Tymczasem, to właśnie na tym projekcie - o długiej nazwie "Rozporządzenie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych" - powinni skupić uwagę ci, którzy interesują się kwestiami prywatności w wirtualnym świecie. Jeśli projekt zostanie przyjęty, oznacza rewolucję, która dotknie bezpośrednio konsumentów, przedsiębiorców i organy władzy. Proponowane rozwiązanie ma w dużej mierze zastąpić obecną ustawę o ochronie danych osobowych.

Dane osobowe w zmieniającym się świecie

Regulacja dotycząca wykorzystywania i gromadzenia danych osobowych wymaga zmian i jednolitego podejścia na terenie całej Unii. Poprzednie zasady były przygotowywane ponad 17 lat temu! W czasach, gdy internet raczkował, a niewiele osób miało telefon komórkowy, nikomu nie śniło się, że będziemy nosili przy sobie małe, multimedialne komputery z dostępem do sieci z każdego miejsca na świecie oraz że sektor gospodarki wirtualnej tak się rozwinie. Jednym kliknięciem myszki można ujawnić lub przesłać na drugi koniec świata cenne informacje o milionach osób, zapisane w formie elektronicznej.

Założeniem reformy ma być dostosowanie regulacji dotyczącej danych osobowych do obecnych rodzajów ryzyka, ale bez odnoszenia się do konkretnych rozwiązań technicznych. Komisja Europejska przekonuje, że nowe rozporządzenie wzmocni prawa konsumentów, a jednocześnie będzie służyło przedsiębiorcom.

Prawo do bycia zapomnianym

Dla osób fizycznych najważniejszą propozycją jest pełne prawo do informacji o tym, co dzieje się z danymi, które ujawniamy. Będziemy powiadamiani nie tylko o tym, kto i w jakim celu przetwarza nasze dane, ale też czy informację będą przesyłane poza Unię Europejską oraz jak długo będą przechowywane. Projekt reguluje też tzw. profilowanie konsumentów (budowanie wzorców zachowań na potrzeby marketingu). Będzie ono mogło być przeprowadzane jedynie w określonych prawem przypadkach i pod warunkiem informowania o tych działaniach.

Oprócz prawa do dostępu oraz poprawiania naszych danych, które obowiązywało już wcześniej, propozycja Komisji obejmuje tzw. prawo do bycia zapomnianym. Tak nazwano uprawnienie do zażądania od administratora danych bezwzględnego usunięcia dotyczących nas informacji i dalszego ich rozpowszechniania. Chodzi np. o sytuację, w której kiedyś umieściliśmy swoje informacje lub zdjęcia w określonym serwisie w internecie, a teraz chcemy, aby nie były dostępne i nie pojawiały się w linkach.

Będziemy informowani o kradzieży danych

Nałożony na firmy obowiązek powiadamiania krajowych organów ochrony danych osobowych o poważnych naruszeniach danych i podjęcia starań w celu poinformowania o wycieku tych osób, których dane zostały ujawnione, zwiększy bezpieczeństwo konsumentów. Przynajmniej teoretycznie, jeśli nastąpi włamanie do sklepu internetowego i złodzieje zdobędą dane klientów, takie jak numer kart kredytowych, sklep powinien poinformować nie tylko GIODO, ale także klientów, których dane zostały skradzione.

Wśród zapisów, które powinny zainteresować firmy zajmujące się gromadzeniem danych, wiele dyskusji wzbudzi propozycja, aby rozporządzenie miało zastosowanie nie tylko do przedsiębiorców mających siedzibę w Unii Europejskiej. Przepisy mają objąć także spółki spoza niej, które prowadzą działalność na wspólnotowym rynku i oferują usługi obywatelom UE. Pozostaje pytanie, jaka będzie faktyczna możliwość wyegzekwowania takiego przepisu poza granicami UE.

Wysokie grzywny za brak ochrony

Firmy powinny zapoznać się z sankcjami, które projekt przewiduje wobec naruszających przepisy. W zderzeniu z obowiązującym obecnie w Polsce prawem zmiana jest duża. Rozporządzenie wprowadza możliwość ukarania przedsiębiorcy grzywną administracyjną, która może wynieść do 1 mln euro lub 2% rocznych obrotów przedsiębiorstwa.

Dużą zmianą od strony formalnej są rozwiązania służące jednolitemu stosowaniu prawa ochrony danych osobowych w całej UE. Dotychczas każdy kraj miał własne prawo, choć teoretycznie zharmonizowane z unijną dyrektywą. Miał też własny organ odpowiedzialny za egzekwowanie tego prawa. W Polsce jest to Generalny Inspektor Ochrony Danych Osobowych. Jednak praktyka tych organów w państwach Unii mogła się znacznie różnić. Dla dużych przedsiębiorstw prowadzących działalność na wspólnym rynku oznaczało to często kosztowną i pracochłonną konieczność dostosowywania się do wielu reżimów prawnych. Według projektu Komisji Europejskiej, przedsiębiorca będzie odpowiadał tylko wobec jednego organu zlokalizowanego w państwie, gdzie znajduje się jego główna siedziba.

Magdalena Kogut-Czarkowska jest radcą prawnym w kancelarii Baker & McKenzie.