Powstanie jedno unijne rozporządzenie o ochronie danych osobowych

Do końca roku unijne instytucje uzgodnią nowe rozporządzenie o ochronie danych osobowych. Zamiast 28 różnych ustaw (wdrażających obowiązującą unijną dyrektywę) będziemy mieli jeden wspólny europejski zestaw zasad, lepiej dostosowany do wyzwań technologicznych. Wejdzie on w życie prawdopodobnie w 2018 r.

Koniec z rejestrem

Jednolite rozporządzenie jest korzystne dla różnych uczestników życia gospodarczego. Jeśli podmiot gospodarczy rozpoczyna działalność w Polsce, ale chce wyjść poza jej granice, to zyska pewność, że wszędzie obowiązują te same zasady ochrony danych osobowych i firma będzie wypełniać wszystkie obowiązki administracyjne z tym związane tylko w jednym państwie. Z kolei jeśli polski klient będzie miał problemy z francuskim czy brytyjskim sklepem online, to będzie mógł się poskarżyć polskiemu organowi kontrolnemu. I on, wspólnie z organem kraju siedziby firmy, wydadzą decyzję, czy naruszono zasady ochrony danych osobowych.

Fundamentalnie zmienia się zasada odpowiedzialności. Obecnie podmiot biznesowy musi notyfikować organowi kontrolnemu, że przetwarza dane osobowe. W nowym systemie to firma będzie sama odpowiedzialna za to, jak te dane przetwarza. Eliminuje się obowiązki administracyjne. W Polsce skończy się rejestrowanie zbiorów w ogólnym rejestrze prowadzonym przez głównego inspektora danych osobowych. Dziś każdy, kto przetwarza dane, musi poinformować o tym GIODO, złożyć formularz i wprowadzić tę informację (nie same dane) do ogólnego rejestru.

Będzie natomiast możliwe nakładanie sankcji finansowych za naruszanie prawa do 2 proc. lub nawet 5 proc. (to jeszcze kwestia negocjacji) obrotu światowego lub do miliona euro.

Prawo do zapomnienia

Chyba najbardziej emblematycznym elementem dyskusji o nowym rozporządzeniu było tzw. prawo do bycia zapomnianym, czyli po prostu prawo do usunięcia danych. Prawdopodobnie zostanie ono wpisane do rozporządzenia, ale bez szczegółowej procedury administracyjnej, jak miałoby to w praktyce wyglądać. Bo nie wiadomo jak zmusić firmy do wykonania takiej decyzji. O tym zadecydują w przyszłości organy kontrolne.

Ważnym wyjątkiem od europejskiego wspólnego rozporządzenia będzie przetwarzanie danych na potrzeby stosunku pracy. Tu państwa członkowskie zachowają suwerenność i możliwość wprowadzenia ostrzejszego reżimu. W Polsce obowiązuje najostrzejszy system w Europie. Nasz kodeks pracy opisuje dokładnie, które dane mogą być przetwarzane przez pracodawcę. Nie może on żądać np. informacji o karalności. To jest poważny problem na rynku polskim, bo wiele firm, szczególnie zagranicznych, a zwłaszcza amerykańskich, chce takiej informacji.

Firmy spoza Unii

Rozporządzenie ma dotyczyć wszystkich działań skierowanych na rynek europejski, nawet jeśli są wykonywane spoza UE. Firmy bez europejskich siedzib będą przymuszone do stworzenia europejskich przedstawicielstw, nawet małych. Nie będą mogły w kontakcie z klientem powoływać się na to, że zgodził się on na ochronę danych osobowych na podstawie prawa siedziby firmy poza UE.

Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych

Debata o nowym rozporządzeniu o ochronie danych po wielu latach dobiega końca. Czy różnice w podejściu do prywatności w różnych krajach są znaczące?

Wojciech Wiewiórowski: Oczywiście. Na jednym końcu mamy kraje skandynawskie, gdzie dochody opodatkowane każdej osoby można znaleźć w internecie. W Polsce czy na południu Europy jest to niewyobrażalne. Inny przykład to PESEL. W Polsce identyfikuje on nas w różnych zbiorach danych prowadzonych przez administrację publiczną. W Niemczech byłoby to niemożliwe. Mają oni na tyle złe doświadczenia z tatuowaniem numerów na rękach ludziom, że zakazali po drugiej wojnie światowej wprowadzania numeru identyfikacyjnego w administracji publicznej. W każdej instytucji jest osobny, podobnie zresztą w Czechach. Nie da się tam prześledzić sytuacji obywatela na podstawie jednego numeru. Różne jest też podejście ludzi. Jest badanie Eurobarometru sprzed kilku lat, gdzie pytano o stosunek do ich danych osobowych. I przynajmniej w dwóch przypadkach odpowiedzi z Polski były dla mnie szokujące.

Dlaczego? Polacy się nie przejmują?

Ponad 90 proc. Niemców czy Brytyjczyków uważało dane finansowe za wrażliwą sferę, w Polsce było to tylko nieco ponad 50 proc. Jeszcze bardziej szokowało podejście do danych o zdrowiu. Znów ponad 90 proc. Niemców czy Brytyjczyków uznało je za wrażliwe, a Polaków tylko 47 proc.