Temat ochro­ny danych oso­bo­wych cho­dzi za mną od dłuż­sze­go cza­su, do tej pory mówi­łem sobie: jutro napi­szę. I mówi­łem tak codzien­nie rano od kil­ku lat :). Jednak nad­cho­dzi RODO1, posta­no­wi­łem więc zając się tym bli­żej, tym bar­dziej, że dotych­cza­so­we prze­pi­sy już nastrę­cza­ły wie­lu problemów.

Dzisiaj o obec­nym sta­nie praw­nym, na dniach o RODO…

Generalnie pra­wo to nor­my praw­ne czy­li regu­ły. Reguły w każ­dym języ­ku budo­wa­ne są z pojęć o okre­ślo­nym zna­cze­niu i pre­dy­ka­tów. Tym razem posta­no­wi­łem wska­zać przy­czy­ny pro­ble­mów jakie są z obec­nym pra­wem i jakie nad­cho­dzą, ze sto­so­wa­niem nowe­go pra­wa o ochro­nie danych osobowych.

Kluczem są poję­cia i ich zna­cze­nia, bo one i ich defi­ni­cje, wska­zu­ją na okre­ślo­ne desy­gna­ty, czy­li to cze­go (jakie­go pod­mio­tu lub przed­mio­tu) te poję­cia doty­czą. Przykład: jeże­li ktoś usta­no­wi nor­mę mówią­cą, że (nigdy) nie wol­no wpro­wa­dzać psów na teren szpi­ta­la, to sto­so­wa­nie tej nor­my (lub uka­ra­nie za nie zasto­so­wa­nie się) wyma­ga rozu­mie­nia i inter­pre­ta­cji pojęć: wpro­wa­dzić, pies i szpi­tal (nigdy i nie wol­no to pre­dy­ka­ty). Definicje tych pojęć muszą być ści­słe, czy­li muszą pozwa­lać na bez­względ­ne odróż­nia­nie np. psów od nie­psów czy szpi­ta­la od nie­szpi­ta­la. Bez tego sto­so­wa­nie nor­my sta­je się prak­tycz­nie nie­moż­li­we lub bar­dzo trud­ne z powo­du trud­ne­go kla­sy­fi­ko­wa­nia zda­rzeń (czy­nów) i przedmiotów.

Popatrzmy więc na wybra­ne defi­ni­cje i nor­my, w któ­rych ich uży­to. Na począ­tek jed­nak kil­ka defi­ni­cji słow­ni­ko­wych (sjp​.pwn​.pl):

dane: 2. ?infor­ma­cje prze­twa­rza­ne przez komputer?
infor­ma­cja: 1. ?to, co powie­dzia­no lub napi­sa­no o kimś lub o czymś, tak­że zako­mu­ni­ko­wa­nie czegoś?
oso­ba: 1. ?jed­nost­ka ludzka?,
oso­ba fizycz­na: ?wobec pra­wa: każ­dy czło­wiek od chwi­li uro­dze­nia do chwi­li śmierci?
prze­cho­wy­wać: 3. ?uchro­nić coś przed zapomnieniem?
prze­twa­rzać: 3. ?opra­co­wać zebra­ne dane, infor­ma­cje itp., wyko­rzy­stu­jąc tech­ni­kę komputerową?
pry­wat­ny: 2. ?nie­pod­le­ga­ją­cy pań­stwu ani żad­nym insty­tu­cjom publicz­nym?, 3. ?doty­czą­cy czy­ichś spraw oso­bi­stych i rodzinnych?

GIODO, w kwe­stii ochro­ny danych oso­bo­wych, przy­wo­łu­je dwa niżej wymie­nio­ne arty­ku­ły Konstytucji z 1997 r., te sta­no­wią jedynie:

Art. 47. Każdy ma pra­wo do ochro­ny praw­nej życia pry­wat­ne­go, rodzin­ne­go, czci i dobre­go imie­nia oraz do decy­do­wa­nia o swo­im życiu osobistym.

Art. 51.
1. Nikt nie może być obo­wią­za­ny ina­czej niż na pod­sta­wie usta­wy do ujaw­nia­nia infor­ma­cji doty­czą­cych jego osoby.
2. Władze publicz­ne nie mogą pozy­ski­wać, gro­ma­dzić i udo­stęp­niać innych infor­ma­cji o oby­wa­te­lach niż nie­zbęd­ne w demo­kra­tycz­nym pań­stwie prawnym.
3. Każdy ma pra­wo dostę­pu do doty­czą­cych go urzę­do­wych doku­men­tów i zbio­rów danych. Ograniczenie tego pra­wa może okre­ślić ustawa.
4. Każdy ma pra­wo do żąda­nia spro­sto­wa­nia oraz usu­nię­cia infor­ma­cji nie­praw­dzi­wych, nie­peł­nych lub zebra­nych w spo­sób sprzecz­ny z ustawą.
5. Zasady i tryb gro­ma­dze­nia oraz udo­stęp­nia­nia infor­ma­cji okre­śla ustawa.

Życie pry­wat­ne to to, co robi­my poza prze­strze­nią publicz­ną, infor­ma­cje (wie­dza) o tym życiu to ele­ment naszej prywatności.

W rze­czo­nej Ustawie, są jed­nak pro­ble­my. Ustawodawca definiuje:

Art. 6.
1. W rozu­mie­niu usta­wy za dane oso­bo­we uwa­ża się wszel­kie infor­ma­cje doty­czą­ce ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­by fizycznej.

Jeżeli wszel­kie, to nie tyl­ko te doty­czą­ce życia pry­wat­ne­go ale tak­że te, doty­czą­ce jej prze­by­wa­nia w prze­strze­ni publicz­nej czy funk­cjo­no­wa­nia w życiu publicz­nym i gospo­dar­ce. To pro­wa­dzi do pew­ne­go pro­ble­mu: np. ktoś był w miej­scu publicz­nym i został zare­je­stro­wa­ny na zdję­ciu lub fil­mie, jest to repor­ter­ska rela­cja, któ­ra przede wszyst­kim będzie prze­cho­wy­wa­na w redak­cji, mate­riał może być wyko­rzy­sta­ny w pra­sie lub tele­wi­zji. Ktoś zło­żył rekla­ma­cje doty­czą­ca przed­mio­tu lub usłu­gi, któ­ra kupił, to fakt jaki miał miej­sce. A to tyl­ko frag­ment typo­wej rze­czy­wi­sto­ści. Jest bar­dzo wie­le nie­szko­dli­wych ankiet ulicz­nych, pety­cji itp. gdzie mamy dane oso­by, dane cza­su i miej­sca zło­że­nia podpisu.

2. Osobą moż­li­wą do ziden­ty­fi­ko­wa­nia jest oso­ba, któ­rej toż­sa­mość moż­na okre­ślić bez­po­śred­nio lub pośred­nio, w szcze­gól­no­ści przez powo­ła­nie się na numer iden­ty­fi­ka­cyj­ny albo jeden lub kil­ka spe­cy­ficz­nych czyn­ni­ków okre­śla­ją­cych jej cechy fizycz­ne, fizjo­lo­gicz­ne, umy­sło­we, eko­no­micz­ne, kul­tu­ro­we lub społeczne.

Możliwość iden­ty­fi­ka­cji oso­by mamy nie­mal­że zawsze, zapi­sa­nie imie­nia i nazwi­ska, zdję­cie, adres pocz­ty elek­tro­nicz­nej i numer tele­fo­nu są unikalne.

3. Informacji nie uwa­ża się za umoż­li­wia­ją­cą okre­śle­nie toż­sa­mo­ści oso­by, jeże­li wyma­ga­ło­by to nad­mier­nych kosz­tów, cza­su lub dzia­łań.2

Tu mój konik: jak brzmi defi­ni­cja nad­mier­no­ści”?

Art. 7. Ilekroć w usta­wie jest mowa o:
1) zbio­rze danych ? rozu­mie się przez to każ­dy posia­da­ją­cy struk­tu­rę zestaw danych o cha­rak­te­rze oso­bo­wym, dostęp­nych według okre­ślo­nych kry­te­riów, nie­za­leż­nie od tego, czy zestaw ten jest roz­pro­szo­ny lub podzie­lo­ny funkcjonalnie;

Nie mam poję­cia skąd ta potrze­ba by dane mia­ły jaką­kol­wiek struk­tu­rę, czyż­by spe­cja­li­sta od rela­cyj­nych baz danych maczał pal­ce w two­rze­niu tych defi­ni­cji? Jeżeli opi­sze jakąś oso­bę z uży­ciem nie­struk­tu­ral­nej pro­zy, to już nie są to dane osobowe?

2) prze­twa­rza­niu danych ? rozu­mie się przez to jakie­kol­wiek ope­ra­cje wyko­ny­wa­ne na danych oso­bo­wych, takie jak zbie­ra­nie, utrwa­la­nie, prze­cho­wy­wa­nie, opra­co­wy­wa­nie, zmie­nia­nie, udo­stęp­nia­nie i usu­wa­nie, a zwłasz­cza te, któ­re wyko­nu­je się w sys­te­mach informatycznych;

Tu nie­ste­ty kolej­ny pro­blem: zrów­na­no poję­cie prze­twa­rza­nia z prze­cho­wy­wa­niem. Ten zapis masa­kru­je wszel­kie usłu­gi outsourcingu.

2a) sys­te­mie infor­ma­tycz­nym ? rozu­mie się przez to zespół współ­pra­cu­ją­cych ze sobą urzą­dzeń, pro­gra­mów, pro­ce­dur prze­twa­rza­nia infor­ma­cji i narzę­dzi pro­gra­mo­wych zasto­so­wa­nych w celu prze­twa­rza­nia danych;

To ten moment, gdy nie rozu­miem celu: po co umiesz­czać w usta­wie wska­za­nie na tech­no­lo­gię i meto­dę prze­twa­rza­nia i prze­cho­wy­wa­nia? Generalnie nie­ja­sny jest cel tej usta­wy, tym bar­dziej, że w pew­nych obsza­rach jest prak­tycz­nie nie­moż­li­wa do egze­kwo­wa­nia, głów­nie z tego powo­du, że poję­cie prze­cho­wy­wa­nia i prze­twa­rza­nia doty­czy tak­że metod ope­ru­ją­cych np. na papie­ro­wym nośni­ku, że nie wspo­mnę o ludz­kim umyśle.

Mam świa­do­mość, że powsta­nie tej usta­wy w obec­nym kształ­cie to efekt zabie­gów lob­by­stów, szcze­gól­nie osób i orga­ni­za­cji for­su­ją­cych idee pry­wat­no­ści w prze­strze­ni publicz­nej a tak­że rze­szy zwo­len­ni­ków usu­wa­nia danych o histo­rii, co jest nie­ste­ty absur­dal­ne. Skutkiem dzia­łań tych lob­by­stów są nie­spój­no­ści logicz­ne norm zawar­tych w tej usta­wie i ogrom­ne trud­no­ści w jej sto­so­wa­niu. Poniżej model poję­cio­wy dla dzie­dzi­ny danych osobowych:

Dane to infor­ma­cje, mogą doty­czyć oso­by i wte­dy nazy­wa­my jej dany­mi oso­bo­wy­mi. Jednak war­to mieć świa­do­mość, że dane są prze­cho­wy­wa­ne na nośni­kach, co do któ­rych nie zawsze mamy wie­dzę o ich miej­scu prze­cho­wy­wa­nia i nie zawsze dane są z nich usu­wal­ne. Dane oso­bo­we to gene­ral­nie infor­ma­cje o cechach osób i fak­tach ich doty­czą­cych. Cechy np. ludzi są ich imma­nent­nym ele­men­tem i są (raczej) nie­zmien­ne, jed­nak fak­ty to zapis tego co zaszło i przy­by­wa ich w cza­sie, to co zaszło to nie­zmien­na histo­ria. Fakty mogą doty­czyć zda­rzeń publicz­nych lub pry­wat­nych (ogól­nie nie­pu­blicz­nych) usu­wa­nie opi­sów wybra­nych fak­tów z histo­rii to jej fał­szo­wa­nie (cen­zu­ro­wa­nie). Warto nie zapo­mi­nać, że intym­ne cechy cia­ła czło­wie­ka tak­że nie są dany­mi publicz­ny­mi (np. zdję­cia nago) jed­nak to na tym czło­wie­ku spo­czy­wa odpo­wie­dzial­ność za ich pre­zen­ta­cję w miej­scach publicznych.

Podstawowe pro­ble­my z jaki­mi spo­ty­ka­ją się pod­mio­ty prze­twa­rza­ją­ce dane to sto­so­wa­nie się do tej usta­wy w obsza­rach danych pozy­ska­nych w miej­scach publicz­nych, pozy­ska­nych w toku legal­nej dzia­łal­no­ści, zare­je­stro­wa­nych danych o fak­tach jakie zaszły w miej­scach publicz­nych oraz kwe­stie usu­wa­nia infor­ma­cji o histo­rii. Przestrzeń publicz­na z natu­ry nie two­rzy fak­tów o pry­wat­no­ści, są one – infor­ma­cje o tym co zaszło w prze­strze­ni publicz­nej – powszech­nie dostęp­ne, szcze­gól­nie dla ludzi obec­nych w tym samym miej­scu i cza­sie. W efek­cie posia­da­nie danych publicz­nych o danej oso­bie jest moż­li­we, nie wyma­ga ani jej zgo­dy ani łama­nia pra­wa, by dane te posia­dać. Kolejny pro­blem to kwe­stia tak zwa­ne­go pra­wa do zapo­mnie­nia. Jeden z wie­lu przy­kła­dów pro­ble­mu opi­sa­ła rok temu Gazeta Prawna:

Choć por­tal ten jest lustrza­nym odbi­ciem infor­ma­cji zawar­tych w KRS, to coraz wię­cej osób doma­ga się usu­wa­nia swo­ich danych. Co naj­mniej raz w tygo­dniu ktoś albo bez­po­śred­nio, albo poprzez kan­ce­la­rię praw­ną prze­sy­ła taki wnio­sek. Powód zawsze jest ten sam ? nie chce być koja­rzo­ny z jakąś dzia­łal­no­ścią z prze­szło­ści. Rodzi się pyta­nie, czy ma pra­wo do bycia zapo­mnia­nym? (źr. : Prawo do bycia zapo­mnia­nym nie ma cha­rak­te­ru abso­lut­ne­go – Prawo i wymiar spra­wie­dli­wo­ści – GazetaPrawna​.pl)

Opisane w tym arty­ku­le żąda­nia wręcz prze­czą pra­wom fizy­ki. Prawo do zapo­mnie­nia jest prak­tycz­nie nie­moż­li­we do reali­za­cji w ludz­kiej pamię­ci czy set­kach papie­ro­wych kopii ist­nie­ją­cych doku­men­tów. Pisałem już o tym pro­ble­mie już w 2014 roku:

?Założyciel Wikipedii, Jimmy Wales nie owi­ja w baweł­nę ? jego zda­niem ?pra­wo do bycia zapo­mnia­nym? to po pro­stu cen­zu­ra?. I moim zda­niem ma tro­chę racji, ale to ?pra­wo? to po pro­tu pró­ba ?łama­nia praw fizy­ki?, histo­rii nie zmieniamy?W kwe­stii chciej­stwa ludzi: Amerykański kon­cern Google poin­for­mo­wał w czwar­tek, że w cią­gu mie­sią­ca otrzy­mał 70 tys. wnio­sków od euro­pej­skich użyt­kow­ni­ków chcą­cych usu­nię­cia pew­nych wyni­ków poda­wa­nych przez jego wyszu­ki­war­kę w ramach zagwa­ran­to­wa­nia ?pra­wa do bycia zapo­mnia­nym? (Google otrzy­mał 70 tys. wnio­sków o ?bycie zapo­mnia­nym? ? It). Niestety real­nie, w natu­rze, i tak nikt nie ma gwa­ran­to­wa­ne­go ?pra­wa do bycia zapo­mnia­nym?. (źr. : Praw fyzy­ki Pan nie zła­miesz i nie bądź Pan głąb | | Jarosław Żeliński IT-Consulting) 

Wprowadzanie do pra­wa sta­no­wio­ne­go norm gwał­cą­cych pra­wa przy­ro­dy, to brak logi­ki któ­ry zawsze pro­wa­dzi do nad­użyć i pato­lo­gicz­ne­go sto­so­wa­nia tego prawa.

Co przed nami? W RODO np. czy­ta­my, że Ochrona osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych jest jed­nym z praw pod­sta­wo­wych. Art. 8 ust. 1 Karty praw pod­sta­wo­wych Unii Europejskiej” ale już trzy aka­pi­ty dalej czy­ta­my, że Prawo do ochro­ny danych oso­bo­wych nie jest pra­wem bez­względ­nym;”, więc mamy to pra­wo czy go nie mamy? Dokument Rozporządzenie 2016/679 o ochro­nie danych oso­bo­wych (RODO) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE w znacz­nej mie­rze sta­no­wi sobą listę enu­me­ra­tyw­nie wyszcze­gól­nio­nych przy­pad­ków prze­twa­rza­nia danych i ich ochro­ny, sto­so­wa­nie tego pra­wa będzie bar­dzo trudne.

Za zakoń­cze­nie. Nie było tu moim celem dawa­nie wska­zó­wek, jak wdra­żać RODO, jest wie­le publi­ka­cji na ten temat. Celem moim było zro­zu­mie­nie i poka­za­nie dla­cze­go jego wdra­ża­nie nie będzie łatwe… Należy życzyć powo­dze­nia i cier­pli­wo­ści admi­ni­stra­to­rom ser­we­rów oraz inwen­cji stro­nom praw­ni­ków w nad­cho­dzą­cych spo­rach… Mi pozo­sta­je ubo­le­wa­nie nad tym, że pra­wo współ­two­rzą lobbyści…

c.d.n.

Przypisy

1.
GIODO. GIODO. https://​gio​do​.gov​.pl/​p​l​/​5​6​9​/​9​276. Published May 4, 2018. Accessed May 4, 2018.
2.
Ustawa z 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych (tekst jed­no­li­ty, Dz.U. z 2016 r. poz 922),.

Jarosław Żeliński

Jarosław Żeliński: autor, badacz i praktyk analizy systemowej organizacji: Od roku 1991 roku, nieprzerwanie, realizuje projekty z zakresu analiz i projektowania systemów, dla urzędów, firm i organizacji. Od 1998 roku prowadzi samodzielne studia i prace badawcze z obszaru analizy systemowej i modelowania (modele jako przedmiot badań: ORCID). Od 2005 roku, jako nieetatowy wykładowca akademicki, prowadzi wykłady i laboratoria (ontologie i modelowanie systemów informacyjnych, aktualnie w Wyższej Szkole Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk w Warszawie.) Oświadczenia: moje badania i publikacje nie mają finansowania z zewnątrz, jako ich autor deklaruję brak konfliktu interesów. Prawa autorskie: Zgodnie z art. 25 ust. 1 pkt. 1) lit. b) ustawy o prawie autorskim i prawach pokrewnych zastrzegam, że dalsze rozpowszechnianie artykułów publikowanych w niniejszym serwisie jest zabronione bez indywidualnej zgody autora (patrz Polityki Strony).

Ten post ma 5 komentarzy

  1. Marc

    Cytowana w arty­ku­le usta­wa o ochro­nie danych oso­bo­wych z 29 sierp­nia 1997 r. prze­sta­nie już wkrót­ce obo­wią­zy­wać (25 maja 2018, jak gło­si GP 27.03.2018).
    Natomiast cie­ka­wa była­by zatem ana­li­za i model poję­cio­wy w opar­ciu o nowe prze­pi­sy usta­wy i roz­po­rzą­dze­nie RODO.
    Z moich obser­wa­cji wyni­ka, że wdro­że­nie nowych regu­la­cji sta­no­wi duży koszt orga­ni­za­cyj­no-tech­no­lo­gicz­ny w całej gospo­dar­ce (cie­ka­we czy ktoś to poli­czy lub osza­cu­je), a wyspe­cja­li­zo­wa­nym fir­mom i dostaw­com roz­wia­zań prze­cho­wu­ją­cych dane oso­bo­we wyge­ne­ro­wa­ły dodat­ko­we przychody.

    1. Jaroslaw Zelinski

      Owszem sta­ra usta­wa” odej­dzie ale rewo­lu­cji w samych defi­ni­cjach raczej nie ma, w mode­lu poję­cio­wym owszem bo zmie­nia się dia­me­tral­nie zakres ochro­ny i chro­nio­nych infor­ma­cji. Pracuje nad mode­lem dla RODO, chwil­kę to potrwa ;). 

      Całość RODO wyglą­da mi bar­dzo nie­spój­nie, żeby nie powie­dzieć nie­chluj­nie. Patrząc na treść nowe­go roz­po­rzą­dze­nia mam przed ocza­mi wiel­ką bitwę lob­by­stów a RODO to kra­jo­braz po tej bitwie… Obawiam się, że teo­re­ty­cy pra­wa przegrali… 

      Ja tak­że odno­szę wra­że­nie, że głów­ny­mi lob­by­sta­mi były tu fir­my dorad­cze, wdra­ża­ją­ce nowe regu­la­cje, oraz wszy­scy Ci, któ­rzy bar­dzo chcą by nie pozo­sta­wiać po sobie śla­dów, żąda­jąc od firm zapo­mi­na­nia” o sobie.

    2. Jarosław Żeliński

      Natomiast cie­ka­wa była­by zatem ana­li­za i model poję­cio­wy w opar­ciu o nowe prze­pi­sy usta­wy i roz­po­rzą­dze­nie RODO.”
      Właśnie się przy­mie­rzam, jest gdzieś lista aktu­al­nych regu­la­cji w tym obszarze?

  2. RODOwiec

    Jak z każ­dym pra­wem- wbrew pozo­rom nie jest łatwo go wpro­wa­dzić. Miejmy nadzie­je, że nie będzie z tego aż tak dużych spo­rów. Pozdrawiam.

Dodaj komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.