W zeszłym tygodniu Parlament Europejski wydał rozporządzenie dotyczące ochrony danych osobowych. Jego głównym celem jest zapewnienie lepszej ochrony użytkownikom Internetu, szczególnie umożliwienie im większej kontroli nad ich danymi osobowymi pozostawionymi w sieci. Aktualnie tę kwestię regulowały przepisy pochodzące z 1995 r. zawarte w tzw. zasadach ochrony danych i rozwoju nowych technologii cyfrowych.
„Rozporządzenie ogólne o ochronie danych zapewnia wysoki i ujednolicony poziom ochrony danych w całej UE. To wielki sukces Parlamentu Europejskiego i silne europejskie tak dla wzmocnienia praw konsumentów i konkurencji w erze cyfrowej. Obywatele będą mogli sami decydować o tym, jakimi informacjami o sobie chcą się dzielić” – oświadczył sprawozdawca PE w tej sprawie, niemiecki europoseł Zielonych Jan Philipp Albrecht.
Rozporządzenie PE przewiduje, że dane użytkownika nie mogą być przetwarzane bez jego wyraźnej zgody, np. poprzez zaznaczenie na stronie internetowej odpowiedniego pola zawierającego zgodę na przetwarzanie danych osobowych. PE podkreśliła, że sytuacja, gdy użytkownik nie wybrał żadnego pola lub zostało ono zaznaczone automatycznie, nie może zostać potraktowana za wyrażenie zgody. Nowe regulacje mają też uprościć sposób rezygnacji z przetwarzania danych.
W rozporządzeniu Parlament Europejski przyjął zapis, zgodnie z którym dzieci poniżej określonego wieku (każde państwo ustali wewnętrznie tę granicę) nie będą mogły zakładać kont w mediach społecznościowych bez uzyskania zgody rodziców. Rozporządzenie wskazuje jedynie, że granica wieku powinna mieścić się w przedziale: 13 – 16 lat.
Kolejną zmianę, jaką wprowadza przyjęta reforma, jest ustanowienie funkcji „prawo do zapomnienia”, dzięki której dane konsumentów zostaną wymazane z baz firm je przetwarzających na prośbę konsumentów, chyba, że będą istniały ważne przesłanki do ich dalszego przechowywania. Obowiązkiem instytucji przetwarzających dane osobowe będzie informowanie organów nadzoru o poważnych incydentach, tj. atak hakerski. Na przedsiębiorstwa, która nie będą przestrzegać zasad ochrony danych osobowych, mogą zostać nałożone sankcje pieniężne w wysokości stanowiącej równowartość 4 proc. rocznego obrotu. Dla największych światowych koncernów informatycznych, taka kara może wynieść nawet kilka miliardów euro.
W instytucjach, które zajmują się przetwarzaniem dużej ilości danych osobowych, bądź profilowaniem użytkowników, musi zostać powołana osoba odpowiedzialna za ochronę danych osobowych.
Rozporządzenie ustanawia też nowy, uproszczony mechanizm składania skarg w sprawach o naruszenie prywatności. Zasada jednego okienka, jaką wprowadzi rozporządzenie PE, ma umożliwić pokrzywdzonym wnoszenie roszczeń do odpowiedniego organu mającego swoją siedzibę w miejscu zamieszkania użytkownika. Skargi mogą również odnosić się do niezgodnego przetwarzania danych, do którego doszło w innym państwie UE.
Kraje Wspólnoty mają dwa lata na wdrożenie zapisów rozporządzenia.
Do tej pory nowe zasady poddała krytyce organizacja DIGITALEUROPE, która reprezentuje interesy sektora gospodarki cyfrowej. „Chociaż nadal uważamy, że ostateczny tekst rozporządzenia nie zapewnia właściwej równowagi między ochroną podstawowego prawa obywateli do prywatności oraz możliwością zwiększenia konkurencyjności europejskich firm, to musimy być pragmatyczni. DIGITALEUROPE chce pomóc w tym, by nowe przepisy o ochronie danych działały” – oświadczył dyrektor organizacji John Higgins.
Organizacja zaapelowała do rządów państw UE o przeprowadzenie konsultacji z zainteresowanymi stronami na temat wdrażania nowych przepisów.
Oprócz rozporządzenia, Parlament Europejski przyjął też dyrektywę dotyczącą ochrony danych osobowych wykorzystywanych do celów egzekwowania prawa, np. w dochodzeniach i postępowaniach karnych czy prewencji wystąpienia zagrożeń dla bezpieczeństwa publicznego. Dyrektywa ma zapewnić równowagę pomiędzy prawem do prywatności a koniecznością przetwarzania danych przez policję.