Relacja z konferencji „Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym”

Artykuł

21 marca 2011 r. na Uniwersytecie Warszawskim odbyła się konferencja pt. Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym. Głos zabrali zarówno przedstawiciele doktryny, jak i reprezentanci przedsiębiorców, który przedstawili praktyczne spojrzenie na problematykę ochrony prywatności w stosunkach gospodarczych. 

Specyfika ochrony danych osobowych w ujęciu rynkowym wyraża się przede wszystkim w tym, że są one dziś przedmiotem obrotu gospodarczego. Bazy danych klientów mają wymierną wartość materialną, a przedsiębiorcy często zaliczają je do ważniejszych aktywów prowadzonej działalności.

Firmy chcą wiedzieć coraz więcej o klientach i kontrahentach, głównie, aby minimalizować ryzyko gospodarcze, ale także – jak twierdzą – aby chronić siebie i usługobiorców przed nadużyciami (np. kradzieżą tożsamości w przypadku umowy kredytowej). Z drugiej strony, obywateli chronią ustawowe standardy przetwarzania danych osobowych (np. tzw. obowiązek informacyjny, czy też obowiązek uzyskania zgody na przetwarzanie danych), wynikające z konstytucyjnie zagwarantowanego prawa do prywatności. (oraz ustawy o ochronie danych osobowych) Ich realizacja generuje jednak po stronie pracodawców określone koszty, co powoduje, że gwarancje te często nie są przestrzegane.

Publikujemy podsumowanie najciekawszych wątków poruszanych w trakcie konferencji, m.in. na temat roli RPO w ochronie danych w obrocie gospodarczym, orzecznictwa ETS dotyczącego tej problematyki, niebezpieczeństw dla prywatności wynikających z profilowania użytkowników Internetu, czy kwestii wyrażenia i odwołania zgody konsumentów na przetwarzanie ich danych przez przedsiębiorców w celach reklamowych.

Warto zaznaczyć jednocześnie, że konferencja wpisała się w cykl kilkunastu spotkań organizowanych na przestani 2010 i 2011 r., poświęconych planowanej reformie ustawy o ochronie danych osobowych. Następna konferencja na temat nowoczesnych technik nadzoru nad pracownikami odbędzie się 14 kwietna 2011 r. na Akademii Leona Koźmińskiego. 

Praktyka RPO w zakresie ochrony danych osobowych w obrocie gospodarczym

Konferencja rozpoczęła się od wystąpienia przedstawiciela Biura Rzecznika Praw Obywatelskich dra hab. Mariusza Jagielskiego. W rzeczywistości do Rzecznika trafia niewiele spraw dotyczących problematyki ochrony danych osobowych w ogóle. W 2010 r. było ich zaledwie 57, czyli ok. 0,2% wszystkich kierowanych do RPO wniosków (w sumie wpłynęło ich 26 575). Spośród wskazanych 57 spraw jedynie niewielka część dotyczyła stosunków gospodarczych, nie prowadzono jednak osobnych statystyk dla tej kategorii. Jagielski podkreślał, że ponieważ Rzecznik nie może kierować swoich wystąpień bezpośrednio do podmiotów prywatnych, rola RPO w takich sprawach sprowadza się jedynie do funkcji aktywizacyjnej – tj. mobilizowania odpowiedzialnych organów publicznych do podjęcia określonej interwencji. Jako przykład, Jagielski podał przypadek PGNiG, które przy okazji aktualizacji umowy o dostawę gazu żądało od klientów podania ogromnej ilości danych, pod rygorem nieprzedłużenia umowy. RPO skierował pismo do Prezesa Urzędu Regulacji Energetyki oraz GIODO i pod wpływem ich nacisków treść formularzy umownych została zmieniona.

