Od stycznia 2012 roku w Unii Europejskiej toczy się dyskusja nad reformą ochrony danych osobowych, zmierzającą do nowelizacji dyrektywy z 1995 roku. Mówi się o konieczności ustalenia jasnych norm prawnych, przejrzystym zarządzaniu danymi, wzmocnieniu prawa do prywatności, a nawet wprowadzeniu prawa do bycia zapomnianym. Zgodnie z założonym harmonogramem koniec konsultacji przewidziano na czerwiec 2013 roku.

O komentarz na temat kilku wybranych aspektów całej sprawy poprosiliśmy dr Joannę Kuleszę – adiunkta w Katedrze Prawa Międzynarodowego i Stosunków Międzynarodowych Wydziału Prawa i Administracji Uniwersytetu Łódzkiego, wykładowcę m.in. Podyplomowego Studium Ochrony Danych Osobowych – specjalizującą się w międzynarodowym prawie Internetu, prawie nowych technologii, mediów, prawach własności intelektualnej.

Dr Joanna Kulesza: – Jeśli chodzi o ochronę danych osobowych, prywatności, w przypadku usług audiowizualnych świadczonych z wykorzystaniem Internetu, czy sieci telekomunikacyjnych w ogóle, to w moim przekonaniu problemem jest zagadnienie związane z transgranicznością ochrony, i to jest temat na którym koncentruje się także jeden z wątków programu naszego studium podyplomowego z zakresu danych osobowych.

W przypadku Internetu mamy do czynienia z przekazem międzynarodowym. Trudno utrzymać dane w terytorialnych granicach państw zrzeszonych w Unii Europejskiej, zwłaszcza że większość użytkowników Internetu, których dane są przetwarzane, jest w Unii Europejskiej, a większość dostawców usług internetowych ma swoją siedzibę w Stanach Zjednoczonych. Amerykańskie postrzeganie prywatności jest zupełnie inne niż nasze. Dane osobowe w Stanach Zjednoczonych traktowane są jako towar, jako wartość komercyjna. Europejskie standardy ochrony danych osobowych wciąż nie są w Stanach Zjednoczonych w żaden sposób odzwierciedlane. Amerykanie uważają, że ich wolnorynkowe podejście do przetwarzania danych jest lepsze niż nasze, związane z ochroną praw człowieka.

W Stanach Zjednoczonych powoli pojawiają się pomysły dotyczące ochrony prywatności, polityki, która miałaby pozwolić użytkownikom chronić się przed śledzeniem ich samych na przykład przy pomocy urządzeń przenośnych. I być może urządzenia mobilne są tym elementem, który spowoduje, że bardzo rozbieżne stanowiska europejskie i amerykańskie zaczną się w końcu zbliżać.

Toczące się w Unii Europejskiej dyskusje na temat ochrony danych osobowych, które zgodnie z planem powinny się zakończyć w czerwcu, mają za zadanie wzmocnienie prawa do prywatności jednostki, mówi się o prawie do bycia zapomnianym. Przypomnijmy pokrótce, co wchodzi w zakres tej dyskusji…

– J.K: Na pewno takim konkretnym elementem, o którym pani wspomniała, jest prawo do bycia zapomnianym. To bardzo medialny termin, ale kiedy zerkniemy bliżej na jego konstrukcję dowiemy się, że tak naprawdę w praktyce niewiele może się zmienić. Z jednej strony jest to inne ujęcie prawa do wglądu w swoje dane i żądania ich usunięcia. To prawo gwarantowane jest zarówno przez polską ustawę, jak i przez dyrektywę. Nic nowego. Każdy z nas ma prawo zapytać administratora, jakie posiada o nas dane, prosić o ich usunięcie czy modyfikacje.

Korzystanie z prawa do usunięcia danych osobowych stało się bardzo trudne w dobie Internetu. Z jednej strony dlatego, że mamy problem z transgraniczną ochroną danych i jeżeli jest to podmiot administrujący naszymi danymi z siedzibą w Stanach Zjednoczonych, możemy uprzejmie prosić, ale nie mamy tych instrumentów prawnych jakimi dysponujemy Europie, żeby to prawo wyegzekwować. Z drugiej strony zagrożenie pochodzi także od osób prywatnych. Ani ustawy ani dyrektywy nie stosujemy do osób prywatnych, działających w celach prywatnych, np. umieszczających swoje zdjęcia z kolegami lub zdjęcia kolegów na Facebooku. Mamy do czynienia z armią fotografów, robiących zdjęcia, umieszczających je w Internecie, których ustawa czy dyrektywa co do zasady nie obejmuje, bo jest to, jak można sądzić, wykorzystanie danych osobowych w celach prywatnych.

Te nowe zagrożenia spowodowały, że próbuje się wdrożyć prawo do bycia zapomnianym, ale jeśli spojrzymy do projektu rozporządzenia, zobaczymy że polityka pani komisarz Reiding sprowadza się do apelowania. Po otrzymaniu ode mnie jako podmiotu, którego dane dotyczą, żądania usunięcia moich danych, czy skorzystania z prawa do bycia zapomnianym, administratorzy będą zobligowani do dołożenia najlepszych starań, żeby je usunąć i dać znać wszystkim innym, o których wiedzą, że mogliby i z tych danych skorzystać lub nimi administrować, że poprosiłam o ich usunięcie. Wymaganie wobec administratora sprowadza się do dołożenia przez niego należytej staranności. To nie jest żadna gwarancja usunięcia informacji z sieci. Co więcej te regulacje wciąż nie będą dotyczyły osób prywatnych. Będą dotyczyły podmiotów, które przetwarzają dane w związku z działalnością zawodową, zarobkową czy statutową. Zatem moje prawo do bycia zapomnianym w kontekście dyrektywy, ustawy o ochronie danych osobowych, nie ulegnie zmianie względem mojej koleżanki lub kolegi, który umieści moje zdjęcie w Internecie, bo ustawa i dyrektywa, jak wspomniałam, osób prywatnych działających w celach „domowych” nie dotyczą.

Prawo do bycia zapomnianym nie tylko zobowiąże administratora do usunięcia moich danych, ale też do powiadomienia wszystkich innych o moim życzeniu. Sam administrator nie ma oczywiście technicznej możliwości, żeby usunąć te dane zewsząd. Jeśli ktoś nie zechce ich wymazać, będzie mi bardzo trudno zmusić go do tego. Zwłaszcza, jeśli będzie miał swoją siedzibę w Stanach Zjednoczonych czy w Afryce. Istnieją organizacje przestępcze, które trudnią się tylko tym, żeby prowadzić określoną część działalności, związanej z przetwarzaniem danych osobowych, w takiej jurysdykcji, która akurat nie ma regulacji dotyczących ochrony danych osobowych. Są one gromadzone w Europie, eksportowane do państwa, w którym ochrona jest uznana za adekwatną, ale znajdują się tam na tyle szerokie luki prawne, że można dane wyeksportować dalej. To duży rynek i duże pieniądze. Zwłaszcza w dobie zdigitalizowania danych, kiedy są one łatwe do przechowywania i zmieniania, nie sposób walczyć z tym procederem skutecznie. To są kroki, które zmierzają do osiągnięcia celu, ale w stu procentach trudno będzie go osiągnąć.

Profesor Mayer-Schonberger pisał o prawie do bycia zapomnianym zanim pojawiło się ono w prawie wspólnotowym. Zaproponował, żeby do każdego pliku, na przykład do zdjęcia, obok zawartych w nim już metadanych dołączyć informację o dacie wygaśnięcia zgody na jego przetwarzanie, wyrażone przez osobę, której wizerunek ono zawiera. Każdy, kto dostałby takie zdjęcie po dacie wygaśnięcia owej zgody, musiałby je usunąć. To jeden ze sposobów, które moglibyśmy rozważyć. To są koncepcje dogmatyczne, które mogłyby nam pomóc rozwiązać ten problem. Skutecznych koncepcji prawnych na razie nie mamy.

Czy Internauci w Polsce byliby skłonni udostępniać swoje dane, jeśli przyniosłoby to na przykład jakieś wymierne korzyści w danej sytuacji. Posiada pani wiedzę na temat takich zachowań?

– J.K:  W ubiegłym roku miałam okazję uczestniczyć w projekcie, który badał postawy młodych ludzi względem ochrony prywatności. Z badań wynikało, że zależy im, żeby mieć kontrolę nad tym, co jest w sieci. Młodzi użytkownicy Internetu są coraz bardziej świadomi, że trzeba chronić prywatność, bo wszystko może mieć niepożądane konsekwencje. Nie znam natomiast danych potwierdzających świadomość ekonomiczną, czyli postawę „jeśli będę miał z tego korzyść, to jestem gotów udostępnić więcej danych”.

Z ciekawym przypadkiem miałam do czynienia na przykładzie Chin, gdzie prawo do prywatności nie jest w ogóle uznawane, a szczególnie nie jest ono respektowane on-line. Rozmawiałam z młodym dwudziestokilkuletnim Chińczykiem. W Chinach nie trzeba się rejestrować wchodząc on-line, ale i tak rząd wie, co robią internauci. Mój rozmówca nie odczuwał tego jako ograniczenia. Wydawało mu się naturalne, że pewne informacje o nim są po prostu powszechnie dostępne. W Norwegii na przykład udostępniane publicznie są informacje o dochodach.

Jak będą wyglądały mechanizmy zgłaszania nadużyć i jakie będą za nie nakładane kary?

– J.K: Procedury zgłaszania nadużyć nie zostaną znacząco zmienione. Tak jak do tej pory będziemy mogli prosić administratora o pokazanie danych na nasz temat, zapytać skąd je wziął, poprosić o usunięcie. Natomiast elementem bardzo interesującym jest kwestia kar. Znaczącą bolączką implementowanej dyrektywy było to, że nie przewidywała żadnych uprawnień egzekucyjnych, przyznawanych podmiotom chroniącym dane osobowe w danym państwie. Nasz Generalny Inspektor Ochrony Danych Osobowych mógł jedynie zgłosić nadużycie do prokuratury i poprosić o wszczęcie postępowania. Prokuratorzy odrzucali takie wnioski, głównie wskazując niską szkodliwość społeczną.

Nowelizacja ma wprowadzić możliwość nakładania kary finansowej na administratora bezpośrednio przez Generalnego Inspektora Ochrony Danych Osobowych. Mają to być kary dość dolegliwe, wysokie, co wywołuje oczywiście silny opór ze strony administratorów, przedsiębiorców, wobec nowelizacji. Dlatego jeśli mówimy, że wejdzie ona w życie w czerwcu, to możliwe że tylko w pewnym zakresie. Czy uda się ją wprowadzić w takim stanie, w jakim jest obecnie proponowana, tego jeszcze nie wiadomo. Możliwość nałożenia przez GIODO kary na administratora nie spełniającego wymagań ustawowych byłaby ogromną rewolucją.