Już po raz dziewiąty mieliśmy przyjemność spotkać się na obchodach Europejskiego Dnia Ochrony Danych Osobowych zorganizowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Przypomnijmy jednak skąd pochodzi inicjatywa obchodów. Dzień Ochrony Danych został ustanowiony przez Komitet Ministrów Rady Europy na dzień 28 stycznia, gdyż jest to rocznica otwarcia do podpisu Konwencji 108 Rady Europy z 1981 roku w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych.

W tym roku Dzień Ochrony Danych został poświęcony nowym regulacjom dotyczącym prawa do prywatności i ochrony danych osobowych. Konferencja pt. „Ochrona danych osobowych –  najnowsze krajowe i europejskie regulacje prawne” odbyła się w Warszawie w siedzibie Centralnej Biblioteki Rolniczej. Konferencję otworzył Zastępca Generalnego Inspektora Ochrony Danych Osobowych Pan Andrzej Lewiński. Na wstępie swojego wystąpienia podkreślił, jak ważne jest sfinalizowanie prac nad unijnym rozporządzeniem w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Projekt rozporządzenia jest już w zasadzie gotowy, gdy wejdzie w życie, jego przepisy będą stosowane bezpośrednio.

Konferencja składała się z trzech paneli tematycznych. Pierwszy poświęcony był reformie ochrony danych osobowych w kontekście innych zmian prawa UE. Ta część objęła cztery wystąpienia. Michał Czerniawski z Ministerstwa Administracji i Cyfryzacji omówił unijną reformę danych osobowych przedstawiając stan prac nad ogólnym rozporządzeniem o ochronie danych. Wskazał również na aktualne problemy dotyczące gromadzenia danych pasażerów linii lotniczych (PNR) i systemów smart-borders, stwierdzając, że takie systemy muszą opierać się na dwóch zasadach: proporcjonalności i konieczności.

Przedmiotem wystąpienia Magdaleny Piech z Konfederacji Lewiatan była reforma unijnych zasad przetwarzania danych osobowych z perspektywy przedsiębiorców. W zagadnieniu dokumentowania przetwarzania danych wskazała pięć zasad, jakim ten proces ma podlegać:

1. zwięzłe, przejrzyste, jasne i łatwo dostępne polityki,
2. analiza szczególnego ryzyka,
3. ocena skutków w zakresie ochrony danych osobowych,
4. konsultacje z organem nadzorczym,
5. weryfikacja zgodności.

Dariusz Adamski z Uniwersytetu Wrocławskiego swoje wystąpienie zatytułował intrygująco „Nieoczywiste konsekwencje dwóch rewolucji w podejściu Trybunału Sprawiedliwości do ochrony danych osobowych”. Dwie rewolucje to wyroki TS – w sprawie Google Spain – prawo do  bycia zapomnianym (wyrok ten obowiązuje jako prawo) i Digital Rights Ireland.

Dr Marlena Sakowska-Baryła radca prawny z Urzędu Miasta Łodzi przedstawiła rolę Inspektora ochrony danych osobowych według regulacji ogólnego rozporządzenia w sprawie ochrony danych osobowych. Podkreśliła, że będzie to nowy zawód, a w instytucjach publicznych IOD będzie musiał być powołany i jeśli rolę tą będzie pełnił podmiot zewnętrzny to jego kadencja będzie trwała 2 lata.

W drugim panelu nt. najnowszych zmian w ustawie o ochronie danych osobowych głos zabrali Dyrektorzy Departamentów GIODO:

1. Monika Krasińska, Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg – „Instrumenty wzmocnienia praw jednostki i administratorów danych po nowelizacji przepisów o ochronie danych osobowych”,
2. Dorota Krajewska-Kekusz, Dyrektor Departamentu Rejestracji Zbiorów Danych Osobowych – „Rejestry prowadzone przez GIODO po nowelizacji ustawy o ochronie danych osobowych”,
3. Katarzyna Hildebrand, Z-ca Dyrektora Departamentu Inspekcji omówiła zmiany przepisów w zakresie kontroli GIODO,
4. Andrzej Kaczmarek, Dyrektor Departamentu Informatyki podkreślił rolę, pozycję i obowiązki ABI na tle nowych przepisów o ochronie danych osobowych”,
5. Piotr Drobek, Z-ca Dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej wskazał na zmniejszenie obciążeń administracyjnych w zakresie przekazywania danych do państw trzecich.

Trzecia sesja to omówienie zasad przetwarzania danych osobowych w praktyce europejskich organów ochrony danych osobowych. Temat „Prawo do bycia zapomnianym i jego wykonywanie w świetle wskazówek Grupy Roboczej art.29 (WP 225)” przedstawił dr Paweł Litwiński z Instytutu Allerhanda. Na kanwie wyroku Trybunału z dnia 13 maja 2014r. Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja González, C-131/12 wskazał, iż prawo do bycia zapomnianym działa wobec operatorów wyszukiwarek – wszelkich, nie tylko Google, wyszukiwarka przetwarza dane jako administrator danych i decyduje o usunięciu linku. Prawo do bycia zapomnianym nie działa wobec oryginalnych źródeł informacji.

Katarzyna Szymielewicz, Prezeska Fundacji Panoptykon na tle obecnych wydarzeń terrorystycznych swoje wystąpienie poświęciła tematowi proporcjonalności i niezbędności przetwarzania danych osobowych w sektorze bezpieczeństwa – kluczowe rekomendacje wskazówek Grupy Roboczej art. 29.

Ostatnie wystąpienie Arwida Mednisa z Uniwersytetu Warszawskiego było nawiązaniem do wcześniej już poruszonego tematu dotyczącego skutków wyroku w sprawie Digital Rights Ireland. Ze względu na brak kontroli nad procesem retencji wskazał na ważność ochrony danych osobowych.

Konferencja cieszyła się dużym zainteresowaniem, o czym może świadczyć liczna grupa uczestników oraz brak możliwości rejestracji już w kilka dni po jej otworzeniu. Spotkanie osób z różnych środowisk, zarówno naukowych jak i praktyków zajmujących się na co dzień problematyką danych osobowych dało możliwość wymiany poglądów. Oczywiście zabrakło czasu na wyjaśnienie choćby tylko niektórych istotnych problemów. Tradycyjnie już podczas trwania Konferencji pracownicy Biura GIODO udzielali porad prawnych z zakresu ochrony danych osobowych.