90. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 13.02.2024 r.
13 lutego 2024 r., podczas 90. posiedzenia plenarnego Europejskiej Rady Ochrony Danych ( EROD), przyjęła ona opinię w sprawie pojęcia głównej jednostki organizacyjnej i kryteriów stosowania punktu kompleksowej współpracy. W spotkaniu, z ramienia polskiego organu nadzorczego, wzięli udział Mirosław Wróblewski, Prezes Urzędu Ochrony Danych Osobowych oraz Maria Owczarek, Zastępca Dyrektora Departamentu Współpracy Międzynarodowej i Edukacji UODO. EROD w opinii doprecyzowała pojęcie "głównej jednostki organizacyjnej" administratora w UE, w szczególności w przypadkach, gdy decyzje dotyczące przetwarzania są podejmowane poza UE. Opinia została wydana w następstwie wniosku francuskiego organu ochrony danych, złożonego na podstawie art. 64 ust. 2 RODO.
W swojej opinii EROD wyjaśnia, że "miejsce administracji centralnej" administratora w UE można uznać za główną jednostkę organizacyjną w rozumieniu art. 4 pkt 16 lit. a RODO tylko wtedy, gdy podejmuje ona decyzje w sprawie celów i sposobów przetwarzania danych osobowych oraz gdy jest uprawniona do wykonywania takich decyzji. EROD wyjaśnia ponadto, że punkt kompleksowej współpracy może mieć zastosowanie tylko wtedy, gdy istnieją dowody na to, że jedna z jednostek organizacyjnych administratora w Unii podejmuje decyzje w sprawie celów i sposobów w odniesieniu do odpowiednich operacji przetwarzania oraz jest uprawniona do wykonania tych decyzji. Oznacza to, że w przypadku gdy decyzje dotyczące celów i sposobów przetwarzania są podejmowane poza UE, nie powinna istnieć główna jednostka organizacyjna administratora w Unii, a zatem punkt kompleksowej współpracy nie powinien mieć zastosowania.
Opinia EROD sprawie pojęcia głównej jednostki organizacyjnej jest najnowszym z serii działań podjętych przez EROD w następstwie oświadczenia EROD w sprawie współpracy w zakresie egzekwowania prawa, mających na celu usprawnienie egzekwowania RODO i współpracy między organami ochrony danych.
Podczas posiedzenia plenarnego EROD przyjęła również oświadczenie w sprawie zmian legislacyjnych dotyczących projektu rozporządzenia ustanawiającego przepisy mające na celu zapobieganie niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczanie. Oświadczenie przyjęto w następstwie wspólnej opinii EROD i EIOD w sprawie wniosku Komisji Europejskiej dotyczącego tego rozporządzenia i koncentruje się na najnowszych zmianach legislacyjnych, w szczególności na stanowisku Parlamentu Europejskiego z listopada 2023 r.
EROD z zadowoleniem przyjmuje wiele ulepszeń zaproponowanych przez Parlament, takich jak zwolnienie z nakazów wykrywania komunikacji szyfrowanej metodą end-to-end. EROD wyraża jednak ubolewanie, że stanowisko Parlamentu nie wydaje się w pełni rozwiązywać ważnych kwestii sygnalizowanych przez EROD i EIOD, związanych z ogólnym i powszechnym monitorowaniem komunikacji prywatnej, w szczególności w odniesieniu do wydawania nakazów wykrywania treści przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie.
Przewodnicząca EROD Anu Talus powiedziała: "Niegodziwe traktowanie dzieci w celach seksualnych jest szczególnie okrutnym przestępstwem i wymaga skutecznych rozwiązań. Każdy nowy instrument prawny musi być jednak jednoznaczny i respektować podstawowe prawa do prywatności i ochrony danych. EROD jest zdania, że propozycja Parlamentu powinna dawać więcej gwarancji zapewniających, że nakazy wykrywania treści przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie będą wystarczająco ukierunkowane. Wniosek prawodawczy w obecnym kształcie może w nieproporcjonalny sposób naruszyć poufność komunikacji online.
EROD podkreśla znaczenie dalszego ograniczenia potencjalnego oddziaływania tych nakazów na osoby, które nie będą zamieszane w przestępstwa związane z niegodziwym traktowaniem dzieci w celach seksualnych. Ponadto EROD ubolewa, że nakazy te nie są ograniczone do materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych (ang. child sexual abuse materials, CSAM), które są już znane władzom, pomimo że technologie stosowane do wykrywania nowych CSAM okazały się w przeszłości obarczone znacznym poziomem błędu.
Podczas sesji plenarnej EROD omówiła również zakres wytycznych dotyczących modelu "zgoda lub zapłata" (ang. consent or pay).Oprócz przygotowywanej, na podstawie art. 64 ust. 2 RODO, opinii, która będzie dotyczyła modelu "zgoda lub zapłata" w kontekście dużych platform internetowych, uzgodniono, że istnieje potrzeba sukcesywnego opracowywania wytycznych o szerszym zakresie.
Ponadto EROD wyznaczyła kilku przedstawicieli do udziału odpowiednio w pracach zespołuKomisji Europejskiej ds. przeglądu ram ochrony danych (Data Privacy Framework), podgrupie wysokiego szczebla ds. art. 5 ust. 2 aktu o rynkach cyfrowych (DMA), jak również w grupie zadaniowej aktu o usługach cyfrowych (DSA) ds. weryfikacji wieku.
Poniżej przedstawiamy, krótki materiał filmowy na temat 90. posiedzenia plenarnego Europejskiej Rady Ochrony Danych: