Unijna reforma przepisów o ochronie danych osobowych – informacje ogólne

European Union flags in front of the blurred European Parliament in Brussels, Belgium

Zbliża się gruntowna przebudowa ekosystemu ochrony danych osobowych w Unii Europejskiej. Obecnie europejska struktura ochrony danych opiera się na Dyrektywie 95/46/WE i implementujących ją krajowych aktach prawnych. Dyrektywa zawiera ogólne zasady dotyczące ochrony i przetwarzania danych osobowych i jest skierowana do państw członkowskich, które dopiero na jej podstawie tworzą krajowe przepisy. Według Komisji Europejskiej, ten dwupoziomowy układ stwarza problemy i trzeba go zmienić.

Krajowe akty prawne wprowadzające w życie przepisy Dyrektywy różnią się od siebie i niekiedy w zupełnie inny sposób regulują te same kwestie, na przykład nadają odmienne uprawnienia krajowym urzędom odpowiedzialnym za czuwanie nad ochroną danych osobowych obywateli. Reforma ma te problemy rozwiązać. Kolejnym powodem dla wprowadzenia nowych przepisów jest to, że te obecnie obowiązujące są już nieco “przeterminowane”. Dyrektywa została uchwalona w 1995 roku, większość implementujących ją krajowych aktów prawnych weszło w życie niewiele później (polska ustawa o ochronie danych osobowych pochodzi z 1997 roku). Przez ostatnie 20 lat nieco się jednak zmieniło, na przykład w zakresie przetwarzania i przekazywania danych osobowych z wykorzystaniem Internetu i nowych technologii.

Na czym polega reforma

Gdy reforma dojdzie do skutku (a dojdzie z pewnością – o tym dalej), podstawową zmianą będzie zastąpienie Dyrektywy i krajowych przepisów jednym aktem prawnym, wspólnym dla wszystkich państw członkowskich Unii Europejskiej – Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwanym potocznie GDPR – General Data Protection Regulation. W prawie unijnym rozporządzenie to akt prawny, który obowiązuje bezpośrednio w krajach członkowskich. Oznacza to, że Sejm nie będzie musiał uchwalać żadnych dodatkowych ustaw ani innych aktów prawnych – nowe prawo będzie bezpośrednio wiązało podmioty, które przetwarzają dane. Nie będzie już ustawy o ochronie danych osobowych; dla Kowalskiej w Polsce, Smitha w Wielkiej Brytanii, Garcii w Hiszpanii i Dimitrova w Bułgarii podstawowym aktem regulującym kwestię ochrony jego lub jej danych osobowych będzie właśnie to rozporządzenie.

O tempora, o mores

Jeden kontynent, jedno prawo – tak Komisja Europejska reklamuje nowe przepisy w ogłoszeniu prasowym towarzyszącym ogłoszeniu projektu rozporządzenia. Trudno nie dostrzec zalet takiego rozwiązania. Połączenie 28 systemów prawnych w jeden spójny, europejski zapewni przejrzyste reguły gry dla osób, których dane osobowe mają być nowymi przepisami chronione, oraz zmniejszy koszty i ułatwi funkcjonowanie firmom, które te dane przetwarzają. Przez “ułatwi funkcjonowanie” należy rozumieć zmniejszenie biurokracji i obowiązków administracyjnych, ale w żadnym wypadku nie stopnia ochrony.

Drugim filarem nowego systemu ochrony, obok spójnych europejskich przepisów, jest one-stop-shop. Firmy, które są obecne w więcej niż jednym kraju członkowskim, będą musiały dopełniać formalności tylko w jednym z nich i będą obsługiwane przez jeden urząd czuwający nad ochroną danych osobowych obywateli. Projekt rozporządzenia przewiduje jeszcze inne zmiany. Przedstawiciele biznesu ucieszą się z planowanego zniesienia obowiązku zgłaszania zbiorów danych osobowych do organów nadzoru (czyli w Polsce do GIODO). Zmiany i nowości jakie niesie nowe rozporządzenie zostaną szczegółowo omówione w kolejnych wpisach, po ustaleniu dokładnej treści rozporządzenia.

Rozporządzenie będzie bardziej kompleksowe niż obowiązująca obecnie ustawa. Rzuca się w oczy różnica ilościowa – w projekcie rozporządzenia znalazło się 91 artykułów, podczas gdy ustawa ma ich 62 (w tym część uchylonych). Różnice jakościowe są jeszcze większe – przy tworzeniu rozporządzenia uwzględniono aktualne miejsca zapalne z pogranicza technologii i ochrony danych, np. sieci społecznościowe i cloud-computing. Reforma uwzględnia też na przykład “prawo do bycia zapomnianym”.

Zmieni się również zakres podmiotów, które będą związane europejskim prawem ochrony danych. Rozporządzenie będzie miało zastosowanie zawsze, gdy administrator/procesor lub osoba, której dane dotyczą, mają siedzibę w UE. Rozporządzenie obejmie również podmioty przetwarzające dane rezydentów UE nawet, gdy podmioty te nie znajdują się na terenie Unii. Dyrektywa 95/46/WE do tych podmiotów nie sięga.

