Ochrona danych osobowych /

Zmiany w ochronie danych osobowych: Co zawiera pakiet dokumentów EROD?

9 października Europejska Rada Ochrony Danych (EROD) przyjęła o pakiet dokumentów, na który składają się:

  1. opinia dotycząca niektórych obowiązków związanych z korzystaniem z podmiotów przetwarzających i ich podwykonawców,
  2. wytyczne w sprawie prawnie uzasadnionego interesu,
  3. oświadczenie dotyczące dodatkowych przepisów proceduralnych związanych z egzekwowaniem RODO oraz program prac EROD na lata 2024–2025.

Pakiet dokumentów przyjętych przez EROD składają się z:

Nowe obowiązki: podmioty przetwarzające i podwykonawcy

EROD wskazuje na konieczność zapewnienia przez administratorów dostępu do szczegółowych informacji o wszystkich zaangażowanych podmiotach, aby wypełniać obowiązki wynikające z art. 28 RODO.

Oznacza to, że administratorzy muszą sprawdzać czy podmioty przetwarzające gwarantują odpowiedni poziom ochrony danych, przy czym zakres tej weryfikacji może być uzależniony od charakteru ryzyka.

Innym aspektem poruszonym w Opinii jest kwestia transferu danych osobowych poza EOG przez podmiot przetwarzający. W takie sytuacji procesor, który przesyła dane, musi przygotować odpowiednią dokumentację. Powinna ona zawierać m.in. ocenę ryzyka oraz zastosowane środki zabezpieczające.

Administratorzy z kolei, są zobowiązani do sprawdzenia tej dokumentacji, aby upewnić się, że transfer danych spełnia wymogi RODO, szczególnie te określone w artykule 44.

Opinia porusza także inne aspekty praktyczne dotyczące zasad korzystania z procesorów i subprocesorów. Jej pełna treść dostępna jest TUTAJ.

Wytyczne EROD: Prawnie uzasadniony interes – na co zwrócić uwagę?

Kluczowym elementem wytycznych jest zwrócenie uwagi na fakt, że możliwość oparcia przetwarzania danych na przesłance prawnie uzasadnionego interesu wymaga spełnienia następujących wymagań:

  1. musi istnieć prawnie uzasadniony interes, który jest konkretny, aktualny i zgodny z prawem, na przykład związany z relacją z klientem lub inną istotną więzią
  2. przetwarzanie danych musi być niezbędne do realizacji tego interesu, co oznacza, że nie można osiągnąć celu w mniej inwazyjny sposób, zgodnie z zasadą minimalizacji danych,
  3. należy zapewnić, że interesy lub podstawowe prawa i wolności osób, których dane dotyczą, nie są nadrzędne wobec uzasadnionego interesu administratora. W tej analizie trzeba uwzględnić m.in. oczekiwania osób fizycznych, wpływ przetwarzania oraz ewentualne środki ochronne.

Wytyczne szczegółowo opisują, jak administratorzy powinni przeprowadzać tę ocenę w praktyce, uwzględniając specyficzne sytuacje, takie jak przeciwdziałanie oszustwom, marketing bezpośredni oraz ochrona bezpieczeństwa informacji. Dokument wyjaśnia również, jak uzasadniony interes współgra z innymi prawami osób, których dane są przetwarzane, wynikającymi z RODO. Ich pełna treść dostępna jest TUTAJ.

Dodatkowe przepisy proceduralne oraz plan prac

Trwają prace nad przyjęciem rozporządzenia dotyczącego procedur egzekwowania RODO. EROD pozytywnie oceniła te zmiany, podkreślając ich potencjał do usprawnienia współpracy między organami ochrony danych oraz do poprawy efektywności egzekwowania przepisów.

Wskazano jednak na konieczność dalszego uwzględniania pewnych kluczowych elementów, w tym potrzebę stworzenia solidnych podstaw prawnych i zharmonizowanej procedury rozstrzygania sporów. 

Rada zaleca również działania, które mogą przyczynić się do efektywniejszego osiągania konsensusu w kluczowych kwestiach. Oświadczenie w tym zakresie dostępne jest TUTAJ.

EROD opracowała również plan prac na lata 2024-2025, który ma realizować strategię na lata 2024–2027, uwzględniając najważniejsze priorytety i potrzeby.

Program obejmuje cztery główne filary działań:

  1. Wzmacnianie zgodności i harmonizacja – EROD będzie wydawać jasne wytyczne, aby poprawić zgodność i harmonizację unijnego prawa o ochronie danych.
  2. Budowanie kultury skutecznego egzekwowania – EROD wzmocni współpracę organów nadzorczych i rozpatrywanie transgranicznych naruszeń danych,
  3. Ochrona danych w kontekście cyfrowym i wieloregulatorowym – EROD będzie harmonizować przepisy o ochronie danych z innymi regulacjami UE i opracowywać wytyczne dotyczące nowych technologii,
  4. Współpraca na poziomie globalnym – EROD będzie promować wysokie standardy ochrony danych i wspierać międzynarodową współpracę.

EROD opracowała plan prac na lata 2024-2025, który ma realizować strategię na lata 2024–2027, uwzględniając najważniejsze priorytety i potrzeby. Program obejmuje cztery główne filary działań:

Pełna treść planu prac dostępna jest TUTAJ.

Potrzebujesz pomocy?

Zespół Kancelarii śledzi trendy oraz oficjalne publikacje w dotyczące zasad przetwarzania danych osobowych, aby na jak najwyższym poziomie doradzać naszym klientom. Jeśli przetwarzasz dane osobowe, możemy wesprzeć Cię w uregulowaniu tego procesu. Zapraszamy do kontaktu!

Autor team leader DKP Legal Alicja Mruczkiewicz
check full info of team member: Alicja Mruczkiewicz

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48kancelaria@dudkowiak.com
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48krakow@dudkowiak.com
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74warszawa@dudkowiak.com
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48poznan@dudkowiak.com
Flaga Polski.POZNANPOLAND
Młyńska 16
61-730 Poznań
+48 61 853 56 48poznan@dudkowiak.com