82. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 18.07.2023 r.
EROD informuje interesariuszy o skutkach ram ochrony danych UE-USA i przyjmuje oświadczenie w sprawie pierwszego przeglądu decyzji stwierdzającej odpowiedni stopień ochrony danych w Japonii
W dniu 18 lipca 2023 r., podczas 82. posiedzenia plenarnego, Europejska Rada Ochrony Danych (EROD) przyjęła notę informacyjną dla osób fizycznych i podmiotów przekazujących dane do USA. Dokument ten ma na celu dostarczenie zwięzłych i obiektywnych informacji dotyczących wpływu decyzji stwierdzającej odpowiedni stopień ochrony na przekazywanie danych do USA, mechanizmów dochodzenia roszczeń, dostępnych na podstawie ram ochrony danych (DPF), i nowego mechanizmu dochodzenia roszczeń w obszarze bezpieczeństwa narodowego.
Przewodnicząca EROD, Anu Talus, powiedziała: "Przyjęcie DPF przez Komisję Europejską w następstwie opinii EROD z lutego 2023 r. jest ważną decyzją uznającą, że obecnie może mieć miejsce przepływ danych osobowych z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych, bez żadnych dalszych warunków. Istotne jest, aby osoby fizyczne były świadome swoich praw, a organizacje znały swoje obowiązki, co EROD wyjaśnia w nocie informacyjnej. EROD będzie nadal zwracać szczególną uwagę na prawidłowe wdrożenie tego nowego instrumentu i z niecierpliwością czeka na wniesienie wkładu w pierwszy przegląd DPF w przyszłym roku".
W nocie informacyjnej wyjaśniono, że przekazywanie danych oparte na decyzjach stwierdzających odpowiedni stopień ochrony nie musi być uzupełniane środkami uzupełniającymi. Przekazywanie danych do USA, które nie zostało uwzględnione w "Wykazie ram ochrony danych", wymaga odpowiednich zabezpieczeń, takich jak standardowe klauzule ochrony danych lub wiążące reguły korporacyjne. W tym względzie EROD podkreśla, że wszystkie zabezpieczenia wprowadzone przez rząd USA w obszarze bezpieczeństwa narodowego (w tym mechanizm dochodzenia roszczeń) mają zastosowanie do wszystkich danych przekazywanych do USA, niezależnie od wykorzystywanego narzędzia przekazywania danych.
Ponadto w nocie informacyjnej podkreślono, że w obszarze bezpieczeństwa narodowego osoby fizyczne z UE mogą złożyć skargę do swojego krajowego organu ochrony danych, aby skorzystać z nowego mechanizmu dochodzenia roszczeń, niezależnie od narzędzia przekazywania danych wykorzystywanego do przekazywania danych osobowych do USA.
Podczas posiedzenia plenarnego przedstawiciele Komisji Europejskiej przedstawili również prezentację na temat ram ochrony danych UE-USA i zmian wynikających z opinii EROD.
Następnie EROD przyjęła Oświadczenie w sprawie pierwszego przeglądu decyzji stwierdzającej odpowiedni stopień ochrony danych w Japonii. Oświadczenie koncentruje się głównie na ocenie aspektów handlowych decyzji stwierdzającej odpowiedni stopień ochrony danych w Japonii, ponieważ w japońskich ramach prawnych wprowadzono pewne zmiany w tym obszarze od czasu wydania decyzji stwierdzającej odpowiedni stopień ochrony, które prowadzą do dalszej konwergencji z RODO. Obejmują one rozszerzenie prawa do zgłoszenia sprzeciwu wobec przetwarzania danych, wzmocnienie obowiązku zgłaszania naruszeń ochrony danych do japońskiego organu ochrony danych i zawiadamiania o naruszeniach ochrony danych osób fizycznych oraz rozszerzenie zakresu japońskiej ustawy o ochronie danych osobowych, tak aby nie wykluczała ona już danych osobowych, które "mają zostać usunięte" w ciągu sześciu miesięcy.
Jednocześnie EROD uważa, że istnieją pewne obszary, które wymagają ściślejszego monitorowania przez Komisję Europejską, zwłaszcza w odniesieniu do nowej kategorii "spseudonimizowanych" danych osobowych w japońskim prawie i wykorzystania zgody w sytuacjach braku równowagi sił. W związku z tym EROD z zadowoleniem przyjmuje zobowiązanie Komisji Europejskiej do ścisłego monitorowania tej kwestii.
Ogólnie rzecz biorąc, EROD zgadza się z oceną przeglądu dokonaną przez Komisję Europejską i pozytywnie odnosi się do propozycji Komisji dotyczącej zmiany cyklu przeglądu na czteroletni.