Europejski Inspektor Ochrony Danych o granicach prywatności konsumentów i obywateli UE
Robert Lidke, aleBank.pl: Czy od momentu, kiedy objął Pan stanowisko Europejskiego Inspektora Ochrony Danych coś zaskoczyło Pana w tej dziedzinie? Jakieś zjawisko, wydarzenie, trend?
Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych (EIOD): Praca Inspektora Ochrony Danych, praca osoby, która działa jako regulator na rynku ‒ jest pasmem zdziwień. Dziwimy się prawie każdego dnia różnym sytuacjom, które zastajemy.
Zarówno nowym rozwiązaniom technicznym, które się pojawiają, nowym trendom, z którymi mamy do czynienia, jak i sposobowi, w jaki są wykorzystywane media, różne sposoby komunikacji.
Zawsze podkreślam, że nie wyobrażałem sobie, kiedy zaczynałem pracę jako Generalny Inspektor Ochrony Danych Osobowych w Polsce, że będę musiał dowiedzieć się tyle np. o rynku energetycznym. Wydawało mi się zawsze, że kwestie związane ze zmianami na rynku energii elektrycznej to jest coś tak daleko odległego od ochrony danych osobowych, że absolutnie nigdy nie będzie mi przydatne.
Natomiast okazało się, że rozpoczął się czas Smart Meteringu i nagle musiałem dowiedzieć się, kim jest operator systemu przesyłowego i kim są pozostali uczestnicy tego rynku.
W sytuacji, w której Unia Europejska zajmuje się harmonizacją bardzo różnych obszarów gospodarki, życia, ochrony obywateli, nowości jest mnóstwo. To są agencje, które zajmują się np. kwestiami obronnymi, inne działaniem policji, a inne budują reaktor termonuklearny na południu Francji. W związku z tym spraw jest bardzo dużo.
Czy przeszliśmy jakąś potężną rewolucję, w ciągu tych lat? Chyba nie. To jest taka pełzająca zmiana, która coraz bardziej uzależnia nas od technologii komunikacyjnych.
I czas Covid-19, czas lockdownu, odizolowania bardzo dobrze to pokazał. To nie było nic dramatycznie nowego, raczej przyspieszenie zmian, które obserwowaliśmy już w poprzednich latach.
Ale mimo wszystko czy pandemia postawiła jakieś szczególne wyzwania przed ochroną danych osobowych?
‒ Z pewnością tak. Przyznam, że w momencie, kiedy wybuchła pandemia, byłem pesymistą. Wydawało mi się, że zmiany idą bardzo daleko.
Że tąpnięcie, nie tylko w zakresie ochrony danych osobowych, ale w ogóle ochrony praw podstawowych może być znaczące, że możemy mieć do czynienia z bardzo znaczącym kryzysem tego, w jaki sposób do tej pory Unia Europejska i kraje europejskie podchodziły do kwestii ochrony obywateli. Na całe szczęście moje negatywne przewidywania nie sprawdziły się.
Z czego one wynikały? Przede wszystkim z tego, nagle się obudziłem w sytuacji, gdy ktoś mi „zamknął moją Europę”. Przez całe moje dorosłe życie -jestem z rocznika 1971, więc w 1989 roku miałem 18 lat i wchodziłem w dorosłe życie ‒ całe moje dorosłe życie to był okres, kiedy uzyskiwałem swobodę poruszania się, uzyskiwałem swobodę rozumienia samego siebie jako Europejczyka, jako osoby, która żyje na tym kontynencie i może korzystać ze wszystkich jego zasobów, z całego kulturalnego dorobku Europy.
W czasie pandemii jeśli chodzi o prywatność i ochronę danych osobowych, nie doszło do jakiegoś dramatycznego kryzysu w tym zakresie, wręcz odwrotnie
Po czym nagle, w marcu 2020 roku obudziłem się w sytuacji, kiedy granice odizolowały mnie od miejsca, z którego pochodzę. Nagle znalazłem się w Brukseli, odcięty od Polski, odcięty od możliwości poruszania się po Polsce, zapominając w ogóle o tym, że tych krajów w Europie jest więcej, i że do tej pory byliśmy w jednej wspólnej Europie, a teraz jesteśmy znowu na jakimś poszatkowanym kontynencie. Stad też moje negatywne spojrzenie, które miałem rok temu.
Ale okazało się, że jeśli chodzi o prywatność i ochronę danych osobowych, nie doszło do jakiegoś dramatycznego kryzysu w tym zakresie. Wręcz odwrotnie.
Wszystkie dyskusje, dotyczące nowych rozwiązań proponowanych dla Europejczyków przy zwalczaniu pandemii odbywały się jednak przy spojrzeniu przez pryzmat praw podstawowych, przez pryzmat tego, co Europa dała. Więc nawet jeżeli powiem, że nie wszystkie działania unijne uważam za wystarczająco zharmonizowane, stawiające na to ogólnoeuropejskie spojrzenie, to prawa podstawowe, przede wszystkim prawo do ochrony danych osobowych było cały czas obserwowane.
