Prawdopodobnie większość z Was nie zauważyłą, ale wczoraj obchodziliśmy VII Europejski Dzień Ochrony Danych Osobowych. Warto zatem kilka słów napisać o Wielkiej Reformie, jaka szykuje nam się w tym zakresie na poziomie prawa EU.  Zaawansowane prace Parlamentu Europejskiego nad projektem ogólnego rozporządzenie o ochronie danych, trochę przypominają sytuację, która miała miejsce w ubiegłych latach przy okazji prac nad porozumieniem wielostronnym ACTA. W najbliższych miesiącach dowiemy się zatem, czy można oszukać przeznaczenie.

Z uwagi na znaczny postęp technologiczny, jaki miał miejsce w ostatnich dwóch dziesięcioleciach, Bruksela został postawiona przed poważnym wyzwaniem, jakim jest reforma regulacji z zakresu ochrony danych osobowych. Obecnie obowiązująca Dyrektywa nr 95/46/WE (przyjęta w roku 1995r.), już dawno przestała spełniać przypisaną jej rolę, pozostawiając – zarówno Państwom członkowskim, jak i funkcjonującym w transgranicznej przestrzeni podmiotom – duże pole do mniejszych bądź większych nadużyć. W odpowiedzi na powyższy problem, Komisja Europejska przygotowała projekt nowej regulacji prawnej, której założeniem jest kompleksowe uregulowanie kwestii ochrony danych osobowych oraz zharmonizowanie w tym zakresie prawa europejskiego.

Różnica pomiędzy teorią a praktyką, ideą a rzeczywistością, pomysłem a jego realizacją jest zapewne każdemu z Was bardzo dobrze znana. Idea w postaci kompleksowego i harmonijnego uregulowania kwestii związanych z ochroną danych osobowych, w celu zapewnienia podmiotom funkcjonującym w transgranicznej przestrzeni bezpieczeństwa i pewności swoich spraw, jest ze wszechstronna słuszna. Diabeł tkwi jednak w szczegółach – idea to jedno, a przekucie tej idei w czytelny, jednoznaczny i zaspokający interesy wszystkich zainteresowanych akt prawny, to drugie.

Pierwszym z problemów jaki pojawił się podczas tworzenia nowego rozporządzenia (tak, będzie to rozporządzenie, a nie jak dotychczas dyrektywa) polega na niemożności wypracowaniu stanowiska, które zaspokoiłoby jednocześnie interesy konsumentów i przedsiębiorców. Punktami spornymi są przede wszystkim regulacje dotyczące profilowania, koncepcji uzasadnionego interesu oraz zgłaszania wycieków danych osobowych.

Profilowanie

W pierwotnej wersji, projekt rozporządzenia, choć nie zakazywał profilowania (tworzenia profilu osobowościowego podmiotu w celu m.in. przygotowywania oferty czy oceny zdolności do ponoszenia różnego rodzajów obciążeń), to przewidywał rozliczne regulacje ograniczające możliwość profilowania danych przez przedsiębiorców. Zgodnie z art. 20 ust. 2 projektu przedmiotowego rozporządzenia, przedsiębiorca mógł wykonywać czynność w postaci profilowania jedynie wówczas, gdy spełnił łącznie trzy warunki tj.

  1. przetwarzanie miało miejsce w trakcie zawierania lub wykonywania umowy,
  2. możliwość profilowania została wyraźnie dozwolona w prawie Unii lub państwa członkowskiego,
  3. otrzymał stosowną zgodę podmiotu danych.

Brzmienie powyższego przepisu nie przypadło do gustu lobby korporacyjnemu, gdyż przeważająca część przedsiębiorstw działających w branżach tj. m.in. ubezpieczenia, bankowość, reklama behawioralna czy social media, wspomaga się w swojej działalności (głównie w procesie decyzyjnym i reklamie) właśnie profilowaniem.

Rekonstrukcja sekwencji zdarzeń, do których doszło po ujrzeniu światła dziennego omawianego rozporządzenia, nie powinna nastręczyć nikomu większych problemów. Jak wiadomo, gdzie banki tam pieniądze, a gdzie pieniądze tam duża siła oddziaływania. Poprawki do projektu ogólnego rozporządzenia o ochronie danych pojawiły się już 23 stycznia 2013 r., całkowicie zmieniając charakter  wyżej przytoczonych regulacji. Zakres naniesionych zmian jest tak daleko idący, iż projekt rozporządzenie nie normuje już przedmiotu jakim jest profilowanie. W swoim obecnym brzmieniu, artykuł 20, dotyczy automatycznego przetwarzania danych, które stanowi pojęcie nieznacznie węższe niż profilowanie. Jednocześnie, legislator postanowił usunąć z projektu wszystkie wcześniejsze ograniczenia, wprowadzając w ich miejsce jedynie zakaz podejmowania decyzji dyskryminujących, bądź niesprawiedliwych w stosunku do podmiotów danych. Jak można zauważyć, zakaz ten nie dotyczy stricte procesu automatycznego przetwarzania danych, lecz jedynie aspektu decyzyjnego. W konsekwencji powyższego podmioty dokonujące automatycznego przetwarzania danych nie będą musiały występować o stosowną zgodę do podmiotów danych. Co więcej, będą mogły dokonywać automatycznego przetwarzania danych w każdej sytuacji, a nie tylko przy okazji konkretnych czynności prawnych bądź faktycznych.

W kontekście przedmiotowych rozważań, należy jednak pamiętać o tym, iż poprawki wprowadzone przez Komisję Rynku Wewnętrznego i Ochrony Konsumentów (IMCO) nie oznaczają, że prace nad rozporządzeniem o ochronie danych zostały zakończone. Projekt muszą zatwierdzić jeszcze m.in. cztery pozostałe komisje PE oraz Rada.

Co więcej, nie istnieją żadne przeszkody, aby kraje członkowskie samodzielnie uregulowały omawiany problem, wprowadzając stosowane regulacje w ustawodawstwie krajowym. Jednocześnie pozostaje pytanie czy projekt rozporządzenia w pierwotnym charakterze, nie doprowadziłby do wzrostu ilości procedur formalno-prawnych, a w konsekwencji czego nie obciążyłby wynikającymi z tego faktu kosztami konsumentów? Wydaje się, iż legislator nie potrafi znaleźć odpowiedniej równowagi pomiędzy interesem podmiotów gospodarczych, a interesem podmiotów fizycznych oraz, że przez każdorazową radykalizację – bądź w jedną bądź w drugą stronę – swojego stanowiska, działa na szkodę zarówno przedsiębiorców jak i konsumentów. 

CDN. 

autorem wpisu jest Paweł Ślązak