Prywatność w pięciu smakach, czyli ABC reformy ochrony danych

Artykuł

Mija właśnie rok od ogłoszenia przez Komisję Europejską projektu kompleksowej reformy prawa ochrony danych osobowych. Zmiany w obecnych przepisach są obiektywnie konieczne, a stawka naprawdę wysoka – w końcu chodzi o naszą prywatność. Akty prawne, które regulują zasady ochrony danych osobowych, pochodzą jeszcze z lat 90. i po prostu nie mają szans nadążyć za dynamicznym rozwojem technologii. Najbardziej cierpimy na tym my – obywatele społeczeństwa informacyjnego, którzy dawno utracili kontrolę nad przepływem swoich danych. Tak nie musi być. Odpowiedzią na ten stan rzeczy jest nowy projekt rozporządzenia o ochronie danych osobowych, nad którym trwają prace w Unii Europejskiej.

Projekt liczy ponad 100 stron i dotyczy bardzo skomplikowanej materii. Jego szczegółową analizę opracowaliśmy wspólnie z grupą międzynarodowych ekspertów i opublikowaliśmy na blogu. W tym miejscu przedstawiamy tylko pięć powodów, dla których warto zainteresować się reformą. Oto subiektywny wybór najważniejszych, pozytywnych (!) zmian, na jakie możemy liczyć, jeśli zaproponowany przez Komisję Europejską projekt rozporządzenia wejdzie w życie.

Statystyka na podstawie wróżenia z fusów, czyli profilowanie

Czy na podstawie naszych danych osobowych da się określić np. jaki produkt chcielibyśmy kupić? Albo że powinniśmy zostać poddani dokładniejszej kontroli na lotnisku? Przypomina to trochę wróżenie z fusów, cieszy się jednak ogromną popularnością wśród firm. Profilowanie, bo o nim mowa, oznacza zbieranie i wykorzystywanie informacji na nasz temat po to, żeby zbudować pewne założenia na temat naszej osobowości i przyszłych zachowań.

Na podstawie tak skonstruowanych profili są podejmowane ważne dla nas decyzje (np. o przyznaniu ubezpieczenia lub kredytu). Profil to nasz obraz w oczach firm, do którego dopasowywane są reklamy produktów i usług. Często mówi się nam, że to cywilizacyjny postęp, skoro dzięki profilowaniu i reklamy i same usługi mogą być „szyte na miarę”. Mało kto zdaje sobie sprawę z tego, że jako indywidualizacja jest nam sprzedawana czysta statystyka, która często bywa zawodna – żaden algorytm nie jest przecież nieomylny. Profilowanie to prosta droga do wykluczenia i utrwalania stereotypów; nie zostawia miejsca ani na oryginalność, ani na osobowość.

W tym systemie ignorowane są realne problemy: wpływ na naszą prywatność i ryzyko dyskryminacji, która często bywa skutkiem profilowania. I choć unijny projekt rozporządzenia nie jest pod tym względem idealny, z pewnością stanowi krok we właściwym kierunku. Ograniczone ma zostać nie tyle samo profilowanie, co możliwość podejmowania decyzji w oparciu o ten mechanizm. Mamy szansę na konkretne gwarancje ochrony przed dyskryminacją i podejmowaniem decyzji wyłącznie w oparciu o to, co na nasz temat podpowiada algorytm. Każdy z nas ma ponadto otrzymać prawo do informacji oraz prawo sprzeciwu wobec takich praktyk.

Standard zamkniętych drzwi, czyli domyślna ochrona danych

Wychodząc z domu, zwykle sami musimy pamiętać o zamykaniu drzwi na klucz. Podobnie w Internecie – jeśli sami nie zadbamy o odpowiednie zabezpieczenia, nikt nie zrobi tego za nas. Gdy rejestrujemy się na portalu społecznościowym, to do nas należy właściwe dostosowanie ustawień prywatności i decyzja, jakie informacje na swój temat chcemy udostępnić. Na starcie dostajemy dom z wieloma otwartymi drzwiami, do których musimy odnaleźć klucze. Firmy nie ułatwiają nam zadania – wygodniejsze, i z pewnością bardziej opłacalne, są dla nich takie domyślne ustawienia, dzięki którym mogą uzyskać dostęp do większej ilości danych osobowych użytkowników. Liczą, że nie zauważymy wszystkich „drzwi” i przez przypadek udostępnimy im coś, czego nie chcieliśmy. Dotyczy to zarówno danych, które upublicznimy dla wszystkich użytkowników Internetu, jak i tych, które przekażemy samej firmie dla celów marketingowych.

Reforma ochrony danych osobowych może odwrócić tę sytuację. Zgodnie z koncepcją „data protection by default”, ustawienia prywatności w każdym otrzymywanym przez nas produkcie czy usłudze będą nakierowane na maksymalną ochronę użytkownika. Choć wydaje się to nieprawdopodobne – to obowiązkiem firm będzie zadbanie o jak najlepszą ochronę naszych danych. Dzięki tej zmianie, nie będziemy musieli przedzierać się przez gąszcz skomplikowanych ustawień, aby jak najlepiej chronić i kontrolować informacje na swój temat. Do nas będzie należała decyzja czy i jakie dane chcemy udostępnić.

