Parlament Europejski - sala obrad w Strasburgu. Foto: archiwum PE

Projekt unijnego rozporządzenia o ochronie danych był przedmiotem intensywnych negocjacji. Jest znaczący postęp w kierunku przyjęcia rozporządzenia, choć pozostaje jeszcze kilka kroków do wykonania, by stało się ono prawem – pisze adwokat Przemysław Wierzbicki.

Artykuł przedstawia niektóre z najważniejszych postanowień rozporządzenia, zatwierdzonych przez LIBE.

Zasięg terytorialny (artykuł 3)
Rozporządzenie będzie miało zastosowanie do przetwarzania danych osobowych podmiotów przebywających na terenie Unii Europejskiej, bez względu na to, gdzie znajduje się administrator danych lub podmiot przetwarzający dane, jeśli przetwarzanie jest związane z oferowaniem europejskim podmiotom - których dane dotyczą - produktów i usług (bez względu na to czy odpłatnie czy pod tytułem darmym) lub z monitorowaniem tych podmiotów. Rozporządzenie określa, że monitorowanie podmiotów, których dane dotyczą, będzie oznaczało śledzenie jednostek - bez względu na źródło danych - albo zbieranie danych o jednostkach w celu wykorzystania technik przetwarzania danych do profilowania celem analizy lub prognozowania osobistych preferencji, zwyczajów i upodobań jednostek. Te same regulacje będą mieć zastosowanie do organizacji znajdujących się poza Europą, jeśli przetwarzają dane osobowe obywateli Unii Europejskiej, włączając w to cele związane z monitoringiem.

Dane osobowe i możliwe do zidentyfikowania podmioty danych (artykuł 4, akapit 24 i 25)
Dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba jest możliwa do zidentyfikowania, jeśli jej tożsamość można określić bezpośrednio lub pośrednio, przy wykorzystaniu środków zwykle stosowanych do dokonywania identyfikacji, w szczególności identyfikatorów dostarczonych przez urządzenia, aplikacje, narzędzia i protokoły takie jak adresy IP (Internet Protocol), identyfikatory cookie i oznaczenia częstotliwości radiowych.

Przetwarzanie ograniczone do niezbędnego minimum (art. 5)
Zgodnie z rozporządzeniem dane osobowe powinny być przetwarzane w sposób adekwatny, odpowiedni i ograniczony do minimum w kontekście celów przetwarzania. Ponadto, przetwarzanie może być dokonywane jedynie przez okres, gdy cele przetwarzania nie mogą zostać spełnione przez przetwarzanie informacji niedotyczących danych osobowych. Powyższe stanowi zmianę w stosunku do obecnie obowiązującego obowiązku przetwarzania danych w sposób adekwatny, odpowiedni i nienadmierny. W związku z planowaną zmianą konieczna będzie modyfikacja działań podejmowanych podczas zbierania i wykorzystywania danych.