Większość ludzi uważa prywatność i ochronę danych za irytujący lub nudny temat. Co mnie obchodzi czy Amazon wie, że być może chcę kupić sandały Birkenstock? Wręcz przeciwnie może nawet jestem zainteresowany otrzymywaniem spersonalizowanych reklam i ofert, dzięki czemu zaoszczędzę trochę czasu na poszukiwaniach. W ten sposób myśli wiele osób, kiedy szukają na przykład ładnego bikini - i z pewnością nie szukają wtedy obszernych wyjaśnień prawniczych na temat ustawień plików cookie. Wielu z nas nie chce zbytnio się przejmować ochroną danych. I to też jest w porządku. Ale byłoby zdecydowanie lepiej, gdybyśmy podejmowali tę decyzję w pełni świadomie: w świetle wszystkich informacji na temat tego, jakie informacje na swój temat ujawniamy, kto zarabia na tym duże pieniądze i jakie możemy ponieść osobiste konsekwencje.
Czym jest ochrona danych i czemu jest ważna?
Przy każdej naszej wizycie online, zostawiamy ślady. Jakie reklamy uważamy za interesujące? Gdzie wybieramy się na wakacje albo jacy komicy szczególnie nas bawią? Te dane zbierane są na różne sposoby: za każdym razem, gdy otwieramy jakąś stronę internetową, w naszych przeglądarkach umieszczane są małe pliki tekstowe - słynne pliki cookies. Niektóre z nich są konieczne ze względów technicznych: na przykład nasza lokalizacja jest potrzebna, aby operatorzy witryn mogli dostarczyć poprawną wersję językową. Jednak często operatorzy sieci pozwalają na instalowanie plików cookie analizujących nasze działanie innym firmom, zwanym również „stronami trzecimi”.
Wykorzystując te ogromne zbiory danych, konstruowany jest spójny profil użytkowników internetu, który jest nieustannie aktualizowany i przechowywany w bazach danych największych firm. Bywa, że przechwytywane dane są bardzo osobiste i mogą obejmować: imiona, wiek, płeć, lokalizację, adres e-mail, historię wyszukiwania oraz zakupów, oglądane filmy i video, naszą aktywność na social mediach, konsultacje z psychologami, nasze dane medyczne, poziom wykształcenia, sytuację finansową, orientację polityczną, preferencje seksualne i o wiele więcej.
Firmy mogą uzyskać dostęp do tych danych i wykorzystać je do utworzenia twojego (często niewłaściwego) profilu, a nawet do manipulowania tobą. Na przykład, poprzez ukierunkowane reklamy. Jednak istnieją też inne zagrożenia. Firmy ubezpieczeniowe mogą odmówić ci przyznania niższych składek na podstawie twojej historii medycznej. Banki mogą uznać cię za niewypłacalnego i odmówić udzielenia ci kredytu, ponieważ mieszkasz w podejrzanej okolicy. Politycy mogą starać się wpływać na twój głos w wyborach, wysyłając do ciebie targetowane reklamy polityczne – pomyśl o skandalu z Cambridge Analytica, w którym firma pomogła Trumpowi wygrać wybory prezydenckie, zbierając i analizując dane facebookowych profili wyborców w USA. W krajach o mniej liberalnych poglądach, mniejszości, takie jak osoby LGBTQ, mogą nawet znaleźć się w niebezpieczeństwie.
Właśnie dlatego nasze dane muszą być chronione przez prawa i przepisy. Dlatego ochrona danych to znacznie więcej niż powstrzymanie gromadzenia i niewłaściwego wykorzystania naszych danych, to również ochrona przed manipulacją, wykorzystywaniem przewagi i dyskryminacją.
Co na to RODO?
25 maja 2016 roku, po latach dyskusji i negocjacji między przedstawicielami sektora prywatnego, społeczeństwa obywatelskiego oraz ustawodawstwa w całej UE, w życie weszło Ogólne rozporządzenie o ochronie danych (RODO). Jednak UE zapewniła firmom dwa lata karencji na wdrożenie przepisów, zanim nowe regulacje zaczęły w końcu obowiązywać 25 maja 2018 roku. Od tego momentu firmy zobowiązane są do informowania użytkowników o zbieraniu ich danych oraz muszą zapewnić im możliwość odmowy lub ograniczenia zbierania tych danych.
RODO to najbardziej rygorystyczne prawo o ochronie danych na świecie. Można je podzielić na trzy główne obszary, których dotyczy: większa przejrzystość, samostanowienie i silniejsze egzekwowanie.
