Transakcja wiązana w Parlamencie Europejskim: nowy standard ochrony danych, stare błędy w walce z terroryzmem

Artykuł
element dekoracyjny

Dzisiaj w Parlamencie Europejskim odbędą się dwa bardzo ważne głosowania: w sprawie reformy ochrony danych osobowych oraz dyrektywy tworzącej europejski system PNR. Układ polityczny wskazuje, że obydwie propozycje zostaną przez europosłów przyjęte bez żadnych poprawek. Nie jest przypadkiem, że oba głosowania odbywają się jednego dnia. Reforma, która wprowadza lepsze standardy ochrony prywatności, ma osłodzić obywatelom ustanowienie kolejnego systemu obciążającego budżety państw i ograniczającego wolności w imię bezpieczeństwa.

Europejska reforma przepisów o ochronie danych osobowych została zainicjowana przez komisarz Viviane Reding na początku 2012 r., pod hasłem nie tylko wyższych standardów ochrony dla obywateli, ale też wspólnych i prostszych reguł dla biznesu. Przez kilka lat reforma meandrowała, co momentami stawiało pod znakiem zapytania jej sens i kierunek. Jednak ostatecznie udało się wypracować kompromis znośny dla biznesu i obiecujący dla obywateli. Nie bez znaczenia w tym procesie były rewelacje Edwarda Snowdena, który ujawnił skalę przejmowania komercyjnych danych przez amerykańskie i europejskie agencje wywiadowcze. Negocjacje zakończyły się w grudniu 2015 r.,  kiedy ostateczne projekty nowego rozporządzenia i dyrektywy zostały przyjęte przez parlamentarną komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE).

Dzisiejsze głosowanie przypieczętuje zmiany, które wzmocnią pozycję Europejczyków wobec komercyjnych firm – w tym mających siedzibę poza granicami UE. Wszystkie firmy oferujące usługi na terenie UE będą podlegać tym samym, wyższym niż dotychczas, standardom. Ta zmiana ma szczególne znaczenie w relacji z firmami amerykańskimi, ponieważ prawo USA nie zapewnia odpowiednich gwarancji ochrony prywatności.

Złamanie nowych przepisów będzie groziło surowymi karami finansowymi. Organy ochrony danych (w tym polski Generalny Inspektor Ochrony Danych Osobowych) będą mogły nałożyć karę nawet do 4% rocznego, globalnego obrotu firmy. Dodatkowo instytucje pochodzące z poszczególnych krajów członkowskich będą mogły ze sobą ściśle współpracować i prowadzić wspólne sprawy dotyczące naruszenia prawa ochrony danych osobowych. Wzmocnione zostanie również nasze prawo do informacji o tym, jakie dane i w jakim celu są o nas zbierane, kto jest ich administratorem (i jak się z nim skontaktować) oraz komu mogą być udostępniane. Wszystkie te informacje powinny być nam przekazywane w przejrzystej i łatwo dostępnej formie.

Nowe rozporządzenie wprowadza też pewne ograniczenia w sytuacji, kiedy przetwarzanie naszych danych przyjmuje formę profilowania: prawo sprzeciwu, prawo do zweryfikowania logiki stojącej za stosowanym algorytmem, prawo do „ludzkiej interwencji” w przypadku podjętych na tej podstawie decyzji. Jednocześnie sama możliwość profilowania klientów, która w usługach internetowych już stała się niepokojącym standardem, pozostanie w zasadzie nieograniczona. Zdaniem Fundacji Panoptykon i innych organizacji walczących o prawa cyfrowe to poważna luka w regulacji. Podobny problem wiąże się z definicją ochrony danych, która naszym zdaniem nie jest dostatecznie elastyczna i może nie wytrzymać próby czasu.

Największą słabością europejskiej reformy przepisów o ochronie danych osobowych jest to, że nie wzmacnia praw obywateli w kontekście masowej inwigilacji, w tym wykorzystującej dane, które klienci w zaufaniu przekazują świadczącym im usługi firmom. Amerykańskie i europejskie służby nadal będą mogły mieć do nich bezpośredni i szeroki dostęp, jeśli tylko ich uprawnienia na to pozwalają. Ten sam mechanizm wykorzystuje dyrektywa o europejskim systemie PNR (Passenger Name Record), czyli ciemniejsza strona „transakcji wiązanej”, którą domknie dziś Parlament Europejski. Ten akt prawny zobowiąże linie lotnicze do przekazywania służbom szczegółowych danych o wszystkich pasażerach podróżujących do Unii Europejskiej lub opuszczających ją, a nawet przemieszczających się między krajami członkowskimi. W cenie biletu lotniczego już niedługo dostaniemy zatem profil sporządzony przez służby. Niestety, bez możliwości jego zweryfikowania.

Oficjalnie system PNR ma służyć zapobieganiu, wykrywaniu, dochodzeniu i ściganiu terroryzmu oraz innych poważnych przestępstw. Pomysłodawcy nie przedstawili jednak wiarygodnych argumentów na obronę tej tezy. W jaki sposób analiza bardzo podstawowych i nie zawsze wiarygodnych danych, które klienci dobrowolnie przekazują linom lotniczym w celu rezerwacji biletów, ma pomóc w walce z terroryzmem i poważną przestępczością? I dlaczego konieczne jest przechowywanie niektórych kategorii danych aż przez 5 lat? Nie wiadomo. Byli analitycy i szefowie służb specjalnych ostrzegają jednocześnie, że zbyt duża podaż danych wcale nie pomaga w pracy służb. Kluczowe są zdolności analityczne i precyzyjne definiowanie celów do głębszej obserwacji. Do tego wystarczyłoby lepsze wykorzystanie istniejących baz (Europolu, Interpolu, SIS II, VIS etc.) i pobieranie danych PNR w konkretnych sprawach, np. kiedy już ustalono, że na danej trasie dzieje się coś niepokojącego albo że poszukiwana osoba próbuje przekroczyć granicę. Taka możliwość już istnieje i nie wymaga zmiany prawa.

Europejski System PNR opiera się na założeniu, że każdy podróżny to potencjalny terrorysta lub inny groźny przestępca. W praktyce uderzy jednak przede wszystkim w osoby podróżujące z „podejrzanych” krajów. Może to prowadzić w praktyce do dyskryminacji i utrwalania krzywdzących stereotypów, mimo że same przepisy bezpośrednio dyskryminacji zakazują. Co więcej, raz zebrane dane zaczynają żyć własnym życiem – trudno dziś przewidzieć, do jakich celów decydenci polityczni czy same służby zechcą je wykorzystać w przyszłości. Grozi nam zatem utopienie potężnych publicznych środków w systemie, który nie tylko nie jest potrzebny, ale wręcz może być szkodliwy.

Czwartkowe głosowania w Parlamencie Europejskim rozpoczynają nowy rozdział ochrony prywatności w Europie. Z jednej strony mamy zakończenie długoletniego procesu, którego celem było większe upodmiotowienie obywateli – szczególnie wobec wielkich firm sektora IT (doskonały prezent na 7 urodziny Fundacji Panoptykon!). Z drugiej zaś – przypieczętowanie tendencji, zgodnie z którą im więcej danych przekazujemy prywatnym firmom, tym więcej wie o nas również nasze państwo i jego służby.

 

Katarzyna Szymielewicz, Jędrzej Niklas

 

Więcej na temat reformy ochrony danych osobowych

Więcej na temat systemów przetwarzających dane PNR

Polecamy infografikę: Jak będzie działać europejski system PNR (Passenger Name Record)?

 

Dodaj komentarz