Aktualne wyzwania ochrony danych osobowych

1. Wstęp

Temat ochrony danych nabiera coraz większego znaczenia. Obecnie jest dyskutowany w coraz szerszym gronie i na wielu płaszczyznach, ponieważ zahacza o coraz więcej sfer życia prywatnego i biznesowego. Wcześniej kwestia danych osobowych poruszana i regulowana była tylko w Europie i w Stanach Zjednoczonych. Obecnie jej rozwój można zauważyć w krajach Afryki i Azji, gdzie wiele krajów wprowadziło swoje ustawy o ochronie danych osobowych (np. Tunezja 2004, Maroko 2009, Japonia 2003, Południowa Korea 2001, Malezja) albo znajdują się właśnie na etapie ich wprowadzania (tj. Republika Południowej Afryki, Tajwan). Głównym czynnikiem motywującym do dyskusji jest rozwój technologiczny, który niesie ze sobą nowe zagrożenia – jeśli chodzi o państwa mające już swoje uregulowania, inne zaś kraje w rozwoju technologicznym upatrują ponadgranicznej wymiany danych osobowych, a przez to nowych szans biznesowych, co wiąże się z koniecznością wprowadzania rozwiązań identycznych rozwiązaniom europejskim. Niemniej jednak na chwilę obecną 75 % wszystkich państw świata nadal nie dysponuje żadnymi specyficznymi przepisami regulującymi ochronę danych osobowych1. A 25 % państw z tych, które właściwymi przepisami dysponują, zdecydowały się na zróżnicowane rozwiązania. Kontrasty występują również w Europie. I tak dla przykładu polska2 , czy niemiecka3 ustawa o ochronie danych osobowych ograniczają się do przetwarzania danych osobowych osób fizycznych, podczas gdy ustawy obowiązujące w Austrii4 , Włoszech5 , czy Szwajcarii6 regulują również przetwarzanie danych osób prawnych.

Ponad 15 letnia Dyrektywa 95/46/WE, czy też niewiele młodsza polska ustawa o ochronie danych osobowych – bo obowiązująca od 1997 r., jak również inne ustawy państw członkowskich nie nadążają za rozwojem Internetu oraz innych produktów postępu technologicznego. W efekcie w połowie 2009 roku Komisja Europejska rozpoczęła pierwszą fazę konsultacji w przedmiocie nowelizacji dyrektywy.

Niniejsze opracowanie stanowi wybór tematów, które, dojrzały do ponownego przejrzenia i zastanowienia się nad ich zastosowaniem w obecnych realiach. Sygnalizowane poniżej zagadnienia to jedynie cześć z tych jakie zostały przedstawione podczas konferencji dot. ochrony danych osobowych pod koniec 2010 roku w Berlinie, a w której wzięło udział i zaprezentowało swoje poglądy ponad 500 adwokatów.

2. Uwzględnienie aktualnych możliwości technicznych w przepisach prawa/ Neutralność techniczna

W pierwszej kolejności podczas tworzenia nowych przepisów prawa należy zwrócić uwagę na obecne możliwości techniczne. W roku 1995 nie spodziewano się, iż Internet rozwinie się do obecnych rozmiarów. Podobnie nie wyobrażano sobie istnienie sieci społecznościowych, a tym bardziej tego, że będą miały takie rzesze zwolenników, i ludzie będą korzystali z nich zarówno w życiu prywatnym jak również żeby wspomóc ich rozwój zawodowy. O skali zjawiska świadczy chociażby nazwanie egipskiej rewolucji „Facebook Revolution”7 . Powyższego nie przewidzieli również prawodawcy. W rezultacie obowiązujące przepisy, z jakimi na co dzień stykają się praktycy nie pozwalają lub znacznie utrudniają stosowanie ich w aktualnych realiach. Mając na uwadze powyższe doświadczenia i praktyczny brak możliwości prognozowania tego co nastąpi w przyszłości, przy tworzeniu przepisów zaleca się daleko idącą neutralność techniczną, a jako właściwą drogę upatruje się zamiast precyzyjnego formułowania „jak”, poprzestanie na wskazaniu „celu”, jaki ma zostać osiągnięty8.

