Zawarcie porozumienia potwierdzili obradujący w Luksemburgu ministrowie sprawiedliwości państw unijnych. Polskę reprezentował w tej części obrad wiceminister administracji i cyfryzacji Jurand Drop.

Kompromis otwiera drogę do rozpoczęcia negocjacji z Parlamentem Europejskim, który swoje stanowisko w sprawie reformy przepisów o ochronie danych przyjął już wiosną ub. roku.

Choć porozumienie zostało przyjęte, to wiele państw, w tym Polska, zgłaszało podczas dyskusji zastrzeżenia co do konkretnych przepisów, domagając się, by zostały one wzięte pod uwagę w trakcie negocjacji z europarlamentem.

Jak poinformował Drop, wątpliwości Polski dotyczą m.in. prawa do bycia zapomnianym, czyli możliwości usuwania swoich danych z internetu. Według wiceministra rozwiązanie zaproponowane w projekcie przepisów może okazać się nieskuteczne z punktu widzenia obywateli, a zarazem stać się nieproporcjonalnym obciążeniem dla firm. Nakłada ono bowiem na administratora danych obowiązek poinformowania wszystkich podmiotów przetwarzających te dane o wniosku o ich usunięcie. Polska uważa również, że należy zapewnić równowagę między ochroną prawa do prywatności a zapewnieniem wolności wypowiedzi.

Zgodnie z polskim stanowiskiem nie należy też zezwalać na dalsze przetwarzanie danych osobowych do innych celów, niż do których dane te zostały udostępnione. Projekt przepisów przewiduje tymczasem, że dane takie będą mogły być dalej przetwarzane ze względu na tzw. uzasadniony interes administratora, czego jednak nie zdefiniowano wyraźnie. "To znacznie osłabiłoby kontrolę (obywateli) nad danymi" - powiedział Drop.

Według niego dopracowania wymagają też zasady transferu danych osobowych do krajów trzecich. Polska ma również wątpliwości co do proponowanego "mechanizmu jednego okienka" (ang. one stop shop), który ma pozwolić obywatelom na składanie skarg w przypadku naruszenia ich danych do organu w swoim miejscu zamieszkania, nawet jeśli do złamania prawa doszło w innym państwie UE. Wniosek taki miałby potem zostać rozpatrywany na drodze współpracy organów w poszczególnych krajach. Zdaniem wiceministra proponowany system wydaje się jednak zbyt skomplikowany i w praktyce może nie zadziałać właściwie.

"Mamy nadzieję na poprawienie tekstu (rozporządzenia - PAP) w trakcie negocjacji z Parlamentem Europejskim" - dodał Drop. Podkreślił, że Polska opowiada się za jak najszybszym zakończeniem prac nad nowymi przepisami UE o ochronie danych.

Prowadzący obrady w Luksemburgu łotewski minister sprawiedliwości Dzintars Rasnaczs zapowiedział, że pierwsza runda negocjacji nad projektem rozporządzenia w ramach tzw. trylogu (z udziałem prezydencji, Komisji Europejskiej i PE) odbędzie się już 24 czerwca. "Mamy nadzieję, że szybko dojdziemy do ostatecznego porozumienia, aby nasi obywatele mogli jak najszybciej zacząć czerpać korzyści z tej reformy" - powiedział Rasnaczs. Celem jest przyjęcie rozporządzenia do końca tego roku.

Nowe przepisy mają zapewnić, że dane osobowe będą zbierane i przetwarzane zgodnie ze ścisłymi zasadami i do uzasadnionych celów. Aby dane mogły być przetworzone, ich administrator będzie musiał uzyskać "jednoznaczną zgodę" osoby, której dane te dotyczą. Obywatele będą mieć też większą kontrolę nad tym, co dzieje się z ich danymi, m.in. dzięki prawu do bycia zapomnianym. Administratorzy będą mieli obowiązek w sposób jasny i zrozumiały poinformować o swej polityce prywatności. Ograniczone zostaną możliwości tzw. profilowania, czyli określania na podstawie zachowań w internecie np. statusu materialnego, miejsca zamieszkania danej osoby czy jej preferencji.

Wśród spraw, które mogą okazać się sporne podczas negocjacji z PE, jest maksymalny wymiar sankcji za złamanie prawa do prywatności. Państwa UE chcą, by firmom, które złamią przepisy o ochronie danych, groziła grzywna w wysokości do 1 mln euro albo 2 proc. rocznych obrotów za najpoważniejsze uchybienia, jak np. bezprawne przekazanie danych do państw trzecich albo przetwarzanie ich bez zgody właściciela. Tymczasem eurodeputowani żądają znacznie ostrzejszych kar - nawet do 100 mln euro albo 5 proc. rocznych obrotów firmy.

Projekt reformy pochodzących z 1995 roku przepisów dotyczących ochrony danych osobowych Komisja Europejska przedstawiła na początku 2012 roku. Obejmował on zarówno ogólne rozporządzenie, jak i dyrektywę dotyczącą organów policyjnych i wymiaru sprawiedliwości.