Instrukcja ochrony danych

Artykuł
23.05.2013
4 min. czytania
Tekst

Gdy minister Michał Boni na spotkaniu z Markiem Zuckerbergiem, mówi o tym, że w obrocie danymi kluczowa jest równowaga między ochroną prywatności i potrzebami biznesu, w Brukseli wciąż trwają intensywne prace legislacyjne nad reformą przepisów o ochronie danych osobowych. Europejska procedura stanowienia prawa jest skomplikowana i często niezrozumiała. Jednym z jej kluczowych elementów są negocjacje między krajami członkowskimi prowadzone w ramach Rady UE. Jakie stanowisko przedstawia polski rząd w tym procesie? Zapytaliśmy o to i dostaliśmy odpowiedź.

Nad projektem rozporządzenia o ochronie danych osobowych pracują aż trzy unijne instytucje: Rada UE, Parlament Europejski i Komisja Europejska. Komisja zaproponowała pierwsze brzmienie przepisów, które od roku jest „ucierane” w pozostałych dwóch instytucjach. W Parlamencie zaangażowani są posłowie kilku komisji, przy czym głównym rozgrywającym jest Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE). Przedstawiciele rządów wypracowują wspólne stanowisko na posiedzeniach Grupy Roboczej ds. Wymiany Informacji i Ochrony Danych (tzw. DAPIX). Ten proces ma na celu uzgodnienie kompromisowych propozycji, które będą do przyjęcia dla wszystkich. Po drodze pojawiają się tysiące poprawek zgłaszanych przez europosłów i setki stanowisk rządowych. O ile proces w Parlamencie jest jeszcze w miarę przejrzysty, o tyle prace Rady UE mają charakter poufny, a więc obywatele nie mogą monitorować ich przebiegu.

W związku z tym, że nie mamy dostępu do stanowisk wypracowywanych w ramach Rady UE, Fundacja Panoptykon wystąpiła do Ministerstwa Administracji i Cyfryzacji (MAiC) z wnioskiem o udostępnienie polskich instrukcji negocjacyjnych dotyczących reformy ochrony danych. W odpowiedzi na nasz wniosek, otrzymaliśmy 15 dokumentów, które zawierają instrukcje przygotowane dla polskich przedstawicieli biorących udział w posiedzeniach grupy roboczej DAPIX między lipcem 2012 r. a kwietniem 2013 r. Co wynika z tych dokumentów?

Polski rząd w wielu miejscach reprezentuje stanowisko zbieżne z rekomendacjami organizacji obywatelskich. Nasze władze stoją na stanowisku, że zgoda na przetwarzanie danych osobowych powinna być wyraźna, a więc nie może być wywnioskowana z kontekstu – ani naszego działania, ani milczenia. Zdaniem MAiC tylko taka definicja zgody daje obywatelom pełną kontrolę nad ich danymi. W innej kwestii – regulacji środków opartych na profilowaniu – polski rząd chce wzmocnić gwarancje i ograniczenia przewidziane w projekcie Komisji Europejski, m.in. poprzez wprowadzenie szerokiej definicji profilowania oraz zakazu profilowania opartego na jakichkolwiek danych wrażliwych.

Nasze władze nie sprzeciwiają się wprowadzeniu w projekcie rozporządzenia odrębnej kategorii tzw. danych spseudonimizowanych (czyli takich zbiorów, w których dane bezpośrednio identyfikujące osobę zastąpiono „pseudonimem” np. numerem). Jednak podobnie jak organizacje obywatelskie podkreślają, że takie informacje wciąż pozostają danymi osobowymi i muszą podlegać takim samym standardom ochrony. Kolejna uwaga, którą zawarło w swoich instrukcjach MAiC, to krytyka zbyt dużej liczby tzw. aktów delegowanych, czyli postanowień, które pozostawiają doprecyzowanie wielu punktów rozporządzenia Komisji Europejskiej. Na ryzyko z tym związane zwracały uwagę właściwie wszystkie środowiska – i dla obywateli, i przedsiębiorców ważna jest pewność co do prawa, którą mogą podważyć arbitralne decyzje Komisji Europejskiej.

Najpoważniejsze rozbieżności między stanowiskiem polskiego rządu i organizacji obywatelskich dotyczą tzw. prawnie uzasadnionego interesu administratora – czyli jednej z podstaw przetwarzania danych. Naszym zdaniem ten termin jest niejasny i stwarza duże pole do nadużyć. W związku z tym postulowaliśmy jego doprecyzowanie i dodanie dodatkowych gwarancji chroniących obywateli przed arbitralnymi decyzjami administratorów danych. Instrukcje MAiC są w tym punkcie dużo mniej radykalne – postulują tylko ograniczenie możliwości powołania się na tę podstawę przetwarzania danych do administratora, któremu sami powierzyliśmy nasze dane (niektóre rządy proponują przyznanie takiego prawa „podmiotom trzecim”, czyli różnym kontrahentom administratora). Z drugiej strony polski rząd sprzeciwia się dalszemu przetwarzaniu danych, jeżeli cel tego przetwarzania nie jest zgodny z celem pierwotnym. W tym punkcie ponownie wsłuchał się w głos organizacji obywatelskich.

Punktów zapalnych związanych z nowym kształtem przepisów o ochronie danych osobowych jest więcej i nie w każdym polski rząd zabiera stanowisko tak korzystne z perspektywy obywateli. A ponieważ do końca negocjacji w Radzie UE jest jeszcze daleko, wszystko może się zmienić – także kierunek polskich instrukcji negocjacyjnych. Dlatego dalej obserwujemy ten proces, mając nadzieję, że rząd nie zmieni kursu i poprze rozwiązania gwarantujące wysoki poziom ochrony naszych danych w cyfrowym świecie.

Jędrzej Niklas, Katarzyna Szymielewicz

Poniżej upubliczniamy instrukcje negocjacyjne udostępnione przez MAiC:

Instrukcja 27-28.06. 2012 r. [PDF]

Instrukcja 11-12.07. 2012 r. [PDF]

Instrukcja 03-04.09. 2012 r. [PDF]

Instrukcja 25.09. 2012 r. [PDF]

Instrukcja 22-23.10. 2012 r. [PDF]

Instrukcja 14-15.11 2012 r. [PDF]

Instrukcja 08-09.01 2013 r. [PDF]

Instrukcja 21.01 2013 r. [PDF]

Instrukcja 29-30.01 2013 r. [PDF]

Instrukcja 12-13.02 2013 r. [PDF]

Instrukcja 13-14.03 2013 r. [PDF]

Instrukcja 27.03 2013 r. [PDF]

Instrukcja 9-11.04 2013 r. [PDF]

Intrukcja 24.04 2013 r. [PDF]

Instrukcja 29-30.04 2013 r. [PDF]

Polecamy:

Panoptykon: Aby prywatność była lepiej chroniona - 6 postulatów Fundacji Panoptykon

Panoptykon: Jak powstaje prawo o ochronie danych osobowych? (infografika)

Newsletter

Otrzymuj informacje o działalności Fundacji

Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje danejakie jeszcze prawa ci przysługują, w Polityce prywatności.