Artykuł 17.03.2015 5 min. czytania Tekst Image „Nic nie jest uzgodnione, dopóki wszystko nie zostało uzgodnione” – tak komisarz ds. sprawiedliwości, Vĕra Jourová, podsumowała wypracowany w ostatni piątek kompromis Rady Unii Europejskiej w sprawie ochrony danych osobowych. Do tej pory tą mantrą posługiwali się przede wszystkim przedstawiciele rządów, podkreślając, że żadne z przyjętych ustaleń nie przesądza ich ostatecznego stanowiska. Ta nieoczekiwana zamiana potwierdza, że dramat pt. „reforma europejskich przepisów o ochronie danych osobowych” wkroczył w kolejną fazę: Radzie Unii Europejskiej udało się do tego stopnia popsuć projektowane przepisy, że teraz Komisja Europejska i Parlament zapewne będą musiały wejść w rolę hamulcowych. Od trzech lat śledzimy losy zainicjowanej przez Komisję Europejską reformy. Co do zasady, mocno tej inicjatywie kibicujemy, ponieważ nie ulega wątpliwości, że obowiązujące przepisy (wypracowane w latach 80. ubiegłego stulecia) wymagają dostosowania do realiów cyfrowego świata. Jedną z fundamentalnych zmian, na którą nadal liczymy, jest likwidacja nierówności w traktowaniu europejskich i zagranicznych podmiotów: nowe przepisy mają obowiązywać każdego, kto zbiera dane Europejczyków, bez względu na to, gdzie prowadzi swój biznes. Gdy rozpoczynano prace legislacyjne, podobnie dobrych pomysłów w projekcie Komisji Europejskiej i projekcie przyjętym przez Parlament było więcej. Dziś – po ponad roku przeciągania liny przez przedstawicieli 28 rządów w grupie roboczej Rady Unii Europejskiej – w wielu miejscach pojawiły się pęknięcia tak głębokie, że sens całej reformy staje pod znakiem zapytania. W stanowisku przyjętym przez Radę UE pojawiły się pęknięcia tak głębokie, że sens całej reformy staje pod znakiem zapytania. W ostatni piątek Rada Unii Europejskiej przyjęła wspólne stanowisko w sprawie dwóch kluczowych elementów projektowanego rozporządzenia: rozdziału II, który zawiera podstawowe zasady przetwarzania danych („co i kiedy jest dopuszczalne”) oraz zasady współpracy organów odpowiedzialnych za ochronę danych osobowych (takich jak polski GIODO), w tym tzw. mechanizmu one-stop-shop. Każda luka prawna w tych przepisach zagraża konstrukcji całego aktu prawnego, dlatego o kompromisie dyskutowano przez wiele miesięcy. Niestety – w opinii obserwujących proces organizacji pozarządowych, ale także Komisji Europejskiej i Parlamentu – ostateczny efekt jest bardzo rozczarowujący. Jan Philipp Albrecht, parlamentarny sprawozdawca, już zapowiada, że negocjacje Rady z Parlamentem będą bardzo trudne, ponieważ wypracowane stanowiska w wielu kwestiach są w zasadzie przeciwne. Tę rozbieżność najlepiej widać na przykładzie zasady celowości, jednej z fundamentalnych zasad ochrony danych osobowych. Parlament w swojej propozycji wzmocnił jej znaczenie, starając się zapewnić podmiotom danych – czyli nam wszystkim – realną kontrolę nad tym, w jakim celu ich dane są przetwarzane. Rada Unii Europejskiej poszła w przeciwnym kierunku: dopuściła skandaliczny przepis, zgodnie z którym administrator danych (np. prywatna firma) będzie mógł sam zdecydować o wykorzystaniu pozyskanych danych w innym celu, o ile tylko uzna, że ma w tym „uzasadniony interes”. Podobna rozbieżność dotyczy drugiej fundamentalnej sprawy – zdefiniowania zgody na przetwarzanie danych osobowych. Parlament przyjął ścisłą