EROD - ostateczna wersja wytycznych dotyczących przekazywania danych organom państw trzecich

EROD publikuje ostateczną wersję wytycznych dotyczących przekazywania danych organom państw trzecich oraz materiały szkoleniowe grupy ekspertów wspierających EROD (SPE) na temat sztucznej inteligencji i ochrony danych

Podczas 106. posiedzenia plenarnego 3 i 4 czerwca br. Europejska Rada Ochrony Danych (EROD), po przeprowadzeniu konsultacji publicznych, przyjęła ostateczną wersję wytycznych dotyczących art. 48 RODO w odniesieniu do przekazywania danych organom państw trzecich,. Ponadto EROD przedstawiła dwa nowe projekty grupy wspierającej EROD (Support Pool of Experts, SPE) zapewniające materiały szkoleniowe na temat sztucznej inteligencji i ochrony danych. EROD omówiła również wniosek Komisji Europejskiej o wydanie wspólnej opinii EROD i EIOD w sprawie projektu wniosku dotyczącego uproszczenia obowiązku prowadzenia rejestrów na mocy RODO. 

Przekazywanie danych organom państw trzecich 

Po przeprowadzeniu konsultacji publicznych EROD przyjęła ostateczną wersję wytycznych dotyczących przekazywania danych organom państw trzecich. W swoich wytycznych EROD przybliża art. 48 RODO i wyjaśnia, w jaki sposób organizacje mogą najlepiej ocenić, na jakich warunkach mogą zgodnie z prawem odpowiadać na wnioski o przekazanie danych osobowych od organów państw trzecich (tj. organów z państw pozaeuropejskich).

EROD wyjaśnia, że wyroki lub decyzje organów państw trzecich nie mogą być automatycznie uznawane ani wykonywane w Europie. Co do zasady umowa międzynarodowa może wskazywać zarówno podstawę prawną, jak i podstawę przekazania. W przypadku braku umowy międzynarodowej lub jeżeli umowa nie przewiduje odpowiedniej podstawy prawnej lub zabezpieczeń, można rozważyć inne podstawy prawne lub inne podstawy przekazania, w wyjątkowych okolicznościach i indywidualnie dla każdego przypadku.

Zmiany wprowadzone w zaktualizowanych wytycznych nie zmieniają ich kierunku, ale mają na celu przedstawienie dalszych wyjaśnień dotyczących różnych aspektów poruszonych w ramach konsultacji publicznych. Zaktualizowane wytyczne odnoszą się na przykład do sytuacji, w której odbiorcą jest podmiot przetwarzający. Ponadto dostarczają one dodatkowych informacji na temat sytuacji, w której spółka matka w państwie trzecim otrzymuje wniosek od organu tego państwa trzeciego, a następnie zwraca się o dane osobowe do swojej spółki zależnej w Europie. 

Podnoszenie i zmiana kwalifikacji w zakresie sztucznej inteligencji i ochrony danych

Podczas czerwcowego posiedzenia plenarnego EROD przedstawiła również dwa nowe projekty grupy ekspertów wspierających EROD: „Prawo i zgodność w zakresie bezpieczeństwa AI i ochrony danychi„Podstawy bezpiecznych systemów sztucznej inteligencji z danymi osobowymi”.Oba projekty, które uruchomiono na wniosek greckiego organu ochrony danych, zapewniają materiały szkoleniowe na temat sztucznej inteligencji i ochrony danych.

Sprawozdanie pt. „Prawo i zgodność w zakresie bezpieczeństwa AI i ochrony danych” jest skierowane do specjalistów specjalizujących się w prawie, takich jak inspektorzy ochrony danych lub specjalistów w zakresie ochrony prywatności.

Drugie sprawozdanie, zatytułowane „Podstawy bezpiecznych systemów sztucznej inteligencji z danymi osobowymi”, jest skierowane do specjalistów zajmujących się kwestiami technicznymi, takich jak specjaliści ds. cyberbezpieczeństwa, twórcy lub podmioty wdrażające systemy sztucznej inteligencji wysokiego ryzyka.

Głównym celem tych projektów jest rozwiązanie problemu krytycznego niedoboru umiejętności w zakresie sztucznej inteligencji i ochrony danych, który jest postrzegany jako kluczowa przeszkoda w stosowaniu sztucznej inteligencji przyjaznej prywatności. Materiały szkoleniowe pomogą wyposażyć specjalistów w podstawowe kompetencje w zakresie sztucznej inteligencji i ochrony danych w celu stworzenia bardziej korzystnego środowiska dla egzekwowania przepisów o ochronie danych.

EROD postanowiła opublikować oba dokumenty w formie plików PDF. Biorąc pod uwagę bardzo szybki rozwój sztucznej inteligencji, EROD postanowiła również uruchomić nową innowacyjną inicjatywę jako roczny projekt pilotażowy, składający się z modyfikowalnej wspólnotowej wersji sprawozdań. EROD rozpocznie współpracę z autorami obu sprawozdań w celu zaimportowania ich do repozytorium Git**, aby w niedalekiej przyszłości umożliwić każdemu zewnętrznemu podmiotowi wnoszącemu wkład, posiadającemu konto na tej platformie i pod warunkiem licencji Creative Commons Attribution-ShareAlike, proponowanie zmian lub dodawanie komentarzy do dokumentów.

Uproszczenie obowiązku prowadzenia dokumentacji na mocy RODO

Ponadto EROD omówiła wniosek Komisji Europejskiej o wydanie wspólnej opinii przez EROD i Europejskiego Inspektora Ochrony Danych (EIOD) w sprawie wniosku dotyczącego uproszczenia obowiązków w zakresie prowadzenia dokumentacji przez małe i średnie przedsiębiorstwa (MŚP), małe spółki o średniej kapitalizacji i organizacje zatrudniające mniej niż 750 pracowników, co stanowi ukierunkowaną zmianę art. 30 ust. 5 RODO. EROD i EIOD wydadzą wspólną opinię w tej sprawie w ciągu ośmiu tygodni.