Streszczenie opinii EIOD w sprawie wniosku dotyczącego rozporządzenia dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz swobodnego przepływu takich danych i uchylającego rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE.
Dz.U.UE.C.2017.164.2
Akt nieocenianyStreszczenie opinii EIOD w sprawie wniosku dotyczącego rozporządzenia dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz swobodnego przepływu takich danych i uchylającego rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE
(2017/C 164/02)
(Dz.U.UE C z dnia 24 maja 2017 r.)
Unia Europejska ogłasza nową generację norm w zakresie ochrony danych. Przyjęcie prawie rok temu ogólnego rozporządzenia o ochronie danych i dyrektywy dotyczącej ochrony danych w obszarze policji i wymiaru sprawiedliwości stanowi najbardziej ambitne przedsięwzięcie prawodawcy Unii zrealizowane do tej pory w celu zabezpieczenia praw podstawowych osoby fizycznej w epoce cyfrowej. Przyszedł czas, aby instytucje UE same dawały przykład poprzez stosowanie przepisów, które je obowiązują jako administratorów danych i przetwarzających dane. W ciągu ostatnich osiemnastu miesięcy EIOD prowadził dialog z instytucjami UE na najwyższym poziomie, aby przygotować je na nowe wyzwania związane z przestrzeganiem przepisów o ochronie danych, podkreślając nową zasadę rozliczalności za sposób przetwarzania danych. Celem niniejszej opinii jest podzielenie się przez EIOD nabytym w ciągu dwunastu lat doświadczeniem w dziedzinie niezależnego nadzoru, doradztwa w zakresie polityki i promowania, aby zaproponować ulepszenia proponowanego rozporządzenia dotyczącego przetwarzania danych osobowych przez instytucje i organy UE.
Rozporządzenie nr 45/2001 było przewodnikiem określającym bezpośrednie obowiązki administratorów danych, prawa osób, których dane dotyczą, i wyraźnie niezależny organ nadzorczy. Zadaniem UE jest zapewnienie zgodności z ogólnym rozporządzeniem o ochronie danych poprzez położenie nacisku na rozliczalność i gwarancje dla osób fizycznych, a nie na procedury. Pewne rozbieżności w przepisach regulujących przetwarzanie danych przez instytucje UE są uzasadnione, podobnie jak w treści ogólnego rozporządzenia o ochronie danych zawarto pewnie odstępstwa dotyczące sektora publicznego, powinny być one jednak ograniczone do minimum.
Z punktu widzenia osoby fizycznej ważne jest jednak, aby wspólne zasady określone unijnymi ramami dotyczącymi ochrony danych stosowano w sposób spójny niezależnie od tego, kto jest administratorem danych. Ważne jest również, aby całe ramy obowiązywały w tym samym czasie, mianowicie w maju 2018 r.; jest to termin pełnego wdrożenia ogólnego rozporządzenia o ochronie danych.
Komisja zwróciła się do EIOD z wnioskiem o wydanie opinii w sprawie wniosku zgodnie ze stałym porozumieniem zawartym pomiędzy tymi instytucjami. Europejski Inspektor Ochrony Danych jest zdania, że Komisja osiągnęła ogólną równowagę pomiędzy różnorodnymi interesami. W niniejszej opinii określono kilka obszarów wniosku, które mogłyby zostać ulepszone. Europejski Inspektor Ochrony Danych opowiada się za wprowadzeniem ulepszeń do treści proponowanego rozporządzenia, w szczególności odnośnie do ograniczeń praw osób, których dane dotyczą, i przepisu umożliwiającego instytucjom UE stosowanie w pewnych kontekstach mechanizmów certyfikacji. W odniesieniu do zadań i praw EIOD jako niezależnego organu wydaje się, że we wniosku zachowano rozsądną równowagę i odzwierciedlono zwykłe funkcje niezależnego organu ochrony danych wynikające z Karty praw podstawowych oraz potwierdzone w oparciu o najnowsze orzecznictwo Trybunału Sprawiedliwości, jako organu przestrzegania prawa, organu rozpatrywania skarg i doradcy prawodawcy w zakresie polityki mającej wpływ na ochronę danych i prywatności.
Europejski Inspektor Ochrony Danych zachęca prawodawcę Unii do osiągnięcia porozumienia w sprawie wniosku tak szybko, jak to będzie możliwe, aby umożliwić instytucjom UE wykorzystanie rozsądnego okresu przejściowego przed wejściem w życie nowego rozporządzenia.
Bruksela, dnia 15 marca 2017 r.
Giovanni BUTTARELLI | |
Europejski Inspektor Ochrony Danych |