do danych osobowych w niektórych sektorach, takich jak bankowość oraz telekomunikacja. Osoby fizyczne częściej  wycofywały również swoje zgody oraz korzystały ze swoich praw do wyrażenia sprzeciwu wobec przesyłania informacji handlowych^[36].

Jednakże niektóre spółki poinformowały o niezrozumieniu przez osoby fizyczne zasad ochrony danych np. o ich przekonaniu, że osoby powinny wyrazić zgodę na wszystkie operacje przetwarzania lub, że prawo do usunięcia danych jest absolutne (podczas gdy np. dane osobowe muszą być czasami zachowane przez spółki ze względu na obowiązki prawne)^[37]. Organizacje społeczeństwa obywatelskiego skarżą się ze swojej strony na znaczne opóźnienia w udzielaniu odpowiedzi przez niektóre organizacje oraz organy ochrony danych.

Co istotne, organizacje pozarządowe podjęły kilka wystąpień w imieniu osób, po tym gdy udzieliły im one upoważnienia, korzystając z nowej możliwości przewidzianej przez Rozporządzenie^[38]. Odwołanie się do działań przedstawicieli byłoby łatwiejsze gdyby więcej państw członkowskich skorzystało z możliwości przewidzianej przez Rozporządzenie, polegającej na dopuszczeniu organizacji pozarządowych do podejmowania działań bez upoważnienia^[39].

Konieczność kontynuowania starań na rzecz zwiększania świadomości

Z tego względu należy kontynuować dialog oraz starania na rzecz zwiększania świadomości opinii publicznej zarówno na poziome krajowym jak i UE[40]. W tym celu Komisja rozpoczęła
w lipcu 2019 r. nową kampanię internetową w celu zachęcenia osób do czytania informacji dotyczących prywatności oraz optymalizacji swoich ustawień dotyczących prywatności.

1. Biznes dostosowuje swoje praktyki

Celem Rozporządzenia jest wspieranie biznesu w gospodarce cyfrowej poprzez oferowanie przyszłościowych rozwiązań. Co do zasady, biznes pozytywnie zareagował na zasadę rozliczalności, która oddala się od uprzedniego, nakładającego ograniczenia podejścia ex ante (usunięcie wymogów rejestracji, skalowalność obowiązków oraz elastyczność ochrony danych poprzez ochronę danych w fazie projektowania oraz domyślną ochronę danych, pozwalającą na konkurencję w obszarze rozwiązań przyjaznych dla prywatności). Jednocześnie, niektórzy apelują o większą pewność prawną oraz dodatkowe, jaśniejsze wytyczne od organów ochrony danych^[41].

Należyte zarządzanie danymi

Chociaż spółki zgłaszają wiele wyzwań w ramach dostosowania się do nowych zasad^[42], wiele podkreśla, że stanowią one również szansę na zainteresowanie kwestią ochrony danych zarządów spółek, uporządkowanie posiadanych danych, ulepszenie bezpieczeństwa, lepsze przygotowanie na incydenty, zmniejszenie narażenia na niepotrzebne ryzyka oraz budowę relacji ze swoimi klientami oraz partnerami biznesowymi w większym stopniu opartych na zaufaniu. W odniesieniu do przejrzystości, biznes oraz organizacje społeczeństwa obywatelskiego wskazują na delikatną równowagę, którą należy zapewnić pomiędzy przekazaniem osobom wszystkich wymaganych na mocy Rozporządzenia informacji, jednocześnie zachowując jasny, prosty język oraz formę zrozumiałą dla osób. Spółki tworzą innowacyjne rozwiązania zmierzające w tym kierunku. Biznes wskazał, że był w stanie wdrożyć nowe prawa osób, których dane dotyczą, jednakże czasami spełnienie terminów stanowiło wyzwanie, z uwagi na zwiększoną ilość wniosków oraz ich szerszy charakter^[43] lub
z powodu sprawdzenia tożsamości osoby składającej wniosek.

Wpływ na innowacje

Rozporządzenie nie tylko zezwala na rozwój nowych technologii ale i do niego zachęca, jednocześnie szanując podstawowe prawo do ochrony danych osobowych. Dotyczy to takich obszarów jak sztuczna inteligencja.

Biznes rozpoczął rozwijanie swojej oferty nowych, bardziej przyjaznych prywatności usług. Np. wyszukiwarki, które nie śledzą użytkowników ani nie wykorzystują reklamy behawioralnej zwiększają stopniowo udziały rynkowe w niektórych państwach członkowskich. Inne spółki rozwijają usługi, które opierają się na nowych prawach przyznanych osobom, takich jak przenoszalność ich danych osobowych. Coraz więcej biznesów promuje poszanowanie danych osobowych jako zaletę konkurencyjną oraz cechę produktu. Zmiany te nie ograniczają się do UE, ale dotyczą również bardzo innowacyjnych, zagranicznych gospodarek^[44].

Szczególna sytuacja obarczonych „niskim ryzykiem” mikro oraz małych przedsiębiorstw

Chociaż sytuacja różni się pomiędzy państwami członkowskim, mikro oraz małe przedsiębiorstwa^[45], w przypadku których przetwarzanie danych osobowych nie stanowi głównej działalności, były tymi interesariuszami, którzy mieli najwięcej pytań dotyczących stosowania Rozporządzenia. Chociaż wydaje się, że częściowo wynika to z braku świadomości zasad ochrony danych, ich obawy są czasem również podsycane przez kampanie firm doradczych, które starają się udzielać płatnych porad, poprzez rozsiewanie nieprawdziwych informacji, takich jak np. konieczność systematycznego uzyskiwania zgód od osób^[46] czy o dodatkowych wymogach, nałożonych na poziomie krajowym.

W związku z tym, mikro oraz małe przedsiębiorstwa apelują o wytyczne, które są dostosowane do ich specyficznej sytuacji oraz zawierają bardzo praktyczne informacje. Niektóre organy ochrony danych już je wydały na poziomie krajowym^[47]. W celu uzupełnienia inicjatyw krajowych, Komisja wydała materiał informacyjny w celu udzielenia pomocy takim spółkom w zapewnieniu zgodności z nowymi zasadami poprzez serię praktycznych kroków^[48].

