Ochrona danych osobowych jest iluzją

Zamiast szukać prawnych sposobów na nieskuteczną ochronę podstawowych danych osobowych, uczciwsze byłoby stwierdzenie - obywatelu, sam zadbaj o swoje dane.

Zamiast szukać prawnych sposobów na nieskuteczną ochronę podstawowych danych osobowych, uczciwsze byłoby stwierdzenie - obywatelu, sam zadbaj o swoje dane.

Dziesięć lat obowiązywania ustawy o ochronie danych osobowych przyniosło ewidentne korzyści. Uświadomiło obywatelom, że informacje na ich temat są dobrem chronionym. Upowszechniły się zasady i procedury gromadzenia, przetwarzania i korzystania ze zbiorów danych osobowych. Powinniśmy więc cieszyć się z istnienia tej ustawy i dbać o jej dalsze działanie dla dobra obywateli. Dzisiaj jednak należy się już poważnie zastanowić, czy zasady, na których opiera się ta ustawa, są w dalszym ciągu możliwe do realizacji.

Nie ma sensu chronić podstawowych danych osobowych

Tytułowa teza jest wynikiem konstatacji, że obecnie ani nie ma powodu, ani technicznej i organizacyjnej możliwości rzetelnej ochrony podstawowych danych, jak: imię, nazwisko, data i miejsce urodzenia, numer PESEL, imiona rodziców i nazwisko rodowe, adres zamieszkania, adres e-mail, numer telefonu, wizerunek oraz miejsce pobytu. Można szacować, że nie w pełni chronione są dane osobowe co najmniej 2-3 mln Polaków - prowadzących działalność gospodarczą na własny rachunek, wolnych zawodów i osób publicznych. Są one wielokrotnie przeglądane przez osoby, od których nie wymaga się zachowania danych w tajemnicy.

Przykłady można mnożyć. Każda recepta jest nośnikiem prawie pełnych danych osobowych pacjenta. Niemal każdy obywatel bywa spisywany, włącznie z nagminnym kserowaniem dowodów osobistych, przez podmioty publiczne i gospodarcze. Nasze dane są odnotowywane w książkach wejść do budynków publicznych i mieszkalnych, a książki te są chronione słabo, jeśli w ogóle. Legalnie publikuje się rejestry dłużników i listy poparcia kandydatów na posłów i senatorów. Jesteśmy monitorowani w windach, bankach, hotelach, sklepach, w szkołach, na ulicach i parkingach; lokalizowane są nasze telefony komórkowe i transakcje kartowe.

Dane osobowe są z upoważnienia ustawowego dostępne, praktycznie bez żadnej zewnętrznej kontroli, dla coraz większej liczby służb specjalnych. Coraz częściej służby opierają działania operacyjne na przesiewaniu baz, przy czym mają dostęp również do danych osób tylko przypadkowo pojawiających się przy analizowanym przestępstwie. Niestety, pozyskiwane dane, pomimo rygorystycznych zasad ochrony informacji niejawnych, zbyt łatwo i często stają się publicznie dostępne. Dane gromadzone w Polsce "wyciekają" za granicę - oficjalnie w przypadku listy pasażerów do USA, przy przekraczaniu granicy czy rejestracji w hotelach, oraz nieoficjalnie, gdy są sprzedawane firmom marketingowym.

Z tych kilku przykładów wyłania się obraz "klęski" ochrony podstawowych danych osobowych. Nawet najbardziej rozbudowane biuro Generalnego Inspektora Ochrony Danych Osobowych, wyposażone ustawowo w coraz ostrzejsze kary, nie jest w stanie zweryfikować poprawności gromadzenia, przechowywania, udostępniania i niszczenia lawinowo rosnących zbiorów informacji.

