Dane już lepiej chronione

26.5.2018

Od 25 maja br. w całej UE należy stosować nowe przepisy o ochronie danych - czyli tzw. RODO. Mają one lepie chronić prywatność konsumentów i nakładają na przedsiębiorców obowiązek bezpiecznego przechowywania i zarządzania informacjami identyfikującymi konkretne osoby.

- "Ochrona danych jest prawem podstawowym w UE. Dzięki nowym przepisom Europejczycy odzyskają kontrolę nad swoimi danymi" – powiedziała komisarz Vĕra Jourová.

Czego dotyczy RODO?

W dniu 6 kwietnia 2016 r. państwa członkowskie UE uzgodniły przeprowadzenie zasadniczej reformy unijnych ram ochrony danych, przyjmując pakiet przepisów w zakresie ochrony danych, w którego skład weszło ogólne rozporządzenie o ochronie danych (RODO), które zastąpiło obowiązującą dwadzieścia lat dyrektywę. Nowe ogólnounijne przepisy o ochronie danych zaczęły być stosowane w dniu 25 maja 2018 r., po dwóch latach od ich przyjęcia i wejścia w życie.

Zaostrzone przepisy dotyczące ochrony danych w swym założeniu dają obywatelom większą kontrolę nad ich danymi osobowymi, zaś przedsiębiorcom korzyści wynikające z równych warunków działania.

Główne elementy nowych przepisów o ochronie danych:

jednolity zbiór przepisów obowiązujący w całej Europie, gwarantujący przedsiębiorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych w całej UE;
jednakowe zasady stosowane do wszystkich przedsiębiorstw świadczących usługi na terenie UE, nawet jeżeli mają one siedzibę poza UE;
wzmocnienie istniejących praw obywateli i przyznanie im nowych: wzmocniono prawo do informacji, prawo dostępu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia obywatelom przenoszenie danych z jednego przedsiębiorstwa do innego. Zapewni to przedsiębiorstwom nowe możliwości biznesowe;
wzmocniona ochrona przed naruszeniami w dziedzinie danych: przedsiębiorstwo, którego chronione dane zostały naruszone, co naraziło osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciągu 72 godzin;
skuteczne przepisy i odstraszające grzywny: wszystkie organy ochrony danych będą miały uprawnienia do nakładania grzywien w wysokości do 20 mln euro lub, w przypadku przedsiębiorstw, w wysokości 4 proc. całkowitego rocznego światowego obrotu.

Dzięki ogólnemu rozporządzeniu o ochronie danych obywatele będą korzystali z lepszej ochrony danych osobowych poprzez:

lepszą kontrolę nad sposobem przetwarzania danych osobowych przez przedsiębiorstwa i organy administracji publicznej, w tym konieczność wyraźnej zgody użytkowników na przetwarzanie ich danych osobowych;
większą jasność co do polityki ochrony prywatności przedsiębiorstw;
szybkie powiadomienie o szkodliwych naruszeniach ochrony danych bez zbędnej zwłoki.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

Wartość prywatności

Tylko 15% osób uważa, że ma pełną kontrolę nad informacjami, które udostępniają w internecie - wynika z badań opinii publicznej. By wzmocnić ochronę prywatności w sieci i zwiększyć zaufanie obywateli, Unia Europejska przyjęła Ogólne rozporządzenie o ochronie danych (RODO). Rozporządzenie zostało przyjęte w kwietniu 2016 roku, a w piątek, 25 maja, mija termin na wdrożenie jego przepisów.

"Wartość prywatności nie została umniejszona, szczególnie w przypadku młodych ludzi. Oni zdają sobie sprawę z tego, dlaczego prywatność danych jest ważna, ponieważ (dzięki internetowi - red.) są połączeni z tak wieloma osobami dookoła, że czują potrzebę wzmocnienia kontroli prywatności i danych. RODO ułatwia to zadanie" - powiedział Jan Philipp Albrecht (Greens/EFA, Niemcy), który był sprawozdawcą Parlamentu Europejskiego w sprawie RODO.

Celem RODO jest poprawa zarówno funkcjonowania rynku wewnętrznego, jak i ochrony obywateli poprzez zapewnienie większej kontroli nad danymi osobowymi oraz ustanowienie spójnych przepisów dla przedsiębiorstw.