Korzystając z instrumentarium zawartego w Rozporządzeniu

Rozporządzenie ustanawia narzędzia wykazania zgodności, takie jak standardowe klauzule umowne, kodeksy postępowania oraz nowo wprowadzony mechanizm certyfikacji.

Standardowe klauzule umowne to modelowe klauzule, które mogą być dobrowolnie umieszczone w umowie, np. pomiędzy administratorem a podmiotem przetwarzającym i które stanowią obowiązki stron umowy, zgodnie z Rozporządzeniem. Rozporządzenie rozszerza możliwości wykorzystania standardowych klauzul umownych zarówno w odniesieniu do międzynarodowego przekazywania jak i wewnątrz UE^[49]. Ich szerokie użycie w obszarze transferów międzynarodowych wskazuje^[50], że są one bardzo pomocne dla biznesu w jego wysiłkach zapewniania zgodności oraz szczególnie korzystne dla spółek, które nie mają zasobów do negocjowania indywidualnych umów z każdym z ich wykonawców przetwarzania danych.

Wiele sektorów uważa również przyjęcie standardowych klauzul umownych za użyteczną drogę do pobudzenia harmonizacji, w szczególności gdy przyjmuje je Komisja. Komisja będzie pracować wspólnie z interesariuszami w celu wykorzystania możliwości zawartych w Rozporządzeniu oraz uaktualnienia istniejących klauzul.

Przystąpienie do kodeksów postępowania stanowi kolejną możliwość oraz praktyczne narzędzie do dyspozycji przemysłu w celu ułatwienia wykazania zgodności z Rozporządzeniem^[51]. Kodeksy te powinny być rozwijane przez izby handlu lub organizacje reprezentujące kategorie administratorów oraz podmiotów przetwarzających, powinny opisywać w jaki sposób zasady ochrony danych mogą być wprowadzane w konkretnych sektorach. Poprzez dostosowanie obowiązków do ryzyka^[52], mogą się one również okazać bardzo użyteczną oraz efektywną kosztowo ścieżką do spełnienia obowiązków przez małe oraz średnie przedsiębiorstwa.

Dodatkowo, certyfikacja może być również użytecznym instrumentem wykazania zgodności
z konkretnymi wymogami Rozporządzenia. Może ona zwiększyć pewność prawną dla biznesu oraz promować Rozporządzenie globalnie. Przyjęte ostatnio przez Europejską Radę Ochrony Danych Wytyczne w sprawie certyfikacji oraz akredytacji^[53] umożliwią rozwój systemów certyfikacji w UE. Komisja będzie monitorować ten rozwój i jeżeli będzie to odpowiednie skorzysta ze swoich uprawnień określenia ram certyfikacji, przyznanych jej przez Rozporządzenie. Komisja może również wystosować wniosek o normalizację do organów normalizacyjnych UE, dotyczący kwestii mających znaczenie dla Rozporządzenia.

1. Większa konwergencja postępuje na poziomie międzynarodowym

Potrzeba ochrony danych osobowych nie jest ograniczona do UE. Jak pokazały ostatnie badania dotyczące bezpieczeństwa Internetu, deficyt zaufania zwiększa się na całym świecie powodując zmianę sposobu zachowania ludzi w Internecie ^[54]. Rosnąca liczba spółek odpowiada na te obawy rozciągając z własnej woli prawa przyznane przez Rozporządzenie na swoich klientów spoza UE.

Ponadto z uwagi na to, że państwa na całym świecie w coraz większym stopniu mierzą się
z podobnymi wyzwaniami, wyposażają się one w nowe zasady ochrony danych oraz modernizują te istniejące. Prawa te często posiadają elementy wspólne z reżimem ochrony danych UE, takie jak istnienie głównej ustawy a nie specjalnych zasad sektorowych, wykonalne prawa osób oraz niezależny organ nadzorczy. Trend ten ma prawdziwie globalny charakter od Korei Południowej po Brazylię, od Chile po Tajlandię, od Indii po Indonezję. Coraz bardziej uniwersalne członkostwo w Konwencji 108 Rady Europy^[55], która ostatnio została zmodernizowana^[56] przy znacznym udziale Komisji – stanowi kolejny jasny sygnał trendu zwiększania spójności.

Promowanie bezpiecznych oraz swobodnych transferów danych za pomocą decyzji o odpowiednim poziomie ochrony i nie tylko

To zwiększanie spójności oferuje nowe możliwości ułatwienia przepływów danych, a co za tym idzie handlu oraz współpracy pomiędzy instytucjami publicznymi, podnosząc jednocześnie poziom ochrony danych osób z UE, w przypadku przekazywania danych za jej granicę.

Wdrażając strategię ustanowioną w swoim Komunikacie dotyczącym wymiany i ochrony danych osobowych w zglobalizowanym świecie^[57], Komisja zintensyfikowała swoją współpracę z państwami trzecimi oraz innymi międzynarodowymi partnerami, opierając się oraz dalej rozwijając elementy spójność pomiędzy systemami prywatności^[58]. Praca ta przyniosła ważne skutki, w szczególności wejście w życie w lutym 2019 r. wzajemnego porozumienia o adekwatności pomiędzy UE a Japonią, które ustanowiło największy na świecie obszar bezpiecznego oraz swobodnego przepływu danych.

Negocjacje dotyczące adekwatności z Koreą Południową znajdują się na zaawansowanym etapie, jak również trwają prace przygotowawcze w związku z zamierzonym rozpoczęciem rozmów w sprawie adekwatności z kilkoma państwami z Ameryki łacińskiej – takimi jak Chile czy Brazylia – w zależności od kompletności trwającego procesu legislacyjnego. Sprawy rozwijają się obiecująco również w niektórych częściach Azji, np. w Indiach, Indonezji oraz na Tajwanie, jak również w państwach sąsiadujących we wschodniej oraz południowej Europie, które mogą otworzyć drzwi prowadzące do przyszłych decyzji o odpowiednim poziomie ochrony.

Jednocześnie Komisja z zadowoleniem przyjęła fakt, że inne kraje, które wdrożyły podobne mechanizmy przekazywania do tych, przewidzianych w Rozporządzeniu uznały, że UE oraz państwa uznane przez EU za „odpowiednie”, zapewniają wymagany poziom ochrony^[59]. Tworzy to potencjalną możliwość utworzenia sieci krajów, gdzie dane mogą przepływać swobodnie.

