Internet: dane osobowe będą lepiej chronione

Internet: dane osobowe będą lepiej chronione
27 września 2016 | Administracja
Prawo UE | Chociaż unijne rozporządzenie o ochronie danych będzie obowiązywało w państwach
Wspólnoty od 25 maja 2018 r., nie warto zwlekać z dostosowywaniem wewnętrznych regulacji do
jego przepisów. Bartosz Marcinkowski
W obecnych czasach, biorąc pod uwagę dynamikę i tempo rozwoju internetu oraz mediów
społecznościowych, ochrona praw ich użytkowników – czyli w zasadzie każdego z nas – stała się
ważniejsza niż kiedykolwiek. Unijne rozporządzenie z 27 kwietnia 2016 (Ogólne rozporządzenie o
ochronie danych 2016/679, DzU UE L 119/1) stawia sobie za cel między innymi zapewnienie
większego bezpieczeństwa osobom, dla których korzystanie z internetu jest tak naturalne, jak
oddychanie. Analizując wskazane regulacje, jak również stosując – już wkrótce – uchwalone
przepisy, należy mieć na uwadze, iż prawa i wolności jednostki, osoby, której dane dotyczą,
stanowią wartość będącą zasadniczym przedmiotem ochrony. To te prawa i wolności, a nie
komercyjne cele czy wygoda przetwarzających dane osobowe, skupiają uwagę unijnego
prawodawcy.
Celem Ogólnego rozporządzenia o ochronie danych jest dostosowanie regulacji do potrzeb
współczesnego społeczeństwa informacyjnego oraz zwiększenie gwarancji praw i wolności w
internecie, w tym szczególnie w mediach społecznościowych. Instrumenty prawne zawarte w
Ogólnym rozporządzeniu mają stanowić narzędzia kontroli obiegu danych w sieci. Nowe prawo
będzie obowiązywało we wszystkich państwach UE od 25 maja 2018 r.
Poniżej krótkie omówienie wybranych instrumentów ochrony, które przewiduje Ogólne
rozporządzenie.
Prawo do bycia zapomnianym
Prawo do bycia zapomnianym jest koncepcją jednoznacznie wprowadzoną do europejskiej
doktryny prawnej w 2014 roku przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyniku
sporu między Google a M. Costeją Gonzálezem. M.C. Gonzalez zażądał podjęcia przez Google
kroków do usunięcia jego zdezaktualizowanych danych osobowych z indeksu wyszukiwarki oraz
uniemożliwienie wyszukania ich w przyszłości, a TSUE przychylił się do jego wniosku.
Art. 17 Ogólnego rozporządzenia przewiduje prawo osoby, której dane dotyczą, do żądania od
administratora danych (ustalającego cele i sposób przetwarzania danych) niezwłocznego usunięcia
dotyczących go danych osobowych między innymi wówczas, gdy nie są już one niezbędne dla
celów, dla których zostały pierwotnie zebrane.
Co więcej, w razie upublicznienia danych, administrator zobowiązany jest poinformować
przetwarzających te dane o żądaniu ich usunięcia. Prawo do bycia zapomnianym nie znajdzie
jednak zastosowania na przykład wówczas, gdy przetwarzanie danych jest niezbędne m.in. z
punktu widzenia wolności wypowiedzi i informacji.
W praktyce opisany mechanizm może oznaczać uprawnienie użytkowników internetu do żądania
od zarządców portali internetowych i serwisów społecznościowych usunięcia danych dotyczących
ich osoby.
Jednocześnie prawo do bycia zapomnianym w przedstawionej formule wywołuje kontrowersje i
pytania dotyczące realności jego zastosowania. Wskazuje się też , że w wielu przypadkach
zidentyfikowanie wszystkich podmiotów, które przetwarzają wtórnie dane osobowe, może być
praktycznie niewykonalne.
Prawo do przeniesienia danych osobowych
Prawo to umożliwia osobie, której dane dotyczą, skuteczne żądanie przeniesienia danych
pomiędzy ich administratorami. Należy zaznaczyć, że jeżeli przenoszony zestaw danych zawiera
również dane innych osób, przeniesienie nie powinno powodować uszczerbku dla praw i wolności
tych osób.
Taka regulacja w swym założeniu pozwala na wybór podmiotu przetwarzającego dane, co ma
powodować, iż informacje są powierzane podmiotowi, do którego obywatel ma zaufanie.
Uprawnienie do przenoszenia danych silniej akcentuje również związek pomiędzy jednostką a
informacjami na jej temat. Obywatel w całym procesie przetwarzania pozostaje realnym
„dysponentem" danych na swój temat.
Prawo to – z uwagi na swój charakter – nie znajduje zastosowania w odniesieniu do
administratorów danych, którzy przetwarzając dane wykonują obowiązki publiczne. Pozbawienie
ich określonych informacji mogłoby wszak uniemożliwić realizację ich zadań.
