prywatność danych
0

Czy Twoje dane są bezpieczne? Problemy i obawy XXI wieku

Prywatność danych to temat, który wyjątkowo rozbudza w ostatnim czasie. Czy mamy czego się bać? Jak to wygląda od strony prawnej?

Wszechobecne dane

Niewątpliwie postęp technologiczny miał wpływ na wiele branż. Obecnie prawie każdy z nas ma smartfon, korzystamy z dobrodziejstw internetu, mediów społecznościowych i tym samym generujemy mnóstwo danych. Tu pojawiają się wątpliwości z wielu stron, czy możemy czuć się bezpieczni w takim świecie. Z jednej strony firmy uspokajają i nie zawsze miałyby biznes w cyfrowej inwigilacji, ale z drugiej cały czas spotykamy się z aferami, w których główne role odgrywało nadmierne przetwarzanie danych o użytkownikach. Flagowym przykładem pozostaje afera z Facebookiem i Cambridge Analytica.

Przeczytaj również: Śmieszna kara dla Facebooka za aferę z Cambridge Analytica.

prywatność danych

Dodatkowo państwa zaczęły dbać o ochronę danych. W przypadku Europy szczególnie głośno było o Rozporządzeniu o Ochronie Danych Osobowych (w skrócie: RODO), które zdecydowanie miało ogromny wpływ na kształtowanie się sektora teleinformatycznego i usługowego w ostatnim czasie. Postanowiłem zapytać się ekspertki w dziedzinie prawa ochrony danych osobowych w dziedzinie prawa o jej opinię na temat panującej sytuacji.

Wywiad z ekspertem

dr Arleta Nerka, ekspertka w dziedzinie prawa ochrony danych osobowych, Akademia Leona Koźmińskiego

W którą stronę zmierzają przepisy związane z ochroną danych osobowych w Europie? Jaką opinię ma Pani na temat RODO i jego wprowadzenia w Polsce?

Obserwowana na przestrzeni dekad ewolucja standardów ochrony danych osobowych w Europie wyraźnie wskazuje na stopniowe podnoszenie poziomu ochrony człowieka w sferze jego prywatności. Prawo do ochrony danych osobowych jest jedną z bardziej istotnych gwarancji prawnych dla zapewnienia bezpieczeństwa osobowego i  służy także zachowaniu określonej granicy pomiędzy sferą prywatną a sferą publiczną. Ma to znaczenie zarówno dla relacji interpersonalnych człowieka, jak również dla jego relacji zawodowych czy interesów ekonomicznych. Powstaje pytanie: w jaki sposób zapewnić bezpieczeństwo osobowe, nie dokonując nieuzasadnionej ingerencji w obrót gospodarczy oraz respektując uzasadniony interes publiczny, chociażby w sferze bezpieczeństwa publicznego, narodowego oraz przeciwdziałania zróżnicowanym formom przestępczości itp. Zamiarem prawodawcy Unii Europejskiej było ustalenie wysokiego i spójnego standardu ochrony danych osobowych. Jednakże RODO nie posiada charakteru regulacji wyczerpującej, na co wskazuje już motyw 8. preambuły RODO, dopuszczający doprecyzowanie lub zawężenie jego przepisów w określonych obszarach przez prawo państw członkowskich, nawet przy braku obowiązku notyfikacyjnego do organów UE.

Sprawdź też: Wszystko o RODO.

Wbrew wyrażanym opiniom, obecne przepisy RODO nie ograniczają swobody przepływu danych w Unii Europejskiej, którą prawodawca unijny uznaje za szczególną wartość w obrocie. Można powiedzieć, że obrót danymi staje się bardziej poddany kontroli, zwłaszcza ze strony samych osób zainteresowanych. Aby zapewnić realizację założonych celów, RODO dąży do umiejętnego wyważania interesów podmiotów procesu przetwarzania, czyli administratora i osoby, której dane dotyczą. W interesie administratora jest przetwarzanie danych osobowych w związku z prowadzoną działalnością, i to zwykle w szerszym, perspektywicznym zakresie. Z kolei w interesie osoby, której dane dotyczą, jest sprawowanie jak największego zakresu kontroli nad jej danymi osobowymi, włącznie z czerpaniem z tego korzyści.

prywatność danych

Realizacja tych praw i interesów nie jest nieograniczona. Samo RODO wprowadza podstawy umożliwiające Unii Europejskiej lub poszczególnym państwom członkowskim ustalenia regulacji prawnych w celu ograniczenia określonego zakresu praw i obowiązków administratorów lub podmiotów przetwarzających, które są przewidziane w ustawie. Można to zrobić w przypadku, gdy takie ograniczenie nie narusza istoty podstawowych praw i wolności, a także jest niezbędnym i proporcjonalnym środkiem w demokratycznym społeczeństwie, służącym do osiągnięcia wskazanych w przepisie celów (art. 23 RODO). Oznacza to, na terenie Unii nie istnieje jednolitość systemu ochrony danych osobowych – państwa członkowskie korzystają z możliwości dokonywania odstępstw od standardu unijnego na warunkach art. 23. Prawodawca unijny na jego podstawie zezwala państwom członkowskim na przyjęcie przepisów ograniczających, przewidzianych w rozporządzeniu praw i obowiązków administratorów oraz podmiotów przetwarzających, pod warunkiem zachowania kryteriów limitacyjnych, w szczególności – kryterium niezbędności.

