Nowe prawo przystosowuje obowiązujące od 1995 r. w UE zasady ochrony danych do rozwoju nowych technologii internetowych i cyfrowych. Negocjacje nad tymi przepisami trwały kilka lat.
- Rozporządzenie ogólne o ochronie danych zapewnia wysoki i ujednolicony poziom ochrony danych w całej UE. To wielki sukces Parlamentu Europejskiego i silne europejskie "tak" dla wzmocnienia praw konsumentów i konkurencji w erze cyfrowej. Obywatele będą mogli sami decydować o tym, jakimi informacjami o sobie chcą się dzielić - oświadczył sprawozdawca PE w tej sprawie, niemiecki europoseł Zielonych Jan Philipp Albrecht. Dodał, że nowe przepisy dają także "pewność prawną" dla firm.
Rozporządzenie przewiduje, że aby dane użytkownika mogły być przetworzone, musi on wyrazić na to wyraźną zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Niewybranie żadnego pola albo pola zaznaczone automatycznie nie mogą być uznane za wyrażenie zgody. Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych; ma to być równie proste, jak wyrażenie tej zgody.
Dzieci poniżej określonego wieku nie będą mogły zakładać kont w mediach społecznościowych, jak Facebook czy Instagram, bez zgody rodziców. Kraje UE mają same określić wiek użytkownika, od którego nie będzie konieczna zgoda rodzica. Nie może być to jednak mniej niż 13 lat i więcej niż 16 lat.
Konsumenci będą też mieć "prawo do zapomnienia", czyli wymazania swych danych z baz firm je przetwarzających, pod warunkiem, że nie ma uzasadnionych powodów ich przechowywania. Firmy i instytucje muszą informować organy nadzorujące ochronę danych o poważnych incydentach, jak atak hakerski.
Przepisy umożliwią także nakładanie mandatów na firmy łamiące zasady ochrony danych obowiązujące w UE do wysokości odpowiadającej 4 proc. rocznego obrotu, co w wypadku światowych potentatów internetowych będzie wyrażać się w miliardach euro.
Firmy, które mają do czynienia ze znaczącą liczbą danych osobowych albo zajmują się profilowaniem (czyli określaniem preferencji konsumentów na podstawie ich zachowań w internecie), muszą powołać osobę odpowiedzialną za ochronę danych.
Przewidziano także uproszczony dla konsumentów mechanizm składania skarg w przypadku naruszenia ich prywatności. Tzw. zasada jednego okienka (ang. one stop shop) ma pozwolić obywatelom na składanie takich skarg do organu w swoim miejscu zamieszkania, nawet jeśli do złamania prawa doszło w innym państwie UE.
Po wejściu w życie rozporządzenia kraje członkowskie będą mieć dwa lata na jego wdrożenie.
Rozporządzenie skrytykowała w czwartek organizacja DIGITALEUROPE, zrzeszająca firmy sektora gospodarki cyfrowej. Zapowiedziała jednak, że chce pomóc we właściwym ich wdrożeniu.
"Chociaż nadal uważamy, że ostateczny tekst rozporządzenia nie zapewnia właściwej równowagi między ochroną podstawowego prawa obywateli do prywatności oraz możliwością zwiększenia konkurencyjności europejskich firm, to musimy być pragmatyczni. DIGITALEUROPE chce pomóc w tym, by nowe przepisy o ochronie danych działały" - oświadczył dyrektor organizacji John Higgins. Zaapelował do rządów o przeprowadzenie konsultacji z zainteresowanymi stronami na temat wdrażania nowego prawa.
PE przyjął też w czwartek dyrektywę dotyczącą ochrony danych osobowych wykorzystywanych do celów egzekwowania prawa, np. w dochodzeniach i postępowaniach karnych czy prewencji zagrożeń dla bezpieczeństwa publicznego. Ma ona zapewnić równowagę pomiędzy prawem do prywatności a koniecznością przetwarzania przez policję danych do celów dochodzeń.
Z Brukseli Anna Widzyk