O reformie ochrony danych osobowych podczas Dnia Ochrony Danych Osobowych

Ostatnie miesiące to czas dużych zmian w zakresie ochrony danych osobowych. Wraz z początkiem roku zmieniła się polska ustawa o ochronie danych osobowych. Jednocześnie trwają prace nad uzgodnieniem ostatecznego kształtu europejskiego rozporządzenia, które ureguluje i ujednolici zasady przestrzegania praw obywateli w związku z ich prywatnością, w tym z ochroną danych osobowych, w całej Unii Europejskiej. Organizowany przez Generalnego Inspektora Ochrony Danych Osobowych Dzień Ochrony Danych Osobowych, który odbył się 28 stycznia 2014 r., był dobrą okazją do omówienia najnowszych i planowanych zmian oraz ich konsekwencji, zarówno dla obywateli jak i dla firm, które zarabiają przetwarzając nasze dane.

Unia Europejska już od 2 lat pracuje nad nowym rozporządzeniem, które ma dostosować zasady ochrony danych osobowych do zmieniających się warunków i rozwoju nowych technologii. Wciąż nie znamy ostatecznego kształtu tego aktu. Podczas Dnia Ochrony Danych Osobowych eksperci starali się przybliżyć zmiany, jakich możemy spodziewać się po rozporządzeniu. Już wiadomo, że ureguluje ono kilka podstawowych kwestii. Jedną z nich są nowe zasady karania za naruszenie prawa ochrony danych. Podmioty, które się tego dopuszczą będą mogły spodziewać się nawet 100 mln euro kary, lub grzywny w wysokości 5% rocznych przychodów. Zdaniem Andrzeja Lewińskiego, pełniącego obowiązki GIODO, to właśnie kary finansowe, a nie np. kary ograniczenia wolności, są najskuteczniejszym mechanizmem chroniącym obywateli przed niewłaściwym wykorzystywaniem ich danych przez firmy.

Inną ze zmian, jaką ma wprowadzić unijne rozporządzenie jest uregulowanie zasad profilowania obywateli. Przed UE stoi trudne zadanie wyważenia interesów firm i obywateli. Z jednej strony przedsiębiorstwa zarabiają na zbieraniu jak największej liczby danych o obywatelach, tworzą ich profile, by potem dostosować swoją ofertę dla takiego klienta. Ma to swoje zalety. Dzięki sprofilowaniu oferty, nie jesteśmy zasypywani masą reklam, które nas nie interesują. Jednak przy zbieraniu tak dużej ilości danych może powstać zagrożenie dla prywatności jednostki. Rodzą się więc pytania czy firmy nie gromadzą o nas zbyt wielu informacji.

Rozporządzenie unijne ma też uregulować tzw. prawo do bycia zapomnianym. Zgodnie z wyrokiem Trybunału Sprawiedliwości w tej sprawie wyszukiwarki internetowe są administratorami danych i obywatele mogą żądać od nich usunięcia z wyników wyszukiwania linków do informacji o nich, które są np. nieaktualne, a naruszają ich dobre imię. Nowe unijne prawo ma uregulować te zasady i sposób ich egzekwowania.

Zmiany mają dotyczyć też uregulowania statusu Administratorów Bezpieczeństwa Informacji (czy jak jest w rozporządzeniu, inspektora ds. ochrony danych osobowych). Rozporządzenie ma określić kiedy będzie obowiązek jego powołania (zgodnie z jednym z projektów będzie to konieczne w przypadku instytucji publicznych i w firmach zatrudniających co najmniej 200 osób), jego obowiązki, odpowiedzialność, wymagania wobec niego i jego relacje z administratorem danych i krajowym organem ds. ochrony danych osobowych.

Rozporządzenie ma też wprowadzić tzw. mechanizm one-stop-shop. Zakłada on, że przy rozwiązywaniu sporów międzynarodowych w zakresie naruszenia danych osobowych, punktem kontaktowym dla podmiotów zaangażowanych w spór będzie ich krajowy organ ds. ochrony danych osobowych.

Rozporządzenie ma być gotowe do końca tego roku. Przewiduje się, że będzie zakładało 2-letni okres przejściowy. Po tym czasie rozporządzenie automatycznie zacznie obowiązywać we wszystkich państwach członkowskich UE, bez konieczności jego implementacji.