Zgodnie z unijnym projektem żądanie usunięcia danych z portalu społecznościowego dotyczyłoby też wszystkich miejsc, do których je skopiowano. Nie bardzo jednak wiem, jak to osiągnąć - mówi dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.
Dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
Szykują się spore zmiany w unijnych przepisach dotyczących ochrony danych osobowych. Przedsiębiorcy powinni czuć się zaniepokojeni?
Wręcz odwrotnie. Propozycje Komisji Europejskiej likwidują niepotrzebne procedury. Przede wszystkim nie będzie obowiązku rejestracji wszystkich zbiorów danych osobowych, co powinno ucieszyć administratorów danych, zwłaszcza przedsiębiorców. My również, jako Polska, optowaliśmy za tym rozwiązaniem.
Dlaczego? Czy nie zmniejszy to ochrony naszych obywateli?
Nie, bowiem z tego, że dokonamy formalnej rejestracji zbioru danych osobowych, niewiele wynika dla zwiększenia ochrony zgromadzonych tam danych.
Zgłaszanie zbiorów do rejestracji GIODO było istotne na początku tworzenia systemu ochrony danych osobowych, przede wszystkim dlatego, by wszyscy administratorzy danych osobowych (w tym przedsiębiorcy) zorientowali się, że w ogóle mają do czynienia z przetwarzaniem danych. Cel ten został już jednak osiągnięty. Dziś z rejestracji zbiorów nikt nie wyciąga rzeczywistej wartości dodanej.
Jednocześnie w związku z rosnącą stale liczbą zgłoszeń, w 2009 r. i 2010 r. było ich ponad 8 tys., a w 2011 r. już 15 tys., system ten przestał być wydolny. Dlatego uważam, że likwidacja tego obowiązku jest wskazana, co nie oznacza, że nie będzie trzeba rejestrować żadnych zbiorów, bo te zawierające dane wrażliwe wciąż będą temu obowiązkowi podlegały.
Ponadto GIODO trzeba będzie informować o zamiarze tzw. ryzykownego przetwarzania danych osobowych, czyli takiego, które rodzi dodatkowe niebezpieczeństwo, co może mieć miejsce np. w przypadku wykorzystywania danych finansowych czy dotyczących stanu zdrowia. To nowe rozwiązanie, niewystępujące jeszcze w polskim systemie prawnym.



Przedsiębiorcy będą więc mieć łatwiejsze życie.
Moim zdaniem zdecydowanie tak. Nowe ramy prawne wprowadzają m.in. zasadę nazywaną popularnie „one stop shop”, która oznacza, że wykonanie czynności koniecznej w jednym z krajów członkowskich UE jest równoznaczne z jej rozpoznaniem w 26 pozostałych krajach.
Przykładowo: jeśli polska firma będzie chciała świadczyć usługi związane z wykorzystywaniem danych medycznych, to – ze względu na to, że chodzi o dane wrażliwe – ich zbiór będzie musiała zgłosić GIODO. Po jego zarejestrowaniu przez polskiego GIODO wolno już jej będzie przetwarzać dane klientów z całej UE, bez konieczności rejestracji zbioru w każdym kolejnym kraju członkowskim.
Niemniej propozycje KE zakładają drakońskie wręcz sankcje dla przedsiębiorców, którzy nie będą przestrzegać zasad dotyczących ochrony danych osobowych.
Rzeczywiście, jeśli mówimy o karach, których górna granica ma wynosić milion euro lub 5 proc. obrotów przedsiębiorstwa, to są to sankcje porównywalne do tych z prawa antymonopolowego. Jest to próba połączenia systemów ochrony danych osobowych obowiązujących obecnie w państwach członkowskich UE. O ile w niektórych, np. w Finlandii, nadzór nad ochroną danych osobowych sprawuje swego rodzaju ombudsman nieposiadający uprawnień władczych, o tyle np. w Wielkiej Brytanii jego odpowiednik ma już możliwość nakładania wysokich kar rzędu miliona funtów.
Była taka sytuacja?
Tak, chodziło o firmę ubezpieczeniową, z której dane wyciekły na zewnątrz. Uznała ona, że bardziej opłaca jej się to ukryć, niż poinformować o tym zainteresowanych, których dane utracono. Wysokość nałożonej na nią kary podyktowana była nie tylko tym, że dane wyciekły, ale też tym, że ktoś próbował całą sprawę zamieść pod dywan.
Zmiany kładą nacisk na obowiązek informowania zainteresowanych, co dzieje się z ich danymi. Chodzi nie tylko o samo powiadamianie, że dane te są gromadzone, ale również o to, w jaki sposób są przetwarzane. Ma to szczególne znaczenie przy tzw. profilowaniu osoby. Zwłaszcza gdy dane te są zbierane z różnych źródeł. Po zmianie przepisów przedsiębiorca profilujący swych klientów – obecnych lub przyszłych – będzie musiał poinformować ich, że zestawia różne dane, nawet jeśli w celu profilowania osoby pozyskuje je legalnie.
