Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania (2020/2717(RSP))

Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania (2020/2717(RSP))

(2021/C 494/11)

(Dz.U.UE C z dnia 8 grudnia 2021 r.)

Parlament Europejski,

- uwzględniając art. 8 Karty praw podstawowych,

- uwzględniając art. 16 Traktatu o funkcjonowaniu Unii Europejskiej,

- uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) 1 ,

- uwzględniając oświadczenie Komisji z 24 czerwca 2020 r. dotyczące komunikatu Komisji do Parlamentu Europejskiego i Rady pt. "Ochrona danych jako filar wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej - dwa lata stosowania ogólnego rozporządzenia o ochronie danych";

- uwzględniając komunikat Komisji z 24 czerwca 2020 r. do Parlamentu Europejskiego i Rady pt. "Ochrona danych jako filar wzmacniania pozycji obywateli oraz podejścia UE do transformacji cyfrowej - dwa lata stosowania ogólnego rozporządzenia o ochronie danych" (COM(2020)0264),

- uwzględniając komunikat Komisji z 24 lipca 2019 r. pt. "Przepisy dotyczące ochrony danych jako czynnik sprzyjający zaufaniu w UE i poza nią - podsumowanie" (COM(2019)0374),

- uwzględniając przyjęty 18 lutego 2020 r. wkład Europejskiej Rady Ochrony Danych (EROD) w ocenę RODO na podstawie art. 97 2 ,

- uwzględniając dokument EROD pt. "Pierwszy przegląd wdrażania RODO oraz roli i środków krajowych organów nadzorczych" z 26 lutego 2019 r. 3 ,

- uwzględniając wytyczne przyjęte przez EROD na podstawie art. 70 ust. 1 lit. e) RODO,

- uwzględniając art. 132 ust. 2 Regulaminu,

- uwzględniając projekt rezolucji Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych,

A. mając na uwadze, że RODO stosowane jest od 25 maja 2018 r.; mając na uwadze, że z wyjątkiem Słowenii wszystkie państwa członkowskie przyjęły nowe przepisy lub dostosowały krajowe przepisy o ochronie danych;

B. mając na uwadze, że według badania dotyczącego praw podstawowych przeprowadzonego przez Agencję Praw Podstawowych osoby fizyczne są coraz bardziej świadome swoich praw wynikających z RODO; mając na uwadze, że pomimo faktu, iż organizacje wprowadziły środki ułatwiające wykonywanie praw osób, których dane dotyczą, osoby fizyczne nadal napotykają trudności, gdy próbują skorzystać z tych praw, w szczególności z prawa dostępu, możliwości przenoszenia i zwiększonej przejrzystości;

C. mając na uwadze, że od rozpoczęcia stosowania RODO znacznie wzrosła liczba skarg kierowanych do organów nadzorczych; mając na uwadze, że oznacza to, iż osoby, których dane dotyczą, są bardziej świadome swoich praw i chcą chronić swoje dane osobowe zgodnie z przepisami RODO; mając na uwadze, że świadczy to również o tym, że w dalszym ciągu dochodzi do ogromnej liczby przypadków, w których dane przetwarza się niezgodnie z prawem;

D. mając na uwadze, że wiele przedsiębiorstw skorzystało z okresu przejściowego między wejściem w życie RODO a rozpoczęciem jego stosowania do celów "wiosennego przeglądu" danych, aby ocenić, jakie przetwarzanie danych faktycznie ma miejsce, a jakie może nie być już potrzebne lub uzasadnione;

E. mając na uwadze, że wiele organów ochrony danych nie jest w stanie poradzić sobie z liczbą skarg; mając na uwadze, że wiele organów ochrony danych nie zatrudnia wystarczającej liczby pracowników ani nie dysponuje wystarczającą ilością zasobów oraz brakuje im dostatecznej liczby ekspertów w dziedzinie technologii informacyjnych;

F. mając na uwadze, że w RODO uznano, iż prawo państw członkowskich powinno godzić przepisy regulujące wolność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, artystycznej lub literackiej, z prawem do ochrony danych osobowych; mając na uwadze, że zgodnie z art. 85 ustawodawstwo państw członkowskich powinno przewidywać wyjątki dla przetwarzania danych do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej, jeżeli są one niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji;

G. mając na uwadze, że - jak podkreśliła również EROD - ochrona źródeł dziennikarskich jest podstawą wolności prasy; mając na uwadze, że przepisów RODO nie powinno się nadużywać przeciwko dziennikarzom ani w celu ograniczania dostępu do informacji; mając na uwadze, że w żadnym wypadku organy krajowe nie powinny wykorzystywać przepisów RODO w celu ograniczania wolności mediów;

Uwagi ogólne

1. z zadowoleniem przyjmuje fakt, że RODO stało się światową normą ochrony danych osobowych i jest czynnikiem konwergencji przy opracowywaniu norm; z zadowoleniem przyjmuje fakt, że dzięki RODO Unia Europejska objęła przewodnią rolę w międzynarodowej dyskusji na temat ochrony danych, a wiele państw trzecich dostosowało swoje przepisy o ochronie danych do przepisów RODO; zwraca uwagę, że konwencję nr 108 Rady Europy o ochronie danych dostosowano do RODO ("konwencja 108+") i podpisały ją już 42 kraje; wzywa Komisję i państwa członkowskie do wykorzystania tego impulsu, aby na szczeblu ONZ, OECD, G8 i G20 dążyć do stworzenia międzynarodowych norm, które byłyby ukształtowane na wzór wartości i zasad europejskich bez osłabiania przepisów RODO; podkreśla, że dominująca pozycja Europy w tej dziedzinie pomogłaby naszemu kontynentowi lepiej bronić praw naszych obywateli, chronić nasze wartości i zasady, wspierać godne zaufania innowacje cyfrowe oraz przyspieszyć wzrost gospodarczy poprzez unikanie fragmentacji;