Przecieki o wyciekach, czyli powiadomienie o naruszeniu ochrony danych

O wyciekach danych osobowych z różnych baz czy systemów dowiadujemy się zwykle z mediów. Najczęściej jednak taka wiadomość przemyka gdzieś niepostrzeżenie, nie trafiając na pierwsze strony gazet ani do głównych wydań serwisów informacyjnych. A to tylko te naruszenia, o których cokolwiek wiemy – innymi firmy się nie chwalą, bo przecież nie mają czym. Informacja o wyciekach jest chroniona lepiej niż nasze dane, dlatego zazwyczaj nie mamy świadomości, że dostały się one w niepowołane ręce.

Nowe przepisy mają to zmienić i nałożyć na każdą firmę obowiązek informowania nas o wszystkich wyciekach i naruszeniach ochrony danych, które mogą niekorzystnie wpłynąć na naszą prywatność. Ten obowiązek pozwoli nam zorientować się, jakie są rzeczywiste standardy ochrony informacji na nasz temat... a firmy zdyscyplinuje do ich podnoszenia – przecież nie będą chciały ryzykować utraty reputacji i klientów.

Decydująca lokalizacja, czyli zasady stosowania prawa europejskiego

Wyobraźmy sobie, że reklamacja japońskiego telefonu musiałaby być rozstrzygana według japońskich przepisów, a umowa kupna samochodu włoskiej marki spisana według włoskiego prawa. Brzmi absurdalnie? Jednak do podobnych absurdów może dziś doprowadzić wykładnia prawa o ochronie danych osobowych. Stosowanie europejskich standardów jest uzależnione od lokalizacji firmy lub jej serwerów. Tym sposobem, firmy spoza Unii Europejskiej mogą stosować – i niestety z powodzeniem stosują – dużo niższe standardy ochrony danych. A my nawet nie zdajemy sobie sprawy, że firma, z której usług korzystamy, swój serwer umieściła się na tropikalnej wyspie i może robić z naszymi danymi, co jej się żywnie podoba. Często trudno nawet mówić o „ochronie” – w amerykańskim prawie (któremu podlega wiele stosowanych przez nas produktów i usług) obowiązuje domniemanie, że dane można wykorzystywać w celach komercyjnych, dopóki ktoś się temu nie sprzeciwi.

Na szczęście wraz z reformą idą poważne zmiany. Wszystkie firmy, które kierują swoje usługi do obywateli UE, bez względu na swoją siedzibę, będą musiały stosować się do takich samych zasad ochrony danych – a więc także amerykańskie firmy zaczną podlegać europejskim standardom. Obowiązek ten będzie dotyczył również firm, które wprawdzie nie świadczą nam bezpośrednio usług, ale monitorują nasze zachowanie i uzyskane w ten sposób dane oferują – jako towar – innym firmom.

Oferta dla poliglotów, czyli informacja podana "ludzkim językiem"

„Darmowa nauka języków obcych bez wychodzenia z domu” - często właśnie w taki sposób powinny być reklamowane warunki świadczenia usług opartych na przetwarzaniu danych osobowych. Bo choć napisane po polsku i wydaje się, że rozumiemy poszczególne słowa, całość wydaje się pozbawiona sensu. Czasem dlatego, że dokument był pierwotnie opracowany na inny rynek, w innym języku i nikt nie wysilił się, żeby go sensownie przetłumaczyć. Informowanie nas o tym, jakie dane, na jakiej podstawie, w jakim celu i przez kogo są przetwarzane, już teraz jest wymogiem prawnym. Brakuje jednak zastrzeżenia, że taka informacja powinna być dla odbiorcy zrozumiała i podana ludzkim językiem. W efekcie firmy tworzą gigantyczne i bardzo skomplikowane regulaminy... które mało kto jest w stanie przeczytać ze zrozumieniem.

Unijna reforma wprowadza wyraźny obowiązek informowania nas w prostym i zrozumiałym języku o zasadach przetwarzania danych. Nie precyzuje wprawdzie, co to dokładnie oznacza, ale samo wprowadzenie takiego warunku można uznać za pozytywną zmianę. I liczyć na to, że nie będziemy już musieli godzinami zastanawiać się nad tym, co tak naprawdę firma chce nam powiedzieć przez swoją politykę prywatności.

Didaskalia

To oczywiście nie wszystkie nowości – o innych planujemy napisać w kolejnych odsłonach. Ważne zmiany mają się również pojawić w kontekście definicji danych osobowych i zgody na ich przetwarzanie; Komisja Europejska proponuje wprowadzenie prawa do „przenoszenia danych” i zwiększenie kontroli nad przepływem danych poza granice Unii. To wszystko ma szansę się wydarzyć, o ile rządy poszczególnych państw i Parlament Europejski nie ulegną naciskom biznesowych lobbystów.

Kształt zaproponowanych przed rokiem przepisów nadal może ulec zmianie – obecnie nad reformą pracuje kilka komisji w Parlamencie Europejskim. Ich opinie mogą wpłynąć na ostateczny wynik głosowania, mimo że bezpośrednio nie powodują zmian w projekcie rozporządzenia. Oznacza to, że przez cały czas trzeba trzymać rękę na pulsie i... działać! To dopiero początek dłuższego procesu, ale już teraz warto uwierzyć, że nasz głos ma znaczenie.

Więcej informacji o reformie ochrony danych

Polecamy również:

Komentarze

To w czym w takim razie jest problem? Skoro podajecie same plusy projektu to o co afera?
A swoją drogą - najlepszym zabezpieczeniem naszej prywatności jest przykładanie uwagi do tego co i gdzie mówimy/piszemy. Tak samo jak wspomniane w tekście klucze od domu - nie zostawiamy ich na ławce w parku, ale pilnujemy jak oka w głowie.

Dodaj komentarz