85. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 13.10.2023 r.

Podczas 85. posiedzenia plenarnego, 17 października br., EROD wybrała temat trzeciego skoordynowanego działania w zakresie egzekwowania prawa, które będzie dotyczyło realizacji prawa dostępu przez administratorów. W nadchodzących miesiącach prowadzone będą dalsze prace nad doprecyzowaniem szczegółów, a samo działanie rozpocznie się w 2024 r.

W ramach skoordynowanego działania EROD nadaje priorytet określonemu tematowi, nad którym organy nadzorcze mają pracować na szczeblu krajowym. Wyniki tych działań krajowych są następnie łączone i analizowane, co zapewnia głębszy wgląd w temat i umożliwia ukierunkowane działania następcze zarówno na poziomie krajowym, jak i unijnym. W ubiegłym roku EROD wybrała temat, dotyczący wyznaczania i roli inspektorów ochrony danych. Sprawozdanie z wyników skoordynowanego działania w 2023 r. zostanie przyjęte w nadchodzących miesiącach.

Na początku tego roku EROD opublikowała sprawozdanie z wyników swojego pierwszego skoordynowanego działania w sprawie korzystania z usług w chmurze przez sektor publiczny.

To nowe skoordynowane działanie jest następstwem decyzji EROD o ustanowieniu w październiku 2020 r. ram skoordynowanego egzekwowania prawa (CEF). CEF jest kluczowym działaniem EROD w ramach jej strategii na lata 2021-2023, wraz z utworzeniem grupy ekspertów wspierających (SPE). Obie inicjatywy mają na celu usprawnienie egzekwowania prawa i współpracy między organami nadzorczymi.

Ponadto EROD i EIOD przyjęli wspólną opinię dotyczącą projektu rozporządzenia UE w sprawie ustanowienia cyfrowego euro. Cyfrowe euro ma na celu zapewnienie osobom fizycznym możliwości dokonywania płatności drogą elektroniczną, zarówno online, jak i offline, traktowanych jako dodatkowy środek płatniczy obok gotówki.

EROD i EIOD przyznają, że proponowane rozporządzenie odnosi się do wielu aspektów ochrony danych związanych z cyfrowym euro, w szczególności poprzez uwzględnienie trybu offline w celu zminimalizowania przetwarzania danych osobowych. W szczególności EROD i EIOD z dużym zadowoleniem przyjmują fakt, że użytkownicy cyfrowego euro zawsze będą mieli wybór między płatnością w cyfrowym euro lub w gotówce. Jednocześnie EROD i EIOD przedstawiły zalecenia mające na celu lepsze zapewnienie najwyższych standardów ochrony danych osobowych i prywatności w odniesieniu do cyfrowego euro.

Wojciech Wiewiórowski, EIOD, powiedział: „Z zadowoleniem przyjmujemy i popieramy zawarte w proponowanym rozporządzeniu zobowiązanie do zapewnienia wysokiego stopnia ochrony danych w przypadku korzystania z cyfrowego euro w trybie online oraz jeszcze wyższego poziomu ochrony w przypadku korzystania z cyfrowego euro w trybie offline. W naszej wspólnej opinii sugerujemy wprowadzenie dalszych ulepszeń w celu zapewnienia skutecznej ochrony prawa do prywatności i ochrony danych osobowych.

W szczególności przedstawiamy zalecenia mające na celu zapewnienie przetwarzania wyłącznie niezbędnych danych osobowych użytkowników cyfrowego euro oraz unikanie nadmiernej centralizacji danych osobowych przez Europejski Bank Centralny lub krajowe (EBC) banki centralne".

Irene Loizidou Nicolaidou, Wiceprzewodnicząca EROD, powiedziała: "Wysoki standard prywatności i ochrony danych ma zasadnicze znaczenie dla zdobycia zaufania obywateli do tej nowej waluty cyfrowej. Poprzez niniejszą wspólną opinię dążymy do zapewnienia, że ochrona danych zostanie uwzględniona na wczesnym etapie projektowania cyfrowego euro, gdy będzie ono używane zarówno w trybie online, jak i offline, oraz że obowiązki w zakresie ochrony danych każdego z podmiotów uczestniczących w emisji cyfrowego euro zostaną jasno określone w rozporządzeniu".

Zgodnie z proponowanym rozporządzeniem EBC i krajowe banki centralne mogą ustanowić pojedynczy punkt dostępu w celu weryfikacji, czy kwota cyfrowego euro posiadanego przez każdego użytkownika nie przekracza maksymalnej dozwolonej kwoty, zwanej limitem utrzymywanej kwoty. EROD i EIOD rozumieją, że weryfikacja ta będzie dokonywana poprzez przetwarzanie identyfikatorów użytkowników cyfrowego euro i powiązanych z nimi limitów utrzymywanej kwoty. We wspólnej opinii EROD i EIOD wzywają do wyjaśnienia kwestii przetwarzania tych identyfikatorów. Ponadto EROD i EIOD zalecają ocenę, czy pojedynczy punkt dostępu jest konieczny i proporcjonalny, podkreślając, że alternatywnie możliwe są środki techniczne umożliwiające zdecentralizowane przechowywanie tych identyfikatorów.

Odnosząc się do mechanizmu wykrywania oszustw i zapobiegania im przewidzianego w proponowanym rozporządzeniu, EROD i EIOD uważają, że przetwarzanie danych osobowych przez EBC i dostawców usług płatniczych w ramach tego mechanizmu nie jest wystarczająco jasno określone. EROD i EIOD zalecają dalsze wykazanie niezbędności ww. mechanizmu. W przypadku braku takiego wykazania EROD i EIOD zalecają rozważenie mniej inwazyjnych środków z punktu widzenia ochrony danych osobowych. Ponadto EROD i EIOD zalecają określenie roli i zadań EBC, krajowych banków centralnych i dostawców usług płatniczych w tym kontekście, zgodnie z kluczowymi zasadami ochrony danych.

Dodatkowo, EROD i EIOD zdecydowanie zalecają wprowadzenie "progu prywatności" dla transakcji online, poniżej którego ani transakcje offline, ani online o niskiej wartości nie są śledzone do celów przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W celu zmniejszenia profilu ryzyka związanego z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w odniesieniu do internetowych transakcji w cyfrowym euro dokonywanych w trybie online, o niskiej wartości, EROD i EIOD zalecają włączenie obowiązku wdrożenia odpowiednich środków technicznych w fazie projektowania cyfrowego euro.

Co więcej, EROD i EIOD podkreślają, że w proponowanym rozporządzeniu należy doprecyzować obowiązki EBC i dostawców usług płatniczych w zakresie ochrony danych. Obejmuje to podstawy prawne, na których EBC i dostawcy usług płatniczych powinni się opierać, oraz rodzaje danych osobowych, które powinni przetwarzać na potrzeby emisji, dystrybucji i korzystania z cyfrowego euro.

EROD i EIOD będą nadal monitorować i udzielać wskazówek dotyczących zmian w proponowanym rozporządzeniu zgodnie z ich odpowiednimi obowiązkami.

Agenda 85. posiedzenia plenarnego EROD