Prawo UE: dane osobowe w Internecie będą lepiej chronione

W obecnych czasach, biorąc pod uwagę dynamikę i tempo rozwoju internetu oraz mediów społecznościowych, ochrona praw ich użytkowników – czyli w zasadzie każdego z nas – stała się ważniejsza niż kiedykolwiek. Unijne rozporządzenie z 27 kwietnia 2016 (Ogólne rozporządzenie o ochronie danych 2016/679, DzU UE L 119/1) stawia sobie za cel między innymi zapewnienie większego bezpieczeństwa osobom, dla których korzystanie z internetu jest tak naturalne, jak oddychanie. Analizując wskazane regulacje, jak również stosując – już wkrótce – uchwalone przepisy, należy mieć na uwadze, iż prawa i wolności jednostki, osoby, której dane dotyczą, stanowią wartość będącą zasadniczym przedmiotem ochrony. To te prawa i wolności, a nie komercyjne cele czy wygoda przetwarzających dane osobowe, skupiają uwagę unijnego prawodawcy.

Celem Ogólnego rozporządzenia o ochronie danych jest dostosowanie regulacji do potrzeb współczesnego społeczeństwa informacyjnego oraz zwiększenie gwarancji praw i wolności w internecie, w tym szczególnie w mediach społecznościowych. Instrumenty prawne zawarte w Ogólnym rozporządzeniu mają stanowić narzędzia kontroli obiegu danych w sieci. Nowe prawo będzie obowiązywało we wszystkich państwach UE od 25 maja 2018 r.

Poniżej krótkie omówienie wybranych instrumentów ochrony, które przewiduje Ogólne rozporządzenie.

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym jest koncepcją jednoznacznie wprowadzoną do europejskiej doktryny prawnej w 2014 roku przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyniku sporu między Google a M. Costeją Gonzálezem. M.C. Gonzalez zażądał podjęcia przez Google kroków do usunięcia jego zdezaktualizowanych danych osobowych z indeksu wyszukiwarki oraz uniemożliwienie wyszukania ich w przyszłości, a TSUE przychylił się do jego wniosku.

Art. 17 Ogólnego rozporządzenia przewiduje prawo osoby, której dane dotyczą, do żądania od administratora danych (ustalającego cele i sposób przetwarzania danych) niezwłocznego usunięcia dotyczących go danych osobowych między innymi wówczas, gdy nie są już one niezbędne dla celów, dla których zostały pierwotnie zebrane.

Co więcej, w razie upublicznienia danych, administrator zobowiązany jest poinformować przetwarzających te dane o żądaniu ich usunięcia. Prawo do bycia zapomnianym nie znajdzie jednak zastosowania na przykład wówczas, gdy przetwarzanie danych jest niezbędne m.in. z punktu widzenia wolności wypowiedzi i informacji.

W praktyce opisany mechanizm może oznaczać uprawnienie użytkowników internetu do żądania od zarządców portali internetowych i serwisów społecznościowych usunięcia danych dotyczących ich osoby.

Jednocześnie prawo do bycia zapomnianym w przedstawionej formule wywołuje kontrowersje i pytania dotyczące realności jego zastosowania. Wskazuje się też , że w wielu przypadkach zidentyfikowanie wszystkich podmiotów, które przetwarzają wtórnie dane osobowe, może być praktycznie niewykonalne.

Prawo do przeniesienia danych osobowych

Prawo to umożliwia osobie, której dane dotyczą, skuteczne żądanie przeniesienia danych pomiędzy ich administratorami. Należy zaznaczyć, że jeżeli przenoszony zestaw danych zawiera również dane innych osób, przeniesienie nie powinno powodować uszczerbku dla praw i wolności tych osób.

Taka regulacja w swym założeniu pozwala na wybór podmiotu przetwarzającego dane, co ma powodować, iż informacje są powierzane podmiotowi, do którego obywatel ma zaufanie. Uprawnienie do przenoszenia danych silniej akcentuje również związek pomiędzy jednostką a informacjami na jej temat. Obywatel w całym procesie przetwarzania pozostaje realnym „dysponentem" danych na swój temat.

Prawo to – z uwagi na swój charakter – nie znajduje zastosowania w odniesieniu do administratorów danych, którzy przetwarzając dane wykonują obowiązki publiczne. Pozbawienie ich określonych informacji mogłoby wszak uniemożliwić realizację ich zadań.

Prawo do przeniesienia danych, podobnie jak prawa do bycia zapomnianym, budzi pewne kontrowersje. Z jednej strony instrument ten ma na celu wzmocnienie praw jednostki do prywatności oraz większą kontrolę nad danymi osobowymi. Z drugiej jednak zachodzi ryzyko, że realizacja prawa do przeniesienia danych osobowych będzie wymagała dużych nakładów finansowych ze strony administratorów danych.

Privacy by defaul/privacy by design

Ogólne rozporządzenie o ochronie danych w art. 25 wprowadza do europejskiej legislacji zasady – „privacy by design" (ochrony danych w fazie projektowania) oraz „privacy by default" (domyślnej ochrony danych). Celem tych regulacji jest zobowiązanie do uwzględnienia dziedziny ochrony danych i prywatności na każdym etapie tworzenia oraz stosowania technologii lub świadczenia usług obejmujących przetwarzanie informacji. Oznacza to, że ochrona prywatności ma być uwzględniana już w fazie początkowej każdego projektu zakładającego przetwarzanie danych osobowych w taki sposób, aby od samego początku dbałość o prywatność stanowiła immanentną część przedsięwzięcia.

Ponadto aplikacje lub systemy służące do przetwarzania danych powinny wykorzystywać, zgodnie z zasadą minimalizacji zakresu przetwarzanych danych, jak najmniejszą ilość informacji o użytkowniku.

Rozwiązania i aplikacje opracowane z uwzględnieniem zasad privacy by defaul oraz privacy by design zwiększają zatem poziom bezpieczeństwa informacji. Może to dotyczyć zwłaszcza zaawansowanych rozwiązań wykorzystywanych dla celów komercyjnych, gdzie renoma producenta i stosowane przez niego procedury będą dodatkowymi gwarancjami bezpieczeństwa.

Prawo do odszkodowania

Artykuł 82 Ogólnego rozporządzenia o ochronie danych stanowi podstawę do domagania się od podmiotu przetwarzającego dane odszkodowania z tytułu poniesienia szkody majątkowej lub niemajątkowej, powstałej w wyniku naruszenia przepisów rozporządzenia.

W przypadku mnogości podmiotów uczestniczących w przetwarzaniu danych ich odpowiedzialność ma charakter solidarny, a osoba, której dane dotyczą, może dochodzić odszkodowania od każdego z nich osobno, od niektórych z nich, bądź też od wszystkich łącznie. Podmiot przetwarzający dane może zwolnić się od opisanej odpowiedzialności wykazując brak winy po swojej stronie. Zatem kompleksowa regulacja ochrony danych od maja 2018 roku obejmować będzie normy dotychczas należące do prawodawstwa cywilistycznego.