Obok powyższych, trwają intensywne prace w odniesieniu do innych państw trzecich, takich jak: Kanada, Nowa Zelandia, Argentyna oraz Izrael, w celu zapewnienia ciągłości obowiązywania decyzji o odpowiednim poziomie ochrony przyjętych na podstawie dyrektywy o ochronie danych z 1995 roku. Jednocześnie Tarcza Prywatności UE-USA okazała się użytecznym narzędziem zapewniającym, że transatlantyckie przepływy danych opierają się na wysokim poziomie ochrony, z ponad 4700 uczestniczącymi spółkami^[60]. Jej coroczny przegląd zapewnia, że prawidłowość działania ram jest regularnie sprawdzana a nowe kwestie mogą być terminowo rozwiązywane.

Ponieważ nie istnieje jedno rozwiązanie pasujące do wszystkich przepływów danych, Komisja współpracuje również z Radą w celu wydobycia pełnego potencjału z instrumentarium Rozporządzenia, służącego do transferów międzynarodowych. Dotyczy to takich instrumentów jak standardowe klauzule umowne, rozwój systemów certyfikacji, kodeksów postępowania, czy porozumień administracyjnych dla podmiotów publicznych. W tym aspekcie, Komisja jest zainteresowana wymianą doświadczeń oraz najlepszych praktyk z innymi systemami, które mogły rozwinąć szczególną wiedzę w zakresie niektórych z tych narzędzi. Komisja rozważy skorzystanie z uprawnień, przyznanych jej na mocy Rozporządzenia, w odniesieniu do tych narzędzi przekazywania, w szczególności standardowych klauzul umownych.

Poza czysto bilateralnymi narzędziami, być może należałoby zbadać czy podobnie myślące kraje mogą ustanowić wielonarodowe ramy w tym obszarze w czasie gdy przepływ danych jest coraz bardziej kluczowym elementem handlu, komunikacji oraz interakcji społecznych. Taki instrument pozwoliłby na swobodny przepływ pomiędzy stronami umowy, zapewniając jednocześnie wymagany poziom ochrony na podstawie współdzielonych wartości oraz systemach spójności. Mogłyby one na przykład powstać na podstawie zmodernizowanej Konwencji 108 lub zainspirować się inicjatywą „Swobodne przepływy danych z zaufaniem”, stworzoną na początku tego roku przez Japonię.

Tworząc nową synergię pomiędzy handlem a instrumentami ochrony danych

Promując spójność ochrony danych na poziomie międzynarodowym, Komisja jest również zdeterminowana, aby usuwać cyfrowy protekcjonizm. W tym celu przygotowała ona szczególne przepisy dotyczące przepływu oraz ochrony danych w umowach handlowych, które systematycznie przedkłada w ramach dwustronnych oraz wielostronnych negocjacji, jak np. w przypadku obecnych rozmów w ramach Światowej Organizacji Handlu, dotyczących handlu elektronicznego. Te horyzontalne przepisy wykluczają czysto protekcjonistyczne środki, takie jak wymóg zmuszający do lokalizacji danych, zachowując jednocześnie autonomię regulacyjną stron w zakresie ochrony podstawowego prawa do ochrony danych.

Chociaż rozmowy dotyczące danych osobowych oraz negocjacje handlowe muszą podążać odrębnymi drogami, mogą się one uzupełniać: wzajemne postanowienie o odpowiednim poziomie ochrony pomiędzy UE oraz Japonią jest najlepszym przykładem takiej synergii, dalej ułatwiającym wymianę handlową oraz stanowi drogę do zwiększenia korzyści, płynących z Umowy o Partnerstwie Gospodarczym. W istocie, ten typ spójności, oparty na współdzielonych wartościach oraz wysokich standardach popartych skutecznym wdrażaniem, zapewnia najmocniejsze fundamenty wymiany danych osobowych, co cieszy się coraz większym uznaniem naszych międzynarodowych partnerów^[61]. Mając na uwadze, że spółki działają w coraz bardziej transgraniczny sposób oraz wolą stosować podobne zasady do wszystkich swoich operacji biznesowych na świecie, taka spójność pomaga utworzyć środowisko zachęcające do inwestycji bezpośrednich, ułatwiających handel oraz wzmacniających zaufanie pomiędzy partnerami handlowymi.

Ułatwianie wymiany informacji w celu zwalczania przestępczości oraz terroryzmu, oparte na odpowiednich środkach ochronnych

Większa kompatybilność pomiędzy reżimami ochrony danych może również znacznie ułatwić bardzo potrzebną wymianę informacji pomiędzy UE a zagranicznymi instytucjami regulacyjnymi, policyjnymi oraz sądowymi oraz przyczynić się w ten sposób do skuteczniejszej oraz szybszej współpracy w dziedzinie wdrażania prawa ^[62]. W tym celu Komisja rozważa wykorzystanie możliwości przyjęcia decyzji o odpowiednim poziomie ochrony na podstawie Dyrektywy dotyczącej ochrony danych w sektorze wdrażania prawa, aby pogłębić współpracę z kluczowymi partnerami w walce przeciwko przestępczości oraz terroryzmowi. Ponadto „Umowa Parasolowa”[63] pomiędzy UE oraz USA, która weszła w życie w lutym 2017 r., może być wykorzystana jako wzór dla podobnych umów z innymi ważnymi partnerami w obszarze bezpieczeństwa.

Inne przykłady wskazujące na ważność wysokich standardów ochrony danych jako podstawy stabilnej współpracy z państwami trzecimi w dziedzinie wdrażania prawa dotyczą przekazywania danych dotyczących pasażerów (PNR)^[64], oraz wymiany informacji operacyjnych pomiędzy Europolem a ważnymi, międzynarodowymi partnerami. W tym obszarze toczą się lub mają się rozpocząć negocjacje dotyczące międzynarodowych umów z kilkoma krajami z Południowego Sąsiedztwa ^[65].

Silne środki ochrony danych osobowych będą również kluczowym elementem wszelkich przyszłych umów dotyczących transgranicznego dostępu do elektronicznych dowodów w postępowaniach karnych na poziomie dwustronnym (umowa UE – USA) lub wielostronnych (Drugi dodatkowy protokół do Budapesztańskiej Konwencji Rady Europy w sprawie cyberprzestępczości)^[66].