Co obejmują dane osobowe? Np. imię i nazwisko, adres zamieszkania, adres e-mail, numer i serię dowodu tożsamości, dane na temat geolokalizacji, adres IP, identyfikatory plików cookies, identyfikator wyświetlania reklam w telefonie, informacje dotyczące stanu zdrowia, które pozwalają zidentyfikować osobę.

Kontrola, przejrzystość i odpowiedzialność

RODO znalazło się w centrum zainteresowania międzynarodowej opinii publicznej po doniesieniach medialnych, że Cambridge Analytica, brytyjska firma konsultingowa, pozyskała dane od 87 milionów użytkowników Facebooka bez ich wiedzy i zgody. W kwietniu skandal był tematem debaty plenarnej w Parlamencie Europejskim, a 22 maja br. Mark Zuckerberg, twórca i dyrektor generalny Facebooka, przybył do Parlamentu Europejskiego, by wyjaśnić, w jaki sposób firma będzie przestrzegać nowych zasad wprowadzonych przez RODO.

- "W sercu RODO znajdują się trzy ważne zasady: kontrola, przejrzystość i odpowiedzialność. Zawsze podzielaliśmy te wartości, dając ludziom kontrolę nad tym, jakie informacje i komu udostępniają" - przekonywał Zuckerberg na posiedzeniu Konferencji Przewodniczących PE i dodał, że standardy przewidziane w RODO zamierza wprowadzić dla użytkowników Facebooka na całym świecie, a nie tylko w Unii Europejskiej.

Oświadczenia wiceprzewodniczącego Andrusa Ansipa i komisarz Vĕry Jourovej tuż przed wejściem w życie ogólnego rozporządzenia o ochronie danych

Wiceprzewodniczący KE, komisarz do spraw jednolitego rynku cyfrowego, Andrus Ansip:

- "Nowe przepisy o ochronie danych staną się rzeczywistością. Dzięki nim prywatność Europejczyków będzie lepiej chroniona online. Również przedsiębiorstwa odniosą korzyści z przepisów, które w całej UE będą takie same. Rygorystyczne przepisy o ochronie danych są podstawą funkcjonowania jednolitego rynku cyfrowego oraz stwarzają dogodne warunki dla rozwoju gospodarki cyfrowej. Dzięki przyjęciu tych przepisów obywatele mogą ufać, że ich dane będą wykorzystywane zgodnie z prawem oraz że UE będzie mogła jak najlepiej wykorzystywać szanse związane z gospodarką opartą na danych.

Zaproponowane przez nas przepisy dotyczące ochrony danych uzgodniono z następujących względów: dwie trzecie Europejczyków wyraziło zaniepokojenie tym, w jaki sposób postępuje się z ich danymi. Czują oni, że nie mają kontroli nad informacjami, które udostępniają online. Również przedsiębiorstwa potrzebują klarownych reguł, aby móc bezpiecznie prowadzić działalność w całej UE. Niedawne incydenty związane z wyciekiem danych potwierdziły, że ustanawiając bardziej rygorystyczne i klarowne przepisy o ochronie danych, działamy w Europie w słusznej sprawie".

Komisarz do spraw sprawiedliwości, konsumentów i równouprawnienia płci, Vĕra Jourová:

"Dane osobowe to złoto XXI wieku. Nasze dane pozostawiamy praktycznie na każdym kroku, w szczególności poruszając się w świecie cyfrowym. (…)

Ochrona danych jest prawem podstawowym w UE. Dzięki nowym przepisom Europejczycy odzyskają kontrolę nad swoimi danymi. Mamy teraz wybór i możemy mieć wpływ na to, co się dzieje z naszymi danymi oraz kto ma jakie dane. Mamy więc prawo pytać, a przedsiębiorstwa mają obowiązek nas o tym informować. Możemy również odzyskać nasze dane, gdy rezygnujemy z jakieś usługi lub wybieramy inną.

Nowe przepisy będą korzystne również dla przedsiębiorstw, ponieważ będą one wszędzie takie same. Przedsiębiorstwa będą współpracować tylko z jednym urzędem. Ułatwia to rozwój działalności gospodarczej w innych państwach członkowskich.