3. Uwzględnienie obecnych realiów

Nie tylko postęp technologiczny, ale również obecna rzeczywistość wymusza ponowną dyskusję nad obowiązującymi przepisami prawa. Dla przykładu można zastanowić się nad definicją danych osobowych. Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W efekcie każdorazowo dochodzi do dwubiegunowego wyboru „tak” – „nie” tj. czy mamy do czynienia z danymi osobowymi, a w rezultacie czy przepisy o ochronie danych osobowych znajdują w ogóle zastosowanie. Decyzja między zastosowaniem relatywnej lub absolutnej oceny wcale nie jest łatwa, albowiem jak wynika z definicji, jeśli ktokolwiek jest w stanie przypisać jakąkolwiek informację konkretnej osobie, to tę informację należy uznać za dane osobowe. W efekcie wszystkie informacje na tym świecie mogą być danymi osobowymi9. Za przykład może posłużyć informacja „drzewo”. Informacja ta na pierwszy rzut oka daną osobową nie jest. Jeśli jednak ktoś ustali, iż osoba X zasadziła w miejscu Y drzewo L, to należy uznać to drzewo za informację o danej osobie i traktować je jak daną osobową, która podlega ochronie na podstawie właściwych przepisów. Następnie zgodnie z obowiązującymi przepisami, powoływane „drzewo” będzie daną osobową jedynie dla osób, które mają lub mogą mieć tę dodatkową informację, dla innych zaś nie. Powyższe wywołało ponowne dyskusje, czy zastosowanie definicji odnoszącej się do związku z osobą jest właściwe i czy może nie lepszym rozwiązaniem jest występujące w kulturze prawa angloamerykańskiego pojęcie „prywatności”, albo kombinacja obu rozwiązań.

Następnie pojawiają się głosy, aby określić jak daleko dane o osobach prawnych mogą być danymi osobowymi w rozumieniu właściwych przepisów i czy w ogóle, albowiem jak wspomniano wyżej, część krajów Unii Europejskiej w swoich ustawach za dane osobowe uznaje również informacje związane z przedsiębiorcami.

Do ponownej analizy dojrzała również lista danych wrażliwych (sensytywnych). I tak o ile dane osobowe o stanie zdrowia czy przynależności seksualnej nie budzą żadnych sporów, o tyle brak zgody co do informacji o przynależności związkowej. A jeśli przynależność związkowa ma być w dalszym ciągu uznawana za daną osobową wrażliwą, to dlaczego takiego przymiotu nie mają mieć informacje o finansach, kontach bankowych, numerach kart kredytowych, które są najpopularniejszym przedmiotem nadużyć 10.

4. Ponadgraniczny przepływ danych

Na sile przybiera również dyskusja w temacie możliwości ponadgranicznego przepływu danych osobowych. Obecnie przepisy unijne przewidują niewiele możliwości przekazywania danych osobowych poza granice UE i EWG. Z punktu widzenia Unii Europejskiej bardzo niewiele krajów zapewnia adekwatny poziom ochrony danych osobowych11. Jednakowego bezpieczeństwa nie zapewniają również Stany Zjednoczone, stąd polityczne rozwiązanie Safe Harbor oraz dodatkowe umowy dotyczące przekazywania danych pasażerów lotniczych, czy SWIFT.

Brak powyższych przesłanek oznacza, iż przekazanie danych osobowych będzie się wiązać z koniecznością spełnienia szeregu wymogów wynikających z przepisów unijnych. Praktyczne zastosowanie unijnych klauzul umownych nie jest łatwe, ponieważ nie można ich w sposób znaczący zmieniać, a to powoduje, iż trudno nimi odzwierciedlić planowane relacje umowne. Za kosztowny i skomplikowany należy uznać proces, stanowiący rozwiązanie dla międzynarodowych przedsiębiorstw tzw. „Binding corporates rules” lub „Codes of conduct”. Stworzenie takich reguł pozwala przynajmniej na swobodny przepływ danych w ramach przedsiębiorstwa. Na jego zastosowanie zdecydowało się dotychczas bardzo niewiele przedsiębiorstw.

Powyższe rozwiązania rodzą obawy, iż w przyszłości brak będzie możliwości przekazywania danych osobowych poza granice EOG. Należy bowiem wziąć pod uwagę kraje rozwijające się tj. Rosję, Chiny, Brazylię, Indie. Można spodziewać się, iż kraje te wejdą ze swoimi przedsiębiorstwami na rynek europejski, a następnie będą dysponowały na rynku podobną, jeśli nie większa siłą przetargową. Przy obecnych, unijnych założeniach ponadgranicznej wymiany danych osobowych trudno będzie na kontraktującym przedsiębiorstwie wymusić poddanie się unijnym procedurom.

Problemy powstają również z uwagi na rozwój technologiczny i powstawanie nowych modeli organizacyjnych, jak np. Cloud Computing. Przy założeniu, iż w niedalekiej przyszłości również na rynku Cloud Computing dominującą rolę będą mieli usługodawcy z poza Unii Europejskiej, należy spodziewać się, iż możliwość przeforsowania przepisów unijnych przez niewielkie przedsiębiorstwo, chcące skorzystać z możliwości takich rozwiązań będzie znikoma12. W efekcie stosowanie modelu bezpiecznej Unii Europejskiej i niebezpiecznej „reszta” świata należy uznać za daleko idący ekscentryzm13.

