Mówi się, że dane osobowe to ropa XXI wieku. W czasach stanów klęski żywiołowej mogą służyć także do zapewnienia bezpieczeństwa obywatelom. Na co zwracać uwagę przy udostępnianiu informacji na swój temat, jakie zmiany prawne mogą nas czekać na tym polu w najbliższym czasie i jak przygotowane są na nie polskie firmy? O tym rozmawiamy z Przemysławem Chąciakiem, Inspektorem Ochrony Danych.
Przez lata ochrona prywatności była żadna. Wszystkie organizacje robiły z naszymi danymi tak naprawdę co chciały i nie gwarantowały na tym polu bezpieczeństwa Swobodny dostęp do wszystkich danych przez prywatne organizacje stwarza więcej zagrożeń niż korzyści
Każda organizacja powinna indywidualnie zdefiniować swoje zagrożenia, bowiem ma inny cel biznesowy, jest na innym etapie rozwoju, dysponuje innym kapitałem i możliwościami, działa na innych rynkach z różnymi produktami, posiada swoją konkurencję, a także ma inną kulturę organizacyjną. Musimy pamiętać, że udostępnianie danych osobowych nie zawsze wynika z procesu biznesowego, może również wynikać z przepisów prawa, wówczas jest obowiązkowe (np. instytucje publiczne lub organy ścigania), tak więc jeśli robimy to dobrze, zgodnie z kalkulacją ryzyka, to niebezpieczeństwo staje się znikome.
Dane osobowe w dobie pandemii
Jak będzie wyglądała kwestia prywatności w świecie po COVID-19?
Tak naprawdę to ciężko odpowiedzieć na to pytanie w krótki sposób, na to można byłoby poświęcić cały wywiad. Jak widać po tym, co się dzieje, cyberprzestępcy nie śpią i wykorzystują COVID-19 do swoich celów, włamując się na serwery, kradnąc prywatne dane użytkowników czy wyłudzając pieniądze pod pretekstem walki z pandemią. W UE obowiązuje RODO, które normuje kwestie związane z ochroną prywatności i moim zdaniem przynajmniej w Europie świadomość się nie zmieni i wszystko powróci do normy, a może i będzie lepiej, bo obecnie panująca sytuacja daje również czas administratorom na przemyślenia i zmianę swojego podejścia do tego tematu. Wbrew pozorom to właśnie stan pandemii spowodował większe zainteresowanie kwestią cyberbezpieczeństwa, wynika to głównie z konieczności wprowadzenia pracy zdalnej i wiążących się z tym faktem stosownych i adekwatnych wymogów technicznych i organizacyjnych.
Czy słyszał pan o systemie „digital fence”, który został wprowadzony przez rząd w Tajwanie do monitorowania osób w kwarantannie?
Tylko tyle, ile udało mi się dowiedzieć z doniesień medialnych. To system, który identyfikuje miejsce pobytu danej osoby na podstawie położenia jej telefonu komórkowego względem pobliskich nadajników. System służy przede wszystkim do monitorowania osób przebywających w kwarantannie, ale jednocześnie służy on do alarmowania właściwych służb o przypadkach łamania kwarantanny. Twórcy systemu przekonują, że system chroni prywatność użytkowników, ale jednocześnie zaspokaja potrzeby monitorowania ich jako sposobu walki z rozprzestrzenianiem się pandemii COVID-19.
Czy z punktu widzenia europejskiego prawa byłoby to już pogwałcenie prywatności?
Nie do końca, Europejska Rada Ochrony Danych wydała oświadczenie w sprawie przetwarzania danych podczas pandemii COVID-19 obejmujące m.in. temat przetwarzania danych szczególnych kategorii. RODO pozwala właściwym organom ds. zdrowia publicznego na przetwarzanie danych osobowych w kontekście epidemii w sytuacji, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. Co więcej, państwa mają prawo do takich działań, jeśli wprowadzą właściwe przepisy wewnętrzne oraz będą minimalizować ingerencję w życie prywatne. Zatem wszystko zależy od zmian w przepisach prawa. EROD (Europejska Rada Ochrony Danych) stwierdza, że programy tego typu powinny mieć charakter dobrowolny, wykorzystywać jak najmniejszą ilość danych i nie powinny umożliwiać śledzenia przemieszczenia się osób, lecz raczej wykorzystywać informacje o bezpośrednich kontaktach użytkowników. Tutaj pragnę podkreślić, iż RODO jest dokumentem przygotowanym z myślą o wielu aspektach, w ramach których dochodzi do przetwarzania danych osobowych.
