Amerykańskie firmy będą podlegać unijnym przepisom o ochronie danych osobowych, każdy będzie miał prawo do bycia zapomnianym, a naruszenia mogą się kończyć nałożeniem kary do 20 mln euro. Parlament Europejski właśnie przegłosował długo oczekiwane rozporządzenie dotyczące ochrony danych.

Już za dwa lata dane osobowe będą tak samo chronione we wszystkich państwach UE. Przyjęte rozporządzenie będzie bowiem obowiązywać wprost, w przeciwieństwie do obowiązującej dotychczas dyrektywy. Ma to zapewnić lepszą ochronę prywatności obywateli.

- Reforma, rozpoczęta pod hasłem standardów ochrony dla obywateli i prostszych reguł dla biznesu, zataczała meandry, które momentami stawiały pod znakiem zapytania jej sens i kierunek. Jednak ostatecznie udało się wypracować kompromis znośny dla biznesu i obiecujący dla obywateli – uważa Katarzyna Szymielewicz z Fundacji Panoptykon.
- Z naszej perspektywy najważniejszą zdobyczą wydaje się objęcie zagranicznych firm, z których usług korzystamy, europejskimi standardami i wzmocnienie konkretnych uprawnień - takich jak prawo do informacji, prawo sprzeciwu (np. wobec profilowania) czy przeniesienia własnych danych – dodaje.

Google, Facebook czy Apple będą teraz musiały przestrzegać tych samych reguł co europejskie firmy. Straci znaczenie skąd świadczona jest usługa – jeśli będzie adresowana do Europejczyków, to musi gwarantować pełne poszanowanie ich praw. W przeciwnym razie firm narażą się na poważne sankcje. Za naruszenie nowego rozporządzenia grozi kara do 4 proc. rocznego globalnego obrotu w maksymalnej wysokości do 20 mln euro. Co najistotniejsze, każdy będzie mógł żądać ochrony we własnym kraju. Polacy będą więc mogli skarżyć się na amerykańskich gigantów do polskiego Generalnego Inspektora Ochrony Danych Osobowych.

Nowe przepisy zapewnią wszystkim prawo do bycia zapomnianym czyli możliwość usunięcia swych danych. Każdy będzie też miał prawo zażądać ich transferu. Dostaniemy również pewne uprawnienia jeśli chodzi o profilowanie naszych danych. Jeśli okaże, że algorytm źle nas profiluje to będziemy mogli zażądać ludzkiej interwencji. To ważne, gdyż na podstawie profilowania firmy podejmują coraz więcej decyzji i niebawem może się okazać, że to nasz profil będzie decydować o zdolności kredytowej czy cenie ubezpieczenia.
Zarówno administracja publiczna, jak przedsiębiorcy przetwarzający dane muszą przygotować się na zmiany.

- Chodzi o zmianę ogólnego podejścia do regulacji ochrony danych osobowych. Mamy do czynienia z odejściem od modelu opartego na bardzo aktywnej roli GIODO, który rejestrował zbiory danych, rejestrował ABI, wydawał decyzje zezwalające i przejście w kierunku, w którym to administratorzy danych będą większość decyzji podejmowali samodzielnie. GIODO co najwyżej ich ukarze, gdy naruszą prawo. To wymaga zmiany myślenia głównie po stronie administratorów danych, którzy samodzielnie będą musieli podejmować szereg decyzji istotnych w procesie przetwarzania danych osobowych – zauważa dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.

Administracja publiczna i firmy przetwarzające duże ilości danych) będą musieli powoływać specjalne osoby zajmujące się ochroną danych (Data Protection Officer). Mogą też jednak spodziewać się ułatwień proceduralnych. Wprowadzi je zasada „one-stop shop”, dzięki której postępowania wobec nich prowadzić będzie tylko jeden organ ochrony danych, współpracując ze swoimi odpowiednikami w innych państwach.

Choć reforma jest chwalona to jednak niektórzy spodziewali się więcej.

- Największą jej słabością jest to, że nie wzmacnia praw obywateli w kontekście masowej inwigilacji, w tym wykorzystującej dane, które klienci w zaufaniu przekazują świadczącym im usługi firmom. Amerykańskie i europejskie służby nadal będą mogły mieć do nich bezpośredni i szeroki dostęp, jeśli tylko ich uprawnienia na to pozwalają. Ta tendencja wydaje się nie do przewalczenia – ocenia Katarzyna Szymielewicz z Fundacji Panoptykon.