Dane osobowe: jest unijny projekt zmian

Przeczytaj także: Ochrona danych osobowych - dokumentacja

Projekt nowego unijnego rozporządzenia, zaserwowany nam przez KE, dotyka wielu newralgicznych kwestii, ingerując przy tym w większym bądź mniejszym stopniu w życie codzienne każdego z obywateli UE. Na obecnym etapie projekt rozporządzenia znajduje się w PE i Radzie, w której odbyły się dwie debaty zwiastujące nadchodzące głosowanie nad projektem wraz ze zgłoszonymi do niego poprawkami. Proces decyzyjny podlega w tym przypadku zwykłej procedurze ustawodawczej, wymagającej podjęcia wspólnej decyzji przez PE i Radę (art. 16 § 2 oraz art. 114 § 1 TFUE).

Co wynika z powyższego? Z powyższego pośrednio wynika, że wpływ na dalsze losy projektu rozporządzenia posiadać będzie Minister Administracji i Cyfryzacji Michał Boni, który z uwagi na zajmowane stanowisko jest członkiem Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (JHA). Minister Boni (nie wiadomo czy bardziej z poczucia obowiązku, czy też z obawy przed tym, że sprawy mogą przybrać obrót tak jak w przypadku ACTA) postanowił zorganizować szereg konferencji, których głównym celem jest wypracowanie wspólnego stanowiska Polski w sprawie unijnej reformy. Jednym z bardziej kontrowersyjnych tematów, poruszanych podczas organizowanych konferencji, okazał się być od dawna analizowany przez specjalistów z dziedziny prawa własności intelektualnej temat „prawa do bycia zapomnianym”, będący jednocześnie kolejną płaszczyzną obnażającą przepaść jaka dzieli interesy konsumentów od interesów przedsiębiorców.

Chodzi o prawo osób poruszających się w wirtualnej przestrzeni do usunięcia śladów swojej aktywności oraz obecności z prowadzonych przed różnorakie podmioty zbiorów danych. Ta kolejna jakże piękna idea, jak każda piękna idea związana z ochroną danych, znalazła swój wyraz w artykule 17 projektu rozporządzenia KE, w myśl którego „Podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych” (art. 17 ust. 1). Projekt rozporządzenia, co prawda wylicza enumeratywnie sytuacje w których podmiot danych może wystąpić do administratora danych o ich usunięcie, lecz są one określone w sposób na tyle ogólny, że (1) istnieją spore trudności związane z przyporządkowaniem konkretnych sytuacji do konkretnych dyspozycji oraz (2) istnieje duże ryzyko nadinterpretacji. Pochylając się nad powyższym problemem należy zastanowić się w jaki sposób powinniśmy interpretować dyspozycję traktującą np. o „danych, które nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób”? W jaki sposób podmiot danych ma wykazać, że dane nie są już potrzebne administratorowi? Z czego należy wywodzić cel zebrania danych? Co w sytuacji w której dane były zabrane w celu przetwarzania ich przez inne podmiotu? Czy można wystąpić do administratora z żądaniem zaprzestania dalszego rozpowszechniania danych z uwagi na nie przetwarzanie tych danych? Na kim spoczywa ciężar udowodnienia celu dla którego zostały zebrane dane? Nie wiadomo. Zastanawiające? Prawdziwe problemy dopiero się zaczynają.

Jak autorka projektu Viviane Reding wyobraża sobie zakres obowiązków spoczywających na administratorze danych w przypadku, w którym użytkownik zażąda od niego usunięcia danych, które zostały podane do publicznej wiadomości? Nic prostszego: administrator powinien usunąć przedmiotowe dane. Dodatkowo powinien powiadomić wszystkie osoby trzecie o tym, że powinny usunąć kopie tych danych oraz replikacje danych, jak i linki do nich. W jaki sposób należy to zrobić? Podejmując wszelkie uzasadnione kroki. Czym są wszelkie uzasadnione kroki? Nie do końca wiadomo. W jaki sposób administrator ma dowiedzieć się jakie osoby trzecie posiadają kopię przedmiotowych danych? Nie wiadomo. Skąd możemy wiedzieć, że administrator podjął wszelkie uzasadnione kroki? Nie możemy. Zastanawiające? Prawdziwe problemy dopiero się zaczynają.

Prawdziwe problemy to utrudnienia oraz koszty, które będą musieli ponieść administratorzy danych, którzy w celu prawidłowej obsługi zgłaszanych żądań będą musieli stworzyć specjalny system, który będzie (1) weryfikował dane osoby żądającą usunięcia danych (2) weryfikował zasadność wysuniętego żądania (3) poszukiwał osób trzecich posiadających kopie, replikacje i linki do przedmiotowych danych (4) informował odnalezione osoby trzecie o żądaniu podmiotu danych (5) weryfikował czy przedmiotowe dane zostały usunięte (6) informował o podjętych działaniach podmiot danych etc. Jak opisaną wyżej procedurę można sobie jeszcze wyobrazić w kontekście małych przedsiębiorców gromadzących bądź w inny sposób przetwarzających małą ilość danych, tak problem pojawia się w przypadku większych firm tj. m.in. banki czy towarzystwa ubezpieczeniowe, które posiadają setki tysięcy klientów. Można sobie wyobrazić, że wypracowanie oraz wdrożenie przedmiotowych procedur będzie zarówno kosztowne jak i czasochłonne, a już sam proces weryfikacji osoby żądającej usunięcia danych może stanowić duży problem, bo raczej trudno założyć, że bank w wyniku dyspozycji wydanej za pośrednictwem poczty elektroniczne bądź telefonu trwale usunie historię kredytową bądź historię rachunku bankowego klienta. W tym miejscu należy zaznaczyć, że projekt rozporządzenia przewiduje, że usunięcie danych miałoby nastąpić niezwłocznie.