Komisja Europejska przygotowuje rewolucję w prawie do prywatności

W medialnym szumie wokół podpisania przez Polskę ACTA i obawach, że przyjęcie traktatu może zagrażać ochronie naszych danych w Internecie, umknęła ogłoszona przez Komisję Europejską propozycja rozporządzenia unijnego w sprawie danych osobowych.

Tymczasem, to właśnie na tym projekcie - o długiej nazwie "Rozporządzenie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych" - powinni skupić uwagę ci, którzy interesują się kwestiami prywatności w wirtualnym świecie. Jeśli projekt zostanie przyjęty, oznacza rewolucję, która dotknie bezpośrednio konsumentów, przedsiębiorców i organy władzy. Proponowane rozwiązanie ma w dużej mierze zastąpić obecną ustawę o ochronie danych osobowych.

Dane osobowe w zmieniającym się świecie

Niewątpliwie regulacja dotycząca wykorzystywania i gromadzenia danych osobowych wymaga zmian i jednolitego podejścia na terenie całej Unii Europejskiej. Poprzednie zasady były przygotowywane ponad 17 lat temu! Nie trzeba zaś mówić jak wiele się od tego czasu zmieniło. W czasach gdy Internet raczkował, a niewielu posiadało telefon komórkowy, nikomu nie śniło się, że będziemy nosili przy sobie małe, multimedialne "komputery" z dostępem do sieci z każdego miejsca na świecie oraz że sektor gospodarki "wirtualnej" tak się rozwinie. Obecnie bezpieczne przetwarzanie danych osobowych nie oznacza prowadzenia papierowego archiwum, zabezpieczonego przed dostępem z zewnątrz stalowymi drzwiami. Jednym kliknięciem myszki można przecież ujawnić lub przesłać na drugi koniec świata cenne informacje o milionach osób, zapisane w formie elektronicznej.

Założeniem reformy ma być dostosowanie regulacji dotyczącej danych osobowych do współcześnie istniejących ryzyk, ale bez odnoszenia się do konkretnych rozwiązań technicznych. Komisja Europejska przekonuje, że nowe rozporządzenie wzmocni prawa konsumentów, a jednocześnie poprzez nowoczesne i kompleksowe podejście, będzie służyło przedsiębiorcom.

Będziemy mieć prawo do bycia zapomnianym

Dla osób fizycznych najważniejszą z propozycji jest pełne prawo do informacji o tym, co dzieje się z danymi, które ujawniamy. W szczególności, będziemy powiadamiani nie tylko kto i w jakim celu przetwarza nasze dane, ale też czy informację będą przesyłane poza Unię Europejską oraz jak długo będą przechowywane. Projekt reguluje też tzw. profilowanie konsumentów. Będzie ono mogło mieć miejsce jedynie w określonych prawem przypadkach i pod warunkiem informowania o tych działaniach.

Oprócz prawa do dostępu oraz poprawiania naszych danych, które obowiązywało już wcześniej, propozycja Komisji obejmuje tzw. prawo do bycia zapomnianym. Tak nazwano uprawnienie do domagania się od administratora danych, bezwzględnego usunięcia informacji o osobie i dalszego rozpowszechniania takich informacji. Chodzi np. o sytuację, w której kiedyś umieściliśmy nasze informacje lub zdjęcia w określonym serwisie w Internecie, a teraz chcemy aby już nikomu nie były dostępne, i nie pojawiały się choćby w linkach.

Będziemy informowani o kradzieży naszych danych

Niewątpliwie nałożony na firmy obowiązek powiadamiania krajowych organów ochrony danych osobowych o poważnych naruszeniach danych oraz podjęcia starań w celu poinformowania o "wycieku" osób, których dane dotyczą, zwiększy bezpieczeństwo konsumentów. Teoretycznie więc, jeśli nastąpi włamanie do sklepu internetowego i osoby niepowołane zdobędą dane klientów, takie jak numer kart kredytowych, sklep powinien poinformować nie tylko powołany organ, ale także poszczególnych klientów, których dane zostały skradzione.

Wśród zapisów, które powinny zainteresować firmy zajmujące się gromadzeniem danych, na pewno wiele dyskusji wzbudzi propozycja, aby rozporządzenie miało zastosowanie nie tylko do przedsiębiorców mających siedzibę w Unii Europejskiej. Przepisy mają objąć także spółki spoza niej, które jednak prowadzą działalność na wspólnotowym rynku i oferują usługi obywatelom UE. Czyli np. firma amerykańska, która prowadzi działalność w Internecie i ma serwis obsługujący obywateli Unii Europejskiej, też powinna stosować się do tych wymogów. Pozostaje pytanie, jaka będzie faktyczna możliwość wyegzekwowania prawa w państwach poza granicami UE.

Wysokie grzywny za brak ochrony danych osobowych

Firmy powinny zapoznać się też z sankcjami, które projekt przewiduje wobec naruszających przepisy. W zderzeniu z obowiązującymi obecnie w Polsce prawem, zmiana jest dosyć duża. Rozporządzenie wprowadza możliwość ukarania przedsiębiorcy grzywną administracyjną, która może wynieść - w zależności od rodzaju naruszenia i jego wagi - do 1 mln euro lub 2 % rocznych obrotów przedsiębiorstwa.

Dużą zmianą od strony formalnej są rozwiązania służące jednolitemu stosowaniu prawa ochrony danych osobowych w całej Unii Europejskiej. Dotychczas, każdy kraj miał własne prawo, choć teoretycznie zharmonizowane z unijną dyrektywą. Dodatkowo, miał też własny organ odpowiedzialny za egzekwowanie tego prawa. W Polsce jest to Generalny Inspektor Ochrony Danych Osobowych. Jednak praktyka tych organów, w różnych państwach Unii mogła się znacznie różnić. Dla dużych przedsiębiorstw prowadzących działalność na wspólnym rynku, oznaczało to często kosztowną i pracochłonną konieczność dostosowywania się do wielu reżimów prawnych. Według projektu Komisji Europejskiej, przedsiębiorca będzie odpowiadał tylko wobec jednego organu zlokalizowanego w państwie gdzie znajduje się jego główna siedziba.

Miejmy nadzieje, że powyższe i inne rozwiązania z obszernego projektu, będą przedmiotem tak ożywionej dyskusji, jako toczyła się wokół podpisania ACTA. Niewątpliwie analiza tego projektu powinna zainteresować zarówno organy rządowe, organizacje praw obywatelskich oraz stowarzyszenia przedsiębiorców. Dla każdej z tych grup, rozwiązanie to oznacza bowiem duże zmiany. Zachęcam do dyskusji.

Magdalena Kogut-Czarkowska jest radcą prawnym w kancelarii Baker & McKenzie.