Porozumienie krok bliżej, jednak kosztem standardu ochrony danych

Artykuł

Zamrożone na poziomie Rady Europejskiej prace nad reformą przepisów o ochronie danych osobowych drgnęły. Na ostatnim spotkaniu Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA) udało się osiągnąć porozumienie w jednej z kluczowych kwestii: regulacji transferów danych do krajów spoza terytorium Unii Europejskiej. Przedstawiciele rządów zgodzili się również, że przedsiębiorstwa spoza UE powinny podlegać europejskim regulacjom, jeśli działają na jej terytorium. Z jednej strony kompromis wypracowany przez ministrów dobrze wróży szansom na przyjęcie nowego rozporządzenia. Z drugiej – jeśli porozumienie dotyczące transferów danych osobowych wyznaczy dalszy kierunek prac nad całą regulacją, będziemy mieli poważny problem.

Zasadniczym celem reformy ochrony danych osobowych w Unii Europejskiej miało być wzmocnienie i ujednolicenie norm ochrony danych wobec wzrastających możliwości technologicznych ich zbierania oraz przetwarzania. Cel ten z pewnością nie zostanie zrealizowany, jeśli nowe prawo europejskie nie narzuci firmom spoza Unii Europejskiej takich samych wymogów jak te nałożone na przedsiębiorstwa z UE i nie zapobiegnie swobodnym transferom danych do krajów, które nie gwarantują adekwatnej ochrony prawnej. Cóż z tego, że nasze dane będą bezpieczne w Unii, jeżeli z łatwością trafią do firm np. z USA, które mają zupełnie inną filozofię regulacyjną („co nie jest zakazane, jest dozwolone”)? Podobnie rzecz ma się z przekazywaniem danych na wniosek organów innego państwa. Dane nie powinny być bezwarunkowo przekazywane, jeżeli stwarza to ryzyko masowej inwigilacji lub innych nadużyć niezgodnych z europejską koncepcją prawa do prywatności.

Niestety, wypracowany przez Radę Europejską kompromis w sprawie transferów danych do krajów trzecich nie uwzględnia tych zagrożeń i otwiera drogę do dość swobodnego przepływu danych – zarówno w celach komercyjnych, jak i w ramach działań organów państwa. Uzgodnione rozwiązania pozwalają na przesył danych bez konieczności wskazania konkretnej podstawy prawnej, np. zgody lub umowy. Wystarczy uzasadniony interes administratora – a ten może być rozumiany bardzo szeroko.

Po zmianach wprowadzonych na ostatnim etapie prac w Radzie kodeksy postępowania i mechanizmy certyfikacji podmiotów spoza UE nie wymagają już akceptacji organów ochrony danych osobowych. W ten sposób wracamy do punktu wyjścia: wystarczy deklaracja administratora danych spoza UE, że jego działanie jest zgodne z europejskimi wymogami. A z doświadczeń z Safe Harbour wiemy, że w wielu przypadkach tak faktycznie nie jest. Stanowisko polskich władz w tej sprawie jest ambiwalentne. Minister Trzaskowski wprawdzie poparł wypracowane przepisy, ale jednocześnie Polska przedstawiła deklarację, w której wskazuje na słabości rozdziału dotyczącego transferów.

Obok uzgodnienia generalnego podejścia do transferów danych oraz potwierdzenia terytorialnego zakresu przyszłych unijnych regulacji uwagę Rady zaprzątała również tzw. zasada one stop shop. Po jej przyjęciu administratorzy danych będą podlegać nadzorowi tylko jednego organu odpowiedzialnego za ochronę danych osobowych, nawet jeśli prowadzą działalność w kilku państwach członkowskich. Wprowadzenie tej zasady ma ograniczyć biurokrację i ułatwić obywatelom dochodzenie swoich praw.

Ostatnie spotkanie Rady JHA przybliża nas do przyjęcia nowej regulacji chroniącej dane osobowe, ale stwarza też poważne ryzyko obniżenia standardu, który został wypracowany przez Komisję Europejską, a następnie podtrzymany przez Parlament. Dziurawe przepisy o ochronie danych osobowych – szczególnie w relacjach z amerykańskimi firmami i organami władzy – raczej nam nie pomogą.

Anna Walkowiak, Katarzyna Szymielewicz

Więcej na ten temat:

Reforma europejskiego prawa o ochronie danych osobowych. Czym jest – Dlaczego jest ważna – Jakie budzi reakcje

Prywatność 2014: krajobraz po bitwie

Safe Harbour – czyli jak (nie)bezpieczne są dane Europejczyków w Stanach Zjednoczonych

 

 

 

Dodaj komentarz