Wielka Reforma Danych przypomina rozpędzony pociąg , którego nie można co prawda zatrzymać, ale istnieje szansa, że damy radę skierować go na właściwy tor. Miejmy przy tym nadzieję, że się nie wykolei.
Jak wspomniałem w poprzednim wpisie, projekt nowego unijnego rozporządzenia, zaserwowany nam przez KE, dotyka wielu newralgicznych kwestii, ingerując przy tym w większym bądź mniejszym stopniu w życie codzienne każdego z obywateli UE. Na obecnym etapie projekt rozporządzenia znajduje się w PE i Radzie, w której odbyły się dwie debaty zwiastujące nadchodzące głosowanie nad projektem wraz ze zgłoszonymi do niego poprawkami. Proces decyzyjny podlega w tym przypadku zwykłej procedurze ustawodawczej, wymagającej podjęcia wspólnej decyzji przez PE i Radę (art. 16 § 2 oraz art. 114 § 1 TFUE).
Co wynika z powyższego? Z powyższego pośrednio wynika, że wpływ na dalsze losy projektu rozporządzenia posiadać będzie Minister Administracji i Cyfryzacji Michał Boni, który z uwagi na zajmowane stanowisko jest członkiem Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Minister Boni (nie wiadomo czy bardziej z poczucia obowiązku, czy też z obawy przed tym, że sprawy mogą przybrać obrót tak jak w przypadku ACTA) postanowił zorganizować szereg konferencji, których głównym celem jest wypracowanie wspólnego stanowiska Polski w sprawie unijnej reformy. Jednym z bardziej kontrowersyjnych tematów, poruszanych podczas organizowanych konferencji, okazał się być od dawna analizowany przez specjalistów z dziedziny prawa własności intelektualnej temat „prawa do bycia zapomnianym”, będący jednocześnie kolejną płaszczyzną obnażającą przepaść jaka dzieli interesy konsumentów od interesów przedsiębiorców.
Problematyka tematu „prawa do bycia zapomnianym” została szczegółowo przedstawiona tutaj oraz pośrednio tutaj. Przypominam, że chodzi o prawo osób poruszających się w wirtualnej przestrzeni do usunięcia śladów swojej aktywności oraz obecności z prowadzonych przed różnorakie podmioty zbiorów danych. Ta kolejna jakże piękna idea, jak każda piękna idea związana z ochroną danych, znalazła swój wyraz w artykule 17 projektu rozporządzenia KE, w myśl którego „Podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych” (art. 17 ust. 1). Projekt rozporządzenia, co prawda wylicza enumeratywnie sytuacje w których podmiot danych może wystąpić do administratora danych o ich usunięcie, lecz są one określone w sposób na tyle ogólny, że (1) istnieją spore trudności związane z przyporządkowaniem konkretnych sytuacji do konkretnych dyspozycji oraz (2) istnieje duże ryzyko nadinterpretacji. Pochylając się nad powyższym problemem należy zastanowić się w jaki sposób powinniśmy interpretować dyspozycję traktującą np. o „danych, które nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób”? W jaki sposób podmiot danych ma wykazać, że dane nie są już potrzebne administratorowi? Z czego należy wywodzić cel zebrania danych? Co w sytuacji w której dane były zabrane w celu przetwarzania ich przez inne podmiotu? Czy można wystąpić do administratora z żądaniem zaprzestania dalszego rozpowszechniania danych z uwagi na nie przetwarzanie tych danych? Na kim spoczywa ciężar udowodnienia celu dla którego zostały zebrane dane? Nie wiadomo. Zastanawiające? Prawdziwe problemy dopiero się zaczynają.
Jak autorka projektu Viviane Reding wyobraża sobie zakres obowiązków spoczywających na administratorze danych w przypadku, w którym użytkownik zażąda od niego usunięcia danych, które zostały podane do publicznej wiadomości? Nic prostszego: administrator powinien usunąć przedmiotowe dane. Dodatkowo powinien powiadomić wszystkie osoby trzecie o tym, że powinny usunąć kopie tych danych oraz replikacje danych, jak i linki do nich. W jaki sposób należy to zrobić? Podejmując wszelkie uzasadnione kroki. Czym są wszelkie uzasadnione kroki? Nie do końca wiadomo. W jaki sposób administrator ma dowiedzieć się jakie osoby trzecie posiadają kopię przedmiotowych danych? Nie wiadomo. Skąd możemy wiedzieć, że administrator podjął wszelkie uzasadnione kroki? Nie możemy. Zastanawiające? Prawdziwe problemy dopiero się zaczynają.
