Dotychczasowe regulacje dotyczące ochrony danych osobowych, zwłaszcza unijna dyrektywa 95/46/WE, utraciły w znacznym stopniu swą gwarancyjną funkcję. Proces ten postępuje wraz z rozprzestrzenianiem się czynników związanych z rozwojem technologii. Jednym z nich jest wielość aspektów przetwarzania danych w internecie - począwszy od ich zbierania, przez niemożność egzekwowania ich usunięcia, m.in. z portali społecznościowych, po pojawienie się nowych kategorii danych osobowych, takich jak dane geolokalizacyjne, profile użytkowników, adresy IP.

Jesteśmy biernymi świadkami, niekiedy ofiarami, zwiększającego się rozwarstwienia między zakresem regulacji dotyczących ochrony danych a możliwym do osiągnięcia na ich podstawie stopniem faktycznej ochrony. Dzisiaj przetwarzanie danych odbywa się na zupełnie inną skalę niż w czasach, gdy powstawała dyrektywa 95/46/WE. Pojawił się więc postulat, aby same przepisy dotyczące ochrony prywatności i proces ich dostosowywania do nowych warunków przetwarzania danych stały się bardziej elastyczne. Trzeba się zastanowić, czy normy prawne mogą być, a jeśli tak, to w jakim stopniu, uszczegółowione przez odesłanie do standardów normalizacyjnych.

Rozwiązanie takie zostało już zastosowane w prawie polskim. Znajduje się w rozporządzeniu Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r., nr 212, poz. 1766). W załącznikach 1 i 2 wskazane zostały jako obowiązujące systemy: RFC (Request for Comments), ISO oraz inne normy, standardy i dokumenty normalizacyjne. Wskazane zostały organizacje określające normę lub standard, np. Internet Engineering Task Force (IETF), International Standardization Organization (ISO) i inne. Jest to kontrowersyjny schemat zastosowania tzw. odesłania dalszego, w którego wyniku normy i standardy, opublikowane w języku angielskim przez instytucje niepubliczne, stają się swoistymi źródłami prawa.

Zmiana paradygmatu prywatności

Osoba przywiązana do prawa do prywatności jako podstawowego prawa człowieka postrzega trendy związane z rosnącymi możliwościami przetwarzania danych jako zagrożenie. Powstanie nowego cyfrowego, coraz bardziej dominującego środowiska przetwarzania danych może wpłynąć na diametralną zmianę znaczenia i zakresu prawa do prywatności. Coraz powszechniejsze umieszczanie w internecie danych osobowych czy fotografii ujawniających głęboko osobiste, często wręcz intymne informacje nieograniczonemu kręgowi odbiorców i bez limitu czasowego skłania do refleksji nad aktualnym i przyszłym znaczeniem legislacyjnych gwarancji prawa do prywatności. Gdy próby usunięcia danych z sieci okażą się daremne, możemy mieć do czynienia z symptomem radykalnej, pokoleniowej zmiany stosunku do prywatności.

Dotychczasowe wyniki badań prowadzonych w ramach Eurobarometru wskazują, że 75% ankietowanych deklaruje chęć korzystania z "prawa do bycia zapomnianym" przez usuwanie w dowolnym czasie danych, które ich dotyczą. Badanie ujawniło również istotne różnice postaw odnoszących się do udostępniania danych osobowych. Starsza generacja znacznie częściej wyraża zaniepokojenie zagrożeniami dla prywatności, młodsza wykazuje większe przyzwolenie dla łatwości udostępniania danych.

Lista wyzwań dla zapewnienia rzeczywistej ochrony prywatności w sieci, wynikających z technicznych uwarunkowań przetwarzania danych i pojawiających się nowych kategorii danych, nie może być zamknięta. Istotą tych zjawisk jest szybka ewolucja, zmiana dotychczasowych i powstawanie kolejnych obszarów zainteresowań oraz aktywności. Szczególne znaczenie należy przypisać przetwarzaniu danych geolokalizacyjnych i tworzeniu profili użytkowników internetu.

Nasze IP naszą daną osobową

Korzystanie z internetu za pośrednictwem komputera i telefonu wiąże się ze stałym gromadzeniem informacji o zachowaniach użytkownika w sieci, jego zainteresowaniach, upodobaniach, preferowanej literaturze, ulubionych filmach, forach dyskusyjnych, pytaniach zadawanych w portalach medycznych, sposobach spędzania wolnego czasu itd.

Niebezpieczeństwa z tym związane dostrzegła Grupa Robocza Art. 29, stanowiąca unijny organ doradczy w zakresie ochrony danych i prywatności. Zaklasyfikowała ona adres IP komputera do danych osobowych, uznając, że umożliwia on identyfikację osoby fizycznej przy zastosowaniu przez dostawców usług internetowych "rozsądnych środków", umożliwiających przypisanie adresów IP użytkownikom w prowadzonych na serwerach rejestrach logów.

