Nowa unijna regulacja o ochronie danych zaszkodzi małym firmom?
2015-02-26
Zgoda wyraźna, dane spseudonimizowane, profilowanie i tzw. one-stop-shop to cztery kwestie, którym poświęcona była debata śniadaniowa w Brukseli zorganizowana przez Konfederację Lewiatan we współpracy z Michałem Bonim i Axelem Vossem, posłami do Parlamentu Europejskiego. W oparciu o te kwestie zaprezentowano wpływ planowanego rozporządzenia o ochronie danych osobowych na sektor MŚP.
„Podczas prac nad projektem rozporządzenia w Parlamencie Europejskim nacisk położony był przede wszystkim na prawa obywatelskie, w tym prawo do prywatności. Miało to ogromne, pozytywne znaczenie dla podwyższenia poziomu świadomości na temat praw, jakie ma każdy z nas będąc podmiotem danych. Z drugiej jednak strony zbyt mało uwagi poświęcono praktycznym aspektom stosowania projektowanych przepisów i kosztom związanym z realizacją nowych obowiązków przez firmy, zwłaszcza MŚP. Dzisiejsza debata ma pokazać zmiany, jakie należy wprowadzić w projekcie, by chroniąc prywatność, uwzględniał on sytuacje i możliwości przedsiębiorców" - tymi słowami rozpoczęła spotkanie moderatorka Magdalena Piech, ekspertka Konfederacji Lewiatan. Podstawą debaty były modele przygotowane wspólnie przez Konfederację Lewiatan i Izbę Gospodarki Elektronicznej.
Jako pierwszy głos zabrał Michał Boni, który zwrócił uwagę, że choć stanowisko PE zostało przyjęte już w ubiegłej kadencji, to niezbędna jest kontynuacja otwartej debaty zarówno w fazie przygotowawczej, jak i samych negocjacji międzyinstytucjonalnych (trilogów).
„Zależny nam na tym, aby rozporządzenie zostało przyjęte. W dobie gospodarki cyfrowej jasne i czytelne reguły stanowią bowiem podstawę zaufania obywateli do podmiotów przetwarzających ich dane. Jednocześnie chyba wszyscy zgodzimy się z tym, że nie możemy tworzyć prawa, którego niepożądane skutki przewyższą zamierzone korzyści. Równowaga pomiędzy zaufaniem obywateli a skuteczną implementacją regulacji przez firmy jest niezbędna"- podkreślił poseł Boni.
W odniesieniu do czterech konkretnych zagadnień Michał Boni przypomniał, że zarówno zgoda wyraźna jak i zabezpieczenie przed negatywnymi skutkami profilowania są kluczowe z punktu widzenia praw jednostki. Przyznał jednak, że jednakowe podejście do zgody wyraźnej i do profilowania wobec wszystkich rodzajów przetwarzania może prowadzić do odwrotnych skutków niż złożone przez legislatora. Dużym wyzwaniem dla państw członkowskich pozostaje one-stop-shop, który zarówno z punktu widzenia PE, jak i przedsiębiorstw jest jedną z głównych wartości dodanych propozycji KE.
Po wstępie gospodarzy rozpoczęła się dyskusja pomiędzy panelistami, Grzegorzem Wójcikiem reprezentującym Grupę Allegro oraz Jensem-Henrikiem Jeppesenem z brukselskiego think-thanku Centre for Democracy and Technology.
- Zgoda
W dyskusji podkreślono, że zgoda wyraźna może przynieść skutek odwrotny od zamierzonego. „Bombardowanie" podmiotów danych nieustannym pytaniem o zgodę na przetwarzanie wszelkiego rodzaju danych może prowadzić do automatyzmu w jej wyrażaniu. Zamiast zwiększyć kontrolę podmiotów danych, istnieje ryzyko podważenia znaczenia zgody. Zdaniem Grzegorza Wójcika doprowadziłoby to do sytuacji analogicznej wobec regulacji tzw. cookies, czyli automatycznego udzielenia zgody poprzez kliknięcie w okienku odblokowującym dostęp do strony.
Reprezentant Allegro przypomniał, że małe i średnie przedsiębiorstwa działają w zupełnie inny sposób niż duże, globalne firmy, nie dostrzegając bezpośredniego wpływu regulacji o ochronie danych na ich działalność biznesową. Jeśli chcemy, aby w Europie firmy rozwijały się szybko, musimy zapewnić odpowiednie środowisko prawne. W świecie technologii jutra zgoda wyraźna nie może stanowić reguły. Akceptowalnym rozwiązaniem byłoby traktowanie jej nie jak reguły, ale raczej zarezerwowanego dla określonych kategorii danych (np. dla danych wrażliwych) wyjątku.
Jens-Henrik Jeppesen przyznał, że nieracjonalnym rozwiązaniem jest traktowanie wszystkich danych w ten sam sposób i wprowadzenie wymogu uzyskania każdorazowo zgody wyraźnej. Kategorie przetwarzanych danych są różne i także z punktu widzenia obywateli nie zawsze wymagają one uciążliwej procedury. Jako jedno z możliwych rozwiązań zaproponował dookreślenie tej kwestii i uwzględnienie różnych scenariuszy w kodeksach dobrych praktyk, będących bardziej elastycznym narzędziem niż twarda legislacja.
