Unia Europejska zbliża się do finału prac nad pakietem, który zreformuje przepisy ochrony danych osobowych, które powstały, gdy internet dopiero raczkował. Równolegle toczy się dyskusja nad przepisami ws. wymiany danych o pasażerach podróżujących samolotami i statkami. Jeśli projekt wejdzie w życie, kraje UE będą zbierać znacznie więcej danych o podróżnych. Obecne przepisy nie przewidują np. wymiany informacji o tym, kto z kim podróżuje.

Czytaj: PE nadal podzielony ws. wymiany danych pasażerów>>>

To ostatnie zagadnienie, w unijnym żargonie określane skrótem PNR (od angielskiego Passenger Name Record), stało się głośne po styczniowych zamachach terrorystycznych we Francji. Wówczas nasiliły się apele do PE o odblokowanie prac nad dyrektywą ws. PNR. Kraje członkowskie argumentują, że ułatwi to walkę z terroryzmem. Parlament, którego komisja wiosną 2013 r. odrzuciła projekt dyrektywy, w lutym 2015 r. zmienił front i zapowiedział, że będzie dążyć do zakończenia prac nad dyrektywą do końca roku.

"Nikt do tej pory nie udowodnił, że ta regulacja jest niezbędna i proporcjonalna. Nikt nie udowodnił, że mamy do czynienia z wartością dodaną" - powiedział Buttarelli. Europejskim inspektorem (European Data Protection Supervisor, EDPS) jest on od grudnia 2014 r. Wcześniej przez pięć lat był zastępcą szefa tego urzędu.

"Rządy krajów członkowskich, które dążą do wprowadzenia dyrektywy o PNR, powinny pokazać przekonujące argumenty. Ciężar dowodu jest po ich stronie" - podkreślił EDPS.

Niezbędność i proporcjonalność to - zwłaszcza po traktacie lizbońskim - podstawowe zasady rządzące prawem do ochrony danych osobowych w UE. Stanowią punkt wyjścia do oceny, czy można wprowadzić rozwiązanie ingerujące w prywatność obywateli.

  Mariusz Krzysztofek
Ochrona danych osobowych w Unii Europejskiej>>>

W kwietniu 2014 r. Trybunał Sprawiedliwości UE w Luksemburgu uchylił dyrektywę ws. przechowywania danych telekomunikacyjnych, przyjętą po zamachach terrorystycznych w Madrycie w 2004 r. i w Londynie rok później. Trybunał - podkreślił Buttarelli - stwierdził wówczas, że niedopuszczalne jest tworzenie wielkich baz danych z informacjami o obywatelach gromadzonymi "na wszelki wypadek". Zdaniem europejskiego inspektora również dane PNR byłyby gromadzone "na wszelki wypadek".

EDPS zauważył, że według szacunków ok. 2,5-3 tys. obywateli UE walczy w organizacjach uznawanych za terrorystyczne na Bliskim Wschodzie. "Oznacza to, ze mamy od 50 do 100 osób z każdego kraju UE, zatem ci ludzie i tak są bardzo dobrze znani służbom, tak było w przypadku zamachowców z Francji" - zaznaczył Buttarelli.

"Czy powinniśmy wprowadzać Wielkiego Brata do wykrywania ruchów 100 lub 50 osób w danym kraju? Oto jest pytanie. Dlaczego nie zainwestować energii w coś innego?" - pytał europejski inspektor.

Jednocześnie zasugerował, że lepsze mogłoby być np. bardziej elastyczne podejście i zastosowanie wybranych, czasem nawet bardziej inwazyjnych metod, ale tylko do wybranych kategorii lotów, pasażerów albo lotnisk. Zwrócił też uwagę na możliwość znowelizowania dyrektywy ws. zaawansowanego systemu informacji o pasażerach (tzw. API), dzięki której już zbiera się dane podróżnych, ale na mniejszą skalę niż proponuje projekt ws. PNR (jej projekt przewiduje zbieranie takich, nieobjętych API, danych jak to - kto z kim podróżuje, numer fotela, bagaż czy nawet nazwa biura podróży).