Promowanie współpracy pomiędzy organami wdrażającymi ochronę danych

W przypadku gdy kwestie związane ze zgodnością z prawem prywatności lub incydenty bezpieczeństwa mogą wpłynąć na bezpieczeństwo dużej liczby osób w tym samym czasie w kilku jurysdykcjach, bliższa forma współpracy pomiędzy organami nadzorczymi na poziomie międzynarodowym może pomóc osiągnąć zarówno bardziej skuteczną ochronę praw osób, jak i bardziej stabilne środowisko dla przedsiębiorców. Na tej podstawie oraz w ścisłym kontakcie z Radą, Komisja będzie pracować nad sposobem ułatwienia współpracy w dziedzinie wdrażania prawa oraz wzajemnej pomocy pomiędzy organami nadzorczymi z UE oraz zagranicy, co obejmuje skorzystanie z nowych uprawnień w tym obszarze, ustanowionych przez Rozporządzenie ^[67]. Może to objąć różne formy współpracy poczynając od stworzenia wspólnych interpretacji lub narzędzi praktycznych^[68] po wymianę informacji na temat trwających postępowań.

Dodatkowo, Komisja zamierza również zintensyfikować swój dialog z organizacjami oraz sieciami regionalnymi, takimi jak Stowarzyszenie Narodów Azji Południowo-Wschodniej (ASEAN), Unia Afrykańska, forum Instytucji ds. Prywatności Azji oraz Pacyfiku (APPA) czy Iberyjsko-Amerykańska Sieć Ochrony Danych, które odgrywają coraz ważniejszą rolę w kształtowaniu wspólnych standardów ochrony danych, promujących wymianę najlepszych praktyk oraz wspieranie współpracy pomiędzy organami wdrażającymi prawo. Komisja będzie również współpracować z Organizacją Współpracy Gospodarczej i Rozwoju oraz Organizacją ds. Współpracy Gospodarczej Azji i Pacyfiku w celu budowania spójności w zapewnianiu wysokiego poziomu ochrony danych.

• Prawo ochrony danych jako integralna część szerokiego wachlarza polityk

Ochrona danych osobowych jest zagwarantowana oraz zintegrowana z kilkoma politykami Unii Europejskiej.

Usługi telekomunikacji oraz komunikacji elektronicznej

Komisja przyjęła propozycje Rozporządzenia w sprawie prywatności oraz komunikacji elektronicznej w styczniu 2017^[69]. Celem propozycji jest ochrona poufności komunikacji, zgodnie z postanowieniami Karty Praw Podstawowych, ale również ochrona danych osobowych, które mogą być częścią komunikatu oraz urządzeń użytkowników końcowych.

Proponowane Rozporządzenie w sprawie prywatności elektronicznej uszczegóławia oraz uzupełnia Rozporządzenie poprzez ustanowienie szczególnych zasad w odniesieniu do powyższych celów. Modernizuje ona obecnie obowiązujące zasady UE dotyczące prywatności elektronicznej^[70], tak aby odzwierciedlić rozwój technologiczny oraz prawny. Wzmacnia ono prawo osób do prywatności, rozciągając zakres zastosowania nowych zasad na dostawców usług komunikacyjnych ponad siecią (ang. over-the-top), tworząc w ten sposób równe szanse dla wszystkich usług komunikacji elektronicznej. Chociaż Parlament Europejski przyjął mandat dotyczący rozpoczęcia dialogu w październiku 2017 r., to Rada nie uzgodniła jeszcze swojego ogólnego podejścia. Komisja pozostaje w pełni zaangażowana w Rozporządzenie w sprawie prywatności elektronicznej i będzie wspierać współ-prawodawców w ich wysiłkach na rzecz osiągnięcia szybkiego przyjęcia proponowanego Rozporządzenia.

Zdrowie oraz badania

Ułatwianie wymiany danych dotyczących zdrowia pomiędzy państwami członkowskimi, które zgodnie z Rozporządzeniem są danymi wrażliwymi, staje się coraz istotniejsze w obszarze zdrowia publicznego, ponieważ dotyczy interesu publicznego. Obejmuje dostarczanie opieki medycznej lub leczenie, ochronę przeciwko poważnym, transgranicznym zagrożeniom dla zdrowia oraz zapewnienie wysokich standardów jakości oraz bezpieczeństwa opieki medycznej oraz produktów lub urządzeń medycznych. Rozporządzenie ustanawia reguły, które zapewniają zgodne z prawem oraz godne zaufania przetwarzanie, oraz wymianę danych dotyczących zdrowia w UE. Zasady to znajdują również zastosowanie do dostępu do danych medycznych pacjentów przez strony trzecie, co obejmuje dane trzymane w karcie pacjenta, receptach elektronicznych oraz w długookresowych, szerokich elektronicznych aktach medycznych, oraz ich wykorzystanie dla celów badań naukowych. W szczególnym obszarze badań klinicznych[71], Komisja przygotowała również Pytania i Odpowiedzi dotyczące wzajemnego wpływu Rozporządzenia w sprawie badań klinicznych oraz Ogólnego Rozporządzenie o Ochronie Danych^[72].

Sztuczna inteligencja (‘AI’)

Z uwagi na to, że AI nabiera strategicznego znaczenia, kluczowe jest ukształtowanie globalnych reguł jej rozwoju oraz wykorzystania. Przy promowaniu rozwoju oraz pojmowania AI, Komisja opowiada się za podejściem antropocentrycznym oznaczającym, że aplikacje AI muszą pozostawać zgodne z prawami podstawowymi^[73]. W tym aspekcie, zasady ustanowione przez Rozporządzenie zapewniają ogólne ramy oraz zawierają szczegółowe obowiązki oraz prawa, które są szczególnie odpowiednie w odniesieniu do przetwarzania danych osobowych w ramach AI. Rozporządzenie zawiera np. prawo do niebycia poddanym wyłącznie zautomatyzowanej decyzji, z wyjątkiem kilku sytuacji ^[74]. Zawiera ono również szczególne wymogi w zakresie przejrzystości w przypadku zautomatyzowanego podejmowania decyzji, a mianowicie obowiązek poinformowania o istnieniu takich decyzji oraz przekazaniu mających znaczenie informacji oraz wyjaśnieniu jej znaczenia oraz przewidywanych konsekwencjach przetwarzania dla osoby.^[75] Te kluczowe zasady Rozporządzenia zostały uznane przez Wysoką Grupę Ekspertów ds. AI^[76], Organizację Współpracy Gospodarczej i Rozwoju^[77] oraz Grupę G20^[78] jako szczególnie istotne dla stawienia czoła wyzwaniom oraz szansom wynikającym
z AI. Europejska Rada Ochrony Danych określiła AI jako jeden z możliwych tematów w swoim programie prac na lata 2019-2020^[79].

