GIODO: W całej Unii taka sama ochrona danych osobowych

"Rz": Zapowiada pan rewolucję w przepisach chroniących dane osobowe. Na czym ma ona polegać?

Wojciech Wiewiórowski generalnym inspektorem ochrony danych osobowych:

W ubiegłym tygodniu w Brukseli został przedstawiony pakiet przepisów określający nowe, jednolite w całej UE ramy prawne ochrony danych osobowych. Zamiast obecnej dyrektywy zaproponowano obowiązujące wprost i jednakowe we wszystkich krajach Unii rozporządzenie o ochronie danych osobowych. Będą to przepisy generalne, które zastąpią i dyrektywę, i polską ustawę, a także regulacje obowiązujące w innych krajach UE. Poza tym, co jest zupełną nowością, ma wejść w życie odrębna dyrektywa regulująca kwestie przetwarzania danych osobowych w policji i wymiarze sprawiedliwości. Obecnie w naszym kraju nie ma takich przepisów.

Czy w związku z tym zobowiązani do chronienia danych mogą liczyć na jakieś udogodnienia?

Tak. Zlikwidowana ma być m.in. procedura notyfikacji zbiorów danych osobowych. Obecnie w Polsce obowiązuje rejestracja takich przetwarzanych zbiorów, i to w bardzo zbiurokratyzowanej i niepotrzebnej dziś formie. Pozostanie jednak obowiązek uzgadniania przetwarzania danych wrażliwych, czyli m.in. ujawniających pochodzenie rasowe lub etniczne, poglądy i przekonania, wyznanie, przynależność partyjną bądź związkową, informacje o stanie zdrowia lub życiu seksualnym, a także danych dotyczących skazań, mandatów karnych czy orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Są instytucje, które bardziej niż inne muszą pilnować danych, np. banki czy firmy ubezpieczeniowe. W jaki sposób unijne przepisy zagwarantują klientom, że nie wyciekną ich dane dotyczące oszczędności albo przebytych chorób?

Ma być ocena wpływu przedsięwzięcia na prywatność osób fizycznych, czyli rodzaj studium przy przygotowywaniu wszelkiego rodzaju projektów, w tym informatycznych, dla niektórych rodzajów działalności – instytucji finansowych, firm ubezpieczeniowych czy szpitali.

Przepisy będą jednakowe w całej UE. Czy w tej sytuacji pliki danych trzeba będzie zatwierdzać w każdym kraju?

Nie. Jeśli jakiś przedsiębiorca działa w kilku państwach unijnych, będzie mógł dokonać rejestracji przetwarzania danych wrażliwych tylko w Polsce, a działać na rynkach zagranicznych. Przykładowo, lecznica medyczna, która zarejestrowała swoją działalność w Polsce, a prowadzi kliniki również na terenie Czech i Słowacji, tylko w naszym kraju dokona oceny wpływu przedsięwzięcia na chronienie prywatności. A ubezpieczyciel zarejestrowany w Niemczech, mający klientów także w Polsce, zrobi to jedynie u siebie. Dotychczas nie było to takie proste, choćby ze względu na rozbieżności w przepisach poszczególnych krajów.

A jeśli osoba, która znalazła się w zbiorze, uzna, że jej dane zostały naruszone? W którym kraju będzie się musiała zgłosić do inspektora?

Zgłosi naruszenie w swoim kraju, a sprawa będzie rozpatrywana przez dwóch inspektorów. Do tej pory też zdarzały się tego typu sprawy, ale były kłopoty z ich prowadzeniem, bo np. dane genetyczne były uznawane w Polsce za wrażliwe, a we Francji – nie.

Często ci, którzy korzystają np. z portali społecznościowych, chcieliby z nich zniknąć, mimo że ich administrator nie narusza przepisów. Czy będzie to możliwe?

Rozporządzenie przewiduje prawo do bycia zapomnianym jako klauzulę generalną. Na tej podstawie można będzie skutecznie dochodzić usunięcia swych danych z takich serwisów. Ta klauzula będzie też obejmowała zakaz przekazywania danych na zawsze. Mają być przekazywane na określony czas, a po nim do ich przetwarzania będzie potrzebna powtórna zgoda danej osoby.

Co z karami dla tych, którzy nie zechcą dopełniać swoich obowiązków?

Zasady karania również mają być jednakowe w całej UE. Generalny inspektor ochrony danych osobowych będzie mógł na taki podmiot nałożyć karę sięgającą miliona euro albo 5 proc. rocznych obrotów przedsiębiorstwa. Do tej pory nie mieliśmy w ogóle takiej możliwości. Przedsiębiorcę można było jedynie ukarać sądownie lub w drodze egzekucji administracyjnej.

Kiedy możliwe jest wejście w życie nowych regulacji?

Unia chciałaby, żeby doszło do tego już w 2014 r., ale jeżeli będą zacięte dyskusje nad zmianami, to prawdopodobny jest raczej rok 2015.