Reforma europejskich regulacji prawnych dotyczących ochrony danych osobowych – najważniejsze kierunki proponowanych zmian

A A A

O reformie europejskich regulacji prawnych dotyczących ochrony danych osobowych dyskutuje się od co najmniej 6 lat. Obecnie obowiązująca dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281/31) była przygotowywana na początku lat 90. XX w., a więc w czasach, gdy Internet dopiero się rozwijał, a większość współczesnych usług, takich jak serwisy społecznościowe czy płatności on-line, nie była jeszcze znana. Mechanizmy tej dyrektywy nie odpowiadają zagrożeniom dla prywatności, jakie niesie korzystanie z globalnej sieci. Artykuł przedstawia główne kierunki proponowanej reformy przepisów unijnych w tym zakresie.

 

W dniu 25.1.2012 r. Komisja Europejska opublikowała projekt roz­po­rzą­dzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (dalej: Projekt RODO). Parlament Europejski przyjął w dniu 12.3.2014 r. projekt z poprawkami1. Prace nad tym aktem zakończą się zapewne w 2015 r., a całość miałaby wejść w życie po upływie 2 lat od opublikowania aktu. Procedowane rozporządzenie ma zastąpić obowiązującą obecnie dyrektywę 95/46/WE. Wśród głównych powodów rozpoczęcia prac nad Projektem RODO można wymienić następujące czynniki:

1) rozwój technologii powodujący nowe zagrożenia dla prywatności i ochrony danych osobowych, które z kolei skutkują wzrostem nieufności wobec nowych usług, (takich jak zakupy w Internecie, e-administracja itp.);

2) przyjęcie od czasu wydania dyrektywy 95/46/WE co najmniej dwóch bardzo ważnych aktów odwołujących się m.in. do ochrony danych osobowych. Traktatem lizbońskim wprowadzono do Traktatu o funkcjonowaniu Unii Europejskiej art. 16 ust. 1 przyznający każdemu prawo do ochrony jego danych osobowych; podobnie sformułowane prawo znalazło się w art. 8 Karty praw podstawowych;

3) zróżnicowany sposób implementacji dyrektywy 95/46 w poszczególnych państwach UE.

Forma regulacji

Nowe przepisy w zakresie ochrony danych osobowych zostaną przyjęte w formie rozporządzenia UE. Charakter prawny rozporządzeń UE został określony w art. 288 Traktatu o funkcjonowaniu Unii Europejskiej. Rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Z powyższych cech rozporządzenia wynikają następujące konsekwencje:

1) państwa członkowskie nie mogą zastosować rozporządzenia w sposób niepełny lub selektywny;

2) państwa członkowskie powinny ściśle podporządkować się rozporządzeniu, ponieważ co do zasady rozporządzenie nie pozostawia żadnego marginesu uznania, jak wykonywać jego normy (nie oznacza to, że rozporządzenie reguluje daną kwestię w sposób kompletny, często bowiem musi być uzupełnione przez inne akty prawne). W pewnych sytuacjach stosowanie rozporządzenia może wymagać interwencji normatywnej państwa członkowskiego, niemniej takie „uzupełnienie” może mieć na celu jedynie jego prawidłowe wykonanie;

3) rozporządzenie jest bezpośrednio stosowane w państwach członkowskich, tj. wejście w życie i stosowanie rozporządzenia – inaczej niż w przypadku dyrektyw – nie wymagają żadnego aktu przyjęcia do prawa krajowego. Innymi słowy, rozporządzenie stosowane jest w prawie krajowym wprost, a stosowana w niektórych przypadkach praktyka powtarzania w prawie krajowym przepisów rozporządzenia jest nieprawidłowa i naraża na szwank zasadę równoczesnego i jednolitego stosowania rozporządzenia w całej Unii.

