Po aferze Cambridge Analytica mamy znacznie większą świadomość tego, co dzieje się z naszymi danymi. Nie łudzimy się już, że fajną usługę dostajemy zupełnie za darmo. Z Karoliną Iwańską rozmawia Jędrzej Dudkiewicz.
Okładka Magazyn DGP 17 maja 2019 r. / Dziennik Gazeta Prawna
Kiedy rok temu wprowadzano RODO, wśród przedsiębiorców panowało ogromne zaniepokojenie. Czy sprawdziły się najgorsze przewidywania?
Faktycznie, 25 maja 2018 r. to data, na którą przygotowywano się tak, jakby miał nastąpić koniec świata. Moim zdaniem niezasadnie. RODO, wbrew narracji, którą słyszeliśmy w mediach, nie przyniosło rewolucji. Przepisy o ochronie danych osobowych obowiązywały od 20 lat, tylko instytucje i firmy nie za bardzo się nimi przejmowały. Jako że RODO wprowadziło o wiele większe sankcje za naruszenia, w wielu przedsiębiorstwach pojawiła się panika. Ale jednocześnie firmy znacznie poważniej podeszły do nowych regulacji. To dobrze, bo jako obywatele i konsumenci zasługujemy na porządną ochronę naszych danych. Co nie zmienia faktu, że dostosowanie się do RODO było oczywiście procesem czasochłonnym – wymagało zastanowienia się, w jakim celu dane są zbierane, jak długo się je przechowuje i czy jest to w ogóle zasadne.
Czy rozporządzenie rzeczywiście zmusiło firmy i instytucje do większej odpowiedzialności? Czy też sprawiło po prostu, że zwykli ludzie mają więcej kłopotów? Pytam, bo kilka razy, rozmawiając przez telefon np. z przedstawicielem organizacji pozarządowej, prosiłem o kontakt do innej osoby z tej samej NGO i odmówiono mi, „bo RODO”.
To nie powinno tak działać. Obserwujemy czasem nadinterpretację przepisów i zbytnią bojaźliwość. Przetwarzanie danych jest naturalnym procesem. W zasadzie każda organizacja, instytucja czy firma, która zatrudnia pracowników i ma kontrahentów, musi to robić, by w ogóle funkcjonować. Mam wrażenie, że wiele podmiotów zachowuje się, jakby dane parzyły. Tak nie jest. Trzeba je przetwarzać zgodnie z regułami, w sposób przemyślany, a nie przypadkowy. Przypadki odmowy podania numeru telefonu czy głośna sprawa odmowy ujawnienia wysokości wynagrodzeń w NBP, „bo RODO”, nie powinny mieć miejsca. RODO bywa wymówką, zupełnie wbrew celom tej regulacji.
Do kolejnych absurdów można zaliczyć sytuacje w szpitalach, gdzie pacjenci dostawali pseudonimy po postaciach z bajek lub mitologii. Jaki ma to sens, skoro kiedy sam byłem w szpitalu, bez żadnych ceregieli wywoływano pacjentów na cały głos po imieniu i nazwisku?
Poziom znajomości przepisów jest różny w poszczególnych placówkach. Pomysł na pseudonimizację, o którym wspominasz, jest zabawny i pomysłowy. W szpitalach mamy do czynienia z wrażliwymi informacjami o stanie zdrowia. Wyczytywanie imion i nazwisk pacjentów nie jest najbardziej pożądane, zwłaszcza jeśli ktoś czeka na wizytę u onkologa czy proktologa. Są inne metody, które stosuje wiele placówek, np. „pacjent z określonej godziny”, „pacjent z numerkiem…”.
Jakie jeszcze mity związane z RODO nadal funkcjonują?
Powszechne jest przekonanie, że zgody na przetwarzanie danych trzeba zbierać zawsze, wszędzie i na wszystko. Można by to wręcz określić mianem „zgodozy”. RODO jest przez to odbierane jako coś bardzo denerwującego i restrykcyjnego. Nie powinno tak być, bo zgoda stanowi tylko jedną z sześciu podstaw prawnych, na które można się powołać, przetwarzając dane. Inna jest choćby niezbędność do realizacji umowy czy – jak w przypadku informacji o stanie zdrowia – do świadczenia usług medycznych. Na przykład, idąc do szpitala wcale nie musimy wyrażać zgody na to, by dane o naszym zdrowiu były przetwarzane. Szpital ma ustawowy obowiązek zapewnienia nam opieki zdrowotnej i nie potrzebuje do tego naszego zezwolenia. Innym mitem związanym z RODO jest przeświadczenie, że za wszelką cenę trzeba ukrywać dane, nawet gdy chodzi o informację publiczną lub gdy ich ujawnienie leży w interesie administratora. Przykładowo, jeśli dziennikarz zgłasza się do instytucji z prośbą o kontakt do jej reprezentanta, RODO wcale nie stoi na przeszkodzie przekazaniu tych informacji.
A jak wygląda stosowanie rozporządzenia w szkołach?
Pojawiły się tam opinie, że nie można odczytywać na głos listy obecności, że prace na wystawie plastycznej muszą być podpisane pseudonimami lub że nie można odczytać na głos oceny, jaką dostał uczeń. Jeśli chodzi o tę ostatnią kwestię, to powodem nie jest RODO, ale np. poszanowanie godności czy intymności ucznia. Może on nie chcieć, by cała klasa wiedziała, że dostał złą ocenę.
Czy ludzie mają dziś większą świadomość swoich praw i znaczenia ochrony danych osobowych? A może wdrożenie RODO to tylko setki e-maili od różnych podmiotów, których większości nawet nie przeczytali?
Nie demonizowałbym tak tych e-maili. Ich efektem ubocznym jest to, że nie ma już chyba w Polsce osoby, która nie wie, że istnieje coś takiego, jak ochrona danych! Po roku od wprowadzenia nowych przepisów świadomość tematu wzrosła ogromnie – zarówno po stronie firm, jak i zwykłych ludzi. Często informacje o wycieku danych czy innych nieprawidłowościach pojawiają się teraz na pierwszych stronach gazet. Przed RODO tego typu sprawy miały dużo mniejszą siłę przebicia. Nadal jednak brakuje wśród ludzi zrozumienia, co rozporządzenie realnie może im dać i jak mogą z niego skorzystać.
W takim razie skąd się biorą się wszystkie absurdy związane z unijnym rozporządzeniem?
Wydaje mi się, że zabrakło kampanii informacyjnej dla przedsiębiorców i zwykłych ludzi, która pomogłaby im zrozumieć faktyczny cel nowych przepisów. Nie chodzi o utrudnienie komukolwiek życia – wręcz przeciwnie. W tytule RODO, poza ochroną danych osobowych, jest mowa o ułatwieniu swobodnego przepływu danych. Rozporządzenie wprowadziło różnego rodzaju ułatwienia dla firm: zniosło np. obowiązek rejestracji zbiorów danych. Odeszło od żmudnej papierologii, zastępując ją elastycznym podejściem, opartym na ryzyku, które naturalnie wymaga rzetelnego przemyślenia tego, jak wykorzystuje się dane. RODO ma pozostać aktualne jak najdłużej, jest więc neutralne technologicznie. Oznacza to, że stosuje się je w równym stopniu do wszystkich usług wykorzystujących dane osobowe, niezależnie od tego, czy są one przetwarzane wyłącznie w papierze, w chmurze czy z wykorzystaniem innowacyjnych technologii.
To dlaczego tylu przedsiębiorców wpadło w panikę przy wprowadzaniu regulacji?
RODO to akt prawny, który mocno czerpie z tradycji anglosaskiej, gdzie jest duże pole do interpretacji, a praktyki kształtują się dopiero z czasem, np. wraz z wyrokami sądów. Natomiast w Polsce jesteśmy przyzwyczajeni do kazuistycznych przepisów, które czarno na białym mówią, co trzeba zrobić, a czego nie wolno. RODO wymaga elastyczności i samodzielnej oceny tego, jak zinterpretować prawo w kontekście naszej działalności. To nie jest proste i moim zdaniem stąd biorą się problemy. Rolę prawników, firm szkoleniowych i instytucji państwowych widzę właśnie w uświadamianiu, jak korzystać z nowych regulacji. Z czasem na pewno będzie to lepiej wyglądać.
Dla większości przedsiębiorców przetwarzanie danych to konieczność związana z określonymi obowiązkami. Co wobec tego z gigantami, którzy żyją wyłącznie ze zbierania o nas informacji?
Jeżeli RODO miało komuś pokrzyżować szyki, to właśnie im, czyli korporacjom takim jak Facebook i Google, które oparły swoje modele biznesowe na wykorzystaniu wszelkich okruchów danych w celach marketingowych. Na szczęście zmienia się to także dzięki nowym przepisom.
Rozporządzenie wpłynęło jakoś na działanie mediów społecznościowych?
Facebook i Google oczywiście starają się zminimalizować wszelkie niedogodności, jakie mogą dla nich wyniknąć w związku z RODO. Byłoby zresztą naiwnością oczekiwać, że firmy te nagle całkowicie zmienią swoje modele biznesowe. Moim zdaniem bez skutecznego egzekwowania prawa to niemożliwe. Dopiero co Komisja Europejska doszła do porozumienia z Facebookiem, zgodnie z którym firma ta ma zmienić swój regulamin tak, aby wprost informować konsumentów, na czym polega jej model biznesowy: że w zamian za nasze dane osobowe dostajemy dostęp do darmowej usługi. Z punktu widzenia RODO takie podejście jest jednak kontrowersyjne.
Dlaczego?
RODO wymaga, by zgoda na tak ingerujące w prywatność przetwarzanie danych była dobrowolna, co oznacza, że wymiana danych za dostęp do serwisów jest zabroniona. Praktyki Google’a i Facebooka, polegające na wymuszaniu zgody użytkowników na śledzenie i profilowanie w zamian za swoje usługi, są już zresztą przedmiotem skarg w innych unijnych państwach.
Wiążą się z tym jakieś konsekwencje?
Francuski organ nadzorczy niedawno nałożył na Google karę 50 mln euro za niewystarczające informowanie użytkowników o tym, jak przetwarzane są ich dane. Oczywiście biorąc pod uwagę dochody firmy, nie jest to duża kwota. RODO pozwala nałożyć karę nawet w wysokości 4 mld euro. Powoli jednak coś zaczyna się dziać w kierunku ograniczania władzy gigantów. Przedstawiciele Facebooka przyznali zresztą, że zamierzają zmieniać swój portal w taki sposób, by dostosować go do RODO. Nie jest to proces, który zakończy się w najbliższych miesiącach, ale myślę, że w perspektywie roku, dwóch sytuacja będzie zupełnie inna.
A czy RODO wpłynęło jakoś na to, jak sami korzystamy z mediów społecznościowych?
Po aferze Cambridge Analytica mamy znacznie większą świadomość tego, co dzieje się z naszymi danymi. Nie łudzimy się już, że dostajemy fajną usługę zupełnie za darmo. Powstał zresztą ruch Delete Facebook, który skłonił wiele osób do skasowania swojego konta.
I gdzie poszli? Facebook czy Google to przecież monopoliści.
To prawda, na dobrą sprawę nie ma dla nich alternatywy. Poza prawem ochrony danych osobowych na znaczeniu zyskuje więc prawo antymonopolowe. W Unii Europejskiej już teraz wykorzystuje się je, by uderzać w cyfrowych gigantów. Nie jest wykluczone, że w przyszłości usługi, które świadczy Facebook – czyli portal społecznościowy, Instagram, WhatsApp i inne – zostaną rozdzielone. Zwiększona konkurencja na rynku mediów społecznościowych może przyczynić się do tego, że nasze dane będą lepiej chronione.
A w Polsce ktoś został pociągnięty do odpowiedzialności za łamanie RODO?
Do tej pory nałożono u nas tylko jedną karę na wywiadownię gospodarczą. Pobierała ona dane – w tym jednoosobowych przedsiębiorców – z ogólnodostępnych rejestrów i udostępniała je w swoim serwisie. Urząd Ochrony Danych Osobowych uznał, że sam fakt ich przetwarzania jest zgodny z prawem. Problem polegał na niespełnieniu obowiązku informacyjnego wobec przedsiębiorców. Do niektórych z nich wysłano e-maile, ale duża część osób nie otrzymała żadnego powiadomienia, bo wywiadownia miała tylko ich adresy pocztowe. Firma stwierdziła, że wysłanie każdemu listu wiązałoby się dla niej ze zbyt dużym kosztem. UODO to zakwestionował i nałożył na wywiadownię karę prawie miliona złotych. Ta decyzja urzędu budzi jednak wiele kontrowersji.
Dlaczego?
RODO przewiduje pewnego rodzaju furtkę w postaci zapisu, że nie trzeba spełniać obowiązku informacyjnego w przypadku pozyskania danych z innych źródeł niż bezpośrednio od zainteresowanej osoby, jeżeli miałoby to się wiązać z niewspółmiernie dużym wysiłkiem. Pojawia się pytanie, co ten duży wysiłek oznacza? Czy są nim także nakłady finansowe? Myślę, że z perspektywy zwykłego człowieka jest to jednak mało istotne. Sama decyzja jest kluczowa dlatego, że pokazuje, jak ważne jest, abyśmy wiedzieli, co dzieje się z naszymi danymi, jak są wykorzystywane, komu i w jakim celu są wysyłane. W przeciwnym razie nie będziemy w stanie realizować wszystkich innych przysługujących nam praw wynikających z RODO.
Co możemy zrobić z taką wiedzą?
Możemy zapytać, jakie dokładnie dane o nas przetwarza firma i w jakich celach, możemy sprzeciwić się ich przetwarzaniu, zażądać ich usunięcia, w ostateczności wnieść skargę do UODO lub pozew do sądu.
Jest więc możliwość, by uwolnić się od telefonów z niechcianym marketingiem? Nawet w trakcie naszej rozmowy musiałem odrzucić tego typu połączenie.
Nie ma niestety jednego, magicznego zbioru, w którym znajdziemy wszystkie firmy przetwarzające nasze dane. Podczas pierwszego kontaktu powinniśmy zostać poinformowani, skąd dzwoniący ma nasz numer telefonu. W praktyce mało kto to robi. Możemy więc przerwać rozmowę i zażądać wyjaśnienia, a także sprzeciwić się wykorzystaniu naszych danych oraz domagać się ich usunięcia. Funkcjonuje też Lista Robinsonów Stowarzyszenia Marketingu Bezpośredniego: podmioty, które się na niej zarejestrowały, nie będą nas nękać. Z moich osobistych doświadczeń wynika, że po pierwszym pytaniu o dane połączenie się urywa i męczące telefony ustają. Zawsze można też zgłosić dany numer do Urzędu Komunikacji Elektronicznej czy Urzędu Ochrony Konkurencji i Konsumentów.
Czy to znaczy, że nie możemy zapobiec temu, aby nasze dane w ogóle trafiły do firm?
Nie jesteśmy bez winy. Bardzo często, gdy podpisujemy umowę z operatorem sieci komórkowej, wyrażamy zgodę marketingową. Co oznacza, że nasz numer będzie przekazywany współpracującym z operatorem firmom. Zdarza się, że operator daje nam zniżkę, by nas do tego zachęcić. Nie jest ona duża, 5–10 zł miesięcznie – ale w skali roku dla wielu osób może to być spora korzyść. Oczywiście zgodę w każdym momencie można cofnąć.
Jak RODO może nam jeszcze pomóc?
Wprowadzenie rozporządzenia doprowadziło do zmiany wielu innych aktów prawnych. Tuż po majówce weszła w życie nowelizacja prawa bankowego ustanawiająca prawo do wyjaśnienia, które sprawi, że będziemy mogli się dowiedzieć, co zadecydowało o takiej, a nie innej ocenie kredytowej. RODO jest też gwarantem tego, że w UE nie zostanie wprowadzony system, który zaczyna działać w Chinach, polegający na nagradzaniu lub odmawianiu ludziom dostępu do różnorakich usług publicznych na podstawie oceny ich zachowania. RODO stawia człowieka w centrum i daje mu kontrolę nad tym, w jaki sposób jego dane są wykorzystywane.
A jeśli ktoś się tym w ogóle nie interesuje?
To nawet wtedy jest chroniony, bo przepisy nakładają na firmy obowiązek domyślnego dbania o jego prywatność.
W RODO chodzi też o nasze bezpieczeństwo. Czy ktoś w ogóle kontroluje to, co służby o nas wiedzą?
RODO nie ma w ich przypadku zastosowania. Wiadomo, że służby często nie mogą ujawnić niektórych informacji, bo utrudniałoby to skutecznie działanie. Poświęcono im oddzielny akt prawny, dyrektywę policyjną, której celem było ucywilizowanie przetwarzania danych. Jest tam jednak pewien wytrych: dyrektywa nie znajduje zastosowania w sprawach związanych z bezpieczeństwem narodowym. Polski ustawodawca zinterpretował to pojęcie bardzo szeroko, wyłączając wszystkie służby specjalne spod nowych przepisów. Nasza ustawa znajdzie zastosowanie m.in. wobec policji czy Straży Granicznej. Co do służb specjalnych, to UODO nie ma wobec nich żadnych kompetencji kontrolnych.
To już nie brzmi bezpiecznie.
Niestety. Staramy się poddawać służby namiastce społecznej kontroli, choćby prosząc o wyjaśnienia różnych spraw w ramach dostępu do informacji publicznej. Na przykład próbujemy się dowiedzieć, ile razy sięgano po billingi i czy pobierano zdjęcia z bazy paszportowej – inspiracją w tym drugim przypadku były doniesienia, że ABW porównywała zdjęcia z protestów ze zdjęciami z bazy paszportów i dowodów. Służby często odmawiają jednak odpowiedzi, zasłaniając się tym, że chodzi o informacje niejawne i wtedy trzeba o nie walczyć w sądzie. Co, jak wiadomo, trwa. Potrzebna jest zewnętrzna kontrola nad wykorzystywaniem danych przez służby.