Obowiązująca obecnie w Europie Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych została uchwalona 24 października 1995 r. („Dyrektywa”). Warto podkreślić, że polska ustawa o ochronie danych osobowych została uchwalona już 29 sierpnia 1997 roku, a zatem jeszcze przed datą implementacji przepisów Dyrektywy do porządku prawnego ówczesnych państw członkowskich, tj. 24 października 1998 roku.

Spośród innych europejskich aktów prawnych, które dotyczą obszaru ochrony danych osobowych warto wymienić:

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej). Z punktu widzenia gospodarki „elektronicznej” zawiera ona ważne przepisy dotyczące między innymi gromadzenia przez państwa członkowskie danych o połączeniach w celach nadzoru policyjnego (retencja danych), przesyłania niezamówionych wiadomości elektronicznych (spam), korzystania z narzędzi identyfikacyjnych (cookies) oraz umieszczania danych osobowych w publicznych spisach danych teleadresowych. W myśl przepisów dyrektywy o prywatności i łączności elektronicznej w razie nastąpienia naruszenia danych osobowych dostawcy usług powinni zostać zobowiązani do powiadomienia właściwych organów krajowych o naruszeniu, a także, w określonych przypadkach, abonentów lub osoby fizyczne, których ono dotyczy. Rozporządzenie (UE) 611/2013 wprowadza techniczne środki wykonawcze w celu wyjaśnienia, w jaki sposób należy przestrzegać tych zobowiązań.

Podstawowe znaczenie przy przekazywaniu danych osobowych do państw trzecich, czyli poza Europejski Obszar Gospodarczy mają z kolei decyzje: Decyzja z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, Decyzja 2004/915/WE z dnia 27 grudnia 2004 r., zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich oraz zmieniona Decyzja 2001/497/WE. Decyzje te określają standardowe klauzule umowne, które zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do państw trzecich. Decyzja obliguje państwa członkowskie UE do uznawania, że firmy lub organizacje, które stosują takie standardowe klauzule w umowach dotyczących przekazywania danych osobowych do państw trzecich zapewniają odpowiedni stopień ochrony danych. Rola standardowych klauzul umownych jest szczególnie istotna w kontekście uznania przez Trybunał Sprawiedliwości UE za nieważną decyzję Komisji Europejskiej o safe harbour w stosunku do Stanów Zjednoczonych. Z chwilą stwierdzenia nieważności tej decyzji przekazywanie danych osobowych do Stanów odbywa się może właśnie na podstawie standardowych klauzul umownych, bądź wiążących reguł korporacyjnych albo zgody organu ochrony danych osobowych.

Nieco inny charakter ma Rozporządzenie 45/2001/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie danych, bowiem ma ono na celu wyłącznie ochronę danych osobowych w instytucjach i organach Unii Europejskiej, nie jest stosowane wobec przedsiębiorców.

Biorąc pod uwagę, że obecna zasadnicza regulacja dotycząca ochrony danych osobowych pochodzi z 1995 roku, znaczące zmiany mające miejsce w ostatnich 20 latach od uchwalenia Dyrektywy, szczególnie w zakresie elektronicznego przetwarzania danych osobowych, a także inne zdarzenia, np. wyrok Trybunału Sprawiedliwości UE w sprawie C-131/12 Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González, z którego wynika obowiązek stosowania wobec użytkownika prawa do bycia zapomnianym przez dostawcę wyszukiwarki internetowej Google, wprowadzenie nowych przepisów na terenie całej Unii było nieuchronne. Wpływ na konieczność uchwalenia unijnego jednolitego aktu prawnego miał nadto różny poziom i sposób wdrożenia Dyrektywy w państwach członkowskich oraz stanowiąca tego konsekwencję konieczność ujednolicenia jej stosowania na terytorium Unii. Dodatkowo, Komisja Europejska przewiduje, że wprowadzenie niektórych tylko zmian wobec obecnego stanu prawnego pozwoli zaoszczędzić przedsiębiorcom nawet 2,3 mld euro rocznie.

Z powyższych przyczyn Komisja Europejska zaproponowała w styczniu 2012 roku projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych – „Rozporządzenie”).

Podstawowe zasady, o ogólnym charakterze, które mają zostać wprowadzone przez Rozporządzenie obejmują:
1. jedna regulacja prawna na terytorium wszystkich państw członkowskich UE w postaci Rozporządzenia – zasada „one continent one law”;
2. przedsiębiorca w całej Unii podlega jednemu organowi ochrony danych osobowych, niezależnie od obszaru, na którym prowadzi działalność – zasada „one-stop-shop”;
3. prawo do ochrony danych osobowych stanowi prawo podstawowe w Unii Europejskiej – zasada „fundamental right”
4. proporcjonalność: a) dostosowanie obowiązków nakładanych przez przepisy prawa oraz organy ochrony danych osobowych do wielkości podmiotu, którego obowiązki te dotyczą, według stopnia ryzyka dla ochrony danych osobowych; b) stosowanie kar przewidzianych w Rozporządzeniu w odmienny sposób wobec mniejszych podmiotów niż wobec większych;
5. europejskie zasady w Europie – zasada „European rules on European soil” – wobec mieszkańców Unii zastosowanie mają przepisy unijne, niezależnie od miejsca przetwarzania danych osobowych tych mieszkańców, nawet gdy znajduje się ono poza terytorium Unii.

Prace nad tekstem Rozporządzenia trwały aż do grudnia 2015, kiedy Parlament Europejski i Komisja Europejska osiągnęły porozumienie dotyczące ostatecznej wersji nowego prawa ochrony danych osobowych. Formalne przyjęcie Rozporządzenia powinno nastąpić w 2016 roku, po czym czeka nas dwuletni okres przejściowy do wejścia w życie Rozporządzenia.

Wraz z Rozporządzeniem zostanie uchwalona dyrektywa o ochronie danych osobowych skierowana do organów ścigania i wymiaru sprawiedliwości w zakresie współpracy transgranicznej, ochrona danych osobowych świadków i pokrzywdzonych w postępowaniach karnych.

Artur Piechocki, radca prawny w APLaw.