GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Czy istnieją szanse na spójne globalne przepisy dotyczące ochrony danych?

Kłódka na laptopie komutera nad mapą świata i symbolizująca ogólne rozporządzenie o ochronie danych UE lub RODO.

Czy istnieją szanse na spójne globalne przepisy dotyczące ochrony danych?

Czy ktoś słyszał o Konwencji Nr 108 Rady Europy z 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonej w Strasburgu dnia 28 stycznia 1981 r.?

Raczej niewiele osób. Konwencja została podpisana przez prawie 60 krajów, m.in. Polskę i mogła stać się podwaliną dla wspólnych dla całego świata przepisów dotyczących ochrony danych osobowych, ale tak się nie stało. Sygnatariusze Konwencji w różnym zakresie wywiązywali się ze swoich zobowiązań co spowodowało jej nieskuteczność.

Obecnie najbliższym aktem prawa do uregulowania ochrony danych w sposób spójny i ponadnarodowy jest ogólne rozporządzenie o ochronie danych osobowych, powszechnie znane jako RODO. Jest to też akt, który w jakimś stopniu opiera się na postanowieniach wspomnianej Konwencji Rady Europy.

Jednak jak wiadomo na świecie obowiązuje nie tylko RODO, niektóre stany w USA już przyjęły przepisy dotyczące prywatności danych, a w Kongresie Stanów Zjednoczonym także trwają prace nad uchwaleniem prawa federalnego w tym zakresie. Również Szwajcaria, Brazylia czy Australia przyjęły krajowe systemy ochrony danych osobowych. W Afryce również coraz więcej krajów wprowadza przepisy dotyczące ochrony danych osobowych.

Dla firm o zasięgu globalnym, które działają na różnych rynkach, uregulowanych przez różne akty prawne dotyczące ochrony danych oznacza to konieczność uwzględnienia w swoich działaniach ich wszystkich. Najważniejszym problemem nie jest sam fakt różnych uregulowań, ale m.in ich niestabilność i ciągła zmiana. Wobec czego, firmy są zmuszone do ciągłego czuwania czy stanowisko firmy jest zgodne z odpowiednimi przepisami dotyczącymi ochrony danych. Inną trudnością napotykaną przez firmy jest różne rozumienie „dobrej” ochrony prywatności,. Dlatego przydatne byłoby opracowanie globalnych standardów adekwatności aby ochrona była spójna i łatwiejsza do stosowania i przestrzegania.

Taką próbą uregulowania ochrony danych w skali globalnej jest RODO. Obecnie stanowiący pewny miernik lub wzór dla innych przepisów. Postanowienia RODO wskazują, że do jego przestrzegania zobowiązane są firmy, które posiadają siedzibę na terenie Unii Europejskiej oraz te, które posiadają siedzibę poza obszarem Unii Europejskiej, ale które świadczą usługi na rzecz mieszkańców Unii. Ponadto, RODO nadało uprawnienia Komisji Europejskiej do określenia, czy kraj spoza Unii zapewnia odpowiedni poziom ochrony danych osobowych. Pozostaje jednak problemem z firmami, które odmawiają stosowania RODO, ponieważ są przekonane, że ich działalność ma charakter krajowy i nie powinny być na nie nakładane zobowiązania wynikające z przepisów prawa obcego.

Mechanizm związany z uznawaniem kraju za zapewniający odpowiedni poziom ochrony danych osobowych jak RODO, okazał się skuteczny jedynie na papierze. Japonii uzyskanie takiej decyzji zajęło dwa lata. Wielka Brytania, która jeszcze niedawno była członkiem Unii też musiała przeprowadzić negocjacje aby uzyskać decyzję o adekwatności, które nota bene jeszcze nie została sfinalizowana. Najlepiej jednak o trudnościach związanych z uzyskaniem decyzji o adekwatności świadczy przykład USA. Do tej pory Komisja Europejska dwukrotnie wydała decyzje o adekwatności poziomu ochrony danych osobowych w Stanach Zjednoczonych. Zarówno tzw. Privacy Shield jak i wcześniejsza umowa Safe Harbour zostały uchylone wyrokami TSUE w związku z wniesionymi przez aktywistę Maxa Schremsa skargami. Obecnie trwają kolejne negocjacje pomiędzy Komisją Europejską, a przedstawicielami USA, których wynik poznamy pod koniec roku.

Czego nam w takim razie potrzeba aby globalne standardy w ochronie danych zostały wdrożone?

Po pierwsze interesy terytorialne. Przepisy krajowe w dużej mierze są wynikiem wewnętrznych często lokalnych interesów i trudności politycznych. Dlatego, trudno jest w przepisach międzynarodowych uwzględnić wszystkie interesy lokalne, a co więcej uwzględnienie interesów jednych krajów z pominięciem innych dodatkowo może niektórych zniechęcić.

Różne podejście do przestrzegania praw człowieka i konieczności zapewnienia bezpieczeństwa narodowego. Odmienne stanowiska są najbardziej widoczne w dyskusji pomiędzy USA, a Unią Europejską. W Stanach Zjednoczonych przyjęto model, że gromadzenie pewnych danych osobowych jest niezbędne i konieczne do zapewnienia bezpieczeństwa narodowego. Podczas, gdy Unia jest bardziej wstrzemięźliwa w swoim stanowisku i uznaje, że takie gromadzenie na zapas narusza podstawowe prawa osób.

Japonia upodabnia swoje przepisy do RODO

Kolejna z różnic, to różne podejścia co do zakresu ochrony danych. Analizy przepisów krajowych lub regionalnych dotyczących ochrony danych, dowodzą, że kraje mają różne poglądy na temat zakresu ochrony danych osobowych oraz w jakim zakresie jest to prawo człowieka. Czyli kwestii, jak może się wydawać podstawowej.

Istniejące skomplikowane wymagania.

Obecne przepisy zarówno regionalne jak i krajowe chcą uregulować jak najwięcej skomplikowanych procesów, które często są dynamiczne. Takie regulacje więc mogą się wiązać z wprowadzeniem rozwiązań prawnych, które są niepewne, niezrozumiałe i czasami nieracjonalne.

Ze względu na rywalizację pomiędzy krajami i rywalizację regionalną, trudno wyobrazić sytuację, w której to jeden kraj lub organizacja regionalna będzie w stanie przeprowadzić takie prace. Stąd prace pod auspicjom Organizacji Narodów Zjednoczonych lub innej organizacji międzynarodowej, w ramach której kraje już wspólnie pracują nad przepisami prawa w innych dziedzinach, wydają się jedynym rozwiązaniem dla powodzenia takiego projektu.

Polska sygnatariuszem  Konwencji 108+

Jaki miałby być taki globalny akt ochrony danych osobowych? Możliwe, że wiązałby się z mniejszym obciążeniem administracyjnym ze względu na wielość podejść i interesów. Zapewne skupiałby się na najważniejszych zagrożeniach dla prywatności danych. Takie rozwiązania mogłoyby skłonić kraje jak i firmy, które obecnie negują konieczność uregulowania tej dziedziny do większego zaangażowania i zaakceptowania ich. Dlatego też koncepcja globalnego aktu dotyczącego ochrony danych wydaje się kuszącym rozwiązaniem. Jednak musi się znaleźć podmiot, który zechce podjąć się moderowania negocjacji by ująć ochronę danych w ramy akceptowalne globalnie.

Źródło: https://iapp.org/news/a/the-case-for-a-global-data-privacy-adequacy-standard/