Computers, privacy & data protection: data protection on the move - relacja z konferencji
Dodano: 02-02-2015 w kategorii: Reforma ochrony danych osobowych, Przesłanki przetwarzania, Obowiązki ADO i ABI. Dodane przez: Katarzyna Witkowska.
W dniach 21-23 stycznia w Brukseli odbyła się 8 edycja konferencji Computers, privacy & data protection. Tym razem motywem przewodnim konferencji były aktualne problemy związane z ochroną danych osobowych ze szczególnym uwzględnieniem najnowszych rozwiązań i koncepcji ochrony danych. O czym dyskutowano przez 3 dni?
Przekazywanie danych do państw trzecich
Dużo uwagi w czasie konferencji poświęcono relacjom UE i USA i transgranicznemu obrotowi danych osobowych. Poruszano m.in. problem odmiennego podejścia do prywatności i bezpieczeństwa danych. Zastanawiano się, czy rozwiązaniem, które może pogodzić różne koncepcje prywatności i zapewnić swobodny przepływ danych jest TTIP, czyli negocjowane od 2013 roku Transatlantyckie Partnerstwo w dziedzinie Handlu i Inwestycji (Transatlantic Trade and Investment Partnership bądź szerzej: czy porozumienia o wolnym handlu mogą stanowić pole harmonizacji odległych reżimów prawnych. Ciekawą była analiza tego, w jakim stopniu ochrona danych powinna być domeną rządu lub parlamentu, a w jakim powinna być pozostawiona sektorowi prywatnemu.
W czasie konferencji podkreślano, jak ważna jest skuteczna regulacja transgranicznego obrotu danymi. Temat ten był dotychczas często poruszany w kontekście relacji UE – USA. Słusznie przekonywano, że globalizacja przetwarzania danych i międzynarodowy wymiar obrotu danymi wymagają jednak szerszej dyskusji, która obejmować będzie więcej państw.
Pozycja ABI
Bardzo ciekawa dyskusja toczyła się w trakcie panelu poświęconemu relacjom organów ds. ochrony danych i administratorów bezpieczeństwa informacji. Podkreślano, jak trudne w praktyce jest pełnienie funkcji ABI w sytuacji, w której jest on zatrudniony przez administratora danych. Z jednej strony ABI jest w takiej sytuacji jednym z „organów” administratora, ale z drugiej nadal ma obowiązek dbania o standardy ochrony danych osobowych. Podkreślano częstą opinię o ABI, że on jest przedłużeniem ręki, „agentem” GIODO, podczas gdy w istocie jego kontakt z organem ds. ochrony danych ogranicza się do przypadków, gdy ABI zasięga opinii GIODO bądź uczestniczy w kontrolach. Zaznaczano też, jak ważne jest, by ABI miał pełne zaufanie organizacji i ADO, a także, by w pierwszej kolejności starał się zapewniać pewną zgodność działań ADO z przepisami, ułatwiając tym samym prowadzenie przez ADO działalności. Zarzucano również opracowywanemu nadal na szczeblu europejskim rozporządzeniu, że obciążając ABI dużą ilością obowiązków dokumentacyjnych odbiera mu się możliwość faktycznego pełnienia tej funkcji.
Świadomość użytkowników
Jak co roku, dużym zainteresowaniem audytorium cieszył się panel poświęcony kontroli użytkowników nad ich danymi. Powszechnie wykorzystywanie zgody na przetwarzanie danych osobowych jest coraz częściej krytykowane. Zaznacza się, że zwłaszcza w dobie Internetu należy poszukiwać rozwiązań, które zagwarantują większe zaangażowanie użytkowników w sprawowanie kontroli nad ich danymi. Debatowano o tym, jak konstruować polityki oraz jak formułować klauzule zgody, by unikać zbyt rozbudowanych opisów czy klauzul. Podkreślano konieczność bardziej innowacyjnego i zdecydowanie szerszego niż dotychczas podejścia do prywatności, odwołując się choćby do takich rozwiązań jak Privacy by Design, minimalizacji danych czy mechanizmów gwarantujących skuteczne usuwanie danych.
Szczególną uwagę zwracano na to, że zgoda jest tylko jedną z przesłanek przetwarzania danych i nie powinna za wszelką cenę być w centrum dyskusji. Zwłaszcza, że dziś zgoda to tak naprawdę odkliknięcie odpowiedniego check-box’a, a nie, jak chciał prawodawca europejski, w pełni świadome i swobodnie wyrażone oświadczenie. Jako alternatywę uławiającą wykonywanie działalności gospodarczej, przedstawiano tzw. prawnie usprawiedliwiony cel administratora danych. Zastrzegano jednak, że powoływanie się na prawnie usprawiedliwiony cel zawsze musi być poprzedzone odpowiednim testem proporcjonalności, umożliwiającym wyważenie interesów administratora danych oraz ochronę praw podmiotu danych.
Co jeszcze?
Jak łatwo przewidzieć, wiele prelekcji nawiązywało do głośnego wyroku z 13 maja 2014 roku w sprawie C-131/12 Google Spain SL, Google Inc. przeciwko Agencia de Protección de Datos (AEPD), Mario Costeja González, opisywanego przez nas w poście Google a prawo do zapomnienia. Echa tego wyroku nie milkną, a dyskusja o tym, jak zapewniać skuteczne usuwanie danych oraz poszanowanie prawa do bycia zapomnianym, trwa.
Ponadto, pojawiły się prelekcje dotyczące ochrony danych osobowych dzieci w szkołach, dostępu służb do danych z inteligentnych urządzeń mobilnych, powiązań ochrony danych i cyfrowego rynku, a także stosunku obywateli do ochrony ich danych. Najciekawsze panele posłużą oczywiście jako inspiracja do kolejnych postów.
Katarzyna Witkowska
e-mail: