28 stycznia 2020 roku obchodzony jest 14. Dzień Ochrony Danych Osobowych, stanowiący znakomitą okazję do rozmowy na temat naszej prywatności. W dobie rodzącej się e-administracji, bankowości internetowej, popularnych zakupów w sieci czy marketingowej pomysłowości firm coraz większą wartość mają informacje o nas. O tym, dlaczego nie powinniśmy się obawiać przetwarzania naszych danych, mówi dr hab. Mariusz Jagielski, prof. UŚ, pełnomocnik rektora ds. ochrony danych osobowych.
|Małgorzata Kłoskowicz|
Chyba nie ma w Polsce osoby, która nie słyszałaby o RODO. Rzadko się też zdarza, aby wchodzące w życie przepisy były tak odczuwalne w codziennym życiu. Gdy w maju 2018 roku weszło w życie ogólne rozporządzenie o ochronie danych osobowych, na przykład na stronach internetowych zaczęły pojawiać się wyskakujące okienka domagające się wyrażenie zgody na przetwarzanie naszych danych. Czas oczekiwania na połączenie z konsultantem wydłużył się o informację, kto jest ich administratorem. W przychodniach nie jesteśmy już wzywani po nazwisku, lecz nadawany jest nam numer… Sporo tych zmian.
Być może zaskoczy Panią to, co powiem. Otóż wspomniane przez Panią przykłady nie powinny się pojawić wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych w maju 2018 roku. Kwestie te ujęte były we wcześniejszych ustawach regulujących ten obszar prawa i obowiązywały mniej więcej od dwudziestu lat. RODO jest efektem ewolucji tych przepisów i zostało w mediach przedstawione jako akt wymuszający stosowanie przepisów prawa i wprowadzający wysokie sankcje za ich nieprzestrzeganie. Okazuje się, że dopiero wtedy wiele podmiotów przetwarzających dane osobowe podjęło szereg działań służących m.in. spełnieniu obowiązku informacyjnego i rzeczywistej ochronie tych danych.
Co wobec tego, poza ryzykiem nałożenia sankcji, pociągnęło za sobą wejście w życie RODO?
Wcześniejsze podejście ustawodawców było bardziej formalistycznie. Trzeba było spełnić pewne formalne wymogi, nie do końca jednak wiedzieliśmy, czyje interesy są tak naprawdę chronione. RODO to propozycja nowej filozofii opartej na podejściu privacy by design. W praktyce oznacza to, że ochrona danych osobowych zaczyna się już w momencie projektowania każdego działania i jest realizowana z myślą o dobru człowieka, o tym, aby nie wyrządzić komuś szkody.
Myśląc zatem o jakimkolwiek przedsięwzięciu, musimy zadać sobie pytanie, czy będziemy przetwarzać dane osobowe – jakie, w jakim celu i w jaki sposób. Jeśli dostrzegam ryzyko, muszę również zaplanować działania minimalizujące je. To dotyczy każdego podmiotu: urzędów, uczelni, przedsiębiorców itd.
Przetwarzać, czyli…
…przeprowadzać jakikolwiek rodzaj operacji na naszych danych osobowych, w tym gromadzić, przechowywać, analizować czy udostępniać dane.
Absolutną podstawą jest w tym przypadku obowiązek informacyjny. Ja powinienem wiedzieć, że ktoś w określonych celach moje dane przetwarza oraz mieć świadomość korzyści i ryzyka. A zatem mam prawo zgodzić się lub nie wyrazić zgody, zaktualizować dane, a także poprosić o ograniczone przetwarzanie lub całkowite ich usunięcie.
Z jednej strony miejmy świadomość, że warto chronić swoją prywatność, z drugiej – pamiętajmy, że dane osobowe przetwarzane są jednak w naszym interesie.
Powinniśmy zatem chcieć, aby dane były przetwarzane przez różne podmioty?
Brak takiej możliwości zwyczajnie nam się nie opłaca. Czy jesteśmy sobie w stanie dziś wyobrazić świat bez wirtualnego dostępu do naszego konta bankowego, bez zakupów w sieci, bez karty kredytowej, bez dostępu do mediów społecznościowych czy bez możliwości załatwiania spraw w e-urzędach? Całkowity sprzeciw przeciwko przetwarzaniu danych osobowych jest dziś równoznaczny z cyfrowym wykluczeniem.
