Zgodnie zwracali uwagę, że obecne przepisy powstały zanim stał się powszechny internet. Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych pochodzi z 1981 r., a unijna dyrektywa ws. ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych - z 1995 r. Polska ustawa o ochronie danych osobowych, w duże mierze oparta o dyrektywę UE, została uchwalona w 1997 r.
Wiceszef MSWiA Piotr Stachańczyk otwierając konferencję podkreślił, że Europa ma rozbudowane i ambitne prawo ochrony danych osobowych. "Musimy je po prostu w większym stopniu dostosować do dzisiejszych wymogów, nowych wyzwań związanych z szybkim rozwojem technologicznym i globalizacją" - powiedział Stachańczyk.
Komisja Europejska zapowiada, że przedstawi projekt nowych przepisów w listopadzie; termin ten był jednak parokrotnie przesuwany. Bez czekania na regulacje unijne w ub.r. Generalny Inspektor Ochrony Danych Osobowych dr Wojciech Wiewiórowski zainicjował dyskusję nad zmianami w polskim prawie ochrony prywatności.
Założenia projektu mają być gotowe do końca roku, na początku 2012 r. GIODO chce je przedstawić Sejmowi. Zdaniem Wiewiórowskiego nie ma co czekać na regulacje unijne, bo przyjęcie i implementacja przepisów zajęłaby ok. pięciu lat. "Przepisy, które obowiązują w tej chwili w Polsce, powinny być zmienione wcześniej" - podkreślił. Część założeń do projektu jest gotowa - dotyczą one np. odbiurokratyzowania rejestracji zbiorów danych, zmiany roli administratorów bezpieczeństwa informacji oraz przetwarzania danych przez służby policyjne.
Z kolei dr Arwid Mednis, prawnik z Uniwersytetu Warszawskiego i kancelarii Wierzbowski Eversheds, ocenił, że należy rozważyć wykreślenie przepisów karnych. "Kary pieniężne na pewno byłyby lepszym batem na nieuczciwych administratorów danych. (...) 14-letnie doświadczenie funkcjonowania ustawy pokazało, że prokuratorzy nie proponują, a sądy nie skazują nikogo na kary pozbawienia wolności" - powiedział.
W dyskusji nad regulacjami unijnymi Europejski Inspektor Ochrony Danych Peter Hustinx ocenił, że obecnie jest za dużo różnic między krajami UE. "Mamy 27 różnych implementacji dyrektywy z 1995 r. i każda jest inna" - podkreślił. Zauważył, że dyrektywa pochodzi z czasów, kiedy internet nie był jeszcze rozpowszechniony. "Nie chodzi o to, by ponownie +wynaleźć+ ochronę danych, ale by uczynić ją bardziej efektywną. W dyrektywie są przestarzałe przepisy, jak np. konieczność pisemnej notyfikacji" - podkreślił.
Jacob Kohnstamm, który stoi na czele organu ochrony danych w Holandii i jednocześnie jest przewodniczącym Grupy Roboczej Art. 29, która zrzesza takie organy z całej UE, podkreślał rolę tzw. privacy by design, czyli brania pod uwagę ochrony prywatności już przy projektowaniu np. stron internetowych. "Zapewnienie ochrony danych osobowych od samego początku po prostu jest tańsze" – tłumaczył.
Wacław Iszkowski z Polskiej Izby Informatyki i Telekomunikacji dowodził, że ochrona danych w dzisiejszym świecie jest iluzją. Mówiąc o postulacie wprowadzenia "prawa do bycia zapomnianym", czyli usuwania z internetu danych, które zostały tam wprowadzone, Iszkowski podkreślił, że nie ma możliwości całkowitego wymazania danych, które są na serwerach. Można – jak mówił – jedynie skasować informacje z aktualnej bazy, ale już nie z kopii zapasowych, bo oznaczałoby to zbyt wielkie koszty. "Można co najwyżej zakazać korzystania z danych zapisanych w kopiach zapasowych" – ocenił.
Natomiast dr Mednis zauważał, że rozważany jest pomysł wspierania takich technologii, "które by powodowały, że pojawi się przy naszych danych coś w rodzaju +daty ważności+, po upływie której taka informacja by znikała z sieci".
Środową konferencję, w ramach prezydencji, zorganizowali GIODO i MSWiA. (PAP)