Przedsiębiorcy potrzebują usystematyzowanych regulacji o ochronie danych osobowych

Rozwój nowych technologii rzeczywiście rodzi nowe wyzwania dla ochrony danych osobowych i prywatności. Wśród nich wskazać można na te związane z radiowym przekazywaniem informacji o produktach czy przedmiotach i ich użytkownikach, czyli technologią identyfikacji radiowej (ang. Radio Frequency Identification - RFID). Już dzisiaj bywa w Polsce wykorzystywana, a wkrótce będzie wykorzystywana znacznie częściej. Niebawem w sklepach wielkopowierzchniowych nie będziemy stać w kolejce do kasy, a jedynie przechodzić przez bramki, które automatycznie będą odczytywać etykiety RFID zawierające np. opis i cenę kupowanego produktu i pobierać odpowiednią kwotę z karty płatniczej uznawanej przez konkretny sklep. Z punktu widzenia ochrony danych osobowych pojawia się pytanie, kto będzie zbierać informacje dotyczące zakupów, jakie w tym sklepie dokonujemy i w jaki sposób będą one przechowywane i przekazywane. Dla przykładu: czy to, iż dwa razy w tygodniu kupujemy zgrzewkę piwa, będzie powodowało, że będziemy otrzymywać informacje dotyczące zwalczania alkoholizmu. Są to nowe wyzwania z punktu widzenia ochrony danych osobowych i prawa do prywatności, z którymi będziemy musieli sobie poradzić. To jednak jedynie ich przykład. Zagadnienia rozwoju usług sieciowych, przetwarzania danych w chmurach (cloud computing) czy rozwoju inteligentnych sieci i inteligentnych liczników (smart grid i smart metering) rodzą dziesiątki, jeśli nie setki, kolejnych pytań z zakresu ochrony prywatności.

Odpowiedź na to pytanie jest bardzo trudna, m.in. dlatego, że nie wiadomo, w jaki sposób powinniśmy obliczać skalę naruszeń. Czy według skarg, które wypływają do Biura Generalnego Inspektora Ochrony Danych Osobowych, czy według oceny tego, co rzeczywiście dzieje się w naszym kraju i w całej Unii Europejskiej. Skargi wpływające do naszego biura dotyczą przeważnie klasycznych problemów, np. działań marketingowych czy przekazywania danych finansowych między podmiotami. Zdecydowanie mniej skarg odnosi się do przetwarzania danych osobowych w internecie. Moim zdaniem zaś właśnie w tej sferze dochodzi do wielu naruszeń przepisów o ochronie danych osobowych, a skargi pokazują zaledwie czubek góry lodowej.

Przepisy o ochronie danych osobowych przede wszystkim regulują prawa osób, których dane są przetwarzane. Zawsze podkreślam, że nie musimy mieć paszportu albo wizy, aby nasze dane osobowe były chronione na terenie Unii Europejskiej. Ochrona ta rozpościera się na wszystkich bez względu na obywatelstwo. Jest to prawo podstawowe, które wchodzi w katalog podstawowych praw człowieka chronionych przez Unię Europejską. Jednocześnie przepisy o ochronie danych osobowych skierowane są także do podmiotów, które dane osobowe przetwarzają. Są wśród nich zarówno podmioty komercyjne, jak i organizacje społeczne, które nie prowadzą działalności gospodarczej, a także podmioty z sektora publicznego, które przetwarzają dane osobowe w celu wykonywania zadań publicznych.

Rzeczywiście lista aktów prawnych dotyczących ochrony danych osobowych jest bardzo długa. Znajdują się na niej nie tylko akty regulujące w sposób przekrojowy zasady ochrony prywatności, ale także liczne akty o charakterze sektorowym, niekiedy tak nieoczywiste, jak ustawa o rachunkowości czy prawo przewozowe. Pamiętać należy, że ochrona danych osobowych w sektorze bankowym powinna różnić się w sposób znaczący od ochrony danych osobowych gromadzonych np. przez biblioteki publiczne. Zestaw informacji na temat książek, jakie czytamy, nie może być porównywany do odnoszących się do nas informacji finansowych, jakie posiada bank. Dlatego nie da się uniknąć istnienia tak dużej liczby aktów prawnych regulujących zasady ochrony danych osobowych.

