W dniu 14 kwietnia 2016 roku Parlament Europejski przyjął pakiet legislacyjny w zakresie ochrony danych, którego celem jest aktualizacja i unowocześnienie przepisów w tej dziedzinie. Jego trzon stanowi ogólne rozporządzenie o ochronie danych. Nowe rozwiązania prawne przynoszą rewolucyjną zmianę w europejskim systemie ochrony danych osobowych. Ich celem, oprócz zwiększenia poziomu ochrony osób fizycznych, których dane osobowe są przetwarzane, jest zwiększenie możliwości biznesowych na jednolitym rynku cyfrowym, w szczególności poprzez redukcję obciążeń natury administracyjnej i dostosowanie prawa do rozwoju nowych technologii internetowych i cyfrowych.
Bezpośrednie stosowanie nowych regulacji ochrony danych
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – bo tak brzmi jego pełen tytuł – zastępuje dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Już z tego punktu widzenia zmiana jest radykalna. Rozporządzenie – w przeciwieństwie do dyrektywy – to akt prawny, który obowiązuje bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Wcześniej obowiązująca dyrektywa 95/46/WE miała znacznie węższy zakres regulacji i wymagała implementacji w poszczególnych krajach członkowskich, co nie w każdym przypadku odbyło się prawidłowo (przykładem nieudanej implementacji jest choćby brytyjski Data Protection Act 1998). W konsekwencji występowały istotne różnice pomiędzy poszczególnymi krajami UE w zakresie ochrony danych oraz brakowało wspólnych instytucji ułatwiających stosowanie prawa ochrony danych w relacjach transgranicznych. Poprzez przyjęcie nowego rozporządzenia, we wszystkich państwach UE obowiązywać będą jednolite reguły ochrony danych, a zatem dokona się pełna ich harmonizacja.
Ułatwienia dla biznesu w ramach jednolitego rynku cyfrowego
Rozporządzenie wprowadza jednolite reguły obowiązujące na całym obszarze Unii Europejskiej, które mają zastosowanie tak do europejskich, jak i pozaeuropejskich przedsiębiorstw świadczących usługi on-line w UE. Takie rozwiązania znacznie ułatwia transgraniczną wymianę danych poprzez unikanie zakłóceń powodowanych przez niezgodności pomiędzy krajowymi przepisami regulującymi ochronę danych. Rozporządzenie wymusza takle ściślejszą współpracę pomiędzy poszczególnymi państwami członkowskimi, celem zapewnienia spójnego stosowania przepisów o ochronie danych we wszystkich krajach UE. W założeniu ma to sprzyjać uczciwej konkurencji i stanowić zachętę dla przedsiębiorstw, zwłaszcza małych i średnich, do większej aktywności na jednolitym rynku cyfrowym.
Rozporządzenie oparte jest na słusznym założeniu różnicowania obostrzeń dla przetwarzania danych zależnie od ryzyka związanego z określonymi operacjami przetwarzania danych. Zagrożenia pod względem ochrony prywatności związane prowadzeniem różnych rodzajów działalności mogą się istotnie różnić. Stąd rozporządzenie nie narzuca jednolitego rozwiązania dla wszystkich: przeciwnie, im wyższy stopień zagrożenie dla ochrony danych osobowych stwarza określona działalność, tym bardziej restrykcyjne są zobowiązania jej dotyczące. Administratorzy danych mogą zatem różnicować stosowane przez siebie środki zależnie od ryzyka związanego z operacjami przetwarzania danych, jakich dokonują. Takie elastyczne podejście ma na celu zmniejszenie kosztów przetwarzania danych. Zmniejszeniu kosztów działalności gospodarczej oraz zagwarantowaniu pewności prawa, ma służyć mechanizm kompleksowej obsługi przedsiębiorstwa, które prowadzi działalność w kilku państwach członkowskich. Polega on na tym, że w istotnych sprawach transgranicznych, których zakres obejmuje kilka krajowych organów nadzorczych, podejmowana będzie jedna decyzja nadzorcza. Przedsiębiorca prowadzący działalność w kilku państwach członkowskich, będzie mógł kontaktować się jedynie z organem ochrony danych w państwie członkowskim, w którym ma swoją główną siedzibę. W przypadku sporów, mechanizm ten zakłada także jedną decyzję mającą zastosowanie do całego terytorium Unii Europejskiej.
Szerszy zakres zastosowania
Nowe rozporządzenie będzie miało szerszy zakres zastosowania niż przepisy krajowe implementujące dyrektywę 95/46/WE. Dyrektywa przewidywała, że przepisy prawa ochrony danych poszczególnych państw członkowskich winny mieć zastosowanie w przypadku, gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego, albo gdy administrator danych nie prowadzi działalności gospodarczej na terytorium Wspólnoty ale do celów przetwarzania danych osobowych wykorzystuje środki techniczne znajdujące się na terytorium danego państwa członkowskiego.
Rozporządzenie odmienienie definiuje kryteria terytorialnego zakresu zastosowania. Przepisy rozporządzania mają zastosowanie: 1) do przetwarzania danych osobowych w związku z działalnością prowadzoną przez administratora danych na terenie Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy poza jej granicami; a ponadto 2) do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii, przez podmiot spoza Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem na terenie Unii towarów lub usług takim osobom, których dane dotyczą (niezależnie od odpłatności za towary lub usługi); lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Wejście w życie rozporządzenia
Rozporządzenie weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, czyli z dniem 25 maja 2016 roku, jednak będzie miało zastosowanie od dnia 25 maja 2018 roku. Dwuletni okres vacatio legis ma służyć przygotowaniu się przede wszystkim państw członkowskich, ale także organów ochrony danych osobowych i przedsiębiorców przetwarzających dane. Bardzo istotna jest ocena własnej sytuacji, rozpoznanie tego, jakie dane są przetwarzane, określenie celu tego przetwarzania oraz ocena ryzyka związanego z wyciekiem danych. Niewątpliwie rozporządzenie zwiększa zakres odpowiedzialności administratora danych za bezpieczeństwo danych osobowych, stąd w interesie samego przedsiębiorcy leży odpowiednie przygotowanie się do stosowania przepisów rozporządzenia.
