Związek Pracodawców Branży Internetowej IAB Polska w grudniu 2013 r. przedstawił Ministrowi Administracji i Cyfryzacji, panu Rafałowi Trzaskowskiemu, stanowisko podmiotów zrzeszonych, w sprawie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych dotyczące.
Stanowisko bezpośrednio odnosi się do raportu przyjętego przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego, który zawiera stanowisko Parlamentu Europejskiego w sprawie Rozporządzenia Ogólnego o Ochronie Danych Osobowych.
Szanowny Panie Ministrze,
W imieniu Związku Pracodawców Branży Internetowej Interactive Advertising Bureau Polska (zwanego dalej „IAB Polska”), w związku z przegłosowaniem w Parlamencie Europejskim (w ramach Komisji LIBE) w dniu 21 października 2013 r. projektu Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (COM(2012)0011 – C7 0025/2012 – 2012/011(COD); dalej jako „Projekt Rozporządzenia” lub „Projekt”), niniejszym prezentujemy nasze stanowisko w zakresie Projektu Rozporządzenia, w formie szczegółowych uwag do zgłoszonych w trakcie prac w Parlamencie Europejskim poprawek.
UWAGI SZCZEGÓŁOWE
Rozdział I – Postanowienia ogólne
Pomimo poprawienia brzmienia art. 3 Projektu, regulującego zasady zastosowania przepisów unijnych do podmiotów spoza UE, nadal wątpliwości budzi wykonywalność tego postanowienia w praktyce. Ryzyko takie wydaje się wzrastać, biorąc pod uwagę zastąpienie pojęcia „monitorowanie zachowania” terminem „monitorowanie”, mającym szersze znaczenie (art. 3 ust. 2 lit. b). Wątpliwości budzi również odwołanie się w art. 3 ust. 2 Projektu do pojęcia przetwarzającego dane (processor) – dotychczas bowiem o zastosowaniu określonego prawa decydowały okoliczności dotyczące administratora danych, nie zaś processora (siedziba tego ostatniego miała ograniczone znaczenie w tym zakresie, w kontekście art. 17 dyrektywy, por. Opinię Grupy Roboczej Art. 29 nr 8/2010 w sprawie prawa właściwego z dnia 16.12.2010 r.). Takie rozwiązanie budzi również wątpliwości konstrukcyjne: processor danych, jako podmiot przetwarzający dane wyłącznie na zlecenie administratora („w imieniu” administratora), realizujący cele administratora (lecz nie własne cele), nie będzie w praktyce decydował o oferowaniu określonych dóbr, czy o prowadzeniu monitoringu na obszarze UE. Gdyby jednak podejmował takie decyzje powinien być wówczas traktowany jako administrator danych, do którego znajdzie zastosowanie prawo unijne zgodnie z pierwotnym brzmieniem art. 3 ust. 2 Projektu.
Zmiany w zakresie definicji danych osobowych („przeniesionej” na powrót z definicji „podmiotu danych”) nadal budzą wątpliwości. W szczególności pozostawiono w treści rozporządzenia (co prawda już nie w przepisie właściwym lecz w preambule) zastrzeżenie, zgodnie z którym identyfikacji może dokonać administrator danych lub jakakolwiek inna osoba. Zabieg taki skutkować może odejściem od tzw. „podejścia relatywnego” (ang. relative approach), zgodnie z którym określone informacje stanowić mogą dane osobowe dla określonego podmiotu, natomiast te same informacje – dla innego podmiotu – nie będą stanowić danych osobowych, ponieważ nie pozwalają one tej właśnie osobie na zidentyfikowanie osoby, której dane dotyczą. Skutkiem takiego rozwiązania może być znaczne rozszerzenie zakresu definicji „danych osobowych”, a tym samym rozszerzenie obowiązków podmiotów przetwarzających różnego rodzaju informacje. Dodatkowo rozszerzenie zakresu tej definicji wynikać będzie z posłużenia się pojęciem „wyszczególnić” (ang. single out).
