Histeria RODO




Piszę w 7 punktach o sprawie wejścia w życie RODO, już po 25 maja – bo sprawy są dalej ważne i nie wolno ich odpuścić: przez zapomnienie (bo już szczyt zainteresowania RODO minął), albo przez zaniechanie całego długiego procesu wdrażania i budowania świadomości wagi ochrony prywatności.

1. WEJŚCIE W ŻYCIE

No i stało się.

Europejskie Rozporządzenie o Ochronie Danych Osobowych weszło w życie w piątek, 25 maja. Dziennikarze zrobili wysiłek, żeby o tym mówić i informować – lecz tylko niewielu wiedziało, o czym mówi. Dominowała w całym świecie histeria.

Niektóre amerykańskie portale ( history.com czy Los Angeles Times’ news website) zamknęły lub ograniczyły dostęp dla Europejczyków tłumacząc, że nie są w stanie dostosować się do RODO. Znana firma analizująca media społecznościowe Klout zrezygnowała z wypełniana wymogów RODO i zamyka działalność. Każdy z nas otrzymał dziesiątki maili od różnych sieciowych kooperantów, ja ich otrzymałem przeszło dwie setki w ostatnich dniach – z pytaniami o kontakt, jego podtrzymanie i zgodę na bycie w bazie danych ( a przecież jeśli zgoda była wcześniej dana świadomie i poprawnie, to nie trzeba o to pytać, funkcjonuje dalej). Niewiedza wywołała histerię.

Zamiast spokojnego tłumaczenia, czym nowe regulacje są – wielu komentatorów siało panikę: że straszne kary zaraz spadną na biznes, że nic nie można zrobić ( nawet utworzyć prostego zbioru ż zbioru danych), bo jest RODO, że po co to wszystko, skoro i tak firmy nie oddadzą nam kontroli nad naszymi danymi…. No, właśnie – więcej Histerii, niż Rozumu.

2. A CZASU BYŁO DUŻO….

Czasu na przygotowanie kampanii oraz informacji było dużo. 2 lata od przyjęcia dokumentu w Parlamencie Europejskim do wejścia w życie! Ale żyjemy także, a może przede wszystkim, szczególnie w Sieci – łapaniem chwili i skupieniem uwagi na czymś tylko na chwilę. Wchodzimy zatem w erę RODO – dosyć średnio przygotowani. Wiele krajów europejskich jest w takiej sytuacji, jak Polska – RODO weszło, ale ustawa wprowadzająca i zmieniająca dziesiątki przepisów prawnych ( w Polsce około 200) jest opóźniona i nie jest pewne, czy wejdzie w życie przed wakacjami.

A do tego, instytucja mająca pomagać i wyjaśniać trudne sprawy – w Polsce się przepoczwarza: z GIODO na UODO ( Urząd Ochrony Danych Osobowych). To nie była mądra decyzja – tym bardziej, że jest sporo wątpliwości, czy nowe UODO utrzyma niezbędną dla swojej funkcji polityczną niezależność – tak, jak miało ją GIODO.

Przy okazji tych jeszcze trwających prac nad pełnym wdrożeniem spójności między RODO a polskimi przepisami w różnych dziedzinach warto kilku rzeczy dopilnować. Wszystkich przepisów dotyczących możliwości korzystania ze specjalnie wrażliwych danych osobowych, jakimi są dane zdrowotne. Wszystkich przepisów dających na dziś służbom ( policji i wielu innym) prawo do inwigilacji danych bez szacunku dla europejskich przepisów ( tzw. dyrektywa o policji towarzysząca RODO). Czy np.niedawno wprowadzonych przepisów o kamerach w komisjach i lokalach wyborczych ( i tak nie ma pieniędzy na ich instalację) – muszą być jasne i prawnie zdefiniowane precyzyjne reguły ich funkcjonowania, określony cel, poszanowanie dla tajności wyborów, opisany zakres zbieranych danych, czyli zgodność z RODO.

3. RODO JAKO FUNDAMENT

RODO staje się fundamentem nowego zaufania w świecie cyfrowym, bez którego rewolucja cyfrowa nie rozwinie się dalej.

Bo bez ochrony danych, naszego, indywidualnego panowania nad nimi ( nad naszymi danymi) nie
będzie klimatu zaufania do przetwarzania danych. Do przesyłania danych o naszym zdrowiu w bezpieczny sposób z urządzeń, które mierzą stan tego zdrowia, byśmy szybciej ratowali zdrowie i życie, i szykowali spersonalizowane leczenie. Do zarządzania w nowy sposób ruchem na ulicach, gdzie już nie chodzi o sprawność potoku zielonego światła, ale unikanie kolizji między pojazdami tak, by było o wiele bezpieczniej, niż teraz ( dane muszą „pracować”, różne urządzenia muszą się ze sobą komunikować, a my jesteśmy fragmentem tych danych).

