Kiedy odwiedzasz stronę internetową w UE, organizacja, która za nią stoi nie ma prawa wykorzystać twoich danych osobowych wedle swoich zachcianek. Muszą przestrzegać pewnych zasad i procedur znanych jako Ogólne rozporządzenie ochrony danych osobowych (RODO, z ang. GDPR) wprowadzonych w UE w 2018 roku.
Być może RODO wydaje ci się irytujące, bo kojarzy ci się z banerami plików cookie, wyskakującymi przy każdej wizycie na nowej stronie internetowej. Przeważnie się z tobą zgadzamy. Banery plików cookie są irytujące dla użytkowników i z pewnością nie są najbardziej optymalnym sposobem nadzorowania udostępniania danych osobowych - UE powinna wprowadzić skuteczniejszą alternatywę.
Jednak RODO to o wiele więcej niż banery cookie.
Czym jest RODO? Czemu go potrzebujemy?
Kiedy korzystamy z internetu, wiele naszych danych osobowych może trafić do wścibskich rąk. To może być nasz adres e-mail, który podajemy przy logowaniu, informacje o naszej lokalizacji lub historia naszego wyszukiwania. Te informacje wiele o nas mówią - wskazują na to, co lubimy i jaki rodzaj marketingu najlepiej na nas działa - i są niezwykle cenne dla firm, które chcą nakłonić nas do zakupu ich produktów. Bez odpowiednich przepisów firmy mogą wykorzystywać nasze dane w sposób, który nie służy naszej korzyści.
Niestety nie raz się to już zdarzało. W 2021 r. internetowa platforma randkowa LGBTQ* Grindr rzekomo sprzedawała możliwe do (ponownej) identyfikacji dane o lokalizacji urzędnika Kościoła katolickiego w USA, Jeffreya Burrila, które trafiły w ręce redaktorów katolickiego magazynu. Na podstawie uzyskanych z aplikacji danych opublikowali artykuł, w którym ujawnili, że Burril był częstym gościem gejowskich klubów. Po tym skandalu musiał on zrezygnować ze stanowiska i zmierzyć się z burzliwą debatą na temat celibatu i rozwiązłych zachowań homoseksualnych. Mimo że nie skończyło się to dla niego dobrze, to w wielu krajach mogłoby skończyć się gorzej - mógłby nawet trafić do więzienia, czy zostać zabity.
Konieczne są jasne i precyzyjne przepisy, które byłyby konsekwentnie egzekwowane, aby ochronić od podobnych konsekwencji każdego, którego nieprzyjaciele mają wystarczająco pieniędzy (i przebiegłości), aby odnaleźć i rozszyfrować ich ślady online. Lub nawet dane, którymi dzielimy się w pewnych sytuacjach poza internetem.
Aby chronić nasze prawo do zarządzania danymi, które udostępniamy, 25 maja 2018 r. Unia Europejska wprowadziła RODO, które ustanowiło nowe standardy prywatności i ochrony danych osobowych. Bazuje na kilku podstawowych zasadach, które zebraliśmy w poniższej tabeli:
Zgodność z prawem, rzetelność i przejrzystość | Procesowanie danych musi być zgodne z prawem, sprawiedliwe i transparentne wobec podmiotu danych (tak, chodzi o ciebie). |
Ograniczenie celów | Kiedy ktoś chce przetwarzać nasze dane, wszystkie cele muszą być jasno zakomunikowane od początku. |
Minimalizacja danych | Powinno się gromadzić jedynie dane absolutnie niezbędne do osiągnięcia zdeklarowanego celu. |
Prawidłowość | Dane osobowe muszą być dokładne. |
Ograniczenie przechowywania | Dane mogą być przechowywane jedynie tak długo jak to konieczne dla określonego celu. |
Integralność i poufność | Kiedy przetwarzane są dane, musi to być zabezpieczony proces, a osoba za to odpowiedzialna musi upewnić się, że informacje nie trafiają do niewłaściwych rąk. |
Rozliczalność | Kontroler danych musi być w stanie udowodnić zgodność z RODO na każdym etapie procesowania. |
Czym są dane osobowe według RODO? Czemu tak ważna jest ich ochrona?
