przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Prawo gospodarcze
  4. Wytyczne Europejskiej Rady Ochrony Danych – co musi wiedzieć firma?

Wytyczne Europejskiej Rady Ochrony Danych – co musi wiedzieć firma?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W gąszczu przepisów RODO, kluczową rolę w ich jednolitej interpretacji na terenie całej Unii Europejskiej odgrywają wytyczne Europejskiej Rady Ochrony Danych. Stanowią one praktyczny drogowskaz dla przedsiębiorców, administratorów i podmiotów przetwarzających, jak prawidłowo stosować zasady ochrony danych osobowych. Mimo że nie są formalnie wiążącym prawem, ich znaczenie w praktyce jest ogromne – wpływają na decyzje organów nadzorczych, takich jak polski UODO, i pomagają ocenić zgodność działań firmy z wymogami prawa.

Europejska Rada Ochrony Danych – organ stojący na straży RODO

Europejska Rada Ochrony Danych została powołana w celu zapewnienia spójnego stosowania unijnych przepisów o ochronie danych osobowych we wszystkich państwach członkowskich. W skład EROD wchodzą przedstawiciele krajowych organów nadzorczych oraz Europejskiego Inspektora Ochrony Danych. Polskim przedstawicielem jest Prezes Urzędu Ochrony Danych Osobowych.

Do najważniejszych kompetencji Rady należy m.in.:

  • wydawanie wytycznych, zaleceń, rekomendacji i najlepszych praktyk;
  • opiniowanie projektów aktów prawnych UE dotyczących ochrony danych;
  • rozstrzyganie sporów między krajowymi organami nadzorczymi w ramach mechanizmu spójności;
  • doradzanie Komisji Europejskiej w sprawach związanych z transferami danych do państw trzecich.

W praktyce najważniejszymi funkcjami jest właśnie wydawanie wytycznych oraz zaleceń. Pełnią one funkcję interpretacyjną oraz edukacyjną dla organów publicznych i przedsiębiorców stosujących przepisy RODO.

Wytyczne Europejskiej Rady Ochrony Danych

Wytyczne Europejskiej Rady Ochrony Danych to dokumenty wyjaśniające i uszczegóławiające przepisy RODO. Mają one zapewnić spójne i jednolite stosowanie zasad ochrony danych osobowych we wszystkich państwach należących do UE.

Należy jednak pamiętać, że prawem obowiązującym jest rozporządzenie RODO, natomiast wytyczne Europejskiej Rady Ochrony Danych nie są prawem jako takim. Nie nakładają one obowiązków wprost na państwa UE czy określone organy publiczne. Są jednak niezwykle istotnym źródłem wykładni przepisów RODO.

Najważniejsze wytyczne Europejskiej Rady Ochrony Danych

Mimo braku „mocy sprawczej” EROD ma duży wpływ na to, jak stosowane są przepisy unijne. Organy nadzorcze w państwach członkowskich powołują się na wytyczne organu przy podejmowaniu decyzji, a także próbują wprowadzić do praktyki zasady przedstawiane w wytycznych. Przedsiębiorcy, chcąc działać zgodnie z prawem i minimalizować ryzyko nałożenia na nich sankcji administracyjnych, powinni brać je pod uwagę i działać zgodnie ze wskazówkami Rady. Wśród wielu dokumentów wydanych przez EROD na przestrzeni lat najważniejsze dla przedsiębiorców wydają się te przedstawione poniżej.

Zgoda na przetwarzanie danych osobowych

Jednym z praktyczniejszych dokumentów są wytyczne Europejskiej Rady Ochrony Danych dotyczące zgody na przetwarzanie danych osobowych. Znajdują się tam zasady precyzujące warunki, jakie muszą zostać spełnione, aby zgoda była ważna. Jest to m.in. wymóg dobrowolności, konkretności, świadomego charakteru oraz jednoznaczności oświadczenia woli. Zgodnie ze stanowiskiem Rady brak możliwości wyrażenia zgody osoby, której dane mają być przetwarzane w sposób swobodny, np. poprzez powiązanie zgody z zawarciem umowy, jest podstawą do jej unieważnienia.

Prawo do przenoszenia danych

Prawo do przenoszenia danych osobowych jest jednym z najważniejszych praw osób, których dotyczy przetwarzanie danych. Jego głównym celem jest zwiększenie kontroli jednostki nad własnymi danymi oraz wspieranie konkurencyjności i innowacyjności w gospodarce cyfrowej – szczególnie w sektorach, gdzie dane osobowe są kluczowym zasobem, np. w bankowości telekomunikacji czy na platformach cyfrowych.