Wdrożenie RODO w Polsce to proces powolny, na co wskazywało tempo prac legislacyjnych i przyjęcie całego pakietu nowelizacji aktów prawnych, trwające ponad pół roku od dnia stosowalności RODO. Lektura przepisów wskazuje, że choć prawodawca krajowy w niektórych obszarach dość precyzyjnie kształtuje reguły przetwarzania danych osobowych, to nadal dotyka nas stan niepewności prawnej. Poza tym przedsiębiorcy czekają na kodeksy postępowania lub mechanizmy certyfikacji, które mają stanowić istotną podpowiedź w zakresie prawidłowego stosowania RODO. Brak również wyjaśnień prawnych, co jest skutkiem styku stosowania RODO i tzw. dyrektywy policyjnej, mającej zastosowanie m.in. w wymiarze sprawiedliwości.

W mojej ocenie, sami administratorzy różnie sobie radzą ze stosowaniem przepisów. Obserwuję natomiast stały wzrost świadomości dotyczącej ochrony danych, co jest wstępem do przestrzegania standardów tu obowiązujących. Jestem w tej kwestii optymistką, choć jest jeszcze za wcześnie, by udzielić odpowiedzi na pytanie, czy poziom faktycznej ochrony jest zadowalający. Można będzie to ocenić obserwując m.in. egzekwowanie prawa przez organ nadzorczy i kształtowanie się orzecznictwa sądowego.

Skala informacji o człowieku przetwarzana przez podmioty publiczne i niepubliczne jest ogromna. W związku z tym przesunięciu ulegają granice prywatności. Poszerza się możliwość uzyskania informacji o danej osobie, choćby ze źródeł powszechnie dostępnych, jak np. poprzez obserwację aktywności osoby. Rozpowszechniło się korzystanie z Big Data, czyli ogromnych zbiorów różnorodnych i zmiennych danych, które są przetwarzane błyskawicznie dzięki zastosowaniu nowych technologii. Mechanizmy te umożliwiają szybkie wyciąganie wniosków, służących m.in. wprowadzaniu ulepszeń technologicznych i tworzeniu profili osobowych, co ułatwia z kolei działania marketingowe, obniża koszty związane z identyfikacją potencjalnego klienta i znajduje odzwierciedlenie finansowe w działalności przedsiębiorstw.

Sposób i zakres przetwarzania danych oraz brak kontroli nad podmiotami przetwarzającymi sprawia jednak, że przetwarzanie to jest również źródłem zagrożeń. W szczególności, gdy jest ono dokonywane w niewłaściwym celu, zakresie lub przez nieuprawnione podmioty. RODO jest neutralne technologicznie – co ma sprzyjać jego ponadczasowości, przedłużając aktualność niezależnie od zmian technologicznych – jednakże problem wydaje się leżeć gdzie indziej. Mianowicie, aby przepisy o ochronie danych były możliwe do wyegzekwowania, człowiek musi mieć świadomość, przez kogo i w jakim celu jego dane są wykorzystywane. Zwykle akceptuje przetwarzanie danych w związku z korzystaniem z usług społecznych, działalnością handlową, usługową etc. Jego obawę natomiast budzi informacja o wykorzystaniu danych dla osiągnięcia celów, np. politycznych. Przeciętny człowiek bowiem często nie ma wiedzy na temat możliwości technologicznych pozyskania informacji o nim, oraz sposobów ich wykorzystania. Problemem jest również to, czy posiadając wymagane informacje, osoba będzie wiedziała, jak skorzystać ze środków ochrony prawnej.

Prawie zawsze świadomość zbierania i przetwarzania danych w jakimś stopniu towarzyszy człowiekowi w obszarach życia prywatnego, zawodowego i społecznego. Aczkolwiek zdaje się  to wyglądać inaczej w sferach działalności państwa, w których, w związku z bezpieczeństwem, zapobieganiem przestępczości czy szerszym kryterium interesu państwowego, zbiera się informacje o obywatelach, ale nie zawsze się o tym informuje. Względy takiego ograniczania transparentności działania władzy są zrozumiałe, gdyż informowanie niweczyłoby wyznaczony do osiągnięcia cel lub – co najmniej – znacząco utrudniało osiągnięcie tego celu.  Z punktu widzenia RODO będziemy mieć do czynienia z możliwością stworzenia regulacji krajowej w oparciu o art. 23 ustawy. Wówczas państwo musi uznać za niezbędne i proporcjonalne stworzenie takiej regulacji. Przy czym owa „niezbędność”, uzasadniająca  ingerencję w prawa i obowiązki podmiotów objętych RODO, musi wynikać z reguł społeczeństwa demokratycznego. Z kolei „proporcjonalność” nakazuje ocenę zastosowanych instrumentów przez pryzmat podstawowych praw i wolności człowieka. Poza tym, należy mieć na względzie wyłączenia, czyli obszary, do których RODO nie ma zastosowania, gdyż albo procesy przetwarzania danych osobowych nie są poddane regulacji prawnej, albo są objęte innymi regulacjami. Chodzi o obszary określone w art. 2 RODO, zwłaszcza – bezpieczeństwa narodowego oraz działań dotyczących wspólnej polityki zagranicznej i bezpieczeństwa Unii Europejskiej. Dopuszczalność wykorzystywania instrumentów czy mechanizmów zbierania informacji o obywatelach oraz ocena legalności takiego działania wykraczają poza granice prawa ochrony danych osobowych. Sięgać zatem należy do zasad konstytucyjnych, przepisów regulujących fundamentalne prawa człowieka i obywatela oraz budujących zakres działania organów państwa lub organów UE.

Prywatność danych, która zależy również od nas

prywatność danych

Zdecydowanie ciekawie zapowiada się nasza przyszłość. Coraz więcej czasu spędzamy w cyfrowej rzeczywistości, więc zdecydowanie rynek analityki danych oraz ewentualny segment ich sprzedaży będzie dynamicznie się rozwijał. Zobaczymy, jak firmy będą podchodzić do poszanowania prywatności danych.

Przeczytaj również: RODO to prezent dla firm z USA i Chin.