Zagrożenia związane z profilowaniem konsumentów

Profilowanie jest obecnie narzędziem powszechnie stosowanym przez podmioty gospodarcze w celach marketingowych. Odbywa się na dwóch poziomach. Profile tworzy się dla grupy anonimowych osób, zestawiając jedynie ich cechy, w oderwaniu od konkretnych danych osobowych. Można jednak tworzyć profile także w sposób zindywidualizowany (profil danego klienta), na który następnie „nakłada się” się profile grupowe. Pozwala to precyzować preferencje określonych osób i docierać przedsiębiorcom do klientów potencjalnie zainteresowanych ich konkretną ofertą (profil jednego użytkownika staję się podstawą do oceny następnych: „jeśli bowiem dana osoba spełnia cechy A B C, to powinna spełniać także cechy D E F”). Profile często powstają w oparciu o jednostkowe informacje umieszczone w różnych miejscach w sieci przy użyciu automatycznych technik przetwarzania danych.

Z procesem profilowania wiążę się wiele wątpliwości, które na konferencji przedstawił Generalny Inspektor  Ochrony Danych Osobowych dr Wojciech Wiewiórowski. Podstawowym zagrożeniem wynikającym z profilowania jest ryzyko dyskryminacji. Istotnym problemem jest również brak kontroli nad procesem profilowania podmiotów, których dane są w ten sposób przetwarzane, zwłaszcza, gdy proces ten opiera się na ogólnodostępnych danych, które np. dobrowolnie udostępniamy o sobie w serwisach społecznościowych.

Szczególne wątpliwości budzi w tym kontekście realizacja obowiązku informacyjnego w przypadku profilowania. Zdecydowane stanowisko zajął w tej kwestii GIODO, opowiadając się za tzw. modelem opt in, który zakłada. że profilowanie powinno być zawsze uzależnione od uprzedniej zgody osoby, której dane dotyczą. Zdaniem GIODO, zgoda ta nie może być wyrażana w sposób domyślny (tj. niedopuszczalne jest założenie, że jeśli publikuję określone informację w portalu społecznościowym, automatycznie godzę się na to, aby mogły zostać wykorzystane przez marketerów). Obecnie wielu przedsiębiorców nie realizuje jednak nawet modelu opt out, który przewiduje poinformowanie przez przedsiębiorcę o procesie profilowania i umożliwienie osobie zainteresowanej zgłoszenia sprzeciwu.

GIODO podkreślił, że na potrzebę prawnego uregulowania kwestii profilowania zwrócił także uwagę Komitet Ministrów Rady Europy wydając w 2010 r. rekomendację w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili. Rada Europy uznała profilowanie za jedno z największych współczesnych wyzwań dla bezpieczeństwa danych osobowych, które wymaga kompleksowej zmiany spojrzenia na ochronę prywatności. Dotychczas ochrona danych osobowych była ściśle związana z ochroną określonych dokumentów (także w formie cyfrowej). W przypadku profilowania kluczowa jest kwestia bezpieczeństwa samego procesu przetwarzania. Należy zatem wprowadzić obok pojęcia danych wrażliwych, także pojęcie „wrażliwych procesów przetwarzania danych” (obwarowanych szczególnymi gwarancjami ochrony) i uznać profilowanie właśnie za taki proce.

Szczegółową wypowiedź GIODO na temat profilowania można przeczytać w wywiadzie, którego wczoraj udzielił Dziennikowi Gazecie Prawnej.

Ochrona klienta, czy szukanie na niego „haków”? Przetwarzanie danych w praktyce gospodarczej

Wystąpienia przedstawicieli firm telekomunikacyjnych, ubezpieczeniowych, czy sektora finansowego potwierdziły, że profilowanie jest powszechną praktyką marketingową. Przekonywali oni, że narzędzia te są niezbędne nie tylko, aby lepiej dostosować ofertę do klienta, ale także dlatego, że przedsiębiorca musi dysponować określonym systemem ochronnym przed nadużyciami ze strony nieuczciwych usługobiorców oraz dla pewności i rzetelności obrotu gospodarczego. Przykładowo, banki powinny mieć szybką możliwość zweryfikowania prawdziwości danych osoby, która chciałaby zaciągnąć zobowiązanie kredytowe, choćby dlatego, aby chronić inne osoby przez kradzieżą tożsamości (w tym celu Krzysztof Markowski z Biura Informacji Kredytowej postulował m.in. bezpośredni dostęp banków on-line do bazy PESEL i innych publicznych baz danych).

