Powielanie mitów o RODO wywołuje olbrzymie szkody

Artykuł
boRODO

Sądząc po nagłówkach portali, europejskie rozporządzenie o ochronie danych osobowych (RODO) ściągnęło na przedsiębiorców i klientów biurokratyczny koniec świata. Nie można normalnie wystawić faktury, przekazać danych klienta w ramach reklamacji, zawrzeć najprostszej umowy pośrednictwa bez podpisywania specjalnych klauzul. Nie można wywoływać pacjentów po nazwisku, sprawdzić listy obecności uczniów. „Bo RODO”.

Co takiego się zmieniło 25 maja, że czynności dotąd niebudzące kontrowersji stały się problemem? Odpowiedzi nie znajdziemy w RODO, bo ta regulacja nie wprowadza nowych zakazów i nie modyfikuje zasad obowiązujących przez ostatnie dwadzieścia lat. Zmiany dotyczą odformalizowania i uelastycznienia procedur – zamiast rejestrować zbiory danych i produkować dokumentację, ustawa nakazuje administratorom samodzielnie oceniać ryzyko.

Ostra reakcja na te reguły daje do myślenia. Być może problemem jest to, że polska kultura prawna jest zakorzeniona w tradycji kontynentalnej, która ceni kazuistyczne reguły, podczas gdy filozofia RODO jest bliższa kulturze anglosaskiej zakładającej ucieranie się standardów. A może jako społeczeństwo nie dojrzeliśmy do wzięcia odpowiedzialności za swoje decyzje i lepiej się czujemy, gdy ktoś – np. urzędnik – podejmuje je za nas? W tym kontekście eksplozję opisów „RODO-absurdów” można wyjaśnić potrzebą obarczenia winą za własne zagubienie – „absurdy” świetnie nadają się do odreagowania emocji, choć nie mają wiele wspólnego z treścią rozporządzenia.

Swoją cegiełkę do wypaczenia obrazu dołożyły media, którym bardziej opłaca się opublikować „dziesięć straszno-śmiesznych RODO-absurdów” niż jeden sensowny artykuł o nowych przepisach. RODO jako „wymysł unijnych biurokratów” trafiło też na trudny czas politycznego napięcia między polskim rządem a Brukselą i media prorządowe zakwalifikowały rozporządzenie do instrumentów wymierzonych w polską suwerenność, choć – paradoksalnie – jednym z celów reformy było ujednolicenie standardów z firmami spoza UE (szczególnie amerykańskimi), które dotąd korzystały z taryfy ulgowej.

Powielanie mitów i nieporozumień wywołuje realne szkody, bo przedsiębiorcy ponoszą niepotrzebne koszty i tworzą bezsensowne procedury, a zirytowani klienci – petenci, pacjenci, rodzice, uczniowie – czują, że Europa zrobiła im na złość. Tymczasem celem RODO nie było komplikowanie ludziom życia, ale oddanie im większej kontroli nad danymi. I jeśli przestaniemy się zajmować narzekaniem i mnożeniem absurdów, ten cel nadal można zrealizować.

Reforma nie spełni jednak swoich celów, jeśli świadomość opinii publicznej i działania instytucji publicznych – od Urzędu Ochrony Danych Osobowych po sądy okręgowe – pozostaną w tyle za założeniami. A takie rozjechanie obserwujemy teraz w Polsce, gdzie dyskutuje się o tym, jak „zgodnie z RODO” wystawić fakturę lub złożyć reklamację, w ten sposób podbijając fikcyjne problemy zamiast podjąć prawdziwe wyzwanie przestawienia złożonego, dynamicznie zmieniającego się ekosystemu usług cyfrowych na zasady minimalizacji, adekwatności i domyślnej ochrony prywatności.

Gospodarka oparta na danych jest systemem naczyń połączonych – nie wystarczy, że dobre praktyki pojawią się w sektorze portali informacyjnych i platform społecznościowych, bo potrzebujemy ich tam, gdzie nie docierają użytkownicy i PR-owa presja: po stronie brokerów danych, giełd dopasowujących reklamy do profili marketingowych. Praktyczne pytania brzmią: czy akceptujemy to, że platformy internetowe na podstawie obserwacji zachowań są w stanie dobrać reklamę tak, że na nią zareagujemy i kupimy coś, czego wcale nie potrzebujemy, albo coś potrzebnego kupimy drożej albo przewidzieć i wpłynąć na nasze zachowania, takie jak decyzje polityczne czy wybory życiowe?

