Planowane reformy mogą odciąć od unijnego rynku firmy, które przetwarzają je w sposób niezgodny z prawem. W szczególności dotyczyć ma to dostawców usług cloud computing oraz operatorów sieci społecznościowych. Komisja przygotowuje reformę, obowiązujących od 1995 r., unijnych przepisów określających zasady ochrony danych. Nowelizacja ma precyzować zasady dotyczące przechowywania i przetwarzania danych obywateli krajów członkowskich przez podmioty spoza Unii Europejskiej. O ile jednak wcześniejsze plany reform przepisów koncentrowały się na ograniczeniu skali gromadzenia i przetwarzania danych, ujednoliceniu przepisów oraz usprawnieniu obiegu informacji osobowych wewnątrz Wspólnoty, o tyle teraz na celowniku KE znaleźli się dostawcy usług przetwarzania danych w modelu cloud computing i właściciele serwisów społecznościowych.

Luka w prawie międzynarodowym

Reforma przepisów ma usuwać lukę prawną powstałą w wyniku sprzeczności obecnych przepisów unijnych z amerykańską ustawą antyterrorystyczną (USA PATRIOT Act). Zgodnie z przepisami wprowadzonymi w Stanach Zjednoczonych po zamachu na World Trade Center, wszystkie informacje gromadzone lub przetwarzane przez firmy amerykańskie oraz podmioty należące do nich podlegają kontroli amerykańskich organów państwowych i instytucji śledczych.

Kwestia niezgodności amerykańskich przepisów z unijną dyrektywą o ochronie danych wypłynęła m.in. przy okazji czerwcowej premiery pakietu Office 365. Przedstawiciele Microsoft przyznali wówczas, że zgodnie z amerykańskim prawem na każde żądanie amerykańskich władz będą zobowiązani udostępnić informacje przechowywane we własnych centrach danych. Dodatkowo, na mocy ustawy antyterrorystycznej, fakt przekazania danych może zostać utajniony. Jest to bezpośrednie naruszenie dyrektywy unijnej, która jasno precyzuje, że wszystkie podmioty w jakikolwiek sposób ujawniające chronione dane muszą informować o tym właścicieli wspomnianych informacji.

Wprowadzenie planowanych zmian mogą boleśnie odczuć m.in. najwięksi dostawcy rozwiązań w modelu cloud computing, w tym właśnie Microsoft, ale także Google i Salesforce.com oraz operatorzy internetowych sieci społecznościowych, z firmą Facebook na czele.

Wiele wskazuje na to, że prace nad zmianami przepisów nabierają tempa. Zaangażowała się w nie m.in. Ilse Aigner, niemiecka minister rolnictwa i ochrony konsumentów. Z ujawnionych informacji wynika, że nowelizacja unijnych przepisów zakładać będzie m.in. wprowadzenie zakazu działalności na unijnym rynku dla firm, które nie podporządkują się europejskim przepisom o ochronie danych. "Uważamy, że podmioty, które kierują usługi do klientów z Europy, powinny podlegać europejskim prawom ochrony danych osobowych. W przeciwnym wypadku nie powinny one mieć możliwości prowadzenia działalności gospodarczej na rynku unijnym" - czytamy w oświadczeniu przedstawicieli Komisji Europejskiej. Dyskusyjna pozostaje jednak m.in. kwestia egzekucji wspomnianego zakazu. Propozycje zmian mają zostać ujawnione do końca stycznia 2012. Przedstawiciele Komisji Europejskiej mają nadzieję, że ostateczna treść nowelizacji Dyrektywy o ochronie danych zostanie ustalona najpóźniej w czerwcu 2012.

Więcej kontroli nad danymi

Zdaniem KE, zmiana obowiązujących przepisów jest konieczna m.in. ze względu na postępujące zmiany rynkowe oraz popularyzację nowych rozwiązań technologicznych. Nowelizacja ma przyczynić się też do podniesienia konkurencyjności rynków europejskich. "Kwestie ochrony danych są niezwykle istotne dla konsumentów i przedsiębiorców niezależnie od granic państwowych. Z tego względu kwestia ochrony danych powinna być rozstrzygnięta na poziomie europejskim za pomocą wspólnych standardów uznanych w skali światowej" - czytamy we wspólnym oświadczeniu Viviane Reding, unijnej komisarz ds. sprawiedliwości, oraz Ilse Aigner. Rezultatem planowanych zmian ma być wzmocnienie ochrony danych osobowych niezależnie od kraju zamieszkania obywateli i lokalizacji centrum przetwarzania informacji. Według Viviane Reding i Ilse Aigner, prawo warunkujące zasady ochrony danych dotyczyć powinno także operatorów sieci społecznościowych. "Unijne prawo powinno być egzekwowane, nawet jeśli dostawca usług IT pochodzi spoza Unii Europejskiej i nawet jeśli dane są przechowywane w tzw. chmurze" - napisano w komunikacie przedstawicieli UE.

Z ujawnionych informacji wynika, że zaproponowane zostaną również zmiany mające na celu zwiększenie kontroli nad danymi osobowymi, a także informacjami publikowanymi w serwisach internetowych. "Prawo powinno gwarantować konsumentom pełną kontrolę nad ich danymi. Dlatego też prawo UE powinno wymagać m.in. wyraźnej i bezpośredniej zgody użytkownika przed wykorzystaniem jego danych osobowych. W większości przypadków konsumenci powinni też mieć pełne prawo do usunięcia danych osobowych, a w szczególności prywatnych informacji, które sami opublikowali w Internecie" - czytamy w oświadczeniu przedstawicieli Komisji Europejskiej. Z informacji Komisji Europejskiej wynika, że możliwości całkowitego wykasowania zamieszczonych wcześniej w Internecie danych osobowych oczekuje trzech na czterech obywateli UE.