2. stwierdza, że po dwóch latach od rozpoczęcia stosowania RODO rozporządzenie to odniosło ogólny sukces, i podziela opinię Komisji, że na obecnym etapie nie ma konieczności jego aktualizacji ani przeglądu;

3. przyznaje, że do czasu następnej oceny Komisji należy nadal koncentrować się na poprawie sposobów wdrażania i działań mających na celu wzmocnienie stosowania RODO;

4. uznaje potrzebę zdecydowanego i skutecznego egzekwowania przepisów RODO przez duże platformy cyfrowe, zintegrowane przedsiębiorstwa i inne usługi cyfrowe, zwłaszcza w obszarach reklamy internetowej, mikrotargetowania, profilowania algorytmicznego i rankingu, rozpowszechniania i wzmacniania oddziaływania treści;

Podstawy prawne przetwarzania danych

5. podkreśla, że wszystkie sześć podstaw prawnych określonych w art. 6 RODO odnosi się w równym stopniu do przetwarzania danych osobowych oraz że ta sama czynność przetwarzania może opierać się na więcej niż jednej podstawie; wzywa organy odpowiedzialne za nadzór nad ochroną danych do sprecyzowania, że administratorzy danych powinni stosować tylko jedną podstawę prawną dla każdego celu przetwarzania, oraz do określenia, w jaki sposób każdą podstawę prawną wykorzystuje się do prowadzonych przez nich operacji przetwarzania; jest zaniepokojony faktem, że w polityce prywatności administratorzy często wymieniają wszystkie podstawy prawne przewidziane w RODO bez dalszych wyjaśnień i bez odniesienia do konkretnej operacji przetwarzania; uważa, że praktyka ta utrudnia osobom, których dane dotyczą, i organom nadzorczym możliwość oceny, czy takie podstawy prawne są odpowiednie; przypomina, że aby przetwarzać szczególne kategorie danych osobowych, konieczne jest określenie podstawy prawnej na mocy art. 6 oraz odrębnego warunku przetwarzania na mocy art. 9; przypomina administratorom o ich prawnym obowiązku przeprowadzenia oceny skutków dla ochrony danych, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;

6. przypomina, że od rozpoczęcia stosowania RODO "zgoda" oznacza każde dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą; podkreśla, że ma to również zastosowanie do dyrektywy o e-prywatności; zauważa, że wdrożenie ważnej zgody wciąż jest naruszane przez stosowanie tzw. dark patterns (zwodniczych interfejsów, które nakłaniają użytkowników do określonego zachowania), śledzenie w celach handlowych oraz stosowanie innych nieetycznych praktyk; zauważa z niepokojem, że osoby fizyczne często poddawane są presji finansowej polegającej na udzieleniu zgody w zamian za zniżki lub inne oferty handlowe, bądź też są zmuszane do wyrażenia zgody za sprawą wiązanych przepisów warunkujących dostęp do usługi, co jest sprzeczne z art. 7 RODO; przypomina o zharmonizowanych przepisach Europejskiej Rady Ochrony Danych (EROD) dotyczących tego, co stanowi ważną zgodę, zastępujących poszczególne interpretacje przez wiele krajowych organów ochrony danych i zapobiegających fragmentacji na jednolitym rynku cyfrowym; przypomina również wytyczne EROD i Komisji określające, że w przypadkach, w których osoba, której dane dotyczą, początkowo wyraziła zgodę, ale dane osobowe są dalej przetwarzane w innym celu niż cel, na który osoba ta wyraziła zgodę, początkowo wyrażona zgoda nie może uzasadniać dalszego przetwarzania, ponieważ zgodę należy wyrazić świadomie i w konkretnym celu, aby była ważna; odnotowuje opracowywane wytyczne EROD dotyczące przetwarzania danych osobowych do celów badań naukowych, które to wytyczne zapewnią jasność co do znaczenia motywu 50 RODO;

7. wyraża zaniepokojenie faktem, że "prawnie uzasadniony interes" jest bardzo często nadużywany jako podstawa prawna przetwarzania; zwraca uwagę, że administratorzy nadal działają w oparciu o prawnie uzasadniony interes bez przeprowadzania wymaganego testu równowagi interesów, który obejmuje ocenę przestrzegania praw podstawowych; jest szczególnie zaniepokojony faktem, że niektóre państwa członkowskie przyjmują przepisy krajowe w celu określenia warunków przetwarzania w oparciu o prawnie uzasadniony interes, przewidując równowagę odpowiednich interesów administratora i osób, których dane dotyczą, podczas gdy RODO zobowiązuje każdego administratora do indywidualnego przeprowadzenia testu równowagi interesów i skorzystania z tej podstawy prawnej; wyraża zaniepokojenie faktem, że niektóre krajowe wykładnie prawnie uzasadnionego interesu nie są zgodne z motywem 47 i faktycznie zakazują przetwarzania na podstawie prawnie uzasadnionego interesu; z zadowoleniem przyjmuje fakt, że EROD rozpoczęła już prace nad aktualizacją opinii Grupy Roboczej Art. 29 w sprawie stosowania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania w celu uwzględnienia kwestii podniesionych w sprawozdaniu Komisji;

Prawa osoby, której dane dotyczą

8. podkreśla potrzebę ułatwienia wykonywania określonych w RODO praw osób fizycznych, takich jak prawo do przenoszenia danych lub prawa związane ze zautomatyzowanym przetwarzaniem, w tym profilowaniem; z zadowoleniem przyjmuje wytyczne EROD dotyczące zautomatyzowanego podejmowania decyzji oraz przenoszenia danych; zauważa, że w kilku sektorach prawo do przenoszenia danych nie zostało w pełni wdrożone; apeluje do EROD o zachęcenie platform internetowych do utworzenia jednego punktu kontaktowego dla wszystkich ich bazowych platform cyfrowych, z którego żądania użytkowników mogłyby być przekazywane do właściwego odbiorcy; zwraca uwagę, że zgodnie z zasadą minimalizacji danych wdrażanie prawa do anonimowości skutecznie zapobiega nieuprawnionemu ujawnianiu, kradzieży tożsamości i innym formom nadużycia danych osobowych;

