Przeciwko propozycjom Brukseli protestują m.in. PKPP Lewiatan czy Związek Banków Polskich. Rząd Donalda Tuska szykuje własne. W przyszłym tygodniu unijna komisarz ds. sprawiedliwości Viviane Reding przyjeżdża do Polski, by spotkać się z ministrem Michałem Bonim. Szef Ministerstwa Administracji i Cyfryzacji zaprezentuje postępy prac nad polskim stanowiskiem.

Plan Brukseli jest ambitny: w pierwszej połowie przyszłego roku mają zostać uchwalone nowe unijne przepisy (rozporządzenie o ochronie i przetwarzaniu danych osobowych oraz oddzielna dyrektywa związana z przetwarzaniem informacji przez policję i wymiar sprawiedliwości), a w życie powinny one wejść najpóźniej w 2016 r. Konieczność wprowadzenia tych zmian wymusił internet. Poprzednia dyrektywa pochodzi z 1995 r., gdy z sieci korzystał niepełny procent Europejczyków.

Już teraz Parlament Europejski musi uporać się z ogromną liczbą 4 tys. poprawek. Wokół niemal każdej z nich toczą się zażarte batalie. Oto najważniejsze zmiany, które zostały już klepnięte i które wzmacniają ochronę danych osobowych internautów:

Osoba skarżąca się na naruszenie swoich danych osobowych będzie mogła złożyć skargę w swoim krajowym urzędzie, a nie urzędzie kraju, w którym zarejestrowana jest dana firma. Każdy konsument ma mieć też prawo do bycia zapomnianym, czyli zażyczyć sobie wykasowania wszystkich swoich danych, ich kopii oraz prowadzących do nich odnośników z zasobów firm. Pojawi się nakaz informowania o incydentach sieciowych związanych z ujawnianiem danych osobowych (np. włamanie na stronę) i to tak szybko, jak tylko się da – optymalnie w ciągu 24 godzin – oraz nakaz przedstawiania informacji o polityce prywatności prostym i zrozumiałym językiem. Za naruszenie tych przepisów mają obowiązywać kary w wysokości nawet 1 mln euro lub do 2 proc. rocznego obrotu firmy. Co ważne, przepisy te mają także obowiązywać przedsiębiorstwa ze Stanów Zjednoczonych (z których pochodzą potentaci internetu), a niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy.

Według planu KE nowe prawo miałoby obejmować wszelkie informacje, które można przypisać do danej osoby. W tym np. adres IP komputera i informacje zawarte w plikach cookies. W zamyśle Komisji ma to ograniczyć handel danymi internautów, na którym zarabiają internetowe giganty: Google czy Facebook.

Z kolei art. 20 rozporządzenia dosyć ostro traktuje profilowanie, czyli zbieranie danych o internaucie z różnych źródeł. Projekt KE dopuszcza je jedynie w ściśle określonych sytuacjach: w trakcie zawierania lub wykonania umowy, na podstawie przepisów prawa lub po uzyskaniu zgody obywatela. Wprowadza też obowiązek poinformowania o tym osoby, która podlega profilowaniu.

Najbardziej sporne elementy to tak naprawdę podstawowe definicje: danych osobowych, podmiotu danych i zgody na przetwarzanie danych. Manipulując nimi, można bardzo mocno wpłynąć na zakres i sens tej regulacji – komentuje Katarzyna Szymielewicz, szefowa Fundacji Panoptykon, która obserwuje prace nad nowym prawem na poziomie Unii i bierze udział w polskich konsultacjach. Komisja zaproponowała szeroką definicję danych osobowych: wystarczy, że ktokolwiek będzie w stanie powiązać dane informacje z możliwą do zidentyfikowania osobą, by móc uznać jej dane osobowe, a tę osobę za podmiot danych.

Podstawowe znaczenie dla projektowanej regulacji ma art. 6, definiujący przetwarzanie danych. W projekcie Komisji Europejskiej jedną z nich jest uzyskanie zgody od podmiotu danych, ale tylko pod warunkiem że będzie ona wyraźna. Ta zmiana jest bardzo korzystna dla obywateli, bo ucina dywagacje, czy brak działania można uznać za zgodę.

To zapis, który może mieć poważne konsekwencje, zwłaszcza gdy definicja danych będzie aż tak szeroka, jak w prezentowanym projekcie – mówi Grzegorz Wójcik, prezes Izby Gospodarki Elektronicznej. Podkreśla, że rozporządzenie ma regulować rynek zarówno papierowy, jak i elektroniczny we wszystkich branżach: bankowej, ubezpieczeniowej, ale także ma obowiązywać nawet małe firmy w gospodarce cyfrowej. W tej chwili w Brukseli trwa kampania lobbingowa ze strony firm żyjących z sieci.

Strony nie mogą się zgodzić, czym są dane osobowe i ich przetwarzanie