Ochrona danych osobowych w UE
Po ataku terrorystycznym z 7 stycznia 2015 r. na redakcję "Charlie Hebdo" Unia Europejska musi pilnie przeanalizować politykę ochrony prywatności, internetu i danych osobowych. Jak dziś skutecznie zachować prawo obywali do prywatności i równocześnie zapewnić im bezpieczeństwo?
O tym rozmawiano w czasie debaty „Od regulacji Internetu po bezpieczeństwo publiczne – dylematy ochrony danych osobowych w UE”. Debatę 26 stycznia tego roku z udziałem posłów do PE, zorganizowało Biuro Informacyjne Parlamentu Europejskiego w Polsce oraz Fundacja Panoptykon. Debatę prowadziła Katarzyna Szymielewicz – prezes Fundacji Panoptykon. Fundacja powstała w kwietniu 2009 r. z inicjatywy grupy prawników jako wyraz potrzeby dyskusji o życiu w społeczeństwie coraz bardziej nadzorowanym przy braku gwarancji chroniących przed utratą wolności. Można powiedzieć, że przełomem w patrzeniu na ochronę wolności i prawa do prywatności obywateli, była seria czterech zamachów terrorystycznych przeprowadzonych przez Al-Kaidę 11 września 2001 r. w USA. Łącznie w zamachach zginęły 2973 osoby. Wstrząs wywołany przez to wydarzenie spowodował, że społeczeństwo amerykańskie „zapaliło” zielone światło dla służb specjalnych, które uzyskały znacznie szersze uprawnienia do kontroli obywateli. Powszechnie uznano, że bezpieczeństwo i przeciwdziałanie terroryzmowi ma priorytet nad prawem do wolności i ochrony prywatności. W Europie nie zdecydowano się wtedy na tak wiele, co było w kolejnych latach źródłem konfliktów na linii Waszyngton, Unia Europejska. Jednak dziś poziom zagrożenia terroryzmem w Europie jest znacznie wyższy niż w minionych latach.
W Parlamencie Europejskim trwają prace związane z reformą ochrony danych osobowych. Dyskutuje się o sposobie uregulowania takich kwestii jak zgoda na przetwarzanie danych, profilowanie czy transfery danych do USA. Czy powinniśmy, wzorem Stanów Zjednoczonych tworzyć ogólnoeuropejskie systemy przetwarzania danych obywateli? W pamięci wielu krajów europejskich nadal żywe są złe doświadczenia związane z funkcjonowaniem służb specjalnych w ustroju totalitarnym. Jak stwierdził poseł Michał Boni, nowoczesna gospodarka to również przetwarzanie danych, dlatego potrzebne są jasne reguły, tak aby instytucje państwowe i firmy nie miały przewagi nad obywatelem, który nie wie, na jakiej zasadzie informacje z nim związane są wykorzystywane. Zauważył też, że jeśli chcemy, by nowoczesna gospodarka oparta na usługach cyfrowych rozwijała się w Europie, to musi się ona opierać na zaufaniu pomiędzy różnymi podmiotami, czyli firmami i użytkownikami, ale również obywatelami i instytucjami publicznymi. Toczące się prace nad reformą ochrony danych osobowych w UE obejmują również zagadnienia związane z działalnością policji i służb specjalnych. Jednak zdaniem Boniego, choć niezbędne są regulacje, które pozwolą na korzystanie z przechowywanych danych w procesie śledczym lub dowodowym, to przyjęcie zasad ochrony prywatności powinno poprzedzać pracę nad regulacjami dotyczącymi bezpieczeństwa. Bezpieczeństwo jest atrybutem wolności, ale nie zgadza się on na żadne rozwiązania, które byłyby sprzeczne z zasadami ochrony danych osobowych. W przesłaniu do uczestników debaty posłanka do PE Lidia Geringer de Oedenberg mówiła o obowiązującej obecnie dyrektywie o ochronie danych osobowych. Została ona przyjęta w 1997 r. i trzeba ją pilnie znowelizować. Jej zdaniem głównym celem reformy jest wzmocnienie ochrony prywatności w internecie i rozwój unijnej gospodarki cyfrowej. W propozycji nowego prawa pojawiły się definicje zgody na przetwarzanie danych oraz uzasadnionego interesu administratora (często nadinterpretowanego) oraz prawa do bycia zapomnianym. Jak uważa, ważnym aspektem usług cyfrowych jest również „chmura cyfrowa”, bo 85% światowego rynku tych usług należy do firm amerykańskich. Dlatego powstał pomysł stworzenia bezpiecznej europejskiej chmury, chronionej prawem unijnym. Z kolei Andrzej Lewiński, pełniący obowiązki Generalnego Inspektora Ochrony Danych Osobowych (GIODO) stwierdził, że potrzebne jest wprowadzenie kar finansowych za niewykonanie decyzji administracyjnych, które wydaje urząd. Jego zdaniem, również użytkownicy i klienci często zbyt łatwo udzielają firmom zgody na przetwarzanie danych osobowych w celu profilowania usług. W trakcie dyskusji dotyczącej gromadzenia danych pasażerów (PNR) i systemów smart-borders Lewiński dodał, że takie systemy zbierania i przetwarzania danych muszą być oparte na zasadach proporcjonalności i konieczności. Dr Łukasz Kister, specjalista ds. bezpieczeństwa z Collegium Civitas, mówił, że prawo dotyczące ochrony danych osobowych stworzone w latach 90. musi zostać zaktualizowane, bo rozwiązania prawne powinny być dostosowane do rzeczywistości, a nawet trochę ją wyprzedzać. Podkreślił też wagę edukacji obywateli, którzy budują bazę danych o sobie, wprowadzając do internetu informacje o swoim życiu.
W podsumowaniu Katarzyna Szymielewicz z Fundacji Panoptykon, poparła tezę, że GIODO wymaga wzmocnienia, bo nie dysponuje wystarczającymi środkami na realizowanie swojej misji, ani odpowiednimi sankcjami. Jej zdaniem powinno też nastąpić uproszczenie procedur ochrony danych osobowych, które powinny być przyjazne dla obywateli, a prawo UE powinno objąć wszystkie podmioty operujące na rynku europejskim, nawet jeśli mają siedzibę poza Europą. Również specjalne porozumienia z USA nie powinny stanowić wyłomu w systemie ochrony danych obywateli UE.
Zapewne w najbliższym czasie czeka nas dyskusja o tym, kto i jakie dane może zbierać o klientach, obywatelach w UE. Dla odbiorcy usług „profilowanie” może być atrakcyjne, bo nie będzie zalewany nie potrzebnymi mu reklamami. Może uzyskać też dodatkowe przydatne mu informacje i propozycje. Jednak nie chcielibyśmy, by niektóre informacje o nas na przykład o naszym statusie finansowym i sytuacji rodzinnej były dostępne. Często firmy zbierając informacje o klientach, w nieuprawniony sposób przyjmują domniemanie zgody na jej przetwarzanie. Na pewno ważna jest ochrona zebranych informacji i ich zabezpieczenie przed pozyskaniem przez nieuprawnione podmioty.
Bohdan Szafrański