Grupa Robocza art. 29

105. posiedzenie Grupy Roboczej Artykułu 29

Ikona drukuj
Podmiot udostępniający: Departament Edukacji Społecznej i Współpracy Międzynarodowej Biura GIODO
Wytworzył informację: Urszula Góral2016-06-26
Wprowadził informację: Sylwia Walencik2016-06-27 12:06:06
Ostatnio modyfikował: Rafał Grodzki 2016-06-27 15:41:54

W dniach 12-13 kwietnia 2016 r. przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych uczestniczył w 105. posiedzeniu Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli.

Istotnym punktem obrad było przyjęcie w dniu 13 kwietnia 2016 r. opinii 01/2016 dotyczącej projektu decyzji w sprawie odpowiedniego stopnia ochrony przewidzianego w „Tarczy prywatności UE-USA” (WP238). Tego samego dnia GR Art. 29 wydała oświadczenie dotyczące powyższej opinii. Po opublikowaniu przez Komisję Europejską projektu decyzji w sprawie odpowiedniego stopnia ochrony przewidzianego w „Tarczy prywatności UE-USA” (ang. EU-U.S. Privacy Shield), Grupa Robocza Art. 29 dokonała jej oceny w świetle mających zastosowanie ram prawnych UE w zakresie ochrony danych, zawartych w dyrektywie 95/46/WE, jak również praw podstawowych do życia prywatnego oraz do ochrony danych, jak przewidziano to w artykule 8 Europejskiej Konwencji Praw Człowieka oraz w artykułach 7 i 8 Karty praw podstawowych Unii Europejskiej. Jak wskazała Grupa, Tarcza nie musi stanowić kopii ram prawnych ochrony danych osobowych Unii Europejskiej. Musi jednakże szanować istotę zasad tej ochrony i tym samym zapewnić równoważny stopień ochrony. GR Art. 29 z zadowoleniem przyjęła istotne usprawnienia, jakie niesie ze sobą „Tarcza prywatności”, w porównaniu do decyzji w sprawie programu „bezpiecznej przystani’. Jednocześnie wyraziła jednakże poważne obawy w stosunku do projektu decyzji, w odniesieniu do przetwarzania danych zarówno przez podmioty prywatne jak i publiczne.
W szczególności, GR29 wskazała na brak niektórych zasad ochrony danych, lub niewłaściwe ich sformułowanie w Tarczy. Ponadto poważne obawy Grupy budzi stopień skomplikowania mechanizmu dochodzenia praw przez obywateli Unii Europejskiej. W odniesieniu do przetwarzania danych dla celów bezpieczeństwa narodowego, projekt decyzji nie wyklucza w opinii Grupy, możliwości zbierania danych osobowych obywateli Unii na masową skalę, co nie może być uznane za proporcjonalne. W związku z powyższym, GR29 wezwała Komisję do rozwiania tych obaw i przedstawienia wyjaśnień w celu poprawienia projektu decyzji w sprawie odpowiedniego stopnia ochrony tak, aby zapewnić, że ochrona oferowana przez „Tarczę prywatności” będzie rzeczywiście równoważna ochronie gwarantowanej w UE.

GR Art. 29 przyjęła również dokument roboczy 1/2016 w sprawie uzasadnienia ingerencji w podstawowe prawa do prywatności i ochrony danych poprzez środki nadzoru w przypadku przekazywania danych osobowych (Niezbędne Gwarancje Europejskie) (WP237). GR Art. 29, w oparciu o orzecznictwo, określiła Niezbędne Gwarancje Europejskie, które powinny istnieć, aby zapewnić, że ingerencja nie wykroczy ponad to, co jest niezbędne w demokratycznym społeczeństwie. Niezbędne Gwarancje Europejskie oparte są głównie na orzecznictwie TSUE i ETPCz w sprawach związanych ze stosowaniem praw do ochrony danych i prywatności w Europie. Oznacza to, że gwarancje w pierwszej kolejności mają zastosowanie w odniesieniu do państw członkowskich Unii Europejskiej i Rady Europy w przypadku stosowania ustawodawstwa europejskiego lub krajowego naruszającego te prawa. Jako że danym przekazywanym poza terytorium UE należy zapewniać ciągłą ochronę przed ingerencją, Niezbędne Gwarancje Europejskie będą również musiały być poważnie brane pod uwagę w przypadku wszystkich operacji przekazywania danych do krajów trzecich. GR podkreśla, że gwarancje oparte są na prawach podstawowych i mają zastosowanie do każdej osoby, niezależnie od jej narodowości. Po ocenie orzecznictwa GR doszła do wniosku, że wymogi można podsumować w czterech Niezbędnych Gwarancjach Europejskich:

A. Przetwarzanie powinno być oparte na zrozumiałych, dokładnych i dostępnych zasadach

B. Należy wykazać niezbędność i proporcjonalność w odniesieniu do prawnie uzasadnionych celów 

C. Powinien istnieć niezależny mechanizm nadzoru 

D. Dla osoby powinny być dostępne skuteczne środki prawne.

Ponadto przedmiotem obrad był plan działania GR Art. 29 w związku z wdrożeniem ogólnego rozporządzenia o ochronie danych.

Przedmiotem dyskusji była także opinia dotycząca publikacji danych osobowych dla celów przejrzystości w sektorze publicznym, która ma być przyjęta podczas następnego posiedzenia plenarnego GR Art. 29.

Wśród omawianych tematów znalazły się również kwestie dotyczące: przeglądu dyrektywy o prywatności i łączności elektronicznej, monitorowania pracowników, wykorzystania technologii usług w chmurze w sektorze publicznym, ratyfikacji i wdrożenia ustawodawstwa FATCA na poziomie krajowym oraz transpozycji MIFID 2 (dyrektywy w sprawie rynków instrumentów finansowych) i MAR (rozporządzenia w sprawie nadużyć na rynku).