Transport

Rozwój podłączonych samochodów oraz inteligentnych miast opiera się coraz bardziej na przetwarzaniu oraz wymianie dużej ilości danych osobowych pomiędzy wieloma stronami obejmującymi same samochody, producentów samochodów, dostawców usług telematycznych oraz instytucje publiczne zajmujące się infrastrukturą drogową. Obszar ten, w którym uczestniczy wiele podmiotów, cechuje się pewną złożonością w zakresie przyporządkowania ról oraz obowiązków różnych aktorów zaangażowanych w przetwarzanie danych osobowych oraz odnośnie tego, jak zapewnić zgodność przetwarzania z prawem w przypadku wszystkich z nich. Zgodność z Rozporządzeniem oraz prawem prywatności elektronicznej są kluczowe dla zakończonego powodzeniem wdrożenia inteligentnych systemów transportu we wszystkich jego wariantach oraz rozprzestrzenianiu cyfrowych narzędzi i usług, pozwalających na większą mobilność towarów i usług^[80].

Energia

Rozwój rozwiązań cyfrowych w sektorze energetycznym w coraz większym stopniu opiera się na przetwarzaniu danych osobowych. Prawo przyjęte w ramach pakietu Czysta energia dla wszystkich Europejczyków^[81] zawiera nowe postanowienia pozwalające na cyfryzację sektora elektryczności oraz zasad dostępu do danych, zarządzania nimi oraz interoperacyjności, która pozwala na zarządzanie danymi konsumentów w czasie rzeczywistym, w celu osiągnięcia oszczędności oraz wspierania samowystarczalności oraz uczestnictwa w rynku energii. Z tego względu, zgodność z zasadami ochrony danych ma olbrzymie znaczenie dla zakończonego powodzeniem wdrożenia tych postanowień.

Konkurencja

Przetwarzanie danych osobowych jest elementem, który należy coraz bardziej uwzględniać
w polityce konkurencji^[82]. Biorąc pod uwagę, że organy ochrony danych to jedyne instytucje, którym powierzono ocenę naruszeń zasad ochrony danych, instytucje zajmujące się konkurencją, ochroną konsumentów oraz ochroną danych współpracują oraz tam gdzie będzie to konieczne będą kontynuowały współpracę na styku swoich kompetencji. Komisja będzie wspierać taką współpracę oraz uważnie śledzić jej rozwój.

Kontekst wyborczy

W swoich Wytycznych w sprawie wykorzystania danych osobowych w kontekście wyborów^[83], wydanych we wrześnie 2018 r. jako część pakietu wyborczego^[84], Komisja zwróciła uwagę na zasady mające kluczowe znaczenie dla aktorów zaangażowanych w wybory, co obejmowało kwestię mikro targetowania wyborców. Wytycznym tym towarzyszyło Oświadczenie wydane przez Europejską Radę Ochrony Danych[85], a wiele organów ochrony danych wydało wytyczne na poziomie krajowym. Pakiet wyborczy zawierał również apel do każdego państwa członkowskiego o ustanowienie krajowej sieci wyborczej, obejmującej krajowe instytucje posiadające kompetencje w kwestiach wyborczych oraz te, które są odpowiedzialne za monitorowanie oraz wdrażanie prawa w zakresie działań internetowych mających znaczenie dla wyborów, takie jak organy ochrony danych. Przyjęto również nowe środki w celu wprowadzenia sankcji za naruszenia zasad ochrony danych przez Europejskie partie polityczne oraz fundacje. Komisja zaleciła, aby państwa członkowskie przyjęły takie samo podejście na poziomie krajowym. Ocena wyborów do Parlamentu Europejskiego z 2019 r., która ma być przyjęta w październiku 2019, uwzględni ochronę danych.

Wdrażanie prawa

Skuteczna oraz rzeczywista Unia Bezpieczeństwa może być zbudowana jedynie na pełnej zgodności z prawami podstawowymi zawartymi w Karcie UE oraz wtórnej legislacji UE, obejmującej odpowiednie środki ochrony danych, tak aby zapewnić bezpieczną wymianę danych osobowych dla celów wdrażania prawa. Wszelkie ograniczenia podstawowego prawa do prywatności oraz ochrony danych podlegają ścisłemu testowi konieczności oraz proporcjonalności.

• Wnioski

Na podstawie dostępnych do tej porty informacji oraz dialogu z interesariuszami, wstępna ocena Komisji jest taka, że pierwszy rok stosowania Rozporządzenia był ogólnie rzecz biorąc pozytywny. Jednakże, jak wskazano w niniejszym Komunikacie, w wielu obszarach potrzebny jest dalszy postęp.

Wdrażając oraz uzupełniając ramy prawne:

• Trzy państwa członkowskie, które nie uaktualniły jeszcze swoich krajowych ustaw
  o ochronie danych muszą to pilnie uczynić. Wszystkie państwa członkowskie powinny dokończyć dostosowanie swoich ustaw sektorowych do wymogów Rozporządzenia.
• Komisja skorzysta ze wszystkich nowych narzędzi pozostających do jej dyspozycji, co obejmuje procedurę dotyczącą naruszeń, w celu zapewnienia, że państwa członkowskie zapewniają zgodność z Rozporządzeniem oraz ograniczenia rozdrobnienia ram ochrony danych osobowych.