Czy przypadkiem jako społeczeństwa nie zagalopowaliśmy się w tym dążeniu do schlebiania indywidualizmowi? Każdy może decydować o najmniejszych detalach swoich danych. Ale przecież każdy z nas jest częścią większej zbiorowości, nie żyjemy na pustyni, zatem czy to niekiedy nie jest w sprzeczności z bezpieczeństwem zbiorowości? Czy aktualna sytuacja nie obnaża boleśnie niedoskonałości przyjętego modelu?
Przez lata ochrona prywatności, czyli naszych danych osobowych, w sumie była żadna. Wszystkie organizacje robiły z naszymi danymi tak naprawdę, co chciały, i nie gwarantowały na tym polu bezpieczeństwa, więc ja uważam, że na gruncie przepisów RODO to dobrze, że możemy indywidualnie podchodzić do tematu naszych danych. Oczywiście występują pewne niedoskonałości chociażby w zakresie właściwych przepisów prawa krajowego gwarantujących ich przestrzeganie. Musimy pamiętać, że nie tylko RODO reguluje kwestie prywatności w sieci, mamy również szereg przepisów krajowych w tym zakresie i to od kierunku tych zmian będą uzależnione mechanizmy dotyczące przetwarzania danych osobowych w systemach informatycznych lub potocznie w sieci.
Czy wraz z perspektywą nowych zagrożeń, zarówno tych biologicznych, jak i klimatycznych, model zarządzania danymi obywateli będzie dryfował w stronę cyfrowego nadzoru – aplikacje z trackingiem, rozpoznawanie twarzy – by rządy mogły szybko reagować w sytuacjach awaryjnych?
Biorąc pod uwagę rozwój technologii, to jest to całkiem możliwe, ale ważne jest, aby zastosowane systemy były wykorzystywane we właściwych celach i aby były one właściwie zabezpieczone. Już dzisiaj na terenie Polski stosowane są kamery pomagające np. policji w śledzeniu ruchu pojazdów czy wykrywaniu przestępców. Ważne jest to, aby takie systemy były wykorzystywane wyłącznie do zapewnienia bezpieczeństwa obywateli.
A co z sektorem prywatnym? Czy swobodniejszy dostęp firm do danych klientów nie pozwoliłby im lepiej realizować potrzeb klientów? Automatyzacja zamówień, precyzyjniejsze dopasowanie, alerty mogłyby służyć tzw. wyższym celom – wyobrażam sobie sytuację, w której apteka dostarcza seniorowi odpowiednie leki na czas, kiedy on zmuszony jest zostać w domu, aplikacja turystyczna ostrzega przed zagrożeniami występującymi w określonym kraju, kiedy wie, że chcę wybrać się tam na wakacje…
Jasne, ale przecież już dzisiaj można korzystać z tego wszystkiego, o co pan pyta. Każdy ma prawo decydować o swoim losie i o swoich danych poprzez wyrażenie zgody na tego rodzaju działania, dzięki czemu nie widzę żadnych ograniczeń w możliwości dostarczania leków na czas seniorowi. Problem raczej tkwi w czymś innym. Po pierwsze, kiedyś (przed RODO) wszyscy (prawie) robili tego rodzaju rzeczy, nikogo nie pytając o zgodę, a teraz, kiedy się zmieniła rzeczywistość, nie każdy potrafi sobie z tym poradzić. Dodatkowo dochodzi do tego kwestia cyberbezpieczeństwa. Pamiętajmy, że wiele danych przetwarzanych cyfrowo już teraz jest wykorzystywanych nielegalnie, np. do zaciągania na kogoś pożyczek, więc swobodny dostęp do wszystkich danych dla prywatnych organizacji stwarza więcej zagrożeń niż korzyści.
Ochrona danych osobowych
Czy nie jest tak, że mimo tych wszystkich akcji uświadamiających w zakresie prywatności, powziętych regulacji prawnych, i tak nasze dane krążą niczym rój komarów czyhających na ofiarę w mazurskich zaroślach?
I tu znowu wracamy do rzeczywistości. Fakt, akcje uświadamiające są, jednak (niestety dotyczy to wszystkich grup wiekowych) wiele osób nadal nie jest do końca zainteresowanych tym, co się dzieje z ich danymi, oczywiście do czasu, kiedy nie wydarzy się z nimi coś złego. Często spotykana jest również sytuacja, w której użytkownicy serwisu WWW rezygnują z danej czynności z uwagi na silne zabezpieczenia (trudne hasło czy wieloetapowa weryfikacja), w innym przypadku dla skorzystania ze świetnej promocji wiele osób udostępni swoje dane osobowe komukolwiek, bez przeczytania regulaminów, klauzul informacyjnych itp., a potem są one zdziwione, że ich dane krążą nie wiadomo gdzie.