 

Podstawową korzyścią z zakładanej formy regulacji ochrony danych osobowych ma być to, że przedsiębiorcy wykorzystujący dane osobowe mieliby do czynienia z jednym aktem prawnym a nie 28 różnymi implementacjami obowiązującej dyrektywy. Korzyści z tego tytułu dla gospodarki ocenia się na 2,3 miliarda euro2 rocznie.

Nowe rozwiązania w Projekcie RODO

Projekt RODO podtrzymuje w znacznej mierze dotychczasowe mechanizmy i instytucje opisane w dyrektywie 95/46/WE, częściowo je uzupełnia lub doprecyzowuje. Pojawiło się jednak sporo nowych rozwiązań i instytucji, z których wybrane zostały omówione poniżej.

Dane osobowe

Przegląd Projektu RODO warto zacząć od definicji danych osobowych. W pierwotnej propozycji Komisji dane osobowe były częścią definicji podmiotu danych. Według tej definicji „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby. Dane osobowe zaś to wszelkie informacje odnoszące się do podmiotu danych. Wydaje się, że autorzy definicji pragnęli zwrócić uwagę na różne rodzaje danych, które pozostawiamy w sieci, a które w połączeniu z innymi mogą nas identyfikować lub ułatwić profilowanie. Co do wielu z nich (np. adresu IP urządzenia końcowego) już od dawna trwała dyskusja, czy pozwalają one na identyfikację osób fizycznych. Możliwość identyfikacji zależy bowiem w znacznej mierze od okoliczności wykorzystywania danych. Definicja przyjęta w projekcie niewiele jednak w tym względzie zmieniała, warto bowiem zwrócić uwagę, że pkt 24 preambuły do Projektu RODO stwierdza, że „numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekoniecznie muszą być uważane za dane osobowe w każdych okolicznościach”.

 

W wersji Parlamentu Europejskiego słusznie powrócono do koncepcji podobnej do obowiązującej obecnie, tj. definicji danych osobowych traktowanych jako wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, dodając jedynie pewne przykłady danych identyfikujących osobę.

Zgodnie z art. 4 pkt 2 Projektu RODO: „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiotu danych”); „osoba możliwa do zidentyfikowania” to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności za pomocą takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce pobytu, niepowtarzalny identyfikator lub co najmniej jeden szczególny czynnik określający tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub płciową tej osoby.

Zakres Rozporządzenia

Nie uległ istotnym zmianom sposób definiowania administratora danych, warto natomiast zwrócić uwagę na wskazany w Projekcie RODO zakres terytorialny projektowanego aktu.

Rozporządzenie będzie miało zastosowanie do przetwarzania danych osobowych w kontekście działalności prowadzonej w zakładzie administratora lub podmiotu przetwarzającego na terytorium Unii (w wersji Parlamentu Europejskiego dodano, że nie ma znaczenia, czy przetwarzanie faktycznie ma miejsce na terytorium UE).

Rozporządzenie ma być również stosowane do przetwarzania danych osobowych podmiotów mających miejsce zamieszkania w Unii przez administratora niemającego siedziby w Unii, gdy przetwarzanie wiąże się z:

1) oferowaniem towarów lub usług takim podmiotom danych w Unii lub

2) monitorowaniem ich zachowania.

W wersji Parlamentu Europejskiego dodano, że chodzi nie tylko o administratora, lecz także o podmiot przetwarzający dane na zlecenie, a oferowanie usług nie musi wiązać się z obowiązkiem płatności, aby akt stosował się do podmiotów spoza UE.

Obowiązki o charakterze administracyjnym

Projekt RODO praktycznie znosi obecne obowiązki związane z notyfikacją przetwarzania danych do organów nadzorczych. Ważnym dla małych i średnich przedsiębiorstw roz­wiązaniem jest brak obowiązku ustanowienia inspektora ochrony danych (odpowiednika naszego dzisiejszego administratora bezpieczeństwa informacji), o ile przetwarzanie danych nie jest główną działalnością administratora lub podmiotu przetwarzającego dane na zlecenie. Co więcej, grupa dużych przedsiębiorców będzie mogła wyznaczyć jednego inspektora dla wszystkich przedsiębiorstw. Warto tu jednak odnotować, że w wersji Parlamentu Europejskiego dodano, że obowiązek powołania inspektora będzie spoczywał również na osobach prawnych i przetwarzających dane ponad 5000 osób rocznie w dowolnym okresie kolejnych 12 miesięcy.

Istotną nowością ułatwiającą życie przedsiębiorcom miałoby być wprowadzenie idei „one-stop-shop” polegającej na tym, że organ nadzorczy właściwy ze względu na główną siedzibę przedsiębiorcy byłby odpowiedzialny za nadzór nad jego działalnością we wszystkich państwach członkowskich UE. Rozwiązanie to zostało uzupełnione o obowiązek konsultacji środka nadzorczego z organami nadzorczymi innych państw członkowskich. „One-stop-shop” ma również dotyczyć obywateli – każdy podmiot danych będzie miał prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uzna, że przetwarzanie dotyczących go danych nie jest zgodne z przepisami rozporządzenia.

Ostateczne brzmienie przepisów dotyczących „one-stop-shop” jest nadal dyskutowane.

Kary administracyjne

Jedną z najbardziej kontrowersyjnych propozycji w Projekcie RODO są kary administracyjne. Dotychczasowa praktyka (w tym również polska) wskazuje, że tradycyjne środki karne w postaci kar pozbawienia lub ograniczenia wolności pozostają sankcjami wyłącznie teoretycznymi. W 17-letniej historii regulacji w Polsce sądy zasądzały jedynie kary grzywny (i to tylko w nielicznych przypadkach w porównaniu z ilością zgłoszeń dokonanych przez Generalnego Inspektora Ochrony Danych Osobowych), można więc powiedzieć, że dotychczasowe sankcje nie przyczyniły się do poprawy poziomu przestrzegania zasad ochrony danych osobowych. Dlatego zasadna wydaje się potrzeba sięgnięcia do środków o charakterze administracyjnym (sprawdzonych m.in. w Hiszpanii).

Według pierwotnej propozycji Komisji, kara pieniężna nakładana przez organ nadzorczy będzie mogła wynieść maksymalnie 1 mln euro, a w przypadku przedsiębiorstw – do 2% rocznego globalnego obrotu. Parlament Europejski zmodyfikował tę propozycję, dodając do katalogu sankcji ostrzeżenie w przypadku pierwszego i niezamierzonego naruszenia oraz obowiązek regularnych okresowych kontroli, a wysokość kary określono na maksymalnie 100 mln euro lub – w przypadku przedsiębiorcy – do 5% rocznego globalnego obrotu, w zależności, która z kwot jest wyższa.

Prawo do bycia zapomnianym i prawo do usunięcia danych

Prawo do bycia zapomnianym i prawo do usunięcia danych zostały sformułowane w art. 17 Projektu RODO przedstawionego przez Komisję. Wersja Parlamentu Europejskiego została sformułowana tylko jako prawo do usunięcia danych, niemniej merytoryczne różnice pomiędzy kształtem obu zapisów nie są duże.

W wersji Parlamentu Europejskiego prawo to polega na możliwości uzyskania przez podmiot danych usunięcia dotyczących go danych osobowych oraz zaprzestania dalszego rozpowszechniania tych danych, a także do uzyskania od stron trzecich usunięcia wszelkich linków do tych danych lub ich kopii lub replikacji. Prawo to przysługuje zarówno wobec administratora danych, jak i podmiotu przetwarzającego. Parlament rozszerzył także listę przypadków, w których można skorzystać z tego prawa. Chodzi o następujące sytuacje:

1) został zrealizowany cel przetwarzania danych;

2) podmiot danych wycofał uprzednio udzieloną zgodę lub upłynął termin na jaki zgoda została wyrażona;

3) osoba zgłosiła tzw. sprzeciw wobec przetwarzania jej danych osobowych (instytucja sprzeciwu została odrębnie uregulowana w art. 19 Projektu RODO);

4) zapadło ostateczne orzeczenie sądu nakazujące usunięcie danych;

5) dane są przetwarzane niezgodnie z prawem.