Dlatego rozwijanie świadomości wagi ochrony danych jest dalej zadaniem. Zarówno dla nas użytkowników, jak i dla biznesu, bo jemu też się opłaci budować zaufanie z klientami.

Co jest specjalnie ważne ?

4.TERAZ JA JESTEM WŁAŚCICIELEM DANYCH

Od 25 maja każdy z nas w pełni jest podmiotem ( w sensie prawnym) mającym wszystkie możliwości decydowania o własnych danych. Wyrażamy zgodę na ich użycie, musimy być o to spytani. Dawniej byliśmy pytani, nie chciało nam się odpowiadać patrząc na szeregi małych literek w skomplikowanych regulaminach i pytający nas – brał brak odpowiedzi za dobrą monetę: wedle domniemania uznawał, że wyraziliśmy zgodę. Stąd niektóre firmy albo dziś pytają o zgodę, albo wyrzucają całe kolekcje danych, bo według nowego prawa są one nielegalne. A dzisiaj musimy w jasny ( afirmatywny) sposób wyrazić konkretną zgodę – kliknąć w odpowiednie okienko.

Mogę o dane pytać firmę, czy instytucję, która je zbiera – pytać o zestaw danych na mój temat, o cele ich zbierania, o zabezpieczenia. Mogę wreszcie przenosząc się z usługami do innej, nowej firmy poprosić skutecznie o przeniesienie wszystkich moich danych ( w formacie do rozczytania na każdym urządzeniu) bez zostawiania ich w bazie swojego poprzedniego usługodawcy ( choć niektóre dane nie będące archiwalnymi mogą pozostać dla zabezpieczeń firmy, kiedy byłaby pytana o relacje z nami). Mogę z uzasadnieniem żądać usunięcia moich danych dotyczących spraw i faktów już nie istniejących ( stary wyrok etc.) – tzw.prawo do zapomnienia. Choć dotyczy to również usunięcia danych, które już nie są niezbędne do celów, dla których je zebrano. A firma, żeby tę nową umowę społeczną w sprawie danych realizować – musi przygotować u siebie rejestr czynności przetwarzania danych. To nie to samo, co operacje przetwarzania danych. Ale to porządkuje i w firmie, i dla nas – wiedzę o tym, do czego te dane służą, jaki jest cel ich gromadzenia.

I wtedy mogę ograniczać dyspozycje dotyczące danych – zgadzać się na wszystko, albo z informacji uzyskanych od firmy wyłuskać te funkcje wykorzystywania danych, co do których mam wątpliwości. Daję więc zgodę, ale mogę ograniczyć prawo do profilowania.

[b]5. CZY CHCĘ ŻEBY MOJE DANE PRZETWARZANO ?

Dziś już wiemy, że nie chodzi tylko o nasze dane, żeby sobie gdzieś były, i żeby miano dzięki nim kontakt z nami. Dane dzisiaj – to nasze dane najprostsze ( adresy realne i wirtualne IP) , ale i dane o nas, dane, które sami tworzymy – treści naszych postów, wyrazy naszych zachowań, nasze wybory dokonywane poprzez kliknięcia. Wszystko to daje się algorytmicznie opracować w nasz profil: obraz naszych preferencji.

Czy chcemy, żeby wiedza o naszych preferencjach była do czegoś wykorzystywana ? To pytanie do nas – i mamy już teraz, dzięki RODO podstawy prawne, by dokonać wyboru i na nie odpowiedzieć.

Ale też musimy rozumieć, że część danych i ich przetwarzanie służy celom publicznym. Nie możemy ich zabrać np.danych z rejestru państwowego dotyczącego spraw cywilnych, bo zakłócalibyśmy sprawność funkcjonowania życia publicznego. Podobnie z przetwarzaniem danych w imię uzasadnionego interesu publicznego – statystyka służąca badaniu trendów. RODO podkreśla, że przy naszej zgodzie i przy braniu pod uwagę interesu publicznego – można dane przetwarzać. Bo to kluczowe dla współczesnego świata. Ale też nasze dane powinny być wtedy pseudonimizowane ( są schowane, ale istnieje klucz do ich deszyfracji, choć zabezpieczony i w innym miejscu, czyli pseudonimizacja jest odwracalna), albo w pełni anonimizowane. Po anonimizacji już nie można wrócić do identyfikacji danych z konkretnymi osobami.

Pseudonimizacja i anonimizacja tworzą ramy dla nowego świata danych. Dla ich przetwarzania w celach badawczych – co zresztą w RODO jest jasno powiedziane.

Niektóre dane, które otworzyliśmy ( daliśmy zgodę na ich wykorzystanie) dla kogoś drugiego, np.dla lekarza, który później w oparciu o nie dokonał analiz naszego stanu zdrowia i ma wnioski – stają się tzw.danymi wywiedzionymi i wywnioskowanymi, których już nie możemy wycofać (zapomnieć), ani przenieść. Podobnie z danymi po analizie, które mówią o naszej zdolności kredytowej. Nie zmienia to faktu, że te dane powinny być specjalnie zabezpieczone procedurą pseudonimizacji i anonimizacji oraz rozwiązaniami kryptograficzmi ( powinny być zaszyfrowane).

