Iluzja ochrony podstawowych danych osobowych
Artykuł ten stanowił kanwę prezentacji przedstawionej na Konferencji GIODO, "Prawo do prywatności w społeczeństwie nadzorowanym", zorganizowanej z okazji 10 rocznicy uchwalenia ustawy o ochronie danych osobowych. Tezy zawarte w artykule wyrażają jedynie osobiste poglądy Autora i nie są oficjalnym stanowiskiem Polskiej Izby Informatyki i Telekomunikacji
Prace nad opracowaniem ustawy o ochronie danych osobowych zaczęły się już w 1992 roku, a sama ustawa została uchwalona dopiero w sierpniu 1997 roku. Ten długi okres przygotowywania ustawy pozwolił na przedyskutowanie konsekwencji zapisów, a także na przygotowanie obywateli i podmiotów do jej stosowania. Ważne było uświadomienie obywatelom, że ich dane osobowe są dobrem mającym być chronionym przez tych, którzy z uzasadnionych powodów dysponują tymi informacjami.
Ponad już dziesięcioletni okres działania ustawy upowszechnił zasady ochrony danych osobowych poprzez stosowanie określonych zapisami ustawy procedur gromadzenia, przetwarzania i korzystania ze zbiorów danych, a także dał obywatelowi prawo do ochrony oraz wglądu do jego gromadzonych danych osobowych. Dzisiaj powinniśmy więc się cieszyć z istnienia tej ustawy i dbać o jej dalsze działanie dla dobra obywateli.
Niestety, dzisiaj należy się poważnie zastanowić, czy podstawowe zasady tej ustawy są dalej możliwe do realizacji i czy przypadkiem nie należy niektóre z tych zasad zmienić. Podejmując to wyzwanie jestem skłonny stwierdzić - „Ochrona podstawowych danych osobowych jest iluzją".
[Uwaga z prezentacji: "Stwierdzenie, że ochrona danych osobowych jest iluzją oznacza, że chociaż istnieje ochrona prawna gwarantująca ochronę danych osobowych, to praktycznie z powodów technicznych i organizacyjnych, pozostaje tylko ochrona prawna, która jest też słabo skuteczna w praktyce długotrwałych procedur sądowych".]
Podstawą takiego stwierdzenia jest konstatacja, że obecnie że obecnie nie ma sensu i powodu , a przede wszystkim technicznej i organizacyjnej możliwości rzetelnej możliwości ochrony takich podstawowych danych osobowych jak: imię, nazwisko, data i miejsce urodzenia, numer Pesel, imiona rodziców i nazwisko rodowe, adres zamieszkania lub korespondencyjny, adres poczty elektronicznej, numer telefonu stacjonarnego i komórkowego, wizerunek oraz lokalizacja miejsca pobytu.
A teraz po tym dość szokującym stwierdzeniu kilka argumentów:
W Polsce nie są w pełni chronione te dane osobowe co najmniej 2-3 milionów Polaków – prowadzących działalność gospodarczą na własny rachunek, wolnych zawodów oraz osób publicznych.
W wielu przypadkach nasze podstawowe dane osobowe zanim trafią do chronionego rejestru są wielokrotnie przeglądane przez osoby, od których nie wymaga się zachowania tych danych w tajemnicy, a które ot tak sobie na nie zerkną i czasem zapamiętają – a potem nie tylko w małym miasteczku wszyscy o wszystkich sporo wiedzą.
Przykładowo:
* Każda recepta w aptece jest nośnikiem prawie pełnych danych osobowych, łącznie z numerem Pesel pacjenta. A recepty te są wielokrotnie przeglądane i przechowywane w aptekach, a następnie w oddziałach NFZ,
* Prawie każdy obywatel jest prawie codziennie spisywany wraz z nieuzasadnionym niczym kserowaniem dowodu osobistego włącznie przez podmioty publiczne i gospodarcze,
Nasze dane są spisywane w książkach wejść do wielu budynków użyteczności publicznej, firm oraz nawet miejsc zamieszkania, a książki te są słabo jeśli w ogóle chronione.
* Dodatkowo jesteśmy wielokrotnie monitorowani w budynkach, windach, bankach, hotelach, dworcach, sklepach, w szkołach i na ulicach – nawet o tym nie wiedząc. Już tysiące, a niebawem miliony kamer będą monitorować każdy nasz ruch, gromadząc te informacje na nośnikach, które również są z reguły słabo chronione.
* Jesteśmy również identyfikowani pośrednio poprzez nagminne już zapisywanie numerów rejestracyjnych naszych samochodów przy wjazdach na parkingi oraz na stacjach benzynowych, a także poprzez lokalizowanie naszych telefonów komórkowych oraz transakcji kartowych.