Przedsiębiorcy zapewniali, że wrażliwość ich środowiska na kwestie ochrony prywatności wzrasta, zwiększa się także świadomość klientów (coraz częściej nie godzą się na przetwarzanie ich danych dla celów marketingowych). Z drugiej strony, Dariusz Markowicz, reprezentujący sektor ubezpieczycieli, przedstawił daleko sięgające w sferę prywatności narzędzia służące gromadzeniu informacji o ubezpieczonych, które planuje wprowadzić jego firma w zakresie ubezpieczeń motoryzacyjnych. Wymienił m.in. tworzenie profili geolokalizacyjnych (pozwalających stwierdzić, czy kierowca używa samochodu w Polsce, czy np. we Francji, co wpływa na wartość ewentualnie wyrządzonej szkody), instalowanie u ubezpieczonych, oprócz GPS-u, innych urządzeń pozwalających mierzyć parametry samochodu (aby dostosować wysokość składki do „indywidualnego stylu jazdy”), czy też badanie nawyków konsumenckich, przez zaproszenie klientów do udziału w portalach społecznościowych ubezpieczycieli (tak, aby sami dostarczali informacje o sobie, na podstawie której będzie wyliczana składka ubezpieczeniowa).

Wiele miejsce poświęcono zagadnieniu zgody konsumentów na przetwarzanie danych osobowych i jej odwoływalności w stosunkach gospodarczych. Dla przedsiębiorcy podstawą przetwarzania danych klienta jest co do zasady zawarta z nim umowa, a nie zgoda. Na podstawie art. 23 par. 1 ust. 2 ustawy o ochronie danych osobowych przedsiębiorca może przetwarzać dane osobowe usługobiorców bez ich zgody, o ile mieści w ramach zawarcia i wykonania zawiązanej umowy.

Zgoda konieczna jest natomiast, jeśli przedsiębiorca chciałby przetwarzać dane klienta poza podstawowym zakresem. Szczegółowo zagadnienie to regulują ustawy szczególne, takie jak ustawa o świadczeniu usług drogą elektroniczną, prawo bankowe, czy prawo telekomunikacyjne (zgody wymaga np. udostępnianie danych innym podmiotom w celach marketingowych czy przesyłanie informacji handlowej e-mailem).

Ostatnia nowelizacja ustawy o ochronie danych osobowych wyklarowała wątpliwości co do tego, czy raz wyrażoną zgodę można odwołać. Kontrowersje wciąż wzbudza jednak forma cofnięcia zgody, której ustawodawca wprost nie uregulował. Omawiający to zagadnienie na konferencji dr hab. Paweł Fajgielski opowiedział się za rozwiązaniem, aby wycofanie zgody następowało w takiej samej formie jak jej udzielenie (jeśli przedsiębiorca udostępnia na stronie formularz służący do wyrażenia zgody, powinien zamieścić także formularz odwołania zgody – na razie jest to bardzo rzadka praktyka).

Zgodę można odwołać w każdym czasie, bez uzasadnienia i bez konsekwencji dla umowy o świadczenie główne (cofnięcie zgody na przetwarzanie danych nie może być powodem rozwiązania umowy np. o abonament telefoniczny). Problem pojawia się, gdy w zamian za wyrażenie zgody przedsiębiorca oferuje określony bonus, np. 20 darmowych minut (a jeśli cofniemy zgodę po ich wykorzystaniu?). Jasne jest natomiast, że jeśli dana usługa jest darmowa i nasza zgoda na przetwarzanie danych traktowana jest jako świadczenie wzajemne, druga strona może uzależnić spełnienie świadczenia od jej wyrażenia.