Zapewnienie, że nowy system zarządzania wykorzysta w pełni swój potencjał:

• Państwa członkowskie powinny zapewnić wystarczające zasoby ludzkie, finansowe oraz techniczne krajowym organom ochrony danych.
• Organy ochrony danych powinny wzmocnić współpracę, na przykład poprzez prowadzenie wspólnych postępowań. Państwa członkowskie powinny ułatwiać prowadzenie takich postępowań.
• Rada powinna dalej rozwijać kulturę ochrony danych UE oraz w pełni korzystać z narzędzi, zapewnionych przez Rozporządzenie w celu zapewnienia zharmonizowanego stosowania tych zasad. Powinna ona kontynuować pracę nad wytycznymi, szczególnie w odniesieniu do małych oraz średnich przedsiębiorstw.
• Wiedza sekretariatu Rady powinna zostać wzmocniona, aby zapewnić wsparcie oraz przewodzić pracom Rady bardziej skutecznie.
• Komisja będzie nadal wspierać organy ochrony danych oraz Radę, w szczególności przez aktywne uczestnictwo w pracach Rady oraz zwracanie jej uwagi na wymogi prawa UE
  w ramach wdrażania Rozporządzenia.
• Komisja będzie wspierać interakcje pomiędzy organami ochrony danych a innymi instytucjami, w szczególności z obszaru prawa konkurencji, w pełni szanując ich kompetencje.

Wspierając oraz angażując interesariuszy:

• Rada powinna wzmocnić sposób w jaki angażuje interesariuszy w swoją pracę. Komisja będzie nadal wspierać finansowo organy ochrony danych, w celu zapewnienia im pomocy w dotarciu do interesariuszy.
• Komisja będzie nadal podejmować działania zwiększające świadomość oraz pracować razem z interesariuszami.

Promując międzynarodową spójność:

• Komisja będzie nadal intensyfikować dialog w sprawie adekwatności, z kwalifikującymi się, kluczowymi partnerami, co obejmuje obszar wdrażania prawa. W szczególności, jej celem jest zakończenie w nadchodzących miesiącach negocjacji z Koreą Południową.
  W 2020 r. Komisja przedstawi sprawozdanie z przeglądu 11 decyzji o odpowiednim poziomie ochrony, przyjętych na mocy Dyrektywy o ochronie danych.
• Komisja będzie kontynuować swoją pracę, co obejmuje pomoc techniczną, wymianę informacji oraz najlepszych praktyk, z krajami zainteresowanymi przyjęciem nowoczesnych przepisów, dotyczących prywatności oraz będzie wspierać współpracę z organami nadzorczymi z państw trzecich oraz organizacjami regionalnymi.
• Komisja będzie współpracować z wielostronnymi oraz regionalnymi organizacjami, w celu promocji wysokiego standardu ochrony danych jako czynnika wzmacniającego handel oraz ułatwiającego współpracę (np. w związku z inicjatywą „Swobodny przepływ danych
  z zaufaniem”, zainicjowaną przez Japonię w kontekście G20).

Rozporządzenie^[86] wymaga od Komisji sprawozdania dotyczącego jego wdrożenia w 2020 r. Będzie to stanowiło okazję do oceny poczynionego postępu oraz oceny tego czy po dwóch latach stosowania różne elementy nowego reżimu ochrony danych w pełni działają. W tym celu, Komisja będzie współpracować z Parlamentem Europejskim, Radą, państwami członkowskimi, Europejską Radą Ochrony Danych oraz właściwymi interesariuszami oraz obywatelami.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG) (Dz.U. L 119 z 4.5.2016, str. 1—88); str. 1: https://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1565013787938&uri=CELEX:32016R0679.   

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, str. 89—131) https://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1565013878793&uri=CELEX:32016L0680. Dyrektywa musiała być transponowana przez państwa członkowskie do dnai 6 maja 2018 r. Sprawozdania Unii ds. Bezpieczeństwa zawierają informacje dotyczące stanu transpozycji. 

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Tekst mający znaczenie dla EOG.) PE/31/2018/REV/1. (Dz.U. L 295 z 21.11.2018, str. 39—98). https://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1565014072653&uri=CELEX:32018R1725 . Będzie ono stosowane od 11 grudnia 2018 r.

[4] Sąd Najwyższy Indii w swoim przełomowym wyroku z 24 sierpnia 2017 r. uznał prywatność za prawo podstawowe, „kluczowy element godności istoty ludzkiej”.

[5] KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY Wzmocniona ochrona, nowe możliwości – wytyczne Komisji dotyczące bezpośredniego stosowania ogólnego rozporządzenia o ochronie danych od dnia 25 maja 2018 r., COM(2018) 43 final:

https://ec.europa.eu/transparency/regdoc/?fuseaction=list&n=10&adv=0&coteId=1&year=2018&number=43&version=F&dateFrom=&dateTo=&serviceId=&documentType=&title=&titleLanguage=&titleSearch=EXACT&sortBy=NUMBER&sortOrder=DESC2018&language=pl

[6] Grupa wielu interesariuszy ds. Rozporządzenia ustanowiona przez Komisję obejmuje przedstawicieli społeczeństwa informacyjnego oraz biznesu, naukowców i praktyków: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537.

[7] https://europa.eu/rapid/press-release_IP-19-2956_pl.htm.

[8] Artykuł 97 Rozporządzenia.

[9] Wytyczne Komisji w sprawie stosowania prawa ochrony danych UE w kontekście wyborczym, COM(2018) 638 final: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf.

[10] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych

Dz.U. L 281 z 23.11.1995, str. 31—50: https://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1565014468113&uri=CELEX:31995L0046

[11] Jak np. prawo do nakładania administracyjnych kar pieniężnych.

[12] Na dzień 23 lipca 2019 r. Grecja, Portugalia oraz Słowenia ciągle są w trakcie przyjmowania swoich ustaw krajowych.

[13] Zobacz raport Grupy wielu interesariuszy ds. Rozporządzenia, wydany 13 czerwca 2019 r.:

http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670.

[14] 13 lat w odniesieniu do Belgii, Danii, Estonii, Finlandii, Łotwy, Malty, Szwecji oraz Zjednoczonego Królestwa; 14 lat dla Austrii, Bułgarii, Cypru, Hiszpanii, Włoch oraz Litwy; 15 lat w przypadku Czech oraz Francji; 16 lat
w Niemczech, na Węgrzech, Chorwacji, Irlandii, Luxemburgu, Holandii, Polsce, Rumunii oraz Słowacji.

[15] Artykuł 8.

[16] Zgodnie z art. 16 ust. 2 Traktatu o Funkcjonowaniu Unii Europejskiej.