9. podkreśla, że przestrzeganie prawa do informacji wymaga od przedsiębiorstw dostarczania informacji w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób oraz unikania legalistycznego podejścia przy sporządzaniu informacji o ochronie danych; wyraża zaniepokojenie tym, że niektóre przedsiębiorstwa nadal naruszają swoje obowiązki wynikające z art. 12 ust. 1 RODO i nie dostarczają wszystkich istotnych informacji zalecanych przez EROD, w tym wykazów nazw podmiotów, którym udostępniają dane; przypomina, że obowiązek dostarczania prostych i dostępnych informacji jest szczególnie ścisły w przypadku dzieci; jest zaniepokojony powszechnym brakiem właściwie funkcjonujących mechanizmów zapewniających dostęp osobom, których dane dotyczą; zwraca uwagę, że osoby fizyczne często nie są w stanie zmusić platform internetowych do ujawnienia im ich własnych profili behawioralnych; wyraża zaniepokojenie faktem, że zbyt często przedsiębiorstwa ignorują fakt, iż dane wywnioskowane są również danymi osobowymi podlegającymi wszystkim zabezpieczeniom na podstawie RODO;

Małe przedsiębiorstwa i organizacje

10. zauważa, że niektóre zainteresowane strony zgłaszają, iż stosowanie RODO stanowi szczególne wyzwanie zwłaszcza dla małych i średnich przedsiębiorstw (MŚP), przedsiębiorstw typu startup, organizacji i zrzeszeń, w tym szkół i klubów oraz stowarzyszeń; zauważa jednak, że wiele praw i obowiązków określonych w RODO nie jest nowych, ale obowiązywało już na mocy dyrektywy 95/46/WE 4 " choć rzadko je egzekwowano; uważa, że RODO i jego egzekwowanie nie może prowadzić do niezamierzonych skutków przestrzegania przepisów dla mniejszych przedsiębiorstw, których duże przedsiębiorstwa nie doświadczyłyby; uważa, że kampanie informacyjne organów krajowych i Komisji powinny zapewniać większe wsparcie, więcej informacji i szkoleń, aby pomóc w szerzeniu wiedzy, poprawie jakości wdrażania i zwiększaniu świadomości wymogów i celu RODO;

11. uważa, że nie istnieją odstępstwa dla MŚP, przedsiębiorstw typu startup, organizacji i zrzeszeń, w tym szkół, klubów czy stowarzyszeń, oraz że podlegają one zakresowi RODO; apeluje zatem do EROD o zapewnienie jasnych informacji w celu uniknięcia nieporozumień dotyczących wykładni RODO oraz do opracowania praktycznych narzędzi RODO ułatwiających wdrożenie RODO przez MŚP, przedsiębiorstwa typu startup, organizacje i zrzeszenia, w tym szkoły, kluby i stowarzyszenia prowadzące działalność w zakresie przetwarzania o niskim ryzyku; wzywa państwa członkowskie do udostępnienia organom ochrony danych wystarczających środków do rozpowszechniania wiedzy o tych praktycznych narzędziach; zachęca EROD do opracowania wzorów polityki ochrony prywatności, z których mogą korzystać organizacje, aby pomóc im w wykazaniu faktycznej zgodności z RODO w praktyce, bez konieczności polegania na kosztownych usługach świadczonych przez osoby trzecie;

Egzekwowanie

12. wyraża zaniepokojenie nierównym, a czasem nieistniejącym egzekwowaniem RODO przez krajowe organy ochrony danych po ponad dwóch latach od chwili rozpoczęcia jego stosowania i ubolewa w związku z tym na faktem, że sytuacja w zakresie egzekwowania przepisów nie uległa znacznej poprawie w porównaniu z sytuacją na mocy dyrektywy 95/46/WE;

13. zauważa, że w ciągu pierwszych 18 miesięcy stosowania RODO wpłynęło około 275 000 skarg i nałożono 785 grzywien administracyjnych za różne naruszenia, lecz zwraca uwagę, że jak dotąd podjęto działania następcze w przypadku bardzo niewielkiej liczby złożonych skarg; zdaje sobie sprawę z problemów spowodowanych naruszeniami ochrony danych osobowych i przypomina obecne wytyczne EROD, które zapewniają jasność m.in. co do harmonogramu zgłaszania naruszeń, przekazywania informacji osobom, których dane dotyczą, oraz środków zaradczych; zauważa, że europejski standardowy formularz zgłoszenia naruszenia ochrony danych może przyczynić się do ujednolicenia rożnych krajowych sposobów podejścia; ubolewa jednak, że wysokość grzywien różni się znacznie w poszczególnych państwach członkowskich oraz że niektóre grzywny nakładane na duże przedsiębiorstwa są zbyt niskie, aby wywierały zamierzony skutek odstraszający od naruszania ochrony danych; wzywa organy ochrony danych do zintensyfikowania działań w zakresie egzekwowania, ścigania i karania przypadków naruszenia ochrony danych oraz do pełnego wykorzystania przewidzianych w RODO możliwości nakładania grzywien i innych środków naprawczych; podkreśla, że zakazy przetwarzania lub obowiązek usunięcia danych osobowych pozyskanych w sposób niezgodny z RODO mogą mieć równie odstraszający skutek, jeśli nie większy niż grzywny; wzywa Komisję i EROD do ujednolicenia kar za pomocą wytycznych i jasnych kryteriów, co uczyniły niemieckie organy nadzorcze, w celu zwiększenia pewności prawa i zapobieżenia wybieraniu przez przedsiębiorstwa lokalizacji, w których nakładane są najniższe kary;

