17 lipca 2019 r. do Sejmu skierowany został projekt ustawy o ratyfikacji Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego w Strasburgu dnia 10 października 2018 r. – przyjęty przez rząd w trybie obiegowym 5 lipca 2019 r.
Protokół aktualizuje Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, zwaną również Konwencją 108, która jest jedynym istniejącym traktatem międzynarodowym, dotyczącym prawa jednostek do ochrony ich danych osobistych.
Jak wskazano w uzasadnieniu projektu „celami modernizacji Konwencji są dostosowanie jej brzmienia do wyzwań wynikających z powszechnego zastosowania nowych technologii informacyjnych i komunikacyjnych, jak również wzmocnienie efektywności jej stosowania”. Konwencja ma szeroki zakres stosowania, a jej postanowienia mają ogólny i neutralnie technologiczny charakter, co daje państwom dużą swobodę w jej implementacji, jest także otwarta do ratyfikacji przez dowolny kraj chcący do niej przystąpić. Jest ona spójna z RODO i tzw. dyrektywą policyjną (dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89, z późn. zm.).
Podstawowe standardy i zasady Konwencji pozostały niezmienione, wprowadzono jednak szereg zmian i uzupełnień mających charakter aktualizacyjny, m.in.:
1. rozszerzono zakres przedmiotu i cel Konwencji –za przedmiot Konwencji wskazano każdy rodzaj przetwarzania danych osobowych, a nie jedynie przetwarzanie automatyczne, jak ma to miejsce w Konwencji z 1981 r.;
2. wprowadzono definicję zgody podmiotu danych jako przesłanki legalizującej przetwarzanie danych (musi być dobrowolna, wyraźna, świadoma i jednoznaczna);
3. wprowadzono obowiązek zawiadamiania właściwego organu nadzorczego o poważnych naruszeniach ochrony danych osobowych,
4. wzmocniono wymóg przetwarzania danych z zachowaniem zasad proporcjonalności i niezbędności,
5. zwiększono odpowiedzialność i rozliczalność administratorów i podmiotów przetwarzających oraz transparentności przetwarzania;
6. doprecyzowano, iż administrator i podmiot przetwarzający są obowiązani zapewnić odpowiednie środki bezpieczeństwa przed przypadkowym lub nieupoważnionym dostępem do danych osobowych lub ich zniszczeniem, utratą, wykorzystaniem, modyfikacją lub ujawnieniem;
7. dodano nowe prawa podmiotów danych (prawo do sprzeciwu wobec przetwarzania danych, prawo do uzyskania informacji o uzasadnieniu przetwarzania danych oraz ograniczenie możliwości podejmowania wobec danej osoby decyzji opartej wyłącznie na profilowaniu);
8. wprowadzono wobec administratorów i podmiotów przetwarzających wymóg ochrony danych już w fazie projektowania oraz oceny wpływu zamierzonego przetwarzania na prawa i podstawowe wolności osób, których dane dotyczą;
9. doprecyzowano brzmienie definicji „przetwarzania danych” oraz „administratora”, a także dodano definicje „odbiorcy” i „podmiotu przetwarzającego”;
10. wyłączono stosowanie Konwencji do przetwarzania danych przez osobę fizyczną w toku czynności czysto osobistych lub domowych;
11. Rozszerzono katalog danych wrażliwych o dane genetyczne i biometryczne, jak również o dane o przynależności do związków zawodowych oraz dane o pochodzeniu etnicznym. Do katalogu danych wrażliwych dodano dane osobowe dotyczące czynów zabronionych, postępowań karnych oraz powiązanych środków bezpieczeństwa.
W myśl uzasadnienia, dla Polski ratyfikowanie Protokołu nie spowoduje odczuwalnych skutków społecznych, gospodarczych, czy finansowych obowiązują już bowiem u nas znacznie dalej idące przepisy o ochronie danych, do których muszą stosować się przetwarzający dane osobowe (RODO, ustawa o ochronie danych osobowych, ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
Jednocześnie wszystkie przepisy wprowadzone Protokołem zmieniającym Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych pozostają spójne z prawem Unii Europejskiej dotyczącym ochrony danych osobowych – zachowanie spójności Konwencji z prawem Unii Europejskiej w obszarze ochrony danych osobowych było jedną z wytycznych negocjacyjnych Komisji Europejskiej, która prowadziła negocjacje zmiany przepisów Konwencji w imieniu państw członkowskich Unii Europejskiej.
Związanie Rzeczypospolitej Polskiej zmienioną Konwencją 108 nie spowoduje więc konieczności zmiany przepisów polskiego prawa, ale jej ratyfikacja, jako że przedmiot Konwencji dotyczy wolności i praw obywatelskich określonych w Konstytucji, wymaga uprzedniej zgody wyrażonej w ustawie.
