(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)(2016/C 67/05)
(Dz.U.UE C z dnia 20 lutego 2016 r.)
"Prawo do bycia pozostawionym w spokoju jest bowiem początkiem wszelkiej wolności" 1 .
Duże zbiory danych, pod warunkiem że sporządzane w sposób odpowiedzialny, mogą być źródłem znacznych korzyści oraz poprawy efektywności dla społeczeństw i jednostek, nie tylko w dziedzinie zdrowia, badań naukowych, środowiska i innych szczególnych obszarach. Istnieją jednak poważne obawy co do rzeczywistego lub potencjalnego wpływu, jaki przetwarzanie ogromnych ilości danych może wywierać na prawa i wolności jednostek, w tym prawo do prywatności. Wyzwania i ryzyko związane z dużymi zbiorami danych wymagają zatem skuteczniejszej ochrony danych.
Technologia nie powinna narzucać nam wartości i praw, ale też propagowania innowacyjności i zachowywania praw podstawowych nie należy postrzegać jako obszarów niemożliwych do pogodzenia. Nowe modele biznesowe wykorzystujące nowe możliwości w zakresie masowego zbierania danych, natychmiastowego przesyłu danych, łączenia i ponownego wykorzystywania danych osobowych do nieprzewidzianych celów tworzą nowy kontekst dla stosowania zasad ochrony danych, który wymaga dokładnego zbadania.
Europejskie przepisy o ochronie danych ustanowiono w celu ochrony naszych podstawowych praw i wartości, w tym prawa do prywatności. Kwestią wymagającą rozstrzygnięcia nie jest to, czy należy stosować przepisy o ochronie danych do dużych zbiorów danych, lecz raczej to, w jaki sposób stosować je w sposób innowacyjny w nowych kontekstach. Obowiązujące zasady ochrony danych, w tym zasada przejrzystości, proporcjonalności i celowości, stanowią punkt odniesienia potrzebny w celu zapewnienia bardziej dynamicznej ochrony naszych praw podstawowych w świecie dużych zbiorów danych. Zasady te należy jednak uzupełnić o "nowe" zasady, które opracowywane były przez lata, na przykład o zasadę rozliczalności i uwzględniania ochrony prywatności już w fazie projektowania, a także domyślnej ochrony prywatności. Oczekuje się, że unijny pakiet reform dotyczących ochrony danych posłuży wzmocnieniu i modernizacji ram regulacyjnych 2 .
Unia Europejska zmierza do maksymalnego zwiększenia wzrostu i konkurencyjności poprzez wykorzystywanie dużych zbiorów danych. Niemniej jednak jednolity rynek cyfrowy nie może bezkrytycznie importować technologii opartych na danych oraz modeli biznesowych, które przeniknęły do głównego nurtu praktyk gospodarczych w innych częściach świata. Konieczne jest natomiast objęcie roli przewodniej w dziedzinie rozwijania systemów odpowiedzialnego przetwarzania danych osobowych. Rozwój internetu spowodował, że nadzór - śledzenie zachowań obywateli - uznawany jest za nieodzowny model dochodów dla części najlepiej prosperujących przedsiębiorstw. Zmiana ta wymaga krytycznej oceny i poszukania rozwiązań alternatywnych.
W każdym razie, niezależnie od wybranych modeli biznesowych, organizacje przetwarzające duże ilości danych osobowych muszą zachować zgodność z obowiązującymi przepisami prawa w zakresie ochrony danych. Europejski Inspektor Ochrony Danych (EIOD) uważa, że odpowiedzialny i zrównoważony rozwój dużych zbiorów danych musi być realizowany w oparciu o cztery istotne elementy:
Co się tyczy przejrzystości, jednostki muszą otrzymywać jasne informacje odnośnie do tego, jakiego rodzaju dane są przetwarzane, w tym dane zaobserwowane lub domniemane w odniesieniu do tych jednostek; powinny być lepiej poinformowane w kwestii sposobu i celu wykorzystywania ich danych, w tym w kwestii logiki stosowanej w algorytmach służących dokonywaniu założeń i przewidywań na ich temat.
Kontrola użytkownika pomoże zapewnić, by jednostki dysponowały większymi uprawnieniami w zakresie skuteczniejszego wykrywania nieuczciwych odchyleń i eliminowania błędów. Pomoże to w zapobieganiu wtórnemu wykorzystywaniu danych dla celów, które nie są zgodne z ich uzasadnionymi oczekiwaniami. Dzięki kontroli użytkownika nowej generacji jednostki uzyskają, w stosownych przypadkach, możliwość dokonania bardziej rzeczywistego i świadomego wyboru oraz więcej możliwości lepszego wykorzystania swoich danych osobowych.