Bardzo często, kiedy mowa o RODO, używa się skomplikowanej i odpychającej terminologii. Ale nie martw się, ten artykuł to RODO dla bystrzaków - rozgryziemy to dla ciebie, a dodatkowo wyjaśnimy, dlaczego kwestia ochrony danych osobowych jest tak ważna w kontekście demokracji.
Więc czym w ogóle są dane osobowe? W oficjalnym rozporządzeniu RODO dane osobowe opisane są jako wszelkie informacje dotyczące osoby fizycznej, które pozwalają na jej identyfikację. Chodzi tu między innymi o informacje dotyczące płci, adresu zamieszkania, przynależności kulturowej lub społecznej. Jak dotąd wszystko jasne, prawda?
Jednak czemu to takie ważne dla demokracji, aby funkcjonowało oficjalne rozporządzenie RODO chroniące nasze dane osobowe?
Przede wszystkim prawo do prywatność to jedno z podstawowych praw człowieka. Aby wieść godne życie, na które wszyscy zasługujemy, musimy sami podejmować świadome decyzje, co chcemy zachować dla siebie, a czym chcemy dzielić się z innymi. Nawet przed erą internetu trzeba było chronić twoje prawo do prywatności przed osobami, które chciały go nadużywać. Jednak wówczas gromadzenie informacji, zwłaszcza na szeroką skalę, wymagało ogromnego trudu i było bardzo kosztowne.
Im więcej naszych działań ulega cyfryzacji, tym łatwiejsze staje się gromadzenie danych na nasz temat. Ponieważ 92% domostw w UE ma dostęp do internetu, śmiało można stwierdzić, że praktycznie wszyscy zostawiamy ślady w wirtualnej przestrzeni, na których podstawie firmy mogą wnioskować, co lubimy, jakie są nasze preferencje i obawy. Być może nie wydaje ci się to niepokojące - jednak w rzeczywistości może mieć to groźne skutki.
Szczególnym zagrożeniem dla demokracji i wolności słowa jest targetowanie polityczne. Skoro partie i polityczni kandydaci mogą zwyczajnie kupić informacje o tym, jak wpłynąć na twój głos, zaburza to demokratyczny proces. Wówczas nie mamy już do czynienia z uczciwą, przystępną i równą kampanię wyborczą. Przykładem może być kampania Donalda Trumpa, który za pośrednictwem mediów społecznościowych i kierunkowania bezpośredniego rozpowszechniał ogromne ilości propagandy politycznej i błędnych informacji.
I ty i twój sąsiad powinniście widzieć te same reklamy polityczne, niestety przez mikrotargetowanie często wcale tak nie jest. A skoro już musisz otrzymywać spersonalizowane reklamy, powinieneś przynajmniej mieć prawo wiedzieć, dlaczego wyświetlają ci się takie, a nie inne informacje.
Czym jest naruszenie danych i czemu jest takie niebezpieczne?
Najgorszym scenariuszem jest naruszenie danych, czyli sytuacja, w której twoje dane trafiają do niepowołanych rąk. Mówimy o naruszeniu danych, kiedy dane zostają skradzione, zgubione, zniszczone lub zmanipulowane przez hakerów. Nawet największe firmy nie zapewniają 100% bezpieczeństwa - na przykład w 2021 roku wykradziono i opublikowano dane ponad 500 milionów użytkowników Facebooka.
Ale jakie skutki może mieć naruszenie danych?
Część konsekwencji może być zwyczajnie uciążliwa, jak utrata dostępu do swoich kont w mediach społecznościowych, jednocześnie inne skutki mogą być poważne i stanowić realne niebezpieczeństwo. Wyobraźmy sobie na przykład, że wyciekły dane osobowe z internetowego forum porad na temat seksu (gdzie ludzie anonimowo szukali pomocy w osobistych kwestiach) i ujawniono tożsamość uczestników forum offline. W efekcie zdrowie psychiczne tych osób może zostać wystawione na szwank, a być może narazi to je nawet na fizyczne niebezpieczeństwo, jeśli ich styl życia nie zgadza się ze społecznymi normami.
