Dane osobowe: co GIODO robi w zw. z wyrokiem TSUE ws. USA

O masowym zbieraniu informacji o nas oraz o tym, co GIODO robi w związku z wyrokiem Trybunału UE w sprawie USA, opowiada zastępca generalnego inspektora ochrony danych osobowych w rozmowie z Łukaszem Kuligowskim.

Publikacja: 04.01.2016 07:20

Rz: Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność decyzji Komisji Europejskiej dotyczącej Safe Harbor, tzw. bezpiecznej przystani. Na jej podstawie przekazywano dane z Unii Europejskiej do Stanów Zjednoczonych. Czy to dobrze dla nas i naszych danych?

Andrzej Lewiński: Unijny Trybunał wykazuje ostatnio nie tylko aktywność, ale i merytoryczną odpowiedzialność za ochronę praw podstawowych obywateli UE. Polski organ ds. ochrony danych osobowych przyjmuje to z dużą satysfakcją i zadowoleniem, gdyż pewne działania na rzecz bezpieczeństwa państw czy dobra biznesowego wielkich korporacji prowadzone sa kosztem naszego prawa do prywatności. Tymczasem jest to jedno z podstawowych praw człowieka.

Czyli nasze dane, które trafiają do USA za pośrednictwem np. portali społecznościowych, nie są bezpieczne za Atlantykiem?

To, co się wydarzyło przy orzeczeniu dotyczącym Safe Harbor, jest kolejnym istotnym dla ochrony praw podstawowych człowieka stanowiskiem Trybunału Sprawiedliwości UE. Trybunał wykazuje wielkie zrozumienie dla tych kwestii, co jest szczególnie ważne ze względu na liczne informacje dowodzące, że organy publiczne w USA miały i mają masowy dostęp do danych przetwarzanych przez wielkie korporacje amerykańskie. Amerykańskie prawo zezwala im bowiem na szerokie udostępnianie danych osobowych klientów służbom specjalnym USA. Wystarczy wziąć pod uwagę statystykę, zgodnie z którą ponad dwa miliardy informacji przetwarza dziennie Amerykańska Agencja Bezpieczeństwa, aby uzmysłowić sobie, do ilu danych o obywatelach państwo ma dostęp.

Na czym dokładnie polega niebezpieczeństwo przetwarzania danych osobowych za Atlantykiem?

Wraz z rozwojem technologicznym pojawiają się nowe zagrożenia, np. związane z profilowaniem klientów. Wykorzystywane do tego systemy matematyczne pozwalają na tworzenie algorytmów, dzięki którym powstaje szczegółowy obraz zachowań osoby. Niejednokrotnie może budzić to zastrzeżenia, gdy dzieje się bez wiedzy i zgody osoby, której dane dotyczą, ponieważ w Polsce poinformowanie osoby i pozyskanie jej zgody na profilowanie jest obowiązkiem wynikającym nie tylko z konstytucji, ale i ze wszystkich podstawowych dokumentów UE.

Czy ma pan na myśli Big Data?

Właśnie o tym mówię. Dzięki ogromnym zestawom danych o obywatelu możliwe jest stworzenie jego profilu, a następnie na podstawie różnych algorytmów przewidywanie jego zachowań. Z tego typu rozwiązań korzysta też policja w USA. W niektórych ośrodkach otrzymuje ona np. informację, że w konkretnym miejscu i o określonej godzinie muszą pojawić się jej funkcjonariusze, gdyż dojdzie tam do przestępstwa. Przyzna pan, że może to budzić nasze obawy.

To brzmi jak science fiction, jak „Raport mniejszości" Philipa Kindreda Dicka.

Tak, ale to się już dzieje. Masowo zbierane są dotyczące nas informacje, nie tylko o codziennym funkcjonowaniu, zachowaniu, upodobaniach czy preferencjach zakupowych, ale też dane geolokalizacyjne czy o naszej aktywności w internecie. Obawiam się, że doczekamy czasów, w których po analizie tych informacji ktoś o dziesiątej rano zapuka do naszych drzwi i powie, że aresztuje nas za przestępstwa, które popełnimy o 14.00. To możliwe. Z tym że o analizie danych i wyciąganiu wniosków będzie decydował automat, na co człowiek może już nie mieć wpływu. To ogromne zagrożenie, bo o pomyłkę nietrudno. Doskonale obrazują to ostatnie przypadki, jak np. w Afganistanie, gdy przez zbombardowanie szpitala zginęły 22 osoby. Pilot tylko nacisnął guzik na podstawie informacji otrzymanej od automatu.

Co się zatem stanie w kwestii transferu danych z Polski i innych państw UE do USA?

