Ochrona danych osobowych jest iluzją

Spotykamy się z nią na poziomie technicznym i organizacyjnym, ale chociaż istnieje ochrona prawna danych osobowych, to jest ona też słabo skuteczna w praktyce długotrwałych procedur sądowych. #Wacław Iszkowski#

Prace nad opracowaniem ustawy o ochronie danych osobowych zaczęły się już w 1992 roku, ale sama ustawa została uchwalona dopiero w sierpniu 1997 roku. Ten długi okres przygotowywania ustawy pozwolił na przedyskutowanie konsekwencji zapisów, a także na przygotowanie obywateli i podmiotów do jej stosowania. Ważne było uświadomienie obywatelom, że ich dane osobowe są dobrem mającym być chronionym przez tych, którzy z uzasadnionych powodów dysponują tymi informacjami.

Ponad już dziesięcioletni okres działania ustawy upowszechnił zasady ochrony danych osobowych poprzez stosowanie określonych zapisami ustawy procedur gromadzenia, przetwarzania i korzystania ze zbiorów danych, a także dał obywatelowi prawo do ochrony oraz wglądu do jego gromadzonych danych osobowych. Dzisiaj powinniśmy więc się cieszyć z istnienia tej ustawy i dbać o jej dalsze działanie dla dobra obywateli.

Nie ma sensu chronić podstawowych danych osobowych

Niestety, dzisiaj też należy się poważnie zastanowić, czy zasady tej ustawy są dalej możliwe do realizacji i czy przypadkiem nie należy niektóre z tych zasad zmienić. Stąd wynika moja teza, że ochrona podstawowych danych osobowych jest iluzją.

Podstawą takiego stwierdzenia jest konstatacja, że obecnie nie ma sensu i powodu, ale przede wszystkim technicznej i organizacyjnej możliwości rzetelnej ochrony takich podstawowych danych osobowych jak: imię, nazwisko, data i miejsce urodzenia, numer Pesel, imiona rodziców i nazwisko rodowe, adres zamieszkania lub korespondencyjny, adres poczty elektronicznej, numer telefonu stacjonarnego i komórkowego, wizerunek oraz lokalizacja miejsca pobytu.

Dlaczego? W Polsce nie są w pełni chronione te dane osobowe co najmniej 2-3 milionów Polaków - prowadzących działalność gospodarczą na własny rachunek, wolnych zawodów oraz osób publicznych. W wielu przypadkach nasze podstawowe dane osobowe zanim trafią do chronionego rejestru są wielokrotnie przeglądane przez osoby, od których nie wymaga się zachowania tych danych w tajemnicy, a które ot tak sobie na nie zerkną i czasem zapamiętają - a potem nie tylko w małym miasteczku wszyscy o wszystkich sporo wiedzą. Oto przykład: Każda recepta w aptece jest nośnikiem prawie pełnych danych osobowych, łącznie z numerem Pesel pacjenta. A recepty te są wielokrotnie przeglądane i przechowywane w aptekach, a następnie w oddziałach NFZ.

Idźmy dalej. Prawie każdy obywatel jest prawie codziennie spisywany wraz z nieuzasadnionym niczym kserowaniem dowodu osobistego włącznie przez podmioty publiczne i gospodarcze. A jeszcze istnieje wiele przypadków legalnego opublikowania naszych osobowych - na przykład rejestru dłużników, czy też list poparcia kandydatów na posłów i senatorów.

Nasze dane są spisywane w książkach wejść do wielu budynków użyteczności publicznej, firm oraz nawet miejsc zamieszkania, zaś książki te są słabo, jeśli w ogóle, chronione. Dodatkowo, jesteśmy wielokrotnie monitorowani w budynkach, windach, bankach, hotelach, dworcach, sklepach, w szkołach i na ulicach - nawet o tym nie wiedząc. Już tysiące, a niebawem miliony kamer będą rejestrować każdy nasz ruch, gromadząc te informacje na nośnikach, które również są z reguły słabo chronione.

Jesteśmy również identyfikowani pośrednio poprzez nagminne już zapisywanie numerów rejestracyjnych naszych samochodów przy wjazdach na parkingi oraz na stacjach benzynowych, a także poprzez lokalizowanie naszych telefonów komórkowych oraz transakcji kartowych.

