O autorze
Bartosz Mendyk, ukończył Wydział Prawa i Administracji Uniwersytetu Warszawskiego, doktor nauk prawnych. kontakt: www.drmendyk.pl

Sięgając chmur. Dlaczego rozporządzenie unijne dotyczące ochrony danych osobowych jest rzeczywiście potrzebne?

Truizmem byłoby stwierdzenie, że od czasu, kiedy została uchwalona unijna dyrektywa oraz polska ustawa, świat się zmienił. Przyczyniła się do tego przede wszystkim szybka informatyzacja i powszechny dostęp do sieci internetowej.

Znamiennym jest, że czołowa amerykańska gazeta w 1995 r. opublikowała artykuł, w którym stwierdziła, że internet to wynalazek, który się nie sprawdzi. Nawet Bill Gates wyraził przekonanie, że „nie widzi w sieci znaczącego potencjału gospodarczego w okresie najbliższych 10 lat”. W tamtym czasie kwestię internetu podobnie postrzegali rządzący i tworzący prawo: w tym Dyrektywę Unijną z 1995 (która była negocjowana w latach ’80), oraz polską ustawę z 1997 r., której założenia w dużej mierze pochodziły ze wskazanej dyrektywy.
Niewiele później powstały nowe podmioty (np. Google i Facebook), które zaczęły przetwarzać dane osobowe na niespotykaną wcześniej skalę i zrewolucjonizowałynie tylko korzystanie z internetu ale i sposób gromadzenia danych.. Pojawiły się i szybko upowszechniły też takie urządzenia jak telefony mobilne, smartfony. Zapewne kwestią niedalekiej przyszłości będą okulary Google, które wyświetlają podpowiedzi dotyczące np. lokalizacji określonych punków usługowych (najbliższa restauracja, punkt ksero, fotograf), mają one wbudowaną funkcję GPS oraz „widzą” wszystko to, co ich użytkownik, a następnie przetwarzają te informacje.



Z sondażu przeprowadzonego na zlecenie Polskich Badań Internetu wynika, że zaledwie 2% internautów nigdy nie umieściło w sieci żadnych danych na swój temat. Dziewięć na dziesięć osób podało swoje imię i nazwisko oraz informacje na temat daty swojego urodzenia, natomiast ponad dwie trzecie umieściło w sieci swoje zdjęcia. Podkreślenia wymaga w tym miejscu fakt, że, pomimo nieograniczonego dostępu do internetu, każdemu nadal przysługuje prawo do prywatności, które w pierwszej kolejności powinno być chronione przez samych użytkowników funkcjonujących w świecie cyfrowym (z ang. digital abstinence).

Big data

Big data jest to proces pobierania i przetwarzania ogromnej liczby danych o ludziach np. w celu budowania coraz lepszych modeli sprzedażowych. Źródłem informacji są np. zamieszczane przez ludzi „lajki” pod konkretnym wydarzeniem, znaczniki miejsc, które odwiedzili, zdjęcie z ulubioną potrawą lub podziwianym artystą czy politykiem itd. Zdobycie tych informacji, a następnie ich porównanie, przeanalizowanie i wyciągnięcie wniosków pozwala na stworzenie wirtualnego profilu potencjalnego klienta, wyborcy, pracownika czy darczyńcy. Powyższe składa się na pojęcie mikrotargetingu. Wszystko to odbywa się na skalę globalną.
Zwiększającą się liczbę pobieranych i przetwarzanych danych potwierdzają statystyki: Google przetwarza codziennie niewyobrażalną liczbę ponad 24 petabajtów danych. Facebook co godzinę dostaje do przetworzenia ponad 10 milionów nowych fotografii, a jego użytkownicy każdego dnia klikają na przycisk „lubię to” lub komentują coś prawie trzy miliardy razy. 800 milionów użytkowników serwisu YouTube co sekundę dodaje godzinę nowych filmów. Liczba wiadomości na Twitterze rośnie co roku o około 200 procent. To wszystko pozwala coraz lepiej i efektywniej dopasowywać treści reklamowe do potencjalnego odbiorcy.
Na marginesie warto przypomnieć, że nie istnieją darmowe serwery pocztowe lub darmowe społeczności internetowe – wszędzie tam płacimy swoimi danymi osobowymi. Odpowiednie algorytmy big data pozwalają je przetworzyć, a następnie wykorzystać przy dopasowywaniu dla nas materiałów reklamowych.