Pozostałe gwarancje ochrony prywatności

Warto także wskazać na wzmocnienie gwarancji o charakterze zapobiegawczym. W art. 23 Projektu RODO sformułowano przepisy wdrażające idee „privacy by design” oraz „privacy by default”. Idea „privacy by design” zakłada, że na etapie wdrażania nowych rozwiązań wymogi rozporządzenia będą niejako „wbudowane” w projekt i to niezależnie od jego charakteru (nowy produkt, usługa, struktura organizacyjna i in.). „Privacy by default” to z kolei obowiązek wdrożenia mechanizmu służącego zapewnieniu, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane lub zatrzymywane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewnią w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób. Będzie to miało szczególne znaczenie w przypadku np. aplikacji na urządzenia mobilne.

Pozostałe zmiany

Projekt RODO powtarza niektóre już istniejące rozwiązania z dyrektywy 95/46/WE, które zostały jednak uzupełnione i uszczegółowione. Dotyczy to w szczególności przepisów o zasadach przetwarzania danych (art. 5), podstawach prawnych przetwarzania danych (art. 6), przetwarzania szczególnych kategorii danych (art. 9), obowiązku informacyjnego i prawa dostępu do danych (art. 14), prawa poprawiania danych (art. 16). Interesującą kwestią jest zagadnienie profilowania (tj. oceny niektórych aspektów życia osobistego na podstawie automatycznego przetwarzania danych). W wersji Komisji sformułowano prawo do tego, aby nie podlegać automatycznemu profilowaniu (art. 20). Stanowi to rozwinięcie obecnego art. 15 ust. 1 dyrektywy 95/46/WE zakazującego podejmowania indywidualnych decyzji na podstawie automatycznego przetwarzania danych. W wersji Parlamentu Europejskiego podmiot danych będzie miał prawo sprzeciwu wobec profilowania.

Powyższe omówienie obejmuje jedynie najistotniejsze kwestie i kierunki zmian. Ostateczna wersja Projektu RODO powinna być znana w ciągu kilku miesięcy. Oznacza to, że wejście w życie nowych przepisów może nastąpić nawet w 2018 r. Jednak już teraz należy podkreślić, że wątpliwe jest, by szybko został osiągnięty główny cel regulacji, a mianowicie ujednolicenie stosowanego prawa. Postanowienia Projektu RODO są bowiem niejednokrotnie sformułowane w sposób budzący duże wątpliwości co do ich interpretacji.

Podstawa prawna

  • dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE L 281/31)

Zdaniem redaktora

Proponowane zmiany przepisów unijnych w zakresie ochrony danych osobowych mają zostać przyjęte w formie rozporządzenia unijnego, którego jednym z podstawowych założeń jest bezpośrednie i ścisłe stosowanie we wszystkich krajach Unii Europejskiej. Ma to na celu zapewnienie przestrzegania jednolitych standardów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Planowane zmiany obejmą swoim zasięgiem zarówno definicje pojęć związanych z regulowaną problematyką, obowiązki o charakterze administracyjnym, kary administracyjne, oraz prawo do bycia zapomnianym i prawo do usunięcia danych. Ujednolicenie stosowanych reguł w zakresie ochrony danych osobowych ma w założeniu ułatwić funkcjonowanie administratorów danych, a także przynieść znaczne oszczędności z tym związane.

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Reforma europejskich regulacji prawnych dotyczących ochrony danych osobowych – najważniejsze kierunki proponowanych zmian
Arwid Mednis
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny