Od grudnia 2019 r. obowiązuje ustawa z 16 października 2019 r. o ratyfikacji Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego w Strasburgu dnia 10 października 2018 r. (Dz.U. poz 2284). Prezydent RP Andrzej Duda podpisał ustawę 8 listopada 2019 r.
Celem ustawy było wyrażenie zgody przez parlament na dokonanie przez Prezydenta RP ratyfikacji Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego w Strasburgu dnia 10 października 2018 r., w trybie art. 89 ust. 1 Konstytucji RP.
Konwencja Nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzona w Strasburgu dnia 28 stycznia 1981 r. (Dz.U. z 2003 r. poz. 25) została opracowana pod auspicjami Rady Europy jako pierwsza umowa międzynarodowa dotycząca ochrony danych osobowych w kontekście przestrzegania prawa do prywatności. Wprowadziła mechanizmy ochrony osób przed naruszeniami, jakie mogą mieć miejsce w związku z gromadzeniem i automatycznym przetwarzaniem danych osobowych oraz uregulowała kwestię przepływu danych osobowych przez granice państw. Polska stała się jej stroną 1 września 2002 r.
W związku z dynamicznym rozwojem technologii i zmianami, jakie nastąpiły w systemach prawnych w odniesieniu do ochrony danych osobowych od czasu przyjęcia Konwencji, pojawiała się potrzeba jej zmodernizowania poprzez wprowadzenie odpowiednich zmian do jej tekstu. Podjęte w tym celu prace zaowocowały przyjęciem w 2018 r. omawianego Protokołu.
Wspomniany Protokół zmieniający Konwencję 108 wprowadza do niej liczne modyfikacje. Zmiany te są na tyle istotne, że nową wersję traktatu eksperci w dziedzinie ochrony danych nazywają Konwencją 108+. Poprawia ona standard ochrony danych osobowych między innymi poprzez :
- mocniejsze wymogi dotyczące zasad proporcjonalności i minimalizacji danych oraz zgodności z prawem przetwarzania;
- rozszerzenie rodzajów danych wrażliwych, które będą teraz obejmować dane genetyczne i biometryczne, przynależność do związków zawodowych i pochodzenie etniczne;
- obowiązek zgłaszania naruszeń danych;
- większa przejrzystość przetwarzania danych;
- nowe prawa dla osób w kontekście podejmowania decyzji algorytmicznych, które są szczególnie istotne w związku z rozwojem sztucznej inteligencji;
- większą odpowiedzialność administratorów danych;
- wymóg stosowania zasady „poszanowania prywatności od samego początku”;
- stosowanie zasad ochrony danych do wszystkich działań związanych z przetwarzaniem, w tym ze względów bezpieczeństwa narodowego, z ewentualnymi wyjątkami i ograniczeniami, z zastrzeżeniem warunków określonych przez Konwencję, a w każdym razie z niezależną i skuteczną kontrolą i nadzorem;
- jasny reżim transgranicznych przepływów danych;
- wzmocnione uprawnienia i niezależność organów ochrony danych oraz poprawę podstaw prawnych dla współpracy międzynarodowej.