Obecnie każdy kraj UE ma swoje przepisy w zakresie ochrony danych osobowych, ale wkrótce może się to zmienić. Obowiązująca dyrektywa Parlamentu Europejskiego i Rady (dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych) w pewnym zakresie wymusza podobieństwo ochrony w krajach UE. Mimo to istnieją duże różnice w regulacjach prawnych poszczególnych państw.
Jednak, dzięki planowanemu rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, nastąpiłoby ujednolicenie prawa w zakresie ochrony danych w ramach UE i swobodnego przepływu tych danych.
Już teraz zwraca się uwagę, że standardy ochrony danych osobowych w UE są najwyższe na świecie, a rozporządzenie ma to jeszcze wzmocnić. Identyczne zasady we wszystkich krajach członkowskich pozwoliłyby na wyeliminowanie niepewności co do zasad ochrony danych osobowych w innych krajach UE. Uniknięto by również ryzyka i wątpliwości związanych z transferem danych osobowych do tych krajów.
Praktyka działalności gospodarczej pokazuje, iż coraz więcej firm, także z branży ciepłowniczej, może przechowywać albo powierzać przetwarzanie danych osobowych podmiotom znajdującym się w innych krajach, w tym w krajach UE. Ujednolicenie standardów ochrony danych osobowych w ramach UE zacieśni współpracę pomiędzy firmami z tych krajów, w tym w kluczowych obszarach nowych technologii, tworzenia innowacji oraz rozwiązań przewidujących optymalizację kosztów i bezpieczeństwo przechowywania danych.
Zasadniczym celem planowanej regulacji jest zwiększenie ochrony danych, uproszczenie środowiska regulacyjnego, obniżenie kosztów i zmniejszenie obciążeń administracyjnych. Dodatkowo chodzi o poprawę skuteczności ochrony danych, która jest obecnie utrudniona przez zróżnicowane ustawodawstwo państw członkowskich UE.
Istotne są zasady przepływu danych nie tylko pomiędzy poszczególnymi krajami UE, ale także pomiędzy tymi krajami a krajami trzecimi. Pilnego uregulowania wymagają takie zagadnienia jak prawo dostępu do danych, prawo usunięcia danych (tzw. „prawo do bycia zapomnianym”) czy wprowadzenie zrozumiałych i standardowych zasad wyrażania zgody oraz zgłaszania naruszenia ochrony danych. Współpraca i wzajemna pomoc organów ds. ochrony danych osobowych UE, doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców w tym w branży ciepłowniczej. Obecnie ma to miejsce na niewielką skalę i w praktyce wiele firm zapomina o potrzebie kompleksowego uregulowania tych zagadnień w zgodzie z obowiązującymi przepisami.
Przedsiębiorstwa często korzystają ze standardowych rozwiązań, które nie są dostosowane ani do specyfiki branży ani konkretnych uwarunkowań danego zakładu. Przewidziane obecnie sankcje karne mogą natomiast dotknąć w szczególności osoby zajmujące kluczowe i najwyższe stanowiska w tych przedsiębiorstwach, które często nie mają żadnego kontaktu z przetwarzaniem danych w ich firmach, nie istnieją też zwykle samodzielne stanowiska odpowiedzialne za ochronę i przetwarzanie danych. Nowe wspólne przepisy UE oznaczają też eliminację luk i braków, które obecnie pozwalają czasem firmom uchylić się od odpowiedzialności.
Nowe przepisy unijne uproszczą porządek prawny na terenie UE, w tym sensie, że zastąpią regulacje krajowe wspólnotowymi, ale w poszczególnych przedsiębiorstwach doprowadzą do konieczności tworzenia dokumentacji i rozwiązań znacznie bardziej szczegółowych i bezpieczniejszych niż obecnie. Jednolite standardy kontroli doprowadzą natomiast do tego, że zasady te będą bezwzględnie egzekwowane.
Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych będzie w praktyce wymagało prowadzenia nie tylko dokumentacji wprost wymaganej przez przepisy. Niezbędne może okazać się również tworzenie rozwiązań dostosowanych indywidualnie do struktury organizacyjnej i funkcjonalnej danego podmiotu gospodarczego.
Projekt rozporządzenia jest pełny zwrotów nieostrych, niejasnych i w dużym stopniu ocennych. Będą one wyjaśniane dopiero przez praktykę orzeczniczą poszczególnych krajów UE. Zwłaszcza zatem w pierwszym okresie obowiązywania nowych przepisów, będzie istniało duże ryzyko prawne dla przedsiębiorców przetwarzających dane osobowe, co dotyczy faktycznie każdego przedsiębiorcy.
W projekcie rozporządzenia jest także mowa o konieczności tworzenia procedur i mechanizmów ułatwiających podmiotowi danych wykonywanie przysługujących mu praw, między innymi umożliwienie składania wniosków drogą elektroniczną i żądania uzyskania odpowiedzi na wniosek w określonym terminie, jak również do uzasadnienia odmowy udzielenia odpowiedzi. Zakres zbieranych danych osobowych powinien uwzględniać minimalną ilość informacji niezbędną do realizacji celu ich przetwarzanie – tego wymogu często nie respektują często polskie przedsiębiorstwa. Przewiduje się, iż sama zgoda osoby nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych, a administratorem, co ma miejsce np. w odniesieniu do pracowników. Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów mają być zachęcane do sporządzenia kodeksów postępowania. Ma to ułatwiać skuteczne stosowanie rozporządzenia i uwzględniać szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Taki kodeks bez wątpienia mógłby ustanawiać ogólne standardy ochrony w sektorze ciepłowniczym. Musiałby być jednak zawsze uzupełniany o regulacje szczegółowe poszczególnych przedsiębiorstw.
Chociaż nie wiadomo dzisiaj, jaki będzie ostateczny kształt rozporządzenia oraz kiedy wejdzie ono w życie, to wydaje się niemal pewne, że prędzej czy później takie rozwiązanie zostanie przyjęte na terenie całej UE. Wymusi to na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych. W obszarach nieobjętych rozporządzeniem UE nadal będą obowiązywać przepisy krajowe, a panująca w tym zakresie dwoistość porządku prawnego – krajowego i UE, może powodować liczne problemy prawne i różnice interpretacyjne. Dodatkowo, zwiększonemu przepływowi danych ma towarzyszyć większe bezpieczeństwo, a to zawsze oznacza konieczność uszczegółowienia istniejących już procedur i wprowadzenia dodatkowych.
PODSUMOWANIE
- Celami planowanej regulacji są:
- Zwiększenie ochrony danych osobowych
- Uproszczenie regulacji
- Obniżenie kosztów ponoszonych przez przedsiębiorców
- Zmniejszenie obciążeń administracyjnych
- Nowa regulacja doprowadzi do nasilenia kontroli zasad i standardów przetwarzania danych przez przedsiębiorców.
- Rozwiązania dotyczące ochrony danych osobowych powinny być dostosowane do specyfiki przedsiębiorstwa.
- Obecnie, odpowiedzialność karna w związku z nieprawidłową ochroną danych osobowych obciąża zwykle osoby zajmujące kluczowe, najwyższe stanowiska.
- Podmioty administrujące danymi osobowymi będą zachęcane do sporządzania kodeksów postępowania uwzględniających szczególny charakter danego sektora.
- Rozporządzenie wymusi na przedsiębiorcach podniesienie standardów ochrony danych osobowych oraz szczegółową weryfikację i kompleksową regulację procedur wewnętrznych.