Narzędziem umożliwiającym monitoring aktywności, preferencji i zachowań użytkowników, w szczególności portali i sklepów internetowych, służącym do personalizowania reklam i ofert są powszechnie wykorzystywane "ciasteczka" ("cookies"). Parlament Europejski w rezolucji z 6 lipca 2011 r. w sprawie całościowego podejścia do kwestii ochrony danych osobowych w UE wyraził zaniepokojenie nadużyciami związanymi z internetową reklamą behawioralną. Podkreślono, że dyrektywa 2002/58/WE, dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, uzależnia przesyłanie plików cookies oraz obserwowanie zachowania w sieci w celach reklamowych od wyraźnej zgody osoby, której dane dotyczą.

Utrata prywatności w cyfrowym świecie

Bez uzupełnienia o regulacje określające środki techniczne i organizacyjne normy dotyczące prywatności utracą swoją funkcję gwarancyjną. Potwierdza to rozwój nie tylko internetu i telefonii komórkowej, ale też systemów mniej popularnych, lecz już powszechnie stosowanych. Chodzi tu w szczególności o tzw. internet rzeczy (Internet of Things - IoT, Object Naming Service - ONS, czyli np. urządzenia domowe podłączone do internetu), technologię RFID (Radio-Frequency Identification), technologię NFC (Near Field Communication) i system rozpoznawania twarzy (Facial Recognition System).

Internet, telefonia komórkowa i technologie obejmują stałym nadzorem przemieszczanie się użytkowników w przestrzeni, ich relacje rodzinne i towarzyskie, hobby i aktywność zawodową, stan zdrowia, poziom zamożności. Niewyczerpanym źródłem informacji są billingi połączeń, internetowe serwisy tematyczne, rozkłady jazdy i systemy rezerwacji, portale społecznościowe. Technologie przyszłości drastycznie zwiększą intensywność i kompleksowość tego nadzoru. Nietrudno znaleźć zastosowania dla możliwych do wdrożenia już obecnie narzędzi elektronicznego monitoringu temperatury ciała, pracy serca, ciśnienia, mimiki czy odbiegającej od normy częstotliwości mrużenia oczu. Poddanie takiemu monitoringowi kierowcy samochodu, maszynisty czy pilota ograniczy ryzyko katastrofy wywołanej zaśnięciem lub złym stanem zdrowia. Z tej perspektywy zyska więc aprobatę społeczną. Technologie tego rodzaju mogą służyć też zautomatyzowanej analizie przez pracodawców aktywności pracowników czy ich zachowań w relacjach z klientami, wkraczając nieuchronnie do sfery prywatności.

Społeczeństwo nadzoru

Zakres przetwarzania danych uzasadnia tezę sformułowaną przez Davida Lyona o powstaniu społeczeństwa nadzoru, w którym jednostki poddane są inwigilacji obejmującej dostęp władzy publicznej oraz sektora prywatnego do danych osobowych, w tym wrażliwych, oraz analizę działań i zachowań z wykorzystaniem wydajnych systemów IT i baz danych. Należy zauważyć, że to wydajność systemów IT stanowi kluczowy czynnik decydujący o skali permanentnej ingerencji władz publicznych i podmiotów sektora biznesu w prywatność jednostek. Istotne znaczenie ma rozwój systemów analityki biznesowej, takich jak BI, CRM, CEM, CIM, obejmujących narzędzia analityczne służące tworzeniu w bazach KYC profili klientów i projekcji ich przyszłych zachowań. Tworzenie modeli przyszłych zachowań i preferencji na podstawie analizy śladów cyfrowych pozostawianych przez użytkownika podczas korzystania z internetu umożliwia też metoda Social Network Analysis, nazywana socjologią matematyczną, którą opracował Albert Laszlo Barabasi.

Zagrożenie dla prywatności przez zbieranie znacznego zakresu danych umożliwiających bezpośrednie lub pośrednie opracowanie szczegółowej charakterystyki danej osoby stanowi swoisty koszt uzyskania korzyści będących motywacją dla rezygnacji z istotnej części prywatności. Zbieranie danych geolokalizacyjnych przez operatorów telefonii komórkowej i tworzenie profili użytkowników internetu służy oferowaniu usług i udogodnień.

Bilans zagrożeń i korzyści

Za naruszenie prywatności należy uznać stosowanie instrumentów kontroli i gromadzenia danych bez wiedzy i świadomości poddawanych tym zabiegom użytkowników. Z odmienną oceną wiąże się świadoma akceptacja negatywnych skutków wkroczenia w sferę prywatności ze względu na oczekiwane korzyści. Jednak przyjęcie z góry, że korzystanie z usług, takich jak poczta elektroniczna czy portale społecznościowe, jest tożsame z pełną świadomością i akceptacją rezygnacji z prywatności, byłoby pochopne. Użytkownik nie zakłada tak trudnego do przewidzenia celu przetwarzania jego danych jak ich skanowanie i generowanie profili osobowych. Symptomem nieuprawnionego wkraczania w sferę prywatności jest automatyczne uzupełnianie wyników wyszukiwania w wyszukiwarkach internetowych o informacje, których użytkownik nie poszukiwał, lecz które są zbieżne z ujawnionymi przez niego w portalu społecznościowym wiadomościami.

Mariusz Krzysztofek, doktor nauk prawnych, administrator bezpieczeństwa informacji w bankach, audytor i konsultant w zakresie ochrony danych w instytucjach finansowych. Odbył praktykę w Office of the Comptroller of the Currency, federalnym nadzorze bankowym USA.