Ochrona danych osobowych w firmie i szkolenia ABI
Reforma prawa ochrony danych osobowych w UE

Reforma prawa ochrony danych osobowych w UE

serwerownia2

Od przyjęcia dyrektywy 95/46/WE  Parlamentu Europejskiego i Rady, w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych upłynęło prawie 20 lat. Nie trzeba podkreślać jak długi jest to okres czasu w realiach postępu technologicznego ostatnich dwóch dekad. Naprzeciw zmianom w zakresie metod i procesu przetwarzania danych osobowych próbuje wychodzić projekt rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych.

Uzasadniając wniosek rozporządzenia, Komisja Europejska stwierdziła, że obecnie technologia umożliwia wykorzystywanie danych osobowych na niespotykaną dotąd skalę. Osoby fizyczne coraz części udostępniają informacje osobowe publicznie i globalnie, a technologia całkowicie zmieniła zarówno gospodarkę, jak i życie społeczne. Z tego też powodu, zmiany w zakresie regulacji tej sfery życia w formie bezwzględnie obowiązującej regulacji na terenie całej Unii wydają się jak najbardziej uzasadnione.

Projekt Rozporządzenia można uznać za bardzo wyczerpujący i kompleksowy. Negatywą cechą takiego podejścia legislacyjnego jest jednak to, że na skutek mnogości konsultacji wielu aspektów rozporządzenia prace nadal się przedłużają i zapewne jeszcze potrwają. Niestety możliwe, że postęp technologiczny już w momencie wejścia w życie rozporządzenia wyprzedzi znajdujące się tam regulacje.

W założeniu rozporządzenie wprowadzi szereg nowych zagadnień m.in. zasady przejrzystości, wyjaśnienie zasady minimalizacji danych oraz ustalenie zasad ponoszenia całkowitej odpowiedzialności przez administratora. Dodaje wyjaśnienie kolejnych terminów tworząc definicje legalne  (dane genetyczne, dane biometryczne, główna siedziba i.in.). Ureguluje obowiązek przeprowadzania przez administratorów i podmioty przetwarzające dane, oceny skutków w zakresie ochrony danych przed podjęciem ryzykownych operacji przetwarzania (art. 33). Przedstawi wspólne zasady postępowań sądowych oraz zobowiązuje państwa członkowskie do ustanowienia przepisów dotyczących kar, nakładania kar za naruszenia rozporządzenia oraz zapewnienia wdrożenia jego przepisów.

W stosunku do regulacji wynikającej z art. 12 lit. b Dyrektywy 95/46 projekt rozporządzenia rozbudowuje „pojęcie prawa do bycia zapomnianym”. Art. 17 rozporządzenia wskazuje warunki wykonania prawa do bycia zapomnianym, w tym obowiązek administratora, który podał dane osobowe do wiadomości publicznej, poinformowania osób trzecich o wniosku podmiotu danych dotyczącym usunięcia wszelkich linków do danych, kopii lub replikacji tych danych osobowych.

Kolejnym ważnym aspektem regulacji jest problematyka tzw. profilowania. Rozporządzenie określa ramy profilowania oraz prawo do niepodlegania mechanizmom, które opierają się wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów osobistych lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej.

Interesującą zmianą jest również wyjaśnienie statusu i obowiązków podmiotów przetwarzających dane w imieniu Administratora Danych, oparty na podstawie art. 17 ust. 2 dyrektywy 95/46/WE. W projekcie dodano do nich nowe elementy, m.in. uznanie podmiotu, który przetwarza dane w zakresie przekraczającym zalecenia administratora jako współadministratora.

Istotnym z punktu widzenia administratorów danych jest również art. 33 projektu. Wprowadza on bezwzględny obowiązek, powołania inspektora ochrony danych dla sektora publicznego oraz, w sektorze prywatnym, dla dużych przedsiębiorstw lub tam, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania.

Kolejną i chyba bezpośrednio dotkliwą dla Administratorów zmianą jest obowiązek państw członkowskich UE do ustanowienia przepisów dotyczących nakładania kar za naruszenia rozporządzenia oraz zapewnienia wdrożenia jego przepisów. Podobny obowiązek nakładania sankcji administracyjnych dotyczy organów nadzorczych.  Będą one miały prawo do nakładania grzywien do kwoty maksymalnej 1 000 000 Euro lub 2 % rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie naruszy przepisy rozporządzenia.

Jest to bardzo ogólne przedstawienie tez projektu rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Jednak jak można zauważyć zmiany idą w kierunku większej ochrony podmiotów danych oraz ukróceniu patologii procesów przetwarzania danych.

 Więcej:

– Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych

Marcin Kaleta

Prezes Zarządu