14. wyraża zaniepokojenie w związku z długim okresem rozpatrywania spraw przez niektóre organy ochrony danych, co nie sprzyja skutecznemu egzekwowaniu przepisów i osłabia zaufanie obywateli; wzywa organy ochrony danych do przyspieszenia rozstrzygania spraw oraz do wykorzystania pełnego zakresu możliwości przewidzianych w RODO, zwłaszcza jeżeli dochodzi do systematycznych i uporczywych naruszeń, w tym naruszeń w celu osiągnięcia korzyści i dotykających dużej liczby osób, których dane dotyczą;

15. jest zaniepokojony faktem, że organy nadzorcze w 21 państwach członkowskich z łącznie 31 państw stosujących RODO, a zwłaszcza we wszystkich państwach członkowskich Unii Europejskiej, Europejskiego Obszaru Gospodarczego i w Zjednoczonym Królestwie, wyraźnie oświadczyły, że brakuje im wystarczających zasobów ludzkich, technicznych i finansowych oraz lokalowych i infrastruktury, aby skutecznie wykonywać powierzone im obowiązki i uprawnienia; jest zaniepokojony brakiem oddelegowanego personelu technicznego w większości organów nadzorczych w UE, co utrudnia prowadzenie postępowań i egzekwowanie przepisów; z zaniepokojeniem zauważa, że organy nadzorcze znajdują się pod presją ze względu na rosnące niedopasowanie ich obowiązków w zakresie ochrony danych osobowych do zasobów, którymi dysponują w tym celu; zauważa, że usługi cyfrowe staną się coraz bardziej złożone z uwagi na zwiększone wykorzystanie innowacji takich jak sztuczna inteligencja (co pogłębi problem ograniczonej przejrzystości przetwarzania danych, zwłaszcza w przypadku szkoleń algorytmicznych); podkreśla w związku z tym, jak ważne jest, by organy

16. wzywa Komisję, aby przeprowadziła ocenę możliwości zobowiązania dużych wielonarodowych przedsiębiorstw technologicznych do uiszczania opłat za prowadzony nad nimi nadzór przez wprowadzenie unijnego podatku cyfrowego;

17. zauważa z zaniepokojeniem, że brak egzekwowania przepisów przez organy ochrony danych oraz brak działań ze strony Komisji w odniesieniu do niewystarczających zasobów organów ochrony danych nakłada ciężar egzekwowania przepisów na poszczególnych obywateli, którzy wnoszą skargi w sprawie ochrony danych do sądu; wyraża zaniepokojenie faktem, że sądy nakazują czasami wypłacenie odszkodowania indywidualnym skarżącym, lecz nie nakazują organizacji lub przedsiębiorstwu rozwiązania problemów strukturalnych; uważa, że egzekwowanie przepisów na drodze prywatnoprawnej może doprowadzić do powstania istotnego orzecznictwa, lecz nie zastępuje egzekwowania przez organy ochrony danych ani działań Komisji służących rozwiązaniu problemu braku zasobów; wyraża ubolewanie, że te państwa członkowskie naruszają art. 52 ust. 4 RODO; wzywa zatem państwa członkowskie do wypełnienia spoczywającego na nich na mocy art. 52 ust. 4 prawnego obowiązku przydzielenia wystarczających środków ich organom ochrony danych, aby umożliwić im jak najlepsze wykonywanie pracy i zapewnić równe szanse w zakresie egzekwowania RODO na szczeblu europejskim; ubolewa nad faktem, że Komisja nie wszczęła jeszcze postępowań w sprawie uchybienia zobowiązaniom państwa członkowskiego przeciwko państwom członkowskim, które nie wypełniły swoich zobowiązań wynikających z RODO, oraz wzywa Komisję do niezwłocznego wszczęcia takich postępowań; wzywa Komisję i EROD do zorganizowania działań następczych w związku z komunikatem Komisji z 24 czerwca 2020 r., w ramach których ocenione zostanie stosowanie RODO oraz jego egzekwowanie;

18. ubolewa, że większość państw członkowskich postanowiła nie wdrażać art. 80 ust. 2 RODO; wzywa wszystkie państwa członkowskie, aby stosowały art. 80 ust. 2 i wdrożyły prawo do wnoszenia skarg i występowania z powództwem do sądu bez upoważnienia osoby, której dane dotyczą; wzywa państwa członkowskie, aby wyjaśniły sytuację skarżących w trakcie postępowania w krajowych przepisach dotyczących procedur administracyjnych mających zastosowanie do organów nadzorczych; zwraca uwagę, że dzięki temu zostanie wyjaśnione, że skarżący nie są ograniczeni do biernej roli w trakcie postępowania, lecz powinni mieć możliwość interweniowania na różnych etapach;

Współpraca i spójność

19. podkreśla, że niedostateczne egzekwowanie przepisów jest szczególnie widoczne w przypadku skarg trans- granicznych, i ubolewa, że organy ochrony danych w 14 państwach członkowskich nie dysponują wystarczającymi zasobami, aby uczestniczyć w mechanizmach współpracy i spójności; wzywa EROD do wzmożenia wysiłków na rzecz zapewnienia prawidłowego stosowania art. 60 i 63 RODO oraz przypomina organom nadzorczym, że w wyjątkowych okolicznościach mogą one zastosować tryb pilny przewidziany w art. 66, a w szczególności przyjąć środki tymczasowe;