5. Dane osobowe w międzynarodowym przedsiębiorstwie

Dyrektywa 95/46/WE dzieli przedsiębiorstwa przetwarzające dane osobowe na administratorów danych osobowych (Controller) i procesorów danych (Processor). Struktury przedsiębiorstw ulegają obecnie bardzo wyraźnym przemianom, korzystając przy tym z coraz to nowszych modeli organizacyjnych. W wielu przedsiębiorstwach o modelu organizacyjnym matrix (zarządzanych macierzowo, Matrix Menagement)14 ten dwubiegunowy podział nie znajduje zastosowania. Możliwość wyboru pomiędzy administrator – procesor nie jest również łatwa dla międzynarodowych przedsiębiorstw, posiadających w Europie jedynie swoje odziały. Podobnie jeśli chodzi o formę organizacyjną Cloud Computing, o której wspomniano już powyżej.

Następnie uregulowania wymaga temat przepływu danych kadrowych w ramach międzynarodowych koncernów, albowiem i w tym temacie brak jasnych przepisów. Praktycy podejmujący głos na forum dyskusji w temacie nowelizacji przepisów o ochronie danych osobowych wskazują na potrzebę ułatwienia przepływu danych, przynajmniej w ramach działów personalnych międzynarodowych koncernów. Obecnie tylko nieliczne przedsiębiorstwa międzynarodowe nie posiadają centralnego działu personalnego, a przepływ danych możliwy jest jedynie przy sporych nakładach prawnych i organizacyjnych, a przez to i finansowych.

Reasumując zwraca się uwagę, iż przy okazji nowelizacji powinno dojść do rezygnacji z ciasne gorsetu podwójnego podziału: administrator – procesor, jak również należy przemyśleć uprzywilejowanie ponadgranicznego przepływu danych w ramach koncernów 15.

6. Podsumowanie

Powyżej wyrywkowo wymienione przykłady wskazują na naglącą potrzebę nowelizacji dyrektywy unijnej o ochronie danych osobowych, a następnie przepisów krajowych. Jako priorytetową należy uznać decyzję, jak sformułować przepisy, które obejmują obszar, podlegający tak szybkim przeobrażeniom. Za dobrą wskazówkę należy potraktować wyrażaną przez praktyków zasadę: Jedynym możliwym rozwiązaniem jest regulowanie nie drogi, ale celu, jaki ma być osiągnięty.

Justyna Matuszak


1.F.Gilbert, in: F. Gilbert (Hrsg.), Global Privacy and Security Law, Apsen Publishers, 2010, s. 2-8 i następne.
2. Art. 6 ust. 1 ustawy o ochronie danych osobowych
3. § 3 Bundesdatenschutzgesetz
4. § 4 Nr 4 Nr. 1 i 3 Bundesdanteschutzgesetz 2000.
5. Art. 4 Nr 1 lit b Codice in Materia di Portezione dei Dati Personali.
6. Art. 3 lit. A i b Schweiz. Budesgestz uber den Datenschutz.
7. Por. „Facebook – Revolte“ – „Die Agypter haben es vorgemacht“ aus dem Tagespiegel vom 14.02.2011, dosttępna pod adresem www.tagespiegel.de.
8. R. Selk, Datenschutz in der EU: Die Wirklichkeit in den Blick nehmen, Kernanforderungen an ein neues europäisches Datenschutzrecht, Anwaltsblatt 4/2011, s. 244.
9. R. Selk, Datenschutz in der EU: Die Wirklichkeit in den Blick nehmen, Kernanforderungen an ein neues europäisches Datenschutzrecht, Anwaltsblatt 4/2011, s. 244.
10. Tamże.
11. Są to: Szwajcaria, Kanada, Argentyna, Wyspa Guernsey, Wyspa Man.
12. Ursula Widmer, Die globale Informationsgesellschaft: Ist der Datenschutz noch zu retten?, Privatheit und Datenschutz außerhalb der EU Kein Gleichwertiges Datenschutzniveau, Anwaltsblatt 4/2011, s. 280.
13. R. Selk, Datenschutz in der EU: Die Wirklichkeit in den Blick nehmen, Kernanforderungen an ein neues europäisches Datenschutzrecht, Anwaltsblatt 4/2011, s. 244.
14. Termin „zarządzenie macierzowe” to jedna z możliwych struktur organizacyjnych przedsiębiorstwa, która pojawiła się w 1970 roku w kontekście konkurencji ze strony japońskich producentów, oraz komputeryzacji wielu zadań technicznych i administracyjnych. W ramach tego rozwiązania panuje przekonanie, że wielofunkcyjne zespoły (składające się z ludzi różnych działów i mające różne specjalności) jest niezbędna do tworzenia produkcji złożonych w szybkim tempie. Celem przedsiębiorstw działających w oparciu o ten model jest wprowadzanie innowacji oraz szybsze tempo projektowania i tworzenia produktów (Źródło: www.wikipedia.org).
15. R. Selk, Datenschutz in der EU: Die Wirklichkeit in den Blick nehmen, Kernanforderungen an ein neues europäisches Datenschutzrecht, Anwaltsblatt 4/2011, s. 245.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.