Przyjęte przepisy kierują się podejściem opartym na ryzyku: dla przedsiębiorstw, które prowadzą działalność gospodarczą polegającą na przetwarzaniu naszych danych, oznacza to, że będą miały więcej obowiązków. Mamy prawo od nich wymagać, aby zapewniły one konsumentom coś w zamian, przynajmniej bezpieczeństwo ich danych. Przedsiębiorstwa, których główna działalność nie polega na przetwarzaniu danych, będą miały mniej obowiązków. Będą one zobligowane przede wszystkim do zapewnienia bezpieczeństwa przetwarzanych przez nie danych i ich wykorzystywania zgodnie z prawem. Nowe przepisy zawierają również sankcje. Każdy podmiot, a w szczególności te przedsiębiorstwa, które z naszych danych czerpią zyski, będą żywotnie tym zainteresowane, aby postępować zgodnie z nowym prawem.

Przyjmując ogólne rozporządzenie o ochronie danych, Europa pragnie zamanifestować swoją suwerenność cyfrową i wyrazić gotowość do podejmowania wyzwań ery cyfrowej. Dzięki nowym regulacjom o ochronie danych ustanawiamy również światowe standardy ochrony prywatności. Pomogą nam one odzyskać zaufanie niezbędne do odnoszenia sukcesów w światowej gospodarce cyfrowej".

Co dalej?

Aby zapewnić skuteczne stosowanie nowych przepisów, Komisja Europejska nadal będzie aktywnie wspierać państwa członkowskie, organy ochrony danych i przedsiębiorstwa. Komisja przeznaczyła 1,7 mln EUR na współfinansowanie szkoleń specjalistów w zakresie ochrony danych. Dodatkowo przeznaczono 2 mln EUR na wsparcie organów krajowych w działaniach ukierunkowanych na przedsiębiorstwa, w szczególności MŚP i osoby fizyczne.

Komisja będzie monitorować sposób, w jaki państwa członkowskie stosują nowe przepisy i, w razie konieczności, podejmują odpowiednie działania. Rok po wejściu w życie rozporządzenia (tj. w 2019 r.) Komisja zorganizuje wydarzenie podsumowujące doświadczenia różnych zainteresowanych stron związane z wdrażaniem rozporządzenia. Wnioski z tego spotkania zostaną uwzględnione w sprawozdaniu z oceny i przeglądu rozporządzenia, jakie Komisja ma obowiązek sporządzić do maja 2020 r.

Cyfrowy rynek dla wszystkich

- "To niedopuszczalne, aby dane były zbierane z myślą o manipulowaniu opinią publiczną" – powiedziała komisarz Věra Jourová niespełna dwa tygodnie przed wejściem w życie ogólnego rozporządzenia o ochronie danych. KE przedstawiła zestaw konkretnych środków, po które europejscy przywódcy mogą sięgnąć, aby chronić prywatność obywateli oraz sprawić, by jednolity rynek cyfrowy zaczął w pełni działać przed końcem 2018 r.

Przedstawiony komunikat stanowi wkład Komisji w nieformalne rozmowy przywódców UE w Sofii 16 maja br.

Komisja Europejska uważa, że we wspólnym interesie wszystkich państw członkowskich jest zarządzanie transformacją cyfrową przy zastosowaniu europejskiego podejścia, które łączy inwestycje w innowacje cyfrowe z solidnymi przepisami dotyczącymi ochrony danych. Umożliwi to UE skuteczne działanie wobec wyzwań, jakie niesie ze sobą globalna gospodarka coraz bardziej oparta na danych.

Wiceprzewodniczący Andrus Ansip odpowiedzialny za jednolity rynek cyfrowy powiedział: - "W gospodarce i społeczeństwie wszystko obraca się wokół danych. Trzeba zadbać o to, aby bezpieczne i pewne dane mogły swobodnie przepływać. Komisja Europejska przedstawiła wszystkie wnioski dotyczące jednolitego rynku cyfrowego; teraz kolej na przywódców UE, aby otworzyli dostęp do możliwości, jakie stwarza technologia cyfrowa. To nowe środowisko regulacyjne powinno iść w parze ze znacznymi inwestycjami w dziedzinach takich jak bezpieczeństwo cybernetyczne, sieci 5G, sztuczna inteligencja i wysokowydajne systemy obliczeniowe".

