Histeria RODO

No i stało się.

Europejskie Rozporządzenie o Ochronie Danych Osobowych weszło w życie w piątek, 25 maja. Dziennikarze zrobili wysiłek, żeby o tym mówić i informować - lecz tylko niewielu wiedziało, o czym mówi. Dominowała w całym świecie histeria.

Niektóre amerykańskie portale ( history.com czy Los Angeles Times’ news website) zamknęły lub ograniczyły dostęp dla Europejczyków tłumacząc, że nie są w stanie dostosować się do RODO. Znana firma analizująca media społecznościowe Klout zrezygnowała z wypełniana wymogów RODO i zamyka działalność. Każdy z nas otrzymał dziesiątki maili od różnych sieciowych kooperantów, ja ich otrzymałem przeszło dwie setki w ostatnich dniach - z pytaniami o kontakt, jego podtrzymanie i zgodę na bycie w bazie danych ( a przecież jeśli zgoda była wcześniej dana świadomie i poprawnie, to nie trzeba o to pytać, funkcjonuje dalej). Niewiedza wywołała histerię.

Zamiast spokojnego tłumaczenia, czym nowe regulacje są - wielu komentatorów siało panikę: że straszne kary zaraz spadną na biznes, że nic nie można zrobić ( nawet utworzyć prostego zbioru ż zbioru danych), bo jest RODO, że po co to wszystko, skoro i tak firmy nie oddadzą nam kontroli nad naszymi danymi.... No, właśnie - więcej Histerii, niż Rozumu.

Czasu na przygotowanie kampanii oraz informacji było dużo. 2 lata od przyjęcia dokumentu w Parlamencie Europejskim do wejścia w życie! Ale żyjemy także, a może przede wszystkim, szczególnie w Sieci - łapaniem chwili i skupieniem uwagi na czymś tylko na chwilę. Wchodzimy zatem w erę RODO - dosyć średnio przygotowani. Wiele krajów europejskich jest w takiej sytuacji, jak Polska - RODO weszło, ale ustawa wprowadzająca i zmieniająca dziesiątki przepisów prawnych ( w Polsce około 200) jest opóźniona i nie jest pewne, czy wejdzie w życie przed wakacjami.

A do tego, instytucja mająca pomagać i wyjaśniać trudne sprawy - w Polsce się przepoczwarza: z GIODO na UODO ( Urząd Ochrony Danych Osobowych). To nie była mądra decyzja - tym bardziej, że jest sporo wątpliwości, czy nowe UODO utrzyma niezbędną dla swojej funkcji polityczną niezależność - tak, jak miało ją GIODO.

Przy okazji tych jeszcze trwających prac nad pełnym wdrożeniem spójności między RODO a polskimi przepisami w różnych dziedzinach warto kilku rzeczy dopilnować. Wszystkich przepisów dotyczących możliwości korzystania ze specjalnie wrażliwych danych osobowych, jakimi są dane zdrowotne. Wszystkich przepisów dających na dziś służbom ( policji i wielu innym) prawo do inwigilacji danych bez szacunku dla europejskich przepisów ( tzw. dyrektywa o policji towarzysząca RODO). Czy np.niedawno wprowadzonych przepisów o kamerach w komisjach i lokalach wyborczych ( i tak nie ma pieniędzy na ich instalację) - muszą być jasne i prawnie zdefiniowane precyzyjne reguły ich funkcjonowania, określony cel, poszanowanie dla tajności wyborów, opisany zakres zbieranych danych, czyli zgodność z RODO.

RODO staje się fundamentem nowego zaufania w świecie cyfrowym, bez którego rewolucja cyfrowa nie rozwinie się dalej.

Dlatego rozwijanie świadomości wagi ochrony danych jest dalej zadaniem. Zarówno dla nas użytkowników, jak i dla biznesu, bo jemu też się opłaci budować zaufanie z klientami.

Co jest specjalnie ważne ?

Od 25 maja każdy z nas w pełni jest podmiotem ( w sensie prawnym) mającym wszystkie możliwości decydowania o własnych danych. Wyrażamy zgodę na ich użycie, musimy być o to spytani. Dawniej byliśmy pytani, nie chciało nam się odpowiadać patrząc na szeregi małych literek w skomplikowanych regulaminach i pytający nas - brał brak odpowiedzi za dobrą monetę: wedle domniemania uznawał, że wyraziliśmy zgodę. Stąd niektóre firmy albo dziś pytają o zgodę, albo wyrzucają całe kolekcje danych, bo według nowego prawa są one nielegalne. A dzisiaj musimy w jasny ( afirmatywny) sposób wyrazić konkretną zgodę - kliknąć w odpowiednie okienko.

