Ochrona danych osobowych

Ludzie są różni i mają odmienne upodobania. Z każdym z nas można związać wiele informacji, które z kolei daje się wykorzystać na sto i jeden sposobów. Wszystko to czyni bardzo złożonym problem ochrony danych personalnych.

Ludzie są różni i mają odmienne upodobania. Z każdym z nas można związać wiele informacji, które z kolei daje się wykorzystać na sto i jeden sposobów. Wszystko to czyni bardzo złożonym problem ochrony danych personalnych.

Nie mogę stwierdzić, byśmy poradzili sobie z tym problemem w Stanach Zjednoczonych! Po części dlatego, że sprawę ochrony danych regulują odrębne, słabo ze sobą powiązane akty prawne, które powstawały w ciągu wielu lat. Takie ustawy zwykle są nazbyt abstrakcyjne, rozciągając ochronę tak szeroko, iż ignorują życzenia jednostek i potrzeby biznesu. Nie każdy przecież chce chronić swoją prywatność w ten sam sposób. Dobrze zostawić więc tyle, ile tylko jest możliwe, w rękach rynku, przy założeniu, że każdy może kontrolować wykorzystanie jego danych personalnych.

Gdybyśmy mogli zacząć wszystko od początku - a przecież Wy, Polacy właśnie teraz macie taką szansę - to chciałabym, byśmy oparli się na podstawowym założeniu: dane personalne są własnością tego, kogo dotyczą. Wówczas należy ustalić prawne regulacje i zasady działania wspierające realizację tego postulatu:

  • Sprawny mechanizm pozwalający osobom prywatnym dochodzić swoich praw na drodze sądowej w przypadku, gdy ich dane są niewłaściwie wykorzystywane;

  • Wyraźnie wyartykułowana odpowiedzialność instytucji, które zarządzają danymi, za poczynania pracowników;

  • Formuła umożliwiająca obywatelom sprawdzenie i weryfikację wszelkich informacji ich dotyczących;

  • Ograniczenie czasowe przechowywania informacji, która jest w jakiś sposób wyróżniona przez prawo (np. o skazanych czy stanie zdrowia obywateli);
* Daleko idące ograniczenia dotyczące gromadzenia danych w bazach utrzymywanych przez agendy rządowe wraz z obowiązkiem rozdziału baz zawierających odrębne rodzaje informacji (choć oczywiście rozwój technologii może tę sprawę nieco skomplikować...).

Wówczas, w idealnej sytuacji, mogłoby to prowadzić do chwili, w której powstałyby komercyjne banki danych osobowych, które zarządzałyby zgromadzoną informacją w ten sam sposób, w jaki dzisiaj normalne banki gospodarują oszczędnościami osób prywatnych. W USA mamy już takie instytucje, chociaż na razie ich klientami są jedynie duże firmy, którym dane personalne są potrzebne do prowadzenia biznesu. W interesie takich banków leży ochrona danych (i udostępnianie ich jedynie do jednokrotnego wykorzystania), ale nie działają one dzisiaj z pożytkiem dla osób, o których dane gromadzą.

Gdyby funkcjonowały one jak prawdziwe banki, to każdy mógłby wówczas wskazać, jakie dane i na jakich warunkach mogą być przekazane innym. Już dzisiaj w jakimś stopniu zjawisko to można zaobserwować w pajęczynie WWW - ogłoszeniodawcy mogą poznać nasze internetowe adresy, ale nie naszą tożsamość. W oczywisty sposób każdy będzie mógł gromadzić swoje dane w różnych bankach, specjalizujących się np. w różnych typach informacji osobowych. Oczywiście potrzeba nam nieco czasu, nim stanie się to możliwe, ale przecież obecna technologia informatyczna przychodzi nam z pomocą.

Nie rozwiąże to jednak niektórych problemów, a w szczególności konfliktów, w których ważne są zarówno względy gospodarcze, jak i społeczne. Nietrudno o przykłady - szkoła musi wiedzieć, czy nauczyciel, którego chce zatrudnić, nie był oskarżony o seksualne molestowanie dzieci; bank woli poznać wiarygodność klienta, któremu chce udzielić kredytu; opinia publiczna ma prawo wiedzieć znacznie więcej o tych, którzy startują w wyborach.

Najprostszym rozwiązaniem takich problemów jest formuła, według której obywatel musi udzielić informacji dotyczącej usługi, z jakiej chce skorzystać. I odwrotnie - nikt nie ma prawa do otrzymania tych informacji, o ile nie zamawiają tej usługi. Brzmi to rozsądnie, ale życie jest bardziej skomplikowane: ludzie się zmieniają, zaś informacja może mieć niszczące działanie, rozprzestrzeniając się poza kontrolą tego, kogo dotyczy. Jednym z rozwiązań jest czasowe przechowywanie informacji - np. krócej w przypadku wiarygodności kredytowej, a dłużej dla rejestrów policyjnych.

Podsumowując: prywatność konsumenta musi być prawie całkowita - ograniczona zaś w przypadku kogoś, kto chce innym świadczyć usługi lub korzystać z jakichś przywilejów (ubezpieczenia, kredytu czy prawa jazdy). Najważniejsza jest kontrola nad rozprzestrzenianiem się informacji, tak aby z jednej strony umożliwić podejmowanie decyzji uprawnionym, prawnym i fizycznym osobom, z drugiej zaś nie dać im prawa do przechowywania otrzymanych danych.

Staramy się realizować te wskazania w Stanach Zjednoczonych, ale wciąż jesteśmy daleko od celu. Obecnie Kongres rozpatruje ustawy regulujące wykorzystanie danych o stanie zdrowia, ale nie zapewniają one dostatecznej ochrony prywatności pacjentów. Zarówno szpitale, firmy ubezpieczeniowe, jak i intytuty naukowe będą mogły wymieniać między sobą takie informacje. Zakłada się, że wszystkie te instytucje będą "ostrożne", ale nie ma wystarczających mechanizmów, które by to zapewniały. Walka trwa!

<hr size=1 noshade>Esther Dyson jest właścicielem firmy konsultingowej EDventure Holdings, pełniąc jednocześnie funkcję prezesa Electronic Frontier Foundation, stowarzyszenia zajmującego się ochroną wolności obywatelskich w cyberprzestrzeni. Jest współwłaścicielem Polski OnLine, jednego z większych dostawców Internetu w naszym kraju.

Tekst został napisany specjalnie dla polskiego wydania Computerworld.