Przetwarzanie danych osobowych w chmurze obliczeniowej

Już dzisiaj zauważa się ewolucję sektora informatycznego oraz sposobu kumulowania i gromadzenia danych. Dlatego można stwierdzić, że chmura obliczeniowa (z ang. cloud computing) to przyszłość. Usługa ta dynamicznie rozwija się na świecie, plany Komisji Europejskiej zmierzają do jej upowszechnienia, a dostawcy zapewniają wysoki poziom bezpieczeństwa. Jednak to właśnie to ostatnie budzi obawę o bezpieczeństwo.
O ile do niedawna przetwarzanie danych osobowych w chmurze było domeną banków i dużych instytucji finansowych, o tyle obecnie sektor małych i średnich przedsiębiorców również coraz częściej wykorzystuje to rozwiązanie. Od pewnego czasu przedsiębiorstwa mają możliwość zmiany dotychczasowego modelu korzystania z aplikacji, który polegał m.in. na zakupie licencji na użytkowanie programów oraz zapewnieniu niezbędnej infrastruktury informatycznej.
Definicje techniczne zjawiska chmury są skomplikowane. W praktyce oznacza to sposób podejścia do wykorzystywania narzędzi i usług udostępnianych z poziomu sieci internetowej. Cloud computing to model przetwarzania danych, polegający na dostarczaniu przez usługodawcę (organizacja zewnętrzna lub wewnętrzny dział organizacji) usług związanych z przetwarzaniem danych, realizowanych z wykorzystaniem infrastruktury i oprogramowania dostawcy. Usługobiorca korzysta z usług za pośrednictwem sieci (sieć lokalna, internet). Działanie takie ma w zasadzie same zalety, ale niesie też również poważne zagrożenie związane z narażeniem przetwarzanych danych osobowych na upublicznienie. Dlatego należy stosować i ciągle modernizować zabezpieczenia.

Biometria: nowe możliwości, nowe zagrożenia, nowe zabezpieczenia

Wykorzystanie danych biometrycznych w procedurach wydawania i kontroli dokumentów podróży (paszportów) w społeczeństwie było przełomowe. Decyzja ta spowodowała częściowe przyzwyczajenie społeczeństwa, nie tylko w skali jednego kraju, ale i w skali świata do pobierania danych biometrycznych. Otworzyło to znaczny rynek, który według szacunków w 2020 r. będzie wart 20 mld USD.
Dane biometryczne, dotyczą zazwyczaj takich informacji jak:
• wizerunek twarzy,
• odwzorowanie linii papilarnych,
• wzór tęczówki oka,
• mowa,
• głos,
• chód,
• wzór małżowiny usznej,
• inne jak np. biometria podpisu, która polega na wykorzystaniu dynamiki podpisu odręcznego, a nie jedynie jego wyglądu.
Sprawiają one, że coraz więcej czynności będzie potwierdzanych za ich pomocą. Możliwe jest nawet to, że dane biometryczne zastąpią np. karty bankomatowe. Już obecnie takie technologie są dostępne i wykorzystywane. Ograniczenia wynikają ze sceptycyzmu społeczeństwa wobec tej technologii – np. klienci banku nie chcą wypłacać pieniędzy z bankomatu za pomocą odciska palca.
Dlatego jest wymagana interdyscyplinarna współpraca specjalistów z wielu dziedzin nauki w celu opracowania zasad wykorzystywania danych biometrycznych. Z drugiej strony od przedsiębiorców oczekuje się wzmożenia nadzoru nad prawidłowym ich przetwarzaniem.

Ku nowemu rozporządzeniu!

