Kiedy (ostatecznie!) i jak UE zreformuje prawo ochrony danych osobowych?

To zasadnicze pytanie pojawia się niemal po każdym posiedzeniu organów Unii, które odbywają się już od początku 2012 roku. Posiedzenia te są poświęcone tematyce projektu rozporządzenia UE regulującego ochronę danych osobowych (projekt Komisji Europejskiej i Parlamentu Europejskiego), które finalnie zastąpi obowiązującą już prawie 20 lat Dyrektywę UE 95/46/WE o ochronie danych osobowych. Pierwotnie planowano zakończenie prac nad rozporządzeniem przed końcem obecnej (VII) kadencji organów Unii, tj. do maja 2014 roku, aczkolwiek ostatnia unijna debata w tej sprawie, która odbyła się we wtorek, tj. 4 marca 2014 roku, wyraźnie pokazała, iż realnym terminem zakończenia dyskusji nad skomplikowanymi szczegółami europejskiej reformy, jak również osiągnięcia ostatecznego tekstu projektu, jest koniec roku 2014.

2014 czy 2016 rok?

Należy zaznaczyć, iż samo osiągnięcie porozumienia nad finalną treścią projektu rozporządzenia, nie oznacza jeszcze natychmiastowego wdrożenia jego wytycznych we wszystkich krajach UE. Istotną kwestią pozostaje tutaj przewidziany w przedmiotowym projekcie rozporządzenia (art. 91) dwuletni okres vacatio legis na przystosowanie wszystkich państw UE do wymogów omawianego aktu. Wniosek – nowe rozporządzenie UE regulujące ochronę danych osobowych wejdzie w życie najwcześniej jesienią 2016 roku.

Skutki reformy

Ogromny postęp technologiczny, jaki nastąpił od 1995 roku (tj. od wejścia w życie obowiązującej Dyrektywy UE 95/46/WE o ochronie danych osobowych), w szczególności w zakresie korzystania z Internetu, radykalnie zmienił praktyki biznesowe i możliwości dotyczące gromadzenia, wykorzystania i przetwarzania danych osobowych. Nowe rozporządzenie zapewni obywatelom UE odpowiednią ochronę prawną w odniesieniu do ich danych osobowych, zagwarantuje spójne i zharmonizowane stosowanie zasad, zarówno w sektorze publicznym, jak i prywatnym. „W tej chwili państwa UE uznają, że jest potrzebne nowe rozporządzenie, trzeba lepiej chronić dane osobowe obywateli, a rozwiązania prawne z lat 90. XX wieku nie przystają do wymagań rzeczywistości” – stwierdził po ostatniej unijnej debacie Minister Administracji i Cyfryzacji, Rafał Trzaskowski.

„One stop shop” jako jeden z fundamentów reformy

Jednym z kluczowych założeń nowego rozporządzenia jest zasada „one stop shop” oznaczająca pojedynczą instytucję, którą przewiduje przepis art. 54a ust. 1 niniejszego projektu rozporządzenia. Mechanizm „one stop shop” zakłada, iż organ właściwy ze względu na siedzibę główną administratora, jako organ nadzorczy, powinien mieć pełne i wyłączne kompetencje korygujące (ang. corrective measures) w przypadku przetwarzania danych, które ma miejsce w więcej niż jednym państwie członkowskim. W perspektywie przedsiębiorstw zasada „one stop shop” okazuje się być największym atutem niniejszej reformy. Dlaczego? Kiedy przedsiębiorstwo prowadzi swoją działalność w różnych państwach członkowskich UE, to obecnie ma do czynienia z organami ochrony danych osobowych z każdego państwa. W Niemczech sytuacja jest jeszcze bardziej skomplikowana, ponieważ ochrona danych osobowych jest sprawą państwa, a każdy z 16 niemieckich krajów związkowych (landów), ma swoje własne organy ochrony danych osobowych. Co więcej, interpretacja niemieckiego prawa o ochronie danych osobowych może znacząco różnić się wśród owych władz państwowych. I tak, jeżeli zapytamy władze północnych i południowych Niemiec o to samo, otrzymamy dwie zupełnie różne odpowiedzi. Dlatego nikogo nie dziwi fakt, iż przedsiębiorstwa uważają „one stop shop” za przełomową ideę w europejskich przepisach regulujących ochronę danych osobowych.

100 mln Euro – maksymalne sankcje administracyjne

Innym, równie istotnym założeniem reformy, jest stosowanie „skutecznych, proporcjonalnych i odstraszających” sankcji administracyjnych wobec każdego, kto nie będzie spełniał obowiązków, jakie przewiduje rozporządzenie. Organ nadzoru (niezależny i bezstronny) będzie uprawniony do wymierzenia co najmniej jednej z następujących sankcji: ostrzeżenia na piśmie, w przypadku wykrycia pierwszej i niezamierzonej niezgodności; regularnej okresowej kontroli; grzywny do 100 000 000 Euro lub 5% rocznego przychodu w przypadku przedsiębiorcy, w zależności od tego, która kwota będzie wyższa (art. 79 ust. 2a rozporządzenia).

Profilowanie w sieci

4 marca 2014 roku, tj. podczas ostatniego posiedzenia dotyczącego reformy przepisów o ochronie danych osobowych, ministrowie dyskutowali także na temat profilowania w sieci. Debata odnosiła się do tego, w jaki sposób na podstawie zachowań użytkowników, można określić ich preferencje w przyszłości, aby np. skierować do nich odpowiednią reklamę. „Chodzi o to, by pozwolić na profilowanie tam, gdzie się ono przydaje i przynosi pozytywne skutki, ale zakazać tam, gdzie może to doprowadzić do negatywnych skutków, np. dyskryminacji” – stwierdził minister Trzaskowski. „Jeżeli ktoś zamawia przez Internet chipsy i koszulki XXL, to za kilka lat mógłby być zupełnie inaczej traktowany przez firmy ubezpieczeniowe, które mogą uznać, że jego zachowanie prowadzi do większego ryzyka” – tłumaczył minister.

ABI nowym Inspektorem Ochrony Danych?

Niewątpliwie reforma przepisów dotyczących ochrony danych osobowych w UE jest niezbędna, w szczególności jeżeli chodzi o kwestie, które do tej pory nie zostały uregulowane w obowiązującej Dyrektywie UE 95/46/WE, jak np. precyzyjne określenie statusu i zadań Administratora Bezpieczeństwa Informacji (ABI). Projekt rozporządzenia przewiduje obowiązek wyznaczenia Inspektora Ochrony Danych w każdym przedsiębiorstwie, które przetwarza dane osobowe więcej niż 5000 podmiotów. Ponadto przepisy art. 35-37 omawianego rozporządzenia jednoznacznie określają status i zadania należące do Inspektora Ochrony Danych, a także obowiązek jego wyznaczania na okres co najmniej dwóch lat! Zasadnicze pytanie, jakie budzi szereg wątpliwości – Czy Inspektor Ochrony Danych (ang. data protection officer), będzie jednocześnie oznaczał ABI? Problem dotyczący niniejszej nomenklatury zapewne zostanie niebawem rozwiązany…

Artykuł autorstwa Justyny Bardadyn

Źródła

http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf

http://www.cr-online.de/blog/2013/12/06/one-stop-shop-the-devil-is-in-the-detail/

http://wyborcza.biz/biznes/1,100969,15567179,Szef_MAC__UE_moze_zreformowac_prawo_o_ochronie_danych.html

http://www.lex.pl/czytaj/-/artykul/unia-bedzie-kompleksowo-chronic-dane-osobowe

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO