Półprzepuszczalny standard ochrony danych

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego przegłosowała nową wizję przepisów o ochronie danych osobowych, które mają obowiązywać bezpośrednio w całej UE. Efekt: z jednej strony mocne fundamenty i spójne zasady, które zagwarantują taki sam standard dla wszystkich firm działających na europejskim rynku (także amerykańskich); z drugiej, kilka poważnych wyłomów, które z czasem mogą doprowadzić do erozji całej konstrukcji.

We wczorajszym głosowaniu eurodeputowani od lewa do prawa okazali się zaskakująco zgodni: wszystkie wynegocjowane kompromisy zostały przyjęte, a niezwykle złożony projekt rozporządzenia (prawie 100 artykułów, 4000 poprawek) przegłosowany w zaledwie godzinę. Najwyraźniej kilka miesięcy bardzo intensywnych prac nad tym pakietem zrobiło swoje – zmiękczając i zbliżając stanowiska, które na początku procesu wydawały się skrajnie różne. Efekt końcowy rzeczywiście jest kompromisowy, co jednak nie znaczy, że jest dobry.

Udało się zachować najważniejsze „zdobycze” z propozycji Komisji Europejskiej, w tym:

• zasadę, że zgoda na przetwarzanie danych jest ważna tylko, jeśli została wyrażona w sposób wyraźny (explicit);
• szeroką, elastyczną definicję danych osobowych, zgodnie z którą danymi jest wszystko, co pozwala na choćby pośrednią identyfikację osoby; przy czym nawet wyróżnienie osoby z tłumu (single out), np. za pomocą tymczasowego identyfikatora w Internecie, będzie traktowane jak pośrednia identyfikacja; 
• zasadę, że te same reguły będą się stosować do wszystkich firm działających na obszarze Unii Europejskiej, bez względu na ich siedzibę i pochodzenie;
• wysokie sankcje finansowe – do 5% rocznego, globalnego obrotu – którymi organy ochrony danych osobowych będą w stanie zdyscyplinować nawet największe korporacje;
• nowe uprawnienia osób, których dane są przetwarzane, w szczególności prawo do przeniesienia danych osobowych, które sami „włożyliśmy” do serwisu internetowego lub inaczej powierzyliśmy firmie, co może pozytywnie wpłynąć na konkurencję np. na rynku portali społecznościowych.

Pod wpływem afery PRISM eurodeputowani przegłosowali też przywrócenie słynnego już artykułu 43a, który z projektu Komisji Europejskiej został wykreślony pod presją dyplomacji USA. Ten przepis ma utrudnić przekazywanie danych osobowych poza granice UE na żądanie organów innych państw, nawet policji czy sądów. Jedyną „egzekwowalną” (enforceable) podstawą dla przekazania danych w takiej sytuacji ma być umowa międzynarodowa, przewidująca odpowiednie gwarancje ochrony prywatności. Jeśli firma otrzyma żądanie przekazania danych od jakichkolwiek organów spoza Unii Europejskiej, będzie musiała o tym powiadomić nadzorujący ją organ ochrony danych (odpowiednik polskiego GIODO w danym kraju). To w jego gestii będzie podjęcie decyzji, czy dane mogą zostać przekazane.

W ramach kompromisu przegłosowano kilka wyłomów ze spójnej konstrukcji rozporządzenia, które mogą osłabić obowiązujący standard ochrony danych.

Dlaczego w takim razie jest źle, skoro jest tak dobrze? W ramach kompromisu eurodeputowani przegłosowali też kilka wyłomów ze spójnej konstrukcji rozporządzenia, które – odpowiednio wykorzystane – mogą wręcz osłabić obowiązujący standard ochrony danych w Unii Europejskiej.

Najważniejsze słabe punkty to:

• Dopuszczenie przetwarzania danych bez zgody osoby, której to dotyczy, w oparciu o tzw. uzasadniony interes administratora; interes, który definiuje sam administrator. Jakby tego było mało, eurodeputowani dopisali w tym przepisie tzw. strony trzecie, czyli inne firmy, z którymi współpracuje administrator naszych danych. W efekcie nie będziemy mieli kontroli nad tym, kto i w jakim celu przetwarza nasze dane, tak długo, jak da się to obronić jako czyjś „uzasadniony interes”, zgodny z naszymi „racjonalnymi oczekiwaniami”. Oczywiście, nasze oczekiwania również zdefiniuje troskliwy administrator.

• Uznanie, że profilowanie, czyli przewidywanie naszych cech i zachowań w oparciu o gromadzone dane, nie zawsze stanowi „istotną” ingerencję w nasze prawa (w szczególności nie stanowi jej, jeśli wykorzystuje tylko dane spseudonimizowane), a więc nie zawsze musi podlegać ograniczeniom. Dlatego profilowanie będzie co do zasady dopuszczalne, chyba że aktywnie się temu sprzeciwimy. Natomiast udało się uzyskać twardy zakaz profilowania, które ma skutek dyskryminujący, i konkretne ograniczenia w przypadku środków opartych o profilowanie, które wywierają skutek prawny lub mają istotny wpływ na podmiot danych.

Mimo że wczorajsze głosowanie odbyło się tylko na poziomie komisji (więc jeszcze nie całego Parlamentu), ma kluczowe znaczenie dla dalszych losów reformy prawa o ochronie danych osobowych. Komisja LIBE wyznaczyła ramy, w których od tej pory będzie się musiał poruszać Parlament, a w szczególności poseł sprawozdawca – Jan Philipp Albrecht – który za chwilę usiądzie do negocjacji z Komisją Europejską i Radą UE.

Z dwóch możliwych ścieżek proceduralnych eurodeputowani, zapewne pod presją czasu i nadchodzących wyborów (maj 2014), wybrali tę krótszą: tzw. trialog, czyli negocjacje wszystkich zaangażowanych instytucji, rozpocznie się już teraz, a dopiero jego efekty trafią na głosowanie plenarne w Parlamencie Europejskim. To kontrowersyjna decyzja, bo „krótka ścieżka”, ze względu na ograniczoną przejrzystość procesu (negocjacje toczą się za zamkniętymi drzwiami), jest uważana za mniej demokratyczną. Jan Philipp Albrecht zapowiada jednak, że wszystkie stanowiska będą publikowane na bieżąco. Trzymamy za słowo, bo będziemy się temu procesowi bardzo uważnie przyglądać.

Katarzyna Szymielewicz

Polecamy:

Panoptykon: Jak powstaje prawo o ochronie danych osobowych? Infografika

Panoptykon: Prywatność w pięciu smakach, czyli ABC reformy ochrony danych

Panoptykon: Dlaczego walczymy o lepsze prawo chroniące prywatność? Jest aż 10 powodów