Sam zadbaj o siebie

Stoję na stanowisku, że podstawowe dane osobowe nie powinny być ustawowo chronione. Przemawiają za tym już najprostsze argumenty. Mniej byłoby problemów z odszukaniem osoby zamieszkałej w danym budynku, nie trzeba by uzyskiwać potwierdzeń zgody od milionów osób na publikację ich nazwisk w wykazach telefonicznych. Nastąpiłoby radykalne zmniejszenie kosztów obsługi baz danych osobowych. Zamiast tego można by skupić się na rzeczywistym i szczelnym systemie ochrony danych wrażliwych, szczególnie chronionych. Te ostatnie - co istotne - powinny być dalej chronione i to efektywniej niż dotychczas, co jest możliwe, gdyż są zbierane i wykorzystywane w ściśle określonych przypadkach.

Pomimo obecnej ochrony coraz częściej dowiadujemy się o kradzieży tożsamości np. poprzez kradzież dowodu osobistego, co umożliwia chociażby wzięcie kredytu. Łatwiejszy dostęp do podstawowych danych osobowych dałby szansę na szybsze wykrycie oszustw, co teraz wymaga zgody i długotrwałej procedury. Dzisiaj techniki informacyjne umożliwiają wszechstronną i wszechobecną inwigilację obywateli, także przez grupy przestępcze. Obecne systemy zabezpieczeń są już zbyt słabe, aby móc w tak szerokim zakresie skutecznie ochronić każdego z nas. Dlatego też uczciwsze będzie powiedzenie - obywatelu, sam zadbaj o swoje podstawowe dane osobowe. Każdy powinien być świadomy, komu i w jakim zakresie udziela informacji. Każdy też powinien mieć świadomość konsekwencji "rozrzucania" swoich danych osobowych.

Konieczne jest wzmocnienie prawa obywatela do uzyskania od osoby fizycznej, instytucji lub firmy informacji, w jakim celu zbiera i przetwarza jego dane. W przypadku podmiotów publicznych prawo do zbierania określonych danych musi być jak dotychczas usankcjonowane ustawą. Generalny Inspektor Ochrony Danych Osobowych i Rzecznik Praw Obywatelskich powinni mieć prawo sprawdzania jak i po co podmioty publiczne, a w szczególności służby specjalne, zbierają i korzystają ze zbiorów danych poszczególnych osób.

Dla innych podmiotów regulacje w tym zakresie powinny być określone prawami konsumenta. W każdym przypadku trzeba też wzmocnić prawa obywatela do sądowego uzyskania odszkodowania za nieuprawnione pozyskanie i przetwarzanie jego danych, szczególnie gdy obywatel poniósł z tego tytułu szkodę. W wyjątkowo rażących przypadkach takie prawa o wystąpienie o odszkodowanie w imieniu pokrzywdzonych obywateli mógłby mieć GIODO. W konkluzji powyższego - prawna ochrona danych osobowych powinna być skupiona na skutkach szkodliwego dla obywatela wykorzystania jego danych, a nie na coraz ostrzejszych rygorach chronienia baz danych osobowych przez administratorów!

Przyjmując tezę obecnej iluzji ochrony danych osobowych, spowodowanej m.in. dostępnością nowoczesnych technik informacyjnych, powinniśmy jednocześnie więcej wymagać od rozwiązań technicznych stosowanych do zabezpieczania informacji. Przykładowo wprowadzenie w przyszłości elektronicznego europejskiego identyfikatora (eID) obywatela pozwoli ograniczyć konieczność "rozsiewania" danych osobowych. Dane zapisane w eID będą znajdować się tylko w jednym szczelnie chronionym miejscu i zostaną udostępnione wyłącznie w uzasadnionych przypadkach. Łatwo wyobrazić sobie, że w przyszłości o każdym wykorzystaniu naszych danych osobowych będziemy informowani SMS-em, tak jak dzisiaj o operacjach bankowych. To tylko jeden przykład możliwości pozytywnego wspomagania naszej "prywatności" przez techniki informacyjne.

Dr Wacław Iszkowski jest prezesem Polskiej Izby Informatyki i Telekomunikacji. Pełna treść jego artykułu znajduje się w serwisie PublicStandard.pl - publicstandard.pl/daneosobowe. Zapraszamy do dyskusji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200