Unia chce zmusić firmy do dbania o dane osobowe wysokimi karami

Projekt, który obecnie znajduje się w fazie konsultacji międzyresortowych w ramach Komisji Europejskiej, oficjalnie zostanie przedstawiony przez Komisję Europejską pod koniec stycznia 2012 roku. Wtedy też zostanie skierowany do standardowej procedury uchwalania aktu prawnego, która najprawdopodobniej rozpocznie się w lutym 2012 roku. Trudno mi powiedzieć, jak długo te prace będą trwały, bo to przede wszystkim zależy od pierwotnego stanowiska poszczególnych państw członkowskich oraz stanowiska Parlamentu Europejskiego. Jeżeli napotkamy zdecydowany protest ze strony państw członkowskich bądź ze strony rzeczników ochrony danych osobowych, to ten proces może się wydłużyć. Przypuszczam, że w perspektywie dwóch, trzech lat nowe przepisy zaczną obowiązywać.

Formalnie ostateczny tekst projektu nie został jeszcze dostarczony rzecznikom ochrony danych osobowych krajów Unii Europejskiej. Nie mogę więc wypowiadać się na temat ostatecznego projektu. Dziś jedynie mogę wyrazić swe zdanie co do nieoficjalnego tekstu. Jest to projekt rewolucyjny. Nie są to bowiem poprawki do istniejącego systemu, lecz wprowadzenie zupełnie nowej regulacji. Kluczowe jest to, że dzisiejsza dyrektywa o ochronie danych osobowych z 1995 roku zostanie zastąpiona rozporządzeniem.

Rozporządzenie to akt, który obowiązuje bezpośrednio w krajach członkowskich bez potrzeby wydawania aktów prawa krajowego. Wynikające z niego normy muszą być stosowane przez polskie organy administracji publicznej. Ponieważ zaś mogą mieć cechę określaną jako bezpośredni skutek, wszystkie podmioty rynkowe i obywatele będą mogli wprost się na nie powoływać. Zatem w Polsce niepotrzebna byłaby ustawa o ochronie danych osobowych, ponieważ wszystkie przepisy materialne powinny znaleźć się w rozporządzeniu. Tak byłoby w każdym kraju członkowskim Unii Europejskiej, jednak nie do końca wierzę, że taka stuprocentowa harmonizacja nastąpi.

Przepisy są odświeżone pod względem terminologii, która jest używana w świecie nowych technologii. Jednocześnie są one technologicznie neutralne. Mam na myśli to, że nie opisują konkretnych modeli biznesowych czy technologii, lecz wprowadzają rozwiązania prawne umożliwiające rozwiązanie problemów występujących w związku z wykorzystywaniem nowoczesnych technologii. Podam przykład dotyczący cloud computingu, czyli chmury obliczeniowej. W projekcie rozporządzenia nie ma żadnych przepisów dotyczących przetwarzania danych osobowych w chmurze obliczeniowej, są za to przepisy dotyczące tzw. wiążących reguł korporacyjnych, które będą przyjmowane przez firmę stosującą takie rozwiązania. Zatem rozporządzenie nie reguluje konkretnych technologii, lecz wprowadza zasady i procedury, których trzeba przestrzegać przy ich używaniu.

Idea prawa do bycia zapomnianym jest rozumiana na dwa sposoby. Po pierwsze, jako prawo do tego, żeby informacja o nas nie pojawiała się w internecie, o ile tego nie chcemy, chyba że taki obowiązek nakładają na nas przepisy prawa. Po drugie, jako prawo do tego, by informacje o nas, które zostały już udostępnione w internecie czy to przez osobę, której dane dotyczą, czy też przez inne osoby, można było wycofać. W projekcie rozporządzenia rzeczywiście pojawiają się pewne rozwiązania dotyczące prawa do bycia zapomnianym, aczkolwiek trudno powiedzieć, żeby były to precyzyjne normy, na które można by się było powoływać np. przed sądem. Jest to raczej podkreślenie zwrócenia uwagi na potrzebę usuwania tych danych, które w sposób niezgodny z prawem pojawiły się w internecie, niż rzeczywiste prawo do bycia zapomnianym w rozumieniu filozoficznym. Moim zdaniem jest to pewnego rodzaju wskazanie, między innymi dla organu ochrony danych osobowych, jak sobie z tym problemem radzić, niż obowiązek, który jako prawnik uznałbym za wymagalny przed sądem.

Przyznam szczerze, że nie bardzo wyobrażam sobie, w jaki sposób można w przepisach prawnych uregulować takie klasyczne, szeroko rozumiane prawo do bycia zapomnianym.

Rzeczywiście pojawiły się bardzo konkretne rozwiązania, mocno wpływające na dotychczasowy sposób działania organów ochrony danych osobowych. Dla przykładu podam trzy grupy takich rozwiązań. Pierwszym jest podkreślenie roli niezależności - również organizacyjnej i finansowej - organów ochrony danych osobowych, chociaż w Polsce nie jest to problemem. Drugą istotną kwestią jest stworzenie procedur koordynacyjnych i uwspólniających. Chodzi o decyzje wydawane przez organy ochrony danych osobowych, które dotyczą spraw ponadgranicznych, czyli więcej niż jednego kraju członkowskiego. Pomocne byłyby wówczas, gdy np. osoba z Polski chciałaby zaskarżyć firmę z Niemiec, a dane przechowywane są w Danii. Te procedury koordynacyjne zostały dość dokładnie opisane i myślę, że jest to interesujący pomysł, który da się zrealizować. Trzecim, najbardziej znamiennym, ale i być może najbardziej kontrowersyjnym rozwiązaniem, jest wprowadzenie wspólnego systemu kar administracyjnych dla całej Unii Europejskiej.

W Unii Europejskiej niektóre organy ochrony danych osobowych mają charakter klasycznie rzecznikowski. Nie wydają one żadnych decyzji ani nie nakładają żadnych kar. Istnieją też organy ochrony danych osobowych o takim charakterze jak w Polsce. Co prawda, mają uprawnienia do wydawania decyzji administracyjnych i mogą też nakładać kary finansowe, ale tylko w ograniczonym zakresie. Jeszcze inny model mają organy takie jak np. w Wielkiej Brytanii. Tamtejszy Information Commissioner całkiem niedawno nałożył karę 1,5 mln funtów na jedną z firm za wyciek danych osobowych z jej zasobów.

W projekcie rozporządzenia pojawia się rozwiązanie wspólne dla całej Europy. Polega ono na wprowadzeniu systemu karania podmiotów naruszających przepisy o ochronie danych osobowych. Jej najwyższy możliwy wymiar to 1 mln euro bądź 5 proc. obrotów danego przedsiębiorstwa. To jest bardzo ważna zmiana. Podobne rozwiązania były dyskutowane w Polsce w 2007 roku, choć oczywiście chodziło wówczas o znacznie niższe kary. System ten nie został wówczas wprowadzony do polskiego prawa. Natomiast dziś wprowadzenie systemu, który ujednolicałby prawo materialne bez jednoczesnego ujednolicenia systemu kar, po prostu nie miałoby sensu. Należy więc spodziewać się znacznego rozszerzenia uprawnień GIODO w tym zakresie.

@RY1@i02/2011/241/i02.2011.241.07000070e.802.jpg@RY2@

dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Rozmawiał Adam Makosz