Lepsze zabezpieczenie danych osobowych i rozszerzenie ich definicji o elektroniczne ślady, które nas identyfikują
Ujawnienie przez Edwarda Snowdena (na zdj.) sekretów amerykańskich służb specjalnych przyśpieszyło prace nad unijnym rozporządzeniem w sprawie ochrony danych osobowych. Pojawiły się też nowe pomysły zaostrzenia przepisów.
Snowden popchnął Unię do e-działania
Unijna komisarz ds. sprawiedliwości Viviane Reding chce, by jeszcze w tym roku nowe regulacje były gotowe. Posłowie Parlamentu Europejskiego naciskają, by weszły one w życie przed zakończeniem negocjacji w sprawie unijno-amerykańskiej umowy o wolnym handlu. Zamieszanie wokół programu szpiegowskiego NSA uderzy w gigantów z Ameryki – Google i Facebooka.
Najważniejsze zmiany to rezygnacja z zasady safe harbour, która pozwala na to, by europejskie spółki córki przekazywały dane swoich klientów do spółek matek w USA. Kolejna propozycja to doprecyzowanie tego, czym są ślady elektroniczne, i próba zmuszenia firm spoza UE, by respektowały pełną pulę zasad ochrony danych osobowych obowiązujących w Europie.
Najwięcej kontrowersji budzi art. 42 projektu rozporządzenia. Zakłada on, że nawet na żądanie odpowiednich organów (np. sądu) firma nie może przekazać danych obywateli UE do krajów trzecich, jeśli nie ma w tej sprawie porozumienia gwarantującego standard ich ochrony.
Unia chroni dane?
Ujawnienie przez Edwarda Snowdena programu inwigilowania Europejczyków przez amerykańską służbę specjalną NSA (Narodową Agencję Bezpieczeństwa) przyśpieszyło prace nad unijnym rozporządzeniem w sprawie ochrony danych osobowych. Nieograniczona swoboda działania agencji zmieniła podejście do unijnych regulacji. Analizujemy pomysły, które pojawiły się dzięki Snowdenowi, i szanse na ich realizację.
1. Najważniejszą zasługą Snowdena jest propozycja wprowadzenia obowiązku zabezpieczenia danych osobowych obywateli UE przed przekazaniem ich do państw trzecich. W tym wypadku samo rozporządzenie UE nie wystarczy. By zapis nie pozostał martwy, musiałaby mu towarzyszyć wynegocjowana między UE a USA umowa międzynarodowa.
2. Krokiem w kierunku realizacji pomysłu numer 1 jest propozycja Angeli Merkel rezygnacji z zasady safe harbour (Merkel zgłosiła go po ujawnieniu przez magazyn „Der Spiegel” skali programu szpiegowskiego NSA w Europie). Zasada safe harbour to efekt porozumienia Komisji Europejskiej z władzami USA. Pozwala ona na to, by europejskie spółki córki przekazywały dane swoich klientów do swoich spółek matek w USA. Według Merkel należy z niej zrezygnować na poziomie całej UE i narzucić amerykańskim firmom surowsze niż dotychczas standardy ochrony danych w przypadku ich transferu poza granice Unii.
3. Kolejna propozycja to poszerzenie definicji danych osobowych. Ma ona uwzględniać różne formy elektronicznych śladów, które zostawiamy w sieci. Definicja danych już dziś jest szeroka i obejmuje wszystkie ślady, które zostawiamy w internecie, jeśli można je połączyć z możliwą do zidentyfikowania osobą. To oczywiście nie oznacza, że numer IP czy inny elektroniczny ślad z definicji staje się daną osobową. Nadal ma to być oceniane w konkretnym kontekście.
4. Radykalną i trudną do zrealizowania propozycją jest wymóg, by rozporządzenie obowiązywało wszystkie firmy, które oferują swoje usługi w Europie – także wielkich graczy ze Stanów Zjednoczonych, którzy na terenie USA mają obowiązek współpracy z narodowymi służbami specjalnymi (co rodzi obawy o przekazywanie im danych użytkowników np. z Europy). W kontekście afery PRISM ważną zmianą, którą proponuje Komisja Europejska, jest obowiązek respektowania rozporządzenia – a tym samym europejskich standardów – przez firmy zagraniczne, o ile oferują swoje usługi obywatelom UE. Do tej pory właściciele najpopularniejszych portali społecznościowych, przeglądarek czy wyszukiwarek mogli tłumaczyć, że na terenie Unii mają tylko swoje przedstawicielstwa handlowe, jednak nie przetwarzają danych klientów.
Za sprawą afery Snowdena do rozporządzenia może wrócić kontrowersyjny art. 42 (był w pierwotnej propozycji Komisji Europejskiej, ale pod wpływem presji amerykańskiej dyplomacji został wykreślony). Zakłada on, że nawet na żądanie odpowiednich organów (np. sądu) firma nie może przekazać danych obywateli UE do krajów trzecich, jeśli nie ma w tej sprawie porozumienia gwarantującego odpowiedni standard ich ochrony. Samo wpisanie takiego zakazu do europejskiego rozporządzenia nie zablokuje przekazywania danych, a jedynie doprowadzi do konfliktu norm prawnych – amerykańskie firmy nadal będą zobowiązane do współpracy z NSA i FBI na podstawie amerykańskiego prawa. Wzmocni to jednak pozycję negocjacyjną UE w toku prac nad porozumieniem z USA w sprawie przekazywania danych w ramach współpracy policyjnej i sądowej.
Zastępują archaiczne prawo z 1995 roku
Rozporządzenie, którego pierwszą wersję Komisja Europejska przedstawiła w styczniu ubiegłego roku, ma zastąpić obowiązującą od 1995 r. dyrektywę dotyczącą ochrony danych. Głównym celem jest stworzenie jednolitych ram ochrony danych osobowych na terenie 28 państw. Najważniejsze punkty, co do których jest już dziś zgoda, to m.in. zasada ochrony domyślnej. Oznaczałoby to, że usługi czy programy (np. przeglądarki internetowe) musiałyby mieć ustawienia w pełni chroniące prywatność użytkowników.
Rozporządzenie wprowadzałoby także zasadę wyraźnej zgody użytkownika na przetwarzanie danych osobowych, z czym związane jest profilowanie, czyli zbieranie danych o użytkowniku z różnych źródeł. Profil to obraz użytkownika, do którego firmy dopasowują reklamy produktów i usług. Nowe przepisy mają dopuszczać profilowanie na podstawie automatycznego przetwarzania danych jedynie w ściśle określonych sytuacjach. Wprowadzają jednocześnie obowiązek poinformowania o tym osoby, która takiemu profilowaniu podlega.