Proponowana definicja „profilowania” (art. 4 pkt 3a) obejmuje swym zakresem nie tylko operacje przetwarzania mające służyć “ocenie” (ang. evaluate) określonych aspektów osobistych, lecz również do tych działań, które służą jedynie „analizie bądź przewidzeniu” (ang. analyse or predict) tychże aspektów. Skutkować to może przyjęciem interpretacji, że praktycznie każda operacja na danych osobowych stanowi „profilowanie” (stanowi bowiem w szczególności jakiś element „analizy”), podlegać też będzie w konsekwencji szczególnej regulacji w tym zakresie.
Z definicji „administratora danych” (art. 4 pkt 5) usunięto odesłanie do „warunków”, jako dodatkowego czynnika, o jakim decydować ma administrator. Wydaje się jednak, iż właściwe powinno być usunięcie z przedmiotowej definicji również wymogu decydowania o „środkach” przetwarzania danych, z uwagi na wątpliwości w tym zakresie (por. Opinię Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, z dnia 16 lutego 2010 r.).
Zastrzeżenia budzi ograniczenie konstrukcji zgody (art. 4 pkt 8 Projektu) wyłącznie do modelu opt-in (wymóg wyraźnej zgody). Wymóg ten nie przystaje do realiów „elektronicznej” gospodarki i obrotu w sieci, stwarza również istotne ryzyko okraczenia rozwoju tej gałęzi gospodarki, stawiając przedsiębiorców z Unii Europejskiej w trudniejszej sytuacji niż ich konkurenci z innych państw. Należy w tym zakresie poprzeć propozycję prezydencji litewskiej, której wersja pozbawiona jest tego elementu. Należy w szczególności zaznaczyć, iż brak wymogu zgody wyraźnej nie uniemożliwia realizacji przesłanki „zgody poinformowanej”, nie wyklucza również możliwości udowodnienia przez administratorów danych, że podmiot danych wyraził zgodę.
Definicja „naruszenia ochrony danych osobowych” (art. 4 pkt 9 Projektu) została ograniczona do elementu „przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób”. Usunięcie z przedmiotowej definicji odniesienia do warunku „naruszenia bezpieczeństwa” („prowadzącego do…”) czyni tę definicję niezwykle pojemną, wypaczając de facto jej sens.
Rozdział II – Zasady
IAB Polska pragnie zwrócić uwagę na zmodyfikowane brzmienie art. 6 ust. 1 lit. f) Projektu, które posługuje się w szczególności niejasnym pojęciem „uzasadnionych oczekiwań” (ang. reasonable expectations), które istotnie utrudni stosowanie tego przepisu, a w praktyce może de facto wyłączyć całkowicie możliwość powoływania się na podstawę przetwarzania danych określoną w tym przepisie.
Istotne wątpliwości budzi również zdanie ostatnie w art. 7 ust. 2 Projektu Rozporządzenia, które zostało dodane podczas prac w Parlamencie Europejskim. Wynika z niego, że nawet częściowa niezgodność z rozporządzeniem postanowień w zakresie zgody skutkować będzie ich pełną nieważnością. Nie sposób rozstrzygnąć w jaki sposób przepis ten miałby być stosowany w praktyce; wydaje się on zbędny – skutki niezgodności z przepisami prawa określają bowiem ogólne zasady prawa. IAB Polska nie może zgodzić się również z propozycją zgłoszoną w art. 7 ust. 4 Projektu, zgodnie z którą zabronione jest uzależnienie zawarcia umowy do wyrażenia zgody na przetwarzanie danych osobowych. Natomiast sytuacja taka bardzo często występuje w realiach obrotu on-line, gdzie większość darmowych usług (np. poczty elektronicznej, usług hostingowych, itd.) oparta jest na zgodzie na przetwarzanie danych, co jest niezbędne w celu np. realizacji celów marketingowych, a bez czego usługi tego rodzaju mogą przestać istnieć. Wprowadzenie przedmiotowego zakazu będzie niekorzystne również dla samych użytkowników, którzy będą musieli ponosić koszty finansowania tego rodzaju usług.
