Konwencja Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych („konwencja nr 108”) jest jedyną prawnie wiążącą umową wielostronną w dziedzinie ochrony danych osobowych. Celem konwencji jest ochrona prawa do prywatności, uznanego w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Prawa do prywatności i ochrony danych zostały również zapisane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej oraz w art. 16 TFUE.

Konwencja nr 108 zobowiązuje strony do wprowadzenia do ich krajowych systemów prawnych środków niezbędnych do zapewnienia poszanowania praw wszystkich osób w zakresie przetwarzania danych osobowych. Było to jedno z głównych źródeł inspiracji dla rozwoju dorobku prawnego UE w dziedzinie ochrony danych. Zgodnie z motywem 11 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych celem tej dyrektywy jest utrwalanie i umacnianie zasad i praw wyrażonych w konwencji nr 108.

Dotychczas konwencja nr 108 została ratyfikowana przez 51 państw, w tym przez wszystkie 28 państw członkowskich UE, cztery państwa EFTA, wszystkie kraje Bałkanów Zachodnich, szereg krajów objętych europejską polityką sąsiedztwa (np. Armenia, Gruzja), Federację Rosyjską, Turcję i szereg państw spoza Europy, zarówno w Afryce (np. Senegal, Tunezja), jak i Ameryce Łacińskiej (Urugwaj). Kilka wniosków o przystąpienie jest w toku (np. Argentyna, Meksyk, Maroko), a szereg państw ma status obserwatora (np. Japonia, Korea Południowa).

Konwencja została otwarta do podpisu w 1981 r., na długo przed erą internetu i łączności elektronicznej. Rozwój technologii i globalizacja informacji stwarzają nowe wyzwania w dziedzinie ochrony danych osobowych. Celem protokołu zmieniającego jest nowelizacja konwencji w celu zapewnienia odpowiednich rozwiązań.

Zaktualizowana konwencja nr 108 (tj. konwencja nr 108 zmieniona protokołem zmieniającym) będzie miała jednolity zakres zastosowania w odniesieniu do wszystkich stron, bez możliwości całkowitego wyłączenia z jej stosowania określonych sektorów lub działań (np. w obszarze bezpieczeństwa narodowego), jaką przewiduje obecny tekst konwencji nr 108. Obejmie zatem wszystkie rodzaje przetwarzania danych w ramach jurysdykcji stron, zarówno w sektorze publicznym, jak i prywatnym.

Protokół zmieniający znacząco zwiększa poziom ochrony danych zapewniany na mocy konwencji nr 108. W zaktualizowanej konwencji zostaną mianowicie bardziej szczegółowo określone zasady zgodnego z prawem przetwarzania danych (zwłaszcza w odniesieniu do wymogów dotyczących zgody), a ochrona szczególnych kategorii danych zostanie jeszcze bardziej wzmocniona (przy jednoczesnym rozszerzeniu tych kategorii o te uznane za szczególne kategorie danych osobowych w prawie Unii). Ponadto zaktualizowana konwencja będzie przewidywała dodatkowe gwarancje dla osób fizycznych w przypadku, gdy ich dane osobowe są przetwarzane (w szczególności obowiązek zbadania prawdopodobnego wpływu zamierzonej operacji przetwarzania danych oraz wdrożenia odpowiednich środków technicznych i organizacyjnych; obowiązek zgłaszania poważnych naruszeń ochrony danych), a także wzmocni ich prawa (szczególnie w odniesieniu do przejrzystości i dostępu do danych). Zostały również wprowadzone nowe prawa osoby, której dane dotyczą, takie jak prawo do niepodlegania decyzjom wydanym wyłącznie w oparciu o zautomatyzowane przetwarzanie danych, a mającym znaczny wpływ na osobę, której dane dotyczą, prawo wniesienia sprzeciwu wobec przetwarzania danych oraz prawo do środka odwoławczego w przypadku naruszenia praw osoby fizycznej.

Zaktualizowana konwencja będzie zawierała zmienione postanowienia (obecnie zawarte w protokole dodatkowym podpisanym jedynie przez niektóre strony konwencji), zgodnie z którymi strony będą musiały ustanowić jeden lub więcej niezależnych organów odpowiedzialnych za zapewnienie przestrzegania postanowień konwencji nr 108. Pozycja tych organów zostanie wzmocniona przez wprowadzenie wymogu, by strony przyznały im dodatkowe uprawnienia, np. uprawnienie do wydawania decyzji w odniesieniu do naruszeń konwencji nr 108 oraz do nakładania sankcji administracyjnych.

