[Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu]18 listopada 2022 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki na rzecz wysokiego poziomu interoperacyjności sektora publicznego w całej Unii (aktu w sprawie inte- roperacyjnej Europy) 1 ("wniosek"). Celem wniosku jest wsparcie interoperacyjności transgranicznej sieci i systemów informatycznych wykorzystywanych do świadczenia usług publicznych w Unii lub zarządzania tymi usługami przez ustanowienie wspólnych przepisów i ram koordynacji w zakresie interoperacyjności sektora publicznego w celu ułatwienia rozwoju interoperacyjnej transeuropejskiej infrastruktury cyfrowych usług publicznych.
EIOD uznaje korzyści płynące ze zwiększonej interoperacyjności w sektorze publicznym i z zadowoleniem przyjmuje wysiłki podjęte przez Komisję w celu zorganizowania i zinstytucjonalizowania procesu prowadzącego do osiągnięcia tego celu. EIOD przypomina jednak również, że interoperacyjność sieci i systemów informatycznych we wszystkich sektorach administracji publicznej i na wszystkich szczeblach administracji ma wpływ na jedną z najbardziej podstawowych zasad ochrony danych - zasadę celowości. W związku z tym kluczowe znaczenie ma dalsze uwzględnianie w tym procesie zagrożeń, które powstają w wyniku usunięcia barier technicznych w wymianie informacji. Z tego względu EIOD z zadowoleniem przyjmuje przepis zobowiązujący Komisję do skonsultowania się z EIOD przed udzieleniem zgody na ustanowienie piaskownic regulacyjnych w przypadkach, gdy żadna instytucja, organ lub agencja UE nie uczestniczy w tej piaskownicy, i proponuje zmianę brzmienia.
Wniosek stworzyłby podstawę prawną przetwarzania danych osobowych w piaskownicach regulacyjnych przewidzianych w art. 11 i 12 wniosku. Uwagi EIOD koncentrują się zatem na tych przepisach.
EIOD zaleca rozważenie, czy istnieją możliwe przypadki użycia piaskownic regulacyjnych, które spełniają standard konieczności, a jeżeli nie można zidentyfikować takich przypadków, usunięcie z wniosku podstawy prawnej przetwarzania danych osobowych. Wskazuje on dalej przepisy, które wydają się pozbawione treści regulacyjnej, i proponuje ich zmianę, tak aby przynosiły one wartość dodaną. EIOD sugeruje także wprowadzenie dodatkowego zabezpieczenia w celu zagwarantowania, że dane testowe nie staną się ponownie danymi w środowisku produkcyjnym, zwłaszcza po ich wzbogaceniu o dane pochodzące od innych uczestników. Proponuje ponadto, by zobowiązać uczestników piaskownic regulacyjnych do dostarczania informacji niezbędnych do przeprowadzenia oceny ochrony danych przez organ nadzorczy, gdy zwracają się do Komisji o ustanowienie piaskownicy, oraz proponuje zmiany mające na celu lepsze reagowanie na sytuacje, w których kilka organów nadzorczych ma kompetencje do oceny proponowanego przetwarzania w ramach piaskownicy regulacyjnej.
1. WPROWADZENIE
1. 18 listopada 2022 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki na rzecz wysokiego poziomu interoperacyjności sektora publicznego w całej Unii (aktu w sprawie interoperacyjnej Europy) ("wniosek").
2. Celem wniosku jest wsparcie interoperacyjności transgranicznej sieci i systemów informatycznych wykorzystywanych do świadczenia usług publicznych w Unii lub zarządzania tymi usługami przez ustanowienie wspólnych przepisów i ram koordynacji w zakresie interoperacyjności sektora publicznego w celu ułatwienia rozwoju interoperacyjnej transeuropejskiej infrastruktury cyfrowych usług publicznych. Inicjatywa ma na celu przede wszystkim:
- zapewnienie spójnego, ukierunkowanego na człowieka podejścia UE do interoperacyjności - od przygotowania polityki po jej wdrożenie;
- ustanowienie struktury zarządzania mającej na celu umożliwienie współpracy organów administracji publicznej na wszystkich szczeblach i we wszystkich sektorach, a także zainteresowanych podmiotów prywatnych, obejmującej jasno określone uprawnienia do uzgadniania wspólnych rozwiązań interoperacyjnych (np. ram, otwartych specyfikacji, standardów otwartych, aplikacji lub wytycznych);
- współtworzenie ekosystemu rozwiązań interoperacyjnych na potrzeby sektora publicznego UE, tak aby organy administracji publicznej na wszystkich szczeblach w UE i inne zainteresowane strony mogły wnosić wkład w takie rozwiązania i ponownie je wykorzystywać, a także wspólnie wprowadzać innowacje i tworzyć wartość publiczną.
