W Brukseli ochrona praw człowieka nadal jest traktowana jako zło konieczne. Każda instytucja europejska musi wykazać, że pamięta o obywatelach, ale w gruncie rzeczy chodzi o to, by nie utrudniać życia biznesowi - mówi Katarzyna Szmielewicz, prezeska Fundacji Panoptykon.

Czy wstąpienie do Unii Europejskiej przed dziesięciu laty dużo zmieniło w Polsce, jeśli chodzi o prywatność i chroniące ją regulacje?

Nie, bo tak naprawdę zmienić nie mogło. Unia Europejska była wówczas jeszcze skupiona na integracji gospodarczej. Zajmowano się problemami dotacji, rolnictwa czy przemysłu, natomiast nie było poważnej rozmowy o prawach podstawowych, w tym prawie do prywatności.
Owszem, zaczęła nas obowiązywać dyrektywa w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, niemniej jednak była ona nastawiona na harmonizację barier regulacyjnych i tak naprawdę miała ułatwiać swobodny przepływ usług, a co za tym idzie – również danych. Od dawna przecież świadczenie usług łączy się z przetwarzaniem danych osobowych. Nawet przy zakupie książki w internecie jesteśmy zmuszeni podać swoje dane – czasem wynika to z natury usługi, ale częściej z dominującego modelu biznesowego.

Dopiero po przyjęciu traktatu lizbońskiego problematyka praw obywatelskich zyskała na znaczeniu.

Unia Europejska zaczęła świadomie kształtować politykę praw człowieka w różnych obszarach regulacji – od ochrony danych osobowych po migracje. Jednak oceniając tę politykę z perspektywy pięciu lat działalności Fundacji Panoptykon i naszych peregrynacji po korytarzach w Brukseli, mam wrażenie, że ochrona praw człowieka nadal jest traktowana jako zło konieczne. Owszem, każda instytucja europejska musi wykazać, że pamięta o obywatelach. W gruncie rzeczy chodzi jednak o to, by nie utrudniać życia biznesowi i nie hamować integracji gospodarczej. Ta perspektywa cechuje nie tylko stosunki wewnątrz UE, lecz także relacje zewnętrzne, w których partnerstwo handlowe z USA wydaje się najważniejsze. Prawa obywatelskie zawsze schodzą na plan dalszy.

Obserwując to, co wydarzyło się w marcu w Parlamencie Europejskim, przy okazji głosowania nad projektem rozporządzenia w sprawie ochrony danych osobowych, można odnieść inne wrażenie. Nie tylko został przyjęty projekt, na którym amerykańskie firmy nie zostawiały suchej nitki, ale także w kilku kwestiach wręcz zaostrzono przepisy. Kary w wysokości 100 mln euro lub 5 proc. rocznych globalnych obrotów za naruszanie ochrony danych robią wrażenie.

Z mojej perspektywy historia tego rozporządzenia nie jest jednak optymistyczna. Propozycja, którą położyła pierwotnie na stole komisarz Viviane Reding, była bardzo kompromisowa i bynajmniej nie zmierzała do formułowania dodatkowych praw, a raczej do przedefiniowania tych już istniejących. Już na tym etapie była to próba ważenia praw obywatelskich i swobód biznesowych. Tymczasem taki kompromis nie ma oparcia w obowiązującym prawie: prawa obywatelskie nie powinny być ograniczane ze względu na interesy prywatnych podmiotów. Tego typu kompromisy mogą być konieczne ze względu na interes publiczny (np. bezpieczeństwo), ale nie po to, by firmy mogły więcej i łatwiej zarabiać.
Co istotne, w toku dalszych prac próbowano zdecydowanie osłabić nawet te przepisy. Był moment, że z reformy komisarz Reding mogło zostać naprawdę niewiele.

Wtedy jednak wybuchła afera PRISM.

Tak. Edward Snowden w pewnym sensie przewrócił stolik i zmusił parlamentarzystów do pójścia o wiele dalej, niż zamierzali. To jednak nie koniec prac nad rozporządzeniem o ochronie danych osobowych i wiele złego może się jeszcze wydarzyć.

Ma pani na myśli to, że Rada Europejska może nie zgodzić się na to rozwiązanie?

Dziś wszystko wskazuje na to, że w Radzie nie ma woli politycznej, by przyjąć rozporządzenie lepiej chroniące naszą prywatność. Nie ma nawet silnego lidera, który mógłby narzucić rytm pracy nad tą reformą. Polska, jeszcze za ministra Michała Boniego, a teraz głosem ministra Rafała Trzaskowskiego prezentuje dobre, progresywne stanowisko, ale nie ma takiej siły przebicia, by nakłonić do podobnych działań wszystkie państwa. A te ekonomicznie najsilniejsze pozostają krytyczne wobec projektu rozporządzenia.

Jakie zatem są możliwe scenariusze?

Myślę, że w tej chwili wszystkie możliwości są na stole. Łącznie z taką, że dochodzimy do ściany i zostajemy z niczym. Jeśli Rada nie wypracuje konsensusu w żadnym z kluczowych punktów reformy, cały proces zostanie zamrożony. Nie wiadomo też, jak zachowa się Komisja Europejska. Nie wiemy nawet, czy komisarz Reding, która firmowała ten projekt, będzie nadal pełniła swoją funkcję, a słychać pogłoski, że może ją zastąpić osoba o skrajnie odmiennych poglądach na prawa człowieka. A więc nic nie jest jeszcze przesądzone.

Dlaczego przyjęcie tego rozporządzenia jest tak ważne?

Ten akt prawny zdefiniuje standard ochrony danych osobowych na kolejne 20 lat, i to w czasach, gdy wzrost gospodarczy coraz bardziej opiera się na komercjalizacji naszej prywatności. Chociaż nie jest to rewolucja, to jednak bez wątpienia ewolucja w dobrym kierunku. Niezbędna jest redefinicja wielu pojęć, które wywodzą się z XX-wiecznego myślenia o internecie. Mam na myśli chociażby wzmocnienie obowiązku uzyskiwania zgody na przetwarzanie danych osobowych, rozszerzenie definicji samych danych czy ściślejsze uregulowanie profilowania.
Bardzo ważne, co dobitnie pokazała afera wywołana przez Snowdena, jest też objęcie tymi samymi standardami ochrony prywatności firm spoza UE, zwłaszcza amerykańskich czy chińskich. I wreszcie wprowadzenie dotkliwych kar finansowych dla firm naruszających prawo, bez których wszyscy odpowiednicy polskiego GIODO pozostaną zwyczajnie bezzębni.