This document is an excerpt from the EUR-Lex website
Ochrona danych osobowych
Dyrektywa 95/46/WE stanowi na szczeblu europejskim tekst referencyjny w dziedzinie ochrony danych osobowych. Ustanawia ona ramy prawne mające pozwolić na pogodzenie wysokiego poziomu ochrony prywatności osób ze swobodnym przepływem danych osobowych w Unii Europejskiej (UE). W tym celu dyrektywa ustala restrykcyjne ograniczenia w zakresie gromadzenia i wykorzystywana danych osobowych. Wymaga ona również utworzenia w każdym państwie członkowskim krajowego niezależnego organu odpowiedzialnego za nadzór wszelkich czynności związanych z przetwarzaniem danych osobowych.
AKT
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [Zob. akt(-y) zmieniający(-e)].
STRESZCZENIE
Niniejsza dyrektywa dotyczy danych przetwarzanych za pomocą środków automatycznych (na przykład informatycznych baz danych klientów), jak również danych zawartych lub mających znaleźć się w niezautomatyzowanych archiwach (tradycyjne dokumenty papierowe).
Dyrektywa nie obejmuje przetwarzania danych:
Dyrektywa ma na celu chronić podstawowe prawa i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, ustanawiając kluczowe kryteria legalności przetwarzania danych oraz zasady dotyczące jakości danych.
Przetwarzanie danych jest zgodne z prawem tylko wówczas gdy:
Zasady dotyczące jakości danych, które muszą być wdrażane w odniesieniu do wszelkich zgodnych z prawem działań w zakresie przetwarzania danych są następujące:
Osobie, której dane są przetwarzane, tj. której dane dotyczą, przysługują następujące prawa:
Inne ważne aspekty przetwarzania danych dotyczą:
Każda osoba powinna móc skorzystać ze środków sądowych w razie naruszenia praw, które jej przysługują w ramach przepisów krajowych dotyczących przedmiotowego przetwarzania danych. Ponadto osobom, które poniosły szkodę wskutek niezgodnego z prawem przetwarzania danych osobowych, przysługuje odszkodowanie od administratora danych.
Przekazywanie danych osobowych z państwa członkowskiego do państwa trzeciego o odpowiednim stopniu ochrony danych jest dozwolone. Jednak ponieważ przekazywanie danych nie może mieć miejsca, gdy nie zostanie zagwarantowany odpowiedni stopień ochrony danych, istnieje szereg wyjątków od tej reguły, które wymieniono w dyrektywie, np. gdy osoba, której dane dotyczą, udzieli zgody na ich przekazanie, gdy przekazanie jest konieczne do realizacji umowy lub gdy jest to konieczne z ważnych względów publicznych, ale także gdy wiążące reguły korporacyjne lub klauzule umowne zostaną dozwolone przez dane państwo członkowskie.
Dyrektywa zachęca do opracowywania krajowych i wspólnotowych kodeksów postępowania, mających przyczynić się do prawidłowego stosowania przepisów krajowych i wspólnotowych.
Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialny za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
Powołuje się grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych. W skład grupy roboczej wchodzą przedstawiciele organów nadzorczych, powołanych przez każde państwo członkowskie, oraz przedstawiciel organów kontrolnych instytucji i organów wspólnotowych, a także przedstawiciel Komisji.
ODNIESIENIA
Akt |
Wejście w życie |
Termin transpozycji przez państwa członkowskie |
Dziennik Urzędowy |
Dyrektywa 95/46/WE |
13.12.1995 |
24.10.1998 |
Dz.U. L 281 z 23.11.1995 |
Akt(-y) zmieniający(-e) |
Wejście w życie |
Termin transpozycji przez państwa członkowskie |
Dziennik Urzędowy |
Rozporządzenie (WE) nr 1882/2003 |
20.11.2003 |
– |
Dz.U. L 284 z 31.10.2003 |
Kolejne zmiany i poprawki dyrektywy 95/46/WE zostały dołączone do tekstu bazowego. Niniejsza wersja skonsolidowana ma jedynie charakter informacyjny.
AKTY POWIĄZANE
SPRAWOZDANIE Z WYKONANIA
Komunikat Komisji dla Parlamentu Europejskiego i Rady z dnia 7 marca 2007 r., zatytułowany: „Kontynuacja programu prac na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych” [ COM(2007) 87 wersja ostateczna – nieopublikowany w Dzienniku Urzędowym].
Niniejszy komunikat podsumował dotychczasowe postępy w realizacji programu pracy na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych z pierwszego sprawozdania z wykonania dyrektywy 95/46/WE. Komisja poinformowała o postępach w wykonaniu dyrektywy, jako że wszystkie państwa członkowskie dokonały już jej transpozycji. Uściśliła także, że nie ma potrzeby zmiany dyrektywy.
Dodała, że:
Sprawozdanie Komisji z dnia 15 maja 2003 r. zatytułowane „Pierwsze sprawozdanie na temat wykonania dyrektywy dotyczącej ochrony danych osobowych (95/46/WE)” [ COM(2003) 265 wersja ostateczna – nieopublikowane w Dzienniku Urzędowym].
Sprawozdanie opisało w szczególności wyniki konsultacji prowadzonych przez Komisję w ramach oceny dyrektywy 95/46/WE przez rządy, instytucje, zrzeszenia firm, stowarzyszenia konsumentów i obywateli. Wyniki konsultacji pokazały, że niewielu uczestników zgłosiło potrzebę dokonania rewizji dyrektywy. Ponadto, po konsultacjach z państwami członkowskimi, Komisja odnotowała, że większość z nich, jak również krajowe organy nadzorcze, nie widzą na obecnym etapie konieczności zmiany dyrektywy.