Věra Jourová, komisarz do spraw sprawiedliwości, konsumentów i równouprawnienia płci, dodała: - "Niedawne doniesienia na temat Facebooka / Cambridge Analytica jeszcze raz potwierdzają, że UE dokonała słusznego wyboru, wprowadzając rygorystyczne przepisy dotyczące ochrony danych. Niedopuszczalne jest, aby dane były zbierane z myślą o manipulowaniu opinią publiczną. Z dumą określamy nową międzynarodową normę w zakresie ochrony danych osobowych. Jest ona podstawą zaufania konsumentów w coraz bardziej cyfrowej gospodarce i cyfrowym społeczeństwie".

Marija Gabriel, komisarz do spraw gospodarki cyfrowej i społeczeństwa cyfrowego, powiedziała: - "Posiadanie odpowiednich ram regulacyjnych jest podstawą budowania zaufania i rozwijania działalności w internecie. Wraz z ogólnym rozporządzeniem o ochronie danych, rozporządzenie o prywatności i łączności elektronicznej będzie zabezpieczać łączność elektroniczną obywateli. Przywódcy UE będą mieli okazję, by stworzyć zachęty o decydującym znaczeniu dotyczące pozostałych, kluczowych wniosków cyfrowych, będących wciąż przedmiotem negocjacji".

Trzy lata po przyjęciu strategii jednolitego rynku cyfrowego jednolity rynek cyfrowy rozwinął się: spośród 29 wniosków legislacyjnych przedstawionych przez Komisję od maja 2015 r. Parlament Europejski i Rada uzgodniły 12. Zasadnicze nowe przepisy dotyczące ochrony danych, bezpieczeństwa cybernetycznego i końca opłat roamingowych w telefonii komórkowej już zostały wprowadzone albo zostaną wprowadzone w ciągu najbliższych dni lub tygodni. Państwa członkowskie muszą teraz zapewnić, aby uzgodnione zasady zaczęły funkcjonować w praktyce.

Wzmocnienie ochrony danych osobowych w UE

Ogólne rozporządzenie o ochronie danych (RODO): dwie trzecie Europejczyków jest zaniepokojonych brakiem kontroli nad informacjami, jakie podają online, a połowa z nich boi się paść ofiarą oszustwa. Niedawny skandal w związku z Facebookiem/Cambridge Analytica uświadomił, że dane mogą być wykorzystywane w nieodpowiedni sposób, jeżeli nie są odpowiednio chronione.

Dalsze działania: Komisja zwraca się do przywódców UE, aby dopilnowali, żeby władze krajowe jak najszybciej wdrożyły wszystkie pozostałe działania niezbędne do rozpoczęcia stosowania nowych przepisów we wszystkich państwach członkowskich.

Rozporządzenie o prywatności elektronicznej: wraz z ogólnym rozporządzeniem o ochronie danych,rozporządzenie o prywatności i łączności elektronicznej zaproponowane w styczniu 2017 r., będące obecnie przedmiotem negocjacji w Parlamencie Europejskim i w Radzie, ma podstawowe znaczenie, jeśli chodzi o zapewnienie, aby nie naruszano poufności komunikacji internetowej Europejczyków. Nowe przepisy będą odnosić się zarówno do tradycyjnych operatorów telekomunikacyjnych jak i usług internetowych, takich jak e-maile, komunikatory internetowe czy usługi głosowe. Oznacza to, że bez zgody użytkownika, usługodawcy nie będą mogli uzyskać dostępu do urządzeń, których ci używają.

Dalsze działania: Komisja wzywa Radę, aby ta szybko osiągnęła porozumienie co do swojego stanowiska negocjacyjnego w sprawie rozporządzenia o prywatności i łączności elektronicznej, tak aby negocjacje z Parlamentem Europejskim mogły się rozpocząć w czerwcu 2018 r., z myślą o przyjęciu rozporządzenia do końca 2018 r.

