Temat ochrony danych osobowych chodzi za mną od dłuższego czasu, do tej pory mówiłem sobie: jutro napiszę. I mówiłem tak codziennie rano od kilku lat :). Jednak nadchodzi RODO1, postanowiłem więc zając się tym bliżej, tym bardziej, że dotychczasowe przepisy już nastręczały wielu problemów.
Dzisiaj o obecnym stanie prawnym, na dniach o RODO…
Generalnie prawo to normy prawne czyli reguły. Reguły w każdym języku budowane są z pojęć o określonym znaczeniu i predykatów. Tym razem postanowiłem wskazać przyczyny problemów jakie są z obecnym prawem i jakie nadchodzą, ze stosowaniem nowego prawa o ochronie danych osobowych.
Kluczem są pojęcia i ich znaczenia, bo one i ich definicje, wskazują na określone desygnaty, czyli to czego (jakiego podmiotu lub przedmiotu) te pojęcia dotyczą. Przykład: jeżeli ktoś ustanowi normę mówiącą, że (nigdy) nie wolno wprowadzać psów na teren szpitala, to stosowanie tej normy (lub ukaranie za nie zastosowanie się) wymaga rozumienia i interpretacji pojęć: wprowadzić, pies i szpital (nigdy i nie wolno to predykaty). Definicje tych pojęć muszą być ścisłe, czyli muszą pozwalać na bezwzględne odróżnianie np. psów od niepsów czy szpitala od nieszpitala. Bez tego stosowanie normy staje się praktycznie niemożliwe lub bardzo trudne z powodu trudnego klasyfikowania zdarzeń (czynów) i przedmiotów.
Popatrzmy więc na wybrane definicje i normy, w których ich użyto. Na początek jednak kilka definicji słownikowych (sjp.pwn.pl):
dane: 2. ?informacje przetwarzane przez komputer?
informacja: 1. ?to, co powiedziano lub napisano o kimś lub o czymś, także zakomunikowanie czegoś?
osoba: 1. ?jednostka ludzka?,
osoba fizyczna: ?wobec prawa: każdy człowiek od chwili urodzenia do chwili śmierci?
przechowywać: 3. ?uchronić coś przed zapomnieniem?
przetwarzać: 3. ?opracować zebrane dane, informacje itp., wykorzystując technikę komputerową?
prywatny: 2. ?niepodlegający państwu ani żadnym instytucjom publicznym?, 3. ?dotyczący czyichś spraw osobistych i rodzinnych?
GIODO, w kwestii ochrony danych osobowych, przywołuje dwa niżej wymienione artykuły Konstytucji z 1997 r., te stanowią jedynie:
Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.
Art. 51.
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Życie prywatne to to, co robimy poza przestrzenią publiczną, informacje (wiedza) o tym życiu to element naszej prywatności.
W rzeczonej Ustawie, są jednak problemy. Ustawodawca definiuje:
Art. 6.
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Jeżeli wszelkie, to nie tylko te dotyczące życia prywatnego ale także te, dotyczące jej przebywania w przestrzeni publicznej czy funkcjonowania w życiu publicznym i gospodarce. To prowadzi do pewnego problemu: np. ktoś był w miejscu publicznym i został zarejestrowany na zdjęciu lub filmie, jest to reporterska relacja, która przede wszystkim będzie przechowywana w redakcji, materiał może być wykorzystany w prasie lub telewizji. Ktoś złożył reklamacje dotycząca przedmiotu lub usługi, która kupił, to fakt jaki miał miejsce. A to tylko fragment typowej rzeczywistości. Jest bardzo wiele nieszkodliwych ankiet ulicznych, petycji itp. gdzie mamy dane osoby, dane czasu i miejsca złożenia podpisu.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Możliwość identyfikacji osoby mamy niemalże zawsze, zapisanie imienia i nazwiska, zdjęcie, adres poczty elektronicznej i numer telefonu są unikalne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.2
Tu mój konik: jak brzmi definicja „nadmierności”?
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych ? rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
Nie mam pojęcia skąd ta potrzeba by dane miały jakąkolwiek strukturę, czyżby specjalista od relacyjnych baz danych maczał palce w tworzeniu tych definicji? Jeżeli opisze jakąś osobę z użyciem niestrukturalnej prozy, to już nie są to dane osobowe?
2) przetwarzaniu danych ? rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
Tu niestety kolejny problem: zrównano pojęcie przetwarzania z przechowywaniem. Ten zapis masakruje wszelkie usługi outsourcingu.
2a) systemie informatycznym ? rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
To ten moment, gdy nie rozumiem celu: po co umieszczać w ustawie wskazanie na technologię i metodę przetwarzania i przechowywania? Generalnie niejasny jest cel tej ustawy, tym bardziej, że w pewnych obszarach jest praktycznie niemożliwa do egzekwowania, głównie z tego powodu, że pojęcie przechowywania i przetwarzania dotyczy także metod operujących np. na papierowym nośniku, że nie wspomnę o ludzkim umyśle.
Mam świadomość, że powstanie tej ustawy w obecnym kształcie to efekt zabiegów lobbystów, szczególnie osób i organizacji forsujących idee prywatności w przestrzeni publicznej a także rzeszy zwolenników usuwania danych o historii, co jest niestety absurdalne. Skutkiem działań tych lobbystów są niespójności logiczne norm zawartych w tej ustawie i ogromne trudności w jej stosowaniu. Poniżej model pojęciowy dla dziedziny danych osobowych:
Dane to informacje, mogą dotyczyć osoby i wtedy nazywamy jej danymi osobowymi. Jednak warto mieć świadomość, że dane są przechowywane na nośnikach, co do których nie zawsze mamy wiedzę o ich miejscu przechowywania i nie zawsze dane są z nich usuwalne. Dane osobowe to generalnie informacje o cechach osób i faktach ich dotyczących. Cechy np. ludzi są ich immanentnym elementem i są (raczej) niezmienne, jednak fakty to zapis tego co zaszło i przybywa ich w czasie, to co zaszło to niezmienna historia. Fakty mogą dotyczyć zdarzeń publicznych lub prywatnych (ogólnie niepublicznych) usuwanie opisów wybranych faktów z historii to jej fałszowanie (cenzurowanie). Warto nie zapominać, że intymne cechy ciała człowieka także nie są danymi publicznymi (np. zdjęcia nago) jednak to na tym człowieku spoczywa odpowiedzialność za ich prezentację w miejscach publicznych.
Podstawowe problemy z jakimi spotykają się podmioty przetwarzające dane to stosowanie się do tej ustawy w obszarach danych pozyskanych w miejscach publicznych, pozyskanych w toku legalnej działalności, zarejestrowanych danych o faktach jakie zaszły w miejscach publicznych oraz kwestie usuwania informacji o historii. Przestrzeń publiczna z natury nie tworzy faktów o prywatności, są one – informacje o tym co zaszło w przestrzeni publicznej – powszechnie dostępne, szczególnie dla ludzi obecnych w tym samym miejscu i czasie. W efekcie posiadanie danych publicznych o danej osobie jest możliwe, nie wymaga ani jej zgody ani łamania prawa, by dane te posiadać. Kolejny problem to kwestia tak zwanego prawa do zapomnienia. Jeden z wielu przykładów problemu opisała rok temu Gazeta Prawna:
Choć portal ten jest lustrzanym odbiciem informacji zawartych w KRS, to coraz więcej osób domaga się usuwania swoich danych. Co najmniej raz w tygodniu ktoś albo bezpośrednio, albo poprzez kancelarię prawną przesyła taki wniosek. Powód zawsze jest ten sam ? nie chce być kojarzony z jakąś działalnością z przeszłości. Rodzi się pytanie, czy ma prawo do bycia zapomnianym? (źr. : Prawo do bycia zapomnianym nie ma charakteru absolutnego – Prawo i wymiar sprawiedliwości – GazetaPrawna.pl)
Opisane w tym artykule żądania wręcz przeczą prawom fizyki. Prawo do zapomnienia jest praktycznie niemożliwe do realizacji w ludzkiej pamięci czy setkach papierowych kopii istniejących dokumentów. Pisałem już o tym problemie już w 2014 roku:
?Założyciel Wikipedii, Jimmy Wales nie owija w bawełnę ? jego zdaniem ?prawo do bycia zapomnianym? to po prostu cenzura?. I moim zdaniem ma trochę racji, ale to ?prawo? to po protu próba ?łamania praw fizyki?, historii nie zmieniamy?W kwestii chciejstwa ludzi: Amerykański koncern Google poinformował w czwartek, że w ciągu miesiąca otrzymał 70 tys. wniosków od europejskich użytkowników chcących usunięcia pewnych wyników podawanych przez jego wyszukiwarkę w ramach zagwarantowania ?prawa do bycia zapomnianym? (Google otrzymał 70 tys. wniosków o ?bycie zapomnianym? ? It). Niestety realnie, w naturze, i tak nikt nie ma gwarantowanego ?prawa do bycia zapomnianym?. (źr. : Praw fyzyki Pan nie złamiesz i nie bądź Pan głąb | | Jarosław Żeliński IT-Consulting)
Wprowadzanie do prawa stanowionego norm gwałcących prawa przyrody, to brak logiki który zawsze prowadzi do nadużyć i patologicznego stosowania tego prawa.
Co przed nami? W RODO np. czytamy, że „Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej” ale już trzy akapity dalej czytamy, że „Prawo do ochrony danych osobowych nie jest prawem bezwzględnym;”, więc mamy to prawo czy go nie mamy? Dokument Rozporządzenie 2016/679 o ochronie danych osobowych (RODO) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w znacznej mierze stanowi sobą listę enumeratywnie wyszczególnionych przypadków przetwarzania danych i ich ochrony, stosowanie tego prawa będzie bardzo trudne.
Za zakończenie. Nie było tu moim celem dawanie wskazówek, jak wdrażać RODO, jest wiele publikacji na ten temat. Celem moim było zrozumienie i pokazanie dlaczego jego wdrażanie nie będzie łatwe… Należy życzyć powodzenia i cierpliwości administratorom serwerów oraz inwencji stronom prawników w nadchodzących sporach… Mi pozostaje ubolewanie nad tym, że prawo współtworzą lobbyści…
c.d.n.
Cytowana w artykule ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. przestanie już wkrótce obowiązywać (25 maja 2018, jak głosi GP 27.03.2018).
Natomiast ciekawa byłaby zatem analiza i model pojęciowy w oparciu o nowe przepisy ustawy i rozporządzenie RODO.
Z moich obserwacji wynika, że wdrożenie nowych regulacji stanowi duży koszt organizacyjno-technologiczny w całej gospodarce (ciekawe czy ktoś to policzy lub oszacuje), a wyspecjalizowanym firmom i dostawcom rozwiazań przechowujących dane osobowe wygenerowały dodatkowe przychody.
Owszem „stara ustawa” odejdzie ale rewolucji w samych definicjach raczej nie ma, w modelu pojęciowym owszem bo zmienia się diametralnie zakres ochrony i chronionych informacji. Pracuje nad modelem dla RODO, chwilkę to potrwa ;).
Całość RODO wygląda mi bardzo niespójnie, żeby nie powiedzieć niechlujnie. Patrząc na treść nowego rozporządzenia mam przed oczami wielką bitwę lobbystów a RODO to krajobraz po tej bitwie… Obawiam się, że teoretycy prawa przegrali…
Ja także odnoszę wrażenie, że głównymi lobbystami były tu firmy doradcze, wdrażające nowe regulacje, oraz wszyscy Ci, którzy bardzo chcą by nie pozostawiać po sobie śladów, żądając od firm „zapominania” o sobie.
„Natomiast ciekawa byłaby zatem analiza i model pojęciowy w oparciu o nowe przepisy ustawy i rozporządzenie RODO.”
Właśnie się przymierzam, jest gdzieś lista aktualnych regulacji w tym obszarze?
Jak z każdym prawem- wbrew pozorom nie jest łatwo go wprowadzić. Miejmy nadzieje, że nie będzie z tego aż tak dużych sporów. Pozdrawiam.
Jest już kontynuacja o RODO, zapraszam na stronę http://it-consulting.pl/autoinstalator/wordpress/2018/06/03/rodo-blaski-i-cienie/