3. Dostrzeżono potrzebę podjęcia bardziej zdecydowanych działań w tej dziedzinie i zapowiedziano konkretne działania w kilku komunikatach Komisji, m.in. w komunikatach "Kształtowanie cyfrowej przyszłości Europy" 2 , "Europejska strategia w zakresie danych" 3 , "Określenie i usuwanie barier na jednolitym rynku" 4 oraz "Cyfryzacja wymiaru sprawiedliwości w Unii Europejskiej Wachlarz możliwości" 5 . Ponadto Rada Europejska wezwała do stworzenia wzmocnionych ram interoperacyjności w swoim komunikacie do delegatur w sprawie konkluzji z nadzwyczajnego posiedzenia 1 i 2 października 2020 r. 6 Inicjatywę tę uwzględniono w programie prac Komisji na 2022 r. (załącznik dotyczący REFIT) 7 .
4. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 18 listopada 2022 r., zgodnie z art. 42 ust. 1 EUDPR 8 . Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje odniesienie się do tych konsultacji w motywie 40 wniosku. W tym względzie EIOD z zadowoleniem zauważa również, że uprzednio przeprowadzono już z nim nieformalne konsultacje, zgodnie z motywem 60 EUDPR.
6. PODSUMOWANIE
27. W świetle powyższego EIOD wydaje następujące zalecenia:
(1) rozważyć, czy istnieją możliwe przypadki użycia piaskownic regulacyjnych, które spełniają standard, a jeżeli nie można zidentyfikować takiego przypadku, usunąć z wniosku podstawę prawną przetwarzania danych osobowych;
(2) dalej określić odpowiednie cele interesu publicznego w kontekście przyszłego rozporządzenia oraz bardziej szczegółowo określić konkretny cel, o którym mowa w art. 23 ust. 1 RODO 9 i art. 25 ust. 1 EUDPR;
(3) zmienić art. 12 ust. 6 lit. f) wniosku, tak aby zawierał on wymóg zapewnienia przez uczestników piaskownicy skutecznych rozwiązań technicznych i organizacyjnych służących wykonaniu praw osób, których dane dotyczą;
(4) zmienić art. 12 ust. 6 wniosku, tak aby zakazać wszelkich następczych zmian celu i zagwarantować, by dane testowe nie stały się ponownie danymi w środowisku produkcyjnym, zwłaszcza po ich wzbogaceniu o dane pochodzące od innych uczestników;
(5) zmienić art. 11 ust. 5 w taki sposób, aby we wniosku w rozumieniu art. 11 ust. 5 określić cel przetwarzania, zaangażowane podmioty, ich role, kategorie odnośnych danych, ich źródła oraz przewidywany okres przechowywania, a także aby nakazać, by ocena skutków dla ochrony danych była prowadzona lub zakończona.
Bruksela, dnia 13 stycznia 2023 r.
1 (COM(2022) 720 final)
2 Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Kształtowanie cyfrowej przyszłości Europy (COM(2020) 67 final).
3 Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów "Europejska strategia w zakresie danych", 19 lutego 2020 r. (COM(2020) 66 final).
4 Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie określenia i usuwania barier na jednolitym rynku (COM(2020) 93 final).
5 Komunikat Komisji "Cyfryzacja wymiaru sprawiedliwości w Unii Europejskiej Wachlarz możliwości" (COM(2020) 710 final).
6 Komunikat Sekretariatu Generalnego Rady do delegacji w sprawie konkluzji z nadzwyczajnego posiedzenia Rady Europejskiej (1 i 2 października 2020 r.) (EUCO 13/20).
7 Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów "Program prac Komisji na 2022 r. Razem czynimy Europę silniejszą", (COM(2021) 645 final).
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39.)
9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1.)
