Popsuta reforma ochrony danych

Przeglądarka internetowa, samochód z GPS-em, inteligentny telewizor, lodówka podłączona do Internetu – korzystając z każdego z tych i setek innych inteligentnych urządzeń, generujemy ogromne ilości danych osobowych. To łakomy kąsek dla firm, które chcą nam skuteczniej sprzedać swoje towary lub usługi. Ale nie tylko – okruchy danych, które na każdym kroku zostawiamy za sobą, są równie interesujące dla służb wywiadowczych. Reforma unijnych przepisów o ochronie danych osobowych miała odpowiedzieć na te problemy, wzmacniając obowiązujące standardy i obejmując nimi także firmy zagraniczne. Niestety, prace ciągną się już od 3 lat, a na kolejnych etapach projekt coraz bardziej oddala się od pierwotnych założeń. Ujawnione właśnie dokumenty robocze Rady Unii Europejskiej stawiają intencje polityków pod dużym znakiem zapytania. Wszystko wskazuje na to, że celem reformy stało się osłabienie europejskiego standardu ochrony danych osobowych.

Ostatni wyciek dokumentów pokazał, że Rada wyraźnie dąży do obniżenia obowiązujących standardów ochrony danych osobowych: podważenia fundamentalnych zasad przetwarzania danych, ograniczenia praw osób, których dane są przetwarzane, oraz osłabienia możliwości ich egzekwowania. Wraz z koalicją EDRi i grupą aktywistyczną Europe vs Facebook opublikowaliśmy krytyczny komunikat w tej sprawie „Data Protection – Broken Badly”.

Upraszczając nieco, dziś do przetwarzania danych potrzebna jest zgoda osoby, której dane dotyczą, podstawa prawna albo tzw. uzasadniony interes administratora. Dane mogą być przetwarzane tylko w celach zbieżnych z celem, w którym przekazaliśmy je administratorowi – firmie czy instytucji publicznej. Na straży ochrony danych stoją krajowi inspektorzy ochrony danych, a osoba, której dane dotyczą, ma prawo dostępu do danych, poprawiania ich czy usunięcia. Reforma miała te reguły wzmocnić i doprecyzować, tak by przepisy odpowiadały cyfrowej rzeczywistości. Nowymi regulacjami miały być objęte także firmy spoza Unii Europejskiej.

Firma, o której nigdy nie słyszeliśmy, będzie mogła przetwarzać dane w celu, o którym nie mamy pojęcia, a my się o tym nawet nie dowiemy  – do takiej  sytuacji doprowadziłoby przyjęcie propozycji Rady.

Propozycje Rady zmierzają w przeciwnym kierunku i wyraźnie dążą do odebrania nam wpływu na to, co dzieje się z naszymi danymi. Zgoda mogłaby być dorozumiana z naszego zachowania (np. faktu wejścia na stronę internetową), administrator sam mógłby podjąć decyzję o zmianie celu przetwarzania danych, a uzasadniony interes administratora miałby obejmować przekazywanie danych podmiotom trzecim. Inspektorzy ochrony danych osobowych nie mieliby możliwości współdecydowania w sprawach wniesionych przez obywateli ich kraju, jeśli firma ma siedzibę w innym państwie członkowskim, a sankcje finansowe zostałyby obniżone do poziomu przyjaznego międzynarodowym korporacjom.

Przepisy w takim kształcie z pewnością nie ograniczą negatywnych praktyk stosowanych przez amerykańskie firmy. Co gorsza, mogą umożliwić swobodne przetwarzanie danych również przez podmioty unijne, zarówno publiczne, jak i prywatne. Z pewnością nie o taką harmonizację chodziło Komisji Europejskiej, gdy rozpoczynała ten proces. Trudno powiedzieć, czym kierowały się rządy państw biorących udział w obradach Rady Unii Europejskiej poświęconych reformie ochrony danych osobowych. Jedno jest pewne: nie był to uzasadniony interes obywatela.

Więcej na ten temat:

EDRi: Leaked documents: European data protection reform is badly broken

EDRi i Europe vs Facebook: Broken Badly