Projekt rozporządzenia przewiduje możliwość nakładania kar finansowych na podmioty, u których wystąpią uchybienia w przetwarzaniu danych osobowych. Parlament zaproponował, aby kary sięgały 100 000 000 EUR lub 5% globalnego obrotu.

Kiedy nowe przepisy wejdą w życie?

Projekt reformy został ogłoszony przez Komisję Europejską w styczniu 2012 roku. Od tego czasu przeszedł długą drogę i był obiektem zaciekłych negocjacji. Rozporządzenie jest na ścieżce tzw. “zwyczajnej procedury legislacyjnej”, co oznacza, że aby zostało ostatecznie uchwalone i weszło w życie musi zostać przyjęte przez Parlament oraz Radę Unii Europejskiej. Tekst rozporządzenia został ustalony i zaaprobowany przez LIBE (komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych) w październiku 2013, a następnie formalnie przyjęty przez Parlament Europejski w marcu 2014. Tym samym zakończył się pierwszy krok w procesie legislacyjnym.

Kolejny – to przyjęcie rozporządzenia przez Radę UE, a więc przez przedstawicieli rządów krajów członkowskich. Mając na uwadze wagę reformy ochrony danych osobowych dla krajów członkowskich możemy być pewni, że Rada zgłosi dużo poprawek i zaproponuje nowy tekst rozporządzenia, który z kolei stanie się przedmiotem negocjacji między Radą, Komisją a Parlamentem. Przewodniczący Komisji Europejskiej, Jean-Claude Juncker, obejmując stanowisko wyznaczył sobie następujący cel: Aby to osiągnąć [stworzyć europejski jednolity rynek cyfrowy – przyp. red.] planuję podjąć, w ciągu pierwszych sześciu miesięcy na stanowisku, daleko idące kroki ustawodawcze w kierunku jednolitego rynku cyfrowego, w szczególności poprzez szybkie zakończenie negocjacji nad wspólnymi europejskimi zasadami przetwarzania danych osobowych. Reforma jest więc jednym z unijnych priorytetów. Rada spodziewa się ustalić swoją wersję tekstu rozporządzenia w czerwcu 2015.

Jak potoczą się kolejne kroki i kiedy reforma zostanie ostatecznie przyjęta? To już zakrawa na hazard, ale spróbuję. Negocjacje potrwają około roku od zaprezentowania tekstu przez Radę. Po ich zakończeniu organy ustawodawcze szybko przyjmą tekst (wszak jego ostateczny kształt zostanie ustalony w negocjacjach). Ponieważ reforma jest znacząca i istotnie wpłynie na sytuację prawną w całej Unii, rozporządzenie wejdzie w życie po dwóch latach od uchwalenia. Czyli nowego prawa możemy spodziewać się najwcześniej na początku 2018 roku. Nie jest to termin tak odległy, jak się wydaje. Zgodnie z powyższym scenariuszem ostateczny kształt przepisów będzie znany już za nieco ponad rok i od tego momentu powinny zacząć się przygotowania do wprowadzenia nowych przepisów.

Jak się przygotować?

Nowe przepisy spowodują rewolucję w dotychczasowym systemie ochrony danych osobowych. Dla wielu firm będzie to trzęsienie ziemi – zwłaszcza dla tych, które do tej pory nie przykładały zbyt dużej wagi do spraw związanych z ochroną danych.

Nie jest jeszcze znana ostateczna treść rozporządzenia, dlatego trudno podać wyczerpującą receptę na dostosowanie się do nowych przepisów. Można jednak określić pewne podstawowe kroki, które można podjąć w celu osiągnięcia wysokiego standardu ochrony danych osobowych, który z kolei zdecydowanie ułatwi dostosowanie się do nowych przepisów.

Podstawą działań będzie identyfikacja procesów, w których przetwarzane są dane osobowe. Pomoże w tym kompleksowy audyt, najlepiej przeprowadzony przez doświadczonych specjalistów od ochrony danych. Kolejnym krokiem będzie wprowadzenie podstawowych standardów przetwarzania danych – np. podpisanie umów powierzenia z kontrahentami, udzielenie upoważnień pracownikom, wprowadzenie niezbędnych zabezpieczeń fizycznych i informatycznych. Niezwykle istotnym aspektem przygotowań są szkolenia pracowników; osoby, które mają do czynienia z danymi osobowymi, powinny posiadać przynajmniej podstawową wiedzę na temat danych osobowych i ich bezpiecznego przetwarzania. Warto wskazać w firmie osobę, która będzie odpowiedzialna za koordynację działań związanych z ochroną danych – taka osoba powinna uzyskać szczególnie dokładną wiedzę na temat ochrony danych, np. na szkoleniu Administratorów Bezpieczeństwa Informacji.

Unijna reforma to poważna rzecz. Wprowadzi wiele zmian. Postawi sporo wyzwań przed podmiotami przetwarzającymi dane. Wejdzie w życie nie wcześniej niż za dwa lata, ale warto zacząć przygotowania już dzisiaj. Podmioty, które wprowadzą wysokie standardy przetwarzania danych i wypracują dobre praktyki już teraz, bezboleśnie dostosują się do nowego systemu.

Maciej Chmielecki

Prawnik, specjalista do spraw ochrony danych osobowych

About Redakcja 247 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.