Szymielewicz: Unia może zawalczyć o naszą prywatność

Po tym, jak niemiecka opinia publiczna zawrzała na wieść o współpracy niemieckich służb z amerykańską NSA (National Security Agency), Angela Merkel publicznie opowiedziała się za globalnym porozumieniem w sprawie ochrony danych.

Stworzenie ponadnarodowych ram prawnych, które uniemożliwią niekontrolowaną ingerencję służb wywiadowczych w naszą prywatność, to piękna idea, ale też trudne przedsięwzięcie. Patrząc z perspektywy miejsca, w którym znajdujemy się obecnie, warto zacząć od stworzenia mocnych, europejskich ram ochrony prywatności.

Trwające od ponad roku prace nad nowym rozporządzeniem o ochronie danych osobowych, które ma bezpośrednio obowiązywać w całej Unii, nie rozwiążą problemu niekontrolowanego dostępu zagranicznych służb do naszych danych. Mogą jednak rozwiązać kilka innych: ucywilizować zasady transferu danych poza granice UE i nałożyć te same standardy ochrony danych na wszystkie firmy działające na europejskim rynku (także zarejestrowane w USA).

Na łamach „Rzeczpospolitej" do tej pory przeważały krytyczne opinie o projekcie rozporządzenia, niesłusznie pomijające pozytywne zmiany, jakie proponuje Komisja Europejska, lub pokazujące jego dobre założenia w krzywym zwierciadle.

Jacek Kędzierski w swoim komentarzu

(„Rzeczpospolita" z 5 lipca br.) koncentruje całą uwagę na jednym z prawie stu przepisów zawartych w projekcie – tzw. prawie do bycia zapomnianym (art. 17), które rzeczywiście wzbudza duże kontrowersje.

Autor rozpędza się jednak w swojej krytyce, sugerując, że Komisja Europejska chce nas przenieść do orwellowskiego roku 1984 i umożliwić poprawianie historii. Tymczasem projekt nie zakłada ani możliwości ingerowania w wolność wypowiedzi czy działalność dziennikarską (jest na to wyraźne wyłączenie), ani nawet prawa do skutecznego usunięcia danych, które zostały już opublikowane.

Jedyną nowością, w porównaniu z obecnie obowiązującym prawem, jest nałożenie na administratora, który upublicznił dane osobowe, obowiązku „podjęcia wszelkich rozsądnych kroków" w celu poinformowania innych podmiotów, które mogą te dane przetwarzać, o tym, że podmiot danych domaga się ich usunięcia. Ta piętrowa konstrukcja w praktyce nie gwarantuje nic, poza murowanym rozgłosem w przypadku żądania usunięcia informacji czy obrazów faktycznie naruszających czyjąś prywatność (tzw. efekt Streisand). Z tego względu (ale nie z obawy przed cenzurą sieci!) pomysł komisarz Reding jest powszechnie krytykowany także przez organizacje broniące praw obywatelskich.

Inne zarzuty pod adresem projektu rozporządzenia o ochronie danych osobowych stawia Michał Kaczorowski („Rzeczpospolita" z 10 lipca br.). Ekspert Związku Pracodawców Branży Internetowej IAB Polska rysuje wizję surowej regulacji, która nadmiernie obciąży polskich przedsiębiorców, szczególnie tych internetowych. Kaczorowski zwraca szczególną uwagę na – w jego opinii poszerzoną – definicję danych osobowych, podwyższenie standardu wyrażenia zgody na przetwarzanie danych (z domyślnej na wyraźną) i wysokie sankcje finansowe za nieprzestrzeganie prawa.

Porównanie obowiązującej dyrektywy z 1995 r. i polskich przepisów z nowymi propozycjami potwierdza to, co deklaruje ich autorka, komisarz Viviane Reding: projekt rozporządzenia to ewolucja, nie rewolucja w sferze standardów ochrony danych osobowych. Żadna z podstawowych zasad ich przetwarzania nie zostaje zaostrzona, a niektóre – jak choćby zakaz podejmowania decyzji w oparciu o automatyczne przetwarzanie danych (np. profilowanie) – uległy wręcz złagodzeniu.

Już dziś polskie prawo wymaga, by zgoda podmiotu danych była udzielona w sposób wyraźny, ponieważ tylko takie oświadczenie woli można uznać za w pełni świadome i dobrowolne. Tylko tą drogą możemy odejść od fikcji, jaką jest wyrażanie „zgody" na niemal dowolne wykorzystywanie naszych danych poprzez samo wejście na stronę internetową czy zaakceptowanie niezrozumiałego regulaminu.