Regulacje prawne dotyczące ochrony danych osobowych ciągle ewoluują zarówno na poziomie Unii Europejskiej, jak i w Polsce. Ma to związek z pojawiającymi się nowymi wyzwaniami, na przykład próbami ich komercjalizowania przez przedsiębiorstwa. Przyczyn tej ewolucji w obszarze regulacji jest jednak więcej.
Obecnie regulatorzy ochrony danych osobowych z krajów Unii Europejskiej dużo szybciej reagują na zmiany zachodzące w rzeczywistości biznesowej, niż było to jeszcze kilkanaście/kilka lat wcześniej. Powód jest oczywisty – państwa członkowskie dostrzegają ogromną wartość w przetwarzaniu dużych zbiorów danych o obywatelach, wykorzystując je do walki z bezrobociem, do zwalczania przestępczości czy choćby usprawnienia komunikacji miejskiej. Ponadto w ich analizie widzą szanse na wzrost gospodarczy i zwiększenie konkurencyjności własnych przedsiębiorstw działających na Wspólnym Rynku. Najlepszym dowodem szybkiej reakcji regulatorów na pojawiające się wyzwania mogą być rezolucje przyjęte w Warszawie przez rzeczników ochrony danych osobowych z różnych państw członkowskich. Dotyczą one między innymi zasad profilowania osób fizycznych, edukacji cyfrowej, śledzenia treści i ludzi w sieci czy upowszechniania się różnych aplikacji w społeczeństwie.
Nie tylko państwa i firmy wiedzą, jaką wartość mają gromadzone zbiory danych osobowych. Konsumenci są również świadomi wagi tych informacji i sposobów ich wykorzystywania. W Polsce w ostatnim czasie rośnie gotowość ludzi do dzielenia się informacjami o sobie w zamian za odpowiednie profity, niekoniecznie wyrażane w pieniądzach. Satysfakcjonuje ich na przykład dostęp do dodatkowych usług albo produktów do testowania. Jednocześnie nasi konsumenci są świadomi ryzyka wynikającego z gromadzenia tego typu informacji, czego dowodzą statystyki publikowane co roku przez GIODO. Pokazują one, że coraz więcej osób wspiera regulatora w (czasem nierównej) dyskusji z biznesem, zna przysługujące im prawa oraz jest uwrażliwionych na wszelkie próby manipulowania tym, co jest im najbliższe – ich prywatnymi danymi, a więc ich tożsamością.
W połowie 2016 roku nowe prawo
Powyższe zjawiska uwzględnia projekt zmian przepisów unijnych o ochronie danych osobowych, które mają wejść w życie najpóźniej w połowie 2016 roku. Był zresztą jednym z bardziej aktywnych obszarów działania lobbystów nie tylko z Europy, ale także (a może przede wszystkim) ze Stanów Zjednoczonych. Zmiany w europejskim prawie o ochronie prywatności widoczne są już na pierwszy rzut oka: kilkanaście kartek polskiej ustawy zostanie niebawem zastąpionych rozporządzeniem o długości około dwustu stron.
Nowe prawo ma być w założeniu takie samo w każdym kraju unijnym, bez konieczności jego implementacji do porządku prawa krajowego. Unijny ustawodawca w sposób nie tylko kompleksowy, ale też nowatorski traktuje ochronę prywatności. Z lektury projektowanego rozporządzenia wynika bowiem, że zaskakująco szybko zareagował na pomysły biznesu, co do możliwości monetyzowania przetwarzanych danych, ale też wspierania przedsiębiorców w kontaktach z regulatorami. Pomysły te znajdą odzwierciedlenie w takich koncepcjach jak: lead authority (polega na lepszej współpracy między organami zajmującymi się ochroną danych osobowych w całej Unii i ujednoliceniem stanowiska regulatorów kierowanego do przedsiębiorców), privacy‑by‑design i privacy‑by‑default (gwarantują domyślne poszanowanie prywatności klientów już na etapie projektowania rozwiązań biznesowych) oraz right to be forgotten (oferuje większą kontrolę nad danymi osobowymi, które zostały bezprawnie umieszczone w Internecie).
Projektowane regulacje unijne nie zakazują czerpania korzyści z przetwarzania danych osobowych klientów, chociaż narzucają pewne reguły i wynikające z nich obowiązki, aby zwiększyć transparentność całego procesu i kontrolę przez osoby, których one dotyczą. Konsekwencje za nieprzestrzeganie przepisów są stosunkowo surowe. Projekt przewiduje bowiem jako jedną z możliwych sankcję finansową w postaci 2% rocznego, globalnego obrotu, nakładaną na przedsiębiorstwa działające w krajach unijnych oraz te, których siedziby znajdują się poza UE, w tym na firmy amerykańskie, które kierują do Europejczyków swoje towary lub usługi albo tylko monitorują na dużą skalę ich zachowania w Internecie. To istotne novum – dotychczas prawo unijne musieli stosować jedynie przedsiębiorcy europejscy ze szkodą dla zasad równej (i zdrowej) konkurencji z firmami zza oceanu.
Projektowane rozporządzenie przewiduje rozsądny, dwuletni okres na pełne dostosowanie działalności do nadchodzących zmian, ale już dziś, projektując założenia do nowych planów rozwojowych, przedsiębiorcy powinni zastanowić nad wpływem nowych przepisów na opracowywane strategie, do czego zachęca unijne privacy‑by‑design. Najpierw jednak powinni kompleksowo ocenić charakter przetwarzanych danych i ocenić, jakiego rodzaju zmiany w organizacji będą niezbędne. Jeżeli strategie opierają się w dużej mierze na przetwarzaniu danych klientów, warto się upewnić, czy zmieniające się otoczenie regulacyjne nie będzie barierą na drodze ich skutecznej realizacji, ewentualnie czy pojawiły się jakieś szanse na biznesowy sukces.