Regulacja RODO obniża to ryzyko poprzez narzucenie minimalizacji danych i ograniczenia ich przechowywania. Im mniej danych jest przechowywanych, tym mniej można wykraść i tym trudniej jest na ich podstawie ustalić tożsamość danej osoby. Dodatkowo administratorzy danych muszą zgłosić naruszenie najpóźniej w ciągu 72 godzin, a zgodnie z art. 25 RODO „privacy by design" - wszystkie systemy już na fazie projektowania powinny być nastawione przede wszystkim na zapewnienie bezpieczeństwa.
RODO dla bystrzaków: na czym tak naprawdę polega? Ważne fakty i terminy
OK, wiele już zostało powiedziane - ale nadal pozostaje parę wymyślnych sformułowań i terminów, które musimy wyjaśnić, abyś zrozumiał jak naprawdę działa RODO i dlaczego jest dla ciebie ważne:
Kim jest podmiot danych? | Ja jestem podmiotem danych, ty również. Podmiotem danych jest każdy, którego dane zbierane są przez organizacje. W gruncie rzeczy, każdy kto użył internetu chociaż raz, jest podmiotem danych. |
Kim jest administrator danych? | Administratorem danych jest każda jednostka, która zbiera i przechowuje dane - na przykład biznes. |
Kim jest przetwórca danych? | To jednostka zatrudniana przez wielkie korporacje w celu procesowania danych w ich imieniu. |
Kim jest organ nadzorczy? | Każdy kraj UE ma swój własny organ nadzorczy. To trochę jak szeryf do kwestii poufności danych - mają egzekwować RODO w swoim regionie i, w razie potrzeby, nakładać wysokie grzywny. |
Kim jest inspektor ochrony danych (DPO)? | To osoba, która zajmuje się wszelkimi zawirowaniami i szczegółami RODO dla konkretnej organizacji/firmy. |
Na czym polega ocena skutków przetwarzania danych (DPIA)? | Jeśli projekt może wiązać się z wysokim ryzykiem dla danych osobowych, administratorzy muszą dokonać oceny ryzyka i przedstawić ją na piśmie - jakie są potencjalne zagrożenia i jak je zminimalizować. |
Co oznacza polityka prywatności? | Polityka prywatności to dokument publiczny, w którym organizacja wyjaśnia, w jaki sposób organizacja przetwarza dane osobowe i w jaki sposób stosuje zasady ochrony danych - abyś wiedział, co dzieje się z Twoimi danymi podczas interakcji z nimi. |
Czym jest zgoda w kontekście RODO? | Zgoda, w odniesieniu do regulacji RODO jest "wyrażonym dobrowolnie, konkretnie, świadomie i jednoznacznie" pozwoleniem co do wykorzystania określonej kategorii twoich danych w celach komunikowanych przez administratora danej strony. |
Jakie są prawa użytkowników? Jakie nowe prawa otrzymali użytkownicy na mocy RODO?
RODO ustala 8 podstawowych praw użytkowników internetu w Europie. Oznacza to, że przysługuje ci szeroki zakres praw i możliwości sprzeciwu, jeśli są one łamane.
Prawo do uzyskania informacji
Osoby prywatne mają prawo do uzyskania informacji o tym, kto i w jakim celu przetwarza ich dane osobowe. To ważne, ponieważ musisz wiedzieć, komu możesz zgłaszać niewłaściwe wykorzystywanie danych. Polityka prywatność musi być napisana w przystępny i zrozumiały sposób.
Prawo do dostępu do danych
Jeśli chcesz dowiedzieć się, jakiego typu dane osobowe przechowuje na twój temat firma i jak je wykorzystuje, możesz bezpłatnie wysłać prośbę o dostęp do kopii. Powiedzmy, że chcesz się dowiedzieć, jakie twoje dane posiada lokalny supermarket - możesz spodziewać się informacji o tym, kiedy korzystałeś z karty lojalnościowej, co kupiłeś, czy otrzymałeś oferty specjalne oraz czy i komu sprzedano twoje dane.
Prawo do sprostowania
Jeśli dostrzeżesz nieprawidłowości w informacjach na twój temat, masz prawo je sprostować. Oczywiście wszystkie zainteresowane strony, którym zostały przekazane twoje dane, muszę również otrzymać tę informację.