Niektóre podmioty na przykład po zakończonej transakcji nadal przechowują nasze dane, nawet jeśli poprosimy o ich usunięcie…
Firmy mają zobowiązania chociażby względem urzędu skarbowego i pewne informacje o przeprowadzonych transakcjach muszą przechowywać przez pięć lat. Nie mamy zatem wpływu na tego typu dane, których przetwarzania wymaga od przedsiębiorcy podmiot zewnętrzny na mocy przepisów dotyczących sprawozdawczości finansowej. Nie dotyczy to oczywiście ich działalności marketingowej.
Są firmy, które oferują na przykład zniżkę abonamentową w zamian za wyrażenie zgody na przetwarzanie danych w celach marketingowych. Nasze dane najwyraźniej mają konkretną rynkową wartość…
Z tą kwestią wiąże się ciekawe pytanie. Czy informacja o danych osobowych to nasze prawo do prywatności czy wymierna wartość finansowa? Okazuje się, że firmy słono płacą za bazy danych. Szukają też innych rozwiązań, takich jak wspomniane przez Panią promocje. Możemy zatem oddać naszą prywatność za 10 zł miesięcznie. Gdy ludzie zrozumieją, jakie są konsekwencje wyrażania tego typu zgód, wówczas cena danych powinna pójść w górę. Takie są prawa rynku.
O tych konsekwencjach niewiele się jednak mówi.
Jednym z przykładów jest tak zwane profilowanie klienta. Często aplikacje, z których możemy korzystać za darmo, gromadzą i analizują dane o naszych działaniach podejmowanych w sieci. W konsekwencji użytkownicy różnych urządzeń mobilnych są na tej podstawie odpowiednio profilowani, co skutkować może na przykład wyświetlaniem się wyższych lub niższych cen tego samego produktu w popularnych serwisach porównujących ceny lotów, hoteli, sprzętu elektronicznego itd. Programy komputerowe wiedzą, ile jesteśmy skłonni zapłacić.
Nie zapominajmy także o ryzyku związanym z atakami hakerskimi na bazy zawierające nasze dane osobowe. Podstawą, jak zwykle, jest wiedza. Tę kwestię również regulują przepisy z zakresu ochrony danych osobowych, w tym RODO.
Boleśnie przekonał się o tym jeden z polskich serwisów internetowych, który musiał poinformować swoich klientów o wycieku danych, otrzymał również rekordową karę nałożoną przez Urząd Ochrony Danych Osobowych…
Po otrzymaniu takiej informacji powinniśmy rozważyć zmianę hasła do naszej skrzynki pocztowej lub nawet jej usunięcie, w niektórych przypadkach zastrzec kartę debetową i kredytową w banku, powiadomić znajomych, aby byli wyczuleni na nietypowe wiadomości otrzymywane z naszej skrzynki czy profilu w mediach społecznościowych. Informacja jest kluczem.
Możemy też przypuszczać, że nagłośniona historia serwisu sprawi, że ten i inne podmioty sprawdzą swoje zabezpieczenia i je wzmocnią.
Na koniec chciałabym jeszcze zapytać o absurdy, o których czasem słyszymy w mediach, a które są związane z niewłaściwą interpretacją przepisów RODO. Czy któraś z tych historii szczególnie utkwiła Panu Profesorowi w pamięci?
Tego typu absurdalne przypadki wynikają przede wszystkim ze strachu przed tym, że zostanie się ukaranym – lecz nie za naruszenie przepisów prawa, lecz wyobrażenie o tym, za co możemy być ukarani.
Chyba najgłośniejsza sprawa dotyczyła zamknięcia jednego z polskich cmentarzy. Znajdowały się tam pomniki z danymi osób, które za życia wykupiły sobie miejsce na cmentarzu. Administrator uznał, że dopóki nie uzyska ich zgód na przetwarzanie danych osobowych, nikogo nie wpuści na teren nekropolii. Ten absurd trwał trzy dni.
Inna głośna sprawa dotyczyła szkoły, w której zakazano odczytywania na głos listy obecności uczniów zawierającej ich imiona i nazwiska.
Najbardziej rozśmieszyła mnie oferta reklamowa niszczarki do dokumentów… zgodnej z RODO.
Podstawą jest więc wiedza i właściwe interpretowanie przepisów. Kiedyś dr Wojciech Wiewiórowski, pełniący aktualnie funkcję Europejskiego Inspektora Ochrony Danych Osobowych, powiedział, że RODO zostało opracowane tak, aby uporządkować i ucywilizować przetwarzanie danych osobowych. To stwierdzenie prawdopodobnie najlepiej oddaje sens obowiązującego rozporządzenia.
Bardzo dziękuję za rozmowę.