Po zmianach europejskie prawo o ochronie danych osobowych ma być „nowoczesne, silne, spójne i wszechstronne". Czy takie będzie – dziś nie sposób stwierdzić, bo najnowsze rozporządzenie Komisji Europejskiej pozostawia więcej pytań niż odpowiedzi. Reguluje tylko najbardziej podstawowe kwestie, a na szczegóły każe czekać do opublikowania aktów delegowanych i wykonawczych. Nic dziwnego, że eksperci podchodzą do inicjatywy Komisji dość sceptycznie. – Regulacje o istotnym znaczeniu dla danej dziedziny prawa powinny być stanowione przez unijny organ prawodawczy, a nie wykonawczy – twierdzą eksperci z niemieckiego ośrodka Centrum für Europäische Politik (CEP).
Rozporządzenie określa m. in. warunki legalności przetwarzania danych. Zgoda obywatela nie będzie potrzebna, jeśli wykorzystywanie danych będzie: niezbędne do wykonania umowy, w której jest on stroną, konieczne do wypełnienia obowiązków prawnych nałożonych na administratora, uzasadnione „istotnym" interesem obywatela oraz niezbędne do wykonywania obowiązków publicznych lub realizacji „słusznych interesów" administratora – pod warunkiem, że interesy obywatela nie będą ważniejsze. W innych przypadkach wymagana będzie zgoda, ale rozporządzenie wylicza też przypadki, w których nawet ona nie wystarczy. Chodzi m. in. o sytuacje, w których występować będzie „znacząca nierównowaga" pomiędzy pozycją podmiotu danych (obywatelem) a ich administratorem (np. przedsiębiorstwem). Eksperci CEP krytykują to rozwiązanie – ich zdaniem jest niejasne i wymaga doprecyzowania.
Wśród praw przyznanych obywatelom znalazły się m. in. możliwość wymazania swoich danych z baz administratora oraz przeniesienia ich do innej bazy. Rozporządzenie zmienia też zakres kompetencji krajowych organów nadzorujących ochronę danych osobowych. Będą one mogły podejmować interwencje nawet wówczas, gdy zasady przetwarzania danych zostaną naruszone poza granicami kraju, o ile administrator danych właśnie w nim ma swoją główną siedzibę. Co więcej, rozporządzeniu podlegać będą również podmioty spoza UE, jeśli zajmują się danymi obywateli lub firm ze Wspólnoty.
Pierwsze czytanie rozporządzenia w Parlamencie Europejskim zaplanowano na styczeń 2013 r.
Pełna wersja analizy dostępna jest na stronie Fundacji FOR www.for.org.pl