- Profilowanie
Termin profilowanie przedstawiany często jako działanie zagrażające prywatności i mogące prowadzić do dyskryminacji, w brukselskim żargonie oznacza raczej negatywną konotację. Tymczasem, z perspektywy firm, profilowanie (automatyczne przetwarzanie danych) jest metodą, która pozwala analizować dane szybciej niż tradycyjne metody. W swojej interwencji Grzegorz Wójcik udowadniał, że ma ono znaczenie przy obserwowaniu trendów, dostosowanie usług i produktów do preferencji klientów. Dzięki profilowaniu przekazy reklamowe (wyświetlane lub przesyłane mailem po uzyskaniu zgody) są dostosowane do naszych oczekiwań i zainteresowań. Zamiast lawiny maili i zupełnie nieważnych dla nas ofert otrzymujemy przekaz, który nas interesuje.
W niektórych sytuacjach profilowanie jest wręcz niezbędne, a uzyskanie zgody podmiotu przetwarzania ex ante bywa niemożliwe. Przykładem jest zidentyfikowanie zachowań potencjalnie niebezpiecznych, jak pranie pieniędzy czy wyłudzenia lub zapewnienie bezpieczeństwa usługi. Przedstawiciel Grupy Allegro zwrócił uwagę, że zgodnie ze stanowiskiem PE, podmiot danych może bezwarunkowo sprzeciwić się nawet profilowaniu do takich celów, co w rzeczywistości może mieć poważne konsekwencje dla biznesu. Tym samym wydaje się, że nie samo profilowanie, ale ewentualne negatywne skutki decyzji opartych o profilowanie powinny więc być przedmiotem prac legislatora.
Ze stanowiskiem, że nie samo profilowanie ale jego nadużywanie, stanowić może niebezpieczeństwo dla konsumentów zgodził się również przedstawiciel CDT. Zdaniem organizacji konsument powinien mieć możliwość świadomej rezygnacji z takiej usługi, ale w sytuacji kiedy jego prywatność może być faktycznie zagrożona. Takie sytuacje powinny jednak być enumeratywnie wymienione w rozporządzeniu. To właśnie zawężenie zakresu zakazu profilowania, zdaniem CDT, wzmocni prawa jednostki.
- Pseudonimizacja
Głównym wątkiem dyskusji była różnica pomiędzy danymi spseudonimizowanymi (anonimowe dane od samego początku), a danymi które uległy procesowi pseudonimizacji. Wskazano na istotną różnice pomiędzy tekstem PE, gdzie koncept jest szeroki (obejmuje obydwie kategorie), a propozycją Rady określającą w ten sposób tylko dane, które uległy świadomemu procesowi. Rozmówcy zgodzili się, że niezbędne jest wyróżnienie grupy danych, które od początku były spseudonimizowane i nałożenie mniejszych obciążeń na ich przetwarzanie.
- One stop shop
Podczas debaty jasno wybrzmiała opinia, że z punktu widzenia rozwijających się europejskich firm, obok wysokiego poziomu harmonizacji jest to kluczowy element reformy.
Podczas prac PE propozycja Komisji Europejskiej w tej kwestii nie uległa znaczącej zmianie. Niestety, państwa członkowskie kwestionują ją w oparciu o tzw. teorię bliskości (proximity). Natomiast z punktu widzenia małych i średnich przedsiębiorstw mających ambicje ekspansji na rynki innych państw członkowskich, one-stop-shop ma szansę być ogromnym ułatwieniem. Dzięki takiemu rozwiązaniu nie musiałyby one każdorazowo polegać na decyzji poszczególnych, krajowych inspektorów ochrony danych osobowych, co znacząco przyspiesza procedurę i daje pewność prawną prowadzenia działalności gospodarczej na skalę europejską.
Z taką opinią zgodził się także zastępca Europejskiego Inspektora Ochrony Danych Osobowych, Wojciech Wiewiórowski. Wskazał na problemy natury technicznej, jakie dla krajowych inspektoratów może stanowić choćby wielojęzyczność skargi, jednak zgodził się z twierdzeniem, że takie rozwiązanie jest niezbędne, jeśli chcemy mówić o jednolitym rynku i pomagać w rozwijaniu przedsiębiorczości na skalę europejską.
Rozmówcy dostrzegli złożoność takiego rozwiązania i zgodzili się, że mogłoby ono być celem ostatecznym, wprowadzanym stopniowo.
Spotkanie podsumowali wspólnie Michał Boni i Axel Voss. Podkreślili oni, że tworząc prawo dzisiaj powinniśmy pamiętać, że stosowane będzie ono jutro, a nawet ‘w przyszłym tygodniu', dlatego nie możemy ignorować praktycznych aspektów, które stanowić mogą znaczącą barierę dla ich rozwoju innowacyjnych europejskich firm. W tym celu dialog powinien być kontynuowany podczas trilogów a także w późniejszej fazie implementacji.
Konfederacja Lewiatan dziękuje firmom członkowskim, które pomogły w organizacji tego spotkania.