Jak zreformować europejskie prawo ochrony danych? Już odpowiadamy...
Od 25 stycznia, kiedy komisarz Viviane Reding oficjalnie przedstawiła swój ambitny projekt reformy europejskiego prawa ochrony danych osobowych (lubimy go nazywać „wielką reformą prywatności”), w Unii Europejskiej trwa gorąca debata publiczna. Polski rząd bierze w niej udział niejako instytucjonalnie, ponieważ projekt Komisji trafił już pod obrady grupy roboczej złożonej z przedstawicieli państw członkowskich i krajowych organów ochrony danych osobowych (tzw. DAPIX). Mimo dużego tempa prac, odpowiedzialne za projekt Ministerstwo Administracji i Cyfryzacji nie zaniedbało konsultacji społecznych. Do 11 marca można było przesyłać uwagi do projektu nowego unijnego rozporządzenia o ochronie danych. Fundacja Panoptykon skwapliwie z tej szansy skorzystała.
Od początku debaty na temat „wielkiej reformy prywatności” powtarzamy, że jest ona absolutnie konieczna. Coraz szybszy przepływ informacji, coraz dalej idące możliwości łączenia i wymiany danych, upowszechnienie dostępu do internetu i nowych narzędzi komunikacyjnych stwarzają konkretne wyzwania, na które dotychczasowa dyrektywa i - stanowiąca jej implementację do polskiego porządku prawnego - ustawa o ochronie danych osobowych nie dają odpowiedzi.
Dlatego ogólny kierunek zmian zaproponowany przez Reding oceniamy bardzo pozytywnie. Szczególnie istotne, z punktu widzenia interesów obywateli, są propozycje:
- zaostrzenia wymogów dotyczących zgody na przetwarzanie danych (przede wszystkim wymóg uzyskania zgody wyraźnej, a nie domniemanej z milczenia);
- zmiany zasad stosowania prawa Unii Europejskiej w stosunku do podmiotów zagranicznych (kryterium ma być to, czy dany podmiot oferuje swoje usługi obywatelom UE lub przynajmniej monitoruje ich zachowanie, np. za pomocą różnych technik śledzenia użytkowników Internetu);
- uregulowanie problematyki charakterystycznej dla usług internetowych: profilowania, „prawa do zapomnienia” czy możliwości przenoszenia danych między serwisami;
- zwiększenie roli organów ochrony danych, w tym nadanie im wyraźnego uprawnienia do stosowania sankcji administracyjnych.
Z drugiej strony, jeśli te dobre założenia mają zostać zrealizowane w praktyce, pakiet reformatorski wymaga dopracowania. W wielu miejscach projekt rozporządzenia przewiduje dość szerokie wyłączenia, niejasne definicje i potencjalnie niebezpieczne luki prawne. Omawiamy je po kolei w naszych uwagach przesłanych Ministerstwu Cyfryzacji i Administracji. Najważniejsze kwestie, na które warto zwrócić uwagę, to:
- bardzo szerokie wyłączenia ze względu na bezpieczeństwo narodowe;
- niedostatecznie precyzyjnie określony zakres materialny i terytorialny rozporządzenia;
- nierozwiązany problem wykorzystywania danych zbieranych (pierwotnie) w celach komercyjnych dla celów bezpieczeństwa publicznego;
- problem anonimizacji danych (i jej ograniczeń);
- definicja profilowania i przewidywany zakres wyłączeń od ochrony na tym polu;
- zasady przekazywania danych do krajów trzecich;
- szerokie uprawnienia Komisji Europejskiej do wydawania aktów quasi-legislacyjnych;
- niedostatecznie zabezpieczone prawa obywateli w kontekście transgranicznych procedur (np. kiedy obywatel będzie zmuszony wnieść skargę do organu w innym kraju);
- problem skutecznego egzekwowania prawa ochrony danych w stosunku do ponadnarodowych korporacji.
Ze względu na rozmiar i naprawdę szeroki zakres tematyczny rozporządzenia nasze uwagi mają charakter wstępny. Będziemy do tej analizy wracać, wraz z rozwojem europejskiej dyskusji i pojawianiem się kolejnych argumentów. Czasu na refleksję jest na szczęście sporo: zdaniem osób obeznanych w brukselskich procedurach nie ma szans, żeby prace nad tak kompleksową reformą prawa europejskiego potrwały krócej niż 3-4 lata.