Publicystyka - ngo.pl

Wniosek, w sprawie którego zasięgnięto opinii EKES‑u, sytuuje się zdaniem Komisji w punkcie przecięcia się dwóch bardzo ważnych kierunków prawno-politycznych i polityczno-gospodarczych UE.

Z jednej strony art. 8 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) utrwalają prawo do ochrony danych jako prawo podstawowe, które powinno jako takie podlegać ochronie. Przepisy te były podstawą do opracowania komunikatów Komisji Europejskiej dotyczących programu sztokholmskiego i planu działań służącego realizacji programu sztokholmskiego.

Z drugiej strony Europejska agenda cyfrowa i, szerzej, strategia „Europa 2020” kładą nacisk na wzmocnienie wymiaru ochrony danych związanego z jednolitym rynkiem i na zmniejszenie obciążeń administracyjnych przedsiębiorstw.

Zamiarem Komisji jest aktualizacja i modernizacja zasad zawartych w skonsolidowanej dyrektywie 95/46/WE w sprawie ochrony danych w celu zagwarantowania na przyszłość praw osób w zakresie poszanowania prywatności w społeczeństwie cyfrowym i jego sieciach. Komisja dąży do wzmocnienia praw obywateli, umocnienia rynku wewnętrznego UE, zapewnienia wysokiego poziomu ochrony danych we wszystkich dziedzinach (także w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych), zapewnienia należytego stosowania przyjętych w tym celu przepisów, ułatwienia transgranicznego przetwarzania danych i ustanowienia powszechnych norm w zakresie ochrony danych.

Każdemu obywatelowi i mieszkańcowi Unii przysługują z racji samego tego faktu prawa podstawowe ujęte w karcie i traktatach; prawa te są też utrwalone w prawie państw członkowskich, czasem nawet na poziomie konstytucyjnym. Inne prawa, takie jak prawo do wizerunku czy prawo do poszanowania prywatności, uzupełniają i wzmacniają prawo do ochrony danych osobowych. Powinna istnieć możliwość wyegzekwowania tych praw poprzez zwrócenie się do administratora strony internetowej o zmianę lub usunięcie profilu bądź pliku z serwera, a w razie niewykonania tego polecenia – możliwość uzyskania nakazu sądowego w tej sprawie.

Przechowywanie plików zawierających dane osobowe jest niezbędne w przypadku administracji publicznej, zarządzania personelem przedsiębiorstw, w przypadku usług handlowych, stowarzyszeń i związków zawodowych, partii politycznych, stron społecznościowych i wyszukiwarek internetowych. Niemniej jednak aby chronić prywatność osób, których dane zgodnie z prawem umieszczono w plikach mających zastosowanie do różnych celów, pliki te powinny zawierać jedynie podstawowe dane służące do realizacji poszczególnych celów i nie powinny być wzajemnie powiązane za sprawą ICT, bez konieczności i ochrony prawnej. Istnienie organu mającego nieograniczony dostęp do wszystkich danych stanowiłoby zagrożenie dla swobód obywatelskich i prywatności.

W przypadku plików przechowywanych przez podmioty prawa prywatnego osoby zainteresowane powinny mieć prawo do dostępu do swoich danych i do ich poprawienia, a nawet do usunięcia pliku, gdy chodzi o pliki wykorzystywane do celów poszukiwania klientów lub na stronach sieci społecznościowych.

Jeżeli chodzi o pliki przechowywane zgodnie z obowiązkami prawnymi przez administrację publiczną lub prywatną, osoby zainteresowane powinny mieć prawo do dostępu do swoich danych, do ich poprawienia w razie błędu, a nawet do ich usunięcia, jeśli ich przetwarzanie przestało być konieczne, np. w przypadku amnestii, gdy chodzi o dane zawarte w rejestrze sądowym, lub w przypadku wygaśnięcia umowy o pracę, po upływie ustawowego okresu przechowywania.