Afera wyborcza z Facebookiem i Cambridge Analytica w rolach głównych oraz kolejne doniesienia o tym, jakie możliwości wpływania na zachowanie ludzi są rozwijane w cyfrowych laboratoriach firm z Doliny Krzemowej, pokazują, że w nieprzejmowaniu się danymi osobowymi jesteśmy raczej odosobnieni – i nie musimy wchodzić na pole walki politycznej, by dostrzec, że coś się nieodwracalnie zmieniło w traktowaniu naszej cyfrowej tożsamości. Wartość danych rośnie wraz z rozwojem możliwości ich analizowania i wyciągania użytecznych wniosków, ale zysk nie należy do nas – ta zależność działa na niekorzyść klientów i obywateli. Im większą wartość firmy przypisują danym, tym brutalniej są skłonne działać po to, by je dostać – przykładem to, że brak zgody na przetwarzanie danych w celach marketingowych oznacza droższy abonament telewizji kablowej.

Bez ochrony, jaką daje RODO, możemy się niepostrzeżenie obudzić w świecie, w którym nie będzie nas stać na zachowanie prywatności – a jeśli ten scenariusz się zrealizuje, problemem nie będzie to, że komercyjna firma lub instytucja publiczna zna nasze sekrety. Stawką nie jest wiedza, ale władza. Czy jesteśmy w stanie zaakceptować życie w społeczeństwie, w którym nasze szanse (przyjęcie dziecka do szkoły, dostanie pracy, przyznanie kredytu) i ograniczenia (szansa na zatrzymanie na lotnisku, blokada transakcji finansowej) nie wynikają z tego, kim jesteśmy, ale z tego, jak wygląda nasz cyfrowy profil? Jeśli się na to zgadzamy, rzeczywiście nie musimy się niczego obawiać, bo ten świat jest już za rogiem.

Katarzyna Szymielewicz

Tekst ukazał się 19 lipca 2018 r. na łamach Gazety Wyborczej.

Dzięki Twojemu wsparciu możemy szybko reagować na zagrożenia związane z wolnością i prywatnością. Wesprzyj nas!  Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

Pacjenta można wywołać na wiele różnych sposobóe, a przychodzimy tam głównie z chorobami. Wywołanie po imieniu i nazwisku do kardiologa to już dana medyczna. Ale zawsze można: pacjentka godziny ósmej trzydzieści, następny proszę.

Do tego, czy nie będzie problemu, gdy osobę będącą w trakcie korekty płci wywoła się danymi takimi jak są w dowodzie? Bardzo dobrze, że w końcu się to kończy, bo też nie mam zamiaru wszystkim w około się przedstawiać imieniem i nazwiskiem.

Należałoby się jeszcze zająć nagryweaniem rozmów, które służą tylko "polepszeniu kontaktu z petentem / pacjentem / klientem" i nie mają nic wspólnego z bezpieczeństwem, a zapytani jak długo są przechowywane nagrania i kiedy kasowane - nie umieją odpowiedzieć.

Cóż... Jest sporo straszących artykułów i o nich piszecie. Ale czy odczarowaliście coś? Nie. Napisaliście ze to propaganda i że wcale nie jest źle a rodo ma chronić... Ale ustawa o ochronie danych chroniła równie dobrze!
Rodo nie wnosi wiele nowego. Ale nakłada absurdalny obowiązek informacyjny. Po co? To tak samo mądre jak informacja o ciasteczkach.
Żadne prawo nie powinno mnie zmuszać do informowania kogoś o tym prawie. Prawo jest publikowane i powinno być znane. No ale Bruksela i rządy narodowe produkują tej makulatury tyle że nikt nie jest w stanie tego przetrawić.
Dalej w rodo nieścisłość jest sporo i niestety to rodzi problem. Nikt nie wie jakie środki są wystarczające i adekwatne.
RODO jest ustawą źle napisaną. Generuje dużo biurokracji nie zwiększając fizycznie bezpieczeństwa. Nie reguluje za to spraw trudnych jak np programy pocztowe. Jest wiele problemów których nikt nie podniósł a jedynie kazał zapewnić rozliczność i nie ma mądrych którzy by byli pewnie co i jak.
Dochodzi do tego że trzech prawników inaczej interpretuje tą dyrektywę a po rozmowie z działem IT idą na "jakiś kompromis" bo przecież trzeba do tego podejść rozsądnie.
Więc skoro twierdzicie że rodo jest ok to rozwiejcie wątpliwości i pokażcie jak go interpretować.
Przykład z dziećmi w szkołach. Fajnie dzieci sie znają wiec powiedzmy że problemu nie ma. Ale na korytarzu jest osoba postronna i słyszy jak nauczyciel wywołuje dziecko x. I co? I właśnie doszło do wycieku danych. Nieistotne? No a jeśli tą osobą jest pedofil który poszukuje tego dziecka bo wcześniej upatrzył sobie je w internecie? No to mamy poważnie zagrożone interesy dziecka. Co więcej wiedza o dzieciach w klasie daje nam kilka ścieżek ataku na konkretną osobę. Choćby prosty atak przez media społecznościowe gdzie chcemy się zblizyc do jakiejś osoby. Musimy najpierw stać się "przyjaciółmi" przyjaciół dziecka. Jeśli pedofil to za grubymi nićmi szyta intryga to może porwanie dla okupu... Wszyscy mówiący że nie ma problemu nie rozumieją że jest. Owszem to jest jakiś tam absurd ale on istnieje.
I jeśli ktoś mówi że dzieci można wywoływać bo przecież to ja właśnie udowodniłem ze to jest potencjalne źródło wycieku danych. Wyciek mogący bardzo zagrozić interesom konkretnej osoby.
I teraz jesli taka sytuacja zajdzie to mamy podstawy do nałożenia na szkołę kary...