Coraz więcej ludzi korzysta z portali społecznościowych. Czasem okazuje się, że ktoś chciałby usunąć z nich pewne dane. Nie zawsze jest to możliwe. Ma w tym pomóc „prawo do bycia zapomnianym”.
Mam jednak wątpliwości, czy propozycja KE będzie wykonalna. Zgodnie z projektem unijnego rozporządzenia żądanie usunięcia danych dotyczyłoby nie tylko miejsca, w którym je umieszczono, ale także wszystkich innych, do których je skopiowano.
Tymczasem administrator serwisu, na którym umieszczono np. zdjęcie, niekoniecznie musi wiedzieć, gdzie je skopiowano. Śledzenie tego jest do pewnego stopnia możliwe dzięki tzw. tracking cookie, tyle że to kłóciłoby się z innymi przepisami dotyczącymi prywatności. Nie za bardzo więc wiem, w jaki sposób ten obowiązek mógłby być realizowany.



Zmierza pan do tego, że administrator, zwłaszcza w internecie, nie do końca wie, co dalej dzieje się z umieszczonymi w jego serwisie danymi?
Tak. Jednocześnie pojawia się niebezpieczeństwo „ingerowania w historię” przy wykonywaniu prawa do bycia zapomnianym. Takie sytuacje miały już miejsce. Osoba skazana za morderstwo znanego aktora, po odbyciu kary zażądała od niemieckiej wikipedii usunięcia informacji o niej, gdyż utrudnia to jej powrót do życia w społeczeństwie. Co ciekawe, serwis niemiecki uznał te żądania za słuszne.
Co z tego jednak, skoro informacja ta pozostała w archiwach internetowych gazet. Jedna z amerykańskich gazet odmówiła wyraźnie wymazania tych danych. Stwierdziła – moim zdaniem słusznie – że przecież morderstwo miało miejsce i jest to fakt historyczny, więc dlaczego miałaby informację o nim lub jego sprawcach usuwać.
Odchodząc od tych szczegółów – czy nowe prawo unijne lepiej zabezpieczy prawo do prywatności przeciętnego obywatela?
Tak, chociaż byłbym daleki od uznawania go za idealne. Przede wszystkim dlatego, że mamy i zawsze mieć będziemy do czynienia ze ściganiem króliczka, który ucieka coraz szybciej. Dzisiaj nie wiemy, jakie technologie będą stosowane do śledzenia nas za rok czy nawet kilka miesięcy. Podam przykład inteligentnych liczników energii elektrycznej.
A w jaki sposób zagrażają one prywatności użytkowników?
W założeniu mają umożliwić sprawdzenie, jakie urządzenie i ile prądu pobiera, co ma pozwolić na lepsze gospodarowanie energią. Już dzisiaj są jednak prezentowane prototypy urządzeń pozwalające ustalić na podstawie pomiaru energii pobieranej przez odbiornik, który odcinek serialu Star Trek był wyświetlany na telewizorze.
Powróćmy do propozycji Komisji Europejskiej. Jeśli wejdzie w życie rozporządzenie unijne, to nasza krajowa ustawa o ochronie danych osobowych straci rację bytu.
Rozporządzenie rzeczywiście będzie obowiązywało wprost w całej UE jako źródło praw i obowiązków. Będzie więc stosowane przez wszystkie organy i będzie miało bezpośredni skutek. Jeśli się w nie jednak wczytać dokładniej, to okaże się, że część zagadnień będzie podlegać uregulowaniom na poziomie poszczególnych krajów. Chodzi o przepisy proceduralne i dotyczące organów krajowych, które pozostawiono do indywidualnej decyzji poszczególnych państw. To rozsądna propozycja chociażby z tego względu, że nie da się porównać systemu administracyjnego czy sądowego w Polsce do tego, który obowiązuje w Wielkiej Brytanii czy na Malcie.
Rozporządzenie to nie wszystko. KE przygotowała także projekt nowej dyrektywy regulującej współpracę policyjną i sądową.
Tak, i będzie ona miała istotne znaczenie dla funkcjonowania naszych krajowych służb specjalnych. Jej regulacje będą bowiem dotyczyć nie tylko wymiany informacji pomiędzy organami policji różnych państw, ale także sposobu postępowania z danymi osobowymi przez służby w ramach działań prowadzonych w kraju. O ile nasza policja jest przygotowana do przestrzegania tych zasad, o tyle inne służby specjalne już nie.
Tymczasem wszystkie, w tym Agencja Bezpieczeństwa Wewnętrznego czy Centralne Biuro Antykorupcyjne, będą im również podlegać. Na razie zaś pozostają poza kontrolą zewnętrznego organu ochrony danych osobowych, przy czym dyrektywa nie będzie zmuszała, by sprawował ją GIODO. Może to robić inny organ, ale niezależna kontrola musi być zapewniona.