Firmy takie jak Google czy Facebook będą podlegać unijnym przepisom o ochronie danych. Za ich łamanie grozić ma kara do 100 mln euro.

Przegłosowany wczoraj przez Parlament Europejski projekt nowego rozporządzenia ma na nowo zdefiniować prawo do ochrony prywatności i obowiązki przedsiębiorców przetwarzających dane osobowe. Co istotne, ponieważ nowe przepisy zostaną wydane w formie rozporządzenia, to będą obowiązywały wprost w całej UE. Według szacunków Komisji Europejskiej dzięki jednolitemu prawu firmy zaoszczędzą 2,3 mld euro rocznie.

Prace nad projektem rozporządzenia, rozpoczęte już przed dwoma laty, nabrały przyspieszenia w połowie 2013 r. po ujawnieniu przez Edwarda Snowdena afery PRISM. Powód jest prosty – nowe prawo ma objąć także firmy działające poza UE. Chodzi głównie o potentatów amerykańskich takich jak Google czy Facebook. Chociaż z ich usług korzystają setki milionów Europejczyków, to nie muszą oni respektować unijnych przepisów. Dotyczy to również danych o użytkownikach przekazywanych okrytej złą sławą agencji NSA. Zgodnie z jedną z poprawek firmy internetowe chcąc ujawnić krajom trzecim informacje dotyczące obywateli UE, będą musiały uzyskiwać zgodę krajowych organów odpowiedzialnych za ochronę danych osobowych (w Polsce – Generalnego Inspektora Ochrony Danych Osobowych). Nie było też przypadkiem, że podczas wczorajszej sesji Parlament Europejski przyjął osobną rezolucję, wzywając USA do zaprzestania inwigilacji pod groźbą nieprzyjęcia umowy w sprawie handlu i inwestycji między UE a USA.

Po wejściu w życie nowego rozporządzenia nie będzie mieć znaczenia, gdzie dana firma ma siedzibę. Jeśli będzie oferowała towary lub usługi użytkownikom w UE, to automatycznie podpadnie pod europejskie prawo. Nieważne przy tym będzie, czy wiąże się to z jakimikolwiek płatnościami. Innymi słowy, skoro swe profile na Facebooku mogą zakładać Polacy czy Francuzi, to serwis ten będzie musiał respektować nowe prawo.

– Może to przyczynić się do zniwelowania różnic w swobodzie i zakresie oferowanych usług internetowych – komentuje Michał Kluska, adwokat w kancelarii Olesiński & Wspólnicy.

Olbrzymie kary

Co istotne, nowe obowiązki opatrzono poważnymi sankcjami. Rzecznicy ochrony danych osobowych zyskają bowiem możliwość nakładania kar administracyjnych. Już pierwotna propozycja KE, mówiąca o maksymalnym wymiarze kary wynoszącym 1 mln euro lub 2 proc. rocznych światowych obrotów firmy, budziła olbrzymie kontrowersje. Unijna Komisja Przemysłu, Badań Naukowych i Energii zgłosiła poprawki zmierzające do skreślenia tego przepisu. Parlament opowiedział się jednak za poprawkami przedstawionymi przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, a te poszły dużo dalej. Przyjęty wczoraj projekt przewiduje nawet 100 mln euro lub 5 proc. globalnych obrotów rocznych, w zależności od tego, która sankcja będzie dotkliwsza.

Spore kontrowersje wzbudzało też zaproponowane przez Komisję Europejską „prawo do bycia zapomnianym”. Zgodnie z założeniami internauta mógł w każdym momencie wycofać zgodę na przetwarzanie danych. W praktyce mógłby zażądać usunięcia zdjęć, filmów czy wpisów, które umieścił na serwisie społecznościowym. To jednak nie wszystko. Serwis musiałby wówczas podjąć dalsze kroki, by powiadomić także innych administratorów, by i oni usunęli te dane. Krytycy tego pomysłu zwracali uwagę, że jest on niewykonalny.

