Negocjacje wielkiej umowy handlowej pomiędzy Unią Europejską i USA trwają od pewnego czasu i w ostatnich miesiącach przed wakacjami podobno znacząco przyspieszyły, jak przekonywały nas coraz bardziej optymistyczne oficjalne komunikaty. Projekt Transatlantyckiego Partnerstwa Handlowego i Inwestycyjnego (Transatlantic Trade and Investment Partnership – TTIP) zakłada wyeliminowanie ceł, barier administracyjnych i regulacyjnych utrudniających handel i inwestycje w stosunkach UE – USA. Gdzieś w tle wielkich gospodarczych interesów pojawia się też wątek ochrony prywatności i swobodnego przepływu przez Atlantyk danych osobowych, w którym pomiędzy oboma wielkimi partnerami od dawna istnieją poważne rozbieżności, pogłębione dodatkowo przez niedawne działania organów UE.
Różnice w podejściu
Chociaż Stany Zjednoczone i unijna część Europy generalnie wyznają zbliżony stosunek do praw jednostki, to w zakresie prawa do prywatności i ochrony danych osobowych występują zauważalne różnice. Kraje UE uznają prawo do ochrony prywatności za jedno z istotnych praw obywatelskich, umocowane w podstawowych aktach prawnych takich jak konstytucje poszczególnych państw
i konwencje o ochronie praw człowieka. Konsekwencją powyższego jest m.in. realizowana ustawowo szczegółowa ochrona danych osobowych oparta na zasadzie dopuszczalności przetwarzania
i wykorzystywania danych jedynie w przypadkach wyraźnie wskazanych w przepisach.
Z kolei w USA zasadą jest swoboda przetwarzania danych, a prawne zakazy stanowią wyjątek. Prawną ochronę danych w stylu europejskim uważa się tam za restrykcyjną i stanowiącą zbędne ograniczenie dla biznesu IT – potężnej części amerykańskiej gospodarki, dla której zbieranie
i przetwarzanie danych osobowych ma coraz większe znaczenie. Amerykańskie przepisy o ochronie danych są słabo rozwinięte i fragmentaryczne, a przeważa tzw. samoregulacja czyli zasady ustalane samodzielnie przez biznes, chociażby w postaci znanych każdemu internaucie polityk prywatności. Unia Europejska nie odrzuca samoregulacji, ale uważa ją jedynie za uzupełnienie dla wiążących powszechnie przepisów prawa.
Nowe przepisy europejskie
Obecnie obowiązujące w UE zasady ochrony danych osobowych, oparte na dyrektywie 95/46/WE i na implementujących ją krajowych aktach prawnych, firmom informatycznym zza oceanu mogą wydawać się zbyt restrykcyjne, jednak Komisja Europejska od dłuższego czasu uważała je za przestarzałe i nie zapewniające obywatelom Unii wystarczającej ochrony w świetle gwałtownego rozwoju technologii. Prace nad nowymi przepisami toczące się w powolnym tempie typowym dla unijnych instytucji znacznie przyspieszyły po ujawnieniu informacji o inwigilacji i zbieraniu prywatnych danych w USA (w tym o programie PRISM). Kiedy w marcu 2014 r. Parlament Europejski przegłosował projekt rozporządzenia o ochronie danych osobowych było jasne, że nowa regulacja w pierwszej kolejności ma być wymierzona w amerykański brak poszanowania dla danych osobowych, którego symbolami stały się Facebook czy Google.
Nowe przepisy, które mają wejść w życie najwcześniej w 2016 r., pozostawią najważniejsze z obecnych zasad ochrony, wzmacniając jednak pewne aspekty i wprowadzając nowe mechanizmy, np. potrzebę zapewnienia prywatności już w fazie projektowania (privacy by design) czy prywatności jako ustawienia domyślnego (privacy by default). Szeroko dyskutowane tzw. prawo do zapomnienia trafiło do projektu w złagodzonej formie jako prawo do domagania się wykreślenia danych. Projekt wprowadza także wysokie kary administracyjne za naruszenia zasad ochrony danych.
