Droga do RODO – rys historyczny

Zgodnie z definicją zawartą w Słowniku Języka Polskiego termin dane oznacza „fakty, liczby, na których można się oprzeć w wywodach” oraz „informacje przetwarzane przez komputer”. Natomiast zwrot osobowe znaczy: „dotyczący osoby lub osób„. Zatem termin dane osobowe można określić jako: informacje dotyczące osób.

Temat ochrony danych osobowych jest niewątpliwie ściśle powiązany z „prywatnością”. To z kolei pojęcie, w kontekście prawnym, „zadebiutowało” w USA. Profesorowie prawa S. D. Warren i L. D. Brandeis, w artykule opublikowanym w 1890 roku w czasopiśmie „Harvard Law Review” użyli sformułowania „prawo do prywatności (ang. „right to privacy”)[1].

Obecnie, najważniejsze akty prawa międzynarodowego, wyznaczające standardy w zakresie prawa do prywatności to: Powszechna Deklaracja Praw Człowieka (1948 r); Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (1950 r.); Międzynarodowy Pakt Praw Obywatelskich i Politycznych (1966 r.).

Objęcie danych osobowych samodzielną ochroną i odrębnymi regulacjami prawnymi zostało jednak, tak naprawdę, wymuszone przez postęp technologiczny. W ślad za rozwojem komputerowych technik przetwarzania danych, rozwijało się prawodawstwo w tym zakresie. „Pierwsza na świecie ustawa o ochronie danych osobowych uchwalona została w 1970 r. przez parlament krajowy kraju związkowego Hesji, a pierwszą ustawą na szczeblu krajowym była ustawa szwedzka z 1973 r.”[2]

Ochrona prywatności w Europie

Na gruncie ogólnoeuropejskim, Rada Europy w roku 1973 wydała rezolucję 22, a w roku 1974 rezolucję 29 – obie o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych (ang. on the protection of the privacy of individuals vis‑a‑vis electronic data banks). Pierwsza z nich odnosi się do ochrony danych osobowych w sektorze prywatnym, a druga w sektorze publicznym. Wspomniane rezolucje stwierdzały między innymi, że informacje dotyczące sfery intymnej oraz inne mogące być źródłem dyskryminacji, z zasady nie powinny podlegać gromadzeniu, a tym bardziej rozpowszechnianiu. Wyjątkiem mogą być jedynie przypadki przewidziane w prawie. Ponadto, informacji nie wolno pozyskiwać nieuczciwymi i podstępnymi metodami.

Kamieniem milowym prawodawstwa europejskiego była jednak dopiero Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Została ona sporządzona w Strasburgu dnia 28 stycznia 1981 r. Jak głosi jej preambuła: celem Konwencji jest rozszerzenie zakresu ochrony praw i podstawowych wolności każdej osoby, a w szczególności prawa do poszanowania prywatności, biorąc pod uwagę stale rosnący przepływ przez granice danych osobowych, podlegających automatycznemu przetwarzaniu.

Na fundamencie ww. konwencji rozpoczęto prace mające na celu opracowanie projektu dyrektywy w przedmiotowym zakresie. 24 października 1995 roku przyjęto kluczowy (obowiązujący do 25 maja 2018 r.) akt prawny – Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa, to akt prawa wtórnego Unii Europejskiej. Podobnie jak Konwencja NR 108 Rady Europy wiąże państwa członkowskie UE wyłącznie w odniesieniu do rezultatu, który ma być osiągnięty. Organy krajowe jednak posiadają możliwość wyboru formy i środków stosowanych w tym celu.

Przepisy vs rzeczywistość

Jak się okazało, już kilka lat po przyjęciu dyrektywy z 1995 roku, ilość przetwarzanych danych wzrosła wręcz niewyobrażalnie. Stało się tak głównie za sprawą bardzo dynamicznego rozwoju Internetu i jego dostępności. Wystarczy przytoczyć, że w roku 1995 zaczęła działać platforma handlowa Amazon. W tym samym roku powstał jeden z pierwszych portali społecznościowych – działający do dziś serwis Classmates.com, umożliwiający odnalezienie znajomych z lat szkolnych (pierwowzór działającego od 2006 roku w Polsce portalu Nasza Klasa). W 1998 została uruchomiona wyszukiwarka Google, a w 1999 platforma blogowa Blogger. Znane do dziś są także portale takie jak LinkedIn (2003), MySpace (2003), Facebook (2004) i Twitter (2006).