Wraz z upowszechnianiem technologii głosowych ten zbiór będzie się jedynie powiększał?
Tak, ale jak wspominałem wcześniej, wszystko zależy od nas samych i od tego, na co się zgadzamy, co i komu powierzamy. Zdecydowana większość rozwiązań od Google’a lub Facebooka uzależniona jest od naszych decyzji, a nie ze względu na budowę danej aplikacji. Na pewno przykładem takiej sytuacji jest komunikat naszego urządzenia mobilnego w chwili, gdy uruchomimy aplikację Google Maps, czyli „Google chce użyć informacji o Twoim położeniu, czy chcesz zezwolić”. Inny przykład to dodawanie zdjęć na Facebooku, wówczas aplikacja również pyta nas o zgodę na dostęp do biblioteki zdjęć.
Wszystkie nowoczesne i przydatne aplikacje, jak również rozwiązania systemowe przygotowywane są w taki sposób, aby to użytkownik decydował, w jakim zakresie chce wykorzystać dostępne opcje, kluczowe w tym zakresie jest jednak czytanie regulaminów, bo jeśli gdzieś ukrywa się przysłowiowa gwiazdka, to właśnie tam.
RODO w firmie
A co z polskimi firmami, ile z nich na dziś spełnia wymogi RODO?
Dziś w Polsce trudno wskazać kogoś, kto jest w 100 proc. zgodny z RODO. Z danych statystycznych wynika, że ok. 68 proc. firm nie jest przygotowanych do RODO, ale ok. 28 proc. firm deklaruje pełną gotowość. Należy jednak pochwalić tych, którzy pomimo napotykanych trudności podejmują wysiłek dostosowania swojego biznesu do obecnej rzeczywistości wynikającej z Ogólnego Rozporządzenia o Ochronie Danych.
Jakie kryteria musi spełnić organizacja, jeśli zbiera dane i zamierza je przetwarzać?
Przede wszystkim musi być świadoma tego, co robi. Ogólne Rozporządzenie o Ochronie Danych w obecnej formie zmusza do samodzielnego myślenia i podejmowania właściwych decyzji. Jeżeli nie jesteśmy gotowi, nie mamy fachowej wiedzy, to powinniśmy skorzystać z porad specjalistów w tej dziedzinie, bo każda organizacja jest inna i nie ma jednego słusznego szablonu dla każdego. Podstawowym kryterium jest przestrzeganie zasad takich jak minimalizacja danych, przetwarzanie w określonym celu, a także innych zasad wynikających wprost z art. 5 RODO. Pamiętajmy, że ten akt to nie tylko „coś złego, niezrozumiałego”, jak twierdzi wielu przedsiębiorców, ale może być również „szansą” dla organizacji na prowadzenie biznesu nastawionego na bezpieczeństwo klienta.
Na koniec kilka porad dla zwykłego użytkownika – na co powinien głównie zwracać uwagę podczas korzystania z aplikacji internetowych, by czuć się spokojnym o swoje dane?
Najprościej mówiąc, należy do każdej aplikacji podchodzić, kierując się tzw. zasadą ograniczonego zaufania. Jeśli dzisiaj dopiero co kogoś poznaliśmy, to nie podawajmy mu swoich danych teleadresowych. Zastanawiajmy się, jakie zamieszczamy treści i kogo czy czego one dotyczą. Choć to trudne (bo długie, męczące, itp.), pamiętajmy, aby zapoznać się z regulaminami, zanim podamy, wpiszemy jakiekolwiek dane, bo „internet sam nie zapomina” i raz zamieszczone informacje zostają w sieci. Pamiętajcie o ustawieniach prywatności w programach, z których korzystacie. Nie pobierajcie plików od nieznanych dostawców, nie podawajcie danych do logowania obcym osobom. Stosowanie prostych czynności spowoduje zwiększenie naszego bezpieczeństwa, a także ograniczy przesyłanie i wykorzystywanie danych przez osoby obce.
Rozmawiał Bartosz Maz.
Jeśli zainteresował Cię ten artykuł, przeczytaj także o cyfrowym prawie.
Komentarze do artykułu