Prawo do bycia zapomnianym

Przejrzystość przetwarzania danych - według przygotowywanego unijnego prawa - ma być podstawowym warunkiem realizacji prawa do prywatności w internecie.

Konieczność uzupełnienia przepisów określających prawo do prywatności regulacjami precyzującymi techniczne i organizacyjne środki ochrony danych dostrzegła Komisja Europejska, która prowadzi prace nad zasadniczą nowelizacją dyrektywy 95/46/WE dotyczącej ochrony danych osobowych. Szczególne znaczenie ma "prawo do bycia zapomnianym" ("right to be forgotten"). Jego istotnym elementem jest prawo żądania usunięcia danych osobowych umieszczonych w sieci przez osobę, której dotyczą, lub przez osoby trzecie. Jak zapowiedziała Viviane Reding, wiceprzewodnicząca Komisji Europejskiej, komisarz do spraw sprawiedliwości, praw podstawowych i obywatelstwa, prawo to będzie jednym z ważnych aspektów nowelizacji dyrektywy.

Podstawowe zasady

Inspiracją dla podjęcia prac nad wprowadzeniem do dyrektywy prawa do bycia zapomnianym stała się konkluzja, że przywilej przysługujący w rozwiniętych systemach prawnych nawet sprawcom poważnych przestępstw nie ma odpowiednika w internecie. Wypowiedź, fotografia lub informacja o czynach staje się w sieci nieusuwalna, wpływając przez lata na różne aspekty życia osoby, której dotyczy.

Środkiem likwidacji rozziewu między obowiązującymi normami dyrektywy 95/46/WE a technicznymi możliwościami przetwarzania danych w internecie ma być wprowadzenie poniższych zasad.

1. Prawo do bycia zapomnianym - uprawnieniu będzie towarzyszyło nałożenie na podmiot przetwarzający dane osobowe ciężaru dowodu niezbędności przetwarzania danych i zdjęcie z osoby, której dane dotyczą, ciężaru dowodu przeciwnego.

2. Przejrzystość przetwarzania danych w internecie - zapewnienie przejrzystości ma nastąpić przez spełnienie wobec osoby, której dane dotyczą, obowiązku informacyjnego w formie łatwo dostępnego i jednoznacznie zredagowanego oświadczenia określającego: zakres i cel przetwarzania danych, odbiorców, którym będą one udostępniane, cel udostępniania, prawa przysługujące osobie, której dane dotyczą, i organy właściwe w przypadku ich naruszenia, ryzyko związane z przetwarzaniem danych.

3. Prywatność jako opcja domyślna - skuteczne skorzystanie z udostępnianych przez administratorów stron internetowych i portali społecznościowych ustawień zapewniających prywatność wymaga znacznych wysiłków i umiejętności posługiwania się tymi narzędziami, co oznacza, że ustawienia te nie mogą być utożsamiane z miarodajnym wskazaniem przez użytkownika zakresu zgody na przetwarzanie danych. Ta praktyka wymaga zmiany!

4. Ochrona danych osobowych niezależnie od miejsca ich przetwarzania - projekt nowelizacji zakłada jednolity poziom ochrony prywatności obywateli UE, niezależnie od państwa, w którym ich dane są przetwarzane. Dla zapewnienia skuteczności egzekwowania tych zasad krajowe organy nadzorcze zostaną wyposażone w kompetencje do rozpatrywania i dochodzenia praw przeciwko administratorom danych z państw trzecich przetwarzającym dane obywateli państw UE.

Konieczność skodyfikowania prawa do zostania zapomnianym oraz zapewnienia technicznych i organizacyjnych możliwości realizacji tego prawa podkreśla Parlament Europejski. Zalecił on Komisji Europejskiej uregulowanie kwestii tworzenia profili, zwłaszcza zdefiniowania "profilu" i "tworzenia profilu", ze względu na ich znaczenie w portalach społecznościowych i w handlu internetowym.

Trudności z egzekucją

Sformułowanie przepisów wprowadzających prawo do bycia zapomnianym i zapewniających jego skuteczność może okazać się trudne. Radykalna zmiana technologii i środowiska przetwarzania danych osobowych podważyła w praktyce dotychczasowe znaczenie podstawowych pojęć z dziedziny ich ochrony, takich jak administrator danych. Portale społecznościowe są wprawdzie administrowane przez określone firmy, lecz zawierają dane osobowe wprowadzane i modyfikowane przez użytkowników. Prawo żądania od administratora portalu społecznościowego usunięcia danych pozostanie iluzoryczne, skoro wprowadzone do portalu dane pochodzą z wielu różnych źródeł, a ponadto stają się dostępne w sieci dla nieograniczonego i nieokreślonego kręgu użytkowników, którzy mogą je przechowywać, powielać i udostępniać kolejnym użytkownikom, również po uprzednim usunięciu danych z portalu przez jego administratora.

Co więcej, założenie, że bezpowrotne usunięcie danych z portalu społecznościowego jest wykonalne, również wydaje się wątpliwe. Jego administrator musiałby w tym celu bezterminowo i nieustannie monitorować zawartość portalu, co nie tylko rodziłoby zastrzeżenia co do adekwatności takiego prewencyjnego naruszania prywatności pozostałych użytkowników portalu, ale też oznaczałoby konieczność stosowania narzędzi, którymi portale już dysponują i które wywołują protesty. Te kwestie muszą wziąć pod uwagę przedstawiciele KE.

Mariusz Krzysztofek, doktor nauk prawnych, administrator bezpieczeństwa informacji w bankach, audytor i konsultant w zakresie ochrony danych w instytucjach finansowych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200