[17] Art. 60 Rozporządzenia ustanawia współpracę pomiędzy organami ochrony danych w stosowaniu jednej interpretacji Rozporządzenia w konkretnych przypadkach. Art. 64 stanowi, że Rada wyda opinie w niektórych przypadkach, tak aby zapewnić spójne stosowanie Rozporządzenia. Rada jest także upoważniona do przyjmowania wiążących decyzji skierowanych do organów ochrony danych w przypadku braku porozumienia pomiędzy nimi.

[18] Tak się stało w Niemczech oraz Hiszpanii.

[19] https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf

[20]  Np. Irlandzki Rzecznik ds. Ochrony Danych rozpoczął 15 formalnych postępowań w sprawie zapewniania zgodności z Rozporządzeniem przez wielonarodowe spółki technologiczne. Zobacz raport Irlandzkiego Rzecznika ds. Informacji za 2018 r., str. 41 (w języku angielskim):  https://www.dataprotection.ie/en/news-media/press-releases/dpc-publishes-annual-report-25-may-31-december-2018.

[21] Kilka decyzji nakładających kary jest wciąż rozpatrywanych przez sądy.

[22] Artykuł 58(2)(f) oraz (j).

[23]https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/09/ico-call-for-views-on-creating-a-regulatory-sandbox/

[24] Zobacz raport Grupy wielu interesariuszy ds. RODO ( w języku angielskim):

http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670

[25] W 2018 r. przyznano 2 miliony Euro 9 organom ochrony danych na działania w latach 2018-2019:Belgia, Bułgaria, Dania, Węgry, Litwa, Łotwa, Holandia, Słowenia oraz Islandia https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2017;
1 milion Euro zostanie przyznany w 2019 r.:

https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2019.

[26] Rada posiada osobowość prawną i jest złożona z przewodniczących krajowych organów nadzorczych ds. ochrony danych oraz Europejskiego Inspektora Ochrony Danych.

[27]https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en

[28] https://edpb.europa.eu/our-work-tools/our-documents/publication-type/work-program_en

[29] Jako uczestnik pozbawiony głosu.

[30] Komisja pomogła również w sprawnym ustanowieniu Rady oraz wspiera jej funkcjonowanie poprzez zapewnianie jej systemu komunikacji.

[31] Artykuł 62 Rozporządzenia.

[32] Zobacz sprawozdanie Grupy wielu interesariuszy ds. Rozporządzenia http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670.

Np., biznes uważa, że krajowe listy rodzajów operacji przetwarzania, które wymagają przeprowadzenia oceny wpływu na ochronę danych, zgodnie z art. 35 Rozporządzenia mogły być lepiej zharmonizowane.

[33] Co obejmuje różne organy w państwach federalnych.

[34] https://europa.eu/rapid/press-release_IP-19-2956_pl.htm

[35] https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf

[36] Zobacz sprawozdanie Grupy wielu interesariuszy ds. Ogólnego Rozporządzenia o Ochronie Danych.

[37] Zobacz sprawozdanie Grupy wielu interesariuszy ds. Ogólnego Rozporządzenia o Ochronie Danych.

[38] Artykuł 80 ust. 1 Rozporządzenia.

[39] Artykuł 80 ust. 2 Rozporządzenia.

[40] Kontynuuje ona poprzednią kampanię na rzecz rozpowszechniania materiałów informacyjnych dla osób oraz biznesu, dostępną: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

[41] Zobacz sprawozdanie Grupy wielu interesariuszy ds. Rozporządzenia.

[42] Aktualizacja systemu IT jest często wskazywana jako jedno z głównych wyzwań, w szczególności w odniesieniu do wdrażania zasad prywatności w fazie projektowania oraz domyślnej ochrony danych, prawa do usunięcia danych z kopii zapasowych, etc.

[43] Biznes zwraca się również o wytyczne Rady dotyczące nieuzasadnionych oraz nadmiernych wniosków.

[44] Na przykład zgodnie ze sprawozdaniem opublikowanym przez Izraelskie zrzeszenie przemysłowe cyber-bezpieczeństwa, podsektor cyber-bezpieczeństwa „Ochrona danych oraz prywatność” był najszybciej rozwijającym się podsektorem na skutek wejścia w życie RODO.

[45] Zgodnie z definicją małych i średnich przedsiębiorstw, dostępną tutaj: https://ec.europa.eu/growth/smes/business-friendly-environment/sme-definition_en.

[46] W rzeczywistości Rozporządzenie nie opiera się tylko na zgodzie, ale zwiera kilka podstaw do przetwarzania danych osobowych.

[47] Np. wytyczne przygotowane przez Francuski organ ochrony danych: https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement.

[48] https://ec.europa.eu/commission/sites/beta-political/files/ds-02-18-544-en-n.pdf.

[49] Zobacz art. 28 Rozporządzenia. Standardowe klauzule przyjęte przez Komisję są ważne w całej UE. Inaczej sytuacja wygląda w przypadku klauzul z art. 28 ust. 8, przyjętych przez organ ochrony danych, które są wiążące dla organu, który je przyjął i w związku z tym mogą być wykorzystywane jako standardowe klauzule umowne jedynie w odniesieniu do tych operacji przetwarzania, które podlegają jurysdykcji tego organu, zgodnie z art. 55 oraz 56.

[50]  Są one w rzeczywistości głównym narzędziem wykorzystywanym przez spółki do eksportowania danych.

[51] Europejska Rada Ochrony Danych przyjęła w dniu 4 czerwca 2019 r. Wytyczne w sprawie kodeksów postępowania. Wyjaśniają one procedury oraz zasady zgłaszania, zatwierdzania oraz publikacji kodeksów zarówno na poziomie UE jak i poziomie krajowym.

[52] Motyw 98 Rozporządzenia.

[53]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en;

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42018-accreditation-certification-bodies-under_en

[54] Zobacz globalne badanie Ipsos z 2019 r., dotyczące bezpieczeństwa oraz zaufania w Internecie. Zgodnie
z badaniem 78% ankietowanych było zaniepokojonych swoją prywatnością w Internecie. 49% powiedziało, że brak zaufania spowodował, że udostępnili mniej informacji w Internecie, podczas gdy 43% stwierdziło, że bardziej troszczy się o zabezpieczenie swoich urządzeń, a 39% stwierdziło, że obok innych środków ostrożności, korzysta z Internetu bardziej selektywnie. Badanie zostało przeprowadzone w 25 państwach: Australii, Brazylii, Kanadzie, Chinach, Egipcie, Francji, Niemczech, Wielkiej Brytanii, Hong Kongu, Indiach, Indonezji, we Włoszech, Japonii, Kenii, Meksyku, Nigerii, Pakistanie, Polsce, Rosji, Południowej Afryce, Republice Korei, Szwecji, Tunezji, Turcji oraz Stanach Zjednoczonych.