20. podkreśla znaczenie mechanizmu kompleksowej współpracy dla zapewnienia pewności prawa i zmniejszenia obciążenia administracyjnego zarówno dla przedsiębiorstw, jak i dla obywateli; wyraża jednak głębokie zaniepokojenie funkcjonowaniem tego mechanizmu, zwłaszcza w odniesieniu do roli organów ochrony danych w Irlandii i Luksemburgu; zauważa, że te organy ochrony danych są odpowiedzialne za rozpatrywanie wielu spraw, ponieważ wiele przedsiębiorstw technologicznych zarejestrowało swoją siedzibę w UE w Irlandii lub Luksemburgu; jest szczególnie zaniepokojony tym, że irlandzki organ ochrony danych zazwyczaj zamyka większość spraw bez nakładania sankcji oraz że sprawy przekazane Irlandii w 2018 r. nie osiągnęły nawet etapu projektu decyzji zgodnie z art. 60 ust. 3 RODO; apeluje do tych organów ochrony danych o przyspieszenie trwających dochodzeń w ważnych sprawach, aby pokazać obywatelom UE, że ochrona danych jest prawem egzekwowalnym w UE; zwraca uwagę, że powodzenie systemu kompleksowej obsługi zależy od czasu i wysiłku, jakie organy ochrony danych mogą przeznaczyć na rozpatrywanie poszczególnych spraw transgranicznych i współpracę w tych sprawach w ramach EROD, oraz że brak woli politycznej i zasobów ma bezpośredni wpływ na to, w jakim zakresie system ten może właściwie funkcjonować;

21. zauważa niespójność między wytycznymi państw członkowskich a wytycznymi EROD; zwraca uwagę, że krajowe organy ochrony danych mogą stosować różne interpretacje RODO, co prowadzi do różnic w stosowaniu w poszczególnych państwach członkowskich; zauważa, że sytuacja ta przynosi przedsiębiorstwom zarówno korzyści, jak i niedogodności wynikające z położenia geograficznego; wzywa Komisję do przeprowadzenia oceny, czy krajowe procedury administracyjne utrudniają pełną skuteczność współpracy zgodnie z art. 60 RODO, i jej skuteczne wdrożenie; apeluje do organów ochrony danych, aby dążyły do ustalenia spójnych interpretacji i wytycznych za pośrednictwem EROD; wzywa w szczególności EROD do ustanowienia podstawowych elementów wspólnej administracyjnej procedury rozpatrywania skarg w sprawach transgranicznych w ramach współpracy, o której mowa w art. 60; wzywa do uczynienia tego za pomocą wytycznych dotyczących wspólnych ram czasowych prowadzenia dochodzeń i przyjmowania decyzji; wzywa EROD do zwiększenia skuteczności mechanizmu spójności i uczynienia go wiążącym dla wszelkich kwestii o zasięgu ogólnym lub wszelkich przypadków mających skutki transgraniczne, aby uniknąć niespójnych sposobów podejścia i decyzji poszczególnych organów ochrony danych, zagrażających jednolitej interpretacji i jednolitemu stosowaniu RODO; uważa, że taka wspólna interpretacja, stosowanie i wytyczne przyczynią się do utworzenia i powodzenia jednolitego rynku cyfrowego;

22. wzywa EROD do publikowania z wyprzedzeniem porządków obrad posiedzeń oraz do przedstawiania opinii publicznej i Parlamentowi bardziej szczegółowych podsumowań swoich posiedzeń;

Fragmentaryczne wdrażanie RODO

23. ubolewa, że stosowanie przez państwa członkowskie opcjonalnych klauzul doprecyzowujących (np. przetwarzanie w interesie publicznym lub przez organy publiczne na podstawie prawa państwa członkowskiego i wieku dzieci wymaganego do wyrażenia zgody) utrudniło osiągnięcie pełnej harmonizacji ochrony danych i wyeliminowanie różnych warunków rynkowych dla przedsiębiorstw w całej UE, i wyraża zaniepokojenie, że może to zwiększyć koszty przestrzegania RODO; wzywa EROD do przedstawienia wytycznych dotyczących sposobu postępowania w przypadku różnic we wdrażaniu opcjonalnych klauzul doprecyzowujących w państwach członkowskich; wzywa Komisję do wykorzystania jej uprawnień do interwencji w państwach członkowskich, w których krajowe środki, działania i decyzje podważają ducha, cel i treść RODO, aby zapobiec nierównej ochronie obywateli i zakłóceniom na rynku; podkreśla w tym kontekście, że państwa członkowskie przyjęły różne limity wiekowe w odniesieniu do zgody rodziców; wzywa zatem Komisję i państwa członkowskie do oceny wpływu tej fragmentacji na aktywność dzieci w internecie i ich ochronę; podkreśla, że w przypadku kolizji przepisów między prawem krajowym państwa członkowskiego a RODO pierwszeństwo powinny mieć przepisy RODO;

24. jest głęboko zaniepokojony nadużywaniem RODO przez organy publiczne w niektórych państwach członkowskich w celu ograniczenia pracy dziennikarzy i organizacji pozarządowych; zdecydowanie zgadza się z Komisją, że przepisy dotyczące ochrony danych nie powinny wpływać na korzystanie z wolności wypowiedzi i informacji, zwłaszcza poprzez wywoływanie efektu mrożącego lub interpretowanie ich jako sposobu wywierania presji na dziennikarzy, aby ujawnili swoje źródła; wyraża jednak rozczarowanie faktem, że Komisja wciąż nie ukończyła oceny równowagi między prawem do ochrony danych osobowych a wolnością wypowiedzi i informacji, jak określono w art. 85 RODO; wzywa Komisję do ukończenia bez zbędnej zwłoki oceny przepisów krajowych w tym zakresie i do wykorzystania wszystkich dostępnych instrumentów, w tym postępowań w sprawie uchybienia zobowiązaniom państwa członkowskiego, w celu zapewnienia przestrzegania RODO przez państwa członkowskie oraz do ograniczenia fragmentacji ram ochrony danych;