Natomiast wyzwań było mnóstwo. Wyzwanie pierwsze to było to, że przestaliśmy pracować w dotychczasowy sposób. A to powoduje, że przy wszelkiego rodzaju telepracy, przy wszelkiego rodzaju pracy zdalnej zmienia się zakres nadzoru ze strony pracodawcy nad pracownikiem. Nadzoru, który chciałby mieć pracodawca nad pracownikiem. To było wyzwanie numer jeden.
Drugie wyzwanie to wymiana informacji dotyczących zdrowia osób. Rzeczy, które do tej pory wydawały się zupełnie oczywiste, jako należące do sfery intymnej, sfery prywatnej osoby ‒ zaczęły być nie tyle kwestionowane, ile pojawiły się pytania, czy nadal powinny pozostać nieznane osobom, wśród których ta osoba żyje.
Czy to, że jestem zarażony wirusem Covid-19, powinno znane osobom, które są wokół mnie? Czy tworzenie mapy zakażonych osób nie byłoby przydatne dla bezpieczeństwa społecznego?
Można tu jeszcze dodać kwestię, że pojawiła się chęć ze strony państwa, żeby kontrolować to, jak się kontaktują ze sobą ludzie. Instalowanie aplikacji, które pokazują, kto z kim miał kontakt, dzięki czemu można stwierdzić, kto mógł ewentualnie ulec zarażeniu. To jest duże ograniczenie wolności.
‒ To prawda, choć nie robiłbym zbyt szybkich skrótów myślowych. To nie było tak, że mityczne państwo chciało nagle poznać informacje o wszystkich obywatelach i o tym, w jaki sposób się kontaktują.
Chyba nie mieliśmy żadnego kraju, przynajmniej w Europie, w którym władze publiczne uznałyby, że jest to okazja do wprowadzenia generalnego systemu nadzorowania kontaktów osób.
Prawo ochrony danych osobowych zostało stworzone w latach ’70 ‒ ’80, by odpowiedzieć na pytanie, gdzie znajdują się granice tego, co państwo powinno wiedzieć o obywatelu
Wszystkie kraje, które wprowadzały rozwiązania dotyczące aplikacji śledzących kontakty, robiły to wyraźnie podkreślając, że naprawdę nikogo nie interesuje gromadzenie w jednym miejscu wszystkich informacji. Że istotne jest to, żeby nie kontaktowały się pomiędzy sobą osoby, które mogły się wzajemnie zarazić.
Dobrym podsumowaniem tego byłoby stwierdzenie, że dzisiaj, rok po tym, kiedy te aplikacje zaczęły być tworzone, można zastanawiać się dlaczego to się nie udało.
Bo musimy sobie wyraźnie powiedzieć, że aplikacje do śledzenia kontaktów się nie przydały. Nie były żadnym plusem, jeżeli chodzi o walkę z pandemią, a jednocześnie nie wygląda na to, aby miały pozostać na rynku jako rozwiązanie, które będzie się do czegoś przydawało.
Mamy tu bardzo ciekawy przykład czegoś, na co bardzo liczono, wydawało się, że śledzenie kontaktów może być bardzo przydatne, a tak naprawdę do niczego nie prowadzi, nie daje żadnego dodatkowego efektu. Warto by było przyjrzeć się, dlaczego to rozwiązanie się nie udało.
Obecnie możemy przeczytać informacje o konflikcie między rządem Francji a TSUE w sprawie przechowywania informacji przez operatorów telefonii komórkowej i Internetu o wszystkich połączeniach klientów. Francuzi są za tym, aby wszystkie te informacje były cały czas przechowywane, TSUE uważa, że tylko w wyjątkowych przypadkach. Ile ma być więc wolności obywateli, a ile bezpieczeństwa, ile prywatności, a ile kontroli ze strony państwa?
‒ Jeżeli mówimy tu o orzeczeniu dotyczącym tzw. danych retencyjnych, to jest to sprawa sprzed kilku lat.
Tak, chodzi tu o wyrok TSUE z 2016 roku zakazujący państwom członkowskim niezróżnicowanego i zgeneralizowanego przechowywania danych. Na co więc mamy się godzić, a na co nie, jeśli chodzi o kontrolę państwa nad obywatelem?
‒ Jest to dość oczywisty spór, który istnieje od początku istnienia prawa ochrony danych osobowych. Samo prawo ochrony danych osobowych zostało stworzone w latach ’70 ‒ ’80, by odpowiedzieć na pytanie, gdzie znajdują się granice tego, co państwo powinno wiedzieć o obywatelu.
Lata ’70, ’80 dwudziestego wieku to lata bardzo rozbudowanego terroryzmu. Nam się dzisiaj terroryzm kojarzy ze zdarzeniami roku 2001 i w latach następnych, a tymczasem najwięcej ataków terrorystycznych w Europie przeprowadzonych było w latach ’70.