Również wymóg, aby wycofanie zgody było równie proste jak udzielenie zgody (art. 7 ust. 3 Projektu) nie wydaje się możliwe do realizacji w praktyce. Z reguły bowiem wycofanie zgody wymaga określonej aktywności od podmiotów danych (np. wypełnienia formularza, kontaktu telefonicznego lub listowego).
W aspekcie przetwarzania szczególnych kategorii danych osobowych, wątpliwości budzi jednoznaczne zakwalifikowanie do kategorii danych wrażliwych danych biometrycznych (art. 9 ust. 1 Projektu Rozporządzenia), w sytuacji gdy nie budzi aktualnie wątpliwości, że nie wszystkie dane biometryczne ujawniają okoliczności przesądzające o kwalifikacji jako danych wrażliwych. Wątpliwości stwarza również zakwalifikowanie do kategorii danych wrażliwych „identyfikacji płciowej” (ang. gender identity) – w szczególności nie jest wiadome jak należy rozumieć ten termin. Istnieje obawa, że przy założeniu szerokiej interpretacji, przetwarzanie nawet imion osób fizycznych będzie stanowiło przetwarzanie danych wrażliwych. W wielu bowiem językach (w tym w Polskim) już same imiona identyfikują płeć osób.
Rozdział III – Prawa osoby, której dane dotyczą
Liczne zastrzeżenia budzi propozycja zgłoszona w art. 13a Projektu, dotycząca realizacji obowiązku informacyjnego za pomocą ustandaryzowanych symboli graficznych. W szczególności nie jest wiadome, co należy rozumieć przez „dane osobowe odnoszące się do podmiotu danych” (art. 13a ust. 1 ab initio) – czy są jakieś inne dane osobowe, a jeśli tak, to jakie? Zastrzeżenia budzą również wymogi określone w art. 13a ust. 1 lit. a) – c): wszystkie bowiem te punkty nakazują informować o działaniach na danych, które zasadniczo są niedopuszczalne w świetle prawa. Czy rozumieć należy to jako wymóg swoistego „przyznania się do winy” przez administratora danych, w dodatku przy użyciu specjalnych oznaczeń? Wydaje się, że intencje w tym zakresie były inne, nie zostały one jednak właściwie ujęte. Proponowany art. 13a posługuje się również pojęciami, których znaczenie budzi zastrzeżenia, np. „disseminated” (art. 13a ust. 1 lit. d), „rented out” (art. 13a ust. 1 lit. e). Należy zwrócić również uwagę na stosowalność tego rodzaju wymogów wobec podmiotów zbierających dane za pomocą rozmów telefonicznych lub w inny sposób, który nie umożliwia posługiwania się określonymi symbolami graficznymi. Projekt przepisu w proponowanym kształcie nie uwzględnia tych okoliczności. Wydaje się również, iż ta nowa regulacja została ujęta w sposób zbyt skomplikowany, utrudniający zrozumienie i stosowanie jej w praktyce.
W odniesieniu do obowiązków informacyjnych związanych z pozyskiwaniem danych (art. 14 ust. 1 Projektu), zastrzeżenia budzi wprowadzony obowiązek informowania o zastosowanych środkach bezpieczeństwa (lit. b). Z uwagi na wymogi bezpieczeństwa właśnie informacje w tym zakresie są z reguły utrzymywane w tajemnicy. Wymóg przewidziany w art. 14 ust. 1 lit. (ha) wydaje się niemożliwy do realizacji: nie sposób bowiem poinformować o zdarzeniach, jakie miały miejsce w przeszłości w momencie zbierania danych osobowych. Również wykreślenie z art. 15 ust. 1 lit. c) odniesienia do kategorii odbiorców wydaje się niepraktyczne, znaczenie utrudniające realizację przez administratorów danych obowiązków ustawowych.