W sektorze medycznym spotykamy się z bardzo dużą liczbą problemów dotyczących ochrony prywatności. Z jednej strony chcielibyśmy, aby informacja o naszym stanie zdrowia była dostępna dla wielu lekarzy. Można powiedzieć, że każdy lekarz powinien mieć dostęp do pełnej dokumentacji medycznej Kowalskiego chorującego na kamicę nerkową choćby po to, aby w przypadku ataku mógł mu udzielić natychmiastowej pomocy medycznej. Z drugiej strony nie widzę powodu, aby każdy lekarz w Polsce miał dostęp do informacji, kiedy Kowalski korzysta z pomocy seksuologa. Bardzo trudno jest zatem zdecydować, które dane do kogo powinny trafić. Należy przygotować pewnego rodzaju regulacje ogólne oraz wiele wyłączeń. Myślę, że przepisy dotyczące ochrony prywatności w tym sektorze będą cały czas ewoluowały.

Niestety spotykamy się z sytuacjami, w których różne sektorowe rozwiązania dotyczą dokładnie tego samego zestawu danych gromadzonych przez ten sam podmiot. Przykładowo podmiot zajmujący się działalności telekomunikacyjną może jednocześnie zajmować się również usługami finansowymi. W obu tych sektorach regulacje dotyczące ochrony danych osobowych różnią się od siebie. Wówczas dwie różne regulacje prawne odnoszą się do tego samego podmiotu. W takich przypadkach nie wiadomo, przepisy którego aktu pranego powinien on stosować. Miejmy nadzieję, że nadchodzące zmiany przepisów o ochronie danych osobowych wykluczą takie sytuacje.

Komisja Europejska w styczniu 2012 r. ma zaproponować projekt nowego aktu prawnego, który zastąpi aktualną dyrektywę o ochronie danych osobowych oraz decyzje ramowe dotyczące ochrony prywatności w sektorze policji i sprawiedliwości. Nie znamy jeszcze jego treści. Podczas konferencji zorganizowanej przez Amerykańską Izbę Handlową próbowaliśmy przewidzieć, jakie rozwiązania zaproponuje Komisja.

Istnieje duże prawdopodobieństwo, że zamiast wspomnianych przepisów, w tym dyrektywy, pojawi się jedno rozporządzenie na poziomie Unii Europejskiej. Gdyby tak się stało, wówczas we wszystkich krajach Unii obowiązywać będzie takie samo prawo materialne dotyczące tych zagadnień. Skończą się dzięki temu problemy wynikające z różnej regulacji ochrony prywatności w różnych krajach Wspólnoty. Na pewno duże zmiany będą dotyczyć procedury rejestracji zbiorów danych osobowych, która uważana jest za wyjątkowo biurokratyczną. Z pewnością zostanie ona uproszczona. Prawdopodobnie rejestrowane będą jedynie zbiory danych wrażliwych. Dodatkowo zamiast listy danych wrażliwych może pojawić się lista wrażliwych sposobów przetwarzania danych osobowych. Ponadto mogą zostać wprowadzone nowe rozwiązania dotyczące przetwarzania danych finansowych oraz profilowania, czyli zestawiania danych z różnych źródeł i np. uzupełniania ich danymi statystycznie poprawnymi.

Proces zmiany przepisów o ochronie danych osobowych jest czasochłonny. Ścierają się w nim bardzo różne interesy. Ochrona danych osobowych wchodzi bowiem w konflikt z innymi równie ważnymi zasadami prawnymi, jak zasada swobody przedsiębiorczości czy zasada transparentności. Projekt aktów prawnych dotyczących ochrony danych osobowych przygotowywany jest przez Komisję Europejską i przedstawiany do dalszej dyskusji Radzie oraz Parlamentowi Europejskiemu. Dopiero po zatwierdzeniu przez te organy akt taki staje się obowiązującym prawem. W czasie tego procesu mają miejsce liczne konsultacje z podmiotami, w tym m.in. organami ochrony danych osobowych czy przedstawicielami instytucji rynkowych.