EROD w swoich wytycznych wskazał natomiast, że prawo to dotyczy wyłącznie danych przetwarzanych w sposób zautomatyzowany, na podstawie zgody lub umowy, a także danych dostarczonych przez konsumenta. Nie podlegają przeniesieniu natomiast tzw. dane pochodne, tj. informacje wytworzone przez administratora w wyniku analizy lub profilowania. Wytyczne wyjaśniają także, jak powinno wyglądać techniczne umożliwienie przenoszenia danych między administratorami. Rada podkreśliła, że prawo do przenoszenia danych nie może prowadzić do naruszenia praw i wolności osób, których dane są przetwarzane. W praktyce oznacza to konieczność stosowania przez administratorów mechanizmów, które uniemożliwią ujawnienie przenoszonych danych osobom trzecim bez podstawy prawnej.

Monitoring wizyjny

Monitoring wizyjny czy kamerowanie chronionego obszaru to jedno z najbardziej wrażliwych i najdalej ingerujących w prywatność narzędzi przetwarzania danych osobowych. Takie „podglądanie” łączy się z ciągłą obserwacją osób fizycznych, mogąc w prosty sposób naruszyć ich poczucie anonimowości.

EROD w swoich wytycznych podkreślił, że stosowanie kamer musi być zawsze ściśle zgodne z zasadami wynikającymi z RODO, w tym z zasadą minimalizacji danych, przejrzystości i proporcjonalności. Nie ma tutaj miejsca na odstępstwa czy rozbieżności interpretacyjne. Rada uznała, że podstawą stosowania monitoringu musi być:

  • uzasadniony interes administratora – art. 6 ust. 1 lit. f RODO – np. zapewnienie bezpieczeństwa osób i mienia, zapobieganie kradzieżom czy wandalizmowi, lub
  • obowiązek prawny – art. 6 ust. 1 lit. c RODO – np. przepisy nakładające obowiązek stosowania monitoringu w określonych obiektach (placówki oświatowe, zakłady karne, transport publiczny), lub
  • w wyjątkowych przypadkach zgoda osoby, której dane dotyczą; EROD zauważa jednak, że ze względu na trudność w dobrowolnym wyrażeniu zgody (np. w miejscu pracy) podstawa ta znajduje zastosowanie niezwykle rzadko.

Administrator danych musi przy tym w sposób jasny i czytelny informować osoby o stosowaniu monitoringu. Obejmuje to przede wszystkim wyraźne oznaczenie obszaru kamer, np. piktogram ze skróconą informacją w temacie oraz dostępność pełnej klauzuli informacyjnej zawierającej co najmniej dane administratora, cele, podstawę prawną, okres przechowywania nagrań oraz informacje o prawach osób nagrywanych.

Pojęcie prawnie uzasadnionego interesu

Jedną z najczęściej stosowanych i zarazem najbardziej „uniwersalnych” podstaw prawnych przetwarzania danych osobowych jest prawnie uzasadniony interes administratora. Ze względu na swoją ogólnikowość budzi ona wiele kontrowersji i jest również źle rozumiana przez przedsiębiorców.

Wytyczne Europejskiej Rady Ochrony Danych w jakimś stopniu rozwiewają ten problem. Zgodnie z tym dokumentem prawnie uzasadniony interes to przede wszystkim:

  • interes realny i konkretny, a nie hipotetyczny czy abstrakcyjny, który może się ziścić, ale wcale nie musi;
  • zgodny z prawem, czyli mieszczący się w granicach obowiązujących przepisów unijnych i krajowych;
  • związany z działalnością administratora lub stroną trzecią, na której rzecz dane są przetwarzane.

EROD przypomniało, że stosowanie omawianej podstawy prawnej wymaga w pierwszej kolejności przeprowadzenia tzw. testu równowagi. Test ten składa się z 3 etapów:

  1. identyfikacji interesu – administrator musi jasno określić, jaki cel chce osiągnąć i dlaczego jest on istotny;
  2. niezbędności przetwarzania – administrator ocenia, czy cel można osiągnąć w inny, mniej ingerujący w prywatność sposób;
  3. równowagi praw i wolności – administrator porównuje wagę jego interesu z prawami osoby, której dane dotyczą, uwzględniając m.in. charakter danych, oczekiwania osób, skalę przetwarzania czy środki zabezpieczające.

Wyłącznie pozytywny wynik testu uzasadnia legalne powołanie się na tę podstawę przy przetwarzaniu danych osobowych.

Administrator i podmiot przetwarzający

Kolejne wytyczne Europejskiej Rady Ochrony Danych dotyczą stosunku zobowiązaniowego między administratorem danych i podmiotem przetwarzającym. Dla przypomnienia podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora.

Typowe przykłady tych podmiotów to:

  • firmy księgowe i kadrowe obsługujące klientów,
  • dostawcy usług IT,
  • call center świadczące obsługę klienta w imieniu zleceniodawcy,
  • firmy ochroniarskie obsługujące monitoring.

