Odpowiedzialność administratora systemu

Wstęp

pra­wie 10 lat temu pisałem:

Często spo­ty­kam się z róż­ny­mi meto­da­mi uwzględ­nia­nia pra­wa w ??doku­men­ta­cji wyma­gań?. Jakim wyma­ga­niem jest ??zgod­ność z obo­wią­zu­ją­cym pra­wem?? I trud­niej­sze pyta­nie: czy zmia­na pra­wa to zmia­na wyma­gań? Inny aspekt pro­ble­mu to ana­li­za i defi­ni­cja (opis) tej zgod­no­ści z pra­wem. Spotkać moż­na się z meto­dą pole­ga­ją­cą na trak­to­wa­niu każ­de­go (mają­ce­go wpływ na sys­tem) para­gra­fu np. usta­wy jako wyma­ga­nia. Problem zgod­no­ści opro­gra­mo­wa­nia z pra­wem ma dwa aspek­ty. Zgodność opro­gra­mo­wa­nia z pra­wem pole­ga na tym, że ??opro­gra­mo­wa­nie nie może ogra­ni­czać sto­so­wa­nia pra­wa to jest nie może wymu­szać swo­imi ogra­ni­cze­nia­mi dzia­łań nie­zgod­nych z pra­wem?. Ja oso­bi­ście reko­men­du­ję roz­cią­gnię­cie tej defi­ni­cji na ??ani nie powin­no pozwa­lać na łama­nie pra­wa?. Tu jed­nak wie­lu uwa­ża, że ??zama­wiam narzę­dzie i uży­wam jak chcę, na swo­ja odpo­wie­dzial­ność?. Coś w tym jest, war­to jed­nak zosta­wić ??włącz­nik?. (źr.: Prawo a wyma­ga­nia … )

Dzisiaj czy­tam:

To admi­ni­stra­tor odpo­wia­da za zabez­pie­cze­nia sys­te­mów ? a więc tak­że za to, że pra­cow­nik zdo­łał sko­pio­wać dane oso­bo­we na zewnętrz­ny nośnik. […] W oce­nie WSA w toku postę­po­wa­nia PUODO pra­wi­dło­wo usta­lił, iż w SGGW dopusz­czo­no się licz­nych uchy­bień, w szcze­gól­no­ści nie prze­pro­wa­dzo­no wła­ści­wej ana­li­zy ryzy­ka i oce­ny zagro­żeń już na eta­pie pro­jek­to­wa­nia sys­te­mów (pri­va­cy by design) oraz nie wdro­żo­no odpo­wied­nich środ­ków zapew­nia­ją­cych bez­pie­czeń­stwo danych, w tym przed moż­li­wo­ścią wyeks­por­to­wa­nia danych z sys­te­mu na zewnątrz.(źr.: Odpowiedzialność admi­ni­stra­to­ra za naru­sze­nie zasa­dy pri­va­cy by design)

Rzecz w tym, że admi­ni­stra­tor, w rozu­mie­niu pra­wa, to tak­że pod­miot zle­ca­ją­cy powsta­nie opro­gra­mo­wa­nia, któ­re go wspie­ra w reali­za­cji jego obo­wiąz­ków, a jed­nym z nich jest egze­kwo­wa­nie usta­lo­nych zasad.

Czytaj dalej… Odpowiedzialność admi­ni­stra­to­ra sys­te­mu”

Dokument i jego struktura jako metoda zarządzania danymi

Wprowadzenie

Bardzo wie­le pro­ble­mów w toku wdro­żeń IT rodzą wadli­wie zapro­jek­to­wa­ne struk­tu­ry doku­men­tów. Dotyczy to w szcze­gól­no­ści zarzą­dza­nia dostę­pem do tre­ści, a patrząc sze­rzej: do infor­ma­cji. Ostatnie lata to mię­dzy inny­mi pro­ble­my urzę­dów z udzie­la­niem dostę­pu do infor­ma­cji publicz­nej, od dwóch lat dodat­ko­wo pro­ble­my stwa­rza RODO. Źródłem pro­ble­mów jest treść doku­men­tów, rozu­mia­na jako pyta­nie: Czy te infor­ma­cje muszą być zawar­te w tym doku­men­cie”. Najpierw opi­szę mecha­nizm powsta­wa­nia przy­czyn pro­ble­mów i spo­sób ich roz­wią­za­nia. W pod­su­mo­wa­niu wska­żę jak i gdzie sobie z tym radzić. 

Czytaj dalej… Dokument i jego struk­tu­ra jako meto­da zarzą­dza­nia dany­mi”

RODO ? dokumenty czyli co?

Poprzedni arty­kuł o RODO, jego część meto­dycz­ną, koń­czy­łem słowami:

I tu poja­wia się bar­dzo waż­ne poję­cie: egzem­plarz. Dotyczy ono wyłącz­nie bytów mate­rial­nych: infor­ma­cje nie mają egzem­pla­rzy, bo treść (to co zro­zu­miał czło­wiek) jest z zasa­dy nie­ma­te­rial­na. Tak więc wymia­na jabłek to wymia­na mate­rial­nych przed­mio­tów, odda­jąc jabł­ko tra­ci­my je (prze­sta­je­my je mieć). Wymiana infor­ma­cji pro­wa­dzi wyłącz­nie do powięk­sze­nia sta­nu wie­dzy, udo­stęp­nia­jąc infor­ma­cje nie tra­ci­my już posia­da­nych, pozy­sku­je­my zaś nowe. Prawa mate­rial­ne do tre­ści (np. autor­skie pra­wa mająt­ko­we) to pra­wo dys­po­no­wa­nia nią, a kon­kret­nie pra­wo do ogra­ni­cza­nia korzy­sta­nia z tej tre­ści, ale nie ma fizycz­nej moż­li­wo­ści ode­bra­nia komuś tego, cze­go się już raz dowie­dział, co dobrze ilu­stru­je porze­ka­dło: jak coś zoba­czysz to już nie da się tego odzo­ba­czyć. (źr: RODO ? bla­ski i cie­nie | | Jarosław Żeliński IT-Consulting)

Dzisiaj o struk­tu­rze danych, czy­li o tym jaką treść zawie­ra­ją doku­men­ty i o tym, że nie da się ich ciąć.

Kilka słów o tajemnicy

Poprzednio wspo­mnia­łem już o sekre­cie. Ochrona danych oso­bo­wych wią­że się nie­ro­ze­rwal­nie z poję­ciem tajem­ni­cy, czym ona jest (słow­nik j. polskiego):

tajem­ni­ca
1. ?sekret; też: nie­ujaw­nia­nie czegoś?
2. ?wia­do­mość, któ­rej pozna­nie lub ujaw­nie­nie jest zaka­za­ne przez prawo?
3. ?rzecz, któ­rej się nie rozu­mie lub nie umie wyjaśnić?
4. ?naj­lep­szy lub jedy­ny spo­sób na osią­gnię­cie czegoś?
tajem­ni­ca pań­stwo­wa, tajem­ni­ca sta­nu ?wia­do­mość, któ­rej ujaw­nie­nie oso­bom nie­upraw­nio­nym może nara­zić na szko­dę bez­pie­czeń­stwo albo inte­re­sy państwa?
tajem­ni­ca kore­spon­den­cji ?zasa­da, że wia­do­mo­ści zawar­te w cudzym piśmie prze­zna­czo­ne są wyłącz­nie dla adresata?

Ważnym fak­tem jest tu poja­wie­nie się Ustawy z dnia 16 kwiet­nia 1993 r. o zwal­cza­niu nie­uczci­wej kon­ku­ren­cji. Znajdziemy w niej bar­dzo zwię­złą defi­ni­cję poję­cia tajem­ni­cy przedsiębiorstwa.

Art. 11. 1. Czynem nie­uczci­wej kon­ku­ren­cji jest prze­ka­za­nie, ujaw­nie­nie lub wyko­rzy­sta­nie cudzych infor­ma­cji sta­no­wią­cych tajem­ni­cę przed­się­bior­stwa albo ich naby­cie od oso­by nie­upraw­nio­nej, jeże­li zagra­ża lub naru­sza inte­res przedsiębiorcy.
2. Przepis ust. 1 sto­su­je się rów­nież do oso­by, któ­ra świad­czy­ła pra­cę na pod­sta­wie sto­sun­ku pra­cy lub inne­go sto­sun­ku praw­ne­go ? przez okres trzech lat od jego usta­nia, chy­ba że umo­wa sta­no­wi ina­czej albo ustał stan tajemnicy.
3. Przepisu ust. 1 nie sto­su­je się wobec tego, kto od nie­upraw­nio­ne­go nabył, w dobrej wie­rze, na pod­sta­wie odpłat­nej czyn­no­ści praw­nej, infor­ma­cje sta­no­wią­ce tajem­ni­cę przed­się­bior­stwa. Sąd może zobo­wią­zać nabyw­cę do zapła­ty sto­sow­ne­go wyna­gro­dze­nia za korzy­sta­nie z nich, nie dłu­żej jed­nak niż do usta­nia sta­nu tajemnicy.
4. Przez tajem­ni­cę przed­się­bior­stwa rozu­mie się nie­ujaw­nio­ne do wia­do­mo­ści publicz­nej infor­ma­cje tech­nicz­ne, tech­no­lo­gicz­ne, orga­ni­za­cyj­ne przed­się­bior­stwa lub inne infor­ma­cje posia­da­ją­ce war­tość gospo­dar­czą, co do któ­rych przed­się­bior­ca pod­jął nie­zbęd­ne dzia­ła­nia w celu zacho­wa­nia ich poufności.

Dane oso­bo­we to nic inne­go jak tajem­ni­ca kon­kret­nej oso­by (infor­ma­cje trzy­ma­ne w tajem­ni­cy). Dalej czytamy:

Art. 14. 1. Czynem nie­uczci­wej kon­ku­ren­cji jest roz­po­wszech­nia­nie nie­praw­dzi­wych lub wpro­wa­dza­ją­cych w błąd wia­do­mo­ści o swo­im lub innym przed­się­bior­cy albo przed­się­bior­stwie, w celu przy­spo­rze­nia korzy­ści lub wyrzą­dze­nia szkody.

To zna­czy, że mamy pra­wo ocze­ki­wać zaprze­sta­nia roz­po­wszech­nia­nia nie­praw­dzi­wych (i tyl­ko nie­praw­dzi­wych) infor­ma­cji. W ramach odpo­wie­dzial­no­ści cywil­nej pod­miot poszko­do­wa­ny ma pra­wo wezwać pod­miot naru­sza­ją­cy jego pra­wa do zanie­cha­nia dzia­ła­nia na szko­dę poszko­do­wa­ne­go. Dopiero nie­sku­tecz­ne wezwa­nie daje pra­wo skar­że­nia do sądu.

Art. 18. 1. W razie doko­na­nia czy­nu nie­uczci­wej kon­ku­ren­cji, przed­się­bior­ca, któ­re­go inte­res został zagro­żo­ny lub naru­szo­ny, może żądać:
1) zanie­cha­nia nie­do­zwo­lo­nych działań;
2) usu­nię­cia skut­ków nie­do­zwo­lo­nych działań;

W ramach odpo­wie­dzial­no­ści kar­nej mamy:

Art. 23. 1. Kto, wbrew cią­żą­ce­mu na nim obo­wiąz­ko­wi w sto­sun­ku do przed­się­bior­cy, ujaw­nia innej oso­bie lub wyko­rzy­stu­je we wła­snej dzia­łal­no­ści gospo­dar­czej infor­ma­cję sta­no­wią­cą tajem­ni­cę przed­się­bior­stwa, jeże­li wyrzą­dza to poważ­ną szko­dę przed­się­bior­cy, pod­le­ga grzyw­nie, karze ogra­ni­cze­nia wol­no­ści albo pozba­wie­nia wol­no­ści do lat 2.
2. Tej samej karze pod­le­ga, kto, uzy­skaw­szy bez­praw­nie infor­ma­cję sta­no­wią­cą tajem­ni­cę przed­się­bior­stwa, ujaw­nia ją innej oso­bie lub wyko­rzy­stu­je we wła­snej dzia­łal­no­ści gospodarczej.

Powyższe nor­my sza­nu­ją to, że: tajem­ni­cy ma strzec ten, kto jest zain­te­re­so­wa­ny utrzy­ma­niem danej infor­ma­cji w tajem­ni­cy, ujaw­nie­nie tajem­ni­cy przez oso­bę, któ­ra nie jest jej dys­po­nen­tem jest z zasa­dy zła­ma­niem pra­wa, dane raz ujaw­nio­ne na zawsze prze­sta­ją być tajem­ni­cą. Jest tu więc zacho­wa­na logi­ka jaką opi­sa­łem w poprzed­nim arty­ku­le. Ogólnie sta­tus infor­ma­cji moż­na zobra­zo­wać poniż­szym pro­stym schematem:

Zmiana sta­tu­su jest nie­od­wra­cal­na i trud­no to pod­wa­żyć. Oczekiwanie tego, by infor­ma­cję raz upu­blicz­nio­ną ponow­nie trak­to­wać jako tajem­ni­cą, to kla­sycz­ne myśle­nie życze­nio­we. Nie raz widu­ję rela­cje w pra­sie czy TV poka­zu­ją­ce twa­rze osób, a następ­nie te same oso­by z twa­rzą zama­sko­wa­ną w tej same pra­sie czy TV. Przeczy to logi­ce ale praw­ni­cy sto­su­ją­cy tak zwa­ną ostroż­ność pro­ce­so­wą, mogą się wyka­zać. Uważam to za bar­dzo szko­dli­we zja­wi­sko, bo pod­wa­ża zaufa­nie do logi­ki, a ta jest pod­sta­wą wnio­sko­wa­nia w pro­ce­sach i pod­sta­wą w uza­sad­nień orzeczeń.

Moim zda­niem, chcąc chro­nić dane oso­bo­we, wystar­czy­ło roz­sze­rzyć (pomi­jam tu for­mę: nowa usta­wa lub posze­rze­nie już ist­nie­ją­cej) ochro­ny tajem­ni­cy przed­się­bior­cy o ochro­nę tajem­ni­cy oso­bi­stej”. Dane oso­bo­we to nic inne­go jak tajem­ni­ca pod­mio­tu jakim jest oso­ba fizycz­na. Stosowanie innych, bar­dziej restryk­cyj­nych, zasad wobec osób fizycz­nych, fun­do­wa­ne mam przez pomy­sło­daw­ców RODO to typo­we życze­nio­we podej­ście. Co do zasa­dy każ­dy z nas jest pierw­szym posia­da­czem infor­ma­cji o samym sobie i sam decy­du­je czy i co ujaw­ni. Jeżeli zro­bi to nie­chcą­cy lub nie­od­po­wie­dzial­nie, nie moż­na karać za to oto­cze­nia. Jeżeli jakaś infor­ma­cja o mnie z zasa­dy nie jest tajem­ni­cą bo jest to fakt jaki zaszedł w prze­strze­ni publicz­nej, nie ma już cze­go chro­nić. Zapisy RODO to nie­ste­ty życze­nia typu: wszy­scy mnie widzie­li ale i tak nie chcę by o tym mówi­li, tak­że mię­dzy sobą.

Wiele się tu mówi o ludz­kiej god­no­ści, np. zdję­cie nagie­go czło­wie­ka w prze­strze­ni publicz­nej, któ­ra to nagość była nie­za­mie­rzo­na. Owszem, jest to przy­kre dla tej oso­by, owszem roz­po­wszech­nia­nie takie­go zdję­cia jest nie­mo­ral­ne, ale nie ma róż­ni­cy pomię­dzy tym, że zdję­cie to zoba­czy­ło na czy­imś blo­gu tysiąc innych osób a tym, że roze­szło się to zdję­cie kana­ła­mi pry­wat­ny­mi tak­że do tysią­ca osób. Dlaczego tyl­ko tyl­ko ten pierw­szy spo­sób jest penalizowany?

Tworzenie pra­wa na zasa­dzie karze­my tyl­ko tych, któ­rych da się zła­pać, pro­wa­dzi do sta­nu w któ­rym powsta­je nor­ma, któ­ra z zasa­dy nie doty­czy pew­nej gru­py, tych któ­rych nie potra­fi­my zła­pać. Normy pra­wa co do zasa­dy powin­ny doty­czyć wszyst­kich albo nie powin­ny powsta­wać. W prze­ciw­nym wypad­ku powsta­je pra­wo w sty­lu: do wię­zie­nia idą wszy­scy mor­der­cy, chy­ba że bie­ga­ją szyb­ciej niż gonią­cy ich policjanci”.

Kuriozalne dla mnie jest zaka­zy­wa­nie myśle­nia! Zapisy o pro­fi­lo­wa­niu to już mega życze­nio­we myśle­nie. Profilowanie to nic inne­go jak deduk­cyj­ne wnio­sko­wa­nie na bazie już posia­da­nych infor­ma­cji. Jeżeli dys­po­nu­ję jaki­miś dany­mi, i budu­ję z nich jakieś nowe dane, to niko­mu nic do tego (pomi­jam, że zaka­zy­wa­nie tego jest nie­eg­ze­kwo­wal­ne bez rewi­zji, a ta wyma­ga zgo­dy sądu, ta zaś poda­nia prze­sła­nek wska­zu­ją­cych na łama­nie czy­ichś praw).

Kolejne życze­nio­we myśle­nie to kwe­stie ogra­ni­cza­nia moni­to­rin­gu. Logika wska­zu­je, że fak­ty mają­ce miej­sce w prze­strze­ni pry­wat­nej lub chro­nio­nej to tajem­ni­ce osób wła­da­ją­cych tą prze­strze­nią, mają więc pra­wo znać (i utrwa­lać) te fak­ty, a osob­ną kwe­stią jest pra­wo do ich publi­ka­cji (upu­blicz­nia­nia). To regu­lu­ją zasa­dy prze­by­wa­nia w tej prze­strze­ni. Są one raz for­mal­ne (np. dostęp­ny dla wszyst­kich Regulamin) a raz doro­zu­mia­ne (to co zaszło w czy­imś domu) ale nad nimi wszyst­ki­mi zawsze jest obo­wią­zu­ją­ce Prawo (zabój­stwo doko­na­ne w czy­imś pry­wat­nym domu nie jest fak­tem chro­nią­cym zabójcę).

O dokumentach

Poprzedni arty­kuł zawie­rał taki oto model:

Dane oso­bo­we to dane iden­ty­fi­ku­ją­ce oso­bę, z tą oso­bą mogą być powią­za­ne okre­ślo­ne fak­ty. Jednak dane oso­bo­we to zestaw cech, nie wszyst­kie jed­nak są tajem­ni­cą. W kwe­stii fak­tów jest podob­nie: fak­ty mają pew­ne cechy i nie wszyst­kie są (mogą być) tajem­ni­cą. Np. mój kolor wło­sów nie jest moją tajem­ni­cą, to że byłem na spa­ce­rze w par­ku też nie, to z kim byłem w tym par­ku też nie bo to widać”. Ale już tajem­ni­cą (lub chro­nio­ną infor­ma­cją) może być data uro­dze­nia albo prze­by­te choroby.

Utrwalone dane to dokumenty…

Dokumenty to struk­tu­ry zawie­ra­ją­ce róż­ne i róż­nie dobra­ne (zesta­wio­ne) infor­ma­cje. Powyższy dia­gram poka­zu­je klu­czo­we ato­mo­we ele­men­ty opi­su ota­cza­ją­ce­go nas świa­ta: pod­mio­ty, fak­ty, zapisy/decyzje/ustalenia. Co je różni?

  • Podmiot to coś nie­zmien­ne­go mają­ce­go okre­ślo­ne sta­łe cechy (opis pod­mio­tu jest quasi niezmienny).
  • Fakty to to co zaszło, są tak­że opi­sy­wa­ne skoń­czo­ną licz­bą cech, te tak­że są niezmienne.
  • Wszelkie dane łączą­ce pod­mio­ty z fak­ta­mi (sądy, wnio­ski, stwier­dze­nia, usta­le­nia, decy­zje itp.).

Przypomnę tu frag­ment poprzed­nie­go artykułu:

…dane łączą­ce opis fak­tu z opi­sem pod­mio­tu mogą powstać w ramach zamie­rzo­ne­go aktu jakim jest np. wysta­wie­nie imien­ne­go bile­tu na kon­kret­ny prze­lot. Mogą też jed­nak powstać w wyni­ku deduk­cji, na pod­sta­wie innych danych, np. na zdję­ciu kabi­ny samo­lo­tu moż­na wska­zać twarz kon­kret­ne­go pasa­że­ra, twarz oso­by jest uni­kal­na i pozwa­la poznać jej dane (dotrzeć do niej) o ile mamy dostęp do danych zawie­ra­ją­cych twa­rze i dane osób (pod­miot). Dedukcją jest tu wnio­sko­wa­nie: jeże­li zna­my wize­ru­nek oso­by X i wie­my, że taki sam wize­ru­nek poja­wił się w kon­kret­nym cza­sie w samo­lo­cie Y to zna­czy, że oso­ba X była w samo­lo­cie Y w tym kon­kret­nym cza­sie i odby­ła ten lot. Tak więc infor­ma­cję zapi­sa­ną na bile­cie tej oso­by (kto leciał i jaki to był lot) jeste­śmy w sta­nie uzy­skać z inne­go źró­dła, pośred­nie­go. Nie zmie­nia to tego, że fakt ten miał miej­sce (źr.: poprzed­ni arty­kuł).

Wielokrotnie mamy do czy­nie­nia z doku­men­ta­mi, któ­rych treść łączy te trzy ele­men­ty, np. fak­tu­ra zawie­ra w tre­ści: dane pod­mio­tu jakim jest sprze­da­ją­cy, dane pod­mio­tu jakim jest kupu­ją­cy, dane pod­mio­tu jakim jest sprze­da­ny towar oraz dane opi­su­ją­ce fakt doko­na­nia tej trans­ak­cji (data sprze­da­ży, oraz miej­sce jakim jest np. adres skle­pu poda­wa­ny na fak­tu­rze). Dokumentów nio­są­cych tak zebra­ne infor­ma­cje jest wie­le, nie tyl­ko w dzia­łal­no­ści gospo­dar­czej (umo­wy, rekla­ma­cje, imien­ne bile­ty itp.).

Patrząc z tej per­spek­ty­wy widać, że ochro­na dostę­pu do danych oso­bo­wych wyma­ga zro­zu­mie­nia tego co tak na praw­dę chro­ni­my (jakie cechy pod­mio­tów chro­nio­nych i jakie fak­ty o nich) oraz ana­li­zy jaki­mi doku­men­ta­mi ope­ru­je­my pamię­ta­jąc, że prze­cho­wy­wa­ne doku­men­ty muszą zacho­wać spój­ność swo­jej struk­tu­ry (nie moż­na wyciąć z fak­tu­ry żad­nej jej czę­ści). RODO1 mówi o ano­ni­mi­za­cji i pseudonimizacji:

Zasady ochro­ny danych nie powin­ny więc mieć zasto­so­wa­nia do infor­ma­cji ano­ni­mo­wych, czy­li infor­ma­cji, któ­re nie wią­żą się ze ziden­ty­fi­ko­wa­ną lub moż­li­wą do ziden­ty­fi­ko­wa­nia oso­bą fizycz­ną, ani do danych oso­bo­wych zano­ni­mi­zo­wa­nych w taki spo­sób, że osób, któ­rych dane doty­czą, w ogó­le nie moż­na ziden­ty­fi­ko­wać lub już nie moż­na ziden­ty­fi­ko­wać. Niniejsze roz­po­rzą­dze­nie nie doty­czy więc prze­twa­rza­nia takich ano­ni­mo­wych infor­ma­cji, w tym prze­twa­rza­nia do celów sta­ty­stycz­nych lub naukowych.

?pseu­do­ni­mi­za­cja? ozna­cza prze­two­rze­nie danych oso­bo­wych w taki spo­sób, by nie moż­na ich było już przy­pi­sać kon­kret­nej oso­bie, któ­rej dane doty­czą, bez uży­cia dodat­ko­wych infor­ma­cji, pod warun­kiem że takie dodat­ko­we infor­ma­cje są prze­cho­wy­wa­ne osob­no i są obję­te środ­ka­mi tech­nicz­ny­mi i orga­ni­za­cyj­ny­mi unie­moż­li­wia­ją­cy­mi ich przy­pi­sa­nie ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycznej;

I tu war­to mieć świa­do­mość, że dane oso­bo­we zbie­ra­ne do celów sta­ty­stycz­nych i tak są chro­nio­ne odręb­ny­mi prze­pi­sa­mi (w Polsce ma takie GUS). W warun­kach ryn­ku i pro­ce­sów biz­ne­so­wych zaś, zabie­gi takie są nie raz nie­moż­li­we i bar­dzo czę­sto ochro­na danych oso­bo­wych jest życze­nio­wa. Dokumenty fir­mo­we to fak­ty z życia gospo­dar­cze­go i nie pod­le­ga­ją żad­nej ano­ni­mi­za­cji, świad­cze­nie usług i sprze­daż to fak­ty (nie raz dowo­dy księ­go­we). Treść zawar­tych umów to tak­że doku­men­ty prze­cho­wy­wa­ne przez cały czas ist­nie­nia fir­my. Jeżeli ich zna­jo­mość (dostęp do histo­rii), np. do celów ochro­ny inte­re­su fir­my, jest istot­na, to nie ma obo­wiąz­ku ich nisz­cze­nia, zaś ich ano­ni­mi­za­cja po pro­stu pozba­wi ich war­to­ści biz­ne­so­wej i archi­wal­nej (tu czę­sto klu­czem jest wie­dza nie tyl­ko o przed­mio­cie umo­wy ale tak­że o jej stronach).

Pojawia się więc pro­blem: jakie dane i ich prze­twa­rza­nie fak­tycz­nie jest nie­zgod­ne z prawem? 

Tu moim zda­niem, nale­ży ope­ro­wać poję­ciem doku­men­tu, a kon­kret­nie doku­men­tu elektronicznego:

doku­ment elek­tro­nicz­ny – sta­no­wią­cy odręb­ną całość zna­cze­nio­wą zbiór danych upo­rząd­ko­wa­nych w okre­ślo­nej struk­tu­rze wewnętrz­nej i zapi­sa­ny na infor­ma­tycz­nym nośni­ku danych (na pod­sta­wie usta­wa KPA, SJP PWN)

Jak widać, tak­że usta­wo­daw­ca mówi, że jest to sta­no­wią­cy odręb­ną całość zna­cze­nio­wą zbiór danych upo­rząd­ko­wa­nych w okre­ślo­nej struk­tu­rze wewnętrz­nej. Jeżeli fak­tem jest tak­że to, że wie­le doku­men­tów to opi­sa­ne wyżej zesta­wy danych o fak­tach i pod­mio­tach, a tak­że to, że upraw­nie­nia dostę­pu doty­czą (są for­mu­ło­wa­ne) w sto­sun­ku do (całych) doku­men­tów, poja­wia się pro­blem pole­ga­ją­cy na tym, że poli­ty­ki dostę­pu do infor­ma­cji doty­czą doku­men­tów, więc zja­wi­skiem dość czę­stym jest, że moż­na mieć dostęp do tre­ści doku­men­tu A, i nie mieć dostę­pu do tre­ści doku­men­tu B, mimo, że oba zawie­ra­ją np. dane (cechy) tego same­go pod­mio­tu. Tu poja­wia się ogrom­ny pro­blem z tymi apli­ka­cja­mi, któ­re for­mu­la­rze prze­cho­wu­ją w rela­cyj­nych (nor­ma­li­zo­wa­nych) bazach danych. Współdzielenie danych pro­wa­dzi do tego, że nie jest moż­li­we budo­wa­nie poli­tyk dostę­pu odręb­nie dla doku­men­tów lub ich grup.

I nie zapo­mi­naj­my, że dane raz ujaw­nio­ne nie są w sta­nie być powtór­nie chro­nio­ne2.

Na zakończenie

Ten arty­kuł to nie goto­wiec na pro­ble­my z RODO. Chciałem zwró­cić uwa­gę na to, że pro­ble­mów jest wie­le oraz na to, że sam fakt że orga­ni­za­cje róż­nią się mie­dzy sobą, powo­du­je, że prak­tycz­nie nie jest moż­li­we zbu­do­wa­nie jed­ne­go spo­so­bu na RODO i powie­la­nie go. Niestety każ­da orga­ni­za­cja wyma­ga odręb­nej ana­li­zy sys­te­mu zarzą­dza­nia infor­ma­cją, ewen­tu­al­nej korek­ty oraz trud­nej decy­zji na temat infor­ma­cji już zgro­ma­dzo­nej, nie zawsze będzie moż­li­we powtó­rze­nie udo­ku­men­to­wa­nych fak­tów by pozy­skać jakieś nowe zgo­dy” i raczej nie będzie moż­li­wa zmia­na struk­tu­ry już zgro­ma­dzo­nych doku­men­tów (posia­da­ne archiwum).

Tym z Państwa, któ­rzy mają przed sobą wdra­ża­nie sys­te­mów zwią­za­nych z two­rze­niem i obie­giem doku­men­tów, mogę pole­cić wni­kli­we stu­dio­wa­nie struk­tur prze­twa­rza­nych infor­ma­cji oraz wybór opro­gra­mo­wa­nia nie mają­ce­go powyż­szych ogra­ni­czeń i wad. Niestety poja­wia­nie się takich prze­pi­sów jak RODO powo­du­je, że wdra­ża­nie opro­gra­mo­wa­nia zapro­jek­to­wa­ne­go kil­ka­na­ście czy nawet kil­ka lat temu sta­je się co naj­mniej ryzy­kow­ne, znacz­nie mniej­szym ryzy­kiem jest opra­co­wa­nie dedy­ko­wa­ne­go na wła­sne, dobrze zde­fi­nio­wa­ne potrzeby.

Jedyne co nam pozo­sta­je w obec­nych cza­sach to ana­li­za i opra­co­wa­nie wła­snej poli­ty­ki zarzą­dza­nia dany­mi oso­bo­wy­mi, ze szcze­gól­nym uwzględ­nie­niem wyjąt­ków od obo­wiąz­ków nakła­da­nych przez RODO. Korzystanie z gotow­ców nie­sie z sobą bar­dzo duże ryzyko.

Polecam tak­że wykład adw. dr Pawła Litwińskiego, szcze­gól­nie począ­tek w kwe­stii sto­so­wa­nia maili do komunikacji:

__________________
1.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych).
2.
patrz Ustawa z dnia 16 kwiet­nia 1993 r. o zwal­cza­niu nie­uczci­wej konkurencji.

RODO – blaski i cienie

1Poprzedni arty­kuł o RODO koń­czył się słowami:

Co przed nami? W RODO np. czy­ta­my, że ?Ochrona osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych jest jed­nym z praw pod­sta­wo­wych. Art. 8 ust. 1 Karty praw pod­sta­wo­wych Unii Europejskiej? ale już trzy aka­pi­ty dalej czy­ta­my, że ?Prawo do ochro­ny danych oso­bo­wych nie jest pra­wem bez­względ­nym;?, więc mamy to pra­wo czy go nie mamy? Dokument Rozporządzenie 2016/679 o ochro­nie danych oso­bo­wych (RODO) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE w znacz­nej mie­rze sta­no­wi sobą listę enu­me­ra­tyw­nie wyszcze­gól­nio­nych przy­pad­ków prze­twa­rza­nia danych i ich ochro­ny, sto­so­wa­nie tego pra­wa będzie bar­dzo trud­ne. (źr. : RODO Ochrona danych oso­bo­wych czy­li ochro­na cze­go? Cz. I | | Jarosław Żeliński IT-Consulting)

Zapowiadałem kon­ty­nu­ację i jest oka­zja. Na stro­nach Polskiego Towarzystwa Informatycznego zosta­ła udo­stęp­nio­na pre­zen­ta­cja Pana Wojciecha Wiewiórowskiego2. Zawiera zebra­ne klu­czo­we infor­ma­cje na temat danych oso­bo­wych, ich ochro­ny i oce­ny któ­re i kie­dy są (powin­ny być) chro­nio­ne. Biorąc pod uwa­gę wie­dzę auto­ra i obszer­ność tej pre­zen­ta­cji, uży­łem tego mate­ria­łu jako aktu­al­ne­go sta­nu wie­dzy o reali­zo­wa­nych i pla­no­wa­nych dzia­ła­niach na temat ochro­ny danych osobowych.

Dziedzinowy model rzeczywistości RODO3

Zanim zacznie­my opi­sy­wa­nie prze­wi­dy­wa­nych moż­li­wych skut­ków wpro­wa­dza­nych norm praw­nych, zbu­du­je­my model poję­cio­wy dzie­dzi­ny, któ­rej te nor­my doty­czą oraz model struk­tu­ry tego cze­go doty­czą te nor­my. Jest to waż­ne, bo do ana­li­zy potrze­bu­je­my odpo­wied­nie­go narzę­dzia (meto­dy) a tak­że dla­te­go, że chcę w tych nor­mach wska­zać ele­men­ty tak zwa­ne­go myśle­nia życze­nio­we­go4. Ten typ myśle­nia jest szcze­gól­nie groź­ny u ustawodawcy.

Opisywałem już tu model wyja­śnia­ją­cy poję­cio­we kwe­stie fak­tów i danych, któ­ry wyglą­da tak:

Kluczowe są tu poję­cia: dane i nośnik danych. Istotne jest tak­że to, że dane są zawsze zwią­za­ne z jakimś nośni­kiem, bez któ­re­go nie są w sta­nie ist­nieć. Nieco inne poję­cia są zwią­za­ne z powsta­wa­niem tych danych. Kontekstowym uzu­peł­nie­niem powyż­sze­go mode­lu są poję­cia zwią­za­ne z tym, gdzie powsta­ją fak­ty zwią­za­ne z pod­mio­tem, oraz któ­re jego cechy są cecha­mi iden­ty­fi­ku­ją­cy­mi (i co to znaczy).

Dane to infor­ma­cje opi­su­ją­ce fak­ty zwią­za­ne z okre­ślo­nym pod­mio­tem, cechy tego pod­mio­tu to tak­że infor­ma­cje (dane opi­su­ją­ce pod­miot). Zwracam tu uwa­gę, że dane opi­su­ją­ce pod­miot (jego cechy) i dane o pod­mio­cie (o tym co się zda­rzy­ło w związ­ku z nim) to odręb­ne typy infor­ma­cji. Cechy pod­mio­tu są z nim trwa­le zwią­za­ne, cha­rak­te­ry­zu­ją go. Fakty zwią­za­ne z pod­mio­tem mogą zacho­dzić od tego pod­mio­tu cał­ko­wi­cie nie­za­leż­ne, np. potrą­ce­nie prze­chod­nia przez samo­chód to fakt z nim zwią­za­ny, doty­czy potrą­co­ne­go ale tak­że kie­row­cy samochodu.

Powyższe, to mode­le poję­cio­we, czy­li poję­cia i syn­tak­tycz­ne związ­ki mię­dzy nimi (nie są to onto­lo­gie!). Związek syn­tak­tycz­ny to po pro­stu coś co zaist­nia­ło (mogło zaist­nieć) powo­du­jąc, że dane poję­cia są (mogą być) z sobą koja­rzo­ne. Pamiętajmy tak­że, że dane to zna­ki na nośni­ku, infor­ma­cje to treść tak zapi­sa­na. Tylko czło­wiek rozu­mie treść, kom­pu­ter nie.

Brakuje nam już tyl­ko struk­tu­ry danych i nośni­ków, na jakich są zapi­sa­ne, oraz związ­ków mię­dzy nimi. Poniżej model przed­sta­wia­ją­cy dane opi­su­ją­ce pod­mio­ty, dane opi­su­ją­ce zacho­dzą­ce fak­ty oraz dane wska­zu­ją­ce na zwią­zek fak­tu z pod­mio­tem. Np. fak­tem jest lot samo­lo­tu, pod­mio­tem jest oso­ba, imien­ny bilet to dane wska­zu­ją­ce na zwią­zek danej oso­by z kon­kret­nym lotem czy­li dane łączą­ce fakt z podmiotem.

Tu waż­na infor­ma­cja: dane łączą­ce opis fak­tu z opi­sem pod­mio­tu mogą powstać w ramach zamie­rzo­ne­go aktu jakim jest np. wysta­wie­nie imien­ne­go bile­tu na kon­kret­ny prze­lot. Mogą też jed­nak powstać w wyni­ku deduk­cji, na pod­sta­wie innych danych, np. na zdję­ciu kabi­ny samo­lo­tu moż­na wska­zać twarz kon­kret­ne­go pasa­że­ra, twarz oso­by jest uni­kal­na i pozwa­la poznać jej dane (dotrzeć do niej) o ile mamy dostęp do danych zawie­ra­ją­cych twa­rze i dane osób (pod­miot). Dedukcją jest tu wnio­sko­wa­nie: jeże­li zna­my wize­ru­nek oso­by X i wie­my, że taki sam wize­ru­nek poja­wił się w w kon­kret­nym cza­sie w samo­lo­cie Y to zna­czy, że oso­ba X była w samo­lo­cie Y w tym kon­kret­nym cza­sie. Tak więc infor­ma­cję zapi­sa­ną na bile­cie tej oso­by (kto leciał i jaki to był lot) jeste­śmy w sta­nie uzy­skać z inne­go źró­dła, pośred­nie­go. Nie zmie­nia to tego, że fakt ten miał miejsce.

Mamy więc model pozwa­la­ją­cy pro­gno­zo­wać skut­ki prób inter­pre­ta­cji wpro­wa­dza­nych norm w obsza­rze danych osobowych.

Tu przy­po­mnę tyl­ko, że model poję­cio­wy (prze­strzeń pojęć) słu­ży do nada­wa­nia nazw ele­men­tom struk­tu­ry. Całość gwa­ran­tu­je jed­no­znacz­ność mode­lu (tu struk­tu­ra opi­sa­na z uży­ciem nota­cji UML, mode­le poję­cio­we to dia­gra­my fak­tów nota­cji SBVR, moż­na je two­rzyć tak­że z uży­ciem dia­gra­mów klas UML).

Należy tu dodać, że pew­ne regu­ły są kon­se­kwen­cją tego, że ope­ru­je­my fak­ta­mi. Fakty to coś co zaszło, a więc są powią­za­ne z upły­wem cza­su, one same i ich skut­ki są więc nie­od­wra­cal­ne. To bar­dzo istot­ne z per­spek­ty­wy wspo­mnia­ne­go wyżej życze­nio­we­go myśle­nia, o czym będzie jesz­cze mowa.

Kolejnym istot­nym ele­men­tem jest tu zna­cze­nie poję­cia posia­dać coś. Kłopoty z potocz­nym poj­mo­wa­niem tego poję­cia dobrze ilu­stru­je poniż­sza aneg­do­ta (nie znam autora):

  1. jeże­li dwie oso­by posia­da­ją po jed­nym jabł­ku i się nimi wymie­nią, nadal posia­da­ją po jed­nym jabłku,
  2. jeże­li dwie oso­by posia­da­ją po jed­nym pomy­śle i się nimi wymie­nią, teraz posia­da­ją po dwa pomysły,
  3. jeże­li dwie oso­by posia­da­ją po jed­nym sekre­cie i się nimi wymie­nią, nie posia­da­ją już sekretów.

Pojęcie posia­dać coś” jest potocz­nie utoż­sa­mia­ne z poję­ciem mieć coś. W pra­wie poję­cie posia­da­nia ozna­cza pra­wo dys­po­no­wa­nia (wła­da­nia), w tym mie­ści się tak­że ogra­ni­cza­nie dostę­pu. W przy­pad­ku przed­mio­tu mate­rial­ne­go potocz­ne rozu­mie­nie nie kłó­ci się z praw­nym, przy­kła­dem jest powyż­sze jabł­ko: przed i po zamia­nie mam jed­no jabł­ko. Jednak pomysł jest tre­ścią, opi­sem któ­ry mamy w naszym umy­śle lub utrwa­li­my np. na papie­rze jako dane. Sekret to nic inne­go jak treść trzy­ma­na w tajem­ni­cy przed inny­mi, jej wyja­wie­nie innym spo­wo­du­je, że prze­sta­nie ona już być sekre­tem. Tym sekre­tem może być, mię­dzy inny­mi, ów pomysł. Jak rozu­mieć powyż­sze trzy fakty?

  1. oso­by mają­ce po jed­nym jabł­ku, po wymia­nie nadal mają po jed­nym jabł­ku: mają jed­nak już inne ich egzemplarze,
  2. oso­by, któ­re wymie­nią się pomy­sła­mi, mają każ­da po dwa pomy­sły, bo nie da się pozbyć raz pozy­ska­nej wie­dzy (czy­li infor­ma­cji o pomyśle),
  3. oso­by, któ­re wymie­nią się sekre­ta­mi (ich tre­ścią), tak na praw­dę wyja­wia­ją infor­ma­cję, sekre­ty prze­sta­ją więc być sekretami.

I tu poja­wia się bar­dzo waż­ne poję­cie: egzem­plarz. Dotyczy ono wyłącz­nie bytów mate­rial­nych: infor­ma­cje nie mają egzem­pla­rzy, bo treść (to co zro­zu­miał czło­wiek) jest z zasa­dy nie­ma­te­rial­na. Tak więc wymia­na jabłek to wymia­na mate­rial­nych przed­mio­tów, odda­jąc jabł­ko tra­ci­my je (prze­sta­je­my je mieć). Wymiana infor­ma­cji pro­wa­dzi wyłącz­nie do powięk­sze­nia sta­nu wie­dzy, udo­stęp­nia­jąc infor­ma­cje nie tra­ci­my już posia­da­nych, pozy­sku­je­my zaś nowe. Prawa mate­rial­ne do tre­ści (np. autor­skie pra­wa mająt­ko­we) to pra­wo dys­po­no­wa­nia nią, a kon­kret­nie pra­wo do ogra­ni­cza­nia korzy­sta­nia z tej tre­ści, ale nie ma fizycz­nej moż­li­wo­ści ode­bra­nia komuś tego, cze­go się już raz dowie­dział, co dobrze ilu­stru­je porze­ka­dło: jak coś zoba­czysz to już nie da się tego odzobaczyć.

RODO

Zajrzyjmy teraz do zbio­ru infor­ma­cji we wspo­mnia­nym mate­ria­le Pana Wiewiórowskiego (2018_05_29_wiewiorowski_PTI. pre­zen­ta­cja zaczy­na się od zdania:

Każdy ma pra­wo do ochro­ny życia pry­wat­ne­go, rodzin­ne­go, czci i dobre­go imie­nia oraz do decy­do­wa­nia o swo­im życiu osobistym.

Co zna­czy powyż­sze? To co potocz­nie nazy­wa­my życiem pry­wat­nym i rodzin­nym to fak­ty z naszej prze­strze­ni pry­wat­nej (oso­bi­ste) lub chro­nio­nej (rodzin­ne). Nie pod­le­ga­ją jed­nak żad­nej ochro­nie – fizycz­nie nie ma takiej moż­li­wo­ści – fak­ty z prze­strze­ni publicz­nej: są z zasa­dy publicz­ne. Czym tak na praw­dę jest tu nasza cześć i dobre imię? To fak­ty o nas, ale infor­ma­cje stwa­rza­my albo my sami albo kłam­cy o nas (o tym czy infor­ma­cja jest praw­dą czy nie, napi­szę pod koniec). Czym jest ochro­na naszych czci i imie­nia? To wyłącz­nie prze­ciw­dzia­ła­nie roz­po­wszech­nia­niu kłamstw na nasz temat. Życie oso­bi­ste i to jak się ono toczy, zale­ży w głów­nej mie­rze od nas samych, cza­sa­mi jed­nak ogra­ni­czo­ne jest pra­wem, np. to jak trak­tu­je­my człon­ków naszej rodzi­ny (prze­moc w rodzinie).

Autor przy­ta­cza tak­że Art. 51 Konstytucji RP:

  1. Nikt nie może być obo­wią­za­ny ina­czej niż na pod­sta­wie usta­wy do ujaw­nia­nia infor­ma­cji doty­czą­cych jego osoby.
  2. Władze publicz­ne nie mogą pozy­ski­wać, gro­ma­dzić i udo­stęp­niać innych infor­ma­cji o oby­wa­te­lach niż nie­zbęd­ne w demo­kra­tycz­nym pań­stwie prawnym.
  3. Każdy ma pra­wo dostę­pu do doty­czą­cych go urzę­do­wych doku­men­tów i zbio­rów danych. Ograniczenie tego pra­wa może okre­ślić ustawa.
  4. Każdy ma pra­wo do żąda­nia spro­sto­wa­nia oraz usu­nię­cia infor­ma­cji nie­praw­dzi­wych, nie­peł­nych lub zebra­nych w spo­sób sprzecz­ny z ustawą.
  5. Zasady i tryb gro­ma­dze­nia oraz udo­stęp­nia­nia infor­ma­cji okre­śla ustawa.

Łatwo zauwa­żyć, że żaden prze­pis nie koli­du­je z tym co opi­su­je wyżej opi­sa­ny model. Ale już na kolej­nej stro­nie 7 mate­ria­łu mamy Artykuł 16 Traktatu o funk­cjo­no­wa­niu UE:

  1. Każda oso­ba ma pra­wo do ochro­ny danych oso­bo­wych jej dotyczących.
  2. Parlament Europejski i Rada, sta­no­wiąc zasa­dy doty­czą­ce ochro­ny osób fizycz­nych w zakre­sie prze­twa­rza­nia danych oso­bo­wych przez insty­tu­cje, orga­ny i jed­nost­ki orga­ni­za­cyj­ne Unii oraz przez Państwa Członkowskie w wyko­ny­wa­niu dzia­łań wcho­dzą­cych w zakres zasto­so­wa­nia pra­wa Unii, a tak­że zasa­dy doty­czą­ce swo­bod­ne­go prze­pły­wu takich danych. Przestrzeganie tych zasad pod­le­ga kon­tro­li nie­za­leż­nych organów.

Jeżeli pod poję­ciem ochro­ny mamy na myśli nie­ujaw­nia­nie nie­ujaw­nio­ne­go (sekret) to jest to moż­li­we. Jeżeli mamy na myśli ochro­nę w rodza­ju ogra­ni­cza­nia dostę­pu do infor­ma­cji począt­ko­wo jaw­nych, to nie­ste­ty jest to już życze­nio­wość, bo z zasa­dy fak­ty z nami zwią­za­ne, zacho­dzą­ce w prze­strze­ni publicz­nej, nie są chro­nio­ne (każ­dy może być ich świad­kiem). Drugi punkt zawie­ra poję­cia prze­twa­rza­nia i tu jest pro­blem, bo prze­cho­wy­wa­nie zosta­ło w prze­pi­sach zrów­na­ne z prze­twa­rza­niem. Przechowywanie danych to ich utrwa­le­nie na okre­ślo­nym nośni­ku, ale nie ozna­cza ono, że te dane są udo­stęp­nia­ne czy prze­kształ­ca­ne, czy­li prze­twa­rza­ne, w zna­cze­niu jakie i potocz­nie i wg. słow­ni­ka języ­ka pol­skie­go, nada­je­my temu poję­ciu. Osoba posia­da­ją­ca nośnik z dany­mi może nie mieć moż­li­wo­ści ich odczy­ta­nia (zapo­zna­nia się z dany­mi i prze­kształ­ca­nia ich w jaki­kol­wiek spo­sób). Zwróćmy uwa­gę na fakt, że każ­dy kom­pu­ter to opro­gra­mo­wa­nie i zapa­mię­ta­ne dane, co powo­du­je, że mimo ist­nie­nia mecha­ni­zmów kon­tro­li dostę­pu do danych, czy­ni z każ­de­go jego użyt­kow­ni­ka oso­bę prze­twa­rza­ją­cą dane, co jest absurdem.

Kolejne zagad­nie­nie to poję­cie pry­wat­no­ści. Sł. języ­ka pol­skie­go: pry­wat­ny czy­li doty­czą­cy czy­ichś spraw oso­bi­stych i rodzin­nych. Jest to jed­nak sze­ro­ka i potocz­na defi­ni­cja. Czy spra­wą oso­bi­stą jest kłót­nia z człon­kiem rodzi­ny na środ­ku ryn­ku? Opisany wcze­śniej model jasno wska­zu­je, że fak­ty zacho­dzą­ce w prze­strze­ni publicz­nej są publicz­ne, i nie ma już zna­cze­nia cze­go doty­czą, bo to coś zaist­nia­ło w prze­strze­ni publicz­nej. Jeżeli to doty­czy­ło (było zwią­za­ne z) spra­wy oso­bi­stej czy rodzin­nej, nie zmie­nia już nicze­go. Pan Wiewiórowski przy­wo­łu­je arty­kuł pew­ne­go praw­ni­ka opu­bli­ko­wa­ny w USA w 1890, w pod­su­mo­wa­niu jego autor powo­łu­je się na uzna­wa­ne pra­wo” natu­ral­ne (!) mówią­ce, że dom był zawsze nie­do­stęp­nym zam­kiem męż­czy­zny (The com­mon law has always reco­gni­zed a man’s house as his castle, impre­gna­ble, often, even to his own offi­cers enga­ged in the exe­cu­tion of its com­mand.). Czy na pew­no jest to dobra dro­ga? Owszem dom, rozu­mia­ny jako prze­strzeń chro­nio­na, to miej­sce gdzie nie powsta­ją fak­ty publicz­ne. Jeżeli isto­tą tego prze­ka­zu jest to, by publi­ko­wa­nie zdjęć wyko­na­nych w domu było poten­cjal­nie karal­ne, to jest to ogól­nie słusz­ne, jed­nak nie brnął bym w stro­nę bez­względ­nej ochro­ny, bo zabrnie­my w ochro­nę prze­mo­cy domo­wej, o ile tyl­ko docho­dzi do niej w zam­ku mężczyzny”.

Pojęcie pry­wat­no­ści, w moich oczach zosta­ło już dość poważ­nie wypa­czo­ne. Na stro­nie 10 mate­ria­łu, przy­to­czo­no kil­ka defi­ni­cji pry­wat­no­ści, cie­ka­we jest to, że wszyst­kie one zasa­dza­ją się na pra­wie do zbie­ra­nia i prze­twa­rza­nia infor­ma­cji i nic nie mówią o tym, w jakich warun­kach powsta­ły (patrz model poję­cio­wy wyżej). Prowadzi to do absur­du jakim jest uzna­nie, że ja mam pra­wo decy­do­wać o tym, co ktoś inny robi z dany­mi o fak­tach mnie doty­czą­cych, jakie zaszły w prze­strze­ni publicz­nej. Jest to kla­sycz­ne życze­nio­we myśle­nie. Tak więc mówie­nie o pry­wat­no­ści, defi­niu­jąc ją tyl­ko jako coś co doty­czy oso­by, pro­wa­dzi do absur­dów takich jak uzna­nie za moją rzecz pry­wat­ną tego, że pośli­zgną­łem się i wywi­ną­łem orła na środ­ku ulicy.

Kolejna kwe­stia to poję­cie danych oso­bo­wych. RODO (Art. 4. Definicje):

1) ?dane oso­bo­we? ozna­cza­ją infor­ma­cje o ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycz­nej (?oso­bie, któ­rej dane doty­czą?); moż­li­wa do ziden­ty­fi­ko­wa­nia oso­ba fizycz­na to oso­ba, któ­rą moż­na bez­po­śred­nio lub pośred­nio ziden­ty­fi­ko­wać, w szcze­gól­no­ści na pod­sta­wie iden­ty­fi­ka­to­ra takie­go jak imię i nazwi­sko, numer iden­ty­fi­ka­cyj­ny, dane o loka­li­za­cji, iden­ty­fi­ka­tor inter­ne­to­wy lub jeden bądź kil­ka szcze­gól­nych czyn­ni­ków okre­śla­ją­cych fizycz­ną, fizjo­lo­gicz­ną, gene­tycz­ną, psy­chicz­ną, eko­no­micz­ną, kul­tu­ro­wą lub spo­łecz­ną toż­sa­mość oso­by fizycznej;
2) ?prze­twa­rza­nie? ozna­cza ope­ra­cję lub zestaw ope­ra­cji wyko­ny­wa­nych na danych oso­bo­wych lub zesta­wach danych oso­bo­wych w spo­sób zauto­ma­ty­zo­wa­ny lub nie­zau­to­ma­ty­zo­wa­ny, taką jak zbie­ra­nie, utrwa­la­nie, orga­ni­zo­wa­nie, porząd­ko­wa­nie, prze­cho­wy­wa­nie, adap­to­wa­nie lub mody­fi­ko­wa­nie, pobie­ra­nie, prze­glą­da­nie, wyko­rzy­sty­wa­nie, ujaw­nia­nie poprzez prze­sła­nie, roz­po­wszech­nia­nie lub inne­go rodza­ju udo­stęp­nia­nie, dopa­so­wy­wa­nie lub łącze­nie, ogra­ni­cza­nie, usu­wa­nie lub niszczenie;

Innymi sło­wy dane oso­bo­we to uni­kal­ne cechy lub zestaw cech, danej oso­by. Jednak uzna­nie, że prze­cho­wy­wa­nie jest prze­twa­rza­niem, czy­li zrów­na­nie utrwa­la­nia danych z ich czy­ta­niem, mody­fi­ko­wa­niem i nisz­cze­niem, zno­wu pro­wa­dzi do absur­dów jakie opi­sa­łem już wyżej. Bo jak rozu­mieć takie fak­ty: zapi­sa­nie danych na CDROM, prze­no­sze­nie tego CDROM w tecz­ce, znisz­cze­nie CDROM w nisz­czar­ce mimo tego, że oso­ba wła­da­ją­ca tym CDROM ich nie czy­ta­ła czy­li nie posia­dła infor­ma­cji tam utrwalonych?

Temat sztucz­nej inte­li­gen­cji (AI) cał­ko­wi­cie pomi­jam, jak na razie AI to nic inne­go jak mniej lub bar­dziej wyra­fi­no­wa­ne, deter­mi­ni­stycz­ne sys­te­my podej­mo­wa­nia decy­zji. AI nie jest pod­mio­tem prawa.

Temat tak zwa­ne­go pro­fi­lo­wa­nia to temat na inny arty­kuł. Dużo szu­mu poja­wi­ło się na ten temat po ostat­nich wybo­rach pre­zy­denc­kich w USA i domnie­ma­nym wpły­wie prze­twa­rza­nia danych oso­bo­wych na dobór i adre­so­wa­nie haseł wybor­czych. Przypomnę tyl­ko wcze­śniej­szą uwa­gę: pew­ne dane mogą być two­rzo­ne dro­gą deduk­cji z pozna­nych już fak­tów i dywa­ga­cje na temat tego czy tej deduk­cji zabro­nić (i jak) uwa­żam tak­że za myśle­nie życze­nio­we.

Podsumowanie

Jak poka­za­łem, defi­ni­cje uży­te w usta­wie oraz nor­my powsta­łe z uży­ciem tych defi­ni­cji, nie­jed­no­krot­nie mają cha­rak­ter życze­nio­wy i nie raz bar­dzo repre­syj­ny. Świat fizycz­ny jest taki jaki jest i nie mamy na nie­go wpły­wu. Poszerzanie defi­ni­cji w spo­sób pro­wa­dzą­cy do koli­zji z ich desy­gna­ta­mi (fak­tycz­nym sta­nem tego co defi­niu­ją) i two­rze­nie norm z uży­ciem pojęć mają­cych takie defi­ni­cje, pro­wa­dzi do wie­lu pro­ble­mów z inter­pre­ta­cją tych norm. Do tego docho­dzi kla­sycz­na życze­nio­wość w rodza­ju: pro­szę mi nie robić zdję­cia na uli­cy. Zrównanie pojęć utrwa­la­nia i prze­twa­rza­nia to w moich oczach prze­my­co­ne życze­nie posia­da­nia pra­wa do żąda­nia usu­wa­nia np. nie­wy­god­nych danych na swój temat. Zwieńczeniem tego absur­du jest życze­nio­we Prawo do zapo­mnie­nia5. Bo nawet jeże­li doszło do opu­bli­ko­wa­nia fał­szy­wych infor­ma­cji to mle­ko się wyla­ło”. Coś co nazwę zacie­ra­niem śla­dów, ma sens o ile nie czy­ni­my z tego pra­wa, czy­li cze­goś co nam się bez­względ­nie nale­ży. Tak zwa­ne fej­ki w Internecie sta­ły się powszech­ne, ich usu­wa­nie jest jak naj­bar­dziej potrzeb­ne i moż­li­we, ale już teza, że ktoś ma pra­wo żąda­nia usu­nię­cia WSZYSTKICH, jest co naj­mniej życze­niem, fizycz­nie nie­moż­li­wym. Przetwarzanie to nie tyl­ko nośni­ki elek­tro­nicz­ne na cen­tral­nych ser­we­rach, to tak­że ogrom­ne ilo­ści wydru­ko­wa­nych i roz­dy­stry­bu­owa­nych na papie­rze tek­stów i zdjęć, jak je wszyst­kie usu­nąć? Moim zda­niem wła­ściw­sze jest fran­cu­skie podej­ście, czy­li wpro­wa­dze­nie do pra­wa obo­wiąz­ku umiesz­cza­nia w pod­pi­sach zdjęć fak­tu ich ewen­tu­al­ne­go retuszu.

Niestety nie mogłem być obec­ny na pre­zen­ta­cji zor­ga­ni­zo­wa­nej przez PTI. Jednak treść pli­ku z pre­zen­ta­cją Pana Wiewiórowskiego zawie­ra ogrom­ną ilość zebra­nych, war­to­ścio­wych infor­ma­cji i do niej się odno­si­łem. Myślę, że będzie­my się bory­kać z dużą ilo­ścią pro­ble­mów inter­pre­ta­cyj­nych, któ­rych roz­strzy­ga­nie będzie zapew­ne nie raz uzna­nio­we. Starałem się poka­zać, że two­rze­nie norm praw­nych na bazie nie­pre­cy­zyj­nych pojęć, norm koli­du­ją­cych cza­sa­mi z pra­wa­mi przy­ro­dy, pro­wa­dzi do powsta­wa­nia złe­go pra­wa. Najbliższe mie­sią­ce poka­żą na ile się myli­łem … oba­wiam się, że wie­le spo­rów będzie dało się roz­strzy­gać jedy­nie spro­wa­dza­niem skarg i wnio­sków do absurdu.

__________________
1.
GIODO. GIODO. https://​gio​do​.gov​.pl/​p​l​/​5​6​9​/​9​276. Published June 3, 2018. Accessed June 3, 2018.
2.
Wiedza o RODO rekor­do­wo pil­nie poszu­ki­wa­na – Aktualności / Oddział Mazowiecki PTI. Oddział Mazowiecki PTI. http://​mazow​sze​.pti​.org​.pl/​1​3​,​a​k​t​u​a​l​n​o​s​c​i​/​a​r​t​i​c​l​e​:​273. Published June 3, 2018. Accessed June 3, 2018.
3.
Dziedzinowe mode­le poję­cio­we i struk­tu­ral­ne są pod­sta­wą ana­li­zy sys­te­mo­wej orga­ni­za­cji, pań­stwa, pra­wa itp. Każda ana­li­zę zaczy­nam od opra­co­wa­nia mode­lu bada­nej dziedziny.
4.
Myślenie życze­nio­we (ang. wish­ful thin­king) ? spo­sób rozu­mo­wa­nia i podej­mo­wa­nia decy­zji opie­ra­ją­cy się na wizji ?opty­mi­stycz­ne­go sce­na­riu­sza? w miej­sce odwo­ły­wa­nia się do dowo­dów i racjonalności.

RODO Ochrona danych osobowych czyli ochrona czego? Cz. I

Temat ochro­ny danych oso­bo­wych cho­dzi za mną od dłuż­sze­go cza­su, do tej pory mówi­łem sobie: jutro napi­szę. I mówi­łem tak codzien­nie rano od kil­ku lat :). Jednak nad­cho­dzi RODO1, posta­no­wi­łem więc zając się tym bli­żej, tym bar­dziej, że dotych­cza­so­we prze­pi­sy już nastrę­cza­ły wie­lu problemów.

Dzisiaj o obec­nym sta­nie praw­nym, na dniach o RODO…

Generalnie pra­wo to nor­my praw­ne czy­li regu­ły. Reguły w każ­dym języ­ku budo­wa­ne są z pojęć o okre­ślo­nym zna­cze­niu i pre­dy­ka­tów. Tym razem posta­no­wi­łem wska­zać przy­czy­ny pro­ble­mów jakie są z obec­nym pra­wem i jakie nad­cho­dzą, ze sto­so­wa­niem nowe­go pra­wa o ochro­nie danych osobowych.

Kluczem są poję­cia i ich zna­cze­nia, bo one i ich defi­ni­cje, wska­zu­ją na okre­ślo­ne desy­gna­ty, czy­li to cze­go (jakie­go pod­mio­tu lub przed­mio­tu) te poję­cia doty­czą. Przykład: jeże­li ktoś usta­no­wi nor­mę mówią­cą, że (nigdy) nie wol­no wpro­wa­dzać psów na teren szpi­ta­la, to sto­so­wa­nie tej nor­my (lub uka­ra­nie za nie zasto­so­wa­nie się) wyma­ga rozu­mie­nia i inter­pre­ta­cji pojęć: wpro­wa­dzić, pies i szpi­tal (nigdy i nie wol­no to pre­dy­ka­ty). Definicje tych pojęć muszą być ści­słe, czy­li muszą pozwa­lać na bez­względ­ne odróż­nia­nie np. psów od nie­psów czy szpi­ta­la od nie­szpi­ta­la. Bez tego sto­so­wa­nie nor­my sta­je się prak­tycz­nie nie­moż­li­we lub bar­dzo trud­ne z powo­du trud­ne­go kla­sy­fi­ko­wa­nia zda­rzeń (czy­nów) i przedmiotów.

Popatrzmy więc na wybra­ne defi­ni­cje i nor­my, w któ­rych ich uży­to. Na począ­tek jed­nak kil­ka defi­ni­cji słow­ni­ko­wych (sjp​.pwn​.pl):

dane: 2. ?infor­ma­cje prze­twa­rza­ne przez komputer?
infor­ma­cja: 1. ?to, co powie­dzia­no lub napi­sa­no o kimś lub o czymś, tak­że zako­mu­ni­ko­wa­nie czegoś?
oso­ba: 1. ?jed­nost­ka ludzka?,
oso­ba fizycz­na: ?wobec pra­wa: każ­dy czło­wiek od chwi­li uro­dze­nia do chwi­li śmierci?
prze­cho­wy­wać: 3. ?uchro­nić coś przed zapomnieniem?
prze­twa­rzać: 3. ?opra­co­wać zebra­ne dane, infor­ma­cje itp., wyko­rzy­stu­jąc tech­ni­kę komputerową?
pry­wat­ny: 2. ?nie­pod­le­ga­ją­cy pań­stwu ani żad­nym insty­tu­cjom publicz­nym?, 3. ?doty­czą­cy czy­ichś spraw oso­bi­stych i rodzinnych?

GIODO, w kwe­stii ochro­ny danych oso­bo­wych, przy­wo­łu­je dwa niżej wymie­nio­ne arty­ku­ły Konstytucji z 1997 r., te sta­no­wią jedynie:

Art. 47. Każdy ma pra­wo do ochro­ny praw­nej życia pry­wat­ne­go, rodzin­ne­go, czci i dobre­go imie­nia oraz do decy­do­wa­nia o swo­im życiu osobistym.

Art. 51.
1. Nikt nie może być obo­wią­za­ny ina­czej niż na pod­sta­wie usta­wy do ujaw­nia­nia infor­ma­cji doty­czą­cych jego osoby.
2. Władze publicz­ne nie mogą pozy­ski­wać, gro­ma­dzić i udo­stęp­niać innych infor­ma­cji o oby­wa­te­lach niż nie­zbęd­ne w demo­kra­tycz­nym pań­stwie prawnym.
3. Każdy ma pra­wo dostę­pu do doty­czą­cych go urzę­do­wych doku­men­tów i zbio­rów danych. Ograniczenie tego pra­wa może okre­ślić ustawa.
4. Każdy ma pra­wo do żąda­nia spro­sto­wa­nia oraz usu­nię­cia infor­ma­cji nie­praw­dzi­wych, nie­peł­nych lub zebra­nych w spo­sób sprzecz­ny z ustawą.
5. Zasady i tryb gro­ma­dze­nia oraz udo­stęp­nia­nia infor­ma­cji okre­śla ustawa.

Życie pry­wat­ne to to, co robi­my poza prze­strze­nią publicz­ną, infor­ma­cje (wie­dza) o tym życiu to ele­ment naszej prywatności.

W rze­czo­nej Ustawie, są jed­nak pro­ble­my. Ustawodawca definiuje:

Art. 6.
1. W rozu­mie­niu usta­wy za dane oso­bo­we uwa­ża się wszel­kie infor­ma­cje doty­czą­ce ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­by fizycznej.

Jeżeli wszel­kie, to nie tyl­ko te doty­czą­ce życia pry­wat­ne­go ale tak­że te, doty­czą­ce jej prze­by­wa­nia w prze­strze­ni publicz­nej czy funk­cjo­no­wa­nia w życiu publicz­nym i gospo­dar­ce. To pro­wa­dzi do pew­ne­go pro­ble­mu: np. ktoś był w miej­scu publicz­nym i został zare­je­stro­wa­ny na zdję­ciu lub fil­mie, jest to repor­ter­ska rela­cja, któ­ra przede wszyst­kim będzie prze­cho­wy­wa­na w redak­cji, mate­riał może być wyko­rzy­sta­ny w pra­sie lub tele­wi­zji. Ktoś zło­żył rekla­ma­cje doty­czą­ca przed­mio­tu lub usłu­gi, któ­ra kupił, to fakt jaki miał miej­sce. A to tyl­ko frag­ment typo­wej rze­czy­wi­sto­ści. Jest bar­dzo wie­le nie­szko­dli­wych ankiet ulicz­nych, pety­cji itp. gdzie mamy dane oso­by, dane cza­su i miej­sca zło­że­nia podpisu.

2. Osobą moż­li­wą do ziden­ty­fi­ko­wa­nia jest oso­ba, któ­rej toż­sa­mość moż­na okre­ślić bez­po­śred­nio lub pośred­nio, w szcze­gól­no­ści przez powo­ła­nie się na numer iden­ty­fi­ka­cyj­ny albo jeden lub kil­ka spe­cy­ficz­nych czyn­ni­ków okre­śla­ją­cych jej cechy fizycz­ne, fizjo­lo­gicz­ne, umy­sło­we, eko­no­micz­ne, kul­tu­ro­we lub społeczne.

Możliwość iden­ty­fi­ka­cji oso­by mamy nie­mal­że zawsze, zapi­sa­nie imie­nia i nazwi­ska, zdję­cie, adres pocz­ty elek­tro­nicz­nej i numer tele­fo­nu są unikalne.

3. Informacji nie uwa­ża się za umoż­li­wia­ją­cą okre­śle­nie toż­sa­mo­ści oso­by, jeże­li wyma­ga­ło­by to nad­mier­nych kosz­tów, cza­su lub dzia­łań.2

Tu mój konik: jak brzmi defi­ni­cja nad­mier­no­ści”?

Art. 7. Ilekroć w usta­wie jest mowa o:
1) zbio­rze danych ? rozu­mie się przez to każ­dy posia­da­ją­cy struk­tu­rę zestaw danych o cha­rak­te­rze oso­bo­wym, dostęp­nych według okre­ślo­nych kry­te­riów, nie­za­leż­nie od tego, czy zestaw ten jest roz­pro­szo­ny lub podzie­lo­ny funkcjonalnie;

Nie mam poję­cia skąd ta potrze­ba by dane mia­ły jaką­kol­wiek struk­tu­rę, czyż­by spe­cja­li­sta od rela­cyj­nych baz danych maczał pal­ce w two­rze­niu tych defi­ni­cji? Jeżeli opi­sze jakąś oso­bę z uży­ciem nie­struk­tu­ral­nej pro­zy, to już nie są to dane osobowe?

2) prze­twa­rza­niu danych ? rozu­mie się przez to jakie­kol­wiek ope­ra­cje wyko­ny­wa­ne na danych oso­bo­wych, takie jak zbie­ra­nie, utrwa­la­nie, prze­cho­wy­wa­nie, opra­co­wy­wa­nie, zmie­nia­nie, udo­stęp­nia­nie i usu­wa­nie, a zwłasz­cza te, któ­re wyko­nu­je się w sys­te­mach informatycznych;

Tu nie­ste­ty kolej­ny pro­blem: zrów­na­no poję­cie prze­twa­rza­nia z prze­cho­wy­wa­niem. Ten zapis masa­kru­je wszel­kie usłu­gi outsourcingu.

2a) sys­te­mie infor­ma­tycz­nym ? rozu­mie się przez to zespół współ­pra­cu­ją­cych ze sobą urzą­dzeń, pro­gra­mów, pro­ce­dur prze­twa­rza­nia infor­ma­cji i narzę­dzi pro­gra­mo­wych zasto­so­wa­nych w celu prze­twa­rza­nia danych;

To ten moment, gdy nie rozu­miem celu: po co umiesz­czać w usta­wie wska­za­nie na tech­no­lo­gię i meto­dę prze­twa­rza­nia i prze­cho­wy­wa­nia? Generalnie nie­ja­sny jest cel tej usta­wy, tym bar­dziej, że w pew­nych obsza­rach jest prak­tycz­nie nie­moż­li­wa do egze­kwo­wa­nia, głów­nie z tego powo­du, że poję­cie prze­cho­wy­wa­nia i prze­twa­rza­nia doty­czy tak­że metod ope­ru­ją­cych np. na papie­ro­wym nośni­ku, że nie wspo­mnę o ludz­kim umyśle.

Mam świa­do­mość, że powsta­nie tej usta­wy w obec­nym kształ­cie to efekt zabie­gów lob­by­stów, szcze­gól­nie osób i orga­ni­za­cji for­su­ją­cych idee pry­wat­no­ści w prze­strze­ni publicz­nej a tak­że rze­szy zwo­len­ni­ków usu­wa­nia danych o histo­rii, co jest nie­ste­ty absur­dal­ne. Skutkiem dzia­łań tych lob­by­stów są nie­spój­no­ści logicz­ne norm zawar­tych w tej usta­wie i ogrom­ne trud­no­ści w jej sto­so­wa­niu. Poniżej model poję­cio­wy dla dzie­dzi­ny danych osobowych:

Dane to infor­ma­cje, mogą doty­czyć oso­by i wte­dy nazy­wa­my jej dany­mi oso­bo­wy­mi. Jednak war­to mieć świa­do­mość, że dane są prze­cho­wy­wa­ne na nośni­kach, co do któ­rych nie zawsze mamy wie­dzę o ich miej­scu prze­cho­wy­wa­nia i nie zawsze dane są z nich usu­wal­ne. Dane oso­bo­we to gene­ral­nie infor­ma­cje o cechach osób i fak­tach ich doty­czą­cych. Cechy np. ludzi są ich imma­nent­nym ele­men­tem i są (raczej) nie­zmien­ne, jed­nak fak­ty to zapis tego co zaszło i przy­by­wa ich w cza­sie, to co zaszło to nie­zmien­na histo­ria. Fakty mogą doty­czyć zda­rzeń publicz­nych lub pry­wat­nych (ogól­nie nie­pu­blicz­nych) usu­wa­nie opi­sów wybra­nych fak­tów z histo­rii to jej fał­szo­wa­nie (cen­zu­ro­wa­nie). Warto nie zapo­mi­nać, że intym­ne cechy cia­ła czło­wie­ka tak­że nie są dany­mi publicz­ny­mi (np. zdję­cia nago) jed­nak to na tym czło­wie­ku spo­czy­wa odpo­wie­dzial­ność za ich pre­zen­ta­cję w miej­scach publicznych.

Podstawowe pro­ble­my z jaki­mi spo­ty­ka­ją się pod­mio­ty prze­twa­rza­ją­ce dane to sto­so­wa­nie się do tej usta­wy w obsza­rach danych pozy­ska­nych w miej­scach publicz­nych, pozy­ska­nych w toku legal­nej dzia­łal­no­ści, zare­je­stro­wa­nych danych o fak­tach jakie zaszły w miej­scach publicz­nych oraz kwe­stie usu­wa­nia infor­ma­cji o histo­rii. Przestrzeń publicz­na z natu­ry nie two­rzy fak­tów o pry­wat­no­ści, są one – infor­ma­cje o tym co zaszło w prze­strze­ni publicz­nej – powszech­nie dostęp­ne, szcze­gól­nie dla ludzi obec­nych w tym samym miej­scu i cza­sie. W efek­cie posia­da­nie danych publicz­nych o danej oso­bie jest moż­li­we, nie wyma­ga ani jej zgo­dy ani łama­nia pra­wa, by dane te posia­dać. Kolejny pro­blem to kwe­stia tak zwa­ne­go pra­wa do zapo­mnie­nia. Jeden z wie­lu przy­kła­dów pro­ble­mu opi­sa­ła rok temu Gazeta Prawna:

Choć por­tal ten jest lustrza­nym odbi­ciem infor­ma­cji zawar­tych w KRS, to coraz wię­cej osób doma­ga się usu­wa­nia swo­ich danych. Co naj­mniej raz w tygo­dniu ktoś albo bez­po­śred­nio, albo poprzez kan­ce­la­rię praw­ną prze­sy­ła taki wnio­sek. Powód zawsze jest ten sam ? nie chce być koja­rzo­ny z jakąś dzia­łal­no­ścią z prze­szło­ści. Rodzi się pyta­nie, czy ma pra­wo do bycia zapo­mnia­nym? (źr. : Prawo do bycia zapo­mnia­nym nie ma cha­rak­te­ru abso­lut­ne­go – Prawo i wymiar spra­wie­dli­wo­ści – GazetaPrawna​.pl)

Opisane w tym arty­ku­le żąda­nia wręcz prze­czą pra­wom fizy­ki. Prawo do zapo­mnie­nia jest prak­tycz­nie nie­moż­li­we do reali­za­cji w ludz­kiej pamię­ci czy set­kach papie­ro­wych kopii ist­nie­ją­cych doku­men­tów. Pisałem już o tym pro­ble­mie już w 2014 roku:

?Założyciel Wikipedii, Jimmy Wales nie owi­ja w baweł­nę ? jego zda­niem ?pra­wo do bycia zapo­mnia­nym? to po pro­stu cen­zu­ra?. I moim zda­niem ma tro­chę racji, ale to ?pra­wo? to po pro­tu pró­ba ?łama­nia praw fizy­ki?, histo­rii nie zmieniamy?W kwe­stii chciej­stwa ludzi: Amerykański kon­cern Google poin­for­mo­wał w czwar­tek, że w cią­gu mie­sią­ca otrzy­mał 70 tys. wnio­sków od euro­pej­skich użyt­kow­ni­ków chcą­cych usu­nię­cia pew­nych wyni­ków poda­wa­nych przez jego wyszu­ki­war­kę w ramach zagwa­ran­to­wa­nia ?pra­wa do bycia zapo­mnia­nym? (Google otrzy­mał 70 tys. wnio­sków o ?bycie zapo­mnia­nym? ? It). Niestety real­nie, w natu­rze, i tak nikt nie ma gwa­ran­to­wa­ne­go ?pra­wa do bycia zapo­mnia­nym?. (źr. : Praw fyzy­ki Pan nie zła­miesz i nie bądź Pan głąb | | Jarosław Żeliński IT-Consulting) 

Wprowadzanie do pra­wa sta­no­wio­ne­go norm gwał­cą­cych pra­wa przy­ro­dy, to brak logi­ki któ­ry zawsze pro­wa­dzi do nad­użyć i pato­lo­gicz­ne­go sto­so­wa­nia tego prawa.

Co przed nami? W RODO np. czy­ta­my, że Ochrona osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych jest jed­nym z praw pod­sta­wo­wych. Art. 8 ust. 1 Karty praw pod­sta­wo­wych Unii Europejskiej” ale już trzy aka­pi­ty dalej czy­ta­my, że Prawo do ochro­ny danych oso­bo­wych nie jest pra­wem bez­względ­nym;”, więc mamy to pra­wo czy go nie mamy? Dokument Rozporządzenie 2016/679 o ochro­nie danych oso­bo­wych (RODO) ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE w znacz­nej mie­rze sta­no­wi sobą listę enu­me­ra­tyw­nie wyszcze­gól­nio­nych przy­pad­ków prze­twa­rza­nia danych i ich ochro­ny, sto­so­wa­nie tego pra­wa będzie bar­dzo trudne.

Za zakoń­cze­nie. Nie było tu moim celem dawa­nie wska­zó­wek, jak wdra­żać RODO, jest wie­le publi­ka­cji na ten temat. Celem moim było zro­zu­mie­nie i poka­za­nie dla­cze­go jego wdra­ża­nie nie będzie łatwe… Należy życzyć powo­dze­nia i cier­pli­wo­ści admi­ni­stra­to­rom ser­we­rów oraz inwen­cji stro­nom praw­ni­ków w nad­cho­dzą­cych spo­rach… Mi pozo­sta­je ubo­le­wa­nie nad tym, że pra­wo współ­two­rzą lobbyści…

c.d.n.

Przypisy

1.
GIODO. GIODO. https://​gio​do​.gov​.pl/​p​l​/​5​6​9​/​9​276. Published May 4, 2018. Accessed May 4, 2018.
2.
Ustawa z 29 sierp­nia 1997 r. o ochro­nie danych oso­bo­wych (tekst jed­no­li­ty, Dz.U. z 2016 r. poz 922),.