Prawo do przeniesienia danych, podobnie jak prawa do bycia zapomnianym, budzi pewne
kontrowersje. Z jednej strony instrument ten ma na celu wzmocnienie praw jednostki do
prywatności oraz większą kontrolę nad danymi osobowymi. Z drugiej jednak zachodzi ryzyko, że
realizacja prawa do przeniesienia danych osobowych będzie wymagała dużych nakładów
finansowych ze strony administratorów danych.
Privacy by defaul/privacy by design
Ogólne rozporządzenie o ochronie danych w art. 25 wprowadza do europejskiej legislacji zasady –
„privacy by design" (ochrony danych w fazie projektowania) oraz „privacy by default" (domyślnej
ochrony danych). Celem tych regulacji jest zobowiązanie do uwzględnienia dziedziny ochrony
danych i prywatności na każdym etapie tworzenia oraz stosowania technologii lub świadczenia
usług obejmujących przetwarzanie informacji. Oznacza to, że ochrona prywatności ma być
uwzględniana już w fazie początkowej każdego projektu zakładającego przetwarzanie danych
osobowych w taki sposób, aby od samego początku dbałość o prywatność stanowiła immanentną
część przedsięwzięcia.
Ponadto aplikacje lub systemy służące do przetwarzania danych powinny wykorzystywać, zgodnie
z zasadą minimalizacji zakresu przetwarzanych danych, jak najmniejszą ilość informacji o
użytkowniku.
Rozwiązania i aplikacje opracowane z uwzględnieniem zasad privacy by defaul oraz privacy by
design zwiększają zatem poziom bezpieczeństwa informacji. Może to dotyczyć zwłaszcza
zaawansowanych rozwiązań wykorzystywanych dla celów komercyjnych, gdzie renoma producenta
i stosowane przez niego procedury będą dodatkowymi gwarancjami bezpieczeństwa.
Prawo do odszkodowania
Artykuł 82 Ogólnego rozporządzenia o ochronie danych stanowi podstawę do domagania się od
podmiotu przetwarzającego dane odszkodowania z tytułu poniesienia szkody majątkowej lub
niemajątkowej, powstałej w wyniku naruszenia przepisów rozporządzenia.
W przypadku mnogości podmiotów uczestniczących w przetwarzaniu danych ich odpowiedzialność
ma charakter solidarny, a osoba, której dane dotyczą, może dochodzić odszkodowania od każdego
z nich osobno, od niektórych z nich, bądź też od wszystkich łącznie. Podmiot przetwarzający dane
może zwolnić się od opisanej odpowiedzialności wykazując brak winy po swojej stronie. Zatem
kompleksowa regulacja ochrony danych od maja 2018 roku obejmować będzie normy dotychczas
należące do prawodawstwa cywilistycznego.
Komentarz
Bartosz Marcinkowski, radca prawny, partner w kancelarii Domański Zakrzewski
Palinka
W ostatnim czasie wyraźnie da się zauważyć dążenie Unii Europejskiej do stworzenia
mechanizmów, które stanowiłyby kompleksową odpowiedź prawną na wyzwania
związane z ochroną danych osobowych w związku z ich przetwarzaniem na dużą
skalę w internecie, serwisach społecznościowych czy chmurach obliczeniowych.
Przedstawione instrumenty stanowią przykłady rozwiązań prawnych ukierunkowanych
na ochronę praw jednostek. Proponowane przez Ogólne rozporządzenie o ochronie
danych rozwiązania zapewne wzmocnią ochronę danych osobowych, aczkolwiek
zachodzi prawdopodobieństwo graniczące z pewnością, że nowe regulacje już
wkrótce okażą się nieprzystające do stopnia rozwoju technologii, skutkującego
całkiem nowymi, nieuświadamianymi obecnie kategoriami zagrożeń.
Eliminowanie nadużyć
Każdy z nas codziennie loguje się na rozmaitych stronach internetowych, uczestniczy
w programach lojalnościowych czy rejestruje w serwisach wymagających podania
informacji na swój temat. Bardzo często ilość wymaganych informacji wykracza poza
ilość danych niezbędnych do zaspokojenia naszej potrzeb. Jeśli więc do skorzystania
z promocji niezbędne jest przekazanie imienia i nazwiska oraz adresu email to w
wielu przypadkach trudno może być uzasadnić prośbę o udzielenie również
informacji dotyczących wieku czy województwa, z którego klient pochodzi. Wiele
aplikacji umożliwia ponadto logowanie się za pośrednictwem niektórych portali
społecznościowych, co może rodzić ryzyko udostępniania danych zawartych na takich
portalach, w tym danych zbędnych z punktu widzenia celu rejestracji w konkretnej
aplikacji. Zasady privacy by default i privacy by design powinny przyczynić się do
eliminacji ewentualnych nadużyć tego rodzaju, poprzez systemowe uniemożliwienie
pewnych zachowań.
Rzeczpospolita
© ℗ Wszystkie prawa zastrzeżone