Mogę o dane pytać firmę, czy instytucję, która je zbiera - pytać o zestaw danych na mój temat, o cele ich zbierania, o zabezpieczenia. Mogę wreszcie przenosząc się z usługami do innej, nowej firmy poprosić skutecznie o przeniesienie wszystkich moich danych ( w formacie do rozczytania na każdym urządzeniu) bez zostawiania ich w bazie swojego poprzedniego usługodawcy ( choć niektóre dane nie będące archiwalnymi mogą pozostać dla zabezpieczeń firmy, kiedy byłaby pytana o relacje z nami). Mogę z uzasadnieniem żądać usunięcia moich danych dotyczących spraw i faktów już nie istniejących ( stary wyrok etc.) - tzw.prawo do zapomnienia. Choć dotyczy to również usunięcia danych, które już nie są niezbędne do celów, dla których je zebrano. A firma, żeby tę nową umowę społeczną w sprawie danych realizować - musi przygotować u siebie rejestr czynności przetwarzania danych. To nie to samo, co operacje przetwarzania danych. Ale to porządkuje i w firmie, i dla nas - wiedzę o tym, do czego te dane służą, jaki jest cel ich gromadzenia.

[b]5. CZY CHCĘ ŻEBY MOJE DANE PRZETWARZANO ?

Dziś już wiemy, że nie chodzi tylko o nasze dane, żeby sobie gdzieś były, i żeby miano dzięki nim kontakt z nami. Dane dzisiaj - to nasze dane najprostsze ( adresy realne i wirtualne IP) , ale i dane o nas, dane, które sami tworzymy - treści naszych postów, wyrazy naszych zachowań, nasze wybory dokonywane poprzez kliknięcia. Wszystko to daje się algorytmicznie opracować w nasz profil: obraz naszych preferencji.

Czy chcemy, żeby wiedza o naszych preferencjach była do czegoś wykorzystywana ? To pytanie do nas - i mamy już teraz, dzięki RODO podstawy prawne, by dokonać wyboru i na nie odpowiedzieć.

Ale też musimy rozumieć, że część danych i ich przetwarzanie służy celom publicznym. Nie możemy ich zabrać np.danych z rejestru państwowego dotyczącego spraw cywilnych, bo zakłócalibyśmy sprawność funkcjonowania życia publicznego. Podobnie z przetwarzaniem danych w imię uzasadnionego interesu publicznego - statystyka służąca badaniu trendów. RODO podkreśla, że przy naszej zgodzie i przy braniu pod uwagę interesu publicznego - można dane przetwarzać. Bo to kluczowe dla współczesnego świata. Ale też nasze dane powinny być wtedy pseudonimizowane ( są schowane, ale istnieje klucz do ich deszyfracji, choć zabezpieczony i w innym miejscu, czyli pseudonimizacja jest odwracalna), albo w pełni anonimizowane. Po anonimizacji już nie można wrócić do identyfikacji danych z konkretnymi osobami.

Pseudonimizacja i anonimizacja tworzą ramy dla nowego świata danych. Dla ich przetwarzania w celach badawczych - co zresztą w RODO jest jasno powiedziane.

Niektóre dane, które otworzyliśmy ( daliśmy zgodę na ich wykorzystanie) dla kogoś drugiego, np.dla lekarza, który później w oparciu o nie dokonał analiz naszego stanu zdrowia i ma wnioski - stają się tzw.danymi wywiedzionymi i wywnioskowanymi, których już nie możemy wycofać (zapomnieć), ani przenieść. Podobnie z danymi po analizie, które mówią o naszej zdolności kredytowej. Nie zmienia to faktu, że te dane powinny być specjalnie zabezpieczone procedurą pseudonimizacji i anonimizacji oraz rozwiązaniami kryptograficzmi ( powinny być zaszyfrowane).