Ochrona danych w fazie projektowania

25. wzywa organy nadzorcze do oceny wdrożenia art. 25 dotyczącego ochrony danych w fazie projektowania oraz domyślnej ochrony danych, w szczególności w celu zapewnienia środków technicznych i operacyjnych niezbędnych do stosowania zasad minimalizacji danych i ograniczenia celu, a także do określenia wpływu tego przepisu na producentów technologii przetwarzania; z zadowoleniem przyjmuje fakt, że EROD przyjęła w październiku 2020 r. wytyczne nr 04/2019 w sprawie art. 25 dotyczącego ochrony danych już w fazie projektowania i domyślnej ochrony danych, aby przyczynić się do jasności prawnej tych pojęć; wzywa organy nadzorcze do przeprowadzenia również oceny właściwego stosowania ustawień domyślnych, zgodnie z art. 25 ust. 2, w tym przez dużych dostawców usług internetowych; zaleca, aby EROD przyjęła wytyczne w celu określenia, w jakich szczególnych okolicznościach i przypadkach (lub kategoriach przypadków) należy uznać producentów ICT za administratorów w rozumieniu art. 4 ust. 7 w tym znaczeniu, że ustalają oni sposoby przetwarzania; zwraca uwagę, że praktyki w zakresie ochrony danych nadal w dużej mierze opierają się na zadaniach manualnych i arbitralnych formatach oraz w dużym stopniu na niekompatybilnych systemach; wzywa EROD do opracowania wytycznych, które pomogą w praktycznym wdrażaniu wymogów w zakresie ochrony danych, w tym wytycznych dotyczących ocen skutków dla ochrony danych (art. 35), ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25), informacji skierowanych do osób, których dane dotyczą (art. 12-14), wykonywaniu praw osób, których dane dotyczą (art. 15-18, 20-21) oraz rejestrowania czynności przetwarzania (art. 30); wzywa EROD do zadbania o to, by takie wytyczne były łatwe w stosowaniu, a także do umożliwienia komunikacji maszyna-maszyna między osobami, których dane dotyczą, administratorami danych i organami ochrony danych (automatyzacja ochrony danych); wzywa Komisję do opracowania, w ścisłej współpracy z EROD, znaków graficznych nadających się do odczytu maszynowego zgodnie z art. 12 ust. 8 w celu informowania osób, których dane dotyczą; zachęca EROD i organy nadzorcze do wykorzystania pełnego potencjału art. 21 ust. 5 dotyczącego zautomatyzowanych sposobów wnoszenia sprzeciwu wobec przetwarzania danych osobowych;

Wytyczne

26. wzywa EROD do zharmonizowania wdrażania wymogów ochrony danych w praktyce poprzez opracowanie wytycznych, w tym konieczności oceny ryzyka związanego z przekazywaniem informacji o przetwarzaniu osobom, których dane dotyczą (art. 12-14), wykonywania praw osób, których dane dotyczą (art. 15-18 i art. 20-21) oraz wdrażania zasady rozliczalności; wzywa EROD do wydania wytycznych klasyfikujących różne uzasadnione przypadki użycia profilowania według zagrożeń dla praw i wolności osób, których dane dotyczą, wraz z zaleceniami dotyczącymi odpowiednich środków technicznych i organizacyjnych, a także z jasnym opisem niezgodnych z prawem przypadków użycia; zachęca EROD do przeglądu opinii 05/2014 Grupy Roboczej Art. 29 z 10 kwietnia 2014 r. w sprawie technik anonimizacji oraz do ustalenia wykazu jednoznacznych kryteriów w celu zapewnienia anonimizacji; zachęca EROD do sprecyzowania pojęcia przetwarzania danych do celów związanych z zasobami ludzkimi; przyjmuje do wiadomości wniosek EROD, że należy utrzymać potrzebę oceny ryzyka związanego z przetwarzaniem danych, jak określono w RODO, ponieważ ryzyko dla osób, których dane dotyczą, nie jest powiązane z wielkością administratorów danych; apeluje o lepsze wykorzystanie mechanizmu, za pomocą którego Komisja może zwracać się do EROD o poradę w kwestiach objętych RODO;

27. zauważa, że pandemia COVID-19 uwypukliła potrzebę jasnych wytycznych ze strony organu ochrony danych i EROD w sprawie właściwego wdrażania RODO w polityce zdrowia publicznego; przypomina w związku z tym wytyczne nr 3/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19 oraz wytyczne nr 4/2020 w sprawie wykorzystywania danych dotyczących lokalizacji i narzędzi ustalania kontaktów zakaźnych w kontekście pandemii COVID-19; wzywa Komisję do zapewnienia pełnej zgodności z RODO przy tworzeniu wspólnej europejskiej przestrzeni danych dotyczących zdrowia;

Międzynarodowy przepływ danych osobowych i współpraca międzynarodowa

28. podkreśla znaczenie umożliwienia swobodnego przepływu danych osobowych na szczeblu międzynarodowym bez obniżania poziomu ochrony zapewnianego przez RODO; popiera stosowaną przez Komisję praktykę rozdzielania kwestii ochrony danych i przepływu danych osobowych od umów handlowych; uważa, że współpraca międzynarodowa w dziedzinie ochrony danych i zbliżanie odpowiednich przepisów z RODO zwiększą wzajemne zaufanie, pomogą lepiej zrozumieć wyzwania technologiczne i prawne, a ostatecznie ułatwią transgraniczne przepływy danych, które mają kluczowe znaczenie dla handlu międzynarodowego; przyznaje, że istnieją sprzeczne wymogi prawne dotyczące przedsiębiorstw prowadzących działalność związaną z przetwarzaniem danych w UE oraz w jurysdykcjach państw trzecich, zwłaszcza w Stanach Zjednoczonych;