Jeśli chodzi o zmiany istotne z punktu widzenia stosunków UE – USA (czy nawet szerzej UE – reszta świata) to pierwsza z nich kryje się w nazwie aktu prawnego i polega na zastąpieniu dotychczasowej dyrektywy rozporządzeniem. Dyrektywa wiąże tylko co do celu i wymaga implementacji do prawa krajowego, stąd mamy obecnie w UE 28 systemów ochrony danych osobowych – zbliżonych choć odrębnych. Natomiast rozporządzenie będzie obowiązywać bezpośrednio, co spowoduje pełne ujednolicenie ochrony w ramach UE. Drugą istotną zmianą jest odejście od zasady terytorialności i zapewnienie większej ochrony danych obywateli UE przetwarzanych przez podmioty spoza Unii. W obecnym stanie prawnym np. polską ustawę o ochronie danych osobowych stosuje się do podmiotów, które albo mają siedzibę na terytorium RP albo przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na naszym terytorium. Wobec tego polskie prawo było bezradne choćby wobec Facebooka przetwarzającego nasze dane na wielką skalę, ale bez siedziby i bez infrastruktury w Polsce. Natomiast nowe rozporządzenie będzie miało zastosowanie do przetwarzania danych osób na terenie UE, bez względu na to, gdzie znajduje się administrator danych lub podmiot przetwarzający, jeśli operacje na danych związane są z oferowaniem europejskim podmiotom produktów i usług. Wobec tego amerykańskie firmy kierujące usługi do obywateli UE będą objęte nowymi regulacjami niezależnie od tego gdzie przetwarzają dane.
Precedensowy wyrok
Niezależnie od planów wprowadzania przepisów o prawie do wykreślenia, instytucję taką Trybunał Sprawiedliwości UE wyinterpretował z obowiązującego prawa w słynnym już wyroku z 13 maja 2014 r. w sprawie Google, w którym potwierdzono prawo obywatela do żądania od wyszukiwarki usunięcia określonych danych osobowych z wyników wyszukiwania. W rozpoznawanej sprawie Trybunał rozważył konflikt pomiędzy prawem do prywatności i ochrony danych osobowych a prawem dostępu do informacji i wolnością słowa, w konsekwencji uznając, że w niektórych przypadkach prawo do prywatności powinno przeważyć. Co istotne ocenę w tym zakresie Trybunał powierzył prywatnemu podmiotowi prowadzącemu wyszukiwarkę, nakładając na firmę Google dodatkowe obowiązki rozpatrywania wniosków jednostek o usunięcie dotyczących ich danych. Trybunał uznał, że jeżeli po rozpatrzeniu wniosku złożonego przez osobę, której dotyczą dane, zostanie stwierdzone, iż zawarcie na liście wyników wyszukiwania określonych linków jest niezgodne z dyrektywą, należy usunąć z listy wyników wyszukiwania te informacje. Trybunał wykonał zatem znaczący krok w kierunku mocniejszej ochrony prywatności w zgodzie z nowymi regulacjami będącymi jeszcze w fazie planów. Dotyczy to zarówno samego prawa do domagania się wykreślenia danych, jak i zakresu terytorialnego stosowania unijnych regulacji ochrony danych. Trybunał nie uwzględnił mianowicie obrony Google powołującej się brak przetwarzania danych na terytorium objętym dyrektywą, ponieważ operatorem wyszukiwarki jest podmiot mający siedzibę poza UE. Trybunał stwierdził, że prowadzona w UE działalność Google w zakresie sprzedaży usług reklamowych jest powiązana z działalnością wyszukiwarki i to uzasadnia zastosowanie unijnych regulacji o ochronie danych.
Co dalej?
Zarówno nowe przepisy o ochronie danych, jak i wyrok w sprawie Google zwiększają restrykcyjność unijnych regulacji w stosunku do standardów amerykańskich, ale jednocześnie zwracają uwagę na konieczność znalezienia równowagi pomiędzy prawem do prywatności a swobodą przepływu informacji i swobodą prowadzenia biznesu nowych technologii. Problem na gruncie prawa jest tym większy, że z jednej strony na szali leży podstawowe prawo jednostki, które winno być chronione przez instytucje publiczne (np. w drodze wprowadzania wiążących regulacji prawnych, tak jak robi to UE), a z drugiej mamy prywatne przedsiębiorstwa, które jednak są dysponentami ogromnej ilości danych osób fizycznych. Wydaje się, że amerykańscy giganci IT czerpiąc korzyści z przetwarzania danych powinni przyjąć na siebie część odpowiedzialności za ich ochronę, a chcąc działać na europejskim rynku nie unikną dostosowania do nowych przepisów UE czy wymogów wyroku w sprawie Google. Jest prawdopodobne, że wraz z dalszym rozwojem cyfrowych usług związanych z przetwarzaniem danych napięcie pomiędzy „europejskim” a „amerykańskim” podejściem do ochrony prywatności będzie narastać i w konsekwencji wszystkie zainteresowane strony uznają za niezbędne stworzenie od fundamentów całkowicie nowych regulacji prawnych po obu stronach Atlantyku. Jednak tylko najwięksi optymiści nadal uważają, że jakiekolwiek prawo będzie w stanie nadążyć za nowymi technologiami.