Kompromis w sprawie rozporządzenia UE o ochronie danych osobowych
2015-12-18
Po czterech latach prac nad unijną reformą zasad ochrony danych, tekst rozporządzenia o ochronie danych osobowych został uzgodniony pomiędzy Parlamentem Europejskim (PE) a krajami członkowskimi. Wypracowany w tzw. trilogu tekst został zatwierdzony wstępnie na forum komisji ds. wolności obywatelskich, sprawiedliwości i spraw wewnętrznych PE, a jego akceptacja przez Radę wydaje się być formalnością. Zdaniem Konfederacji Lewiatan udało się w nim uniknąć wielu pojawiających się w trakcie negocjacji rozwiązań, które zwiększyłyby koszty przetwarzania danych i utrudniły rozwój innowacyjnych produktów i usług.
Tekst rozporządzenia dąży do ochrony prywatności w świecie dynamicznych technologii, opartych na danych. W założeniach Komisji Europejskiej, która przedstawiła ten projekt 25 stycznia 2012 roku miał on się przyczynić do zmniejszenia kosztów przetwarzania danych, m.in. dzięki ujednoliceniu zasad ich przetwarzania w całej Unii. Dla przedsiębiorców niekwestionowaną korzyścią z przyjęcia rozporządzenia miał być mechanizm one stop shop, zakładający że w sprawach przetwarzania danych przez podmioty prowadzące działalność w wielu państwach UE właściwy byłby jeden organ nadzorczy ds. ochrony danych.- Tekst uzgodniony przez unijnych prawodawców nie spełnia wszystkich pokładanych w nim nadziei. Należy jednak przyznać, że udało się uniknąć wielu pojawiających się w trakcie negocjacji rozwiązań, które zwiększyłyby koszty przetwarzania danych i utrudniły rozwój innowacyjnych produktów i usług - mówi Magdalena Piech, ekspertka Konfederacji Lewiatan.
Główną zaletą tego rozporządzenia jest zastąpienie 28 porządków prawnych dotyczących ochrony danych jednym, obowiązującym w całej Unii aktem prawnym. Jednolitości interpretacji i stosowania przepisów ma zapewnić powołana rozporządzeniem Europejska Rada ds. Ochrony Danych, złożona z krajowych organów nadzorczych.
Projekt wprowadzi także wiele nowych praw dla pomiotów danych. Wśród nich warto wymienić „prawo do przenoszenia danych", wzmocnione „prawo do bycia zapomnianym", konieczność uwzględnienia prywatności na etapie projektowania („privacy by design") i stosowania rozwiązań chroniących prywatność jako opcji domyślnej („pracy by default"). Sposób wdrożenia tych rozwiązań i ich koszty będą dużym wyzwaniem dla unijnych przedsiębiorców.
Niekorzystny w stosunku do założeń reformy jest kształt mechanizmu one stop shop. To z pewnością stracona szansa tego rozporządzenia. Tekst wprowadza szerokie kryteria zaangażowania organów z innych państw członkowskich, przez co procedura wydawania decyzji w sprawach transgranicznego przetwarzania danych znacznie się wydłuży. Rozporządzenie przewiduje też odstępstwa od zasady właściwości organu głównej siedziby, w tzw. „przypadkach wewnętrznych".
Rozporządzenie nie wymaga implementacji do przepisów krajowych. Zgodnie z postanowieniami końcowymi rozporządzenia będzie ono stosowane dwa lata po jego publikacji. Przedsiębiorcy i organy mają więc czas na dostosowanie swojej działalności do nowych wymogów unijnych.
Komentarz Magdaleny Piech, ekspertki Konfederacji Lewiatan
Pozytywnie należy ocenić rezygnację z wymogu zgody wyraźnej w odniesieniu do przetwarzania wszelkich danych osobowych. Zgoda wyraźna wymagana będzie- jak obecnie- tylko w odniesieniu do danych wrażliwych. W przypadku przetwarzania danych zwykłych zgoda musi być „dobrowolna, szczególna, świadoma" i powinna jednoznacznie wskazywać „wolę podmiotu danych". Zgodnie z postulatami Konfederacji Lewiatan usunięto zaproponowany przez KE przepis, który wykluczał zgodę, jako podstawę przetwarzania, w warunkach „szczególnej nierówności" stron. Zrezygnowano też z przepisu wprowadzonego w wersji Parlamentu, który zakazywał świadczenia usług w zamian za zgodę na przetwarzanie danych. Taki przepis podważyłby byt większości darmowych, bo finansowanych przez reklamodawców, usług w Internecie i negatywnie wpłynąłby na możliwość promowania usług przez przedsiębiorców.
Zaskakującym rozwiązaniem jest możliwość obniżenia przez państwa członkowskie wieku (z 16 do 13 lat), w którym dziecko może wyrazić wiążącą zgodę na przetwarzanie danych osobowych, w związku ze świadczeniem usług społeczeństwa informacyjnego (art. 8 ust 2). Taki wymóg wydaje się nieadekwatny do dojrzałości tych osób. Rozszerzy on też krąg podmiotów danych, co do których konieczne będzie podjęcie trudnych z technicznego i praktycznego punktu widzenia działań, koniecznych do zawarcia umowy. Co gorsza, podejście państw członkowskich w tej istotnej z perspektywy usługodawców kwestii pozostanie niejednolite.
Pozytywnie należy ocenić rezygnację z proponowanego przez PE bezwarunkowego prawa do sprzeciwu, w przypadku przetwarzania danych w oparciu o słuszny interes administratora. Jeśli interes administratora przeważa nad interesem podmiotu danych, przetwarzanie danych będzie możliwe, choć na administratorze spoczywać będzie ciężar dowodu w tej kwestii.
Korzystne dla administratorów jest także wydłużenie z 24 do 72 godzin czasu, w którym konieczne będzie zgłoszenie naruszenia bezpieczeństwa danych organom nadzorczym. Da to więcej czasu na analizę problemu i na podjęcie działań minimalizujących ewentualne szkody.
Prawodawcy zrezygnowali też z przyjętej w wersji Rady, szerokiej definicji wysokiego ryzyka. Przetwarzanie danych, które wiązałoby się z tak zdefiniowanym, szerokim ryzykiem wymagałoby dodatkowych działań i formalności, m.in. konsultacji z organem nadzorczym.
Jeśli chodzi o profilowanie - brzmienie ostatecznie uzgodnionego tekstu jest lepsze niż propozycja Komisji, bo ograniczenia co do przetwarzania danych do celów profilowania stosuje się tylko, jeśli wywierają one wobec podmiotu danych skutki prawne lub „porównywalnie wpływa na podmiot danych". Niestety, nie ograniczono konieczności zastosowania wymogów dotyczących profilowania do sytuacji, kiedy automatyczne decyzje mogą negatywnie wpłynąć na podmiot danych.
Niekorzystny w stosunku do założeń reformy jest kształt mechanizmu one stop shop. Tekst wprowadza szerokie kryteria zaangażowania organów z innych państw członkowskich, przez co procedura wydawania decyzji w sprawach transgranicznego przetwarzania danych znacznie się wydłuży. Rozporządzenie przewiduje też odstępstwa od zasady właściwości organu głównej siedziby, w tzw. „przypadkach wewnętrznych".
W tekście rozporządzenia utrzymano przepis (art. 17 ust 2a), wymagający od administratora danych, realizującego żądanie podmiotu w sprawie tzw. prawa do bycia zapomnianym, poinformowania innych administratorów, przetwarzających dane tego podmiotu, że żąda on usunięcia wszelkich kopii lub linków do dotyczących go danych. Nadal nie wiadomo jak administrator miałby zidentyfikować ten przepis. Nie ma on też w praktyce zazwyczaj narzędzi pozwalających na wyegzekwowanie takiego działania. Wiele trudności może się też wiązać z realizacją prawa do przenoszenia danych, tzn. możliwością otrzymania od administratora danych kopii tych danych i przeniesienia ich do innego administratora, np. z jednej sieci społecznościowej do drugiej.
Konfederacja Lewiatan