Określony w protokole zmieniającym system odstępstw od wymienionych praw i obowiązków spełnia trzy podstawowe warunki: zachowanie kompleksowego zakresu konwencji nr 108 (brak ogólnych wyłączeń), elastyczność (pozwalająca na pogodzenie wysokich norm ochrony danych z innych ważnymi interesami publicznymi, np. względami bezpieczeństwa narodowego) oraz ogólna spójność z orzecznictwem Europejskiego Trybunału Praw Człowieka (w szczególności brak ograniczeń wpływających na istotę podstawowego prawa do ochrony danych).

Ogólnie rzecz biorąc, zaktualizowana konwencja zapewni wysoki poziom ochrony, pozostawiając stronom pewien margines elastyczności w odniesieniu do wdrażania jej postanowień do prawa krajowego. W efekcie przystąpienie do zaktualizowanej konwencji nr 108 stałoby się atrakcyjne dla tych krajów, również spoza Europy, które rozważają ustanowienie lub wzmocnienie własnych systemów ochrony danych. Przewidywane skutki tych zmian w praktyce są znacznie większe niż wpływ obecnej konwencji nr 108, zarówno pod względem jej zakresu, jak i określonych w niej zobowiązań.

Po wejściu w życie protokół zmieniający wprowadzi możliwość, by Unia stała się stroną (zaktualizowanej) konwencji. W odniesieniu do prawa głosu w ramach Komitetu Konwencji uzgodniony tekst protokołu gwarantuje, że Unia może głosować w zakresie swoich obszarów kompetencji liczbą głosów równą liczbie jej państw członkowskich, które są stronami konwencji. Aby rozwiać obawy dotyczące wagi unijnego głosu, uzgodniono rozwiązanie kompromisowe, zgodnie z którym decyzje mogą być podejmowane wyłącznie „przeważającą większością” (czterech piątych głosów), a w odniesieniu do najważniejszych decyzji dotyczących przestrzegania konwencji przez stronę – „podwójną większością” (większością kwalifikowaną w połączeniu ze zwykłą większością głosów państw niebędących członkami UE).

Zaktualizowana konwencja przyczyniłaby się również do zwiększenia skuteczności ochrony danych dzięki zapewnieniu możliwości oceny przez Komitet Konwencji skuteczności środków wprowadzonych w ustawodawstwie krajowym w celu nadania skuteczności postanowieniom konwencji.

Tekst protokołu zmieniającego został przygotowany w koordynacji z przedstawicielami państw członkowskich we właściwej grupie roboczej Rady i uwzględnia wytyczne negocjacyjne Rady. Jest on również w pełni zgodny z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych, „RODO”) oraz dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych („dyrektywa o ochronie danych dotycząca policji”), co wyklucza sytuację, w której państwa członkowskie podlegałyby różnym, a nawet sprzecznym ze sobą obowiązkom wynikającym z prawa Unii i Rady Europy. Przyjęcie kompleksowej konwencji w oparciu o takie samo podejście i zasady, jak (nowy) unijny dorobek prawny ma szczególne znaczenie dla unijnej strategii międzynarodowej w dziedzinie ochrony danych. Konwencja nr 108, która jest otwarta również dla państw spoza UE, przyciągnęła uwagę państw z całego świata, które przygotowują lub zamierzają przyjąć przepisy dotyczące ochrony danych. W komunikacie ze stycznia 2017 r. pt. „Wymiana i ochrona danych osobowych w zglobalizowanym świecie” (COM/2017/07 final) Komisja odniosła się do konwencji nr 108, uznając, że zaktualizowana konwencja będzie oparta na takich samych zasadach, jak przepisy UE o ochronie danych, i w związku z tym „przyczyni się do poprawy konwergencji z zestawem wysokich standardów ochrony danych” na szczeblu globalnym. W związku z tym wyraziła zobowiązanie do „wspierania szybkiego przyjęcia” protokołu zmieniającego.