Nasze dane osobowe są z upoważnienia ustawowego dostępne, praktycznie bez żadnej zewnętrznej kontroli, dla coraz większej liczby służb specjalnych. Coraz częściej służby te opierają swoje działania operacyjne na przesiewaniu baz danych osobowych, przy czym w tych operacjach mają dostęp również do danych osób tylko przypadkowo pojawiających się przy analizowanym przestępstwie. Często osoby te już zostają naznaczone jako "zamieszane" w ten rodzaj przestępstwa, tracą na zawsze "prywatność", a raz zebrane dane osobowe są już stale przechowywane i dostępne. Służby dostają też prawo przeszukiwania informacji zapisanych w prywatnych urządzeniach cyfrowych - telefonach, komputerach - bez nakazu prokuratora. I żeby nie było wątpliwości, doceniam rolę tych służb w zapewnieniu bezpieczeństwa Państwa i Obywateli, ale niestety dane pozyskiwane przez te służby, pomimo istnienia rygorystycznych zasad ochrony informacji niejawnych, zbyt łatwo i często bywają publicznie dostępne - gdy jakieś z mediów do nich "dotrze".

Nasze dane osobowe gromadzone w Polsce "wyciekają" za granicę - oficjalnie w przypadku listy pasażerów do USA oraz przy przekraczaniu granicy czy rejestracji w zagranicznych hotelach (nawet z kopiowaniem naszych dokumentów) i nieoficjalnie, gdy są sprzedawane firmom marketingowym oraz gdy niefrasobliwie są udostępniane przez użytkowników "podejrzanych" witryn internetowych.

Nasze dane osobowe - te zapisane w formie papierowej oraz te w formie elektronicznej - nie są profesjonalnie niszczone, co powoduje że wiele z nich staje się dostępnymi na wysypisku lub dla przypadkowych użytkowników "złomowanego" sprzętu komputerowego. Dodajmy do tego, że nasze dane osobowe są "na zawsze" gromadzone w zbiorach i archiwach sieci internetowej.

Z tych kilku wybranych przykładów wyłania się obraz "klęski" ochrony podstawowych danych osobowych, gdyż obecnie nawet najbardziej rozbudowane biuro GIODO, wyposażone ustawowo w coraz ostrzejsze kary - jeszcze tylko w wymiarze finansowym - nie jest w stanie zweryfikować poprawności gromadzenia, przechowywania, udostępniania oraz niszczenia tych lawinowo rosnących zbiorów informacji osobowych.

Powtórzmy więc naszą tezę: Ochrona podstawowych danych osobowych jest iluzją.

Sam zadbaj o siebie

Zatem podstawowe dane osobowe nie powinny być ustawowo chronione. Za przyjęciem takiego rozwiązania nasuwają się najpierw proste argumenty. Mniej byłoby problemów z odszukaniem osoby zamieszkałej w danym budynku oraz adresu i numeru telefonu osoby, z którą chcemy się spotkać, lub też którą zamierzamy pozwać w procesie cywilnym (znany przypadek publicznej prośby byłego premiera o ujawnienie adresu zamieszkania już byłego ministra sprawiedliwości w celu wysłania mu pozwu).

Nie trzeba by było, również, uzyskiwać potwierdzeń zgody od milionów osób na publikację ich danych w wykazach telefonicznych, czy też w innych zbiorach informacji ułatwiających wszystkim codzienne funkcjonowanie. Nastąpiłoby także radykalne zmniejszenie kosztów obsługi baz danych osobowych, łącznie z koniecznością zatrudnienia specjalnie przeszkolonych pracowników, zaś tym samym możliwość skupienia się na rzeczywistym i szczelnym systemie ochrony danych wrażliwych, szczególnie chronionych - innych niż dane podstawowe. Tutaj podkreślam, że dane wrażliwe powinny być dalej chronione i to jeszcze efektywniej niż dotychczas, co jest możliwe, gdyż dane te są zbierane i wykorzystywane w ściśle określonych przypadkach.

Pomimo obecnej ochrony danych osobowych, ale może właśnie dlatego, że oficjalnie ona istnieje, coraz to nieoczekiwanie dowiadujemy się o kradzieży tożsamości - przeważnie poprzez kradzież dowodu osobistego lub tylko poprzez słowne podanie danych innej osoby - co umożliwia wzięcie kredytu lub zaaresztowanie niewinnej osoby. Łatwiejszy dostęp do naszych podstawowych danych osobowych dałby szansę na szybsze zweryfikowanie oszustwa przez każdego, bo teraz wymaga to zawsze zgody i długotrwałej procedury, a czasem to właśnie czas jest istotny.

Natomiast w USA można się dowiedzieć poprzez internet o miejscu zamieszkania i numerze telefonu praktycznie każdego obywatela zamieszkałego w Stanach, zaś dodatkowo za 50 USD można uzyskać wyczerpujący opis jego działalności z zawartością konta bankowego oraz ewentualnie jego przeszłość kryminalną. I czy z tego powodu Amerykanie uważają, że ich prawa obywatelskie do prywatności są naruszane?

Dzisiaj nowoczesne techniki informacyjne umożliwiają wszechstronną i wszechobecną inwigilację każdego z obywateli, nawet opalającego się na bezludnej wyspie. Dalsze zinformatyzowanie administracji oraz każdego rodzaju działalności w połączeniu z nowymi gadżetami elektronicznymi otoczy każdego powłoką informacyjną, która z jednej strony będzie mu ułatwiać - ba, wręcz umożliwiać funkcjonowanie w społeczeństwie, ale też będzie on mógł być poddany prawnie usankcjonowanej totalnej inwigilacji oraz może się znaleźć w zasięgu dobrze wyposażonych w elektroniczne gadżety grup przestępczych. Obecne systemy zabezpieczeń technikami informatycznymi są już zbyt słabe aby móc skutecznie ochronić każdego z nas. Dlatego też uczciwsze będzie powiedzenie - obywatelu sam zadbaj o swoje dane osobowe.

Przyjmując, że iluzją jest ochrona podstawowych danych osobowych przekazujemy osobom odpowiedzialność o zadbanie o swoje dane. Każdy powinien być świadomy komu i w jakim zakresie udziela o sobie informacji. Każdy powinien mieć świadomość konsekwencji "rozrzucania" swoich danych osobowych.

Oczywiście konieczne jest wzmocnienie prawa obywatela do uzyskania od osoby fizycznej, instytucji lub firmy pełnej informacji, w jakim celu ma podać swoje dane oraz jak będą one przetwarzane. W przypadku podmiotów publicznych prawo do zbierania określonych danych musi być jak dotychczas usankcjonowane ustawą. Generalny Inspektor Ochrony Danych Osobowych oraz Rzecznik Praw Obywatelskich powinny mieć ustawowo zagwarantowane, niczym nie ograniczone, prawo sprawdzania w jaki sposób i do czego podmioty publiczne, a w szczególności służby specjalne zbierają oraz korzystają ze zbiorów danych osobowych oraz danych poszczególnych osób.

Dla innych podmiotów regulacje w tym zakresie powinny być określone prawami konsumenta. W każdym przypadku trzeba też wzmocnić prawa obywatela do sądowego uzyskania odszkodowania za nieuprawnione pozyskanie oraz przetwarzanie jego danych osobowych, szczególnie gdy obywatel poniósł z tego tytułu określoną szkodę. W szczególnie rażących przypadkach takie prawa o wystąpienie o odszkodowanie w imieniu wielu pokrzywdzonych obywateli mógłby mieć Generalny Inspektor Ochrony Danych Osobowych.

W konkluzji powyższego - ochrona prawna danych osobowych powinna być skupiona na skutkach szkodliwego dla Obywatela wykorzystania jego danych osobowych, a nie na samych coraz ostrzejszych rygorach chronienia baz danych osobowych przez ich administratorów!

Przyjmując tezę obecnej iluzji skutecznej ochrony danych osobowych, spowodowanej między innymi nowoczesną techniką informacyjną - możemy też zacząć więcej wymagać od rozwiązań technicznych. Ta sama technika informacyjna może też dać szansę na lepszą skuteczną obronę przed nieuprawnionym wykorzystaniem naszych danych osobowych. Będzie można żądać silniejszego niż dotychczas zabezpieczenia prywatnych urządzeń cyfrowych - zastąpienia setek pinów i haseł jednym prywatnym identyfikatorem biometrycznym.

Upowszechniając podpis elektroniczny możemy większość naszych zleceń podpisywać elektronicznie bez potrzeby przekazywania kontrahentowi naszych danych, gwarantując nasze zobowiązania oraz unikając możliwości ich "kradzieży". Wprowadzenie w przyszłości elektronicznego europejskiego identyfikatora (eID) obywatela da nam możliwość ograniczenia konieczności "rozsiewania" naszych danych osobowych. Zamiast nich podajemy tylko eID, do którego nasze dane znajdują się tylko w jednym dobrze chronionym miejscu i mogą być udostępnione tylko w dobrze uzasadnionych przypadkach. Z kolei powszechność technik informacyjnych może też być wykorzystana do informowania nas o każdym przypadku wykorzystania naszych danych osobowych - podobnie jak obecnie są świadczone usługi informowania o operacjach bankowych SMS-em. To są tylko możliwości pozytywnego wspomagania naszej "prywatności" przez techniki informacyjne.

Wacław Iszkowski jest prezesem zarządu Polskiej Izby Informatyki i Telekomunikacji.


TOP 200