Czym są dane osobowe?

Są to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby – czyli wszystkie, na podstawie których można określić tożsamość (bezpośrednio albo pośrednio): imię i nazwisko, numer PESEL, ale też – jeśli pozwalają na identyfikację – adres e-mail czy nawet adres IP komputera. Może to być także wysokość wynagrodzenia, informacja o stanie zdrowia, zainteresowaniach czy nawykach.

Dlaczego dyskutujemy o ochronie danych osobowych?

Informacje, w tym dane osobowe, są coraz łatwiej przekazywane dzięki nowym technologiom komunikacyjnym. Z jednej strony możliwy jest dzięki temu rozwój nowych usług (serwisy społecznościowe, publiczne e-usługi, chmura obliczeniowa – ang. cloud computing), z drugiej – gromadzenie i przetwarzanie takich danych przez instytucje i osoby do tego nie powołane rodzi nowe niebezpieczeństwa. 
Dlatego trzeba rozmawiać o tym, jak zapewnić każdemu z nas poczucie bezpieczeństwa, kiedy korzysta z nowych technologii. Lepszy poziom ochrony danych osobowych zwiększa zaufanie do przedsiębiorstw i nowych usług, a to sprzyja innowacji, wzrostowi gospodarczemu i powstawaniu miejsc pracy.

Jakie zmiany są proponowane?

Dane osobowe wszystkich obywateli Unii powinny być chronione tak samo. Trzeba zapewnić jak najpełniejszą kontrolę nad naszymi danymi osobowymi, stworzyć ogólne standardy ich ochrony, aby nie były one wykorzystywane czy sprzedawane bez ograniczeń. 
Dlatego zarówno przepisy unijne (dyrektywa 95/46/WE) jak i polska ustawa o ochronie danych osobowych wymagają zmian. 
W styczniu 2012 r. Komisja Europejska zaproponowała pakiet zmian prawa Unii Europejskiej. Jedną z propozycji jest projekt ogólnego rozporządzenia o ochronie danych, które miałoby zastąpić obowiązującą dyrektywę – tę, którą Polska wdrożyła ustawą o ochronie danych osobowych.

Jakie korzyści mogą przynieść nowe regulacje?

A. Obywatelom

Projekt rozporządzenia wprowadza wiele nowych rozwiązań mających poprawić ochronę danych osobowych obywateli:

• te same przepisy dotyczące ochrony danych obowiązywałyby w całej Unii;

• unijne przepisy byłyby stosowane także wobec przedsiębiorstw spoza UE, które oferują towary lub usługi w Unii (np. za pośrednictwem internetu), lub monitorują zachowania obywateli UE;

• dostęp do informacji o tym, jak są przetwarzane nasze dane osobowe, byłby łatwiejszy, moglibyśmy przenosić nasze dane zgromadzone u jednego usługodawcy do drugiego;

• przetwarzający dane musieliby zadbać, aby obywatele w pełni rozumieli, w jaki sposób ich dane osobowe są przetwarzane, zwłaszcza gdy dotyczy to dzieci. Musieliby również poinformować o naruszeniach bezpieczeństwa danych osobowych (np. wyciekach danych czy włamaniach do systemów);

• zwiększona zostałaby odpowiedzialność podmiotów przetwarzających dane osobowe;

• obywatel zawsze mógłby złożyć skargę w swoim kraju, nawet w przypadku, gdy jego dane osobowe przetwarzane są w innym państwie.

B. Przedsiębiorcom

Wysoki poziom ochrony danych osobowych przynosi korzyści przedsiębiorcom. Jeśli obywatele mają zaufanie do tego, co dzieje się, z ich danymi, chętniej korzystają z usług, które wymagają podania takich danych. Rośnie więc cały rynek online i cała gospodarka cyfrowa. 
Reforma usprawniłaby też funkcjonowanie jednolitego unijnego rynku, co powinno przełożyć się na wzrost gospodarczy, innowacyjność i tworzenie nowych miejsc pracy. 
Tam, gdzie nie niesie to zagrożenia dla praw obywateli, usunięta byłaby także zbędna biurokracja przy przekazywaniu danych osobowych do państw trzecich, przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa.

A poza tym:

• zmniejszona zostałaby liczba formalności administracyjnych (np. obowiązek zgłoszenia zbioru danych osobowych do organu nadzorującego), zwiększona byłaby za to rola odpowiedzialności samych przedsiębiorców;

• przedsiębiorstwa w UE odpowiadałyby przed jednym organem ochrony danych niezależnie od tego, w ilu państwach Unii prowadzą działalność (tzw. „one-stop-shop”);

• szanse przedsiębiorców z 27 krajów Unii zostałyby zrównane – wobec wszystkich stosowane byłoby to samo prawo, a nie różne krajowe regulacje.