6. ZARZĄDZAJMY DANYMI I CHROŃMY DZIECI

Z tego wszystkiego wynika, że stajemy się w olbrzymiej masie przypadków panami sytuacji ( nie odzyskujemy władztwa nad danymi, gdyż nigdy takich uprawnień nie mieliśmy) – właścicielami danych, i mamy nimi zarządzać. To musi być aktywne, jeśli ma być efektywne. Bierność jest niebezpieczna – bo wtedy w świetle prawa tracimy kontrolę na własne życzenie.

I mamy też narzędzie obrony – jeśli uważamy że nasz „partner w danych” nie wypełnia swojej roli, łamie zasady, np.w sytuacji wycieku danych – nie poinformowałby nas o tym ( co w świetle prawa musi zrobić), to mamy ścieżkę sądową. I to jest potwierdzenie stabilności naszego prawa do prywatności.

To prawo obejmuje także dzieci.

Ochrona prywatności dzieci jest kluczowa. Często są one bardziej narażone – przez dostęp do ich danych – na ataki, pokusy i przestępstwa. Szkoda co prawda, że dla uproszczenia procedur i działania prawa w Polsce – samodzielność dzieci w ich wyborach w Sieci nie zeszła co do wieku niżej: do 13 lat i został poziom lat 16. To oznacza, że przy olbrzymiej skali uczestnictwa w Internecie dzieciaki dopiero w wieku 16 lat uzyskają wszystkie uprawnienia decyzyjne – choć często są bardziej świadome Sieci, niż ich rodzice. Ale też zgoda rodziców wyrażana za dzieci nie jest potrzebna wszędzie. Rodzice muszą wyrazić zgodę za dziecko, jeśli ono uczestniczy w usługach, także cyfrowych z mocy umowy cywilnej ( i to było wcześniej), albo jeśli wymagana jest wprost zgoda na przetwarzanie danych ( udział dziecka w jakiejś akcji internetowej, gdzie trzeba podać dane). Jeżeli korzystanie z usługi wynika z regulaminu uczestnictwa, np.w sieci społecznościowej – ta zgoda nie jest wymagana. I wiele praktycznych rozwiązań w świetle RODO będzie możliwych bez nadmiaru biurokracji.

No właśnie, biurokracja. Co dla mądrego wdrożenia RODO jest potrzebne, co jest kluczowe na najbliższe miesiące ?

7. CO TERAZ TRZEBA ZROBIĆ ?

Pięć spraw.

Pierwsza, to jasne i zrozumiałe prawo – nad czym w Polsce jeszcze trzeba popracować, żeby nie było problemów interpretacyjnych między RODO a innymi ustawami, których na dziś nie dostosowano do RODO. Praca nad ustawą wdrożeniową musi być wspólna, przejrzysta i nastawiona na wartości RODO, a nie chronienie się przed RODO.

Druga, to przygotowanie firm z ich regulaminami, rejestrami, wiedzą, organizacją pracy, przeszkoleniem administratorów różnych zadań, gdzie dane są używane i nawiązaniem kontaktu z klientami wedle nowej formuły – RODO. I bez traktowania RODO jako wyłącznie obciążenia komplikującego życie, a nie szansy na nowy rozwój firm.

Trzecia, to techniczne rozwiązania firm oferujące prostą informację, co się zmienia, ale i programy zapewniające dbałość o ochronę danych – takie założenie z góry, że wszystkie operacje techniczne muszą chronić dane. I że odpowiednie oprogramowania dadzą nam narzędzia do wyboru decyzji, do zarządzania naszymi danymi w sposób prosty.

Czwarte, to instytucjonalna pomoc m.in.władz publicznych dla firm i użytkowników. I nie chodzi tu tylko o działania Ministerstwa Cyfryzacji, ale przede wszystkim o siłę instytucjonalną sieci wsparcia dla RODO ( sprawność organizacji UODO, zasoby ludzkie i kompetencje, szybkość reagowania – ale też i jakość porad prawnych usług w tym zakresie funkcjonujących na rynku).

Piąte, to rosnąca i rosnąca świadomość wagi spraw ochrony prywatności. Jest wspaniały Panoptykon, który wykonuje wielką pracę promocyjno-uświadamiającą, ale media są tu słabym ogniwem, bo uczestniczyły prawie wyłącznie w histerii 25 maja.

Bez wzrostu świadomości spraw ochrony prywatności – albo będziemy żyli w lęku przed tym, co dzieje się z naszymi danymi, albo w histerii – że nie wiadomo, co się w ogóle dzieje, albo staniemy się biernymi pionkami na szachownicy świata gry wielkimi danymi.

Lepiej wybrać to, co RODO oferuje – być świadomym uczestnikiem świata Internetu.