Zasadnicze zastrzeżenia budzi postanowienie art. 15 ust. 2a, w wersji zaproponowanej podczas prac Parlamentu Europejskiego. Przepis ten wydaje się dotyczyć dwóch, zupełnie odrębnych zagadnień: po pierwsze, związanego z uzyskaniem określonych danych od administratora danych (w określonym formacie), po drugie – związanego z przenoszeniem danych pomiędzy administratorami (zdanie ostatnie). Ten drugi jednak przypadek został określony w sposób daleki od precyzji. Nie jest w szczególności wiadome, do jakich przypadków należy go stosować, jakie formaty danych należy zastosować, jaka procedura znajdzie tu zastosowanie, itd. W kontekście tak skomplikowanych prawnie oraz faktycznie (technicznie, organizacyjnie) przypadków nie sposób zgodzić się w żadnym razie z przyjętą techniką legislacyjną, która polega na swoistym „wtrąceniu” określonych rozwiązań, nieco „przy okazji” regulowania innego zagadnienia prawnego.
W zakresie propozycji „prawa do usunięcia” (ang. right to erasure, art. 17 Projektu), pomimo zmiany terminologii w porównaniu do wstępnej wersji propozycji, nadal budzi ona istotne wątpliwości. W ocenie IAB Polska, obowiązki administratora w zakresie realizacji tego prawa będą w praktyce niewykonalne. Brak jest w szczególności technicznych możliwości, aby platformy internetowe monitorowały dokładnie kto miał dostęp do danej upublicznionej informacji i gdzie mogła być ona następnie opublikowana. Ponadto, sprawa jeszcze bardziej komplikuje się w przypadku, gdy opublikowana informacja dotyczy innej osoby niż publikujący ją użytkownik. Dlatego też należy uznać, że tam, gdzie platforma zastosowała przejrzyste mechanizmy informacyjne oraz udostępnia użytkownikowi narzędzia kontroli, jest zasadne pozostawienie odpowiedzialności po stronie użytkownika. Modyfikacje wprowadzone w zakresie art. 17 Projektu, w szczególności odesłanie do pojęcia „osoby trzeciej” wydaje się, że nie będą skutkowały „zdjęciem” przedmiotowych obowiązków z administratora danych; co więcej taka konstrukcja zaciemnia zasady odpowiedzialności w tym zakresie: nie jest bowiem jasne za co odpowiedzialność miałby ponosić administrator danych (jedynie za poinformowanie osób trzecich, czy również za coś dodatkowo?), a za co podmiot trzeci.
Propozycja przyjęcia bardzo szerokiego – wręcz generalnego – prawa do wniesienia sprzeciwu (art. 19 Projektu) rodzi poważne zastrzeżenia, w tych przypadkach, w których podstawą przetwarzania danych jest uzasadniony interes administratora danych związany z takimi celami jak np. dochodzenie roszczeń czy cele archiwizacyjne.
IAB Polska nie zgadza się z wyróżnieniem profilowania, jako odrębnej kategorii przetwarzania, możliwej do podjęcia jedynie po spełnieniu dodatkowych, bardziej rygorystycznych wymogów. Regulacja dotycząca profilowania (art. 20), w ocenie IAB Polska, zbyt wąsko określa przesłanki dopuszczające tego rodzaju działania, obecnie coraz powszechniejszego w działalności wielu podmiotów, w tym z branży internetowej. Ponadto, przesłanki zaproponowane w analizowanym tekście (art. 20 ust. 2) zawierają liczne niejasności, mogące budzić poważne wątpliwości interpretacyjne i skutkować odmiennym podejściem do problemu w poszczególnych państwach EU. W szczególności doprecyzowania wymagają pojęcia: „właściwych zabezpieczeń” (ang. suitable safeguards), „właściwych środków” (ang. suitable measures), „wysoce widoczny sposób” (dot. poinformowania podmiotów danych, ang. highly visable manner), „podobnie istotny wpływ” (ang. similarly significantly affect); „przeważający” (ang. predominantly). Nie jest zrozumiałe również odesłanie w art. 20 ust. 1 (w wersji zaproponowanej przez komisję LIBE) do art. 6 Projektu, a w szczególności, czy oznacza to, że dla legalizacji operacji profilowania należy zrealizować zarówno przesłanki z art. 6, jak i z art. 20 ust. 2.