Nasze dane osobowe są z upoważnienia ustawowego dostępne, praktycznie bez żadnej zewnętrznej kontroli, dla coraz większej liczby służb specjalnych. Coraz częściej służby te opierają swoje działania operacyjne na przesiewaniu baz danych osobowych, przy czym w tych operacjach mają dostęp również do danych osób tylko przypadkowo pojawiających się przy analizowanym przestępstwie. Często osoby te już zostają naznaczone jako „zamieszane" w ten rodzaj przestępstwa, tracą na zawsze „prywatność", a raz zebrane dane osobowe są już stale przechowywane i dostępne. Służby dostają też prawo przeszukiwania informacji zapisanych w prywatnych urządzeniach cyfrowych – telefonach, komputerach – bez nakazu prokuratora. I żeby nie było wątpliwości, doceniam rolę tych służb w zapewnieniu bezpieczeństwa Państwa i Obywateli, ale niestety dane pozyskiwane przez te służby, pomimo istnienia rygorystycznych zasad ochrony informacji niejawnych, zbyt łatwo i często bywają publicznie dostępne – gdy jakieś z mediów do nich „dotrze".
Nasze dane osobowe gromadzone w Polsce „wyciekają" za granicę – oficjalnie w przypadku listy pasażerów do USA oraz przy przekraczaniu granicy czy rejestracji w zagranicznych hotelach i nieoficjalnie, gdy są sprzedawane firmom marketingowym oraz gdy niefrasobliwie są udostępniane przez użytkowników „podejrzanych" witryn internetowych. •
Nasze dane osobowe – te zapisane w formie papierowej oraz te w formie elektronicznej nie są profesjonalnie niszczone, co powoduje że wiele z nich jest dostępne na wysypisku lub dla przypadkowych użytkowników „złomowanego" sprzętu komputerowego, a już „na zawsze" są gromadzone w zbiorach sieci internetowej.
Z tych kilku wybranych przykładów wyłania się obraz „klęski" ochrony podstawowych danych osobowych – gdyż obecnie nawet najbardziej rozbudowane biuro GIODO, wyposażone ustawowo w coraz ostrzejsze kary – jeszcze tylko w wymiarze finansowym - nie jest w stanie zweryfikować poprawności gromadzenia, przechowywania, udostępniania oraz niszczenia tych lawinowo rosnących zbiorów informacji osobowych.
Powtórzmy więc naszą tezę: „Ochrona podstawowych danych osobowych jest iluzją".
Konsekwencją przyjęcia tej tezy jest stwierdzenie, że podstawowe dane osobowe nie powinny być ustawowo chronione. Za przyjęciem takiego rozwiązania nasuwają się najpierw proste argumenty:
Mniej byłoby problemów z odszukaniem osoby zamieszkałej w danym budynku oraz adresu oraz numeru telefonu osoby, z którą chcemy się spotkać lub też zamierzamy pozwać w procesie cywilnym (znany przypadek publicznej prośby byłego premiera o ujawnienie adresu zamieszkania obecnego ministra sprawiedliwości w celu wysłania mu pozwu).
Brak konieczności uzyskiwania potwierdzeń zgody od milionów osób na publikację ich danych w wykazach telefonicznych, czy też w innych zbiorach informacji ułatwiających wszystkim codzienne funkcjonowanie. •
Radykalne zmniejszenie kosztów obsługi baz danych osobowych, łącznie z koniecznością zatrudnienia specjalnie przeszkolonych pracowników, a tym samym możliwość skupienia się na rzeczywistym i szczelnym systemie ochrony danych wrażliwych, szczególnie chronionych – innych niż dane podstawowe. Tutaj podkreślam, że dane wrażliwe powinny być dalej chronione i to jeszcze efektywniej niż dotychczas, co jest możliwe gdyż dane te są zbierane i wykorzystywane w ściśle określonych przypadkach.
Pomimo obecnej ochrony danych osobowych, a może właśnie że oficjalnie ona istnieje, coraz to nieoczekiwanie dowiadujemy się o kradzieży tożsamości – przeważnie poprzez kradzież dowodu osobistego lub tylko poprzez słowne podanie danych innej osoby – co umożliwia wzięcie kredytu lub zaaresztowanie niewinnej osoby. Zapewne łatwiejszy dostęp do naszych podstawowych danych osobowych dałby szansę na szybsze zweryfikowanie oszustwa, bo teraz wymaga to zawsze jakiejś procedury, a czasem to właśnie czas jest istotny.
I argument z USA. Tam można się dowiedzieć poprzez internet o miejscu zamieszkania i numerze telefonu praktycznie każdego obywatela zamieszkałego w Stanach, a dodatkowo za 50$ można uzyskać wyczerpujący opis jego działalności z zawartością konta bankowego oraz ewentualnie jego przeszłość kryminalną. I czy z tego powodu Amerykanie uważają, że ich prawa obywatelskie do prywatności są naruszane?
