Polski parlament uchwalił ustawę zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego w dniu 10 października 2018 r. w Strasburgu. Protokół wprowadza tzw. Konwencję 108+.
Ustawa oczekuje aktualnie na podpis Prezydenta i wejdzie w życie po upływie 14 dni od dnia ogłoszenia w Dzienniku Ustaw. Konwencja 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych została przyjęta w dniu 28 stycznia 1981 r. i jest jedynym wiążącym międzynarodowym traktatem, który gwarantuje prawo osób fizycznych do ochrony ich danych osobowych. Polska ratyfikowała przedmiotową konwencję w dniu 24 kwietnia 2002 r., po czym weszła ona w życie w RP z dniem 1 września 2002 r.
Stronami Konwencji jest 51 państw, zarówno członków Rady Europy jak i spoza Europy, takich jak: Mauritius, Senegal, Tunezja i Urugwaj. Konwencja wymaga od państw-stron Konwencji zapewnienia w swoich systemach prawnych środków niezbędnych do poszanowania prawa do ochrony danych osobowych w ich prawodawstwie krajowym.
Zmiana Konwencji okazała się nieunikniona z uwagi na to, że od jej przyjęcia upłynęło niemalże 40 lat oraz z uwagi na dynamiczny rozwój nowych technologii oraz zmiany w systemie prawnym ochrony danych osobowych, jakie zaszły od czasu jej przyjęcia.
Protokół zmieniający Konwencję wzmacnia ustalone standardy ochrony danych osobowych, a jednocześnie ułatwia przepływ danych między państwami będącymi jej stronami. Podstawowe zasady i założenia Konwencji pozostały niezmienione, wprowadzono jednak szereg zmian i nowości, które mają na celu dostosowanie Konwencji do aktualnych wyzwań współczesnych społeczności oraz RODO.
W pierwszej kolejności wskazać należy, że rozszerzono zakres przedmiotowy Konwencji. Obecnie przedmiotem Konwencji jest każdy rodzaj przetwarzania danych osobowych, a nie wyłącznie przetwarzanie automatyczne. Drugą istotną zmianą jest wprowadzenie definicji zgody podmiotu danych jako przesłanki legalizującej przetwarzanie danych. Zgoda podmiotu danych musi być dobrowolna, wyraźna, świadoma i jednoznaczna.
Istotnymi nowościami są również: wprowadzenie obowiązku zawiadamiania właściwego organu nadzorczego o poważnych naruszeniach ochrony danych osobowych, wzmocnienie wymogu przetwarzania danych z zachowaniem zasad proporcjonalności i niezbędności, zwiększenie odpowiedzialności i rozliczalności administratorów i podmiotów przetwarzających oraz transparentności przetwarzania.
Ponadto zarówno administrator jak i podmiot przetwarzający są obowiązani zapewnić odpowiednie środki bezpieczeństwa przed przypadkowym lub nieupoważnionym dostępem do danych osobowych lub ich zniszczeniem, utratą, wykorzystaniem, modyfikacją lub ujawnieniem.
Dodano także nowe prawa podmiotów danych, takie jak prawo do sprzeciwu wobec przetwarzania danych, prawo do uzyskania informacji o uzasadnieniu przetwarzania danych oraz ograniczenie możliwości podejmowania wobec danej osoby decyzji opartej wyłącznie na profilowaniu.
Protokół zmieniający nałożył także na administratorów i podmiotów przetwarzających wymóg ochrony danych już w fazie projektowania oraz oceny wpływu zamierzonego przetwarzania na prawa i podstawowe wolności osób, których dane dotyczą.
W celu zachowania większej spójności z RODO, doprecyzowano również brzmienie definicji: przetwarzanie danych oraz administrator, a także dodano definicje: odbiorca i podmiot przetwarzający, których wcześniej nie było w Konwencji.
Ponadto, sprecyzowano, że Konwekcji nie stosuje się do przetwarzania danych przez osobę fizyczną w toku czynności czysto osobistych lub domowych i rozszerzono katalog danych wrażliwych o dane genetyczne i biometryczne, jak również o dane o przynależności do związków zawodowych oraz dane o pochodzeniu etnicznym i dane osobowe dotyczące czynów zabronionych, postępowań karnych oraz powiązanych środków bezpieczeństwa.
Protokół do Konwencji wprowadza także ułatwienia w zakresie przekazywania danych poza granice państw – stron Konwencji. Zgodnie ze zmianą, strona Konwencji nie może, co do zasady, zabronić przekazania danych do odbiorcy podlegającego jurysdykcji innej strony Konwencji lub uzależniać tego przekazania od wydania specjalnego zezwolenia. Strona może tak jednakże zrobić, jeżeli istnieje realne i poważne ryzyko, że przekazanie danych do innej strony lub od tej innej strony do podmiotu niebędącego stroną Konwencji mogłoby prowadzić do obejścia postanowień Konwencji. Strona może tak również uczynić, jeżeli jest związana zharmonizowanymi przepisami dotyczącymi ochrony obowiązującymi w państwach należących do regionalnej organizacji międzynarodowej, co będzie miało zastosowanie do przepisów o ochronie danych osobowych w Unii Europejskiej. Każda ze stron w określonych w Konwencji przypadkach może postanowić, że przekazanie takie może mieć miejsce. W przypadku przekazania do odbiorcy podlegającego jurysdykcji państwa niebędącego stroną Konwencji przekazanie danych osobowych może nastąpić, jeżeli zapewniono odpowiedni poziom bezpieczeństwa.
Rozszerzono również uprawnienia organów nadzorczych o uprawnienie do wydawania decyzji w sprawie naruszeń Konwencji i do nakładania sankcji administracyjnych, a także o obowiązek promowania świadomości społecznej w dziedzinie ochrony danych osobowych i wprowadzono przepisy odnoszące się do współpracy i wzajemnej pomocy między organami nadzoru. Organy nadzorcze zostały zobowiązane do koordynacji swoich dochodzeń i interwencji, prowadzenia czynności wspólnych oraz do udzielania informacji i dokumentów dotyczących obowiązującego je prawa i praktyki administracyjnej w zakresie ochrony danych.
Nowe przepisy wzmacniają także rolę Komitetu Konwencji – w poprzednim akcie prawnym jego rola miała charakter konsultacyjny, obecnie zadania są poszerzone o rolę oceniającą i monitorującą wykonanie Konwencji.
Ciekawostką jest, że aktualnie do Konwencji mogą przystępować również organizacje międzynarodowe.
adw. Piotr Stankiewicz