Wzmocnione prawo dostępu i prawo do przenoszenia danych oraz skuteczne mechanizmy opt-out mogą służyć za warunek wstępny dla przyznania użytkownikom większej kontroli nad swoimi danymi, a także mogą przyczynić się do rozwoju nowych modeli biznesowych oraz skuteczniejszego i bardziej przejrzystego wykorzystywania danych osobowych.
Poprzez włączanie ochrony danych do systemów i procesów, a także dostosowanie ochrony danych w celu umożliwienia bardziej rzeczywistej przejrzystości i kontroli użytkownika, odpowiedzialni administratorzy danych będą także mogli czerpać z korzyści związanych z dużymi zbiorami danych, zapewniając jednocześnie poszanowanie godności i wolności jednostek.
Ochrona danych to jednak tylko częściowa odpowiedź na wyzwania. Unia Europejska musi przyjąć bardziej spójną metodę wdrożenia nowoczesnych narzędzi, jakie dostępne są w dziedzinie ochrony konsumentów, przeciwdziałania praktykom antykonkurencyjnym, a także w dziedzinie badań i rozwoju, aby zapewnić gwarancje i możliwości wyboru na rynku, na którym mogą rozwijać się usługi sprzyjające ochronie prywatności.
Aby odpowiedzieć na wyzwania, jakie stawiają duże zbiory danych, należy umożliwić innowacyjność, przy jednoczesnej ochronie praw podstawowych. Rolą przedsiębiorstw i innych organizacji, które wkładają znaczny wysiłek w znalezienie innowacyjnych sposobów wykorzystywania danych osobowych, jest teraz zastosowanie tego samego innowacyjnego podejścia przy wdrażaniu przepisów prawa w zakresie ochrony danych.
W oparciu o uwagi zgłaszane wcześniej przez przedstawicieli środowisk naukowych, a także wiele organów regulacyjnych i zainteresowanych stron Europejski Inspektor Ochrony Danych pragnie wywołać nową, otwartą i świadomą dyskusję w ramach UE i poza nią, poprzez skuteczniejsze angażowanie społeczeństwa obywatelskiego, projektantów, przedsiębiorstw, przedstawicieli środowisk naukowych, organów publicznych i regulacyjnych odnośnie do sposobów na jak najlepsze wykorzystanie potencjału twórczego tej branży w celu wdrożenia przepisów prawa i zagwarantowania poszanowania naszej prywatności i innych praw podstawowych w najlepszy możliwy sposób.
1 Public Utilities Commission przeciwko Pollak, 343 U.S. 451, 467 (1952) (Sędzia William O. Douglas, zdanie odrębne).
2 W dniu 25 stycznia 2012 r. Komisja Europejska przyjęła pakiet dotyczący reform europejskich ram prawnych w zakresie ochrony danych. Pakiet ten obejmuje (i) "komunikat" (COM(2012) 9 final), (ii) wniosek dotyczący ogólnego "rozporządzenia o ochronie danych" ("wniosek dotyczący rozporządzenia") (COM(2012) 11 final), oraz (iii) wniosek dotyczący "dyrektywy" w sprawie ochrony danych w dziedzinie egzekwowania prawa karnego (COM(2012) 10 final).
3 Opinia Europejskiego Inspektora Ochrony Danych nr 3/2015.
4 Chcąc dostosować się do postrzeganej potrzeby luźniejszego podejścia regulacyjnego w kontekście dużych zbiorów danych, musimy oprzeć się pokusie złagodzenia obecnego poziomu ochrony. Ochrona danych musi nadal znajdować zastosowanie do przetwarzania w ujęciu całościowym, obejmującego nie tylko wykorzystywanie danych, ale także ich gromadzenie. Ponadto nie ma uzasadnienia dla ogólnych wyjątków stosowanych do przetwarzania danych pseudonimicznych lub do przetwarzania danych dostępnych publicznie. Definicja danych osobowych powinna pozostać w niezmienionym brzmieniu, jednak dodatkowe wyjaśnienia można by uwzględnić w tekście samego rozporządzenia. Musi ona bowiem obejmować wszelkie dane dotyczące jakiejkolwiek osoby, która jest zidentyfikowana, wyodrębniona lub może być zidentyfikowana lub wyodrębniona - przez administratora danych lub jakikolwiek inny podmiot.
5 Opinia Europejskiego Inspektora Ochrony Danych nr 4/2015.
