Prawo: Nowe zasady ochrony danych osobowych

Piotr Gałązka

Zaprezentowany pakiet zmian regulacji nazwano Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku. Podstawowym jego założeniem jest uchylenie dotychczas obowiązującej dyrektywy i zastąpienie jej nowym Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Od razu zwraca uwagę fakt, iż KE zaplanowała zmianę formy prawnej tej regulacji z dyrektywy na rozporządzenie.

Dyrektywa nie jest stosowana bezpośrednio i wymaga implementacji przez państwa członkowskie UE do krajowych porządków prawnych – w przypadku Polski zostało to dokonane uchwaleniem Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Rozporządzenie jest aktem prawa pochodnego Unii Europejskiej, który jest stosowany bezpośrednio, również w relacjach horyzontalnych i nie wymaga dla swojej skuteczności podjęcia żadnych działań przez państwa członkowskie. Rozporządzenia stosuje się wyłącznie dla spraw najistotniejszych, wymagających jednolitych przepisów we wszystkich krajach UE.

Uwagi ogólne

Nowe przepisy mają zagwaranto wać osobom fizycznym odpowiedni poziom ochrony we wszystkich okolicznościach – poprzez stworzenie gwarancji spójnego stosowania przepisów o ochronie danych.

Przede wszystkim należy stwierdzić, iż projekt, choć sama idea godna jest poparcia, zawiera jak dotąd wiele bardzo ogólnych pojęć, których nie da się jasno i jednoznacznie zdefiniować. Pojęcia nieostre oraz klauzule generalne występują w nim bardzo często, uniemożliwiając niekiedy ocenę poszczególnych przepisów oraz ich skutków.

Dodatkowo rozporządzenie zawiera ponad dwadzieścia delegacji dla Komisji Europejskiej do wydania aktów wykonawczych do rozporządzenia (tzw. delegated acts). W bardzo wielu ogólnych przepisach odesłanie do przepisów wykonawczych KE nie pozwala na całościową ocenę projektu rozporządzenia, gdyż to właśnie w tych przepisach niższej rangi znaleźć się mają najistotniejsze szczegółowe regulacje prawne umożliwiające jej dokonanie. Co równie istotne, Komisja, prezentując projekt rozporządzenia, nie załączyła do niego ani jednego projektu aktu wykonawczego. Oznacza to, że w wielu przypadkach mamy do czynienia jedynie z ramami prawnymi, które na późniejszym etapie zostaną wypełnione treścią normatywną.

Założenia projektu

Nowe przepisy mają zagwarantować osobom fizycznym odpowiedni poziom ochrony we wszystkich okolicznościach – poprzez stworzenie gwarancji spójnego stosowania przepisów o ochronie danych. Bierze się pod uwagę wpływ nowych technologii, a zwłaszcza internetu, na prawa i wolności osób fizycznych, celem jest zapewnienie swobodnego obiegu danych osobowych w obrębie rynku wewnętrznego.

Komisja zamierza, zgodnie z założeniami zaprezentowanego pakietu, zwiększyć transparentność wobec osób, których dane dotyczą. Najistotniejsze jest, aby administratorzy baz danych odpowiednio i wyraźnie oraz w przejrzysty sposób informowali o tym, jak i przez kogo przetwarzane są dane osobowe. Podstawowe założenia i zasady ich ochrony są przy tym analogiczne do określonych w dotychczas obowiązującej dyrektywie. Zmieniane są przede wszystkim uprawnienia podmiotów, których dane są przetwarzane oraz skorelowane z nimi obowiązki ich administratorów.

Zgoda na przetwarzanie

<...>