EKES pochwala ogólny kierunek obrany przez Komisję, uznając, że pomimo upływu 17 lat cele skonsolidowanej dyrektywy 95/46/WE pozostały aktualne, a w związku ze wszystkimi zmianami technologicznymi i społecznymi, jakie nastąpiły w odniesieniu do środowiska cyfrowego, niezbędny stał się gruntowny przegląd tej dyrektywy. Dla przykładu, we wspomnianej dyrektywie nie było mowy o niektórych aspektach transgranicznej wymiany informacji i danych między organami administracji odpowiedzialnymi za ściganie przestępstw i wykonywanie orzeczeń w ramach współpracy policyjnej i wymiarów sprawiedliwości. Kwestia ta została omówiona w projekcie dyrektywy stanowiącym część pakietu dotyczącego ochrony danych i niebędącym przedmiotem konsultacji z Komitetem.

EKES pochwala zasadniczo cele wniosku, które dotyczą ochrony praw podstawowych i są bardzo zbieżne z opinią Komitetu, zwłaszcza w odniesieniu do następujących kwestii:

• ustanowienie jednolitego zbioru przepisów dotyczących ochrony danych, obowiązującego w całej Unii i zapewniającego możliwie najwyższy poziom ochrony;
• wyraźne potwierdzenie swobody przepływu danych osobowych w UE;
• zniesienie wielu niepotrzebnych obowiązków administracyjnych, które w opinii Komisji umożliwiłoby przedsiębiorstwom zaoszczędzenie ok. 2,3 mld EUR rocznie;
• nałożenie na przedsiębiorstwa i organizacje obowiązku bezzwłocznego powiadamiania krajowych organów nadzorczych o poważnych naruszeniach ochrony danych osobowych (o ile to możliwe w terminie 24 godzin);
• umożliwienie obywatelom zwrócenia się do organu odpowiedzialnego za ochronę danych w ich państwie nawet w przypadku, gdy dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza terytorium UE;
• ułatwienie osobom dostępu do ich danych, jak również przenoszenia danych osobowych od jednego usługodawcy do drugiego (prawo podmiotu danych do przenoszenia danych);
• „prawo do bycia zapomnianym” zapewniające obywatelom lepsze zarządzanie ryzykiem związanym z ochroną danych w internecie oraz możliwość usunięcia danych osobowych w przypadku, gdy nie ma żadnych uzasadnionych podstaw do ich przechowywania;
• wzmocnienie w stosunku do stanu obecnego roli niezależnych organów krajowych odpowiedzialnych za ochronę danych, aby mogły one zapewnić skuteczniejsze stosowanie i przestrzeganie przepisów UE na terytorium swojego państwa członkowskiego, w szczególności poprzez nakładanie na przedsiębiorstwa naruszające przepisy grzywien wynoszących do 1 mln euro lub stanowiących do 2% rocznych całkowitych obrotów przedsiębiorstwa;
• neutralność technologiczna i zastosowanie do wszelkiego rodzaju przetwarzania danych, zarówno ręcznego, jak i w sposób zautomatyzowany;
• obowiązek przeprowadzania ocen skutków dotyczących ochrony danych.

EKES przyjmuje z zadowoleniem położenie nacisku na ochronę praw podstawowych i w pełni popiera wybór proponowanej podstawy prawnej, wykorzystanej po raz pierwszy w prawodawstwie. Podkreśla też duże znaczenie przedmiotowego wniosku dla urzeczywistnienia jednolitego rynku oraz jego pozytywne skutki w ramach strategii „Europa 2020”. Jeśli chodzi o wybór rozporządzenia, niektórzy członkowie EKES‑u, niezależnie od przynależności do Grupy, podzielają zdanie Komisji i uważają, że chodzi tu o instrument prawny najbardziej odpowiedni do tego, by zapewnić jednolite stosowanie i jednakowy wysoki poziom ochrony danych we wszystkich państwach członkowskich. Inni członkowie są zdania, że dyrektywa byłaby instrumentem mogącym lepiej zapewnić stosowanie zasady pomocniczości i lepiej chronić dane, zwłaszcza w tych państwach członkowskich, które już zapewniają wyższą ochronę, niż zostało to określone we wniosku Komisji. EKES zdaje sobie także sprawę z tego, że państwa członkowskie są również podzielone w tej kwestii. W związku z tym zwraca się do Komisji o lepsze uzasadnienie jej propozycji poprzez dobitniejsze wykazanie, że jest ona zgodna z zasadą pomocniczości, i o przedstawienie powodów, dla których uważa, ze wybór rozporządzenia jest niezbędny dla osiągnięcia wytyczonych celów.