Rozdział IV – Administrator oraz processor danych
IAB Polska krytycznie ocenia wprowadzony w trakcie prac w Parlamencie Europejskim obowiązek o charakterze bezwzględnym związany z prowadzeniem szczegółowych polityk, o których mowa w art. 22 ust. 1a Projektu. Lepszym rozwiązaniem jest w tym zakresie art. 22 ust. 2a, zaproponowany przez prezydencję, który obowiązek ten uzależnia od czynnika proporcjonalności. Zastrzeżenia budzi również brzmienie art. 22 ust. 3a. W szczególności, wydaje się, że podstawy do przekazania danych w ramach grupy przedsiębiorstw określonych w tym przepisie (ang. legitimate internal administrative purposes) doszukiwać można się w art. 6 ust. 1 lit. f). Ponadto, nie jest wiadome, czy w przypadku przyjęcia przepisu art. 22 ust. 3a możliwość powołania się w tej konkretnie sytuacji na inne podstawy będzie niedopuszczalna. Przepis ten należy również zakwestionować, biorąc pod uwagę widoczną tu tendencję do zbytniego kazuistycznego podejścia do regulowanej problematyki, co w praktyce znacznie utrudni stosowanie przepisów rozporządzenia.
Powszechny obowiązek powiadamiania o naruszeniach danych osobowych (ang. personal data breach, art. 31 i nn. Projektu), w ocenie IAB Polska pozostaje, pomimo wprowadzonych zmian, nadal skonstruowany jako zbyt rygorystyczny, co w szczególności związane jest ze zbyt szerokim zakresem zastosowania art. 31 ust. 1, tj. do każdego przypadku naruszenia danych (biorąc pod uwagę zmianę tej definicji zakres ten będzie jeszcze szerszy). Wydaje się, iż aby m.in. zapobiec negatywnemu zjawisku zalewu tego rodzaju powiadomień, należy ograniczyć zakres przedmiotowy art. 31 ust. 1, np. do naruszeń istotnych – w tym zakresie kierunek przyjęty przez prezydencję litewską jest godny poparcia.
Również obowiązek przeprowadzania analizy ryzyka (art. 33a Projektu), został ujęty w sposób zbyt szeroki. Wątpliwości budzi m.in. art. 32a ust. 2 lit. g), zgodnie z którym obowiązek przeprowadzenia takiej analizy jest wymagany w sytuacji gdy naruszenie danych wpłynie negatywnie na sferę ochrony danych osobowych. Wydaje się, że w praktyce każde naruszenie odnosić będzie ten skutek, tym samym obowiązek przeprowadzenia analizy ryzyka będzie miał charakter powszechny. Obowiązek corocznej weryfikacji analizy, a de facto konieczność przeprowadzenia jej na nowo, wydaje się zbyt daleko idąca, zwłaszcza w sytuacji, gdy nie dochodzi w takim okresie do żadnych zmian w sposobie przetwarzania danych lub innego rodzaju okoliczności towarzyszących.
Rozdział V – Transfer danych osobowych do państw trzecich
W kontekście regulacji transferu danych do państw trzecich, nie jest wiadomy powód wykreślenia standardowych klauzul umownych przyjętych przez Komisję, jako sposobu zapewniania stosownych zabezpieczeń (art. 42 ust. 2 lit. b).
Żądanie udostępnienia danych, o którym mowa w art. 43a powinno być zawsze kierowane do administratora danych. Przetwarzającemu nie powinno przysługiwać prawo do decydowania w tym zakresie. W przypadku otrzymania takiego żądania przetwarzający powinien przekazać je niezwłocznie administratorowi. Wydaje się również, że obowiązek poinformowania właściwego organu państwowego odnosił będzie się jedynie do sytuacji, gdy podmiot zobowiązany będzie miał siedzibę w UE. W przypadku żądań do podmiotów spoza Unii, do których ma zastosowanie Rozporządzenie nie sposób wskazać na takie organy. Nie do zaakceptowania w ocenie IAB Polska jest rozwiązanie, zgodnie z którym w sytuacji gdy toczą się dwa postępowania (jedno dotyczące żądania udostępnienia danych oraz drugie w zakresie zgody na takie udostępnienie) na administratora przekłada się obowiązek poinformowania podmiotu danych o toczących się postępowaniach (art. 43a ust. 4). Administrator jest stroną toczących się postępowań, a podmiot danych może być ich stroną lub uczestnikiem. Niemniej, to organy prowadzą postępowania i to one powinny informować uczestników o ich wszczęciu, przebiegu i zakończeniu.