Pracujemy nad tym wspólnie w ramach zrzeszającej wszystkich rzeczników ochrony danych UE, tzw. Grupy Roboczej Artykułu 29, żądając określonego działania na rzecz uregulowania przekazywania danych do krajów trzecich, w tym do USA, które – w świetle gwarancji ochrony danych osobowych – traktowane są jak kraj trzeci. Jednocześnie pilnie wezwaliśmy państwa członkowskie i instytucje unijne do rozpoczęcia dyskusji z władzami Stanów Zjednoczonych celem znalezienia politycznych, prawnych i technicznych rozwiązań umożliwiających przekazywanie danych do USA z poszanowaniem praw podstawowych.

W opinii Grupy Roboczej przekazywanie danych z Unii do Stanów nie może być dłużej dokonywane na podstawie decyzji Komisji Europejskiej 2000/520/WE zwanej „decyzją w sprawie bezpiecznej przystani".

Mamy świadomość problemów, jakie mają administratorzy danych, związanych z koniecznością dostosowania swojej działalności do orzeczenia TSUE. Nie mogą one jednak przeszkodzić krajowym organom ochrony danych w rozpatrywaniu skarg ani w korzystaniu z uprawnień w celu ochrony praw osób, które się do nich zgłaszają. Najdalej idącym środkiem może być nawet nakazanie zaprzestania przekazywania danych osobowych do USA.

Tak będzie postępowało GIODO wobec każdego przedsiębiorstwa transferującego dane do USA?

Tak, ale będziemy się starali to robić w ramach działań skoordynowanych z innymi organami ochrony danych osobowych w UE, chyba że Komisja Europejska w miarę szybko zaproponuje odpowiednie rozwiązania.

A czy GIODO podejmuje już jakieś działania w związku z orzeczeniem TSUE?

Obserwujemy wszystko, co się dzieje, i aktywnie uczestniczymy w pracach Grupy Roboczej Art. 29. Na razie bardzo ożywiło się środowisko wielu organów doradczych współpracujących z przedsiębiorstwami amerykańskimi. Nie dziwię się, gdyż kwestia transferu danych do Stanów Zjednoczonych, po wyroku TSUE, to rzeczywiście problem.

Firm, które transferują dane z UE do USA, jest kilka tysięcy. Czy powinny tego zaprzestać?

Muszą szukać innej podstawy prawnej do transferu danych do USA. Jest to możliwe na podstawie wiążących reguł korporacyjnych, które zatwierdza GIODO, na podstawie każdorazowej zgody organów ochrony danych osobowych, czy też na podstawie standardowych klauzul umownych, których trzy zestawy zatwierdziła Komisja Europejska.

Wspomniał pan, że TSUE w ostatnim czasie wykazuje dużą aktywność w kwestii ochrony praw obywateli UE. W zeszłym roku zakwestionował dyrektywę dotyczącą retencji danych.

TSUE wydał orzeczenie uchylające tzw. dyrektywę retencyjną. Chodzi głównie o zbieranie danych o ruchu w sieci przez policję i służby specjalne. To było wydarzenie niespotykane, gdyż w ciągu dziesięciu lat nie zdarzyło się jeszcze, by TSUE uchylił dyrektywę. A ponieważ została ona implementowana do prawa polskiego, to teraz trzeba je zmienić. Jednocześnie polski Trybunał Konstytucyjny również zakwestionował przepisy o retencji danych.

Zmiany obejmą m.in. ustawę o policji, ale dostęp służb do takich danych wydaje się konieczny.

Wywiad, kontrwywiad, ABW, CBA czy policja muszą mieć dostęp do tego rodzaju danych. Inaczej ich walka z przestępczością zorganizowaną nie odniesie odpowiedniego skutku. Nie wolno jednak naruszać przy tym naszego prawa do prywatności. Pamiętając, że nie jest ono prawem absolutnym, trzeba je odpowiednio wkomponować w krajowy system prawny. Pewnym wzorcem może być ustawa o CBA. Jej przepisy też zostały uznane za niekonstytucyjne i szybko zostały zmienione, dzięki czemu odpowiada europejskiemu poziomowi.

Wracając do kwestii retencji danych, to wątpliwości dotyczą m.in. tego, że dane telekomunikacyjne mogą być przetwarzane bez ograniczeń czasowych. Ile to powinno trwać?

Ograniczenie czasowe musi być wskazane przepisami, gdyż takich informacji nie można trzymać tylko dlatego, że być może w przyszłości się przydadzą. Bezdyskusyjnie powinno się kasować dane o osobie, która okazała się całkowicie niewinna. Istotne jest też to, kiedy i po jakie dane telekomunikacyjne można sięgnąć.

Czy powstanie organ kontrolujący przetwarzanie danych w służbach?

Tak, i będzie się zajmował nie tylko kwestią retencji danych telekomunikacyjnych, ale przestrzeganiem poprawności przetwarzania wszystkich danych osobowych.