Dziedzina objęta zmienioną konwencją jest obecnie w dużej mierze uregulowana unijnymi przepisami o ochronie danych. RODO, które obowiązuje od dnia 25 maja 2018 r., oraz dyrektywa o ochronie danych dotycząca policji, w przypadku której termin transpozycji upłynął w dniu 6 maja 2018 r., przewidują kompleksowy system zasad w zakresie ochrony danych i zapewniają co najmniej równoważny, a w wielu przypadkach wyższy, standard ochrony. Zgodnie z art. 13 zaktualizowanej konwencji strony mogą udzielić osobom, których dane dotyczą, „ochrony szerszej niż przewidziana w niniejszej konwencji”, co pozostawia stronom swobodę w zakresie przyjmowania silniejszych środków ochrony.

Protokół zmieniający wejdzie w życie, gdy wszystkie strony złożą swoje instrumenty ratyfikacji, przyjęcia lub zatwierdzenia Sekretarzowi Generalnemu Rady Europy. Ponadto, biorąc pod uwagę dużą liczbę stron, które muszą ratyfikować protokół, umożliwia on „częściowe przystąpienie” wśród mniejszej grupy stron po upływie pięciu lat, po tym jak co najmniej trzydzieści osiem stron wyrazi zgodę na związanie się postanowieniami protokołu.

Państwa członkowskie UE (obecnie tylko strony konwencji nr 108) powinny podjąć niezbędne kroki w celu zapewnienia szybkiego wejścia w życie protokołu zmieniającego:

Po pierwsze, biorąc pod uwagę, że zaktualizowana konwencja zawierałaby w dużej mierze podobne środki zabezpieczające jak RODO i dyrektywa o ochronie danych dotycząca policji, (częściowe) wejście w życie przyczyni się do wspierania unijnych standardów ochrony danych na całym świecie. Konwencja nr 108 odegrała zasadniczą rolę w rozpowszechnianiu „europejskiego modelu ochrony danych” na całym świecie, gdyż często jest źródłem inspiracji dla krajów, które rozważają przyjęcie lub modernizację przepisów dotyczących prywatności. Jest to tym ważniejsze dziś, zważywszy na rosnącą liczbę państw przyjmującą takie przepisy w wielu regionach świata. Podniesienie standardów ochrony przez strony konwencji ułatwiłoby również przepływ danych między UE i państwami spoza UE będących stronami konwencji. W przypadku szeregu krajów przystąpienie do konwencji nr 108 okazało się również przydatnym przygotowaniem do ostatecznego stwierdzenia adekwatności poziomu ochrony danych przez Komisję Europejską. RODO wzmacnia ten aspekt, określając, że przystąpienie do konwencji nr 108 jest ważnym czynnikiem branym pod uwagę przez Komisję Europejską podczas oceny adekwatności. Nawet w przypadku niestwierdzenia adekwatnego poziomu ochrony wyższy poziom ochrony (zwłaszcza jeśli chodzi o dostępność zarówno sądowych, jak i pozasądowych środków odwoławczych, jak również skuteczny nadzór ze strony organów nadzoru) ułatwiłby wymianę danych w oparciu o odpowiednie zabezpieczenia (zważywszy na to, że takie zabezpieczenia mogą stać się łatwiejsze do egzekwowania w systemach prawnych stron).

Po drugie należy utrzymać pełną zgodność zaktualizowanej konwencji z przepisami RODO oraz dyrektywy o ochronie danych dotyczącej policji, tak aby umożliwić państwom członkowskim UE pozostanie stronami konwencji i przestrzeganie jej postanowień bez naruszania przepisów unijnych. Dotyczy to w szczególności przepisów dotyczących swobodnego przepływu danych między stronami, zważywszy że zmodernizowana konwencja (w przeciwieństwie do obecnego tekstu) zawiera odstępstwo od tej zasady w przypadku stron „związanych zharmonizowanymi przepisami o ochronie danych wspólnymi dla państw należących do regionalnej organizacji międzynarodowej”. Zapewni to przestrzeganie przepisów przez państwa członkowskie UE pomimo warunków dotyczących międzynarodowych transferów określonych w prawodawstwie Unii w dziedzinie ochrony danych.

Po trzecie obecnie konwencja nr 108 nie przewiduje możliwości przystąpienia do niej przez organizacje międzynarodowe. Protokół zmieniający modyfikuje sytuację w tym zakresie, a co za tym idzie jego wejście w życie jest warunkiem przyszłego przystąpienia UE do konwencji.

Podstawą prawną proponowanej decyzji Rady jest art. 218 ust. 6 TFUE w związku z art. 16 TFUE.