- Większa przejrzystość:
konsumenci mają prawo do informacji. Firmy są prawnie zobligowane do ujawniania, jakie nasze dane przechowuje, jeśli tego zażądamy. Dodatkowo RODO nakłada na firmy obowiązek udzielania informacji konsumentom „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem" (art. 12) o tym, w jaki sposób wykorzystują nasze dane. I to mniej więcej podsumowuje pozornie niekończące się ogólne warunki, których i tak nikt nie czyta. - Więcej samostanowienia:
RODO przyznaje nam większą kontrolę nad naszymi danymi. Na przykład daje nam prawo do bycia zapomnianym. Jeśli nie ma wyraźnego powodu do przechowywania naszych danych, firmy muszą usunąć je na naszą prośbę. RODO wymaga dodatkowo, aby firmy zagwarantowały przyjazne prywatności ustawienia domyślne. Powszechnie określa się to jako domyślna prywatność: operatorzy strony internetowej mogą zbierać od odwiedzających jedynie minimalną konieczną ilość danych, chyba że wyraźnie udzielili zgody na coś innego. Wiele firm wykorzystuje banery cookie do wymuszania zgody od użytkowników, którym o wiele łatwiej jest „zaakceptować" prośbę na zbieranie danych, niż jej „odmówić". Belgijska instytucja ochrony danych, po konsultacji z innymi europejskimi organami, wydała oświadczenie w tej sprawie na początku lutego 2022 uznające stosowanie banerów cookie za nielegalne, co może spowodować daleko idące konsekwencje dla przemysłu reklamowego. - Silniejsze egzekwowanie:
RODO wzmacnia również kwestię egzekucji prawa o ochronie danych. Władze odpowiedzialne za ochronę danych mogą obecnie nakładać surowsze kary finansowe: do 20 milionów euro lub 4% rocznego globalnego przychodu firmy. Wprowadzono również zasadę lokalizacji rynku: RODO obowiązuje wszystkie firmy, które oferują usługi na rynku europejskim, nawet jeśli ich siedziba nie znajduje się w UE. Luksemburski organ ochrony danych nałożył na Amazon grzywnę o rekordowej wysokości: gigant technologiczny ma zapłacić 746 milionów euro za nadużycia w temacie targetowania reklam online. Ma się dopiero okazać, czy faktycznie dojdzie to do skutku.
W Niemczech każdy kraj federalny ma swój własny organ ochrony danych. Monitorują one przestrzeganie przepisów o ochronie danych i są odpowiedzialne za rozpatrywanie skarg od osób fizycznych i organizacji. Organy te współpracują ściśle z Europejskim Inspektorem Ochrony Danych (EIOD) i innymi krajowymi organami ochrony danych. Liberties wraz ze swoimi organizacjami partnerskimi złożyło już kilka skarg dotyczących naruszeń RODO do organów ochrony danych: na przykład w 2020 r. przeciwko nielegalnemu gromadzeniu danych w popularnych aplikacjach, czy w 2019 r. przeciwko niewłaściwemu wykorzystaniu danych w branży reklamowej.
Ochrona danych na świecie
Jak wspomnieliśmy wyżej, RODO jest najbardziej rygorystycznym rozporządzeniem dotyczącym ochrony danych na świecie. Jednak w ostatnich latach w wielu krajach uchwalono dodatkowe prawa w celu ochrony danych obywateli. Na przykład w Chinach od listopada obowiązuje nowe prawo ochrony danych podobne do RODO, które ma minimalizować zbieranie danych i ograniczać celowość. Zapewnia też internautom większe prawo do samostanowienia i większą kontrolę nad swoimi danymi. Jednak tylko firmy objęte są tymi przepisami, nie dotyczy to rządu - państwo może nadal bez przeszkód kontrolować swoich obywateli.
W USA nie ma żadnego podobnego do RODO ogólnego rozporządzenia w kwestii ochrony danych. Firmy muszą przestrzegać przepisów branżowych, jednak władze mają znacznie większe uprawnienia niż w UE, zwłaszcza po wejściu w życie ustawy Patriot Act po atakach z 11 września 2001 r. Organy bezpieczeństwa mogą pozyskiwać dane osobowe bez nakazu sądowego. Podobnie w Indiach czy Rosji organy bezpieczeństwa i agencje wywiadowcze mają nieograniczony dostęp do danych użytkowników online w różnych obszarach. Dodatkowo dodaje się nowe obszary, oczywiście bez zgody użytkowników. Takie działanie często wyjaśnia się i usprawiedliwia bezpieczeństwem narodowym oraz zwalczaniem terroryzmu.
Zdjęcia:
Sanjeri /Canva
Jonas Ferlin /Canva