Bezpieczeństwo coraz częściej powoduje dalsze ograniczenia naszej prywatności.

Z takim podejściem mamy do czynienia w licznych debatach w Europie, czego przykładem jest propozycja Francji, która wyszła z inicjatywą rozszerzenia zakresu projektowanych regulacji dotyczących tzw. inteligentnych granic (smart borders). Pierwotny projekt przewidywał pobieranie i przetwarzanie danych, obejmujących w pewnym zakresie również dane biometryczne, od osób spoza UE, które wjeżdżają do strefy Schengen. Już ta propozycja wywoływała liczne wątpliwości w kwestii zgodności projektowanych rozwiązań z Kartą Praw Podstawowych UE i zasadami ochrony danych osobowych. Francja poszła jednak dalej i zaproponowała objęcie rejestracją nie tylko obywateli państw trzecich przekraczających granice strefy Schengen, ale również wszystkich obywateli UE, którzy tę granice przekraczają.

Kończą się prace nad unijnym rozporządzeniem dotyczącym danych osobowych. Wprowadzi ono kary finansowe za naruszenia przepisów. Będzie to skuteczniejsze niż obecne kary pozbawienia wolności?

Tak, tym bardziej że mają być one dotkliwe. Na razie nie uzgodniono jeszcze ich ostatecznej wysokości, ale co istotne – będą nakładane bezpośrednio przez GIODO. W Polsce to absolutna nowość. Do tej pory wprowadzenie takiego rozwiązania na grunt polski było hamowane.

Czemu kara grzywny lub więzienia jest nieskuteczna?

Jeszcze nie spotkałem zarzutów i aktu oskarżenia np. za niedopełnianie obowiązków informacyjnych przewidzianych w ustawie o ochronie danych osobowych. A grozi za to do dwóch lat pozbawienia wolności. Często też organy ścigania umarzają prowadzone postępowania ze względu na znikomą społeczną szkodliwość czynu lub z powodu niewykrycia sprawców. Poza tym niejednokrotnie niewłaściwie interpretują przepisy i zdają się nie zauważać, że np. niezabezpieczenie danych osobowych i umożliwienie dostępu do nich osobom nieuprawnionym albo wykorzystanie bez podstawy prawnej wypełnia znamiona przestępstw z przepisów karnych ustawy o ochronie danych osobowych i to one, a nie przepisy kodeksu karnego powinny mieć w takich przypadkach zastosowanie.

Dlaczego?

Jako przykład podam niedawny przypadek, gdy pracownica jednego ze szpitali oddała na makulaturę dokumentację medyczną, a zawiera ona przecież dane podlegające szczególnej ochronie. Policja i prokuratura wszczęły postępowanie. Zarzuty zostały postawione za niszczenie dokumentów przewidziane w kodeksie karnym, a nie za ich niezabezpieczenie z ustawy i ochronie danych osobowych.

Przepis z kodeksu pozwala ukarać maksymalnie do dwóch lat pozbawienia wolności, a ustawa o ochronie danych osobowych do trzech. Czy osobę, która nie ma odpowiedniej wiedzy, należy tak surowo karać?

Kara może być niższa. Stosując przepis ustawy o ochronie danych osobowych, łatwiej jednak przeprowadzić dowody. W prawie karnym musi być szkoda materialna lub osobowa. Tymczasem w odniesieniu do danych osobowych nie ma takiej potrzeby.

Rz: Trybunał Sprawiedliwości Unii Europejskiej stwierdził nieważność decyzji Komisji Europejskiej dotyczącej Safe Harbor, tzw. bezpiecznej przystani. Na jej podstawie przekazywano dane z Unii Europejskiej do Stanów Zjednoczonych. Czy to dobrze dla nas i naszych danych?

Andrzej Lewiński: Unijny Trybunał wykazuje ostatnio nie tylko aktywność, ale i merytoryczną odpowiedzialność za ochronę praw podstawowych obywateli UE. Polski organ ds. ochrony danych osobowych przyjmuje to z dużą satysfakcją i zadowoleniem, gdyż pewne działania na rzecz bezpieczeństwa państw czy dobra biznesowego wielkich korporacji prowadzone sa kosztem naszego prawa do prywatności. Tymczasem jest to jedno z podstawowych praw człowieka.

Pozostało 94% artykułu
Opinie Prawne
Robert Gwiazdowski: Przywracanie, ale czego – praworządności czy władzy PO?
Opinie Prawne
Ewa Szadkowska: Bieg z przeszkodami fundacji rodzinnych
Opinie Prawne
Isański: O co sąd administracyjny pytał Trybunał Konstytucyjny?
Opinie Prawne
Tomasz Pietryga: Adam Glapiński przed Trybunałem Stanu. Jakie jest drugie dno
Opinie Prawne
Paulina Szewioła: Podwójna waloryzacja? Wiem, że nic nie wiem