Ponieważ chodzi o rozporządzenie mające bezpośrednie zastosowanie w całości we wszystkich państwach członkowskich, bez konieczności dokonywania transpozycji, EKES zwraca uwagę Komisji na konieczność zapewnienia spójności wszystkich przetłumaczonych wersji językowych, która to spójność nie została zapewniona w przypadku wniosku.

EKES jest zdania, że z jednej strony we wniosku można było posunąć się dalej, jeżeli chodzi o wymiar ochronny niektórych praw, które ze względu na niezliczone wyjątki i ograniczenia zostały praktycznie pozbawione treści, a z drugiej strony należało lepiej zrównoważyć prawa poszczególnych podmiotów. W związku z tym grozi nam brak równowagi między celami dotyczącymi podstawowego prawa do ochrony danych a celami dotyczącymi jednolitego rynku, ze szkodą dla tych pierwszych. EKES podziela zasadniczo opinię wyrażoną przez Europejskiego Inspektora Ochrony Danych.

EKES życzyłby sobie, aby Komisja przyjęła podejście bardziej zgodne z potrzebami i dążeniami obywateli oraz bardziej uporządkowane według charakteru określonych dziedzin działalności gospodarczej i społecznej, takich jak np. handel elektroniczny, marketing bezpośredni, stosunki pracy, władze publiczne, monitoring i bezpieczeństwo, DNA itp., różnicując przepisy mające zastosowanie do przetwarzania danych w zależności od wymienionych bardzo różnych aspektów.

Jeżeli chodzi o różne przepisy zawarte we wniosku (ujęte w art. 86), bardzo ważne aspekty przedmiotowego instrumentu prawnego oraz działania systemu zależą od przyszłych aktów delegowanych (26 przypadków przekazania uprawnień na czas nieokreślony). EKES jest zdania, że wykracza to daleko poza granice ustalone w art. 290 Traktatu i określone w komunikacie Komisji Europejskiej w sprawie wprowadzenia w życie art. 290 Traktatu o funkcjonowaniu Unii Europejskiej, co pociąga za sobą skutki dla bezpieczeństwa i pewności prawa w odniesieniu do przedmiotowego instrumentu. Uważa ponadto, że określona liczba przekazanych uprawnień mogłaby być regulowana bezpośrednio przez europejskiego prawodawcę. Pozostałe mogą natomiast leżeć w kompetencji krajowych organów nadzorczych lub ich grupy na szczeblu europejskim. Wzmocniłoby to wdrażanie zasady pomocniczości i przyczyniło się do większej pewności prawa.

EKES rozumie powody, dla których Komisja zajęła się w ramach przedmiotowego wniosku, ze względu na jego specyficzny charakter prawny, jedynie prawami osób fizycznych. Wzywa jednak Komisję do zwrócenia uwagi także na dane dotyczące osób prawnych, a konkretnie osób mających osobowość prawną.

Wniosek jest zgodny z przedmiotem i celami dyrektywy 95/46/WE, zwłaszcza jeżeli chodzi o pewne definicje, główne zasady dotyczące jakości danych i uzasadnienia ich przetwarzania, przetwarzanie szczególnych kategorii danych i niektóre prawa do informacji i dostępu do danych.

Wniosek wprowadza korzystne innowacje w ramach zasadniczych aspektów dotyczących nowych definicji, ściślejszego określenia warunków wyrażania zgody, zwłaszcza w przypadku dzieci, oraz kategoryzacji nowych praw, takich jak prawa do poprawiania i do usuwania danych, a zwłaszcza prawo podmiotu danych do bycia zapomnianym, treść prawa wniesienia sprzeciwu i profilowanie, jak również w odniesieniu do takich kwestii jak bardzo szczegółowe obowiązki administratorów i podmiotów przetwarzających, bezpieczeństwo danych i ogólne ramy sankcji, głównie o charakterze administracyjnym.