Parlament Europejski zaproponował złagodzenie tego wymogu. Jeśli serwis upublicznił dane za zgodą samego zainteresowanego, to nie będzie musiał podejmować kroków zmierzających do powiadamiania innych o żądaniu ich usunięcia. Będzie się tego mógł natomiast domagać sam użytkownik.

Firmy pełne obaw

Zgodnie z projektem, pomijając sytuacje szczególne, przetwarzanie danych osobowych wymaga jednoznacznej zgody zainteresowanego. Przy czym nie może to być zgoda dorozumiana, np. taka, jaka obowiązuje w Polsce przy instalowaniu cookies. Protestuje przeciwko temu branża internetowa. Jeszcze większe jej zastrzeżenia budzi inny przepis, zgodnie z którym zawarcie umowy nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do jej realizacji.

„Sytuacja taka bardzo często występuje w realiach obrotu on-line, gdzie większość darmowych usług (np. poczty elektronicznej, usług hostingowych itd.) oparta jest na zgodzie na przetwarzanie danych, co jest niezbędne w celu realizacji celów marketingowych, a bez czego usługi tego rodzaju mogą przestać istnieć. Wprowadzenie przedmiotowego zakazu będzie niekorzystne również dla samych użytkowników, którzy będą musieli ponosić koszty finansowania tego rodzaju usług” – napisał w swej opinii Związek Pracodawców Branży Internetowej IAB Polska.

Zgodę na przetwarzanie danych osobowych dzieci do lat 13 będzie musiał potwierdzić rodzic lub opiekun.

– To przykład regulacji pozytywnie odbieranej przez obywateli jako chęć zapewnienia najmłodszym użytkownikom internetu jeszcze większej ochrony. Przechodząc jednak do praktyki, trudno powiedzieć, czy wymóg uzyskiwania przez administratora, np. portal dostarczający usługę poczty elektronicznej, zgody rodzica lub opiekuna prawnego taki efekt faktycznie przyniesie – zastanawia się Michał Kluska.

Krytycznie do nowych obowiązków nakładanych na przedsiębiorców ustosunkowała się też Konfederacja Lewiatan oraz Izba Gospodarki Elektronicznej. Ich zdaniem nowe obowiązki zbyt mocno obciążą małych i średnich przedsiębiorców. Chodzi m.in. o koszty związane z przygotowaniem polityki bezpieczeństwa danych osobowych czy wyznaczaniem administratora bezpieczeństwa informacji (ABI). Ten obowiązek będzie powstawał przy przetwarzaniu danych co najmniej 5 tys. osób rocznie.

„Zgodnie z naszymi analizami koszty zapewnienia zgodności z tymi przepisami, w okresie pierwszych dwóch lat prowadzenia działalności przez przedsiębiorcę przetwarzającego dane w niewielkim wymiarze, można szacować na nie mniej niż 66,6 tys. zł netto” – napisały organizacje w stanowisku wobec projektu.

– Przedstawione kalkulacje uważam za mocno zawyżone. Zwłaszcza że wyznaczenie ABI nie musi oznaczać dodatkowego etatu, o czym mówi wprost projekt rozporządzenia. Równie dobrze można administrację bezpieczeństwem danych zlecić zewnętrznej firmie – zauważa Przemysław Zegarek, ekspert z kancelarii Lex Artist, specjalizującej się w ochronie danych osobowych.

– Koszt świadczonej przez nas usługi outsourcingu ABI zaczyna się już od 100 zł netto miesięcznie. Jak nietrudno policzyć, dla małej firmy może się on zamknąć w 1,2 tys. zł w skali roku – wylicza.

Parlament Europejski przegłosował projekt w pierwszym czytaniu. Dzięki temu posłowie wybrani na kolejną kadencję będą mogli kontynuować te prace. Parlamentarzyści planują zakończyć proces legislacyjny do końca tego roku.

Zgodę na przetwarzanie danych osobowych dzieci będzie musiał potwierdzić rodzic