Ochrona danych potrzebuje ostrzejszych zębów

Notoryczne wycieki z baz danych firm, które uchodzą za technologicznych liderów; postępująca integracja kolejnych usług; agresywny marketing z wykorzystaniem naszej lokalizacji czy prywatnych zdjęć; regulaminy zmieniające się szybciej niż jesteśmy je w stanie ze zrozumieniem przeczytać. To nasza cyfrowa codzienność. Nie ma wątpliwości – Europa musi wreszcie powiedzieć „dość!” rabunkowej eksploatacji danych, w której prym wiodą amerykańscy giganci. Ochrona danych potrzebuje ostrzejszych zębów! A recepta na to, jak ją wygenerować, jest zaskakująco prosta. Czas na zmiany, czas na nowego superbohatera.

Koniec stycznia to w Panoptykonie tradycyjnie czas upływający pod znakiem danych osobowych – angażują nas konferencje, debaty i kampanie organizowane z okazji Międzynarodowego Dnia Ochrony Danych Osobowych (28 stycznia). W ubiegłym roku – niesieni wzburzoną przez Edwarda Snowdena falą i rozczarowani brakiem reakcji ze strony rządzących – proponowaliśmy Wam wzięcie spraw w swoje ręce. Tak powstał poradnik „Prywatność – zrób to sam”, który niezmiennie polecamy (już w nowej wersji!). W tym roku przypominamy – i sobie, i Wam – że sama technologia nie wystarczy. Systemowa zmiana wymaga jeszcze co najmniej dwóch czynników: odpowiedniej regulacji i społecznego zapotrzebowania na prywatną, bezpieczną komunikację.

Jak obejść europejskie standardy? Wystarczy trzymać dane na zagranicznym serwerze.

O popycie na rozwiązania gwarantujące lepsze traktowanie naszych danych decydujemy sami – jeszcze mamy wybór i drogę odwrotu od usług opartych na komercjalizacji prywatności. Zmiana sieci społecznościowej i nawyków komunikacyjnych jest jednak dość wysoką ceną. Dlaczego musimy ją płacić, skoro żyjemy w kraju i na kontynencie, które szczycą się wysokim standardem ochrony prywatności? Dlaczego nie jesteśmy w stanie wyegzekwować od amerykańskich firm poszanowania zasad, do których od lat stosują się lokalne przedsiębiorstwa? To proste: obowiązujące prawo jest skonstruowane tak, że wystarczy przetwarzać dane na zagranicznym serwerze, a oficjalną siedzibę spółki trzymać z dala od Unii Europejskiej, żeby je z łatwością obejść.

Europejskie ograny odpowiedzialne za egzekwowanie prawa o ochronie danych osobowych (w Polsce tę funkcję pełni Generalny Inspektor Ochrony Danych Osobowych) mają niewiele do powiedzenia w sprawie praktyk stosowanych przez firmy, które oferują najpopularniejsze usługi internetowe. A nawet jeśli mają – tak jak irlandzki odpowiednik GIODO, którego jurysdykcji podlega europejskie wcielenie Facebooka – z tej władzy korzystają bardzo ostrożnie. Przekonał się o tym Max Schrems, który w 2011 r. wytoczył Facebookowi głośną sprawę o naruszenie europejskiego prawa i do dziś nie doczekał się rozstrzygnięcia. Osób, które doświadczyły krzywdy i materialnych strat w związku z powtarzającymi się wyciekami danych, kradzieżą tożsamości czy naruszeniem prywatności na portalach społecznościowych, są jednak miliony. Skala problemu nie pozostawia złudzeń: wyhodowaliśmy potężną gałąź biznesu, która żyje z rabunkowej eksploatacji naszych danych.

Prof. Ewa Łętowska – pierwsza Rzecznik Praw Obywatelskich, była sędzia Trybunału Konstytucyjnego, która sama niedawno doświadczyła kradzieży tożsamości na Facebook’u (jej sprawę opisała „Gazeta Wyborcza”) – tak podsumowuje sytuację, w której znaleźliśmy się jako obywatele i konsumenci:

„Oczywiście można twierdzić, że nikt nikogo nie zmusza do korzystania z FB, że przecież klika się zgodę na warunki korzystania z serwisu. Problem w tym, że klikamy bez zrozumienia, bo nawet gdybyśmy warunki tej umowy uważnie przeczytali, są tak niejasne, że formalne przeczytanie nic nie da. Cała europejska filozofia ochrony konsumenta wyrzeka się fingowanej, rzekomej zgody, a tymczasem FB to podręcznikowy przykład umowy adhezyjnej («wszystko albo nic»). W przypadku takich umów prawo wymaga elementarnej przejrzystości zasad funkcjonowania usługodawcy, stosowanych przez niego procedur, reguł rozpatrywania reklamacji. To wszystko w wypadku FB jest – prawem kaduka, a raczej silniejszego – skrupulatnie ukrywane (nawet przed dziennikarzami!) pod pozorem «tajemnicy handlowej»”.

Wyjście z impasu prowadzi przez reformę europejskiego prawa i wzmocnienie roli GIODO.

Wyjście z tego impasu prowadzi przez reformę europejskiego prawa, którą już trzeci rok mielą tryby legislacyjne w Brukseli i Strasburgu. Sama recepta nie wydaje się jednak skomplikowana: wystarczy zmienić zasady jurysdykcji (tak, aby tym samym zasadom podlegały firmy europejskie i zagraniczne), uprościć procedurę wnoszenia skarg (punktem kontaktowym dla obywatela zawsze powinien być lokalny organ, taki jak GIODO) i dać organom egzekwującym prawo mocne argumenty w rozmowie z globalnymi korporacjami – sankcje na poziomie, który jest w stanie zdyscyplinować nawet największe korporacje (np. 5% globalnego obrotu, co przekłada się na setki milionów euro).

Jeśli Rada Europejska w najbliższych miesiącach wypracuje wspólne stanowisko i zgodzi się na główne założenia reformy (niemałą rolę w tym procesie mają do odegrania Donald Tusk i polski rząd), nasza pozycja negocjacyjna w stosunku do internetowych gigantów zmieni się nie do poznania. Dlatego – z okazji Międzynarodowego Dnia Ochrony Danych Osobowych – zapraszamy Was do innego spojrzenia na organ, który już za chwilę może się stać potężnym sprzymierzeńcem w tych negocjacjach. Poznajcie GIODO – dziś zapracowanego urzędnika z wiecznie uciskającym budżetem, jutro – superbohatera walczącego z cyberkorporacjami.

Katarzyna Szymielewicz

Szerzej o wyzwaniach związanych z ochroną prywatności i pomysłach na ich rozwiązanie piszemy na łamach tygodnika „Polityka”.

INFOGRAFIKA (PDF)