Z tego wszystkiego wynika, że stajemy się w olbrzymiej masie przypadków panami sytuacji ( nie odzyskujemy władztwa nad danymi, gdyż nigdy takich uprawnień nie mieliśmy) - właścicielami danych, i mamy nimi zarządzać. To musi być aktywne, jeśli ma być efektywne. Bierność jest niebezpieczna - bo wtedy w świetle prawa tracimy kontrolę na własne życzenie.

I mamy też narzędzie obrony - jeśli uważamy że nasz „partner w danych” nie wypełnia swojej roli, łamie zasady, np.w sytuacji wycieku danych - nie poinformowałby nas o tym ( co w świetle prawa musi zrobić), to mamy ścieżkę sądową. I to jest potwierdzenie stabilności naszego prawa do prywatności.

To prawo obejmuje także dzieci.

Ochrona prywatności dzieci jest kluczowa. Często są one bardziej narażone - przez dostęp do ich danych - na ataki, pokusy i przestępstwa. Szkoda co prawda, że dla uproszczenia procedur i działania prawa w Polsce - samodzielność dzieci w ich wyborach w Sieci nie zeszła co do wieku niżej: do 13 lat i został poziom lat 16. To oznacza, że przy olbrzymiej skali uczestnictwa w Internecie dzieciaki dopiero w wieku 16 lat uzyskają wszystkie uprawnienia decyzyjne - choć często są bardziej świadome Sieci, niż ich rodzice. Ale też zgoda rodziców wyrażana za dzieci nie jest potrzebna wszędzie. Rodzice muszą wyrazić zgodę za dziecko, jeśli ono uczestniczy w usługach, także cyfrowych z mocy umowy cywilnej ( i to było wcześniej), albo jeśli wymagana jest wprost zgoda na przetwarzanie danych ( udział dziecka w jakiejś akcji internetowej, gdzie trzeba podać dane). Jeżeli korzystanie z usługi wynika z regulaminu uczestnictwa, np.w sieci społecznościowej - ta zgoda nie jest wymagana. I wiele praktycznych rozwiązań w świetle RODO będzie możliwych bez nadmiaru biurokracji.

No właśnie, biurokracja. Co dla mądrego wdrożenia RODO jest potrzebne, co jest kluczowe na najbliższe miesiące ?

Pierwsza, to jasne i zrozumiałe prawo - nad czym w Polsce jeszcze trzeba popracować, żeby nie było problemów interpretacyjnych między RODO a innymi ustawami, których na dziś nie dostosowano do RODO. Praca nad ustawą wdrożeniową musi być wspólna, przejrzysta i nastawiona na wartości RODO, a nie chronienie się przed RODO.

Druga, to przygotowanie firm z ich regulaminami, rejestrami, wiedzą, organizacją pracy, przeszkoleniem administratorów różnych zadań, gdzie dane są używane i nawiązaniem kontaktu z klientami wedle nowej formuły - RODO. I bez traktowania RODO jako wyłącznie obciążenia komplikującego życie, a nie szansy na nowy rozwój firm.

Trzecia, to techniczne rozwiązania firm oferujące prostą informację, co się zmienia, ale i programy zapewniające dbałość o ochronę danych - takie założenie z góry, że wszystkie operacje techniczne muszą chronić dane. I że odpowiednie oprogramowania dadzą nam narzędzia do wyboru decyzji, do zarządzania naszymi danymi w sposób prosty.

Czwarte, to instytucjonalna pomoc m.in.władz publicznych dla firm i użytkowników. I nie chodzi tu tylko o działania Ministerstwa Cyfryzacji, ale przede wszystkim o siłę instytucjonalną sieci wsparcia dla RODO ( sprawność organizacji UODO, zasoby ludzkie i kompetencje, szybkość reagowania - ale też i jakość porad prawnych usług w tym zakresie funkcjonujących na rynku).

Piąte, to rosnąca i rosnąca świadomość wagi spraw ochrony prywatności. Jest wspaniały Panoptykon, który wykonuje wielką pracę promocyjno-uświadamiającą, ale media są tu słabym ogniwem, bo uczestniczyły prawie wyłącznie w histerii 25 maja.

Bez wzrostu świadomości spraw ochrony prywatności - albo będziemy żyli w lęku przed tym, co dzieje się z naszymi danymi, albo w histerii - że nie wiadomo, co się w ogóle dzieje, albo staniemy się biernymi pionkami na szachownicy świata gry wielkimi danymi.

Lepiej wybrać to, co RODO oferuje - być świadomym uczestnikiem świata Internetu.