Był to terroryzm spowodowany działalnością organizacji typu ETA, IRA, jak i bojówek, zarówno prawicowych, jak i lewicowych, m.in. RAF, Czerwone Brygady.
To spowodowało, że państwo zaczęło przypisywać sobie prawo do gromadzenia jak największej liczby informacji o obywatelach, wyławiania tych, którzy byliby niebezpieczni dla społeczeństwa.
Reakcją na to, w takich krajach jak Niemcy czy Francja było pojawienie się oddolnego ruchu, mówiącego, że ktoś musi kontrolować państwo, ktoś musi mówić, gdzie kończy się możliwość państwa do gromadzenia danych dotyczących obywateli.
To spowodowało, że dokładnie 50 lat temu pierwszy organ ochrony danych został utworzony w Hesji i w ciągu kilku kolejnych lat większość krajów Zachodniej Europy stworzyła prawo ochrony danych osobowych, które w końcu po 1995 roku stało się również prawem europejskim.
Nie ma chyba państwa w Europie, które mówiłoby o stałym gromadzeniu wszystkich informacji wynikających z korzystania przez obywateli z telefonów komórkowych czy kontaktowania się między sobą. Problemem, który się pojawia jest to, czy w szczególnych przypadkach państwo powinno mieć możliwość sięgnięcia do danych, które są składowane.
Nie chodzi o stałe informacje od operatorów telefonii komórkowej np. o wykazach połączeń pomiędzy osobami, co jest technicznie niewykonalne, ale czy jest możliwość, że wtedy, kiedy jest to potrzebne, np. organom ścigania, można tego typu działanie włączyć i gromadzić w tym momencie informacje o wszystkich kontaktach jakiejś osoby.
To ingeruje w wiele tajemnic prawnie chronionych. Chodzi tu np. o tajemnicę lekarską, adwokacką i inne szczególne rodzaje tajemnic zawodowych. Ponieważ gromadzenie informacji dotyczących kontaktów telefonicznych jakiejś osoby również pokazuje jej kontakty z adwokatem, czy też z poszczególnymi lekarzami.
Czy państwo może to robić, czy nie ‒ to pytanie, które stawiamy sobie we wszystkich krajach Unii Europejskiej. Ale również na poziomie europejskim, próbując wyznaczyć granice dla harmonizowanego prawa w Europie.
Czyli ta kwestia jest jeszcze dość płynna? Nie ma wyraźnie postawionej granicy?
‒ Nie ma jednej odpowiedzi. Co więcej, jest z jednej strony stała tendencja, że państwa członkowskie Unii Europejskiej naciskają na to, żeby ta możliwość dostępu ze strony organów ścigania była zwiększona, przede wszystkim w sytuacji walki z terroryzmem, ale również walki ze zorganizowaną przestępczością.
Z drugiej strony środowiska pro prywatnościowe, ale też np. środowiska zawodowe adwokatów czy radców prawnych, wskazują na to, że może to doprowadzić do zagubienia przez nas jednych z podstawowych zasad, które do tej pory obowiązywały w Europie, jak domniemanie niewinności, prawo do obrony, prawo do życia prywatnego.
Państwo gromadzi informacje o obywatelach, ale są podmioty, które mają więcej informacji o nas niż państwo. Chodzi tu o Facebook, Google czy Tik Tok. Czy można nad tym zapanować, ograniczyć wiedzę o nas takich podmiotów?
‒ Z pewnością jest tak, że prawo, które zostało stworzone w latach ’70 ‒’80 dwudziestego wieku odnosiło się do Wielkiego Brata państwowego. Natomiast zagrożeniem w obecnej chwili jest zakres informacji, które składowane są przez różnego rodzaju podmioty rynkowe.
Rozwiązaniem jest umożliwienie ludziom odzyskania kontroli, możliwości dowiedzenia się o tym, kto nasze dane przetwarza i w jakim celu
To nie jest tylko pięciu wielkich graczy czy największych firm informatycznych na świecie.To czasem mogą być mniejsze podmioty, które zdobyły silną pozycję na lokalnym rynku czy konkretnym rynku, dotyczącym specyficznej grupy osób. One mogą mieć ogromne zasoby informacyjne, które mogą prowadzić do tworzenia profilów osobowych. A te profile osobowe mogą być sprzedawane, rozdawane, ponownie używane dla celów publicznych i dla celów prywatnych.
Czy to się da ograniczyć? Próbujemy to ucywilizować. Nie twierdzę, że zakazać, drogą tutaj nie jest tworzenie zakazów.
Rozwiązaniem jest umożliwienie ludziom odzyskania kontroli, możliwości dowiedzenia się o tym, kto nasze dane przetwarza i w jakim celu. Jest to jednak rozwiązanie bardzo trudne.
Więcej informacji o problemach związanych z danymi osobowymi, 6 maja 2021 r. podczas konferencji:
FORUM BEZPIECZEŃSTWA BANKÓW
Zapraszamy!
