Wytyczne EROD w sprawie ograniczeń praw podmiotów danych
Dowiedz się, jakie wytyczne powinieneś brać pod uwagę przy stosowaniu ograniczeń praw podmiotów danych.
Znaczenie wytycznych EROD w sprawie ograniczeń praw podmiotów danych
Europejska Rada Ochrony Danych 13 października 2021 przyjęła ostateczną wersję wytycznych w sprawie ograniczeń praw podmiotów danych, zgodnie z art. 23 RODO. Wersja pierwsza pojawiła się w grudniu ubiegłego roku i następnie została poddana opinii społecznej. Analizowany artykuł 23 Rozporządzenia o Ochronie Danych Osobowych określa, w jaki sposób państwa członkowskie UE mogą ograniczyć prawa podmiotów danych. Zgodnie z tym przepisem, ograniczenia powinny być interpretowane w ściśle określonych okolicznościach i tylko wtedy, gdy spełnione są odpowiednie warunki.
Europejska Rada Ochrony Danych – najnowsze wytyczne
Wymogi EROD w zakresie ochrony danych osobowych wskazują na szereg kryteriów, które należy wziąć pod uwagę przy stosowaniu praw podmiotów danych. Przede wszystkim istotne jest, by nie naruszały one podstawowych zasad i wolności osób, których dane dotyczą. Artykuł 23 RODO szczegółowo przedstawia ograniczenia danych, które powinny być respektowane zgodnie z najnowszymi wytycznymi EROD 10/2020. Oto kilka z nich.
Administrator przede wszystkim powinien zadbać o to, aby przepisy nie naruszały w żaden sposób podstawowych praw i wolności przysługujących podmiotom danych. W razie naruszenia istoty prawa, ograniczenie uważa się za bezprawne, bez konieczności dalszej oceny. Wówczas bez znaczenia jest to, czy służy ono celowi interesu ogólnego, czy spełnieniu kryteriów konieczności i proporcjonalności.
Organ podkreślił także, że prawa podmiotów danych można ograniczyć jedynie na gruncie art. 23 RODO, ale nie można ich pozbawić. Dla przykładu, jeśli projektowane ograniczenia mają służyć np. ochronie zdrowia publicznego w stanie nadzwyczajnym, to muszą być ściśle określone pod względem zakresu, a także czasu.
W świetle zasady rozliczalności dobrą praktyką jest dokumentowanie przez administratora ograniczenia w konkretnych przypadkach poprzez prowadzenie rejestru. Ten zapis powinien obejmować:
– obowiązujące powody stosowania ograniczeń,
– jego termin,
– wynik testu konieczności i proporcjonalności.
Ponadto ewidencja powinna być udostępniona na wniosek do organu nadzorczego ds. ochrony danych osobowych. W przypadku, gdy administrator ma inspektora ochrony danych (IOD), należy go o tym poinformować – przynajmniej w sposób ogólny, bez zbędnej zwłoki. Warto zwrócić także uwagę na konieczność monitorowania obowiązywania ograniczeń, zwłaszcza w przypadku ich zniesienia.
Zaktualizowanie wytycznych w sprawie ograniczeń praw z pewnością będą miały wpływ na praktykę administratorów i organów nadzorczych. Dlatego tak istotne jest, aby znać te przepisy i je respektować.
Źródło: Newsletter: Prawa Ochrony Prywatności i nowych technologii
Wytyczne 10/2020 dotyczące ograniczeń na podstawie art. 23 RODO Wersja 2.