Prawdziwe problemy to utrudnienia oraz koszty, które będą musieli ponieść administratorzy danych, którzy w celu prawidłowej obsługi zgłaszanych żądań będą musieli stworzyć specjalny system, który będzie (1) weryfikował dane osoby żądającą usunięcia danych (2) weryfikował zasadność wysuniętego żądania (3) poszukiwał osób trzecich posiadających kopie, replikacje i linki do przedmiotowych danych (4) informował odnalezione osoby trzecie o żądaniu podmiotu danych (5) weryfikował czy przedmiotowe dane zostały usunięte (6) informował o podjętych działaniach podmiot danych etc. Jak opisaną wyżej procedurę można sobie jeszcze wyobrazić w kontekście małych przedsiębiorców gromadzących bądź w inny sposób przetwarzających małą ilość danych, tak problem pojawia się w przypadku większych firm tj. m.in. banki czy towarzystwa ubezpieczeniowe, które posiadają setki tysięcy klientów. Można sobie wyobrazić, że wypracowanie oraz wdrożenie przedmiotowych procedur będzie zarówno kosztowne jak i czasochłonne, a już sam proces weryfikacji osoby żądającej usunięcia danych może stanowić duży problem, bo raczej trudno założyć, że bank w wyniku dyspozycji wydanej za pośrednictwem poczty elektroniczne bądź telefonu trwale usunie historię kredytową bądź historię rachunku bankowego klienta. W tym miejscu należy zaznaczyć, że projekt rozporządzenia przewiduje, że usunięcie danych miałoby nastąpić niezwłocznie.
Co jednak w przypadku w którym koniecznym będzie wprowadzenie czasochłonnej procedury weryfikacji danych osób występujących z żądaniem bądź też weryfikacji charakteru przetrzymywanych danych? Co w przypadku w którym dane nie zostaną niezwłocznie usunięte, a winnym zwłoki będzie podmiot danych? Nie wiadomo. Zastanawiające? Bardzo.
Jak można zauważyć, duża część postanowień zamieszczonych w art. 17 projektu omawianego rozporządzenia jest nad wyraz niepraktyczna, niedoprecyzowana oraz wyjątkowo rygorystyczna. Istnieje tym samym obawa, że artykuł 17 przedmiotowego rozporządzenia będzie kolejnym martwym zbiorem przepisów, który nie znajdzie zastosowania w realnym świecie. Podobnego stanowiska zdaje się być MAC na którego stronie można przeczytać, iż: „Usunięcie danych osobowych obywatela upublicznionych już w sieci jest bowiem techniczne skomplikowane i kosztowne do wprowadzenia. Proponowana treść przepisu nie uwzględnia też specyfiki różnych branż (np. bankowej), gdzie prawo do bycia zapomnianym może powodować usunięcie danych historycznych obywatela, niezbędnych np. do oceny jego wiarygodności kredytowej, co spowoduje poważne zagrożenie udzielenia kredytu osobom „bez historii kredytowej”. Dlatego rozważana jest modyfikacja tego zapisu.” W tym samym tonie wypowiada się również Lidia Geringer de Oedenberg, która słusznie zauważyła, że „Nie jest bowiem możliwe, aby wszystkie zamieszczone przez nas lub o nas informacje w przestrzeni on-line mogły zostać usunięte za sprawą jednego „zgłoszenia chęci” ich usunięcia administratorowi.”.
Jak powinna zatem wyglądać kompromisowa regulacja dotyczą „prawa do bycia zapomnianym”, która będzie pozwalała na szybkie i sprawne usunięcie danych osobowych z wirtualnej przestrzeni bez przerzucania ciężaru dokonania przedmiotowej czynności na administratora danych? Odpowiedź na to pytanie (a przynajmniej jej fragment) można znaleźć w części ze 111 poprawek (w sumie w stosunku do całego rozporządzenia zgłoszono 3133 poprawek !) dotyczących art. 17 projektu omawianego rozporządzenia. Najciekawszymi propozycjami zdają się być przy tym propozycje dotyczące: uregulowania kwestii danych osób zmarłych, wprowadzenia prawa do żądania usunięcia danych od osób trzecich i osób przetwarzających dane (rozłożenie ciężaru na różne podmioty), wprowadzenie prawa do żądania usunięcia danych na podstawie wyroku sądowego, wykreślenie obowiązku powiadamiania osób trzecich o konieczności usunięcia danych bądź uzależnienie obowiązku podejmowania takich działań od zaistnienia konkretnych sytuacji, zastąpienie wyrażenia „niezwłoczność” wyrażeniem „bez zbędnej zwłoki”, wprowadzenie możliwości odmowy usunięcia danych w przypadku w którym dotyczą one dokumentacji medycznej, wprowadzenie możliwości odmowy usunięcia danych w przypadku w którym mogą one służyć do zapobiegania przestępstwom, zapobiegania nadużyciom lub innym przestępstwom finansowym, potwierdzenia tożsamości lub stwierdzenia zdolności kredytowej czy też zastąpienie możliwości ograniczania danych możliwością ich blokowania.
Jak można zauważyć dobrych pomysłów jest sporo, lecz czy istnieje tak naprawdę realna możliwość stworzenia dobrze funkcjonującego, egzekwowalnego aktu prawnego, będącego sensowną odpowiedzią na stojące przed współczesnym społeczeństwem wyzwania? Rozważając poszczególne aspekty przedmiotowego zagadnienia najbliższym wydaje się być stanowisko eurodeputowanego Axela Vossa, który stwierdził, że „prawo do bycia zapomnianym jest złudne”.
CDN.
wpis autorstwa Pawła Ślązaka
