Panoptykon i Fundacja Helsińska występują w sprawie reformy zasad ochrony prywatności w UE

Fundacja Panoptykon wspólnie z Helsińską Fundacją Praw Człowieka skierowała do Ministerstwa Spraw Wewnętrznych i Administracji pismo z uwagami do stanowiska rządu ws. Komunikatu Komisji Europejskiej dotyczącego "Całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej".

Konsultacje komunikatu Komisji stanowią część procesu przygotowania zmian w Dyrektywie 95/46/WE, która kompleksowo reguluje zasady ochrony danych osobowych na terenie Unii Europejskiej. Obie organizacje zwracają uwagę na kilka podstawowych problemów:

• konieczność zapewnienia, że zasady dotyczące ochrony danych będą wdrażane we wszystkich państwach członkowskich,
• potrzebę uwzględnienia w procesie zmian wyzwań związanych z rozwojem nowoczesnych technologii (m.in: portale społecznościowe, definicja "danych osobowych" w odniesieniu do takich pojęć jak: adres IP i dane geolokalizacyjne),
• nieuwzględnienie w zaprezentowanym podejściu niektórych zagadnień związanych z ochroną danych osobowych (monitoring wizyjny, ochrona danych biometrycznych).

W naszym stanowisku przekazanym MSWiA piszemy:

Zapowiedź Komisji w sprawie reformy zasad ochrony danych osobowych uważamy za ważny krok w kierunku wzmocnienia ochrony prywatności obywateli Unii Europejskiej („UE”). Cieszy nas, że Komisja dostrzegła największe wyzwania dla ochrony prywatności w UE oraz że deklaruje, iż będzie realizować zaplanowaną strategię w oparciu o prawa podstawowe zagwarantowane w art. 8 Europejskiej Konwencji Praw Człowieka oraz art. 7 i 8 Karty Praw Podstawowych. Zgadzamy się, że realizacja przedstawionych przez Komisję założeń jest niezbędna, aby zapewnić skuteczność realizacji zasad ochrony danych osobowych zawartych w dyrektywie 95/46/WE, która obecnie nie obejmuje swoim zakresem wielu istotnych aspektów społeczeństwa informacyjnego i pozostaje nieskuteczna w kontekście zmian, jakie wprowadził Traktat Lizboński (art. 16 TFUE).

I. Największe wyzwania dla reformy zasad ochrony danych osobowych

W naszej opinii, wymaga podkreślenia, że projektowane przez Komisję założenia dla nowego systemu ochrony danych osobowych w UE powinny opierać się na utrwalonych już zasadach, które wprowadziła dyrektywa z 1995 r. Pierwszym zadaniem nowej regulacji powinno być, zatem położenie nacisku na zapewnienie skutecznego wdrożenia istniejących zasad we wszystkich państwach członkowskich. Obecnie stopień realizacji podstawowych zasad ochrony danych osobowych jest ewidentnie niewystarczający, co przejawia się np. w iluzorycznej kontroli osób, których dane dotyczą, nad zakresem i celami przetwarzania ich danych czy braku skutecznej kontroli organów ochrony danych osobowych nad przekazywaniem danych przez ich administratorów do krajów trzecich.

Kolejnym zadaniem powinno być przystosowanie już obowiązujących reguł do nowych okoliczności, wśród których za najbardziej istotne uważamy:

1)     rozwój nowych technologii;

2)     objęcie regulacją nowych obszarów działań UE (niegdyś należących do tzw. III filaru).

Uważamy, że Rząd powinien zwrócić szczególną uwagę na powyższe aspekty w dalszym toku prac nad nowelizacją przepisów o ochronie danych osobowych, które będzie prowadzić Komisja.

Ad. 1 Kluczowe znaczenie dla ochrony danych osobowych w kontekście rozwoju komunikacji internetowej ma wzmocnienie przejrzystości i kontroli nad przetwarzaniem danych. Niezbędne wydaje się wypracowanie nowej siatki pojęć odpowiadającej nowym podmiotom i ich rolom oraz nowym zjawiskom, które pojawiają się w społeczeństwie informacyjnym. W świetle rozwoju tzw. sieci 2.0, która umożliwia umieszczanie i modyfikowanie treści on line przez użytkownika Internetu (np. w ramach portalu społecznościowego, w którym sam użytkownik zarządza swoim profilem i może przetwarzać dane innych osób), dotychczasowy podział ról na „administratora danych” i „osobę, której dane dotyczą” nie znajduje zastosowania. Należy również zapobiegać wykorzystywaniu przez prywatnych usługodawców internetowych istniejących luk w prawie w celu uniknięcia realizacji obowiązków wynikających z przepisów o ochronie danych osobowych. Taki stan rzeczy pozbawia należytej ochrony użytkowników prowadzonych przez nich serwisów.