Nad jakimi elementami unijnej reformy ochrony danych osobowych trwają prace?

• profilowanie (art. 20 projektu Rozporządzenia) – przepis dotyczący profilowania jest jednym z kluczowych elementów projektowanego rozporządzenia o ochronie danych. Projekt Komisji Europejskiej dopuszcza profilowanie opierające się na automatycznym przetwarzaniu danych jedynie w ściśle określonych sytuacjach: w trakcie zawierania lub wykonania umowy, na podstawie przepisów prawa lub po uzyskaniu zgody obywatela (tzw. podmiotu danych). Przepis wprowadza również obowiązek poinformowania o tym osoby, która podlega profilowaniu.

Profilowanie co do zasady polega m.in. na zbieraniu danych o obywatelu z różnych źródeł. Profil to obraz obywatela w oczach firm, do którego dopasowywane są reklamy produktów i usług. Dzięki profilowaniu reklamy i same usługi mogą być „szyte na miarę”. Profilowanie może więc przynieść obywatelom wiele korzyści: na podstawie profili są podejmowane ważne dla nas decyzje (np. o przyznaniu ubezpieczenia lub kredytu).

Z drugiej strony profilowanie rodzi obawy, że użytkownik może otrzymywać wyłącznie informacje odpowiadające jego dotychczasowym zainteresowaniom (jego profilowi), lub – gdy profilowanie okaże się niewłaściwe – obywatelowi przypisane zostaną preferencje, które go nie dotyczą.

•  ochrona danych już w fazie projektowania oraz ochrona danych jako opcja domyślna (art. 23 projektu Rozporządzenia) – projekt rozporządzenia promuje zasady „privacy by design” i „privacy by default”, co oznacza, że ustawienia prywatności w urządzeniach, produktach lub usługach mają być nakierowane na maksymalną ochronę użytkownika. Dzięki temu, użytkownicy nie będą musieli przedzierać się przez gąszcz skomplikowanych ustawień, aby jak najlepiej chronić i kontrolować informacje na swój temat. Do obywatela będzie należała decyzja czy i jakie dane chce udostępnić.

• prawo do bycia zapomnianym (art. 17 ust. 2 projektu Rozporządzenia) – dające obywatelowi, przy spełnieniu określonych warunków, prawo do usunięcia swoich danych z sieci. Obecne brzmienie tego przepisu nakłada na administratora przetwarzającego dane osobowe, w przypadku otrzymania odpowiedniego żądania obywatela, obowiązek usunięcia danych, poinformowania osób trzecich przetwarzających te dane o tym żądaniu oraz usunięcia wszelkich linków do danych, kopii lub replikacji tych danych osobowych.

To prawo miałoby pozwalać obywatelowi chronić swoje dane, ale może być trudne lub niemożliwe do wyegzekwowania w realizacji (stanowisko Fundacji Panoptykon i PKPP Lewiatan). Usunięcie danych osobowych obywatela upublicznionych już w sieci jest bowiem techniczne skomplikowane i kosztowne do wprowadzenia. Proponowana treść przepisu nie uwzględnia też specyfiki różnych branż (np. bankowej), gdzie prawo do bycia zapomnianym może powodować usunięcie danych historycznych obywatela, niezbędnych np. do oceny jego wiarygodności kredytowej, co spowoduje poważne zagrożenie udzielenia kredytu osobom „bez historii kredytowej”. Dlatego rozważana jest modyfikacja tego zapisu.

• zgoda na przetwarzanie danych (art. 4 pkt 8 projektu Rozporządzenia) – projekt rozporządzenia wzmacnia znaczenie zgody, jako podstawy do przetwarzania danych. Według projektu rozporządzenia zgoda obywatela musi być udzielana wyraźnie, tzn. w postaci jednoznacznego oświadczenia lub działania potwierdzającego istnienie zgody danej osoby.
  Zgoda musi być też dobrowolna.

Z jednej strony zgoda powinna być wyrażona w sposób wyraźny, nie powinna być milcząca czy dorozumiana, a także nie powinna stanowić podstawy przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Jednak praktyczne stosowanie tego przepisu może być uciążliwe dla internautów, zmuszonych do wyrażania zgody przy każdorazowym skorzystaniu z nowej usługi. W związku z tym przedstawiciele biznesu opowiadają się za wprowadzeniem tzw. zgody kontekstowej, uzyskiwanej w oparciu o faktyczne działania podmiotu danych, a nie jedynie jego wyraźne oświadczenie.