Zapraszamy do zgłaszania uwag do projektu rozporządzenia PE i Rady w sprawie ochrony danych

02.03.2012 | prawo w cyfrowym świecie

Rozpoczynamy konsultacje projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

25 stycznia Komisarz ds. Wymiaru Sprawiedliwości i Obywatelstwa Viviane Reding zaprezentowała zmiany, jakie mają nastąpić w unijnych przepisach dotyczących ochrony danych osobowych. Dyrektywę 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zastąpić ma rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Rozporządzenie jest odpowiedzią na nowe wyzwania w tym zakresie, związane przede wszystkim z szybkim rozwojem technologicznym i globalizacją.

Gdy zostanie uchwalone, wszystkie organy publiczne będą zobowiązane bezpośrednio je stosować, a normy w nim zawarte wywoływać będą skutek bezpośredni.

 • Rozporządzenie wprowadza nowe rozwiązanie: prawo do zapomnienia i usunięcia danych. Nakazuje administratorowi danych, w sytuacji gdy odpowiada on za ich upublicznienie, nie tylko ich usunięcie, ale również poinformowanie innych podmiotów o takim żądaniu ze strony osoby, której te dane dotyczą, jeżeli te podmioty przejęły od niego dane.

 • Doprecyzowuje wyłączenia dotyczące przetwarzania danych w celach osobistych i domowych. Nie będzie dotyczyło działań osób fizycznych, które nie mają charakteru zarobkowego i są prowadzone wyłącznie w celach osobistych i domowych. Sytuacja ta jednak ulega zmianie, gdy dane takie są udostępniane przez przetwarzającego nieoznaczonemu kręgowi osób.

• Wprowadza rozwiązania nazywane „punkt kompleksowej obsługi””, które prowadzi do podkreślenia roli siedziby administratora danych osobowych oraz przetwarzającego. Szczególna rola, jaką odgrywają organy ochrony danych w państwie, w którym administrator danych osobowych ma swoją siedzibę, nie wyklucza natomiast współudziału w podejmowaniu decyzji skierowanych ku takiemu administratorowi przez organy ochrony danych w innych państwach członkowskich.

• W projekcie pojawia się też propozycja objęcia regulacjami wynikającymi z rozporządzenia administratorów danych spoza Unii Europejskiej wówczas, gdy operacje przetwarzania danych obejmują oferowanie dóbr lub usług albo kontaktowanie się z podmiotami zamieszkującymi na terytorium Unii Europejskiej.

• Projekt znosi generalny obowiązek rejestracji zbioru danych nałożony na przetwarzającego dane przez Dyrektywę 95/46. Zgodnie z artykułem 28, administrator danych oraz przetwarzający dane mają obowiązek przechowywać dokumentację dotyczące zbioru, które muszą być ujawnione organowi ochrony danych na jego żądanie. Pewnym novum są natomiast uprzednia zgoda oraz uprzednia konsultacja przetwarzania danych.

• Preambuła przywołuje obowiązek administratora danych wdrożenia odpowiednich polityk i środków celem wypełnienia zasad ochrony danych „w fazie projektowania” oraz „jako opcji domyślnej”.

• Przetwarzanie danych na potrzeby ochrony zdrowia odróżniane jest wyraźnie od przetwarzania danych „o zdrowiu”. Ten pierwszy termin ma więc zdaniem projektodawców znacznie szersze znaczenie. Można uznać, że w tym przypadku chodzi o przetwarzanie jakichkolwiek danych osobowych w systemach używanych w ochronie zdrowia, które w jakikolwiek sposób (automatycznie lub manualnie) mogłyby być potencjalnie łączone z danymi osobowymi pacjentów, lekarzy, personelu medycznego i pomocniczego. W każdym z takich przypadków należy przygotować ocenę skutków projektu dla ochrony prywatności (PIA) i aktualizować takie PIA na każdym etapie tworzenia systemu.

• Znaczącym novum w stosunku do dzisiejszego prawa europejskiego jest wprowadzenie obowiązku powoływania oficera ds. ochrony danych. Prawo polskie przewiduje już dziś możliwość powoływania administratora bezpieczeństwa informacji (ABI), ale nie jest to obowiązek, lecz jedynie uprawnienie.

• Projekt rozporządzenia przewiduje znaczące zmiany w zakresie przekazywania danych do krajów trzecich. Obok dotychczas istniejących zasad pojawiają się tu nowe rozwiązania w zakresie tzw. wiążących reguł korporacyjnych (binding corporate rules - BCR), czyli kodeksów postępowania opartych na europejskich normach ochrony danych sporządzanych i realizowanych dobrowolnie przez organizacje wielonarodowe w celu zapewnienia odpowiednich gwarancji w zakresie przekazywania lub kategorii przekazywania danych osobowych między podmiotami należącymi do tej samej grupy korporacyjnej i związanymi tymi regułami korporacyjnymi.

Chcemy poddać ten projekt rozporządzenia konsultacjom. Prosimy o nadsyłanie uwag na adres dsi.konsultacje@mac.gov.pl do 11 marca. 

Dyrektywa w sprawie ochrony danych z 1995 r. stanowi kamień milowy w historii ochrony danych osobowych w Unii Europejskiej. W dyrektywie zapisano bardzo istotne aspekty w procesie integracji europejskiej: z jednej strony jest to ochrona praw podstawowych i podstawowych wolności jednostek, w szczególności podstawowego prawa do ochrony danych, z drugiej zaś – budowa rynku wewnętrznego – w tym przypadku swobodnego przepływu danych osobowych. Dziś wartości te pozostają nadal aktualne, ale wydaje się, że dynamiczny rozwój technologiczny i procesy globalizacji powodują powstawanie nowych wyzwań w obszarze ochrony danych osobowych.

PYTANIE 1

• Czy Państwa zdaniem dotychczasowa dyrektywa należycie odpowiada nowym warunkom, czy też widzą Państwo potrzebę ustanowienia bardziej całościowej i spójnej polityki w zakresie podstawowego prawa do ochrony danych osobowych?

Czy widzą Państwo wartość dodaną w dalszej harmonizacji obowiązujących w poszczególnych państwach członkowskich UE przepisów o ochronie danych?

 PYTANIE 2

• Czy proponowane w projekcie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych rozwiązania spełniają oczekiwania w zakresie ochrony danych i tworzenia rynku wewnętrznego?

Czy istnieją aspekty ochrony danych i tworzenia rynku wewnętrznego, które w niedostatecznym stopniu lub w ogóle nie zostały poruszone w ramach projektu Rozporządzenia?

 PYTANIE 3

• Jakie są punkty krytyczne proponowanych rozwiązań? (Proszę podać powody krytycznej oceny oraz o ile możliwe kontrpropozycje rozwiązań)

 

 

 

Polecane aktualności