Rafał Bujalski: W ubiegłą środę w unijnym dzienniku urzędowym opublikowano nową regulację dotyczącą ochrony danych osobowych w Unii Europejskiej - rozporządzenie nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Które zmiany wprowadzone przez tę regulację są Pana zdaniem najistotniejsze?

Michał Czerniawski: Ogólne rozporządzenie o ochronie danych, bo tak brzmi jego skrócona oficjalna nazwa, jest bardzo kompleksową regulacją, wprowadzającą do prawa ochrony danych osobowych szereg nowych rozwiązań. Oczywiście najistotniejszą zmianą jest zwiększenie poziomu ochrony osób fizycznych w porównaniu do jego poprzednika - dyrektywy 95/46/WE, m.in. poprzez nowe uprawnienia takie jak "prawo do bycia zapomnianym", rozszerzenie obowiązków informacyjnych, uregulowanie kwestii profilowania czy też wprowadzenie obowiązku notyfikowania o naruszeniach ochrony danych osobowych. Organom nadzorczym przyznano uprawnienia do nakładania dotkliwych administracyjnych kar pieniężnych, ułatwiających egzekwowanie nowych przepisów. Z kolei dla polskich przedsiębiorców szczególne ważne wydaje się być tzw. "podejście oparte na ryzyku". Zakłada ono, iż obowiązki administratora danych uzależnione będą od ryzyka wynikającego z konkretnych operacji przetwarzania danych. Im mniejsze ryzyko, tym mniejsze obciążenia – a zatem można tu mówić o skalowalności obowiązków związanych z przetwarzaniem danych osobowych. Jest to istotna zmiana, bo aktualne polskie przepisy o ochronie danych osobowych, zwłaszcza rozporządzenia z 2004 roku w sprawie warunków technicznych i organizacyjnych są mało elastyczne, a wprowadzone w nich wymogi coraz bardziej odstają od rzeczywistości technologicznej. Z perspektywy globalnej, najistotniejsze wydaje się rozszerzenie zakresu stosowania unijnych przepisów, tak aby, w określonych sytuacjach, objęci byli nimi administratorzy danych osobowych i podmioty przetwarzające z państw trzecich. Nie jest tajemnicą, że projektowano je także z myślą o przedsiębiorstwach amerykańskich takich jak Facebook czy Google, które już teraz przetwarzają olbrzymie ilości danych obywateli UE, a w wielu przypadkach nie podlegają unijnej jurysdykcji.

Które z tych zmian budzą największe kontrowersje?

Jeśli chodzi o kwestię najbardziej kontrowersyjną to chyba trzeba wskazać na wspomniane już "prawo do bycia zapomnianym". W założeniu ma ono ułatwiać osobom fizycznym usuwanie informacji o sobie upublicznionych w Internecie, jednak jego wykonywanie wiąże się z dodatkowymi obciążeniami dla przedsiębiorców, wzbudza kontrowersje w kontekście wolności wypowiedzi i informacji, a poza tym ciężko ocenić jego skuteczność. Jak wiemy, informacja raz wrzucona do sieci Internet, pozostaje gdzieś w niej już na zawsze.

Poprzednikiem rozporządzenia nr 2016/679 była dyrektywa 95/46/WE. Dlaczego Unia Europejska uznała, że dyrektywa jako instrument prawa UE, który określa cele i rezultat, jakie mają być osiągnięte, pozostawiając organom krajowym swobodę wyboru formy i środków, okazała się niewystarczająca do tego stopnia, że konieczne było wydanie przepisów bezpośrednio obowiązujących?