Ochrona danych osobowych w obrocie gospodarczym w świetle orzecznictwa ETS

Orzecznictwo Europejskiego Trybunału Sprawiedliwości dotyczące zagadnienia ochrony danych osobowych przedstawił główny organizator konferencji z ramienia UW – dr Arwid Mednis. Zaznaczył, że nie jest ono szczególnie bogate i odnosi się raczej systemu publicznego (np. gwarancji gromadzenia danych w ramach Systemów Informacyjnych Schengen), aniżeli stosunków gospodarczych. Standardy orzecznicze ETS czerpał w dużej mierze z EKPC, MPPOiP oraz praktyki ETPCz, ponieważ do czasu traktatu lizbońskiego - we wspólnotowym prawie pierwotnym brak było odniesienia do prawa do prywatności.

Rozstrzygnięcia ETS koncentrują się wokół konfliktu prawa do prywatności i prawa do informacji. Z dotychczasowego orzecznictwa wynika, że Trybunał nadaje prymat prawu do informacji, przeważając szalę na rzecz prawa do prywatności jedynie w wyjątkowych sytuacjach. Dr Arwid Mednis, przedstawił na konferencji kluczowe orzeczenia ETS dotyczące problematyki ochrony danych osobowych w obrocie gospodarczym.  Wskazał m.in. na wyrok PROMUSICIAE (C 275/06). Sprawa dotyczy hiszpańskiego stowarzyszenia producentów audiowizualnych, które zażądało od operatorów telekomunikacyjnych wydania danych użytkowników serwisów P2P, których stowarzyszenie chciało pozwać w procesie cywilnym za nieodpłatne pobieranie utworów muzycznych z Internetu. Trybunał w wydanym orzeczeniu stwierdził, że prawo wspólnotowe nie nakłada na państwa członkowskie obowiązku wprowadzenia regulacji, które nakazywałyby ujawnienie danych osobowych na potrzeby procesów cywilnych. W tym przypadku prawo hiszpańskie nie przewidywało takiej możliwości. ETS zasugerował jednak, że wprowadzenie regulacji nakazujących ujawnienie danych na użytek wytoczenia powództwa cywilnego na poziomie krajowym – samo w sobie nie byłoby sprzeczne z prawem wspólnotowym.

W innym orzeczeniu BODIL LINDQVIST (C 101/01), ETS rozstrzygał, czy lista członków komitetu parafialnego umieszczona w Internecie oznacza przekazywanie danych za granicę (które obwarowane jest szczególnymi gwarancjami). Zagadnienie to dotykało szerszego problemu, czy w dobie powszechności globalnej sieci internetowej, szczególny reżim przekazywania danych za granice ma wciąż rację bytu. ETS stwierdził, że ponieważ lista została umieszczona na serwerze państwa członkowskiego, nie doszło do transferu danych w świetle dyrektywy o ochronie danych osobowych nr 95/46. ETS uznał ponadto, że nie można byłoby mówić o transferze danych za granicę także wówczas, gdyby dane znajdowałyby się na serwerze w jakimkolwiek innym państwie członkowskim.

W orzeczeniu COLLEGE (C 553/07) ETS rozpatrywał zagadnienie długości okresu obowiązkowego przechowywania danych, w którym osoba zainteresowana może żądać ich udostępnienia. ETS stwierdził, że prawo dostępu do własnych danych obejmuje nie tylko „dane teraźniejsze”, ale także „dane historyczne”, które nadal są przechowywane (w tym przypadku obywatele nie mieli dostępu do informacji starszych niż rok). ETS przyznał, że państwa mogą uregulować w prawie krajowym okres przechowywania danych, jednak powinien być to rozsądny termin (w tej sprawie ETS uznał termin roczny za niewystarczający).

Kończąc swoje wystąpienie, Dr Mednis wspomniał także o ważnym orzeczeniu TIETOSUOJAVALTUUTETTU (C 73/07) oraz o dwóch istotnych dla omawianej problematyki pytaniach prejudycjalnych, które w 2010 r. wpłynęły do Trybunału (sprawa stowarzyszenia twórców Saban z Belgii i FECEMD ASNEF z Hiszpanii).

Materiały z wczorajszej konferencji będą dostępne na stronach Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Ukaże się także publikacja pokonferencyjna zawierająca wszystkie zaprezentowane referaty.

Dorota Głowacka (Panoptykon, HFPC)

Dodaj komentarz