Dzisiaj nowoczesne techniki informacyjne umożliwiają wszechstronną i wszechobecną inwigilację każdego z obywateli, nawet opalającego się na bezludnej wyspie. Dalsze zinformatyzowanie administracji oraz każdego rodzaju działalności w połączeniu z nowymi gadżetami elektronicznymi otoczy każdego powłoką informacyjną, która z jednej strony będzie mu ułatwiać – ba, wręcz umożliwiać funkcjonowanie w społeczeństwie, ale też będzie on mógł być poddany prawnie usankcjonowanej totalnej inwigilacji oraz może się znaleźć w zasięgu dobrze wyposażonych w elektroniczne gadżety grup przestępczych. Obecne systemy zabezpieczeń technikami informatycznymi są już zbyt słabe aby móc skutecznie ochronić każdego z nas. Dlatego też uczciwsze będzie powiedzenie – obywatelu sam zadbaj o swoje dane osobowe.
Przyjmując, że iluzją jest ochrona podstawowych danych osobowych przekazujemy osobom odpowiedzialność o zadbanie o swoje dane. Każdy powinien być świadomy komu i w jakim zakresie udziela o sobie informacji. Każdy powinien mieć świadomość konsekwencji „rozrzucania" swoich danych osobowych.
Oczywiście konieczne jest wzmocnienie prawne usankcjonowanie prawa obywatela do uzyskania od osoby fizycznej, instytucji lub firmy pełnej informacji w jakim celu ma podać swoje dane oraz jak będą one przetwarzane. W przypadku podmiotów publicznych prawo do zbierania określonych danych musi być jak dotychczas usankcjonowane ustawą. Generalny Inspektor Ochrony Danych Osobowych oraz Rzecznik Praw Obywatelskich powinny mieć ustawowo zagwarantowane, niczym nie ograniczone, prawo sprawdzania w jaki sposób i do czego podmioty publiczne, a w szczególności służby specjalne zbierają oraz korzystają ze zbiorów danych osobowych oraz danych poszczególnych osób.
Dla innych podmiotów regulacje w tym zakresie powinny być regulowane prawami konsumenta. W każdym przypadku trzeba też wzmocnić prawa obywatela do sądowego uzyskania odszkodowania za nieuprawnione pozyskanie oraz przetwarzanie jego danych osobowych, szczególnie gdy obywatel poniósł z tego tytułu określoną szkodę. W szczególnie rażących przypadkach takie prawa o wystąpienie o odszkodowanie w imieniu wielu pokrzywdzonych obywateli mógłby mieć Generalny Inspektor Ochrony Danych Osobowych.
W konkluzji powyższego - ochrona prawna danych osobowych powinna być skupiona na skutkach szkodliwego dla Obywatela wykorzystania jego danych osobowych, a nie na samych coraz ostrzejszych rygorach chronienia baz danych osobowych przez ich administratorów!
Przyjmując tezę obecnej iluzji skutecznej ochrony danych osobowych, spowodowanej między innymi nowoczesną techniką informacyjną – możemy też zacząć więcej wymagać od rozwiązań technicznych. Ta sama technika informacyjna może też dać szansę na lepszą skuteczną obronę przed nieuprawnionym wykorzystaniem naszych danych osobowych. Będzie można żądać silniejszego niż dotychczas zabezpieczenia prywatnych urządzeń cyfrowych – zastąpienia setek pinów i haseł jednym prywatnym identyfikatorem biometrycznym.
Upowszechniając podpis elektroniczny możemy większość naszych zleceń podpisywać elektronicznie bez potrzeby przekazywania kontrahentowi naszych danych, gwarantując nasze zobowiązania oraz unikając możliwości ich „kradzieży". Wprowadzenie w przyszłości elektronicznego europejskiego identyfikatora (eID) obywatela da nam możliwość ograniczenia konieczności „rozsiewania" naszych danych osobowych. Zamiast nich podajemy tylko eID, do którego nasze dane znajdują się tylko w jednym dobrze chronionym miejscu i mogą być udostępnione tylko w dobrze uzasadnionych przypadkach. Z kolei powszechność technik informacyjnych może też być wykorzystana do informowania nas o każdym przypadku wykorzystania naszych danych osobowych – podobnie jak obecnie są świadczone usługi informowania o operacjach bankowych SMS-em. To są tylko możliwości pozytywnego wspomagania naszej „prywatności" przez techniki informacyjne.
Zamiast podsumowania, apel o rozpoczęcie dyskusji o nowym podejściu do naszej „prywatności", która jest obecnie i będzie jeszcze bardziej poddawana silnym wpływom coraz silniejszemu braku równowagi pomiędzy dobrem jednostki a bezpieczeństwem społeczeństwa, że już o bezpieczeństwie Państwa nie wspomnę.
Wacław Iszkowski
23 października 2007 roku