Wartość (ochrony) naszych danych*

Zapowiadana od ponad dwóch lat reforma ochrony danych osobowych w Unii Europejskiej nabiera kształtu. Parlament Europejski przegłosował swoją wersję rozporządzenia, które ma dostosować ramy prawne do problemów, jakie pojawiły się wraz z Internetem, czy raczej wraz z rozwojem modeli biznesowych opartych na komercjalizacji naszej prywatności. Nic więc dziwnego, że centralnym punktem debaty na temat nowych przepisów są pieniądze. Jedni liczą, ile jest wart rynek „wielkich danych”, drudzy – ile biznes straci na nowej regulacji. Tylko nieliczni dostrzegają, że na lepszej ochronie prywatności można przede wszystkim zyskać.

Podobno to właśnie dane są nową „ropą” – obowiązującą walutą cyfrowego świata. Teza powtarzana dość często zaczyna być przyjmowana za pewnik, nawet jeśli nie została udowodniona. Firmy konsultingowe prześcigają się w prognozach, z których wynika jedna prawda: gospodarka potrzebuje nowego koła zamachowego, a innego kandydata do tej roli na razie nie widać. Najłatwiej przyjąć, że ta innowacyjna gałąź gospodarki to pewny koń, o ile Unia Europejska nie nałoży na nią regulacyjnego kagańca.

Według Konfederacji Pracodawców Polskich Lewiatan, przyjęcie regulacji dla rynku danych osobowych w kształcie zaproponowanym przez Parlament Europejski oznacza „nieproporcjonalne i generujące koszty obowiązki”. Nawet przedsiębiorca, który przeprowadza „minimalne i społecznie niegroźne operacje na danych osobowych” poniósłby koszty rzędu 60 tys. złotych na przestrzeni dwóch lat. Wyliczenia Lewiatana oparte są na trzech studiach przypadków, przez co wypracowane wnioski trudno uznać za reprezentatywne. Dość reprezentatywna wydaje się jednak stojąca za nimi logika: ochrona danych osobowych to wyłącznie ciężar, który musi ponieść biznes – kula u nogi ekonomicznego rozwoju. Nie koszt, jaki trzeba ponieść w związku z ryzykownym modelem biznesowym, ani tym bardziej korzyść, jaką pewne ograniczenia regulacyjne mogą przynieść w wymiarze społecznym. Społeczny wymiar ochrony danych osobowych po prostu nie istnieje.

Kompromis wypracowany przez Parlament Europejski to bardzo wyważona propozycja. Z jednej strony mamy dobre fundamenty, zapewniające szczelność regulacji i jej dostosowanie do nowych sposobów komercjalizacji danych, z jakimi musimy się liczyć w Internecie. Ochronie prawnej mają podlegać wszelkie identyfikatory wykorzystywane przez firmy do śledzenia nas w sieci. Tylko wyraźne oświadczenie będzie mogło być traktowane jako nasza zgoda na przetwarzanie danych osobowych. Firmy będą musiały niezwłocznie informować organy nadzorcze i swoich klientów o naruszeniu bezpieczeństwa danych (np. wyciekach), a standardowo również o tym, w jakich celach i w jaki sposób mają zamiar przetwarzać nasze dane. Żeby było to zrozumiałe dla przeciętnego odbiorcy, obok skomplikowanych polityk prywatności ma się pojawić system ikon. Za złamanie tych i innych zasad wszystkim firmom działającym na europejskim rynku (również amerykańskim) będą grozić sankcje do 5 proc. rocznego globalnego obrotu.

Z drugiej strony, Parlament Europejski zadbał o wzmocnienie europejskich przedsiębiorców. Inicjatorka zmian – komisarz Viviane Reding – od początku podkreślała, że celem reformy jest zwiększenie konkurencyjności i uproszczenie obowiązującego prawa. Dlatego w pakiecie z nowymi obowiązkami znalazła się harmonizacja przepisów w całej Unii, jednolite reguły dla wszystkich firm (bez względu na siedzibę) i rezygnacja z wielu uciążliwych obowiązków administracyjnych (np. rejestracji zbiorów danych). Według analizy London Economics, przeprowadzonej na zlecenie brytyjskiego komisarza ds. ochrony danych (odpowiednika polskiego GIODO), samo uproszczenie środowiska regulacyjnego i ograniczenie formalności pozwoli brytyjskim firmom zaoszczędzić 130 milionów euro rocznie. Wielka szkoda, że ani Lewiatan ani GIODO nie zlecili analogicznej analizy bezpośrednich korzyści dla polskiego rynku.

Obok bezpośrednich korzyści, wynikających z uproszczenia i harmonizacji przepisów, są jeszcze korzyści pośrednie, które polscy analitycy zupełnie ignorują, a którym szczegółowo przyglądają się eksperci London Economics. Czy firmy wymiernie zyskają na zwiększeniu zaufania w relacjach z klientami, którzy nareszcie będą w stanie zrozumieć kto i po przetwarza ich dane osobowe? Czy większe bezpieczeństwo danych i ograniczenie liczby wycieków przekłada się na pieniądze (na jednym takim kryzysie firma Sony straciła 170 mln dolarów)? Czy większą wartość dla uczciwie prowadzonego biznesu mają aktualne i rzetelne dane, niż profile oparte na czystej spekulacji? Czy pozycja konkurencyjna europejskich firm wzrośnie, jeśli tym samym przepisom i sankcjom zostaną poddane amerykańskie firmy, od lat czerpiące korzyści z dużo łagodniejszych regulacji? Na te i wiele innych pytań, których Lewiatan w ogóle nie zadaje, brytyjski raport odpowiada twierdząco.

Myślenie o ochronie prywatności jedynie w kategoriach obciążeń dla biznesu to próba odwrócenia logiki europejskiego systemu prawnego. Ochrona danych osobowych w Europie nadal jest traktowana jak fundamentalne prawo, a nie luksus. W tym sensie państwa mają obowiązek ją zapewnić bez względu na doraźne koszty ekonomiczne. Z kolei firmy wcale nie muszą opierać swoich modeli biznesowych na komercjalizacji prywatności. To właśnie kwestia decyzji, a jedną z jej przesłanek powinna być kalkulacja kosztów, również społecznych.

Katarzyna Szymielewicz

* Tekst został opublikowany w Dzienniku Gazecie Prawnej (7.04.2014)