W dniu 5 maja 2016 r. w Dzienniku Urzędowym Unii Europejskiej opublikowane zostało Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Rozporządzenie”).
Przepisy Rozporządzenia weszły w życie 20 dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, a będą stosowane od dnia 25 maja 2018 r.
Rozporządzenie unijne, z uwagi na swój charakter prawny, stosowane będzie bezpośrednio we wszystkich państwach członkowskich bez konieczności jego implementowania. W konsekwencji, obowiązująca obecnie ustawa o ochronie danych po dniu 25 maja 2018 r. utraci swoją moc. Wstępny projekt nowej ustawy został już nawet opublikowany i dostępny jest tu. Rola nowej ustawy ograniczy się do aktu uzupełniającego rozporządzenie unijne – w granicach przez nie wyznaczonych. Dostosowania do nowego rozporządzenia będą wymagały również inne polskie przepisy.
Najważniejsze zmiany, jakie niesie za sobą reforma unijnego prawa, to:
a) obowiązek dokładnego i rzetelnego informowania – osoba udostępniająca swoje dane będzie musiała być o tym poinformowana w sposób przejrzysty i w przystępnej formie, tak aby dokładnie wiedziała na co wyraża zgodę. Informacja taka będzie polegała na wskazaniu jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione, oraz o prawach przysługujących osobom, których dane dotyczą. Ponadto osoby, przekazujące swoje dane, będą musiały być poinformowane o wykorzystywaniu ich danych w procesie automatycznego podejmowania decyzji, w tym profilowania.
b) ujednolicenie zasad ochrony danych osobowych na obszarze całej Unii Europejskiej – do tej pory w każdym z państw członkowskich UE obowiązywały zróżnicowane zasady ochrony danych osobowych. Powodowało to trudności zarówno po stronie osób, których dane dotyczyły, jak i po stronie przedsiębiorców działających w kilku państwach, którzy każdorazowo musieli dostosowywać swoje polityki do reguł obowiązujących w danym kraju. Od 2018 roku we wszystkich państwach UE będą obowiązywać jednakowe zasady dotyczące ochrony danych osobowych.
c) prawo do bycia zapomnianym – nastąpi również silne wzmocnienie uprawnień osób fizycznych, poprzez m.in. wprowadzenie nowych uprawnień takich jak m.in. do prawo do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła żądać od administratora danych ich usunięcia, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, a także jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z rozporządzeniem.
d) ograniczenie profilowania – możliwość profilowania będzie dopuszczalna, jeżeli administrator danych wykaże podstawę prawną do takiego działania. Osoba, której dane dotyczą, będzie mogła nie wyrazić zgody się na wykorzystywanie jej danych do profilowania. Zanim zostanie udzielona zgoda na przetwarzanie danych osobowych lub zawarta umowa, której realizacja wymaga profilowania, przedsiębiorca powinien przekazać osobie, której dane dotyczą, informacje o tym, co będzie się działo z jej danymi i jakie mogą być konsekwencje takiego procesu.
e) certyfikacja – rozporządzenie wprowadza także obowiązek nie tylko przetwarzania danych zgodnie z nowymi przepisami, ale także obowiązek wykazania takiej zgodności z prawem. Służyć mają temu rozmaite mechanizmy, w tym nowa możliwość uzyskania certyfikacji i znaków jakości potwierdzających wypełnianie przez przedsiębiorcę przepisów o ochronie danych osobowych.
f) zaostrzenie kar – wprowadzone zostaną także bardzo wysokie kary, które będą mogły być nakładane na podmioty naruszające przepisy Rozporządzenia, w tym kary finansowe w wysokości do 20 000 000 euro, lub – w przypadku przedsiębiorstw – w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
g) one-stop-shop – istotnym ułatwieniem dla przedsiębiorców prowadzących działalność w więcej niż jednym kraju UE będzie wprowadzenie mechanizmu One-Stop-Shop (tzw. punktu kompleksowej obsługi), zgodnie z którym organ nadzorczy głównej jednostki przedsiębiorcy będzie właściwy do podejmowania działań jako główny organ nadzorczy dla przetwarzania danych prowadzonego przez dany podmiot.
Rozporządzenie ePrivacy kolejny krok reformy
Kolejnym krokiem w ramach tej samej reformy jest zaproponowane przez Komisję Europejską Rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, którego projekt został opublikowany 10 stycznia 2017 r. Ma ono na celu zapewnić większą prywatność w łączności elektronicznej i zastąpić, obowiązującą obecnie, czternastoletnią już dyrektywę 2002/58/WE, która nie nadąża za rozwojem technologicznym i nie zapewnia skutecznej ochrony prywatności i poufności w komunikacji elektronicznej. Zaproponowane przepisy konsekwentnie zmierzają do uszczelnienia zabezpieczeń naszej komunikacji w sieci. Projekt zakłada ochronę tzw. metadanych pochodzących z łączności elektronicznej np. danych lokalizacyjnych, daty, godziny oraz ochronę treści łączności elektronicznej czyli tekstu, wideo, dźwięków. Standardem będzie traktowanie każdego komunikatu przesyłanego drogą elektroniczną mogącego zawierać dane osobowe jako poufnego, a co za tym idzie chronionego przed bezprawnym użyciem. Ponadto, w odróżnieniu od dotychczas obowiązujących przepisów, które odnosiły się jedynie do tradycyjnych operatorów telekomunikacyjnych, nowe regulacje obejmować będą także nowoczesne formy komunikacji tj. komunikatory internetowe, pocztę elektroniczną, telefonię internetową. Nowe rozporządzenie wprowadzi również zakaz wysyłania drogą elektroniczną niechcianych treści, jak reklamy czy informacje handlowe, jeżeli na ich otrzymywanie nie zostanie wyrażona zgoda użytkownika. Nowe przepisy stosowane będą wobec użytkowników Unii Europejskiej bez względu na to z jakiego państwa będzie dostawca usług. Istotny jest również fakt iż odpowiedzialność za wdrożenie zasad ochrony prywatności zostało przerzucone na producentów urządzeń. Będą oni musieli zadbać o to by były one zaprojektowane i skonfigurowane tak, aby uniemożliwiać jakikolwiek wyciek danych lub dostęp do informacji niepożądanym podmiotom zewnętrznym.
Większość zainteresowanych podmiotów zgadza się, że reforma jest potrzebna, jednak nie wszyscy są zadowoleni z kształtu zaproponowanych przez Komisję Europejską zmian. Swoje zaniepokojenie, wyrażają np. podmioty zarabiające na komunikacji czy reklamie internetowej. Komisja Europejska uspokaja, że reforma służy jedynie lepszej ochronie użytkowników, a nie ograniczeniu działalności jakiegokolwiek podmiotu. Podstawowe założenie ustawodawcy unijnego, że każdy użytkownik ma prawo sam decydować o tym, czy chce być śledzony w Internecie, wydaje się w pełni zasadne. Pozostaje jednak poczekać, jak przełoży się to na praktykę i czy to (słuszne) założenie nie będzie tylko fikcją.