Traktat lizboński wprowadził bardzo znaczące zmiany, jeśli chodzi o prawo ochrony danych osobowych. Może się wydawać, że to jedynie zmiana filozoficzna. Tymczasem ma ona bardzo praktyczne skutki. Prawo do ochrony danych osobowych stało się jednym z podstawowych praw człowieka chronionych prze Unię. Każdy - niezależnie od tego, czy jest obywatelem Unii Europejskiej, czy pochodzi z jakiegokolwiek kraju spoza Wspólnoty - ma prawo do ochrony swoich danych osobowych na podstawie art. 16 traktatu o funkcjonowaniu Unii Europejskiej. Do tej pory prawo europejskie regulowało proceduralne kwestie dotyczące ochrony prywatności, teraz natomiast wprost stanowi, że jest to jedno z podstawowych praw człowieka. Oznacza to, że musi być uwzględniane przy podejmowaniu każdej decyzji przez każdego sędziego czy urzędnika, zarówno w instytucjach unijnych, jak i we wszystkich instytucjach krajowych od Sądu Najwyższego po urząd gminy.

Przepisy ustawy o dostępie do informacji publicznej przewidują, że w określonych sytuacjach może dochodzić do zderzenia dwu wartości - konstytucyjnego prawa do informacji z przysługującym każdemu z nas prawem do prywatności. Zobowiązując organy władzy publicznej, by działały w sposób przejrzysty, pozwalający ustalić, kto i dlaczego podejmuje konkretne decyzje, stanowią jednocześnie, że prawo do informacji publicznej może podlegać ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji. Problem pojawia się m.in. wówczas, gdy prawo przewiduje obowiązek ujawnienia dokumentów bądź informacji, na podstawie których podjęte zostały określone decyzje. Jednym z przykładów może być załączanie do informacji dotyczących planu zagospodarowania przestrzennego listy uwag wniesionych do tego planu przez obywateli. O ile podanie imienia i nazwiska osoby, która zgłosiła jakąś uwagę, wydaje się być wskazane, o tyle podanie jej adresu zamieszkania nie wydaje się potrzebne dla celów, dla których plan zagospodarowania przestrzennego jest tworzony.

Każda sytuacja, w której nie udziela się informacji publicznej ze względu na ochronę prywatności, może podlegać kontroli sądowej. Nie są to oczywiście proste przykłady. Niedawno sąd w Warszawie rozstrzygał kwestię dotyczącą nieudostępnienia przez prezydent Warszawy listy osób, z którymi urząd miasta zawarł umowę-zlecenie. Sąd pierwszej instancji orzekł, że można ograniczyć dostęp do takiej listy ze wzglądu na ochronę prywatności osób, z którymi umowy-zlecenia zostały zawarte. Przyznam szczerze, że absolutnie nie rozumiałem tego wyroku. Dlatego jak najbardziej zgadam się z wyrokiem sądu drugiej instancji, który stwierdził, że dystrybucja pieniędzy publicznych na podstawie umów zawieranych w normalnym trybie przewidzianym przez ustawę o zamówieniach publicznych z podmiotami zewnętrznymi, podlega ujawnieniu w trybie ustawy o dostępie do informacji publicznej. W szczególności ujawnione powinny zostać nie tylko informacje dotyczące imienia i nazwiska osób, z którymi takie umowy są zawierane, lecz także wysokości środków, które na taką umowę zostały przeznaczone.

Na początku istnienia ustawy o dostępie do informacji publicznej sprawy sądowe toczące się na podstawie jej przepisów były z zasady skomplikowane i sądy nie w pełni wiedziały, jak sobie z nimi radzić, dlatego przeważnie trwały one długo. Obecnie sytuacja bardzo się zmieniła. Sprawy tego typu są już powszechne, ugruntowane zostały zarówno praktyka, jak i orzecznictwo, więc czas postępowania sądowego uległ znacznemu skróceniu.

@RY1@i02/2011/235/i02.2011.235.215000300.802.jpg@RY2@

wojciech górski

Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych

Rozmawiał Mariusz Mosiołek