[55] Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS No. 108) oraz Protokół dodatkowy do konwencji o ochronie osób
w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych oraz międzynarodowych przepływów danych (ETS No. 181). Jest to jedyny instrument wielostronny w obszarze ochrony danych. Wśród krajów, które ostatnio ratyfikowały Konwencję znajdują się: Argentyna, Meksyk, Republika Zielonego Przylądka oraz Maroko.

[56] Protokół zmieniający Konwencję 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku
z automatycznym przetwarzaniem danych osobowych (ETS No. 108) w formie uzgodnionej na 128 spotkaniu Komitetu Ministrów w Elsinore w Danii w dniach 17-18 maja 2018 r. Skonsolidowany tekst zmodernizowanej Konwencji 108 jest dostępny tutaj: https://rm.coe.int/16808ade9d.

[57] Komunikat Komisji do Parlamentu Europejskiego i Rady: „Wymiana oraz ochrona danych osobowych
w zglobalizowanym świecie”; COM/2017/07 final.

[58] Rozporządzenie stworzyło również możliwość stwierdzenia adekwatności w odniesieniu do organizacji międzynarodowych, co stanowi część starań UE o ułatwienie wymiany danych z takimi podmiotami.

[59] Takie podejście przyjęły np. Argentyna, Kolumbia, Izrael oraz Szwajcaria.

[60] Oznacza to, że w trakcie 3 lat istnienia do Tarczy Prywatności przystąpiło więcej spółek niż do jej poprzednika, Bezpiecznej Przystani przez 13 lat działania.

[61]  Co zostało odzwierciedlono np. w odwołaniu do koncepcji „Swobodnego przepływu danych z zaufaniem”
w deklaracji przywódców G20 w Osace:

https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf.

[62]  Zobacz Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Społeczno Gospodarczego oraz Komitetu Regionów: „Europejska Agenda Bezpieczeństwa”, COM(2015) 185 final.

[63] Umowa między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony informacji osobowych powiązanych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A22016A1210%2801%29&from=EN&lang3=choose&lang2=choose&lang1=PL (Umowa Parasolowa). Umowa Parasolowa stanowi pierwszą dwustronną umowę międzynarodową w obszarze wdrażania prawa, ustanawiającą szeroki katalog praw oraz obowiązków ochrony danych, zgodnie z prawem UE. Stanowi ona udany przykład tego w jaki sposób współpraca w dziedzinie wdrażania prawa z ważnym międzynarodowym partnerem może być wzmocniona poprzez wynegocjowanie silnego zestawu środków ochrony danych.

[64] Rezolucja Rady Bezpieczeństwa Narodów Zjednoczonych (SRC) 2396 z 21 grudnia 2017 r. wzywająca wszystkie państwa członkowskie ONZ do rozwinięcia zdolności do zbierania, przetwarzania oraz analizowania danych PNR, z pełnym poszanowaniem praw człowieka oraz podstawowych wolności. Zobacz również Komunikat Komisji: „Europejska Agenda Bezpieczeństwa” COM (2015)185 final: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52015DC0185&from=EN

[65]https://ec.europa.eu/home-affairs/news/security-union-strengthening-europols-cooperation-third-countries-fight-terrorism-and-serious_en

[66] http://europa.eu/rapid/press-release_IP-19-2891_en.htm

[67] Zobacz art. 50 Rozporządzenia w sprawie współpracy międzynarodowej w obszarze ochrony danych. Postanowienia te pokrywają szereg form współpracy, od informowania o prawie ochrony danych po odsyłanie skarg oraz pomoc w postępowaniach.

[68] Takie jak wspólne wzory zgłaszania naruszeń.

[69] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010

[70] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) Dz.U. L 201 z 31.7.2002, str. 37—47

[71] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32014R0536

[72] https://ec.europa.eu/health/sites/health/files/files/documents/qa_clinicaltrials_gdpr_en.pdf

[73] Komunikat Komisji z 8 kwietnia 2019 r. w sprawie budowania zaufania w antropocentrycznej sztucznej inteligencji https://ec.europa.eu/digital-single-market/en/news/communication-building-trust-human-centric-artificial-intelligence. Wytyczne w sprawie etyki dotyczące godnej zaufania sztucznej inteligencji przygotowane przez Grupę ekspertów wysokiego szczebla (HLEG) 8 kwietnia 2019 rhttps://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai. Zobacz również Zalecenie Rady OECD w sprawie sztucznej inteligencji: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449,  Zasady Grupy G20 dotyczące sztucznej inteligencji, zatwierdzone jako część deklaracji przywódców G20 z Osaki: https://www.g20.org/pdf/documents/en/annex_08.pdf oraz Oświadczenie ministrów grupy G20 w sprawie handlu i gospodarki cyfrowej

https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf.

[74] Art. 22 Rozporządzenia.

[75] Art. 13 ust. 2 lit. f) Rozporządzenia.

[76] https://ec.europa.eu/digital-single-market/en/high-level-expert-group-artificial-intelligence

[77] Zalecenie Rady w sprawie sztucznej inteligencji: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449.

[78] Oświadczenie ministerialne Grupy G20 w sprawie handlu i gospodarki cyfrowej: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf.

[79] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_en.pdf

[80] Np. poprzez ułatwianie planowania oraz wykorzystania różnych środków transportu w trakcie swojej wycieczki.

[81] W szczególności Dyrektywa w sprawie elektryczności https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32009L0072.

[82] Np. w sprawie M.8788 – Apple / Shazam oraz sprawie M. M.8124 – Microsoft / LinkedIn.

[83]https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf

[84] https://europa.eu/rapid/press-release_IP-18-5681_pl.htm

[85] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-03-13-statement-on-elections_en.pdf

[86] Artykuł 97 Rozporządzenia.