Jeśli ktoś do mnie wyśle mail mam go informować o tym że przetwarzam jego dane? A jeśli nie zauważę tego maila?
Itd itp...
Fajnie jest napisać że rodo jest demonizowane. Gorzej jak się podchodzi do konkretnych problemów i trzeba je rozwiązać.
Choćby coś tak prostego jak jedna firma która składa się z 10 podmiotów. Nierzadkie i całkowicie przeźroczyste dla klienta ale kolosalny problem z punktu widzenia rodo.
A najśmieszniejsze jest to ze ustawa nie wyeliminowała handlu danymi ich kradzieży i innych patologii w postaci losowania nr na który dzwonią. :D Było wprowadzić kary za nieuprawnione używanie danych których się nie pozyskało w konkretnym celu... ale po co łapać złodzieja jak można łapać okradanych? To jest główna wada rodo. Wprowadza olbrzymie kary za bycie okradzionym... A jak łatwo jest zabezpieczyć dane widać po gigantach którzy ciekną danymi a przecież wydają na ochronę tych danych sporo kasy.

Widzę artykuł w stylu „GDPR jest dobre, bo część krytyki wobec GDPR jest nieuzasadniona”…
Wciąż można komuś podać do podpisania papierek, który pozbawi prywatności tę osobę… A jeżeli ktoś tak do tego podchodził od wielu lat (odpowiednie ustawy od lat w Polsce istnieją), raczej nie będzie teraz korzystał z „prawa do bycia zapomnianym”…

"A może jako społeczeństwo nie dojrzeliśmy do wzięcia odpowiedzialności za swoje decyzje i lepiej się czujemy, gdy ktoś – np. urzędnik – podejmuje je za nas? W tym kontekście eksplozję opisów „RODO-absurdów” można wyjaśnić potrzebą obarczenia winą za własne zagubienie – „absurdy” świetnie nadają się do odreagowania emocji, choć nie mają wiele wspólnego z treścią rozporządzenia."

RODO jest skomplikowane, niejasne i przewiduje słone kary. Z mojego doświadczenia: konsultowaliśmy polityki z prawnikami z renomowanych kancelarii i ich zalecenia prowadziły do absurdalnych procedur. W tym wypadku wybór pomiędzy absurdami zalecanymi przez prawników a pójściem "na czuja" widzę jako dość prosty na korzyść absurdów. Nie jest to niedojrzałość społeczna. Innymi słowy artykuł sugeruje, że skoro prawo zaaplikowane w społeczeństwie prowadzi do absurdów, to jest wina społeczeństwa, a nie prawa. No cóż...

Ja tam widzę pozytywne rzeczy w obowiązku informacyjnym. Przynajmniej wiem jakie dane i po co są przetwarzanie.

To szpitale/gabinety/lekarze nagrywają rozmowy z pacjentami???????????? - TAK, zadzwoń sobie do przychodni Enelmed czy do Alfa-lek. Jeszcze się tym chwalą.

"przykładem to, że brak zgody na przetwarzanie danych w celach marketingowych oznacza droższy abonament telewizji kablowej."
Równie powszechne: również atrakcyjniejsze oferty banków (kont i depozytów) są od zgód marketingowych uzależniane. Można oszacować, ile w konkretnym przypadku za nasze dane są skłonne zapłacić. Niestety, gdy wypłyną w świat trudno nad nimi zapanować.

Dodaj komentarz