Trudno powiedzieć, czy wydanie aktu prawnego w formie rozporządzenia rzeczywiście było konieczne. Moim zdaniem, dobrze że tak się stało, natomiast pamiętajmy, że finalna wersja tekstu ogólnego rozporządzenia zawiera wiele wyłączeń dla państw członkowskich. Nie jest to typowe rozporządzenie, ale raczej swoista hybryda, akt prawny bezpośrednio obowiązujący, którego szereg elementów de facto trzeba implementować w prawie krajowym. Sam pomysł z zastąpieniem dyrektywy rozporządzeniem był dość odważny, koncepcję tę mocno forsowała Viviane Reding, ówczesna wiceprzewodnicząca Komisji Europejskiej oraz komisarz ds. sprawiedliwości. Poparł ją też oczywiście Parlament Europejski. Forma prawna nowego aktu wpłynęła niewątpliwie na czas trwania prac nad tym dokumentem, który wyniósł ponad 4 lata. Warto tu podkreślić, że państwa członkowskie zawsze ostrożnie podchodzą do rozwiązań, które mają być stosowane wobec nich bezpośrednio. W przypadku gdyby zdecydowano się na formę dyrektywy czas ten zapewne byłby krótszy, gdyż przekonanie o konieczności reform mających na celu dostosowanie przepisów prawa o ochronie danych osobowych do realiów technologicznych było powszechne. To co wiemy na pewno – a świadczy o tym chociażby rosnąca liczba spraw w zakresie ochrony danych osobowych toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej – to fakt, że interpretacja przepisów dyrektywy 95/46/WE w dzisiejszych realiach technologicznych nastręcza coraz więcej trudności. Dwadzieścia lat, a tyle upłynęło od zakończenia prac legislacyjnych nad dyrektywą 95/46/WE, w dziedzinie na styku prawa i technologii, jaką jest ochrona danych osobowych, to bardzo dużo czasu. Potrzeba modernizacji przepisów była coraz bardziej nagląca.

Z zakresu rozporządzenia wyłączono kwestie dotyczące przetwarzania danych osobowych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar oraz wykorzystywania danych dotyczących przelotu pasażerów i uregulowano je osobno w dwóch dyrektywach. Dlaczego wybrano takie rozwiązanie?

Należy podkreślić, że rozporządzenie nr 2016/679 ma charakter generalny i wyznacza ogólne standardy ochrony danych osobowych, natomiast wspomniane przez Pana dyrektywy dotyczą kwestii szczegółowych. Jeśli chodzi o pierwszy ze wspomnianych aktów prawnych, tzw. dyrektywę policyjną, to ma ona na celu standaryzację przetwarzania danych osobowych do celów zapobiegania przestępczości i ułatwienie wzajemnej współpracy pomiędzy organami ścigania poszczególnych państw członkowskich. Jest to pierwszy tak kompleksowy akt prawny w tej dziedzinie. W tym przypadku nie widziano potrzeby pełnej harmonizacji prawa krajowego. Wydaje się także, że nie byłoby na to zgody samych państw członkowskich. Z kolei tak zwana dyrektywa PNR, regulująca zasady wykorzystywania danych dotyczących przelotu pasażera do celu zapobiegania przestępstwom, nie stanowiła elementu pakietu reformującego unijne ramy ochrony danych osobowych. Jej pierwotny projekt był dyskutowany po raz pierwszy w 2011 r., a więc jeszcze przed przedstawieniem przez Komisję Europejską projektów ogólnego rozporządzenia i dyrektywy policyjnej. W tamtym czasie dalsze prace legislacyjne zablokował jednak Parlament Europejski. Także nowa wersja tekstu była krytykowana m.in. przez Europejskiego Inspektora Ochrony Danych. Dyrektywa PNR, w przeciwieństwie do ogólnego rozporządzenia i dyrektywy policyjnej, jest bowiem projektem ograniczającym prawo do prywatności – w tym przypadku pasażerów linii lotniczych. Opiera się ona na, powszechnie krytykowanym, mechanizmie masowego gromadzenia danych osobowych. Wzbudza również zastrzeżenia co do proporcjonalności i niezbędności projektowanych rozwiązań dla osiągnięcia stawianego przed nimi celu – walki z terroryzmem. Już teraz wiadomo, że na podstawie implementujących ją przepisów krajowych zbierane będą nie tylko dane osób wylatujących i wlatujących na teren Unii, ale także dane osobowe pasażerów lotów wewnątrz UE. To są olbrzymie ilości informacji. Jednocześnie w ramach przetwarzania danych PNR może dochodzić do przetwarzania tzw. danych wrażliwych – np. w zakresie wyznania pasażera (na podstawie wyboru przy zakupie biletu posiłku koszernego albo halal). Można powiedzieć, że umieszczenie dyrektywy PNR przez Parlament Europejski w jednym bloku głosowań z ogólnym rozporządzeniem i dyrektywą policyjną, miało na celu niejako przemycenie aktu prawnego sankcjonującego pewną formę masowej inwigilacji obok aktów prawnych zwiększających poziom ochrony danych osobowych.

