Z prac komisji senackich

Tematem wspólnego posiedzenia Komisji Praw Człowieka, Praworządności i Petycji oraz Komisji Spraw Unii Europejskiej była reforma europejskich ram prawnych ochrony danych w kontekście prac nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Gościem senatorów byłgeneralny inspektor ochrony danych osobowych Wojciech Wiewiórowski, który omówił stan prac nad nowymi przepisami unijnymi. Oprócz GIODO w dyskusji wzięli udział także przedstawiciele Ministerstwa Administracji i Cyfryzacji, organizacji pozarządowych, prawnicy i eksperci.

Jak poinformował generalny inspektor, nowe przepisy unijne mogą zostać uchwalone w I połowie 2014 r. i wejść w życie w 2016 r. W styczniu 2012 r. Komisja Europejska ogłosiła projekt zmian w ramach prawnych ochrony danych osobowych całej Unii Europejskiej. Obecną dyrektywę, implementowaną do polskiego prawa w 1997 r., ma zastąpić unijne rozporządzenie oraz oddzielna dyrektywa dotycząca przetwarzania informacji o obywatelach przez policję i wymiar sprawiedliwości. Prace nad tym pakietem trwają równolegle w Radzie Unii Europejskiej i Parlamencie Europejskim. Negocjacje w Radzie mają zakończyć się przyjęciem raportu w czerwcu 2013 r., pod koniec prezydencji irlandzkiej. Dwaj sprawozdawcy w Parlamencie Europejskim przedstawili w styczniu 2013 r. swoje propozycje zmian w projekcie rozporządzenia. Obecnie przygotowywany jest projekt kompromisowy, który ma uwzględnić 4 tys. propozycji zmian zgłoszonych przez innych europarlamentarzystów. Miałby on zostać poddany pod głosowanie w komisji Parlamentu Europejskiego w połowie maja 2013 r. Zdaniem Grzegorza Wiewiórowskiego, do połowy 2013 r. Rada i Parlament Europejski powinny przygotować swoje propozycje zmian do projektu Komisji Europejskiej, a w drugiej połowie tego roku, po wakacjach, w gronie przedstawicieli tych trzech unijnych instytucji powinna zostać wypracowywana ostateczna wersja nowych przepisów. Jeśli zostanie utrzymane obecne tempo prac, w pierwszej połowie 2014 r. nastąpi próba przyjęcia rozporządzenia w wersji ostatecznej. Jeśli chodzi o dyrektywę, Grzegorz Wiewiórowski nie jest takim optymistą. W takiej sytuacji rozporządzenie weszłoby w życie w 2016 r. Przyjęcie rozporządzenia, choć jego przepisy będą stosowane bezpośrednio w systemach prawnych poszczególnych państw członkowskich, nie zakończy prac legislacyjnych. W opinii generalnego inspektora, w nowej polskiej ustawie o ochronie danych osobowych należałoby uregulować ewentualne wyjątki od przepisów unijnych (obecnie takie szczególne przepisy są np. w prawie pracy), a także kwestie świadomie pominięte przez Komisję Europejską - kształt organu ochrony danych osobowych w Polsce, procedury i kontrolę sądową.

Projekt przygotowany przez Komisję Europejską przewiduje zmianę systemu nadzoru nad ochroną danych w Unii Europejskiej. Obecnie firmy, które działają na terenie całej Unii, muszą się zgłaszać do 27 urzędów w poszczególnych państwach członkowskich. Po wejściu w życie nowych przepisów wystarczy zgłoszenie do urzędu w kraju, w którym mają one swoją główną siedzibę. W wypadku naruszenia ochrony danych osoba prywatna nie będzie musiała składać skargi w kraju zrejestrowania spółki, ale w swoim urzędzie krajowym. Projekt zakłada także, że unijnych przepisów będą musieli przestrzegać amerykańscy giganci działający w Europie. Z pewnych obowiązków sprawozdawczych mają być natomiast zwolnione małe i średnie firmy. Za poważne naruszenie przepisów o ochronie danych, takie jak bezprawne przetwarzanie tzw. danych wrażliwych, będzie grozić kara w wysokości do 1 mln euro lub do 2% rocznego obrotu firmy.

Projekt przewiduje też wprowadzenie prawa do bycia zapomnianym (right to be forgotten, nazwane też prawem do wymazania) oraz konieczność wbudowania rozwiązań dotyczących prywatności w powstające projekty, np. internetowe. Zawiera też nakaz informowania o incydentach sieciowych, które prowadzą do ujawniania danych osobowych. Unia Europejska chce również nakazać firmom i portalom społecznościowym informowanie prostym i zrozumiałym językiem o polityce prywatności.