Jednolity europejski system ochrony danych osobowych

Długo zapowiadane zmiany w zakresie przebudowy systemu ochrony danych osobowych w Unii Europejskiej w końcu ujrzą światło dzienne.

Po ponad czerech latach prac nad reformą europejskiego systemu ochrony danych osobowych prowadzonych przez instytucje Unii Europejskiej i grupy robocze, w dniu 14 kwietnia 2016 roku Parlament Europejski uchwalił nowe przepisy, tzw. pakiet legislacyjny dotyczący nowych unijnych ram prawnych ochrony danych osobowych.

W ramach pakietu Parlament Europejski przyjął:

• rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz

• dyrektywę w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/997/WSiSW.

Celem wprowadzenia nowych przepisów jest zapewnienie jednakowego, wysokiego poziomu ochrony danych osobowych w całej Unii Europejskiej, dostosowanego do wyzwań powszechnej komputeryzacji i cyfryzacji, w tym głównie zapewnienie lepszej niż dotychczas kontroli nad własnymi danymi osobowymi dla użytkowników Internetu.

Nowe regulacje określają w szczególności warunki wyrażenia zgody na przetwarzanie danych prywatnych; zapewnienie, że obowiązki wykonywane wobec osób, których dane dotyczą, realizowane będą w sposób bardziej transparentny; prawo do przenoszenia danych do innego usługodawcy; ustanowienie procedur współpracy administracyjnej prowadzonej pomiędzy organami ochrony danych osobowych państw członkowskich UE, minimalne normy dotyczące wykorzystania danych do celów policyjnych i sądowych; nakładanie administracyjnych kar pieniężnych (nawet w wysokości 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa) i ich zdecydowane egzekwowanie.

Jedną z kluczowych jest kwestia podlegania europejskim przepisom o ochronie danych osobowych przez przedsiębiorstwa oferujące usługi obywatelom Unii Europejskiej, nawet jeśli nie posiadają swojej siedziby na terytorium Unii Europejskiej. Ma to w szczególności istotne znaczenie dla przedsiębiorstw amerykańskich, które w związku z upadkiem programu „Bezpiecznej przystani”, aktualnie nie gwarantują właściwego poziomu ochrony danych osobowych.

Jednakże pomimo wysokich kar finansowych (nawet w wysokości 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa) oraz m.in. możliwości złożenia przez obywatela skargi do krajowego organu, na działania firmy mającej siedzibę w innym państwie – zdaniem specjalistów (z Fundacji Panoptykon) nowe przepisy niedostatecznie chronią konsumentów przed zagrożeniami związanymi z ciągłymi zmianami w świecie technologii. Ponadto nowe regulacje przewidują liczne wyjątki, pozwalające faktycznie obniżać standard ochrony danych osobowych. Szczególnie widoczne jest to w zakresie współpracy policyjnej, gdzie nowe przepisy stwarzają pole do nadużyć względem praw obywateli, w szczególności prawa dostępu do danych czy ich poprawiania.

Przepisy rozporządzenia wejdą w życie w terminie 20 dni od dnia opublikowaniu ich w Dzienniku Urzędowym Unii Europejskiej. Będą one stosowane bezpośrednio po upływie 2 lat licząc od daty wejścia w życie przez wszystkie państwa członkowska. Przepisy dyrektywy podlegają wdrożeniu (w terminie dwóch lat) co do zasady we wszystkich państwach członkowskich, zaś w ograniczonym zakresie przez Wielką Brytanię i Irlandię, natomiast Holandia będzie miała prawo zdecydować, czy w ogóle chce ją wdrożyć.

Kinga Nastałek - Fałowska
Radca prawny