Jeden z podstawowych zarzutów skierowanych przeciwko dyrektywie 95/46/WE jako poprzedniczce rozporządzenia nr 2016/679 dotyczył tego, że jej zapisy nie były wystarczająco elastyczne i traciły na znaczeniu w związku z postępującym w szybkim tempie rozwojem nauki i techniki. Na ile autorom nowej regulacji udało się uniknąć wad poprzedniczki?

Postępu technologicznego nie da się przewidzieć. Żyjemy w czasach chmury obliczeniowej, profilowania i Big Data, dużymi krokami zbliża się epoka Internetu Rzeczy (Internet of Things). Dziś przeczytałem artykuł, że tuż po Internecie Rzeczy będziemy mieć do czynienia z Internetem Istnienia (Internet of Beings). Oczywiste jest więc, że przepisy ogólnego rozporządzenia prędzej czy później staną się przestarzałe. Stąd, w mojej ocenie tak ważne są odniesienia w tekście ogólnego rozporządzenia do ochrony danych w fazie projektowania (data protection by design) oraz domyślnej ochrony danych (data protection by default), które, powszechnie wdrożone, mogą wyeliminować wiele zagrożeń dla naszej prywatności. Tempo rozmijania się nowych przepisów z realiami technologicznymi będzie uzależnione od kierunku, w którym pójdzie technologia. Szereg postanowień rozporządzenia nr 2016/679 było pisanych z myślą o konkretnych modelach biznesowych, takich jak portale społecznościowe czy wyszukiwarki. Jeśli modele biznesowe w internecie nie będą zmieniać się zbyt szybko, jest szansa, że potrzeba nowych ram prawnych zaistnieje dopiero za kilkanaście lat. Być może w międzyczasie pojawi się szansa na stworzenie jednolitych globalnych standardów w zakresie ochrony danych osobowych, a wtedy regulacja unijna mogłaby okazać się niepotrzebna. Uważam, że w przyszłości wiele kwestii uda się uregulować także poprzez samoregulację administratorów danych, którzy dobrowolnie będą się zobowiązywać do przestrzegania odpowiednich standardów ochrony danych.

Rozporządzenie wchodzi w życie 25 maja 2018 r. Za dwa lata mija również termin na wdrożenie do krajowych porządków prawnych obu wspomnianych wcześniej dyrektyw? Dlaczego tak długo musimy czekać na rozpoczęcie obowiązywania tych uregulowań?

W przypadku ogólnego rozporządzenia, jak już wspominałem, mówimy o akcie prawnym, który nie jest typowym unijnym rozporządzeniem. Dwuletnie vacatio legis jest w tym przypadku uzasadnione sporym zakresem zagadnień pozostawionych państwom członkowskim do uregulowania w prawie krajowym, a także koniecznością dokonania przeglądu i uchylenia części przepisów krajowych, tak aby nie dublowały bezpośrednio obowiązujących postanowień rozporządzenia. Dyrektywa policyjna wymaga z kolei implementacji w postaci ustawy, a więc przejścia całej krajowej ścieżki legislacyjnej. Jeszcze bardziej złożona sytuacja jest w przypadku dyrektywy PNR – nie tylko wymaga ona implementacji, ale także wymaga od każdego z państw członkowskich utworzenia jednostki zarządzającej danymi PNR zebranymi przez przewoźników lotniczych. Potrzeba na to pieniędzy i czasu. Podsumowując, trzymajmy kciuki za to, aby te dwa lata okazały się okresem wystarczającym.

Dziękuję za rozmowę.

 

-----------------------------

Więcej wywiadów dotyczących tematyki prawa europejskiego znaleźć można TUTAJ>>> .