Chodzi tu o Konwencję nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz.U. z 2003 r. poz. 25 i 26; dalej: Konwencja), która jest pierwszą umową międzynarodową w Europie dotyczącą tematyki przetwarzania danych osobowych oraz jedynym prawnie wiążącym międzynarodowym aktem w obszarze ochrony danych osobowych. Stronami Konwencji jest 51 państw, zarówno członków Rady Europy jak i spoza Europy, takich jak: Mauritius, Senegal, Tunezja i Urugwaj.
Z uzasadnienia projektu wynika, że:
- celem modernizacji Konwencji jest dostosowanie jej brzmienia do wyzwań wynikających z powszechnego zastosowania nowych technologii informacyjnych i komunikacyjnych, jak również wzmocnienie efektywności jej stosowania;
- Protokół zmieniający Konwencję wzmacnia standardy ochrony danych osobowych, a jednocześnie ułatwia przepływ danych między państwami będącymi jej stronami;
- Konwencja ma szeroki zakres stosowania, a jej postanowienia mają ogólny i neutralnie technologiczny charakter, co daje państwom dużą swobodę w jej implementacji.
W uzasadnieniu zwrócono też uwagę, że po zmianach podstawowe standardy i zasady Konwencji pozostały niezmienione, wprowadzono jednak szereg zmian i uzupełnień mających dostosować Konwencję do wyzwań współczesności.
Po pierwsze, rozszerzono zakres przedmiotu i cel Konwencji – nowe przepisy za przedmiot Konwencji wskazują każdy rodzaj przetwarzania danych osobowych, a nie jedynie przetwarzanie automatyczne.
Po drugie, wprowadzono definicję zgody podmiotu danych jako przesłanki legalizującej przetwarzanie danych. Wskazano, że zgoda podmiotu danych musi być dobrowolna, wyraźna, świadoma i jednoznaczna.
Po trzecie, wprowadzono obowiązek zawiadamiania właściwego organu nadzorczego o poważnych naruszeniach ochrony danych osobowych, wzmocnienie wymogu przetwarzania danych z zachowaniem zasad proporcjonalności i niezbędności, zwiększenie odpowiedzialności i rozliczalności administratorów i podmiotów przetwarzających oraz transparentności przetwarzania. Zarówno administrator jak i podmiot przetwarzający mają obowiązek zapewnić odpowiednie środki bezpieczeństwa przed przypadkowym lub nieupoważnionym dostępem do danych osobowych lub ich zniszczeniem, utratą, wykorzystaniem, modyfikacją lub ujawnieniem.
Po czwarte, dodano nowe prawa podmiotów danych, takie jak prawo do sprzeciwu wobec przetwarzania danych, prawo do uzyskania informacji o uzasadnieniu przetwarzania danych oraz ograniczenie możliwości podejmowania wobec danej osoby decyzji opartej wyłącznie na profilowaniu. Protokół zmieniający wprowadza ponadto wobec administratorów i podmiotów przetwarzających wymóg ochrony danych już w fazie projektowania oraz oceny wpływu zamierzonego przetwarzania na prawa i podstawowe wolności osób, których dane dotyczą.
Po piąte, wprowadzono też takie zmiany:
- w zakresie definicji doprecyzowano brzmienie definicji „przetwarzania danych” oraz „administratora”, a także dodano definicje „odbiorcy” i „podmiotu przetwarzającego”;
- dodano tzw. wyjątek domowy, tj. wyłączono stosowanie Konwencji do przetwarzania danych przez osobę fizyczną w toku czynności czysto osobistych lub domowych;
- wprowadzono system oceny skuteczności, przez Komitet Konwencji, stosowania przepisów Konwencji przez jej Strony, co ma służyć jej skuteczniejszemu egzekwowaniu;
- rozszerzono katalog danych wrażliwych o dane genetyczne i biometryczne, jak również o dane o przynależności do związków zawodowych oraz dane o pochodzeniu etnicznym. Ponadto do katalogu danych wrażliwych dodano dane osobowe dotyczące czynów zabronionych, postępowań karnych oraz powiązanych środków bezpieczeństwa;
- w zakresie wyłączeń i odstępstw od przepisów Konwencji, rozszerzono możliwość ograniczenia stosowania Konwencji w odniesieniu do dodatkowych kryteriów, takich jak: „kluczowe cele dla bezpieczeństwa publicznego”, ochrona bezstronności i niezawisłości sądownictwa oraz ochrona wolności wypowiedzi.
Po szóste, Protokół do Konwencji wprowadza także ułatwienia w zakresie przekazywania danych poza granice państw – stron. Ze zmian wynika, że strona Konwencji nie może, co do zasady, zabronić przekazania danych do odbiorcy podlegającego jurysdykcji innej strony Konwencji lub uzależniać tego przekazania od wydania specjalnego zezwolenia. Jednak jest to możliwe, jeżeli istnieje realne i poważne ryzyko, że przekazanie danych do innej strony lub od tej innej strony do podmiotu niebędącego stroną Konwencji mogłoby prowadzić do obejścia postanowień Konwencji.
Wprowadzono też przepisy dotyczące współpracy i wzajemnej pomocy między organami nadzoru. Organy nadzorcze zostały obowiązane do koordynacji swoich dochodzeń i interwencji, prowadzenia czynności wspólnych oraz do udzielania informacji i dokumentów dotyczących obowiązującego je prawa i praktyki administracyjnej w zakresie ochrony danych. Nowe przepisy wzmacniają także rolę Komitetu Konwencji – poprzednio jego rola miała charakter konsultacyjny, obecnie zadania poszerzono o rolę oceniającą i monitorującą wykonanie Konwencji.