Komitet przyjmuje też z zadowoleniem troskę o stworzenie w ramach wniosku skutecznych ram instytucjonalnych w celu zapewnienia efektywnego funkcjonowania przepisów prawa, zarówno na poziomie przedsiębiorstw (inspektorzy ochrony danych), jak i administracji publicznych państw członkowskich (niezależne organy nadzorcze), jak również w celu wzmocnienia współpracy między tymi organami i współpracy z Komisją (utworzenie Europejskiej Rady Ochrony Danych). Zwraca jednak uwagę na fakt, iż należy zachować kompetencje krajowych, a po części także regionalnych inspektorów ochrony danych w państwach członkowskich.

EKES pozytywnie ocenia wreszcie wspieranie opracowywania kodeksów postępowania, a także rolę certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych.

Warunki stosowania przewidziane w ust. 2 są zbyt restrykcyjne; przypomnijmy o przypadku firm farmaceutycznych mających siedzibę poza Europą, które do celów badań klinicznych potrzebują uzyskać dostęp do danych klinicznych zainteresowanych osób mieszkających w UE.

Definicja „zgody”, która stanowi zasadniczą podstawę wszelkich koncepcji ochrony danych, powinna być bardziej szczegółowa w odniesieniu do swoich poszczególnych elementów, zwłaszcza gdy chodzi o cechy „wyraźnego działania potwierdzającego”.

W art. 4 powinna znaleźć się definicja pojęcia „przekazywania danych”, które nie jest nigdzie zdefiniowane.

Należy zdefiniować pojęcie „rzetelnego przetwarzania” wymienione w art. 5 lit. a).

Pojęcie danych „które zostały wyraźnie podane do publicznej wiadomości” (art. 9 ust. 2 lit. e)) także powinno zostać ściśle zdefiniowane.

Należy też zdefiniować pojęcie „profilowania” pojawiające się w całej treści wniosku.

Pojawiające się w lit. f) pojęcie „słusznych interesów realizowanych przez administratora”, które nie wchodziłyby w zakres żadnej z poprzednich liter, wydaje się niejasne i subiektywne i powinno zostać ściślej określone w samym tekście, a nie w akcie delegowanym (ust. 5), tym bardziej że w ust. 4 nie wymieniono lit. f) (jest to ważne np. w przypadku usług pocztowych i marketingu bezpośredniego).

W ust. 3 należałoby zaznaczyć, że odwołanie zgody uniemożliwia wszelkie przyszłe przetwarzanie i że ma ono wpływ na zgodność z prawem przetwarzania jedynie od momentu odwołania zgody.

W ust. 4 lit. b) należy określić termin maksymalny.

Zgłaszanie naruszeń niezależnie od ich charakteru grozi naruszeniem działania systemu i, ostatecznie, stworzeniem przeszkody dla efektywnego pociągnięcia do odpowiedzialności winnych.

Jeżeli chodzi o inspektora ochrony danych, należałoby ściślej określić warunki pełnienia przedmiotowej funkcji, dotyczące takich kwestii jak: ochrona przed zwolnieniem, która powinna być jasno zdefiniowana i wykraczać poza okres pełnienia tej funkcji przez daną osobę; podstawowe warunki i jasne wymogi związane z wykonywaniem tej działalności; zwolnienie inspektora ochrony danych z wszelkiej odpowiedzialności w przypadku zgłaszania nieprawidłowości pracodawcy lub krajowym organom ds. ochrony danych; prawo do bezpośredniego udziału przedstawicieli pracowników w wyznaczaniu inspektora ochrony danych oraz prawo tych przedstawicieli do okresowego otrzymywania informacji dotyczących napotkanych problemów i ich rozwiązania. Należałoby też uściślić kwestię środków przyznawanych na pełnienie tej funkcji.

Certyfikacja powinna należeć do zadań Komisji.

W art. 82 brakuje wyraźnego odniesienia do oceny wyników (do której nie ma też nawiązania w art. 20 dotyczącym profilowania). Nie uściślono ponadto, czy przedmiotowe upoważnienie ma zastosowanie także do opracowywania przepisów dotyczących inspektora ochrony danych. Należałoby też doprecyzować zakaz profilowania w kontekście zatrudnienia, w odniesieniu do oceny skutków w zakresie ochrony danych (art. 33).

