Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Rewolucja w ochronie danych

Dane osobowe 02.08.2016

Po ponad czterech latach prac zmierzających do całkowitej przebudowy unijnych zasad ochrony danych, w dniu 14 kwietnia 2016 roku Parlament Europejski przyjął pakiet zmian regulacji UE w zakresie ochrony danych. Pakiet legislacyjny, którego celem jest aktualizacja i unowocześnienie przepisów w tej dziedzinie, obejmuje dwa instrumenty: ogólne rozporządzenie o ochronie danych oraz dyrektywę o ochronie danych przy ściganiu przestępstw. Przyjęte rozwiązania prawne wprowadzają radykalną zmianę zarówno w sensie merytorycznym, jak i formalnym (bezpośrednie zastosowanie ogólnego rozporządzenia).

 

Jednolita regulacja we wszystkich państwach UE

Główny element przyjętych zmian stanowi ogłoszone w Dziennik Urzędowy Unii Europejskiej w dniu 4 maja 2016 roku Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – bo tak brzmi jego pełen tytuł. Zastąpi ono dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie to akt, który obowiązuje bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Poprzez jego wprowadzenie we wszystkich państwach UE obowiązywać będą jednakowe przepisy w zakresie ochrony danych osobowych, czyli dokona się pełna ich harmonizacja. Rozporządzenie nie wymaga implementacji, co nie oznacza braku zmian w porządkach prawnych krajów członkowskich. Jego wejście w życie wymusi konieczność zmiany wielu krajowych ustaw i aktów wykonawczych celem ich dostosowania do rozwiązań przewidzianych w rozporządzeniu.
Ogólne rozporządzenie o ochronie danych ma w swych założeniach zapewnić ujednolicony, wysoki poziom ochrony danych na całym obszarze Unii Europejskiej, a tym samym doprowadzić do wzrostu poczucia pewności prawnej w tym zakresie. Więcej na temat szczegółowych rozwiązań prawnych – czytaj artykuł […].

Novum w postaci dyrektywy o ochronie danych przy ściganiu przestępstw

Całkowitą nowością w polskim systemie prawnym jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. Rozwiązania prawne przyjęte w dyrektywie nie istniały wcześniej polskich przepisach prawa.
Przed wejściem w życie dyrektywy, prawo wspólnotowe regulowało zagadnienie przetwarzania danych osobowych przez organy policyjne i sądowe w sprawach karnych przepisami Decyzji ramowej Rady 2008/977/WSiSW. Decyzje ramowe to akty stosowania prawa wspólnotowego, wydawane przez instytucje Unii Europejskiej (Radę, Komisję i Parlament Europejski), które wiążą państwa członkowskie co do ich treści, przy jednoczesnym pozostawieniu pełnej swobody metod ich realizacji.
Zakres regulacji Decyzji ramowej Rady 2008/977/WSiSW ograniczał się wyłącznie do transgranicznego przetwarzania danych. Zatem przetwarzanie danych osobowych nie będące przedmiotem transgranicznej wymiany informacji, nie było w żaden sposób objęte kompleksowymi regulacjami Unii Europejskiej, które gwarantowałyby ochronę praw podstawowych w odniesieniu do ochrony danych osobowych. Dyrektywa obejmuje reguły zarówno transgranicznego, jak i krajowego przetwarzania danych przez właściwe organy państw członkowskich w celu ścigania przestępstw, przy jednoczesnym zachowaniu specyfiki współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Celem wspomnianego przetwarzania danych jest przede wszystkim zapobieganie i ściganie przestępczości, w tym wykrywanie i ściganie czynów zabronionych, prowadzenie postępowań przygotowawczych. Zakres przetwarzania danych został jednak dodatkowo rozszerzony na ochronę i zapobieganie zagrożeniom dla bezpieczeństwa publicznego, czego nie obejmowała decyzja ramowa, którą dyrektywa ma zastąpić.
Założeniem nowych regulacji jest utrzymanie równowagi pomiędzy prawem do prywatności a koniecznością zachowania przez policję poufności o przetwarzaniu danych na początkowym etapie dochodzenia. Dyrektywa przewiduje jednocześnie wykaz informacji, do których uzyskania osoba, której dane te dotyczą, jest zawsze uprawniona. Ma to służyć temu, by podmiot praw podmiotowych był w stanie chronić swoje prawa w przypadku, gdy poweźmie przekonanie, że doszło do naruszenia prawa.
Nowa dyrektywa przewiduje kilka narzędzi służących zapewnieniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych. W tym celu dyrektywa nakłada na administrator danych osobowych obowiązek wyznaczenia inspektora ochrony danych, który ma służyć pomocą właściwym organom w zapewnianiu przestrzegania przepisów o ochronie danych. Kolejnym instrumentem zapewnienia prawidłowego stosowania przepisów jest ocena potencjalnych skutków danego przetwarzania. W przypadku, gdy przetwarzanie danych łączy się z wysokim ryzykiem dla praw i wolności poszczególnych osób, właściwe organy zobowiązane są dokonać oceny potencjalnych skutków danego przetwarzania, zwłaszcza z wykorzystaniem nowych technologii.
Brzmienie dyrektywy zostało skorelowane z tekstem ogólnego rozporządzenia o ochronie danych w ten sposób, że oba akty prawne bazują na tych samych zasadach ogólnych. Wyrazem tej tendencji jest również wyznaczenie tych samych organów nadzorczych. Organ nadzoru ustanowiony w ogólnym rozporządzeniu o ochronie danych (Europejska Rada Ochrony Danych) będzie również zajmować się zagadnieniami wchodzącymi w zakres dyrektywy. Osobom, których dane są przetwarzane, nowa dyrektywa daje prawo do dochodzenia odszkodowania, gdyby osoby te doznały szkody na skutek przetwarzania danych niezgodnego z przepisami.
Dyrektywa przewiduje możliwość przekazania danych do państwa trzeciego jedynie wówczas, gdy celem będzie ściganie przestępstw i gdy Komisja stwierdzi, że takie państwo trzecie jest w stanie zapewnić odpowiedni poziom ochrony. Przekazanie danych może ponadto być uzasadnione szczególnymi okolicznościami.

Wejście w życie nowych przepisów

Dyrektywa (UE) 2016/680 weszła w życie pierwszego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, tj. z dniem 6 maja 2016 roku. W przypadku rozporządzenia (UE) 2016/679 przewidziano znacznie dłuższe vacatio legis. Przepis art. 99 rozporządzenia stanowi, że rozporządzenie wprawdzie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej (czyli dnia 25 maja 2016 roku), jednak ma ono zastosowanie z upływem dwóch lat (od dnia 25 maja 2018 roku). Ponad dwuletni okres vacatio legis jest całkowicie zrozumiały biorąc pod uwagę zakres wprowadzonych zmian oraz ich prawną doniosłość.