Prawo do bycia zapomnianym - skutki dla firm działających w Internecie

Prawo do bycia zapomnianym i profilowanie to tylko niektóre z medialnych haseł towarzyszących dyskusji o nowych europejskich przepisach dotyczących ochrony danych osobowych. Jakie mogą być ich skutki dla przedsiębiorców, zwłaszcza prowadzących działalność w Internecie – zastanawia się ekspert Michał Kaczorowski.

Publikacja: 10.07.2013 08:55

Red

W Unii Europejskiej trwają prace nad dostosowaniem obecnych przepisów o ochronie danych osobowych do wyzwań współczesności, w szczególności rosnącej roli Internetu w życiu Europejczyków.

W styczniu 2012 roku Komisja Europejska opublikowała projekt ogólnego rozporządzenia o ochronie danych osobowych, które ma zastąpić przyjętą w 1995 roku dyrektywę. W wyniku uchwalenia nowych przepisów – we wszystkich państwach członkowskich – będą obowiązywały jednakowe zasady przetwarzania danych osobowych.

Zgodnie z pierwotnymi założeniami nowe rozwiązania mają wzmocnić prawa osób, których dane dotyczą oraz pozycję organów nadzorczych, jednocześnie zmniejszając liczbę obowiązków administracyjnych ciążących na administratorach.

Osiągnięcie tak rozbieżnych celów nie jest zadaniem łatwym. Po ponad półtora roku prac nie udało się jeszcze dopracować wielu ważnych kwestii. Tym bardziej polscy przedsiębiorcy, w tym ci internetowi, z zainteresowaniem przyglądają się pracom prowadzonym równolegle przez Komisję, Radę i Parlament Europejski lub biorą udział w licznych inicjatywach organizowanych m.in. przez Generalnego Inspektora Ochrony Danych Osobowych czy Ministerstwo Administracji i Cyfryzacji (MAC).

Nie ulega wątpliwości, że w rozporządzeniu jest kilka pozytywnych sygnałów dla biznesu, takich jak zniesienie rejestru zbiorów danych osobowych czy odstąpienie od wymogu pisemnej zgody na przetwarzanie danych wrażliwych.

Z drugiej jednak strony niektóre z przewidywanych rozwiązań mogą skutkować utrudnieniami w prowadzeniu działalności, w stopniu znacznie przewyższającym te ułatwienia.

Jedną z najbardziej niepokojących propozycji jest nowa definicja „danych osobowych", zgodnie z którą mają to być wszelkie dane dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania pośrednio lub bezpośrednio. Jej przyjęcie rozszerzy stosowanie rozporządzenia na dane, których związek z osobą jest znikomy (np. adres IP). Dodatkowo ocena, czy mamy do czynienia z danymi osobowymi, ma być dokonywana abstrakcyjnie, a nie przez pryzmat konkretnego administratora. Brak również dostatecznego wykorzystania koncepcji danych spseudonimizowanych, które nie pozwalają bez dodatkowych operacji ustalić tożsamości osoby. Ich przetwarzanie niesie zdecydowanie mniejsze zagrożenia, a wykorzystanie powinno oznaczać możliwość rezygnacji z niektórych obowiązków, np. informacyjnych.

Kolejną kwestią jest silnie popierany przez MAC wymóg wyraźniej zgody podmiotu danych. Takie rozwiązanie jest szczególnie zaskakujące w świetle doświadczeń z regulacjami dotyczącymi cookie, gdzie udało się wypracować kompromis dający możliwość udzielenia zgody poprzez ustawienia przeglądarki. Dla użytkowników Internetu brak takiego rozwiązania w rozporządzeniu będzie oznaczać konieczność potwierdzania możliwości wykorzystania informacji zapisanych w cookies obok banerów informujących o ich stosowaniu.

Z polskiej perspektywy nowością są sankcje finansowe nakładane za naruszenie zasad ochrony danych. Zaproponowane rozwiązania mają jednak wiele wad. Po pierwsze, nie wiadomo, czy sankcje mogą być nakładane tylko na administratora, czy też inne podmioty. Wątpliwości budzi też obowiązek nałożenia grzywny, bez możliwości odstąpienia w przypadkach naruszeń mniejszej wagi. Dodatkowo katalog czynów zagrożonych sankcją zawiera wiele niejednoznacznych przypadków. Przewidziano również niezwykle wysokie progi kar (do 1 mln tys. euro lub 2 proc. rocznego obrotu przedsiębiorstwa).

Czy mając na uwadze wspomniane propozycje, przedsiębiorcy mają się czego obawiać? Trudno to jednoznacznie ocenić, dopóki prace jeszcze trwają. Szczególnie że już można wskazać na ich korzystne wyniki. Prawo do bycia zapomnianym, które w pierwotnym kształcie było niemożliwe do zrealizowania, zostało dostosowane do rzeczywistości. Również rozmowy dotyczące uzasadnionego interesu, jako przesłanki przetwarzania danych, oraz prawa do przenoszenia danych, zmierzają w kierunku osiągnięcia kompromisu. Podobnie jak z ograniczeniami wykorzystywania profili, które mają mieć zastosowanie wyłącznie, gdy decyzje automatycznie podjęte na ich podstawie mają skutek prawny lub istotny wpływ na osobę.

Niemniej dla przedsiębiorców najważniejszą kwestią jest przejrzystość regulacji. Projekt w obecnej wersji jej nie gwarantuje, co będzie skutkować brakiem pewności obrotu. Dodatkowo realizacja niektórych z obowiązków będzie trudna lub związana ze znacznymi kosztami. W projekcie zawarte są również propozycje, które tylko pozornie działają na korzyść konsumentów. Ich wdrożenie może zahamować rozwój innowacyjnych usług. Dlatego konieczna jest dalsza dyskusja.

Michał Kaczorowski jest radcą prawnym Acxiom Polska sp. z o.o., ekspertem Związku Pracodawców Branży Internetowej IAB Polska

W Unii Europejskiej trwają prace nad dostosowaniem obecnych przepisów o ochronie danych osobowych do wyzwań współczesności, w szczególności rosnącej roli Internetu w życiu Europejczyków.

W styczniu 2012 roku Komisja Europejska opublikowała projekt ogólnego rozporządzenia o ochronie danych osobowych, które ma zastąpić przyjętą w 1995 roku dyrektywę. W wyniku uchwalenia nowych przepisów – we wszystkich państwach członkowskich – będą obowiązywały jednakowe zasady przetwarzania danych osobowych.

Pozostało 89% artykułu
Opinie Prawne
Arkadiusz Opala: Przywracanie praworządności - czy i kiedy będzie możliwe?
Opinie Prawne
Piotr Mgłosiek: Minister ma narzędzia, lecz z nich nie korzysta
Opinie Prawne
Tomasz Pietryga: Co zmieni odejście Julii Przyłębskiej z TK
Opinie Prawne
Jakub Stelina: Kryzys wokół TK - politycy zepsuli, politycy powinni naprawić
Materiał Promocyjny
Przewaga technologii sprawdza się na drodze
Opinie Prawne
Jan Skoumal: Muchomorki, słoneczka i żabki, czyli sędziowie według Adama Bodnara
Walka o Klimat
„Rzeczpospolita” nagrodziła zasłużonych dla środowiska