definicję, zgodnie z którą taka zgoda musi być wyraźna i nie może być domniemana z innego zachowania. Rada wypracowała zgniły kompromis. Z jednej strony mamy wymóg zgody „jednoznacznej”, z drugiej – przepis, który pozwala na jej wyrażenie za pomocą ustawień przeglądarki lub innej aplikacji, nawet jeśli są to ustawienia domyślne. Pojawia się ryzyko „forum shopping” – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie. Największe rozgoryczenie o kształt przepisów o ochronie danych osobowych budzi jednak po obu stronach sporu kształt mechanizmu one-stop-shop, który miał zapewnić firmom sprawną obsługę w jednym miejscu (przez jeden organ ochrony danych), a obywatelom – realną ochronę prawną w kraju zamieszkania. W propozycji Rady Unii Europejskiej nie ma ani jednego, ani drugiego. Przyjęto bardzo skomplikowane biurokratyczne reguły, które pozostawiają samym organom ochrony danych wiele pola do interpretacji i potencjalnych sporów. Zamiast proponowanego przez organizacje obywatelskie prostego mechanizmu współdecydowania przez dwa organy – ten, którego kontroli formalnie podlega firma, oraz ten, do którego w konkretnej sprawie poskarżył się obywatel – przyjęto pełną wyjątków konstrukcję, w której kluczowe decyzje samodzielnie podejmuje tylko organ nadzorujący firmę. W efekcie zapewne nie unikniemy efektu „forum shopping” – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie – ale też długotrwałych i kosztownych sporów kompetencyjnych, rozstrzyganych przez Europejską Radę Ochrony Danych. Przed nami kolejny etap prac w Radzie Unii Europejskiej, ponieważ do uzgodnienia pozostała jeszcze lwia część projektowanej regulacji. Niewesołe losy pierwszego aktu nie pozostawiają jednak złudzeń – ten dramat nie skończy się happy endem. Katarzyna Szymielewicz Więcej na ten temat: Fundacja Panoptykon: Popsuta reforma ochrony danych Fundacja Panoptykon: Jak powstaje europejskie prawo o ochronie danych osobowych? Katarzyna Szymielewicz Autorka Linki i dokumenty st_6834_2015_init_en.pdf325.5 KBpdf st_6833_2015_init_en.pdf427.78 KBpdf Temat reforma ochrony danych prawo Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł „Będzie na czas”, czyli rząd zwleka z wdrożeniem dyrektywy policyjnej Już tylko 68 dni zostało na wdrożenie unijnej dyrektywy policyjnej, która miała wzmocnić prawa obywatelek i obywateli wobec państwa. Do Fundacji Panoptykon już kilka miesięcy temu trafił nieoficjalny projekt ustawy wdrażającej dyrektywę, ale oficjalnie w resorcie spraw wewnętrznych „trwają prace… 27.02.2018 Tekst Poradnik RODO w programowaniu, czyli jak wpisać ochronę danych w proces tworzenia narzędzi informatycznych W Polsce 100% dużych i średnich firm zbiera dane, ale nie bardzo wie po co – aż 77,5% nie widzi potrzeby ich wykorzystywania. Na gruncie RODO nie ma miejsca na lekkomyślne podejście do danych, a dbałość o ich ochronę musi na stałe zagościć w checklistach osób tworzących narzędzia, w których dane są… 20.03.2019 Tekst Artykuł Zwykła baza danych do zadań specjalnych, czyli SIO hakiem na strajkujących nauczycieli Specjalny zespół Ministerstwa Edukacji Narodowej zażądał od dyrektorów szkół wpisywania do Systemu Informacji Oświatowej informacji o strajkujących nauczycielach. Prezes UODO wydał komunikat, że takie żądanie jest niezgodne z prawem, ale jak to się stało, że baza danych, która miała ułatwić… 12.04.2019 Tekst