Rewolucyjne zmiany w ustawie o przetwarzaniu danych osobowych

Dobiegają końca prace nad nowym unijnym rozporządzaniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD), które ma zastąpić dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dzięki temu rozporządzeniu zostaną uregulowane najbardziej kontrowersyjne kwestie związane z ochroną danych w sieci m.in. prawo do usunięcia danych. Ale to nie wszystkie rewolucyjne zmiany.

Prawo do usunięcia danych (przed wprowadzeniem poprawek do rozporządzenia prawo to nosiło nazwę „prawo do bycia zapomnianym i do usunięcia danych”), zdefiniowane jest w art. 17 przedmiotowej regulacji. Nowe przepisy wskazują, że podmiot danych ma prawo do uzyskania od administratora i podmiotu przetwarzającego usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, a także do uzyskania od stron trzecich usunięcia wszelkich linków do tych danych lub ich kopii lub replikacji, jeśli zastosowanie ma jedna z następujących przesłanek:

1. dane nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób;
2. podmiot danych odwołuje zgodę, na której opiera się przetwarzanie lub gdy minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;
3. podmiot danych sprzeciwia się przetwarzaniu danych osobowych zgodnie z art. 19 ( art. 19 rozporządzenia reguluje wniesienie sprzeciwu wobec przetwarzania danych osobowych podmiotu danych);
4. sąd lub organ regulacyjny z siedzibą w Unii orzekł ostatecznie i kategorycznie, że przedmiotowe dane muszą zostać usunięte;
5. dane zostały przetworzone niezgodnie z prawem.  

Rozporządzenie ma na celu zapewnienie jednolitego poziomu ochrony danych osobowych we wszystkich państwach członkowskich, a także zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych.

Warto zauważyć, że rozporządzenie porusza problem profilowania konsumentów. Samo profilowanie osoby fizycznej polega na automatycznym przetwarzaniu danych mających służyć ocenie niektórych aspektów osobistych tej osoby fizycznej, analizie lub przewidywania wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania osoby fizycznej. Podstawową kwestią w tym zakresie jest prawo osoby fizycznej do „niebycia profilowanym”. Nowa regulacja dotyczyć będzie dopełnienia obowiązku informacyjnego wobec profilowania konsumentów. Na takie działanie wobec konsumenta potrzebna będzie jego zgoda.

Rozporządzenie wyposaża krajowe organy nadzorujące przetwarzanie danych osobowych w szczególnego rodzaju kompetencje, tj. prawo nakładania kar finansowych bez procedury sądowo-administracyjnej. Przeprowadzający kontrole inspektorzy Generalnego Inspektora Ochrony Danych Osobowych będą mogli nakładać kary, o ile zostanie stwierdzone naruszenie przepisów ustawy. Organ nadzorczy może nałożyć karę grzywny maksymalnej w wysokości 100 000 000 EUR lub 5% rocznego światowego obrotu, w przypadku przedsiębiorstw. Sankcje administracyjne uwzględniają m.in. następujące czynniki: charakter, powagę, czas trwania naruszenia, ta także skalę szkód, w tym szkód niepieniężnych, poniesionych przez podmioty danych. Rozporządzenie zwraca uwagę, że sankcja administracyjna w każdym indywidualnym przypadku powinna być skuteczna, proporcjonalna i odstraszająca.

Dodatkowo, rozporządzanie wprowadza definicje danych genetycznych oraz danych biometrycznych, których użycie coraz częściej występuje w zastosowaniu nowych technologii.  

Dane genetyczne, jak wskazuje rozporządzenie oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, wynikające z analizy próbki biologicznej danej osoby, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy wszelkich innych elementów umożliwiających pozyskanie równoważnych informacji. Natomiast dane biometryczne, definiowane są przez rozporządzenie jako wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne.

Należy zaznaczyć, że do tej pory ww. dane nie zostały zdefiniowane w naszym porządku prawnym.

Prace nad rozporządzeniem skupiają się w dużej mierze na jednoznacznym uregulowaniu spornych kwestii związanych z przekazywaniem danych osobowych w sieci. Na gruncie nowego rozporządzenia istnieje realna szansa, że internauci będą mieli większa kontrolę nad  przetwarzaniem swoich danych osobowych w wirtualnym świecie. Generalny Inspektor Ochrony Danych Osobowych uważa, że unijne rozporządzenie powinno wzmocnić użytkowników Internetu w dochodzeniu praw od światowych korporacji. Dr Edyta Bielak-Jomma liczy, że nowe przepisy wzmocnią ochronę danych w sieci, a do dbałości o prywatność i dane osobowe surfujący po Internecie zaczną podchodzić poważnie. Każdy z korzystający z  nowych technologii musi nauczyć się, że istnieje coś takiego jak prywatność, i że należy o nią dbać.

Należy podkreślić, że Ministrowie zgromadzeni w Radzie ds. Wymiaru Sprawiedliwości zatwierdzili przedstawione wyżej proponowane zmiany ogólne do wniosku Komisji, dotyczącego rozporządzenia o ochronie danych. Dzięki nowoczesnym i zharmonizowanym zasadom ochrony danych Europa będzie mogła podjąć wyzwania ery cyfrowej i zrobić kolejny krok na drodze do jednolitego rynku cyfrowego.

Mimo tego, że porozumienie zostało przyjęte, wiele państw w tym Polska, zgłaszało podczas dyskusji zastrzeżenia co do konkretnych przepisów, domagając się, by zostały one wzięte pod uwagę w trakcie negocjacji z europarlamentem.

Wątpliwości Polski dotyczą m.in. prawa do bycia zapomnianym. Według wiceministra Administracji i Cyfryzacji rozwiązanie zaproponowane w projekcie może okazać się nieskuteczne z punktu widzenia obywateli, a zarazem stać się nieproporcjonalnym obciążeniem dla firm. Nakłada ono bowiem na administratora danych obowiązek poinformowania wszystkich podmiotów przetwarzających te dane o wniosku o ich usunięcie. Polska uważa również, że należy zapewnić równowagę między ochroną prawa do prywatności a zapewnieniem wolności wypowiedzi. Głównym założeniem prezentowanego w Radzie stanowiska Polski było zapewnienie wysokiego poziomu ochrony danych osobowych bez utrudniania działalności gospodarczej przedsiębiorstw europejskich.

Zgodnie z polską opinią  nie należy też zezwalać na dalsze przetwarzanie danych osobowych do innych celów, niż do których dane te zostały udostępnione. Projekt przepisów przewiduje tymczasem, że dane takie będą mogły być dalej przetwarzane ze względu na tzw. uzasadniony interes administratora, czego jednak nie zdefiniowano wyraźnie. Takie rozwiązanie może znacznie osłabić kontrolę użytkowników Internetu nad swoimi danymi. 

W związku z tym, że rozporządzenie w sprawie ochrony danych jest jednym z najważniejszych, najtrudniejszych i zarazem najdłużej dyskutowanych aktów prawnych w ostatnich latach w Brukseli, Polska opowiada się za jak najszybszym zakończeniem prac nad nowymi przepisami unijnymi o ochronie danych, aby wzmocnić pewność ochrony danych osobowych obywateli UE. Rozporządzenie najprawdopodobniej zostanie przyjęte jeszcze w tym roku.