29. podkreśla, że decyzje stwierdzające odpowiedni stopień ochrony powinny mieć podłoże prawne, a nie polityczne; zachęca do dalszych wysiłków na rzecz promowania globalnych ram prawnych umożliwiających przekazywanie danych na podstawie RODO i konwencji Rady Europy nr 108+; zauważa ponadto, że zainteresowane strony uważają decyzje stwierdzające odpowiedni stopień ochrony za podstawowy instrument w przypadku takiego przepływu danych, ponieważ nie wiążą ich z dodatkowymi warunkami lub zezwoleniami; podkreśla jednak, że jak dotąd decyzje stwierdzające odpowiedni stopień ochrony przyjęto tylko w przypadku dziewięciu państw, mimo że wiele kolejnych państw trzecich przyjęło niedawno nowe przepisy dotyczące ochrony danych, zawierające podobne reguły i zasady jak RODO; zauważa, że do chwili obecnej żaden jednolity mechanizm gwarantujący zgodne z prawem przekazywanie danych osobowych o charakterze handlowym między UE a USA nie był przedmiotem postępowania sądowego przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE);

30. wyraża zadowolenie z powodu przyjęcia przez UE i Japonię pierwszej wzajemnej decyzji stwierdzającej odpowiedni stopień ochrony, dzięki której stworzono największy obszar swobodnego i bezpiecznego przepływu danych na świecie; wzywa jednak Komisję do uwzględnienia wszystkich kwestii poruszonych przez Parlament w pierwszym przeglądzie tego instrumentu oraz do jak najszybszego publicznego udostępnienia wyników, ponieważ przegląd powinien był zostać przyjęty do stycznia 2021 r.;

31. wzywa Komisję do opublikowania zestawu kryteriów służących do określenia, czy państwo trzecie zapewnia odpowiedni stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii, zwłaszcza w odniesieniu do dostępu do środków ochrony prawnej i rządowego dostępu do danych; podkreśla potrzebę zapewnienia skutecznego stosowania i przestrzegania przepisów dotyczących przekazywania lub ujawniania niedozwolonego na mocy prawa Unii zgodnie z art. 48 RODO, w szczególności w odniesieniu do żądania przez organy państwa trzeciego dostępu do danych osobowych w Unii, oraz wzywa EROD i organy ochrony danych do określenia wytycznych i egzekwowania tych przepisów, w tym przy ocenie i opracowywaniu mechanizmów przekazywania danych osobowych;

32. wzywa Komisję do przyjęcia aktów delegowanych w celu określenia wymogów, które należy uwzględnić w odniesieniu do mechanizmu certyfikacji w zakresie ochrony danych zgodnie z art. 42 ust. 1, aby zwiększyć wykorzystanie tego mechanizmu, wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą, jako środka międzynarodowego przekazywania danych, jak przewidziano w art. 46 ust. 2 lit. f);

33. przypomina, że programy masowego nadzoru obejmujące masowe zbieranie danych utrudniają ustalenie odpowiedniego stopnia ochrony; apeluje do Komisji o zastosowanie wniosków TSUE w sprawach Schrems I 5 , II 6  oraz Privacy International i in. (2020) 7  we wszystkich przeglądach decyzji stwierdzających odpowiedni stopień ochrony, a także w toczących się i przyszłych negocjacjach; przypomina, że przekazywanie oparte na wyjątkach w szczególnych sytuacjach zgodnie z art. 49 RODO powinno zdarzać się wyjątkowo; z zadowoleniem przyjmuje wytyczne EROD i organów ochrony danych w tym zakresie i wzywa te organy do zapewnienia spójnej interpretacji stosowania i kontroli takich wyjątków zgodnie z wytycznymi EROD nr 02/2018;

34. wzywa organy ochrony danych i Komisję do systematycznej oceny, czy zasady ochrony danych są stosowane w praktyce w państwach trzecich, zgodnie z orzecznictwem Trybunału Sprawiedliwości;

35. wzywa Komisję do opublikowania bez zbędnej zwłoki przeglądu decyzji stwierdzających odpowiedni stopień ochrony przyjętych na mocy dyrektywy z 1995 r.; podkreśla, że przy braku decyzji stwierdzającej odpowiedni stopień ochrony instrumentem najczęściej stosowanym do międzynarodowego przekazywania danych są standardowe klauzule umowne; zauważa, że TSUE utrzymał ważność decyzji 2010/87/UE w sprawie standardowych klauzul umownych 8 , wymagając jednocześnie oceny poziomu ochrony danych przekazywanych do państwa trzeciego oraz odpowiednich aspektów systemu prawnego tego państwa trzeciego w odniesieniu do dostępu organów publicznych do przekazywanych danych osobowych; wzywa Komisję do przyspieszenia prac nad unowocześnionymi standardowymi klauzulami umownymi dotyczącymi międzynarodowego przekazywania danych, aby zapewnić równe warunki działania dla małych i średnich przedsiębiorstw na szczeblu międzynarodowym; z zadowoleniem przyjmuje opublikowanie przez Komisję projektu standardowych klauzul umownych oraz cel, jakim jest uczynienie ich bardziej przyjaznymi dla użytkownika oraz usunięcie stwierdzonych niedociągnięć w obecnych standardach;

36. przypomina wytyczne EROD 1/2019 w sprawie kodeksów postępowania i organów monitorujących na podstawie rozporządzenia (UE) 2016/679; uznaje, że mimo zapewnienia zgodności z RODO instrument ten nie jest obecnie w wystarczającym stopniu wykorzystywany w połączeniu z prawnie wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w danym państwie trzecim do stosowania odpowiednich zabezpieczeń; podkreśla potencjał tego instrumentu w zakresie lepszego wspierania MŚP i zapewnienia większej pewności prawa w kontekście międzynarodowego przekazywania danych między różnymi sektorami;

Przyszłe przepisy unijne

37. jest zdania, że RODO, dzięki temu, że jest neutralne pod względem technologicznym, zapewnia solidne ramy regulacyjne dla powstających technologii; uważa jednak, że konieczne są dalsze wysiłki w celu rozwiązania za pomocą szczegółowych przepisów szerszych problemów związanych z cyfryzacją, takich jak występowanie monopoli i nierównowaga sił, oraz w celu dokładnego rozważenia korelacji RODO z każdą nową inicjatywą ustawodawczą, aby

zapewnić spójność i wyeliminować luki prawne; przypomina Komisji o jej obowiązku dopilnowania, by wnioski ustawodawcze, takie jak w sprawie zarządzania danymi, aktu prawnego o danych, aktu prawnego o usługach cyfrowych oraz w sprawie sztucznej inteligencji, były zawsze w pełni zgodne z RODO i dyrektywą o ochronie danych w sprawach karnych 9 ; uważa, że ostateczne teksty przyjęte przez współprawodawców w drodze negocjacji międzyinstytucjonalnych muszą być w pełni zgodne z dorobkiem prawnym w zakresie ochrony danych; ubolewa jednak, że sama Komisja nie zawsze stosuje spójne podejście do ochrony danych we wnioskach ustawodawczych; podkreśla, że odniesienie do stosowania RODO lub użycie sformułowania "z zastrzeżeniem RODO" nie oznacza automatycznie, że wniosek jest zgodny z RODO; wzywa Komisję do zasięgania opinii Europejskiego Inspektora Ochrony Danych (EIOD) i Europejskiej Rady Ochrony Danych (EROD) w przypadku, gdy w następstwie przyjęcia wniosków dotyczących aktu ustawodawczego ma to wpływ na ochronę praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych; wzywa ponadto Komisję, aby podczas przygotowywania wniosków lub zaleceń dążyła do zasięgania opinii EIOD w celu zapewnienia spójności przepisów dotyczących ochrony danych w całej Unii oraz by zawsze przeprowadzała ocenę skutków;

38. zwraca uwagę, że profilowanie, choć jedynie dozwolone na mocy art. 22 RODO po spełnieniu ścisłych i surowych warunków, jest coraz częściej stosowane, ponieważ aktywność osób fizycznych w internecie umożliwia uzyskanie pogłębionej wiedzy o ich psychice i życiu prywatnym; zauważa, że skoro profilowanie umożliwia manipulowanie zachowaniem użytkowników, gromadzenie i przetwarzanie danych osobowych dotyczących korzystania z usług cyfrowych powinno być ograniczone do zakresu niezbędnego do świadczenia usługi i dostarczania użytkownikom rachunków; wzywa Komisję do zaproponowania rygorystycznych sektorowych przepisów dotyczących ochrony danych w odniesieniu do wrażliwych kategorii danych osobowych, w przypadku których jeszcze tego nie uczyniła; postuluje ścisłe egzekwowanie RODO przy przetwarzaniu danych osobowych;

39. apeluje o wzmocnienie pozycji konsumentów, aby mogli oni podejmować świadome decyzje dotyczące konsekwencji korzystania z nowych technologii dla prywatności oraz o zapewnienie uczciwego i przejrzystego przetwarzania poprzez zapewnienie im łatwych w użyciu możliwości wyrażenia i wycofania zgody na przetwarzanie ich danych osobowych zgodnie z RODO;

Dyrektywa o ochronie danych w sprawach karnych

40. jest zaniepokojony tym, że przepisy dotyczące ochrony danych stosowane do celów ochrony danych w sprawach karnych są zdecydowanie niewystarczające, zważywszy na nowo utworzone kompetencje organów ścigania; wzywa w związku z tym Komisję do oceny dyrektywy o ochronie danych w sprawach karnych przed terminem przewidzianym w dyrektywie oraz do publicznego udostępnienia przeglądu;

Rozporządzenie o prywatności i łączności elektronicznej

41. wyraża głębokie zaniepokojenie w związku z brakiem wdrożenia przez państwa członkowskie dyrektywy o prywatności i łączności elektronicznej 10  w świetle zmian wprowadzonych przez RODO; wzywa Komisję do szybszego przeprowadzenia oceny i wszczęcia postępowań w sprawie uchybienia zobowiązaniom państwa członkowskiego wobec tych państw członkowskich, które nie wdrożyły należycie dyrektywy o prywatności i łączności elektronicznej; wyraża głębokie zaniepokojenie faktem, że opóźniona od kilku lat reforma kwestii prywatności i łączności elektronicznej doprowadzi do fragmentarycznego otoczenia prawnego w UE ze szkodą zarówno dla przedsiębiorstw, jak i obywateli; przypomina, że celem rozporządzenia o prywatności i łączności elektronicznej 11  było uzupełnienie i doprecyzowanie RODO i zbiegło się w czasie z wejściem w życie RODO; podkreśla, że reforma przepisów o prywatności i łączności elektronicznej nie może prowadzić do obniżenia obecnego poziomu ochrony zapewnianego przez RODO i dyrektywę o prywatności i łączności elektronicznej; ubolewa nad faktem, że ostateczne przyjęcie przez Radę stanowiska negocjacyjnego w sprawie wniosku dotyczącego rozporządzenia o prywatności i łączności elektronicznej zajęło cztery lata, podczas gdy Parlament przyjął swoje stanowisko negocjacyjne w październiku 2017 r.; przypomina, jak istotna jest aktualizacja przepisów o prywatności i łączności elektronicznej z lat 2002 i 2009 w celu poprawy ochrony praw podstawowych obywateli i zwiększenia pewności prawa dla przedsiębiorstw, jako że powinny one stanowić uzupełnienie RODO;

o

o o

42. zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Komisji, Radzie Europejskiej, rządom i parlamentom państw członkowskich, Europejskiej Radzie Ochrony Danych oraz Europejskiemu Inspektorowi Ochrony Danych.