Przepisy Dyrektywy 95/46/WE nie uwzględniały skali przetwarzania danych, która zaistniała w ciągu kilku lat po jej przyjęciu (sam Facebook na początku 2019 roku posiadał około 2,38 miliarda aktywnych użytkowników miesięcznie).

Zapowiedź reformy ochrony danych

Komisja Europejska dostrzegała ten problem i 4 listopada 2010, opublikowała komunikat pod tytułem „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej„. Zapowiedział on kompleksową nowelizację prawa europejskiego w zakresie ochrony danych osobowych. Tak jak poprzednio, tak i teraz, u podstaw najnowszych przepisów stał przede wszystkim rozwój nowych technologii przetwarzania informacji oraz globalizacja. W szczególności chodziło o automatyczne „narzędzia obróbki danych”, za sprawą których informacja o osobie uzyskała rangę wartościowego ekonomicznie produktu.

25 stycznia 2012 roku Komisja Europejska przedstawiła kolejny, bardzo ważny, komunikat – Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku. Czytamy w nim między innymi:

Unijna dyrektywa z 1995 r., będąca głównym instrumentem prawnym w zakresie ochrony danych osobowych w Europie, była przełomowym dokumentem w historii ochrony danych. Nadal aktualne są jej cele polegające na zapewnieniu funkcjonowania jednolitego rynku i skutecznej ochrony praw podstawowych i swobód osób fizycznych. Została ona jednak przyjęta 17 lat temu, kiedy internet dopiero raczkował. W dzisiejszym nowym, wymagającym środowisku cyfrowym istniejące przepisy nie zapewniają wymaganego stopnia harmonizacji ani niezbędnej skuteczności gwarantującej prawo do ochrony danych osobowych. Z tego względu Komisja Europejska proponuje gruntowną reformę unijnych ram ochrony danych.

W komunikacie tym zaproponowano by nowe ramy prawne obejmowały:

• rozporządzenie (zastępujące dyrektywę 95/46/WE) ustanawiające ogólne unijne ramy ochrony danych oraz
• dyrektywę (zastępującą decyzję ramową 2008/977/WSiSW) określającą przepisy o ochronie danych osobowych przetwarzanych do celów zapobiegania przestępstwom, wykrywania ich, prowadzenia dochodzeń w ich sprawie i ścigania ich oraz powiązanych działań sądowych.

Uchwalenie RODO

Po latach przemyśleń i dyskusji na ten temat zaproponowano nowe regulacje, które 14 kwietnia 2016 r. zostały przyjęte przez Parlament Europejski, tj. Rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane w skrócie RODO lub z języka angielskiego GDPR (General Data Protection Regulation). Biorąc pod uwagę fakt, że RODO w pewnych obszarach zakłada daleko idące zmiany w stosunku do przepisów, które zmienia, ustawodawca przewidział dwuletni okres przejściowy, aby podmioty zobowiązane do wdrożenia tych zmian miały czas na odpowiednie przygotowanie się. Rozporządzenie zaczęło zatem obowiązywać od 25 maja 2018 roku. Na poniższym rysunku przedstawiono główne dokumenty, które poprzedzały obowiązywanie w 2018 RODO.

Jaki jest cel RODO?

Najważniejszym celem RODO jest ochrona podstawowych praw i wolności osób fizycznych, a w szczególności ich prawo do ochrony danych osobowych. Rozporządzenie spełnia także funkcję polegającą na ujednoliceniu przepisów, w myśl zasady jeden kontynent – jedno prawo[3]. Dzięki zmianom prawa, powinno nastąpić usprawnienie wymiany informacji i procedur wewnątrz-wspólnotowych. Unowocześnienie przepisów ma za zadanie nie tylko wzmocnienie praw osób, których dane dotyczą, ale także wyznaczenie standardów bezpieczeństwa adekwatnych do wyzwań XXI wieku.

Źródła:

[1] K. Motyka, Prawo do prywatności, Zeszyty Naukowe Akademii Podlaskiej w Siedlcach, Nr 85, (12)2010

[2] P. Barta, P. Litwiński; Ustawa o ochronie danych osobowych. Komentarz; C.H.Beck, Warszawa, 2016, s. 5

[3] V. Reding, Komisarz ds. sprawiedliwości, wymiaru sprawiedliwości i obywatelstwa, wystąpienie z dnia 26 marca 2013 pod tytułem: EU Data Protection rules: Better for business, better for citizens.