"Mamy już dyrektywę o API pozwalającą na zbieranie i udostępnianie niektórych danych, które pozwalają identyfikować pasażerów. W niektórych bazach danych dane przechowywane są przez co najmniej sześć miesięcy, jak dane z systemu rezerwacji lotniczych czy z kart kredytowych. W takim razie moje pytanie brzmi: co jest wartością dodaną, jeśli chodzi o dodatkowe dane zbierane dzięki PNR?" - powiedział EDPS.

Odnosząc się z kolei do prac nad reformą systemu ochrony danych osobowych, Buttarelli ocenił, że UE znajduje się w unikalnym i historycznym momencie. "Europa może odegrać ważną rolę w świecie. Jest szansa na stworzenie norm, istotnych także dla państw trzecich. Ale po 20 latach obowiązywania obecnej dyrektywy, każda reforma, szczególnie ta, będzie badana przez wszystkich po dwakroć. Dlatego musimy być bliscy doskonałości. Nie ma miejsca na błędy" - podkreślił europejski inspektor.

Nowe przepisy mają m.in. lepiej chronić dane w internecie. W projekcie zaproponowano wprowadzenia tzw. prawa do bycia zapomnianym (według propozycji KE) albo prawa do usunięcia danych (wedle zapisów przyjętych przez PE); chodzi o wymazanie z internetu danych o konkretnej osobie - informacji, zdjęć czy wpisów. Przewiduje się również ograniczenia dotyczące tzw. profilowania, czyli określania na podstawie zachowań w internecie np. statusu materialnego, miejsca zamieszkania danej osoby czy jej preferencji. Projekt wprowadza też wymóg stosowania jasnego i prostego języka w regulaminach dotyczących polityki ochrony prywatności.

Buttarelli przestrzegł przed obniżeniem obecnie istniejącego poziomu zabezpieczeń prywatności obywateli. "Musimy być elastyczni (...), musimy zostawić wystarczające pole do działania krajowym organom ochrony danych osobowych. Nie da się umieścić wszystkiego w tekście aktu prawnego, który będzie obowiązywał pewnie przez dwie dekady. Dziś dwie dekady to cała wieczność, a szczerze mówiąc niektóre przepisy projektu z 2012 r. są już nieco przestarzałe" - powiedział Buttarelli.

Za niepokojące uznał też zbytnie zbiurokratyzowanie nowych rozwiązań. Dotyczy to np. jednego z kluczowych punktów reformy, którym jest zasada jednego okienka (ang. one stop shop). Ma ona sprawić, że w razie niezgodnego z prawem przetwarzania danych osobowych obywatel będzie kontaktował się z urzędem w swoim kraju, niezależnie od tego, gdzie siedzibę ma firma, która dopuściła się uchybień. Z drugiej strony przedsiębiorcy działający w wielu krajach mają otrzymać jedną decyzję.

Każdy z trzech uczestników procesu legislacyjnego w UE - Komisja Europejska, Rada i Parlament Europejski - zaprezentował odmienną propozycję uregulowania zasady jednego okienka. Buttarelli pytany, który z pomysłów jest najlepszy, odpowiedział krótko: żaden z nich. "Może dojść do tego, że nowe przepisy zostaną zaaprobowane przez +Biuro ds. Komplikowania Spraw Prostych+" - zauważył ironicznie.

Projekt reformy pochodzących z 1995 r. przepisów dotyczących ochrony danych osobowych KE przedstawiła na początku 2012 r. Obejmował on zarówno ogólne rozporządzenie, jak i dyrektywę dotyczącą organów policyjnych i wymiaru sprawiedliwości. W marcu 2014 r. swoje stanowisko wobec reformy przyjął Parlament Europejski. Obecnie do końca zbliża się proces uzgadniania stanowiska krajów członkowskich wobec projektu rozporządzenia (prace nad dyrektywą są mniej zaawansowane). Wiele wskazuje na to, że do końca roku kraje UE, Parlament i Komisja uzgodnią ostateczny tekst rozporządzenia.

Rozmawiał w Brukseli Rafał Lesiecki (PAP)