W kwietniu w Stanach Zjednoczonych pojawił się kolejny projekt ustawy o ochronie prywatności – w dużej części zgodny z RODO, ale nierozwiewający wszystkich europejskich wątpliwości.
Dyskusja na temat uregulowania na poziomie federalnym przetwarzania informacji na temat osób fizycznych toczy się od kilkunastu lat. Dotychczas wszystkie podjęte próby skończyły się fiaskiem, a własne przepisy zaczęły wprowadzać poszczególne stany. W 2021 r. podjęto ostatnią próbę przyjęcia kompleksowych rozwiązań w tym zakresie, jednak projekt ustawy przepadł w Izbie Reprezentantów. Wydaje się, że obecnie dyskutowany projekt ma większe szanse na powodzenie.
Patchworkowy model ochrony
Chociaż Komisja Europejska w lipcu 2023 r. po raz kolejny wydała decyzję o uznaniu adekwatności ochrony w ramach porozumienia Privacy Framework, obowiązujące w Stanach Zjednoczonych regulacje zapewniają pożądany poziom ochrony danych osobowych w ograniczonym zakresie. Wśród zarzutów, które są podnoszone przez przeciwników decyzji KE, najczęściej wymienia się: nadmierne uprawnienia amerykańskich organów ścigania w zakresie inwigilacji cudzoziemców, brak niezależnego organu nadzorczego oraz efektywnej ochrony. Sytuację komplikuje to, że ochrona prawa do prywatności w modelu amerykańskim ma aż trzy poziomy i żaden z nich nie reguluje kwestii przetwarzania danych w sposób kompleksowy.
Czwarta poprawka do Konstytucji Stanów Zjednoczonych gwarantuje ochronę jedynie obywatelom USA w przypadku przeprowadzania przez organy państwowe przeszukań czy prowadzenia względem nich inwigilacji. Nie mogą się na ten przepis powołać cudzoziemcy, nie ma on również zastosowania do działań podejmowanych przez organy publiczne poza terytorium Stanów Zjednoczonych. Jeszcze kilka lat temu wątpliwości budziła możliwość powołania się na czwartą poprawkę w przypadku inwigilacji z wykorzystaniem środków komunikacji elektronicznej. Rozwiało je orzeczenie Sądu Najwyższego w sprawie Katz p. Stanom Zjednoczonym. Jednocześnie obecnie obowiązująca interpretacja czwartej poprawki zakłada, że informacje dobrowolnie udostępnione w przestrzeni publicznej (np. DNA pozostawione na wyrzuconej do kosza gumie do żucia czy dane pozostawione w internecie) nie podlegają ochronie.
Najważniejszą kwestią jest odejście od modelu opt out na rzecz modelu opt in. Oznacza to, że (podobnie jak w RODO) jednostka będzie musiała wyrazić zgodę na przetwarzanie danych przez administratora, a zgoda nie będzie dorozumiana
Na poziomie federalnym obowiązuje kilkanaście ustaw, które mają zapewnić ochronę prawa do prywatności jednostki w takich sektorach jak ochrona zdrowia, bankowość czy telekomunikacja. Odmienne regulacje obowiązują w przypadku przetwarzania danych dzieci w sferze online, ochrony prywatności w ramach stosunków pracowniczych czy wykorzystania danych w celach marketingowych. Wszystkie te ustawy obowiązują jedynie w określonych sektorach. Chociaż zakres praw, które gwarantują, jest dosyć szeroki, ich konstrukcja sprawia, że jednostka może się na nie powołać w stosunkowo niewielu sytuacjach. Żadna z tych ustaw nie ma zastosowania w relacjach pomiędzy jednostką a państwem.
Do skomplikowanej siatki regulacji na poziomie federalnym należy jeszcze dodać wprowadzone w ostatnich latach przepisy obowiązujące w poszczególnych stanach. Chociaż większość z nich wzorowanych jest na RODO, każdy z 15 stanów, które dotychczas przyjęły takie regulacje, wprowadza również charakterystyczne dla siebie rozwiązania i w odmienny sposób określa zakres ochrony. Tylko w 2023 r. 130 różnych projektów aktów prawnych związanych z ochroną prywatności i danych osobowych było procedowanych w całych Stanach Zjednoczonych. Tak różnorodny, fragmentaryczny i trudny do wdrożenia model ochrony powoduje, że USA niemal desperacko potrzebują prawa, które w kompleksowy sposób zapewni ochronę prawa do prywatności.
Co może się zmienić
Przedstawiony ostatnio w mediach projekt ustawy o ochronie prywatności – American Privacy Rights Act (APRA) – który wciąż formalnie nie został przyjęty do procedowania przez Kongres, już budzi duże ożywienie. Z jednej strony regulacja na poziomie federalnym była długo wyczekiwana zarówno przez aktywistów, jak i przez biznes, z drugiej – koncepcja federalnych przepisów wywołuje sprzeciw niektórych stanów.
Najważniejszą kwestią, jaką ustawa o prywatności zmieni, jeśli wejdzie w życie, jest odejście od modelu opt out na rzecz modelu opt in. Oznacza to, że (podobnie jak w RODO) jednostka będzie musiała wyrazić zgodę na przetwarzanie danych przez administratora, a zgoda nie będzie dorozumiana. Obecnie domyślnie uznaje się, że samo podanie adresu e-mailowego lub numeru telefonu oznacza zgodę na przetwarzanie danych osobowych w celach marketingowych, którą można wycofać w każdym czasie. Zmiana podejścia ma się przyczynić do zwiększenia kontroli obywatela nad tym, w jaki sposób jego dane są wykorzystywane.
Rozszerzona zostanie również zasada minimalizacji danych, która będzie wymagać od administratorów ograniczenia zbieranych i przetwarzanych danych niezależnie od ewentualnie udzielonej zgody jednostki. Chociaż zasada ta jest obecna w regulacjach stanowych (np. Maryland czy Waszyngton) i sektorowych, po raz pierwszy jednak podejmuje się próbę wprowadzenia jej w sposób kompleksowy na poziomie federalnym. To podejście w znaczący sposób ograniczy przetwarzanie ogromnej ilości danych osobowych przez podmioty komercyjne i z pewnością wpłynie na model funkcjonowania wielu podmiotów, przede wszystkim brokerów danych.
Kolejna istotna zmiana to prawo do sprzeciwu wobec przetwarzania w celu zautomatyzowanego podejmowania decyzji. Bez wątpienia jest ono wzorowane na art. 22 RODO, jednak amerykańskie rozwiązanie, przynajmniej w obecnym kształcie, wydaje się rozszerzać zakres ochrony w porównaniu z rozwiązaniami europejskimi. Projekt nie uzależnia bowiem prawa do skorzystania ze sprzeciwu od tego, czy od zautomatyzowanej decyzji zależy wystąpienie „skutków prawnych” lub „podobnych”. Ochroną objęte są wszystkie przypadki, które mogą prowadzić do podjęcia decyzji o „istotnym znaczeniu”, nie tylko w sferze prawnej, lecz także finansowej, zdrowotnej, związanej z wychowaniem dzieci i innych. Oczywiście, zarówno ostateczny kształt przepisu, jak i jego interpretacja mogą się jeszcze zmienić.
Projekt zakłada również zdefiniowanie w szerszym zakresie danych wrażliwych. Wzmocnioną ochroną zostaną objęte informacje pozyskane w wyniku analizowania zachowań użytkowników serwisów społecznościowych oraz innych stron internetowych, szczególnie w zakresie danych behawioralnych wykorzystywanych w celu oferowania targetowanych reklam. Prowadzi to do wzmocnienia tzw. cyfrowych praw jednostki, przeciwko czemu już teraz protestuje biznes. Biorąc pod uwagę siłę lobby cyfrowego wywodzącego się z Doliny Krzemowej oraz dotychczasowe podejście amerykańskich sądów do „cyfrowych śladów”, wydaje się, że przepisy ograniczające możliwość analizowania zachowań konsumentów w internecie nie zostaną przyjęte w obecnym kształcie.
Kolejną bardzo istotną zmianą jest przyznanie jednostce tzw. private right to action, czyli prawa do wniesienia pozwu przeciwko podmiotowi naruszającemu jej prawa wynikające z ustawy. Brak efektywnych narzędzi na poziomie federalnym dotychczas powodował, że ludzie mieli bardzo ograniczone możliwości obrony swoich praw. Uregulowanie tej kwestii jest również wyrazem wzmocnienia kontroli jednostki nad tym, w jaki sposób jej dane są przetwarzane.
Kształt APRA może się jeszcze zmienić, trzeba jednak podkreślić, że ustawa ta nie zapewni ochrony każdej jednostce we wszystkich aspektach jej życia. Przede wszystkim proponowana ustawa nie obowiązuje w relacjach pomiędzy jednostką a państwem – w tym zakresie wciąż największy zakres ochrony (tylko obywatelom amerykańskim) zapewnia czwarta poprawka. Ustawa nie będzie miała również zastosowania do start-upów i małych przedsiębiorców (przetwarzających dane mniej niż 200 tys. użytkowników lub osiągających przychody poniżej 40 mln dol.) – z wyjątkiem brokerów danych.
Przyszłość projektu ustawy
Jeśli ustawa wejdzie w życie, to z powodzeniem zastąpi patch workowe regulacje stanowe i ułatwi przystosowanie biznesu do różnorodnych wymagań w zakresie ochrony prywatności i przetwarzania danych osobowych. Przeciwko takiemu rozwiązaniu protestują poszczególne stany, w tym mająca dużą reprezentację w Kongresie Kalifornia. Zastąpienie ich regulacji prawem federalnym nie jest w interesie tych stanów, które przyjęły już własne przepisy dotyczące ochrony prywatności, z co najmniej dwóch powodów. Z jednej strony oznaczać to będzie zrzeczenie się części kompetencji i osłabienie pozycji organów nadzorczych w poszczególnych stanach na rzecz Federalnej Komisji Handlu. Z drugiej strony może to doprowadzić do przepadku dotychczasowego dorobku interpretacyjnego w poszczególnych stanach. Naraża to projekt ustawy na krytykę jeszcze przed startem procesu legislacyjnego. W przypadku Kalifornii przyjęcie regulacji federalnych może spowodować utratę statusu lidera w zakresie ochrony praw cyfrowych obywateli. Dla odmiany, projekt ustawy spotkał się z pozytywnym przyjęciem ze strony przedstawicieli biznesu, którzy podkreślają, że kompleksowa regulacja na szczeblu federalnym ujednolici praktykę stosowania prawa oraz ułatwi działanie zgodnie z nim.
APRA nie zastąpi regulacji sektorowych wprowadzonych na poziomie federalnym. W mocy pozostaną przepisy dotyczące ochrony danych w sektorze ochrony zdrowia, bankowości, tele komunikacji czy ubezpieczeń. Przedstawiony projekt ustawy uzupełnia te regulacje, co zdaniem przeciwników tylko skomplikuje rozbudowaną już siatkę legislacyjną.
Przyjęcie APRA może – w myśl art. 45 RODO – być istotnym krokiem w kontekście oceny adekwatności modelu ochrony danych osobowych w Stanach Zjednoczonych. Jednocześnie fakt, że projektowana ustawa nie będzie miała zastosowania do działań podejmowanych przez organy publiczne, powoduje, że nie można jej uznać za kompletną, a część podnoszonych zarzutów pozostanie w mocy. ©℗