Rozdział VII – Współpraca i zgodność
IAB Polska pragnie podkreślić również kluczowe znaczenie dla całości unijnej regulacji zasady określanej mianem One Stop Shop. Zakłada ona m.in. wyznaczenie tzw. organu wiodącego, który powinien mieć wyłączne kompetencje do nakładania – w określonej sprawie – stosownych, wiążących prawnie środków (np. decyzji administracyjnej). Rolą pozostałych organów (w tym organu, w którym podmiot danych ma miejsce zamieszkania, w sytuacji, gdy jest ono inne niż siedziba wiodącego organu) powinno być natomiast jedynie opiniowanie oraz pomoc w podjęciu stosownego rozstrzygnięcia (np. wysłuchanie podmiotu danych, zebranie innych dowodów w sprawie). Nie powinno być jednak w żadnym razie ich rolą podejmowanie wiążących środków prawnych, doprowadzi to bowiem do wypaczenia całej instytucji, a tym samym zniweczy zasadniczo cały efekt harmonizacyjny wynikający z przyjęcia jednolitych zasad dla Unii Europejskiej. W tym kontekście kolejne propozycje zgłaszane w trakcie prac nad Projektem Rozporządzenia budzą zastrzeżenia, ich realizacja (sposób zapisu) jest wyjątkowo mało czytelna, co istotnie będzie utrudniać korzystanie w praktyce z procedur współpracy. IAB Polska wyraża oczekiwanie prowadzenia dalszych prac w kierunku doprecyzowania zasad związanych z ww. procedurami, przy zachowaniu powyżej wskazanej, kluczowej dla istoty całej procedury zasady.
Rozdział VIII – Środki prawne, odpowiedzialność oraz sankcje
W ocenie IAB Polska konieczne byłoby wyraźne ograniczenie prawa podmiotu danych, o którym mowa w art. 73 Projektu, do złożenia skargi do organu nadzorczego jedynie przed jednym organem nadzorczym, w jednym (dowolnym) Państwie Członkowskim, aby zapobiec prowadzeniu wielu postępowań w wielu Państwach Członkowskich w tej samej sprawie.
IAB Polska podtrzymuje istotne obawy w stosunku do propozycji przyjętej w art. 79 Projektu Rozporządzenia, wprowadzającej szczególną odpowiedzialność o charakterze administracyjnym – kary pieniężne. Nie uchylając się od odpowiedzialności w przypadku naruszenia przepisów w zakresie ochrony danych osobowych należy zwrócić uwagę, że już na gruncie obecnie obowiązujących przepisów nie można mówić o bezkarności administratorów danych osobowych oraz processorów (zgodnie z prawem polskim). Zatem wprowadzanie dodatkowych obowiązków obciążających podmioty przetwarzające dane, należy rozważać mając na względzie ich adekwatność do zamierzonych celów i faktycznych potrzeb w tym zakresie. W ocenie IAB Polska wątpliwości budzi w szczególności propozycja zgłoszona w art. 79 ust. 2a, która poddaje odpowiedzialności każdego (!), za każde (!) naruszenie przepisów rozporządzenia. Takie rozwiązanie może skutkować np. wykluczeniem podmiotu z postępowania przetargowego, w ramach których warunkiem udziału jest brak nałożonych kar w pewnym okresie. Przyjęta konstrukcja narusza zasadę proporcjonalności kary. Budzi to tym większe zastrzeżenia, biorąc pod uwagę brak precyzji w zakresie wielu obowiązków prawnych określonych rozporządzeniem.
