Toczące się prace nad unijnym rozporządzeniem mającym urzeczywistnić prawo do bycia zapomnianym w sieci mogą się okazać nieskuteczne. Chodzi o zobowiązanie firm internetowych, którym udostępniamy swoje dane osobowe (choćby publikując w portalu społecznościowym zdjęcie z wakacji), do usunięcia wszystkich śladów naszej aktywności, jeśli tego zażądamy.

Te przepisy mogą jednak pozostać martwe. Administratorzy nie mają bowiem kontroli nad tym, co się dzieje z danymi. Przedsiębiorcom będą mimo to grozić drakońskie kary za naruszenia wspomnianego prawa.

Zdjęcie z imprezy wrzucone na Facebooka może np. utrudnić znalezienie pracy. Dlatego każdy z nas powinien mieć prawo do bycia zapomnianym, czyli do skasowania tego, czego już nie chcemy, by inni o nas wiedzieli.

Tak przynajmniej uważa Komisja Europejska, która proponuje wprowadzenie takiej regulacji w projekcie rozporządzenia o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i ze swobodnym przepływem takich danych.

Prace nad tym rozporządzeniem trwają już od kilku miesięcy, ale w ostatnim czasie głośno zaczęły przeciwko niemu protestować organizacje skupiające przedsiębiorców, zrzeszone w Business Europe.

Ich zdaniem prawa do bycia zapomnianym w praktyce nie da się zastosować. Zgodnie z propozycjami KE pierwotny administrator miałby na żądanie użytkownika nie tylko sam skasować dane, lecz także dotrzeć do wszystkich innych podmiotów je przetwarzających.

To zaś będzie niewykonalne. Nikt nie jest bowiem w stanie kontrolować tego, co się dzieje z publicznie dostępnymi informacjami. Mogą być masowo kopiowane i przetwarzane przez tysiące podmiotów.

Wątpliwości co do skuteczności tego rozwiązania ma także dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.

– Administrator serwisu, na którym umieszczono np. zdjęcie, niekoniecznie musi wiedzieć, gdzie je skopiowano. Śledzenie tego jest do pewnego stopnia możliwe dzięki tzw. tracking cookie, tyle że to kłóciłoby się z innymi przepisami dotyczącymi prywatności. Nie za bardzo więc wiem, w jaki sposób ten obowiązek mógłby być realizowany – przyznaje.

Techniczne możliwości realizacji prawa do bycia zapomnianym to jedno. Inną sprawą jest, czy prawo to nie będzie nadużywane do fałszowania historii.

Będą drakońskie kary
● Za naruszenie prawa do bycia zapomnianym, w tym niepodjęcie kroków zmierzających do ustalenia innych, którzy mogą przetwarzać dane, będzie grozić przedsiębiorcy grzywna w wysokości do 1 proc. jego rocznego globalnego obrotu.
● Dwukrotnie wyższa kara, bo nawet do 2 proc. rocznego światowego obrotu, będzie wymierzana np. za przetwarzanie danych bez podstawy prawnej, nierespektowanie sprzeciwu osoby zainteresowanej czy brak informacji o naruszeniu ochrony danych.

– Wydaje się, że KE trochę za bardzo zachłysnęła się samą ideą i przedstawiła rozwiązanie nie do końca dopracowane. Prawo do bycia zapomnianym nie powinno umożliwiać zatarcia faktów czy prawdy historycznej, a takie ryzyko istnieje – mówi Michał Czerniawski, prawnik w kancelarii WKB Wierciński, Kwieciński, Baehr.

Dr Wiewiórowski wskazuje, że takie przypadki miały już miejsce w przeszłości.

– Osoba skazana za morderstwo znanego aktora po odbyciu kary zażądała od niemieckiej Wikipedii usunięcia informacji o niej, gdyż utrudnia to jej powrót do życia w społeczeństwie. Co ciekawe, serwis niemiecki uznał te żądania za słuszne. Informacja ta pozostała w archiwach internetowych. Jedna z amerykańskich gazet odmówiła wyraźnie wymazania tych danych. Stwierdziła – moim zdaniem słusznie – że przecież morderstwo miało miejsce i jest to fakt historyczny – mówi.

Przedsiębiorcy w całej UE protestują także przeciwko innym regulacjom proponowanym w projekcie.

– Zaniepokojenie budzą kary finansowe sięgające 2 proc. globalnego obrotu, które krajowe organy kontrolne będą nakładały za często nieprecyzyjnie określone czyny. Funkcjonowanie firm utrudnią obowiązek dokumentowania każdej operacji dotyczącej danych osobowych, i przepisy, które drobiazgowo rozstrzygają, jakie działania przedsiębiorcy muszą podjąć, żeby zapewnić ochronę danych – ocenia Magdalena Piech, ekspert PKPP Lewiatan.

Wprowadzenie rejestru operacji przetwarzanych, obowiązek zgłaszania zagrożenia dla bezpieczeństwa danych w ciągu 24 godzin, konieczność powoływania inspektorów ochrony danych – to wszystko generować będzie koszty po stronie przedsiębiorców.

– Może to obniżyć konkurencyjność firm unijnych. Rozporządzenie będzie stosowane do wszystkich podmiotów oferujących towary lub usługi na terenie UE, niemniej poza terytorium Unii ciężko będzie wyegzekwować obowiązki, które nakłada. W praktyce przedsiębiorstwa unijne, w tym polskie, mogą mieć więcej obowiązków niż podmioty oferujące podobne towary lub usługi na terenie Unii, ale zarejestrowane na przykład w USA czy Rosji.

To zaś będzie się wiązało z większymi kosztami ich działalności – ocenia Michał Czerniawski.

Zaznacza jednak, że spora część zmian jest korzystna dla przedsiębiorców.

– Zbiory danych nie będą już podlegać obowiązkowej rejestracji, z wyjątkiem tych, których przetwarzanie wiąże się z wysokim ryzykiem i których przetwarzanie trzeba będzie skonsultować z GIODO. Znacznie łatwiej też będzie przekazać dane do państwa trzeciego – wylicza.