Choć wydaje się, że dyskusje wokół reformy w unijnych regulacjach ucichły, prace nad projektem rozporządzenia wchodzą w decydującą fazę
Ponad rok po tym, jak Parlament Europejski przyjął stanowisko, prace w Radzie przyspieszają. Mówi się, że przed wakacjami państwa członkowskie wypracują tzw. podejście ogólne, które jest stanowiskiem Rady do dalszych negocjacji z Parlamentem Europejskim i Komisją (trilogów). Choć przepisy nie określają terminu, w jakim instytucje muszą dojść do porozumienia co do brzmienia projektu, zakończenie prac nad rozporządzeniem w 2015 r. wydaje się realne.
Czym różnią się obecnie stanowiska obu instytucji?
Forma zgody
Stanowisko Parlamentu Europejskiego jest takie, że zgoda na przetwarzanie danych osobowych powinna być wyrażona przez „wyraźne oświadczenie woli lub wyraźne działanie podmiotu danych”. Choć już obecnie polska ustawa o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883) stanowi, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, wymóg zgody wyraźnej zmieni realia uzyskiwania zgód. Projekt znacznie rozszerza definicję danych osobowych. W przeciwieństwie do dyrektywy nie zawiera on doprecyzowania, że informacji nie uważa się za daną osobową, jeżeli określenie tożsamości osoby, której dotyczy, wymagałoby nadmiernych kosztów, czasu lub działań. Projekt odchodzi też od podejścia, zgodnie z którym możliwości zidentyfikowania osoby oceniane są z perspektywy konkretnego administratora. W efekcie danymi osobowymi będą wszelkie informacje, które odnoszą się do osób fizycznych, jeśli pozwolą komukolwiek i nawet potencjalnie zidentyfikować daną osobę.
Tak szeroka definicja spowoduje, że częstotliwość, z jaką podmioty danych będą proszone o wyrażenie zgody, znacznie wzrośnie. Zamiast przyciągnąć uwagę do prośby o wyrażenie zgody i zmobilizować do zapoznania się z jej zakresem i z celem, w jakim dane będą przetwarzane, pytanie o zgodę stanie się nieustannie pojawiającym się okienkiem, które będzie trzeba „odkliknąć”. Można się spodziewać, że spowoduje to automatyzm i paradoksalnie zmniejszy naszą kontrolę nad tym, jakie dane udostępniamy.
Z tego względu właściwsze wydaje się podejście Rady UE, która utrzymuje obowiązujący obecnie wymóg zgody wyraźnej tylko dla przetwarzania danych wrażliwych. Dla danych zwykłych, w tym danych spseudonimizowanych (czyli takich zbiorów, w których dane bezpośrednio identyfikujące osobę zastąpiono „pseudonimem”, np. numerem), wystarczająca będzie zgoda wyrażona w sposób odpowiedni do kontekstu.
Interes administratora
Podejście Rady i Parlamentu różni się także w odniesieniu do tzw. uzasadnionego interesu (celu) administratora danych. Rada utrzymuje obecny stan prawny, zgodnie z którym przetwarzanie danych jest dozwolone, jeśli jest „konieczne dla celów wynikających ze słusznych interesów realizowanych przez administratora danych (...), z wyjątkiem sytuacji, kiedy nadrzędny charakter ma interes podstawowych praw i wolności podmiotu danych, które wymagają ochrony danych osobowych”. Znaczne zmiany zaproponował w tej kwestii Parlament Europejski. W swoim stanowisku bardzo osłabił on tę podstawę przetwarzania, wprowadzając przysługujące podmiotowi danych bezwarunkowe prawo sprzeciwu.
Jednak już obecnie, zgodnie z dyrektywą 95/46, każdy z nas może wyrazić sprzeciw, jeśli dane osobowe przetwarzane są w (uznawanym za uzasadniony interes administratora) celu marketingowym. Jeśli natomiast przetwarzane są w oparciu o przesłankę uzasadnionego interesu, ale w innym celu – np. dochodzenia roszczeń lub zapewnienia bezpieczeństwa usług – uwzględnienie sprzeciwu będzie zależało od tego, czyj interes przeważy. To tzw. ważenie interesów ma zapewnić, by pod pretekstem ochrony danych nie uniemożliwiać przetwarzania ich w celach, które należy uznać za słuszne.
Podejście Parlamentu spowoduje, że niezależnie od celu przetwarzania administrator danych będzie zmuszony do usunięcia tych danych. Jeśli bezwarunkowe prawo sprzeciwu w celach innych niż marketingowe zostanie utrzymane, pod znakiem zapytania stanie możliwość przetwarzania danych w celach zapobiegania i wykrywania nadużyć i innych przestępstw finansowych oraz oceny wiarygodności kredytowej podmiotu danych.