W ramach niezbędnego dostosowania dyrektywy z 1995 r. do realiów świata cyfrowego, niezbędna jest redefinicja pojęcia „danych osobowych”. Obecnie obowiązująca definicja, która pozwala na elastyczną interpretację tego terminu, doprowadziła do bardzo zróżnicowanej wykładni w państwach członkowskich, zapewniając jednocześnie nierówny poziom ochrony w UE. Warto chociażby rozstrzygnąć na poziomie unijnym, w jakich okolicznościach najczęściej budzące wątpliwości dane takie jak: adres IP, dane geolokalizacyjne, czy historia przeglądanych stron internetowych powinny być jako uznawane za dane osobowe. Innym zagadnieniem wzbudzającym istotne wątpliwości są warunki dla realizacji przesłanki uzyskania zgody na przetwarzanie danych osobowych. W przypadku wielu serwisów gromadzących dane o użytkownikach (podobnie, jak w przypadku niektórych regulacji krajowych, np. Wielkiej Brytanii) zgoda ta może być dorozumiana, a w praktyce często wyrażana w sposób nieświadomy. Trudnym problemem, który należy rozwiązać jest także zagadnienie jurysdykcji nad serwisami internetowymi prowadzonymi przez usługodawców z krajów trzecich, oferujących swoje usługi obywatelom UE. Obecnie nie są oni związani zasadami ochrony danych osobowych w UE, co wpływa na mniejszą przejrzystość procesu przetwarzania danych i brak kontroli nad sposobem ich przechowywania oraz ograniczoną możliwość dochodzenia swoich praw przez obywateli UE w stosunku do tych podmiotów. Warunkiem skuteczności nowych regulacji będzie skuteczne narzucenie ich przestrzegania przez podmioty spoza UE oraz realna możliwość pociągnięcia ich do ewentualnej odpowiedzialności.

            Ad. 2 Art. 16 TFUE obliguje do tego, aby w ramy unijnej regulacji o ochronie danych osobowych włączyć obszar działalności UE prowadzonej do niedawna w ramach III filaru, tj. współpracę policyjną i sądową w sprawach karnych. Naszym zdaniem państwa członkowskie powinny dążyć do jak najszybszego wdrożenia standardów ochrony danych osobowych w tej sferze. Jednocześnie uważamy, że członkowie UE powinni wywrzeć nacisk na Komisję, aby nowe proponowane przez nią rozwiązania prawne z różnych dziedzin były zgodne z duchem sformułowanych założeń nowego systemu ochrony danych osobowych. Postulat ten wydaje się szczególnie aktualny w kontekście trwającej właśnie rewizji dyrektywy o retencji danych (2006/24/WE) czy planowanego określenia kryteriów zawierania porozumień z krajami trzecimi umożliwiającymi przepływ danych obywateli UE podróżujących do tych krajów (PNR – „Passengers Names Record” data), która została skrytykowana przez organizacje pozarządowe i negatywnie zaopiniowana Grupę Roboczą Artykułu 29 ze względu na ryzyko nieproporcjonalnej ingerencji w prywatność obywateli.

II. Skuteczność nowego systemu ochrony danych

Komisja sugeruje w komunikacie zwiększenie efektywności systemu ochrony danych osobowych i zapewnienie jednolitości w jego wdrożeniu przez wszystkie państwa UE poprzez wzmocnienie pozycji krajowych organów ochrony danych. W naszej opinii niezwykle istotne pozostają działania zmierzające do zapewnienia niezależności organów zajmujących się ochroną danych osobowych. Działania te powinny być zgodne z zaleceniami Agencji Praw Podstawowych Unii Europejskiej tak, aby wypełniały postanowienia artykułu 8 ust. 3 Karty Praw Podstawowych.