Choć to administrator ponosi zasadniczą odpowiedzialność za zgodność przetwarzania z prawem, RODO przewiduje również odpowiedzialność podmiotu, jeżeli naruszy on obowiązki wynikające z rozporządzenia lub działa poza instrukcjami administratora. EROD w swoich wytycznych podkreślił potrzebę:

  • jasnego rozdzielenia ról i obowiązków;
  • dokumentowania wszelkich ustaleń;
  • ustanowienia przejrzystych mechanizmów reagowania na żądania organów publicznych lub osób, których dane dotyczą.

Nowe wytyczne z czerwca 2025 roku

Całkiem niedawno, bo na początku czerwca 2025 roku Europejska Rada Ochrony Danych przyjęła wytyczne dotyczące stosowania art. 48 RODO. Dokument kończy z niepewnością interpretacyjną w zakresie przekazywania danych osobowych na podstawie jednostronnych żądań zagranicznych organów. Wbrew pozorom tych organów jest sporo, stąd też zmiany te są znaczące. Jakie nowe zasady wprowadzono?

Suwerenność prawa unijnego w ochronie danych

Jako podstawę stosowania RODO w Unii Europejskiej EROD uznało zasadę suwerenności prawa unijnego w ochronie danych. Oznacza to, że w obszarze danych osobowych obywateli Wspólnoty nie uznaje się eksterytorialnego działania prawa obcego. EROD jednoznacznie wskazuje, że samo żądanie organu z państwa trzeciego – nawet oparte na decyzji sądu czy administracji – nie stanowi wystarczającej podstawy prawnej do przekazania danych. W praktyce oznacza to wyraźne potwierdzenie, że w zakresie ochrony danych prymat ma prawo unijne i nie może być obchodzone poprzez jednostronne działania obcych władz.

Międzynarodowe umowy jako właściwa podstawa transferu

Rada zaznaczyła, że jedynym bezpiecznym mechanizmem przekazywania danych osobowych są umowy międzynarodowe. Tego rodzaju umowy muszą jednak spełniać wymogi z art. 46 ust. 2 lit. a RODO, czyli zawierać odpowiednie zabezpieczenia, gwarancje praw podmiotów danych, niezależny nadzór oraz procedury skargowe.

W efekcie wiele dotychczasowych form współpracy transgranicznej – zwłaszcza bilateralnych – może nie odpowiadać tym standardom i nie stanowić wystarczającej podstawy do legalnego transferu.

Ryzyka związane ze zgodą i uzasadnionym interesem

Choć teoretycznie możliwe jest oparcie przekazania danych na zgodzie osoby albo na uzasadnionym interesie administratora, nowe wytyczne wprowadzają istotne ograniczenia w tym zakresie. Jest to m.in.:

  • zgoda nie jest dobrowolna, jeśli jej brak uniemożliwia dostęp do usługi – jest tak, gdy klient zmuszony jest zaakceptować przekazanie danych np. do USA, aby w ogóle skorzystać z oferty;
  • uzasadniony interes nie może przeważać nad prawami jednostek, zwłaszcza gdy chodzi o dane wrażliwe lub przetwarzanie masowe w modelu chmurowym.

Zgodnie z wytycznymi przedsiębiorcy nie mogą gromadzić danych „na wszelki wypadek” w celu ich późniejszego przekazania organom zagranicznym, np. w ramach procedur compliance czy audytów AML.

Obowiązki procesorów i znaczenie reaktywności

Kolejne wytyczne akcentują, że podmiot przetwarzający, który otrzyma żądanie udostępnienia danych, nie ma prawa decydować o ich przekazaniu. Jego obowiązkiem jest niezwłoczne poinformowanie administratora – chyba że obowiązujące prawo krajowe wprost tego zakazuje. Oznacza to konieczność umieszczenia w umowach powierzenia jasnych procedur działania w takich sytuacjach wraz z podziałem kompetencji i określeniem sposobu kontaktów z organami publicznymi.

Polecamy:

AI jako przewaga konkurencyjna o ludzkiej twarzy

Kim jest kurator do doręczeń?
Listopad 2025
26
Środa
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Wykreślenie hipoteki z księgi wieczystej - jak to zrobić?
  2. Pełnomocnictwo do rejestracji samochodu – wzór z omówieniem
  3. Chorobowe przedsiębiorcy a wynagrodzenie za czas niezdolności do pracy w 2025
  4. Dodatek mieszkaniowy 2025 - komu przysługuje i jak go dostać?
  5. Wypowiedzenie umowy najmu na czas określony a opłata za czynsz
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prawo gospodarcze

Kim jest kurator do doręczeń?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025
eCommerce Business Innovations w Katowicach – pierwsza konferencja o e-handlu na Górnym Śląsku! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów