Kilka uwag sceptyka o ochronie danych osobowych

Polska nie ratyfikowała jeszcze Europejskiej Konwencji o ochronie danych osobowych. Prace nad przygotowaniem odpowiedniej ustawy ślimaczą się. Tej sytuacji sprzyja znikoma świadomość zagrożeń, jakie wiążą się z wykorzystaniem informacji wbrew interesom jednostki, grupy czy społeczeństwa.

Polska nie ratyfikowała jeszcze Europejskiej Konwencji o ochronie danych osobowych. Prace nad przygotowaniem odpowiedniej ustawy ślimaczą się. Tej sytuacji sprzyja znikoma świadomość zagrożeń, jakie wiążą się z wykorzystaniem informacji wbrew interesom jednostki, grupy czy społeczeństwa.

Doprawdy niełatwo jest poruszać kwestie ochrony danych osobowych w kraju, w którym jeszcze niedawno wszystko było tajne i tajne specjalnego znaczenia. W takich warunkach wszystko, do czego tylko znajdzie się dostęp, przestaje być tajne.

Świadomość z minionej epoki

Kultura informacyjna totalnie utajnionego społeczeństwa spada poniżej wszelkich standardów. Na ulicy i na śmietnikach znajduje się tajne dokumenty rządowe, a jednocześnie instytucje niszczą zasoby archiwalne. Politycy uruchamiają listę domniemanych agentów, a brukowiec publikuje informacje o zatartej karze, na jaką ponad 30 lat temu skazano szanowanego polityka. Na targu kumoszki pakują ser i masło w wyciągi z kont w wielkim banku, a urzędniczka w tymże banku chce mi telefonicznie podać stan mojego konta. Pracownik renomowanej firmy komputerowej dzieli się ze znajomymi informacjami o banku, dla którego firma opracowuje oprogramowanie. Terenowa jednostka urzędu statystycznego sprzedaje dane będące tajemnicą handlową firm, a które to dane firmy są ustawowo zobowiązane przekazywać urzędowi.

Prawie każdy obywatel tego państwa ma w dowodzie wpisany numer ewidencyjny, co państwo uczyniło bez podstaw prawnych, łamiąc istniejące prawo. Wszystko jednak udało się przeforsować, gdyż od wpisu numeru ewidencyjnego do dowodu osobistego uzależniono zarejestrowanie samochodu czy wydanie paszportu. Świadomość zagrożeń, jakie wiążą się z wykorzystaniem informacji wbrew interesom jednostki, grupy czy społeczeństwa, jest znikoma. Liczni (niestety, są wśród nich informatycy) specjaliści głoszą potrzebę scalenia wszelkich ewidencji i nadania każdemu numeru, żeby zapewnić sprawność, skuteczność i efektywność. Ma to oczywiście służyć interesom społeczeństwa, społeczności i jednostce.

Terminologia regulacji prawnych używana przez pracowników zajmujących się ewidencją danych osobowych pochodzi z wciąż doskonalonego państwa kolektywistycznego: ewidencja ludności, numer ewidencyjny, obowiązek meldunkowy itp. Świadczy ona o sposobie traktowania obywatela państwa, petenta czy klienta. Poczucie bezsilności wobec instytucji umacniania bezkarności instytucji i osób, które łamią prawo.

Negatywne przykłady braku ochrony danych (nie tylko osobowych) i nieświadomość potrzeby takiej ochrony można mnożyć w nieskończoność. Świadczy to o niewłaściwych i nieskutecznych regulacjach prawnych oraz głębokich zaniedbaniach w edukacji. Właśnie tym dwóm kwestiom chciałbym poświęcić kilka uwag na temat ochrony danych osobowych. Nic nam bowiem nie przyniesie najbardziej zaawansowana i finezyjna technologia, jeśli nie będzie jednoznacznych i poprawnych reguł ochrony oraz ludzi, którzy świadomi zagrożeń będą ich konsekwentnie przestrzegali. Wprowadzenie obecnie technologii informacyjnej jedynie zwiększa zagrożenia.

Dziury jak w serze szwajcarskim

Zacznijmy od kwestii prawnych. Wciąż nie mamy regulacji prawnych w zakresie ochrony danych osobowych. Od lat mówi się o konieczności, jednak projekt wciąż pozostaje projektem, a do doskonałości wiele mu brakuje. Ustawa nawiązuje do Europejskiej Konwencji o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym, której Polska nie ratyfikowała. Swoją opinię o projekcie ustawy o ochronie danych osobowych przedstawiłem w CW nr 9 z 3.03.1997.