Jednocześnie w komunikacie Komisja sugeruje zwiększenie efektywności systemu ochrony danych osobowych poprzez podwyższenie sankcji grożących za złamanie planowanej regulacji. Doświadczenia związane z implementacją obowiązującej dyrektywy wskazują jednak, że proces zharmonizowania europejskich przepisów przy użyciu tego narzędzia nie powiódł się. Świadczą o tym choćby toczące się postępowania przez Europejskim Trybunałem Sprawiedliwości przeciwko Luksemburgowi, Austrii czy Niemcom za niewłaściwą implementację dyrektywy. W związku z powyższym warto być może rozważyć wprowadzenie nowego systemu ochrony danych osobowych – nie w postaci znowelizowanej dyrektywy, ale za pomocą bardziej radykalnego narzędzia, tj. w formie rozporządzenia.

Ponadto, w kontekście wymogu zapewnienia większej skuteczności nowym regulacjom, nasze wątpliwości wzbudził duży nacisk, jaki Komisja położyła w komunikacie na rozwiązania samoregulacyjne. Samoregulacja nie może być samoistnym środkiem rozwiązania problemów prawnych. Aby była skuteczna, powinna być obwarowana mechanizmami nadzorującymi. Brak zapewnienia odpowiedniego nadzoru nad samoregulacją (np. w toku kontroli sprawowanej przez Grupę Roboczą Artykułu 29 czy inny niezależny organ) może prowadzić do tego, że podmioty prywatne, pod jej osłoną, w istocie będą realizować politykę odbiegającą od zasad właściwej ochrony danych osobowych.

III. Szerszy zakres planowanych regulacji

Chcielibyśmy również, aby nowa regulacja dotycząca ochrony danych osobowych objęła inne ważne zagadnienia ochrony prywatności, które dotychczas nie zostały uwzględnione w komunikacie Komisji. KE pominęła, istotną dla ochrony prywatności obywateli, kwestię regulacji monitoringu wizyjnego, tj. danych gromadzonych za pomocą kamer instalowanych zarówno przez podmioty publiczne, jak i prywatne. Poszczególne kraje członkowskie różnią się od siebie w zakresie prawnego uregulowania funkcjonowania monitoringu, w większości jednak brakuje kompleksowej regulacji wykorzystania tego narzędzia. Brak odpowiednich ram prawnych dotyczy również nowych form wykorzystania nagrań w Internecie, mimo że problem staje się coraz bardziej aktualny, a jednocześnie wzbudza społeczne kontrowersje (dobrym przykładem jest usługa Google Street View, która po protestach obywateli została w kilku państwach członkowskich poddana kontroli i ograniczeniom). Wprowadzenie problematyki monitoringu do przygotowywanej przez Komisję regulacji mogłoby stać się bodźcem dla państw członkowskich do poddania tej sfery regulacjom prawnym, a także harmonizacji istniejących przepisów.

Inną kwestią, którą pomija komunikat Komisji jest zagadnienie ochrony danych biometrycznych, które – jak się wydaje – należy uregulować choćby na poziomie definicji. Uważamy ponadto, że dyskusja nad nowymi regulacjami nie powinna toczyć się w oderwaniu od szczegółowych zagadnień dotykających problemu ochrony danych osobowych, takich jak choćby retencja danych telekomunikacyjnych. Retencja uznawana jest za wiele organizacji społecznych za poważne zagrożenie dla prawa do prywatności obywateli UE, dlatego nie powinna zostać pominięta w dyskusji nad zmianą dyrektywy o ochronie danych osobowych, nawet jeśli jest uregulowana w odrębnym akcie prawnym.

IV. Wspólne działanie na rzecz podnoszenia standardów ochrony danych osobowych

Pożądana wydaje nam się także większa koordynacja działań na rzecz nowych rozwiązań w zakresie ochrony danych osobowych. Obecnie, oprócz Komisji Europejskiej, niezależne prace nad nowymi regulacjami prowadzą na szczeblu krajowym niektóre państwa członkowskie (w tym Polska), a także eksperci Rady Europy nad nowelizacją Konwencji nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. 16 grudnia 2010 r. odbędzie się debata, która ma na celu zapoczątkowanie w Polsce kompleksowej publicznej dyskusji nad aktualnymi potrzebami ochrony prywatności (m.in. w kontekście nowoczesnych technologii), która zakończyć ma się nowelizacją polskiej ustawy o ochronie danych osobowych. Uważamy, że bardzo ważne jest, aby polski Rząd śledził uważnie przebieg tej debaty i na bieżąco komunikował wnioski z rozpoczynającej się niebawem dyskusji instytucjom UE, które być może wpłyną na kształt przyszłej dyrektywy.