Zaznacz stronę
Prace nad zmianami Komisja Europejska rozpoczęła 4 listopada 2010r. Po przeprowadzeniu konsultacji społecznych, opublikowała ona komunikat pt. „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”, w którym – biorąc pod uwagę wyzwania wynikające z globalizacji i nowych technologii oraz potrzebę zagwarantowania swobodnego obiegu danych osobowych – zaproponowała modernizację przepisów.

Parlament Europejski i Rada poparły stanowisko Komisji w 2011r. 25 stycznia 2012 r. Komisja przedstawiła komunikat zawierający opis najważniejszych elementów reformy ochrony danych oraz projekty dwóch nowych aktów prawnych: – ogólnego rozporządzenia o ochronie danych (zastępującego dyrektywę 95/46/WE PARLAMENTU EUROPEJSKIEGO I RADY z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych) – dyrektywy (zastępującej decyzję ramową 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych) określającej przepisy o ochronie danych osobowych przetwarzanych do celów zwalczania przestępczości.

Po prawie 5 latach prac, w kwietniu 2016 roku, PE i Rada przyjęły nowe przepisy w tej materii i pakiet legislacyjny został przyjęty w dwóch czytaniach. 4 maja 2016 r. w Dzienniku Urzędowym UE opublikowano Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20 dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r. natomiast dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Państwom członkowskim przysługują 2 lata na wdrożenie przepisów dyrektywy (w Wielkiej Brytanii i Irlandii dyrektywa będzie miała zastosowanie jedynie w ograniczonym stopniu; Dania ma 6 miesięcy – od daty przyjęcia dyrektywy – na podjęcie decyzji o jej ewentualnej transpozycji do krajowego prawodawstwa).

Celem Rozporządzenia jest ujednolicenie krajowych przepisów dotyczących ochrony danych osobowych oraz zapewnienie osobom, których dane dotyczą, aby przetwarzanie danych osobowych odbywało się z poszanowaniem ich praw i wolności. Jak czytamy w preambule Rozporządzenia:

„regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”.

Co to oznacza? Do tej pory obowiązuje Dyrektywa 95/46/WE i polska ustawa o ochronie danych osobowych z roku 1997 (Dz. U. 2015 poz. 2135 ze zm. Dyrektywa oddziałuje na systemy prawne państw członkowskich jedynie pośrednio. Tworzy pewne ramy i standardy. Jednak przed polskimi Sądami czy Generalnym Inspektorem Ochrony Danych Osobowych, nie możemy się na nią bezpośrednio powoływać. Polska ma za to obowiązek wprowadzić przepisy, które implementują Dyrektywę do krajowego porządku prawnego a co za tym idzie, każde państwo członkowskie UE będzie miało tak naprawdę różniące się w mniejszym lub większym stopniu przepisy. To wpływa na wzajemne relacje pomiędzy podmiotami z poszczególnych krajów członkowskich i utrudnia wymianę informacji a co za tym idzie i ich ochronę.

Różnorodność przepisów ich złożoność i często prowadziły do absurdalnych sytuacji, w której firmy musiały każdorazowo dostosowywać swoje systemy do innych regulacji. Globalizacja powoduje, że firmy coraz prężniej działają na rynku europejskim a co za tym idzie wymagana jest ochrona przetwarzanych przez nich danych. Co istotne w tym wypadku to, aby obieg informacji przebiegał swobodnie w oparciu o jasne dla wszystkich stron kryteria. Dodatkowo pojawiły się na rynku europejskim firmy o zasięgu światowym jak Google czy Facebook, które operują danymi osobowymi na olbrzymią skalę przetwarzają dane kilkuset milionów Europejczyków. Jednak podstawowym impulsem do zmian był rozwój technologii informatycznych i konieczność dostosowania przepisów do zmian jakie zachodzą w otaczającym nas świecie.

Cześć przepisów dyrektywy nie sprawdziła się, część wymagała doprecyzowania jak np. kwestia wyrażania zgody czy egzekwowania praw przysługujących osobom, których dane są przetwarzane. Dodatkowo wszystko komplikował fakt różnorodnej implementacji jej przepisów do porządku prawnego poszczególnych Państw UE. Te różnice przekładają się na duże koszty funkcjonowania firm, które przetwarzają dane osobowe w kilku państwach. Dlatego też pomysł zastąpienia wszystkich tych przepisów jednym Rozporządzeniem identycznym dla całej wspólnoty UE wydaje się wychodzić naprzeciw oczekiwaniom wszystkich uczestników tego procesu i zapewnia szybką i sprawną modyfikację norm wraz ze zmieniającym się otoczeniem prawnym i zmianami technologicznymi i informatycznymi, bez konieczności oczekiwania na długi i skomplikowany proces implementacyjny.

Zakres zmian obejmuje m. in. nowe przepisy zawarte w rozporządzeniu tj.:

  • powiększenie katalogu praw przysługujących osobom, których dane są przetwarzane;
  • wprowadzenie nowych regulacji takich jak: prawo do usunięcia lub sprostowania danych oraz „prawo do bycia zapomnianym”;
  • uregulowanie warunków wyrażenia zgody na przetwarzanie danych prywatnych oraz kwestie zgłaszania naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o naruszeniu ochrony danych;
  • zapewnia prawo do przenoszenia danych do innego usługodawcy;
  • zapewnia prowadzenie polityki prywatności w sposób przejrzysty i zrozumiały dla użytkownika;
  • przewiduje kary pieniężne dla administratorów i podmiotów przetwarzających za naruszanie przepisów (UWAGA!! nawet w wysokości 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego).

Rozporządzenie przewiduje dodatkowo ustanowienie Europejskiej Rady Ochrony Danych, która skupiałaby przedstawicieli wszystkich 28 niezależnych organów nadzorczych. Dyrektywa z kolei określa m.in. minimalne normy dotyczące przetwarzania danych osobowych dla potrzeb policji i sądów oraz swobodnego przepływu tych danych we wszystkich państwach UE.

Dodatkowo nowe przepisy zawarte w rozporządzeniu i dyrektywie określają:

  • obowiązki administratora danych,
  • regulują kwestie przekazywania danych do państwa trzeciego oraz przyznają osobom, których dane są przetwarzane,
  • prawo do odszkodowania za ewentualne szkody wynikające z ich nieprzepisowego przetwarzania.
Mariusz Sulima – prawnik i socjolog, ABI
UA-94118563-1