[COM(2023) 348 final - 2023/0202 (COD)](C/2024/1578)
(Dz.U.UE C z dnia 5 marca 2024 r.)
Sprawozdawczyni: Katrīna ZARIŅA
Wniosek o konsultację |
Komisja Europejska, 13.11.2023 |
Podstawa prawna |
Artykuł 304 Traktatu o funkcjonowaniu Unii Europejskiej |
Organ odpowiedzialny |
Jednolity Rynek, Produkcja i Konsumpcja |
Data przyjęcia przez sekcję |
23.11.2023 |
Data przyjęcia na sesji plenarnej |
13.12.2023 |
Sesja plenarna nr Wynik głosowania
|
583 |
(za/przeciw/wstrzymało się) |
161/1/5 |
1. Wnioski i zalecenia |
|
1.1. Europejski Komitet Ekonomiczno-Społeczny (EKES) zasadniczo z zadowoleniem przyjmuje wniosek Komisji Europejskiej przewidujący dodatkowe przepisy proceduralne dotyczące współpracy w sytuacjach transgranicznych między organami odpowiedzialnymi za nadzór nad ochroną danych osobowych w państwach członkowskich Unii Europejskiej.
1.2. EKES uważa, że wniosek został opracowany z należytą starannością w celu zwiększenia udziału osób, których dane dotyczą, w postępowaniach w sprawie skarg transgranicznych i że wyjaśniono w nim wszystkie informacje, które muszą zostać przedstawione w chwili wnoszenia skargi, co umożliwi usprawnienie procedury.
Komitet jest zdania, że ulepszenie uregulowań zaproponowane przez Komisję jest konieczne i przyniesie konkretne korzyści wszystkim zainteresowanym stronom. W odniesieniu do organizacji (przedsiębiorstw i instytucji) nowe przepisy bardziej precyzyjnie określą ich prawo do sprawiedliwej procedury, w odniesieniu do osób fizycznych podkreślą prawo do bycia wysłuchanymi w ramach procedury rozpatrywania skarg, natomiast w odniesieniu do organów ochrony danych ułatwią współpracę i poprawią skuteczność egzekwowania przepisów.
1.3. W toku dyskusji EKES doszedł do wniosku, że zdolności i wyniki organów ochrony danych państw członkowskich odgrywają bardzo istotną rolę w skutecznym rozpatrywaniu spraw transgranicznych. Dlatego też wzywa państwa członkowskie do ścisłego monitorowania finansowania swych organów ochrony danych i do zwiększenia ich zdolności, aby osoby prywatne i przedsiębiorstwa mogły korzystać z całego potrzebnego im wsparcia.
1.4. Komitet sądzi, że wniosek ma na celu harmonizację wdrażania art. 60 ogólnego rozporządzenia o ochronie danych 1 (RODO) w państwach członkowskich oraz lepsze doprecyzowanie procedur. Po raz pierwszy wniosek harmonizuje na szczeblu państw członkowskich przebieg procedury związanej ze stosowaniem RODO. Ogólnie rzecz biorąc, Komitet z zadowoleniem przyjmuje postępy poczynione w harmonizacji wdrażania RODO oraz to, że uwzględniono różnice między przepisami krajowymi państw członkowskich. Popiera również dążenie do harmonizacji procedur i wzywa zainteresowane strony do utrzymania tego kursu i, w miarę możliwości, do rozszerzenia harmonizacji elementów procedury na wszystkie kwestie proceduralne związane ze stosowaniem RODO.
1.5. EKES przedstawił szereg sugestii, które jego zdaniem mogłyby ulepszyć wniosek Komisji oraz zaleca jego doprecyzowanie i uzupełnienie w następujący sposób:
a) dokładniejsze wyznaczenie terminów procedur oraz limitów czasowych, ilekroć jest to możliwe i właściwe,
b) wyraźne powiadomienie organów ochrony danych państw członkowskich, że skarżący powinien zawrzeć w skardze przynajmniej te informacje, o których mowa jest w załączniku do wniosku, lecz że każdy organ ochrony danych ma prawo je uzupełnić - jeżeli uzna to za konieczne - o inny zbiór fakultatywnych informacji,
c) przyznanie organom ochrony danych państw członkowskich prawa do podjęcia decyzji o tym, który język pośredniej komunikacji wydaje im się najbardziej odpowiedni do porozumiewania się między sobą podczas rozpatrywania skargi transgranicznej,
d) pozostawienie organom ochrony danych państw członkowskich możliwości decydowania, czy sprawdzają tożsamość skarżącego, wymagając dołączenia do skargi kopii dokumentu tożsamości,
e) poprawienie formularza skargi poprzez uwzględnienie prawa skarżącego do wnioskowania o poufne traktowanie przedłożonych informacji,
f) zastąpienie wykazu dokumentów identyfikacyjnych w formularzu skargi bardziej ogólnym sformułowaniem takim jak na przykład "dokument tożsamości", aby objąć nim wszystkie rodzaje dokumentów identyfikacyjnych uznanych za dopuszczalne w danym państwie członkowskim, z zastrzeżeniem dotyczącym wykorzystania prawa jazdy do celów identyfikacji osobistej wyłącznie w tych państwach członkowskich, w których jest ono uznawane za dokument tożsamości,
g) wymóg, by organy ochrony danych wykorzystywały wszystkie informacje wymagane w formularzu przedstawionym w załączniku do wniosku i by informacje te były uznawane za wystarczające nie tylko do wniesienia skargi dotyczącej transgranicznego przetwarzania, lecz również w przypadkach, w których na pierwszy rzut oka takie przetwarzanie nie miało miejsca,
h) doprecyzowanie, w jaki sposób wniosek będzie miał zastosowanie do państw Europejskiego Obszaru Gospodarczego (EOG).
1.6. EKES zwraca uwagę, że przygotowując dalsze doprecyzowania i nowe wnioski, trzeba w większym stopniu angażować partnerów społecznych i społeczeństwo obywatelskie w ich przygotowanie, ocenę i monitorowanie. Ścisła współpraca między powiązanymi stronami jest jedną z zasad dobrych rządów, a także poprawia ogólną jakość uregulowań i skuteczność ich wdrażania.
2. Uwagi ogólne
2.1. Komisja Europejska sporządziła wniosek ustanawiający dodatkowe przepisy proceduralne dotyczące współpracy w sytuacjach transgranicznych między organami odpowiedzialnymi za nadzór nad ochroną danych osobowych w państwach członkowskich Unii Europejskiej (UE), co obecnie reguluje art. 60 RODO. Komisja opracowała równolegle wspólny formularz skarg dotyczący sytuacji transgranicznych, który znajduje się w załączniku do wniosku.
2.2. Od czasu wejścia w życie RODO w 2018 r. jego monitorowanie powierzono niezależnym organom ochrony danych w państwach członkowskich. Określona w RODO zasada systemu egzekwowania opartego na "kompleksowej obsłudze" ma gwarantować spójną interpretację i spójne stosowanie RODO zgodnie z zasadą bliskości, która zapewnia wszystkim możliwość kontaktu z lokalnym organem ochrony danych i otrzymania jego odpowiedzi. W przypadku takich spraw postępowanie prowadzi "wiodący" organ ochrony danych 2 (organ ochrony danych głównej jednostki organizacyjnej administratora lub podmiotu przetwarzającego objętego postępowaniem), który jest zobowiązany do współpracy z innymi organami ochrony danych "których sprawa dotyczy", aby uzgodnić wspólne rozumienie tych kwestii (konsensus).
2.3. Wiodący organ ochrony danych musi wykonywać swoje kompetencje w ścisłej współpracy z tymi organami ochrony danych, których sprawa dotyczy. Jeżeli organy ochrony danych nie mogą osiągnąć porozumienia w sprawie wspólnego podejścia w sytuacji transgranicznej, w RODO przewidziano, że spory w określonych kwestiach wskazanych w tzw. "uzasadnionych sprzeciwach mających znaczenie dla sprawy" rozstrzyga Europejska Rada Ochrony Danych (EROD), która składa się z przewodniczących organów ochrony danych wszystkich państw członkowskich i z Europejskiego Inspektora Ochrony Danych (EIOD) i w której uczestniczy Komisja.
2.4. Wniosek stanowi uzupełnienie RODO polegające na dookreśleniu przepisów proceduralnych dotyczących zasadniczych etapów postępowania w sprawie skargi ustanowionego w RODO. Ma na celu zapewnienie spójnego stosowania RODO w państwach członkowskich oraz rozwiązanie problemów występujących w wielu obszarach. Wdrożenie przepisów proceduralnych doprowadzi do interakcji z prawami proceduralnymi państw członkowskich w ramach organu (ochrony danych).
2.5. Jeśli chodzi o osoby prywatne, w nowych przepisach doprecyzowane zostaną informacje konieczne do wniesienia skargi, przy jednoczesnym zagwarantowaniu udziału skarżącego w całym postępowaniu. Co się tyczy przedsiębiorstw, wyjaśnione zostanie ich prawo do sprawiedliwej procedury, natomiast co się tyczy organów ochrony danych - przepisy ułatwią współpracę i zwiększą skuteczność wdrażania. Komitet jest zdania, że takie ulepszenie uregulowań jest konieczne i że przyniesie to konkretne korzyści wszystkim zainteresowanym stronom.
2.6. Prawa osób, których dane dotyczą, w sytuacjach transgranicznych. Niektóre organy ochrony danych przyznają obecnie skarżącym te same prawa jak stronom objętym postępowaniem, podczas gdy inne nie przewidują ich udziału bądź dopuszczają ich udział w niezwykle ograniczonym stopniu. Niektóre organy ochrony danych przyjmują formalne decyzje, na podstawie których odrzucają wszystkie skargi, których nie rozpatrują, a inne organy ochrony danych tego nie robią. Z tych rozbieżności wynika, że traktowanie skarg i udział skarżących w postępowaniu różnią się w zależności od państwa członkowskiego, w którym wniesiono skargę, lub w zależności od tego, który organ ochrony danych jest w danej sprawie wiodący. W konsekwencji tych różnic zakończenie postępowania i zapewnienie środka ochrony prawnej w sprawach transgranicznych są opóźnione. Wniosek ma na celu zmniejszenie tych różnic i przyczynienie się do stosowania w państwach członkowskich wspólnego podejścia do tej kwestii. We wniosku przewidziano nowe prawa procesowe dla skarżącego, które są podobne we wszystkich państwach członkowskich i które do tej pory nie były zagwarantowane
2.7. Obecnie organy ochrony danych odmiennie interpretują wymogi dotyczące treści skargi, udziału skarżących w procedurze oraz odrzucania skarg. Skargi przyjęte przez niektóre organy ochrony danych mogą zostać odrzucone przez inne na podstawie tego, że przedstawione w niej informacje są niewystarczające. Dlatego też oprócz praw i obowiązków związanych z procedurą we wniosku przewidziano wprowadzenie wspólnego formularza skargi, który zawiera informacje wymagane w przypadku każdej skargi wniesionej do jednego z organów ochrony danych.
2.8. Prawa procesowe stron objętych postępowaniem. Wniosek przewiduje ukierunkowaną harmonizację praw procesowych w sytuacjach transgranicznych. Stronom objętym postępowaniem zapewniono we wniosku prawo do bycia wysłuchanym na zasadniczych etapach procedury, w tym podczas rozstrzygania sporów przez EROD, oraz wyjaśniono treść akt administracyjnych i prawa stron do dostępu do akt. We wniosku wzmocniono prawa stron do obrony i zapewniono spójne przestrzeganie tych praw, niezależnie od tego, który organ ochrony danych prowadzi postępowanie.
2.9. Komitet z zadowoleniem przyjmuje to, że wniosek zapewnia podmiotom gospodarczym większe bezpieczeństwo procesowe, a jednocześnie rozszerza ich prawo do bycia wysłuchanym na najważniejszych etapach postępowania. Zwraca zarazem uwagę, że systemy prawne państw członkowskich różnią się od siebie, co może utrudniać właściwe stosowanie rozwiązań przedstawionych we wniosku.
2.10. Współpraca między organami ochrony danych i rozstrzyganie sporów w EROD. W art. 60 RODO określono w zarysie procedurę, którą organy ochrony danych muszą stosować podczas współpracy w sytuacjach transgranicznych, lecz nie jest ona wystarczająco szczegółowa. W sytuacjach transgranicznych organy ochrony danych są zobowiązane wymieniać się wszelkimi "istotnymi informacjami" w celu osiągnięcia porozumienia. Gdy wiodący organ ochrony danych przedstawi projekt decyzji, pozostałe organy ochrony danych mogą wnieść "uzasadniony sprzeciw mający znaczenie dla sprawy", który zapewnia możliwości rozstrzygnięcia sporu. Chociaż procedura rozstrzygania sporów przewidziana w art. 65 RODO jest istotna do zapewnienia spójnej interpretacji RODO, to powinna być zastrzeżona dla wyjątkowych przypadków, gdy współpraca organów ochrony danych nie doprowadziła do porozumienia.
2.11. Jak wynika z doświadczeń Komisji w zakresie stosowania RODO w sytuacjach transgranicznych, współpraca między organami ochrony danych przed przedstawieniem projektu decyzji przez wiodący organ ochrony danych jest niewystarczająca. Dlatego też we wniosku przeprowadza się ukierunkowaną harmonizację praw procesowych w sytuacjach transgranicznych. Wniosek zapewnia organom ochrony danych narzędzia niezbędne do osiągnięcia porozumienia, zwiększając wagę wymogów dotyczących współpracy i dzielenia się wszelkimi "istotnymi informacjami" ustanowionych wobec organów ochrony danych w art. 60 RODO. We wniosku ustanowiono ramy, które pozwolą wszystkim organom ochrony danych wywierać znaczący wpływ w sytuacji transgranicznej, jeżeli te organy przedstawią swoje opinie na wczesnym etapie postępowania i wykorzystają wszystkie narzędzia przewidziane w RODO.
2.12. We wniosku określono wymogi dotyczące formularzy i struktury "uzasadnionych sprzeciwów mających znaczenie dla sprawy", wniesionych przez organy ochrony danych, co umożliwia skuteczny udział wszystkich organów ochrony danych oraz szybkie rozstrzygnięcie sprawy. Określono również przepisy proceduralne dotyczące odrzucania skarg w sprawach transgranicznych, uściślając, na czym ma w takich przypadkach polegać rola wiodącego organu ochrony danych i organu ochrony danych, w którym złożono skargę. Dokładnie opisano również treść akt administracyjnych i prawa stron do dostępu do akt. Podkreślono także znaczenie i zgodność z prawem ugody w sprawach skargowych.
3. Uwagi szczegółowe
3.1. Chociaż jednym z głównych celów wniosku jest stworzenie pewnych ram proceduralnych regulujących rozstrzyganie sporów między organami ochrony danych w zakresie przetwarzania danych transgranicznych i przewidziano w nim kilka terminów proceduralnych, to te terminy są często niejasne lub brakuje limitu czasowego (na przykład art. 8 ust. 1, art. 12 ust. 2, art. 14 ust. 4 oraz art. 17 ust. 2). Aby osiągnąć cel wniosku polegający na przyspieszeniu oraz zwiększeniu przejrzystości procesu, z zachowaniem dbałości o to, by skarżący i strona, wobec której wszczęto postępowanie, mogli korzystać z RODO oraz z rozwiązań proceduralnych przewidzianych we wniosku, Komitet zaleca wyznaczenie - ilekroć to możliwe - dokładnych terminów i limitów czasowych w odpowiednich artykułach wniosku, gdyż ich określenie przyczynia się do skuteczności procedury.
3.2. Art. 3 ust. 5 wniosku stanowi, że skarżący może domagać się zachowania poufności informacji zawartych w skardze, lecz w załączniku do wniosku (w formularzu skargi) całkowicie pominięto to prawo. Zważywszy, że osoby prywatne nie są zobowiązane do znajomości wszystkich niuansów prawnych przepisów o ochronie danych, w tym prawa do domagania się poufności informacji na jakimkolwiek etapie procedury, Komitet zaleca, by w formularzu zawarto informacje o prawie przewidzianym w art. 3 ust. 5, co umożliwi skarżącemu zwrócenie się o zachowanie poufności informacji przedstawionych w skardze.
