Nawet milion euro kary za naruszenie zasad ochrony danych osobowych | Co do zasady

Przejdź do treści
Mamy tu kilka tysięcy artykułów. Czego szukasz?
Formularz wyszukiwania
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Nawet milion euro kary za naruszenie zasad ochrony danych osobowych

29.05.2013 ochrona danych osobowych | projekt

29 maja 2013 roku Parlament Europejski głosuje w sprawie 4 000 poprawek do unijnego projektu rozporządzenia o ochronie danych osobowych.

Przyjęta w roku 1995 dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ustanowiła pierwsze wspólne dla krajów UE ramy ochrony danych osobowych. Przez niemal 20 lat od przyjęcia dyrektywy nastąpił znaczący rozwój technologiczny i społeczny. W efekcie regulacja dyrektywy w niektórych obszarach stała się całkowicie niepraktyczna i nieadekwatna do procesów przetwarzania, a w innych – niekompletna. Odmienne w poszczególnych państwach członkowskich implementacje i praktyki stosowania doprowadziły de facto do zróżnicowania legislacji pomiędzy poszczególnymi krajami UE, utrudniając funkcjonowanie podmiotów na wspólnym rynku europejskim. W publicznej debacie nasiliły się też głosy o konieczności ustanowienia wyższych niż dotychczas standardów ochrony prywatności jednostki, w tym zapewnienia szeroko rozumianego „prawa do bycia zapomnianym”.

Uwzględniając powyższe zjawiska, UE podjęła prace nad projektem nowej legislacji, który po pierwsze odzwierciedlałby wynik ewolucji idei i zakresu ochrony danych osobowych na przestrzeni minionych lat, a po drugie wypełniał istniejące niedostatki i niwelował różnice regulacyjne.

25 stycznia 2012 roku Komisja Europejska przedłożyła projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie zastąpiłoby dyrektywę i obowiązywało bezpośrednio w państwach członkowskich, bez potrzeby implementacji jego regulacji do porządków krajowych poszczególnych krajów. W efekcie nastąpiłaby pełna harmonizacja prawa materialnego w ramach UE i swobodnego przepływu tych danych.

Przypomnijmy, że wśród najistotniejszych zmian proponowanych w projekcie znalazły się:

  • redefiniowanie zgody podmiotu danych na przetwarzanie jako świadomego i wyraźnego oświadczenia woli złożonego w jakiekolwiek formie, a zatem całkowita rezygnacja z wymogu formy pisemnej;
  • wyłączenie zgody podmiotu jak podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem (np. w stosunkach pomiędzy pracodawca i pracownikiem);
  • zdefiniowanie „danych genetycznych” i włączenie ich do katalogu tzw. danych wrażliwych o szczególnym reżimie przetwarzania;
  • uregulowanie przetwarzania danych osobowych dzieci w wieku poniżej lat 13;
  • uregulowanie „prawa do bycia zapomnianym” (prawa żądania usunięcia danych przez administratora), z zastrzeżeniem kompetencji Komisji do doprecyzowania zakresu i technicznych aspektów usuwania;
  • uregulowanie stosowania tzw. środków opartych na profilowaniu, tj. środków wywołujących skutki prawne względem osoby fizycznej lub istotnie wpływających na tę osobę, a opartych wyłącznie na automatycznym przetwarzaniu danych mających służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej;
  • usankcjonowanie instytucji współadministratorów;
  • wprowadzenie obowiązku zgłoszenia faktu naruszenia ochrony danych osobowych organowi nadzorczemu;
  • wprowadzenie obowiązku powiadomienia podmiotu danych o naruszeniu ochrony jego danych osobowych;
  • wprowadzenie po stronie administratora obowiązku przeprowadzenia oceny skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych, jeżeli operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów, a w razie stwierdzenia wysokiego ryzyka – skonsultowanie i uzgodnienie z organem nadzoru wyboru i zastosowania środków służących złagodzeniu tego ryzyka;
  • wprowadzenie szczegółowych regulacji w zakresie przetwarzania danych dotyczących zdrowia, w kontekście zatrudnienia, do celów dokumentacji, statystyki i badań naukowych;
  • skonstruowanie od nowa zasad przekazywania danych osobowych do krajów trzecich, z aktywną rolą Komisji, która wydawać ma decyzje odnośnie do spełniania przez państwa trzecie odpowiedniego poziomu ochrony, publikowane w Dzienniku

Urzędowym Unii Europejskiej, uprawniające do przekazania danych do tych państw bez osobnego zezwolenia.

Powagę zagadnień ochrony danych osobowych niewątpliwie wzmocnić mają także bardzo wysokie kary administracyjne przewidziane w projekcie jako sankcje z tytułu naruszeń zasad ochrony danych osobowych. Górna wysokość kar, za najcięższe co do gatunku naruszenia, sięga 1 000 000 EUR lub w przypadku przedsiębiorstwa 2% jego rocznego światowego obrotu.

Projekt poddano analizom i konsultacjom. W ich wyniku powstał raport reportera Komisji Praw Cywilnych, Sprawiedliwości i Spraw Wewnętrznych Parlamentu – Jana Philippa Albrechta, przedstawiony w styczniu 2013.

Zaplanowane na dziś głosowanie ma objąć około 4000 poprawek. Niewątpliwie wyłoni się z niego nowa rzeczywistość obszaru ochrony danych osobowych. W jakim stopniu zmieni działalność gospodarczą przedsiębiorców – będzie można ocenić po analizie przyjętych rozwiązań.

Sylwia Paszek, Zespół Life Science i Postępowań Regulacyjnych kancelarii Wardyński i Wspólnicy

Polecane artykuły
Pseudonimizacja danych w badaniach klinicznych i jej konsekwencje dla sponsorów
Gig economy, czyli pracownicy platform cyfrowych a dane osobowe
Akt o rynkach cyfrowych (DMA) – rewolucja nie tylko dla strażników dostępu
„Bossware” z perspektywy polskiego prawa pracy i ochrony danych osobowych
Praca zdalna a przetwarzanie danych osobowych