Powyższe zjawiska sprawiły, że ustawodawca unijny uznał dotychczas obowiązujące przepisy za niewystarczające. Istniejąca dyrektywa oczywiście mogła być nowelizowana ale doświadczenia pokazują, że stopień implementacji oraz interpretacji aktu był bardzo różny.
Różnice ujawniły się zwłaszcza przy okazji sprawy wytoczonej przez Maxa Schremsa vs Facebook Irlandia. Zagadnienia dotyczyły swobodnego przykazywania danych osobowych Europejczyków amerykańskiej agencji wywiadowczej i pokazały jak mało znaczące były zapewnienia programu „Safe harbour”. Przy okazji po raz kolejny uwydatnił się problem że każdy regulator danych osobowych (innymi słowy każdy GIODO) odmiennie interpretował dowolny problem! Dodatkowym utrudnieniem był fakt, że np. w państwach federalnych- a zwłaszcza w Niemczech, każdy land posiadał własnego regulatora. Ten w landzie Szlezwik-Holsztyn, który uważany jest za najbardziej konserwatywny, uznał nawet, że żaden transfer dopuszczalny do Stanów Zjednoczonych, nawet na podstawie ww. wiążących reguł korporacyjnych i klauzul umownych, nie jest dopuszczalny.

Wobec powyższych zjawisk- rozwoju technik komputerowych oraz postępującej rozbieżności w zakresie ochrony danych osobowych ustawodawca unijnych- postanowił opracować nowy akt prawny- Rozporządzenie, które stara się lepiej chronić dane osobowe wszystkich Europejczyków. Dla niektórych przedsiębiorców będzie to oznaczało- ewolucję polityki bezpieczeństwa, a dla niektórych, tych którzy dotychczas bagatelizowali ochronę danych osobowych prawdziwą rewolucję!

Af Birte Christensen- Daalsgard, Internettet og Biblioteker, [w:] Erland Kolding Nielsen (Red.), Kommunikation erstatter transport: den digitale, Den digitale revolution I danske forskningsbiblioteker 1980- 2005, Den Kongelige Bibliotek, s. 321
Por. K. Łuczejko, Dane osobowe w internecie – wybrane Zagadnienia Administracyjnoprawne, Acta Iursi Stetinensis, nr 5, 2014, s. 248
V. Mayer-Schonberger, K. Cukier: Big Data. Rewolucja, która zmieni nasze myślenie, pracę i życie, Warszawa: MT Biznes, 2014.

M Zgajewski (red.) CLOUD COMPUTING w sektorze finansowych, Raport Forum Technologii Bankowych Związku Banków Polskich, Warszawa. 2013
M Wyskwarski, Przetwarzanie w chmurze z punktu widzenia małych przedsiębiorstw, Zeszyty naukowe Politechniki Śląskiej, seria: Organizacja i Zarządzanie z. 74, 2014.
M Wyskwarski, Przetwarzanie w chmurze z punktu widzenia małych przedsiębiorstw, Zeszyty naukowe Politechniki Śląskiej, seria: Organizacja i Zarządzanie z. 74, 2014.

O M. Barlow, Real-Time Big Data Analytics: Emerging Architecture, wyd. O’Reilly Media, Sebastopol , 2013.
Janusz A. Urbanowicz, Pięć lat paszportów biometrycznych, http://technologie.gazeta.pl/internet/2029020,104665,10186491,Piec_lat_paszportow_biometrycznych__UZUPELNIENIE_.html
O biometrii por. szerzej pracę zbiorową pod red. R. W. Kaszubski, Biometria w bankowości i administracji publicznej, Związek Banków Polskich, Warszawa 2009.

R. Tadeusiewicz, A. Izworski, J. Majewski, Biometria, wyd. AGH, Kraków 1993.

A. Czajka, A. Pacut, Biometria podpisu odręcznego, [w:] P. Zając, S. Kwaśniowski (Red.), Automatyczna identyfikacja w systemach logistycznych, Oficyna Wydawnicza Politechnik i Wrocławskiej, 2004, s.244.
A. Pacut, A. Czajka, J.Putz-Leszczyńska, Ł. Stasiak, R. Wardziński, Metody Biometrii, Biuletyn NASK, nr 3/ 2006, s. 35 i n.

Ł. Michalik, Odcisk palca zamiast PIN-u. MasterCard testuje biometryczne karty płatnicze, artykuł dostępny: http://gadzetomania.pl/2034,odcisk-palca-zamiast-pin-u-mastercard-testuje-biometryczne-karty-platnicze.
P. Zegarek, Czy program „Safe Harbor” faktycznie trafił do kosza? Jak jest naprawdę?, http://blog-daneosobowe.pl/czy-program-safe-harbor-faktycznie-trafil-do-kosza-jak-jest-naprawde/
Trwa ładowanie komentarzy...