3.3. W art. 11, 12 i 13 wniosku przewidziano prawo skarżącego do bycia wysłuchanym przez organ ochrony danych w procesie współpracy międzynarodowej. W rozdziale 8 dotyczącej wniosku wspólnej opinii 3 EROD i EIOD przedstawiły wspólną szczegółową analizę niedociągnięć stwierdzonych we wniosku - możliwości korzystania przez skarżącego z praw proceduralnych w ramach różnych możliwych scenariuszy, w których skarga może być rozpatrywana na podstawie RODO. W świetle tej opinii oraz z uwagi na różne praktyki organów ochrony danych państw członkowskich w zakresie udziału skarżącego w procedurach 4 , EKES zaleca doprecyzowanie zasad wykonywania praw skarżących, określonych w tych artykułach, tak aby ich wdrożenie przyczyniało się do skuteczności planowanego transgranicznego rozpatrywania skarg.
3.4. Art. 6 ust. 1 wniosku stanowi, że organ nadzorczy, do którego wniesiono skargę, jest odpowiedzialny za tłumaczenie skarg i opinii skarżących na język używany przez wiodący organ nadzorczy przed przekazaniem mu jej treści, a także za tłumaczenie dokumentów otrzymanych przez wiodący organ nadzorczy na język zrozumiały dla skarżącego. Ponieważ organy ochrony danych porozumiewają się głównie w języku angielskim, lecz większość tych organów państw członkowskich używa do komunikacji języka urzędowego lub języków urzędowych swego państwa członkowskiego, należy wyjaśnić, czy tłumaczenie dokumentów i innych informacji przekazywanych organowi ochrony danych do użytku wewnętrznego należy wykonać na język danego państwa członkowskiego, czy też organy nadzorcze mogą zastosować wcześniejszą praktykę i uzgodnić między sobą język komunikacji wspólny dla wszystkich organów nadzorczych.
3.5. EKES uważa również, że należy w pełni poprzeć ideę tłumaczenia dokumentów na język zrozumiały dla skarżącego, a mianowicie na język danego państwa członkowskiego, by zagwarantować prawo skarżącego do porozumiewania się z organami w zrozumiałym dla niego języku.
3.6. Komitet wyraża jednocześnie zaniepokojenie, że obowiązek tłumaczenia skargi i wszystkich otrzymanych dokumentów może być dla organów ochrony danych nieproporcjonalnie dużym obciążeniem administracyjnym. Obawia się również, że jeżeli tłumaczenie nie zostanie wykonane na język angielski, to dostarczający je organ ochrony danych nie będzie w stanie zapewnić niezbędnej kontroli nad jego poprawnością. Terminy stosowane w dziedzinie ochrony danych mają często charakter techniczny, a brak precyzji lub weryfikacji ich tłumaczenia może prowadzić do niezrozumienia przebiegu okoliczności faktycznych. Wiąże się to z ryzykiem, że wiodący organ ochrony danych nie zostanie poinformowany w sposób wystarczająco obiektywny i wyczerpujący o treści złożonej skargi i elementach faktycznych, na których się ona opiera. Zgodnie z obecną praktyką organów ochrony danych w tej dziedzinie EKES zauważa, że w przypadku naruszeń transgranicznych organy ochrony danych państw członkowskich często zgadzają się na używanie języka angielskiego do wzajemnej komunikacji. Z informacji zebranych przez Komitet wynika, że do tej pory organy ochrony danych korzystały z narzędzi do tłumaczenia maszynowego w celu szybkiego i wymagającego minimalnych nakładów tłumaczenia dokumentów, którymi wymieniają się podczas postępowań ze swoimi odpowiednikami. Przy tłumaczeniu ostatecznych decyzji organy te korzystają jednak z profesjonalnych usług tłumaczeniowych.
3.7. EKES uważa, że wymóg tłumaczenia z wielu języków (i na wiele języków) w celu wymiany dokumentów między organami ochrony danych jest nadmiernym obciążeniem, ponieważ pociąga za sobą zbędne wydatki dla instytucji, przedsiębiorstw i społeczeństwa. Komitet zaleca, by umożliwić zainteresowanym organom ochrony danych uzgodnienie stosowania języka zrozumiałego dla wszystkich organów ochrony danych zaangażowanych w rozstrzyganie sporu transgranicznego oraz aktywne wykorzystywanie możliwości związanych z technologiami cyfrowymi, sztuczną inteligencją i tłumaczeniem maszynowym.
