Sylwia Paszek

Nawet milion euro kary za naruszenie zasad ochrony danych osobowych

29 maja 2013 roku Parlament Europejski głosuje w sprawie 4 000 poprawek do unijnego projektu rozporządzenia o ochronie danych osobowych.

Przyjęta w roku 1995 dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ustanowiła pierwsze wspólne dla krajów UE ramy ochrony danych osobowych. Przez niemal 20 lat od przyjęcia dyrektywy nastąpił znaczący rozwój technologiczny i społeczny. W efekcie regulacja dyrektywy w niektórych obszarach stała się całkowicie niepraktyczna i nieadekwatna do procesów przetwarzania, a w innych – niekompletna. Odmienne w poszczególnych państwach członkowskich implementacje i praktyki stosowania doprowadziły de facto do zróżnicowania legislacji pomiędzy poszczególnymi krajami UE, utrudniając funkcjonowanie podmiotów na wspólnym rynku europejskim. W publicznej debacie nasiliły się też głosy o konieczności ustanowienia wyższych niż dotychczas standardów ochrony prywatności jednostki, w tym zapewnienia szeroko rozumianego „prawa do bycia zapomnianym”.

Uwzględniając powyższe zjawiska, UE podjęła prace nad projektem nowej legislacji, który po pierwsze odzwierciedlałby wynik ewolucji idei i zakresu ochrony danych osobowych na przestrzeni minionych lat, a po drugie wypełniał istniejące niedostatki i niwelował różnice regulacyjne.

25 stycznia 2012 roku Komisja Europejska przedłożyła projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie zastąpiłoby dyrektywę i obowiązywało bezpośrednio w państwach członkowskich, bez potrzeby implementacji jego regulacji do porządków krajowych poszczególnych krajów. W efekcie nastąpiłaby pełna harmonizacja prawa materialnego w ramach UE i swobodnego przepływu tych danych.

Przypomnijmy, że wśród najistotniejszych zmian proponowanych w projekcie znalazły się:

  • redefiniowanie zgody podmiotu danych na przetwarzanie jako świadomego i wyraźnego oświadczenia woli złożonego w jakiekolwiek formie, a zatem całkowita rezygnacja z wymogu formy pisemnej;
  • wyłączenie zgody podmiotu jak podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem (np. w stosunkach pomiędzy pracodawca i pracownikiem);
  • zdefiniowanie „danych genetycznych” i włączenie ich do katalogu tzw. danych wrażliwych o szczególnym reżimie przetwarzania;
  • uregulowanie przetwarzania danych osobowych dzieci w wieku poniżej lat 13;
  • uregulowanie „prawa do bycia zapomnianym” (prawa żądania usunięcia danych przez administratora), z zastrzeżeniem kompetencji Komisji do doprecyzowania zakresu i technicznych aspektów usuwania;
  • uregulowanie stosowania tzw. środków opartych na profilowaniu, tj. środków wywołujących skutki prawne względem osoby fizycznej lub istotnie wpływających na tę osobę, a opartych wyłącznie na automatycznym przetwarzaniu danych mających służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej;
  • usankcjonowanie instytucji współadministratorów;
  • wprowadzenie obowiązku zgłoszenia faktu naruszenia ochrony danych osobowych organowi nadzorczemu;
  • wprowadzenie obowiązku powiadomienia podmiotu danych o naruszeniu ochrony jego danych osobowych;
  • wprowadzenie po stronie administratora obowiązku przeprowadzenia oceny skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych, jeżeli operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów, a w razie stwierdzenia wysokiego ryzyka – skonsultowanie i uzgodnienie z organem nadzoru wyboru i zastosowania środków służących złagodzeniu tego ryzyka;
  • wprowadzenie szczegółowych regulacji w zakresie przetwarzania danych dotyczących zdrowia, w kontekście zatrudnienia, do celów dokumentacji, statystyki i badań naukowych;
  • skonstruowanie od nowa zasad przekazywania danych osobowych do krajów trzecich, z aktywną rolą Komisji, która wydawać ma decyzje odnośnie do spełniania przez państwa trzecie odpowiedniego poziomu ochrony, publikowane w Dzienniku

Urzędowym Unii Europejskiej, uprawniające do przekazania danych do tych państw bez osobnego zezwolenia.

Powagę zagadnień ochrony danych osobowych niewątpliwie wzmocnić mają także bardzo wysokie kary administracyjne przewidziane w projekcie jako sankcje z tytułu naruszeń zasad ochrony danych osobowych. Górna wysokość kar, za najcięższe co do gatunku naruszenia, sięga 1 000 000 EUR lub w przypadku przedsiębiorstwa 2% jego rocznego światowego obrotu.

Projekt poddano analizom i konsultacjom. W ich wyniku powstał raport reportera Komisji Praw Cywilnych, Sprawiedliwości i Spraw Wewnętrznych Parlamentu – Jana Philippa Albrechta, przedstawiony w styczniu 2013.

Zaplanowane na dziś głosowanie ma objąć około 4000 poprawek. Niewątpliwie wyłoni się z niego nowa rzeczywistość obszaru ochrony danych osobowych. W jakim stopniu zmieni działalność gospodarczą przedsiębiorców – będzie można ocenić po analizie przyjętych rozwiązań.

Sylwia Paszek, Zespół Life Science i Postępowań Regulacyjnych kancelarii Wardyński i Wspólnicy