Również projekt nowego kodeksu karnego określa tzw. "przestępstwa komputerowe" i przewiduje sankcje za ich popełnianie. Niektóre z nich, np. wejście do systemu przez osobę nieupoważnioną (art. 270, par. 1) czy podsłuch komputerowy (art. 270, par. 2), usunięcie, wprowadzenie, zmiana lub likwidacja danych (art. 271), sabotaż komputerowy (art. 272), mają bezpośredni związek z ochroną danych osobowych, przechowywanych w skomputeryzowanych systemach informacyjnych. Z wyjątkiem sabotażu komputerowego, który ma być ścigany z urzędu, przestępstwa komputerowe będą ścigane na wniosek poszkodowanego.

Ochronę interesów osób, o których dane można zbierać, przechowywać, wyszukiwać, przetwarzać i dystrybuować, zapewniają również przepisy kodeksu cywilnego. Z wnioskiem o naprawienie ewentualnych szkód musi wystąpić poszkodowany do sądu powszechnego. Niektórych szkód spowodowanych niezgodnym z prawem wykorzystaniem danych jednak nie naprawi żaden wyrok sądowy.

Wymienione trzy ustawy nie stanowią systemu, który w sposób spójny i wyczerpujący zapewnia ochronę prywatności obywatela przed wzrastającą aktywnością businessu informacyjnego. W szczególności projekt ustawy nie spełnia pokładanych nadziei. Nie ustala ogólnych zasad wynikających z konstytucji i konwencji międzynarodowych. Zamiast tego usiłujemy ustalić listy przypadków, jakie mogą zaistnieć w rzeczywistości. Jest to niemożliwe, więc projekt ustawy zawiera klauzule wyłączenia ("jeśli inna ustawa nie stanowi inaczej"), co czyni wiele z jej przepisów martwymi.

Mądry Polak po szkodzie

Większe znaczenie niż regulacjom prawnym chciałbym przypisać jednak edukacji. Pomija ona praktyczne aspekty wykorzystania informacji jako narzędzia oddziaływania na społeczeństwo i jednostkę. Świadomość zagrożeń, jakie niesie powszechne wykorzystanie techniki informacyjnej, jest zatrważająco niska i można ją porównywać jedynie z USA. W naszej edukacji wciąż panuje kult skuteczności i efektywności oraz pogoń za perfekcją techniczną.

Metody uczenia prawa nie dają wiedzy (we współczesnym jej rozumieniu: zdolności do skutecznego działania lub inaczej: umiejętności wykorzystania informacji do skutecznego i efektywnego działania). Niska znajomość prawa - a co gorsza - nieumiejętność jego interpretacji potęgowana przez sposób formułowania norm i reguł prawnych, czyni wszelkie wysiłki legislacyjne mało skutecznymi. Przykładem potwierdzającym powyższe stwierdzenie jest ustawa o prawie autorskim i prawach pokrewnych. Mimo jego wejścia w życie, wciąż skala jego łamania jest zatrważająca. O ile jednak jego nieprzestrzeganie przynosi szkody (malejące) finansowe, będące marginesem dochodów twórców, o tyle naruszanie prywatności czy interesów jednostki i grupy, może zrujnować ich kariery, zdrowie, a w konsekwencji życie.

Z moich wywiadów wynika, że nie uczymy się niczego tak "nieokreślonego" jak etyka zawodowa. Jest to kolejny poważny błąd naszej edukacji. Żadne zabezpieczenia prawne i techniczne nie będą skuteczne, jeśli pracownicy nie będą rozumieli konieczności zapewnienia bezpieczeństwa danych osobowych. Zadaniowo nastawieni twórcy skomputeryzowanych systemów informacyjnych będą rzecznikami zwolenników totalnej integracji wszelkiej ewidencji, jeśli nie będą uczyć się o zagrożeniach takich rozwiązań. Jeśli nie będą respektowali zasad etyki zawodowej, jak uczciwość i szacunek dla innych, poszanowanie praw i godności innych ludzi oraz społeczna odpowiedzialność, będą tworzyć rozwiązania sprzeczne z interesami jednostek i grup. Jest to zagrożenie wcale nie hipotetyczne, ale bardzo realne dziś, kiedy nasze prawo informacyjne praktycznie nie istnieje, a świadomość niebezpieczeństw jest znikoma.

Reasumując, pozwolę sobie pozostać sceptykiem i wyrazić obawy, co do możliwości poprawy sytuacji w najbliższym czasie. Zmiany regulacji prawnych nic nie przyniosą, dopóki nie zmieni się systemu edukacji, nie podniesie się poziomu etycznego pracowników i nie poprawi kultury prawnej oraz informacyjnej.


TOP 200