3.8. Art. 31 wniosku stanowi, że nowe rozporządzenie będzie bezpośrednio stosowane we wszystkich państwach członkowskich. Ze względu na to, że RODO ma również zastosowanie do państw Europejskiego Obszaru Gospodarczego (EOG), konieczne wydaje się wyjaśnienie, że wniosek też będzie się do nich stosować, by zagwarantować wspólne podejście do wdrażania RODO, a także skuteczną współpracę między organami ochrony danych z EOG i z Unii podczas rozpatrywania skarg transgranicznych.
3.9. Formularz skargi przewiduje procedurę identyfikacji osoby, której dane dotyczą, i wymaga od niej przedstawienia dokumentu tożsamości (z dużym prawdopodobieństwem kopii papierowej lub elektronicznej, a nie oryginału). W niektórych państwach członkowskich procedura skargowa nie przewiduje wciąż identyfikacji danej osoby, w związku z czym dany organ zakłada, że przekazane przez nią informacje na temat tożsamości są właściwe. Organy ochrony danych państw członkowskich stosują różne praktyki odnośnie do tego, czy konieczne jest sprawdzenie dokumentu tożsamości skarżącego w chwili otrzymania skargi: niektóre organy państw członkowskich to robią, a inne nie. Nałożenie takiego obowiązku na organy ochrony danych, które do tej pory nie stosowały takiej praktyki, może prowadzić do dodatkowych obciążeń administracyjnych, a także do dodatkowego ryzyka związanego z bezpieczeństwem informacji podczas zabezpieczonego przekazywania oraz przechowywania dokumentów tożsamości przez organ ochrony danych. Ten punkt widzenia został również przedstawiony we wspólnej opinii na temat wniosku wydanej przez EROD oraz EIOD. EKES zaleca, by decyzję w tej sprawie pozostawić w gestii organów ochrony danych, dzięki czemu będą mogły wybrać, czy nadal stosować tę praktykę.
3.10. Ponadto przypis 2 do załącznika stanowi, że dokumentem tożsamości może być "na przykład kopia paszportu, prawa jazdy, krajowego dowodu tożsamości". W tym kontekście należy przypomnieć, że pomiędzy państwami członkowskimi istnieją różnice w podejściu do tego, czy prawo jazdy może być oficjalnym dokumentem tożsamości. Na przykład na Łotwie nie może nim być. Jeżeli jednak Komisja postanowi utrzymać obowiązek identyfikacji skarżącego, EKES zaleca zastąpienie wykazu bardziej ogólnym sformułowaniem takim jak "dokument tożsamości", aby objąć nim wszystkie rodzaje dokumentów identyfikacyjnych uznawanych za dopuszczalne w danym państwie członkowskim, bądź dodanie do obecnego wykazu dokumentów tożsamości "prawa jazdy" (wyłącznie w tych państwach członkowskich, w których uznaje się je za osobisty dokument tożsamości).
3.11. W załączniku znajduje się również formularz wyszczególniający informacje, które skarżący musi przedstawić w odniesieniu do wszystkich skarg transgranicznych. Art. 3 ust. 2 wniosku stanowi zarazem, że "organ nadzorczy, do którego wniesiono skargę, ustala, czy skarga dotyczy transgranicznego przetwarzania". Może to prowadzić zarówno do sytuacji, w której wniesiona skarga nie będzie jednak dotyczyć transgranicznego przetwarzania, jak i do sytuacji, w której formularz nie został wykorzystany, lecz doszło do transgranicznego przetwarzania, choć skarżący o tym nie wiedział lub nie był w stanie zidentyfikować swoich danych. Aby uniknąć takich sytuacji i nieuzasadnionych opóźnień w procedurze wynikających z przekazania niewystarczających informacji, wskazane byłoby, aby organy ochrony danych wykorzystywały wszystkie informacje wymagane w formularzu przedstawionym w załączniku do wniosku i uznawały je za wystarczające nie tylko do wniesienia skargi dotyczącej transgranicznego przetwarzania, lecz również w przypadkach, w których na pierwszy rzut oka nie doszło do transgranicznego przetwarzania. Niezbędne jest również jasne komunikowanie się z organami ochrony danych państw członkowskich, które mają prawo dodać do załącznika inne pytania. Natomiast jeśli skarżący nie jest w stanie na nie odpowiedzieć, nie może to stanowić przeszkody w przyjęciu skargi.
Bruksela, dnia 13 grudnia 2023 r.