Zgniły kompromis w sprawie ochrony danych: urobek Rady UE

„Nic nie jest uzgodnione, dopóki wszystko nie zostało uzgodnione” –  tak komisarz ds. sprawiedliwości, Vĕra Jourová, podsumowała wypracowany w ostatni piątek kompromis Rady Unii Europejskiej w sprawie ochrony danych osobowych. Do tej pory tą mantrą posługiwali się przede wszystkim przedstawiciele rządów, podkreślając, że żadne z przyjętych ustaleń nie przesądza ich ostatecznego stanowiska. Ta nieoczekiwana zamiana potwierdza, że dramat pt. „reforma europejskich przepisów o ochronie danych osobowych” wkroczył w kolejną fazę: Radzie Unii Europejskiej udało się do tego stopnia popsuć projektowane przepisy, że teraz Komisja Europejska i Parlament zapewne będą musiały wejść w rolę hamulcowych.

Od trzech lat śledzimy losy zainicjowanej przez Komisję Europejską reformy. Co do zasady, mocno tej inicjatywie kibicujemy, ponieważ nie ulega wątpliwości, że obowiązujące przepisy (wypracowane w latach 80. ubiegłego stulecia) wymagają dostosowania do realiów cyfrowego świata. Jedną z fundamentalnych zmian, na którą nadal liczymy, jest likwidacja nierówności w traktowaniu europejskich i zagranicznych podmiotów: nowe przepisy mają obowiązywać każdego, kto zbiera dane Europejczyków, bez względu na to, gdzie prowadzi swój biznes. Gdy rozpoczynano prace legislacyjne, podobnie dobrych pomysłów w projekcie Komisji Europejskiej i projekcie przyjętym przez Parlament było więcej. Dziś – po ponad roku przeciągania liny przez przedstawicieli 28 rządów w grupie roboczej Rady Unii Europejskiej – w wielu miejscach pojawiły się pęknięcia tak głębokie, że sens całej reformy staje pod znakiem zapytania.

W stanowisku przyjętym przez Radę UE pojawiły się pęknięcia tak głębokie, że sens całej reformy staje pod znakiem zapytania.

W ostatni piątek Rada Unii Europejskiej przyjęła wspólne stanowisko w sprawie dwóch kluczowych elementów projektowanego rozporządzenia: rozdziału II, który zawiera podstawowe zasady przetwarzania danych („co i kiedy jest dopuszczalne”) oraz zasady współpracy organów odpowiedzialnych za ochronę danych osobowych (takich jak polski GIODO), w tym tzw. mechanizmu one-stop-shop.

Każda luka prawna w tych przepisach zagraża konstrukcji całego aktu prawnego, dlatego o kompromisie dyskutowano przez wiele miesięcy. Niestety – w opinii obserwujących proces organizacji pozarządowych, ale także Komisji Europejskiej i Parlamentu – ostateczny efekt jest bardzo rozczarowujący. Jan Philipp Albrecht, parlamentarny sprawozdawca, już zapowiada, że negocjacje Rady z Parlamentem będą bardzo trudne, ponieważ wypracowane stanowiska w wielu kwestiach są w zasadzie przeciwne.

Tę rozbieżność najlepiej widać na przykładzie zasady celowości, jednej z fundamentalnych zasad ochrony danych osobowych. Parlament w swojej propozycji wzmocnił jej znaczenie, starając się zapewnić podmiotom danych – czyli nam wszystkim – realną kontrolę nad tym, w jakim celu ich dane są przetwarzane. Rada Unii Europejskiej poszła w przeciwnym kierunku: dopuściła skandaliczny przepis, zgodnie z którym administrator danych (np. prywatna firma) będzie mógł sam zdecydować o wykorzystaniu pozyskanych danych w innym celu, o ile tylko uzna, że ma w tym „uzasadniony interes”. Podobna rozbieżność dotyczy drugiej fundamentalnej sprawy – zdefiniowania zgody na przetwarzanie danych osobowych. Parlament przyjął ścisłą definicję, zgodnie z którą taka zgoda musi być wyraźna i nie może być domniemana z innego zachowania. Rada wypracowała zgniły kompromis. Z jednej strony mamy wymóg zgody „jednoznacznej”, z drugiej – przepis, który pozwala na jej wyrażenie za pomocą ustawień przeglądarki lub innej aplikacji, nawet jeśli są to ustawienia domyślne.

Pojawia się ryzyko „forum shopping” – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie.

Największe rozgoryczenie o kształt przepisów o ochronie danych osobowych budzi jednak po obu stronach sporu kształt mechanizmu one-stop-shop, który miał zapewnić firmom sprawną obsługę w jednym miejscu (przez jeden organ ochrony danych), a obywatelom – realną ochronę prawną w kraju zamieszkania. W propozycji Rady Unii Europejskiej nie ma ani jednego, ani drugiego. Przyjęto bardzo skomplikowane biurokratyczne reguły, które pozostawiają samym organom ochrony danych wiele pola do interpretacji i potencjalnych sporów. Zamiast proponowanego przez organizacje obywatelskie prostego mechanizmu współdecydowania przez dwa organy – ten, którego kontroli formalnie podlega firma, oraz ten, do którego w konkretnej sprawie poskarżył się obywatel – przyjęto pełną wyjątków konstrukcję, w której kluczowe decyzje samodzielnie podejmuje tylko organ nadzorujący firmę. W efekcie zapewne nie unikniemy efektu „forum shopping” – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie – ale też długotrwałych i kosztownych sporów kompetencyjnych, rozstrzyganych przez Europejską Radę Ochrony Danych.

Przed nami kolejny etap prac w Radzie Unii Europejskiej, ponieważ do uzgodnienia pozostała jeszcze lwia część projektowanej regulacji. Niewesołe losy pierwszego aktu nie pozostawiają jednak złudzeń – ten dramat nie skończy się happy endem.

Katarzyna Szymielewicz

Więcej na ten temat:

Fundacja Panoptykon: Popsuta reforma ochrony danych

Fundacja Panoptykon: Jak powstaje europejskie prawo o ochronie danych osobowych?