Pomimo opóźnień i luk zauważonych w wykonaniu dyrektywy spełnia ona swój główny cel, który polega na usuwaniu przeszkód w swobodnym przepływie danych osobowych pomiędzy państwami członkowskimi. Komisja uznała ponadto, że osiągnięto cel polegający na zagwarantowaniu wysokiego poziomu ochrony na terytorium Wspólnoty, jako że dyrektywa wyznaczyła normy ochrony danych osobowych zaliczane do najlepszych na świecie.
Nie udało się jednak równie skutecznie osiągnąć innych celów polityki rynku wewnętrznego. Prawodawstwo w dziedzinie ochrony danych nadal znacznie różni się w poszczególnych państwach członkowskich. Takie różnice przeszkadzają organizacjom międzynarodowym w definiowaniu polityk ogólnoeuropejskich w dziedzinie ochrony danych. Komisja ogłosiła zatem, że podejmie wszelkie niezbędne kroki, by zapobiec takiej sytuacji i uniknąć w miarę możliwości wstępowania na drogę formalnego postępowania.
Jeśli chodzi zaś o ogólny poziom poszanowania prawodawstwa na temat ochrony danych w UE, odnotowano trzy trudności:
Aby zapewnić skuteczniejsze stosowanie dyrektywy w sprawie ochrony danych osobowych, Komisja przyjęła program prac zawierający pewną liczbę działań, które należało wykonać pomiędzy przyjęciem niniejszego sprawozdania a końcem 2004 r. Działania te obejmują następujące inicjatywy:
DYREKTYWA O PRYWATNOŚCI I ŁĄCZNOŚCI ELEKTRONICZNEJ
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) [Dz.U. L 201 z 31 lipca 2002].
Ta nowa dyrektywa została przyjęta w 2002 roku wraz z nowym instrumentem prawnym, który ma regulować sektor łączności elektronicznej. Zawiera ona przepisy dotyczące pewnej liczby tematów, mniej lub bardziej drażliwych, takich jak gromadzenie danych o połączeniach przez państwa członkowskie w celach nadzoru policyjnego (przechowywanie danych), przesyłanie niezamówionych wiadomości elektronicznych, korzystanie z narzędzi poświadczających połączenie (tzw. „cookies”) oraz umieszczanie danych osobowych w publicznych spisach danych teleadresowych.
Rozporządzenie (UE) nr 611/2013 zawiera zasady dotyczące powiadamianiu o przypadkach naruszenia danych osobowych przez dostawców publicznie dostępnych usług łączności elektronicznej w przypadku gdy dane osobowe ich klientów zostaną zgubione, skradzione lub w inny sposób naruszone.
W razie nastąpienia naruszenia danych osobowych dostawcy są zobowiązani, na mocy dyrektywy 2002/58/WE, do powiadomienia o zaistniałym fakcie właściwych organów krajowych, a także, w określonych przypadkach, abonentów lub osoby fizyczne, których to dotyczy. Rozporządzenie (UE) 611/2013 wprowadza „techniczne środki wykonawcze” w celu wyjaśnienia, w jaki sposób należy przestrzegać tych zobowiązań.
Dostawcy powinni m. in.:
STANDARDOWE KLAUZULE UMOWNE DOTYCZĄCE PRZEKAZYWANIA DANYCH DO PAŃSTW TRZECICH
Decyzja 2004/915/WE z dnia 27 grudnia 2004 r., zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich [Dz.U. L 385 z 29.12.2004].
Komisja Europejska zatwierdziła nowe standardowe klauzule umowne, które przedsiębiorstwa mogą stosować, by zapewnić odpowiednie gwarancje przy przekazywaniu danych osobowych z UE do państw trzecich. Nowe klauzule dołączą do tych, które już istnieją i zostały wprowadzone decyzją Komisji z czerwca 2001 r. (zob. poniżej).
Decyzja 2001/497/WE Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE [Dz.U. L 181 z 4.7.2001].
Decyzja ta określa standardowe klauzule umowne, które zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do państw trzecich. Decyzja obliguje państwa członkowskie do uznawania, że firmy lub organizacje, które stosują takie standardowe klauzule w umowach dotyczących przekazywania danych osobowych do państw trzecich zapewniają „odpowiedni stopień ochrony” danych.
Decyzja Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady [Dz.U. L 39 z 12.02.2010].
Decyzje Komisji potwierdzające odpowiedni poziom ochrony danych osobowych w kilku państwach trzecich na podstawie art. 25 ust. 6: Komisja dotychczas uznała następujące państwa za gwarantujące odpowiednią ochronę danych osobowych: Andora, Argentyna, Australia, Kanada (organizacje komercyjne), Szwajcaria, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Jersey, Nowa Zelandia, Urugwaj oraz zasady bezpiecznego transferu danych osobowych Departamentu Handlu USA.
OCHRONA DANYCH PRZEZ INSTYTUCJE I ORGANY WSPÓLNOTY
Rozporządzenie 45/2001/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie danych [Dz.U. L 8 z 12.01.2001].
To rozporządzenie ma na celu ochronę danych osobowych w instytucjach i organach Unii Europejskiej. Tekst przewiduje:
Ostatnia aktualizacja: 08.03.2014