Przed reformą ochrony danych osobowych

Dotychczasowe przepisy krajowe dot. ochrony danych osobowych mają zostać zastąpione rozporządzeniem unijnym. W projekcie rozporządzenia dochodzi do asymetrii terytorialnej pomiędzy miejscem zamieszkania podmiotów danych a siedzibą organu sprawującego nadzór nad   administratorem danych w zakresie ich przetwarzania , co stanowić może przedmiot sporów pomiędzy państwami członkowskimi i generować ryzyka prawne dla lokalnych administratorów danych. Źródłem sporu jest okoliczność, że zgodnie z projektem Rozporządzenia każdy organ nadzorczy wykonuje swe kompetencje właściwie tylko  na terytorium własnego państwa członkowskiego. W dniu 25 stycznia 2012 zaprezentowany został projekt Rozporządzenie Parlamentu Europejskiego I Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne a może wpłynąć na sytuację zakładów ubezpieczeń posiadających siedzibę w Polsce, być może pogarszając ich sytuację, jeżeli w porę nie wyciągną wniosków z projektowanych przepisów. Nie będzie to jedyna regulacja odnosząca się do przetwarzania danych osobowych, będzie jednak z pewnością uregulowaniem podstawowym.

Cele projektowanych regulacji

Obecnie obowiązujący system ochrony danych osobowych miał realizować dwa cele: ochronę podstawowego prawa do ochrony danych oraz zagwarantowania swobodnego przepływu danych między państwami członkowskimi. Niewątpliwie regulacje dotyczące danych osobowych ze względu na niewystępowanie podobnych regulacji poza UE i ograniczenia w przekazywaniu danych do krajów w których nie zapewniano podobnego poziomu ochrony danych ułatwiał prowadzenie działalności przedsiębiorstwom, które zdecydowały się na założenie siedziby lub co najmniej zlokalizowały serwer na którym przetwarzane są dane podmiotów danych w jednym z Państw członkowskich Unii Europejskiej.

 

Proponowane regulacje kładą nacisk na drugi na zwiększenie swobody przesyłania danych w obrębie UE, co jest naturalną konsekwencją przekształceń w ramach UE, które zapewne nie nastąpiłyby tak szybko, gdyby nie kryzys finansów części państw unijnych, Państwa członkowskie otrzymując pomoc z UE łatwiej mogą zgodzić się na złagodzenie regulacji, które właściwe używane mogą utrudniać dostępu do ich rynku zgodnie z prawem unijnym. Na kierunek tendencji wskazuje przerzucenie ciężaru oceny, czy przetwarzania danych osobowych z osób, których dane dotyczą na podmioty przetwarzające dane. Ograniczony zostanie obowiązek zawiadomienia na rzecz obowiązku   autodenuncjacji,  rozumianej jako obowiązek niezwłocznego zawiadamiania  organów państwowych o naruszeniu przepisów  przetwarzania danych osobowych. Dotyczy to np. sytuacji, w których administrator danych uzna, że powiadomienie podmiotu danych jest niemożliwe lub nadmiernie utrudnione, a odpowiedni organ państwa członkowskiego uzna, że stanowisko to jest zasadne. W praktyce można sobie wyobrazić, że nadmierne uciążliwe może bowiem okazać się np. przeprowadzenie dowodu, że zawiadomienie zostało dokonane w sytuacji, gdy w poszczególnych krajach występują różni operatorzy   pocztowi. W powyższych przypadkach, podmiot danych nie ma roszczeń odszkodowawczych przyznanych mu i szeroko uregulowanych w Rozporządzeniu.

Nowości

Rozporządzenie wprowadza prawo do bycia zapomnianym. Tak nazwano uprawnienie do zażądania od administratora danych bezwzględnego usunięcia dotyczących danej osoby informacji i dalszego ich rozpowszechniania. W rzeczywistości obowiązki administratora danych sięgają znacznie dalej.  W praktyce okaże się, czy prawo do bycia zapomnianym będzie instrumentem, który ułatwi osobom fizycznym wyegzekwowanie od prowadzących portale społecznościowe usunięcia wszelkich informacji, np. zamieszczonych w okresie dojrzewania, które ujawnione po lalach mogą złamać czyjąś karierę, czy też będą eliminować obrót danymi osób zmarłych. Portale społecznościowe, z których można pozyskiwać dane, nie przyjmują do wiadomości śmierci osób, które zamieściły tam swój profil, ponieważ może wpływać na obniżenie wpływów z reklamy. Z czasem jednak spowodować to może nieprzydatność pozyskiwanych od nich danych, w sytuacji w której liczba użytkowników aktywnych, tj, żyjących w świecie realnym będzie niższa niż aktywnych profili społecznościowych. Projekt reguluje bowiem tzw. profilowanie konsumentów (budowanie wzorców zachowań na potrzeby marketingu). Będzie ono mogło być przeprowadzane jedynie w określonych prawem przypadkach i pod warunkiem informowania o tych działaniach.

 

Wydaje się natomiast, ze zmiany powyższe nie mają bezpośredniego związku z działaniem „chmury”, na której zamieszcza się bezpłatnie szereg prywatnych informacji, do których na podstawie tzw.  Patriot Act, prokuratura  USA ma szeroki dostęp.  Doszło wprawdzie do nagłośnienia wystąpienia  Thilo Weichert, szefa Independent State Center for Data Protection z niemieckiego landu Schleswig Holstein, który po ubiegłorocznej prezentacji Microsoft Office 365 stwierdził, że w takiej sytuacji udostępnianie danych osobom spoza Unii Europejskiej jest w konflikcie z europejskimi regulacjami prawnymi w zakresie ochrony danych. Umowa w sprawie przetwarzania danych pomiędzy UE a USA została podpisana kilka lat po wejściu w życie Patriot Act.

 

Istotne jest, ze po wejściu rozporządzenia administrator danych będzie musiał pamiętać o obowiązku zawiadomienia osób zainteresowanych o każdym przypadku kradzieży jego danych.

Zapisy dyskusyjne

Ograniczenie praw osób, których dane dotyczą, wiązać się mogą z ograniczeniem prawa do prywatności. Prawo do ochrony danych osobowych ustanowione przepisach  pierwotnych tj. w  art. 8 karty oraz art. 16 TFUE, jak również art. 8 Europejskiej Konwencji Praw Człowieka. Jak podkreślił Trybunał Sprawiedliwości UE w wyroku z dnia 9.11.2010 r.; - sprawy połączone C-92/09 i C-93/09 Volker und Markus Schecke oraz Eifert [2010] Zb.Orz. I-0000, -  prawo do ochrony danych osobowych nie jest prawem absolutnym i powinno być analizowane w kontekście funkcji, jaką pełni w społeczeństwie.

 

W tym kontekście należy spojrzeć na dopuszczoną przez projekt rozporządzenia możliwość legalnego, tj. zgodnego z przepisami UE  odstąpienia od jego stosowania w całości, w sytuacji w której dojdzie do naruszenia praw i wolności innych podmiotów, bez określania w rozporządzeniu jakie to podmioty. W tym zakresie regulacje unijne pozwalają  państwom organom UE członkowskim lub na ustawowe  określenie sytuacji, których ochrona danych jest wyłączona. Delegacja do wyłączenia spod zakresu ochrony danych jest bardzo szeroka i może znaleźć zastosowanie w sytuacji gdy wymagać tego będzie również ochrona prywatnych interesów osób prawnych, niezależnie od tego czy interesy te wiązać się będą ze swobodą prowadzenia trasnsgranicznej działalności gospodarczej lub transgranicznego świadczenia usług. Stwarzać to może wątpliwość, czy w rzeczywistości Rozporządzenie to wejdzie w zaproponowanym kształcie, skoro niektóre jego zapisy wydają się sprzeczne przepisami prawa pierwotnego, aczkolwiek ich usunięcie w wyniku konsultacji nie naruszy konstrukcji ani też istotnego brzmienia Rozporządzenia. Dyskusja wykaże, czy rekompensata w zakresie ochrony prawa do prywatności, jaką stanowić ma prawo do bycia zapomnianym okaże się wystarczające do przyjęcia powyższych regulacji.

Pozorna asymetria pomiędzy celem a środkami?

Istotne wydaje się, że w rozporządzeniu dochodzi do asymetrii terytorialnej pomiędzy miejscem zamieszkania podmiotów danych a siedzibą organu sprawującego nadzór nad   administratorem danych w zakresie ich przetwarzania , co stanowić może przedmiot sporów pomiędzy państwami członkowskimi i generować ryzyka prawne dla lokalnych administratorów danych. Źródłem sporu jest okoliczność, że zgodnie z projektem Rozporządzenia każdy organ nadzorczy wykonuje swe kompetencje właściwie tylko  na terytorium własnego państwa członkowskiego.

 

Dlatego też rozporządzenie tworzy mechanizmy umożliwiające łagodzenie sporów poprzez przyznanie organom państw członkowskim prawa do uczestniczenia w wykonywaniu wspólnych zadań dochodzeniowych lub wspólnych operacja w ramach tzw. mechanizmów zgodności przy udziale Europejska Rada Ochrony Danych, z decydującym głosem Komisji.  Mechanizm ten funkcjonować może tylko przy założeniu, że lokalny organ ochrony danych osobowych danego państwa członkowskiego będzie wyrażał chęć i posiadał wystarczające zaplecze aby skutecznie uczestniczyć w postępowaniu tak aby chronić interesy osób zainteresowanych. W praktyce polityka prowadzona przez organy ochrony państw członkowskich mogą prowadzić, nawet na granicy przepisów prawa, do faktycznego gorszego traktowania  administratorów danych mających siedzibę na ich terytorium w relacji do ich konkurentów. Przykładowo, czy polityka  GIODO koncentrować się może  się na  ochronie praw osób trzecich (innych niż podmioty danych),  w zakresie przetwarzania danych pomimo faktu, ze ustawa wyraźnie w art. 1 wskazuje, że przetwarzanie może nastąpić ze względu na dobro również tych osób?  Czy przepisy prawa telekomunikacyjnego powinny być interpretowane w sposób znacznie bardziej ograniczający możliwość ich przetwarzania niż wynika to z ich brzmienia, tak że zarówno firmy telekomunikacyjne jak też i zakłady ubezpieczeń nie mogą uzyskiwać porównywalnych dochodów ze współpracy w stosunku do dochodów uzyskiwanych przez inne spółki z tej samej  grupy? Przykłady powyższe wskazują, że  faktyczne znacznie Rozporządzenia nie zależy tylko od jego zapisów.

Po analizie projektu Rozporządzenia wydaje się, że niektóre ryzyka prawne jakie wiążą się z jego wejściem będzie można zneutralizować bezpieczniej w obecnym stanie prawnym.