Kroki niezbędne do ukończenia funkcjonalnego jednolitego rynku cyfrowego

Od czasu uruchomienia strategii jednolitego rynku cyfrowego w maju 2015 r., Komisja przedstawiła wnioski dotyczące wszystkich 29 inicjatyw uznanych za kluczowe dla sprawnie działającego jednolitego rynku cyfrowego. Obywatele już z niego korzystają, co widać na przykład po czterokrotnym wzroście w wykorzystaniu danych podczas podróży do innych państw członkowskich dzięki zniesieniu opłat roamingowych. Ogólny wkład jednolitego rynku cyfrowego do gospodarki europejskiej mógłby sięgnąć 415 mld euro rocznie i przyczynić się do powstania setek tysięcy nowych miejsc pracy.

Komisja zwraca się do przywódców UE, aby omówili i przedstawili wytyczne strategiczne zwłaszcza w celu:

zmobilizowania niezbędnych inwestycji publicznych i prywatnych, aby umożliwić rozwój takich technologii jak sztuczna inteligencja, sieci łączności 5G czy wysokowydajnych technologii obliczeniowych;
zapewnienia, aby do czerwca 2018 r. współprawodawcy uzgodnili rozporządzenie w sprawie swobodnego przepływu danych nieosobowych, mające na celu dalszy rozwój europejskiej gospodarki opartej na danych;
również do czerwca 2018 r. powinien zostać ukończony kodeks łączności elektronicznej, którego celem jest pobudzanie inwestycji w szybkie sieci wysokiej jakości w całej UE;
pomagania państwom członkowskim w zadaniu polegającym na przekazywaniu Europejczykom umiejętności cyfrowych, których teraz i w przyszłości będą potrzebować, aby funkcjonować w gospodarce cyfrowej i społeczeństwie cyfrowym.

Ogólnie rzecz biorąc, wszystkie pozostałe wnioski dotyczące jednolitego rynku cyfrowego powinny zostać uzgodnione do końca 2018 r., zgodnie z wezwaniem Rady Europejskiej z października 2017 r. Należy do nich na przykład modernizacja unijnych przepisów dotyczących praw autorskich w celu ochrony twórców w internecie oraz ułatwienie dostępu do utworów europejskich za granicą.

Kontekst prawny

UE zniosła już opłaty roamingowe w UE i umożliwiła Europejczykom podróżowanie po całej UE ze swoimi abonamentami internetowymi na filmy, seriale telewizyjne, gry wideo, muzykę, programy sportowe i e-booki.

Od dnia 9 maja 2018 r. państwa członkowskie muszą stosować pierwsze ogólnounijne przepisy dotyczące bezpieczeństwa cybernetycznego, dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa NIS), która zostanie uzupełniona zakrojonym na szeroką skalę zestawem środków na rzecz podniesienia bezpieczeństwa cybernetycznego w UE. Obejmują one wniosek w sprawie agencji bezpieczeństwa cybernetycznego UE, która będzie wspierać państwa członkowskie w odpieraniu ataków cybernetycznych, a także nowego europejskiego systemu certyfikacji, który będzie gwarantować bezpieczne korzystanie z produktów i usług w środowisku cyfrowym. Od grudnia 2018 r. dzięki nowym przepisom wymierzonym przeciwko nieuzasadnionemu blokowaniu geograficznemu, nabywając produkty lub usługi w internecie w UE, konsumenci nie będą już napotykać barier. Dla przedsiębiorstw oznacza to większą pewność prawa przy prowadzeniu działalności transgranicznej.

W kwietniu 2018 r. Komisja zrealizowała wszystkie pozostałe działania na rzecz jednolitego rynku cyfrowego, a w szczególności przedstawiła europejskie podejście na temat przyszłości sztucznej inteligencji, środki mające przeciwdziałać dezinformacji w internecie obejmujące ogólnoeuropejski kodeks postępowania w sprawie dezinformacji, a także warunki dotyczące uczciwości i przejrzystości w gospodarce opartej na platformach internetowych, których celem jest powstanie przyjaznego dla innowacji otoczenia dla przedsiębiorstw z UE.

Jednocześnie w grudniu 2015 r. przyjęto ogólne rozporządzenie o ochronie danych przewidujące dwuletni okres przejściowy, aby umożliwić państwom członkowskim oraz ich organom osiągnięcie pełnej gotowości przed jego wejściem w życie w dniu 25 maja 2018 r. W styczniu 2018 r. Komisja opublikowała też wytyczne, aby ułatwić stosowanie nowych przepisów o ochronie danych w całej UE.

Zob. też:

Podstawa prawna:

rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl