Nowa era prywatności, którą w ubiegłym roku zapoczątkowało ujawnienie programu masowych podsłuchów, wymaga pilnej zmiany dotychczasowych zasad ochrony danych osobowych - podkreśla Europejski Inspektor Ochrony Danych Osobowych Peter Hustinx w opublikowanym niedawno sprawozdaniu za 2013 r.

Nagłośniona przez Edwarda Snowdena sprawa powszechnej inwigilacji przyczyniła się w minionych miesiącach do przyspieszenia trwających od 2012 r. prac nad kompleksową reformą systemu ochrony danych w Unii Europejskiej. EIOD, który uczestniczy w nich jako opiniodawca, wielokrotnie wskazywał, że afera PRISM to sygnał, że Europejczycy muszą jak najszybciej odzyskać kontrolę nad swoją prywatnością. Reforma przygotowywana przez unijne instytucje obejmuje projekt nowego rozporządzenia o ochronie danych osobowych (ma zastąpić dyrektywę 95/45/WE) oraz dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych i swobodnego przepływu tych danych. Oba dokumenty 12 marca 2014 r. zostały przyjęte przez Parlament Europejski i obecnie czekają na akceptację ze strony Rady.

EIOD zgłosił kilka komentarzy do proponowanych przepisów m.in. uzasadnienie uznania informacji z kont internetowych zakładanych pod pseudonimem za dane osobowe podlegające ochronie prawnej. Podobnie też opowiedział się za zobowiązaniem firm spoza UE, które oferują swoje towary i usługi europejskim konsumentom, do stosowania na terytorium krajów członkowskich przyjętych przez nie zasad ochrony danych.

Jednym z głównych zadań nadzorczych EIOD jest badanie skarg wnoszonych głównie przez pracowników instytucji i organów UE oraz przeprowadzanie dochodzeń zarówno z własnej inicjatywy, jak i na podstawie złożonych skarg.

W 2013 r. do europejskiego inspektora wpłynęło 78 skarg na instytucje i ograny unijne dotyczących nieprawidłowości w zakresie przetwarzania i ochrony danych osobowych, co oznacza spadek w porównaniu z rokiem ubiegłym o prawie 10 proc. Instytucją, do której najczęściej kierowano takie zarzuty była Komisja Europejska, a następnie kolejno Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF), Parlament Europejski, a także Agencja Praw Podstawowych. Skargi zawierały najczęściej podejrzenia o ujawnienie danych (47 proc.), nadmierne gromadzenie danych osobowych, nieinformowanie osoby, której dotyczą dane o ich wykorzystaniu, odmowa dostępu do informacji oraz prowadzenie bezprawnych operacji przetwarzania danych. Jedna ze skarg wniesionych przez osobę, która przestała pracować dla unijnej instytucji, dotyczyła dostępu do danych osobowych oraz przechowywania w ich bazie przez okres dłuższy niż wynikało to z pierwotnego celu gromadzenia tych danych. Według EIOD były pracodawca skarżącego dopuścił się naruszenia, gdyż nie zastosował właściwych środków, aby zagwarantować, że dane osobowe tej osoby zostaną wykasowane po przewidzianym okresie czasu.

EIOD jest też uprawniony m.in. do przeprowadzania kontroli wstępnej przetwarzania danych osobowych. W porównaniu z 2012, kiedy to zarejestrowano 119 powiadomień dotyczących sprawdzenia, czy istnieje zagrożenie dla bezpieczeństwa danych, w 2013 roku wpłynęło ich aż 272. Wiele z przeanalizowanych wniosków dotyczyło problemu dalszego wykorzystywania danych zgromadzonych w innym celu niż pierwotnie zakładano. Dla przykładu, Europejski Bank Inwestycyjny zwrócił się do EIOD z pytaniem, czy analizowanie informacji z systemu zabezpieczeń dostępu pod kątem prowadzonego wobec pracownika postępowania dyscyplinarnego jest zgodne z prawem. Po zbadaniu procedur EBI w zakresie spraw dyscyplinarnych i oszustw, EIOD stwierdził, że wykorzystanie danych do tego konkretnego celu jest uzasadnione.