Zakres stosowania

Jeżeli chodzi o prawa podstawowe, w ramach harmonizacji dokonanej w określonych dziedzinach należałoby pozostawić państwom członkowskim możliwość przyjęcia przepisów prawa krajowego nieujętych w przedmiotowym rozporządzeniu bądź bardziej korzystnych od tych, które w nim przewidziano, co zostało już usankcjonowane w dziedzinach wymienionych w art. 80–85.

Należałoby wyraźnie włączyć adresy IP osób do danych chronionych w ramach części normatywnej rozporządzenia, a nie tylko w preambule.

Wyszukiwarki czerpiące większość dochodów z reklamy i gromadzące dane osobowe użytkowników, aby je wykorzystać do celów handlowych, powinny wyraźnie wchodzić w zakres stosowania rozporządzenia, a nie tylko figurować w preambule.

Należałoby zaznaczyć, że sieci społecznościowe wchodzą w zakres stosowania rozporządzenia, i to nie tylko wtedy, gdy wykorzystują profilowanie do celów handlowych.

Niektóre metody kontroli i filtrowania internetu, które mają rzekomo przeciwdziałać podrabianiu towarów i prowadzą do profilowania niektórych użytkowników sieci, włączenia ich do rejestru i kontrolowania wszystkich ich kroków w warunkach braku zezwolenia sądowego, także powinny wchodzić w zakres stosowania rozporządzenia.

Byłoby też pożądane, aby instytucje i organy Unii podlegały obowiązkom określonym w rozporządzeniu.

Najlepszy sposób postępowania polegałby na określeniu szczególnych warunków w zależności od okoliczności, sytuacji i celów przetwarzania danych. Należy wprowadzić zakaz profilowania w tych dziedzinach.

Należałoby wprowadzić zasadę niedyskryminacji w ramach przetwarzania wrażliwych kategorii danych do celów statystycznych.

• uczestnictwo przedstawicieli pracowników na wszystkich szczeblach krajowych i na poziomie europejskim w opracowywaniu „wiążących reguł korporacyjnych”, których spełnienie powinno odtąd stanowić warunek międzynarodowego przekazywania danych (art. 43);
• informowanie europejskiej rady zakładowej i zasięganie jej opinii przy międzynarodowym przekazywaniu danych pracowników, zwłaszcza do państw trzecich;
• informowanie i uczestnictwo europejskich partnerów społecznych i europejskich organizacji pozarządowych do spraw konsumenckich i obrony praw człowieka w wyznaczaniu członków Europejskiej Rady Ochrony Danych, która ma zastąpić Grupę Roboczą Art. 29;
• informowanie i uczestnictwo wspomnianych partnerów i organizacji pozarządowych na szczeblu krajowym w wyznaczaniu członków krajowych organów ds. ochrony danych, co także nie zostało przewidziane.

Większość naruszeń prawa do ochrony danych ma charakter zbiorowy – gdy następuje tego rodzaju naruszenie, jego ofiarą nie jest pojedyncza osoba, lecz grupa lub ogół osób, których dotyczą dane. Tradycyjne indywidualne sądowe drogi odwoławcze nie są odpowiednie do reagowania na tego rodzaju naruszenia. Tymczasem o ile art. 76 upoważnia każdy podmiot, organizację lub zrzeszenie działające na rzecz ochrony praw zainteresowanych osób do wszczęcia postępowań, o których mowa w art. 74 i 75, w imieniu jednej lub większej liczby zainteresowanych osób, o tyle inaczej jest w przypadku dochodzenia odszkodowania, ponieważ art. 77 przewiduje taką możliwość jedynie w odniesieniu do pojedynczych osób i nie dopuszcza postępowań reprezentujących interesy grupowe ani powództw zbiorowych.

W tym kontekście Komitet przypomina, o czym informował od lat w wielu opiniach, że należy koniecznie i pilnie wyposażyć UE w zharmonizowany instrument prawny dotyczący powództw zbiorowych na szczeblu UE, potrzebny w wielu dziedzinach prawa UE i występujący w wielu państwach członkowskich.

W sytuacji gdy „dziecko” oznacza każdą osobę w wieku poniżej 18 lat (art. 4 ust. 18), zgodnie z konwencją nowojorską, nie jest dopuszczalne, aby w art. 8 ust. 1 umożliwiono dzieciom w wieku 13 lat wyrażenie zgody na przetwarzanie ich danych osobowych.

EKES rozumie konieczność określenia odrębnych przepisów dla MŚP, niemniej jednak nie jest dopuszczalne, aby Komisja mogła w drodze aktu delegowanego po prostu zwolnić MŚP z obowiązku przestrzegania praw dziecka.

Nie ma też powodów, dla których dzieci miałyby wyrażać zgodę na przetwarzanie danych dotyczących ich przynależności państwowej, poglądów politycznych, religii, zdrowia, seksualności czy wyroków skazujących (art. 9 ust. 2 lit. a)).

Dane dobrowolnie podane przez same osoby zainteresowane, np. na stronie Facebook, nie powinny być wyłączone z ochrony – co można wywnioskować z art. 9 lit. e) – i powinny być przynajmniej przedmiotem prawa do bycia zapomnianym.

Wyjątek sformułowany w części końcowej – „chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku” – nie jest ani uzasadniony, ani dopuszczalny.

Identyczny wyjątek w ust. 5 lit. b) jest także niedopuszczalny.

Niejasne sformułowanie użyte do określenia wyjątku – „ważne i uzasadnione podstawy” – jest nie do przyjęcia i pozbawia treści prawo wniesienia sprzeciwu.

Zakaz profilowania nie powinien ograniczać się do przetwarzania „automatycznego”.

Brzmienie ust. 1 lit. c) jest całkowicie nie do przyjęcia, ponieważ zawiera sformułowania niejasne i nieokreślone, takie jak: interes gospodarczy i finansowy, kwestie pieniężne, budżetowe i podatkowe, a nawet stabilność i integralność rynku, które to wyrażenie zostało włączone do dyrektywy 95/46/WE.

Wprowadzenie progu 250 pracowników, od którego osiągnięcia uzależnione jest stosowanie niektórych przepisów w zakresie ochrony, np. dotyczących inspektora ochrony danych, prowadzi do tego, że jedynie nieco mniej niż 40% pracowników skorzystałoby na przyjęciu tych przepisów. Wskutek zastosowania tego samego progu w odniesieniu do obowiązku prowadzenia dokumentacji większość pracowników nie miałaby odtąd żadnej możliwości monitorowania wykorzystania ich danych osobowych, nie byłoby zatem żadnego nadzoru nad tym wykorzystaniem. Komitet sugeruje, aby rozważyć możliwość wprowadzenia niższego progu, np. powszechnie przyjętej w państwach członkowskich liczby pracowników potrzebnej do powołania zakładowej reprezentacji interesów pracowniczych. Można też rozważyć inne podejście oparte na obiektywnych kryteriach, takich jak np. liczba plików dotyczących ochrony danych przetwarzanych w określonym czasie, niezależnie od wielkości przedsiębiorstwa lub zainteresowanego działu.

O ile można zrozumieć założenia „punktu kompleksowej obsługi”, który ma na celu ułatwienie życia przedsiębiorcom i zwiększenie skuteczności mechanizmów ochrony danych, o tyle wprowadzenie tego rodzaju punktów może pociągnąć za sobą wyraźny spadek poziomu ochrony danych dotyczących obywateli ogólnie i danych osobowych pracowników w szczególności, wskutek pozbawienia mocy obowiązującego obecnie w przypadku przekazywania danych osobowych wymogu osiągnięcia porozumienia w ramach zakładu pracy oraz uzyskania zgody krajowego organu ds. ochrony danych.

Dodatkowo system, o którym mowa, wydaje się sprzeczny z troską o zarządzanie z bliska i może pozbawić obywateli możliwości skierowania wniosku do rozpatrzenia do najbliższego i najbardziej dostępnego organu nadzorczego.

Są zatem powody skłaniające do utrzymania właściwości organu państwa członkowskiego miejsca zamieszkania skarżącego.