Prawo do usunięcia danych
To prawo powszechnie jest znane jako „prawo do bycia zapomnianym”. Zasadniczo zawsze możesz zażądać, żeby firma usunęła twoje dane, które posiada. Twoja prośba nie zawsze jednak zostanie spełniona od razu - banki na przykład mogą nie być w stanie usunąć natychmiast twoich danych, bo czasem zgodnie z prawem muszą przechowywać je przez określony czas. Ale jeśli lokalna strona internetowa opublikowała informację, że wygrałeś regionalny konkurs jedzenia hot-dogów, a nie jesteś osobą publiczną (więc dla opinii publicznej nie ma znaczenia, jak spędzasz swój wolny czas), twoja prośba powinna zostać spełniona. Jednak należy również pamiętać, że w dzisiejszych czasach, bardzo trudne jest całkowite usunięcie raz opublikowanych w internecie informacji. Soczyste clickbaity szybko rozprzestrzeniają się po całym internecie - a kiedy twoje dane zaczną być przetwarzane poza UE, egzekwowanie twoich praw jest praktycznie niemożliwe.
W 2019 roku Trybunał Sprawiedliwości Unii Europejskiej orzekł, że Unia Europejska nie może aplikować swoich praw poza swoimi granicami. Więc chociaż możesz zażądać, żeby Google usunęło z europejskich wyników wyszukiwania twoje żenujące zdjęcie, które umieściłeś na MySpace 12 lat wcześniej - to jednak jeśli ktoś wpisze do Google twoje imię na innym kontynencie, nadal będzie miał niezły ubaw.
Prawo do ograniczenia przetwarzania
Mogą zdarzyć się sytuacje, że będziesz chciał, żeby dana firma przestała wykorzystywać twoje dane. Pierwszą twoją myślą jest pewnie - poproszę ich o usunięcie. Niestety to może nie być możliwe lub przynajmniej nie od razu. W takiej sytuacji możesz jednak nadal poprosić firmę, aby nie robiła z twoimi danymi niczego ponad to, czego wymaga od nich prawo, np. przechowywać dane przez określony czas.
Prawo do przenoszenia danych
Wyobraź sobie, że korzystasz z platformy streamingowej do odtwarzania muzyki, ale chcesz zmienić ją na inną. Mimo to wahasz się, bo nie chcesz stracić swoich playlist. Prawo do przenoszenia danych ma ci zapewnić, że nie utkniesz ze swoim starym usługodawcą tylko dlatego, że nie chcesz tracić czasu i energii na odtworzenie tych list. Jako właściciel swoich danych w ramach RODO, możesz poprosić o dane ze swojej starej platformy streamingowej w formacie, który pozwoli na przeniesienie list do nowego dostawcy.
Prawo do sprzeciwu
Jeśli udzielisz zgody na zapisywanie i odczytywanie przez witrynę plików cookie, dana firma lub organizacja może przetwarzać twoje dane zgodnie z ich polityką prywatności. Ale co, jeśli później zmienisz zdanie, ponieważ zaczynają ci się wyświetlać ukierunkowane reklamy polityczne na podstawie twoich wyników wyszukiwania? Masz prawo do sprzeciwu - przynajmniej w teorii. Witryna, którą odwiedziłeś, nie będzie już mogła przetwarzać ani sprzedawać twoich danych. Mimo że istnieją pewne wyjątki, zawsze możesz sprzeciwić się marketingowi bezpośredniemu. Jednak w praktyce możesz niestety być zmuszony poszukać innych sposobów, żeby powstrzymać falę zalewających cię reklam politycznych, ponieważ obecnie w świecie online możesz nie mieć dostępu do informacji, kto przetwarza Twoje dane. I tak - to jest naruszenie przepisów RODO.
Prawa związane z automatycznym podejmowaniem decyzji i profilowaniem
Zautomatyzowane podejmowanie decyzji (ADM) odnosi się do decyzji podejmowanych przez maszyny na podstawie otrzymanych danych. Profilowanie oznacza, że zostajesz zakwalifikowany do danej kategorii (np. kwalifikujesz się do pożyczki lub nie) w oparciu o twoje dane osobowe. ADM powinno być bardziej bezstronne niż podejmowanie decyzji przez człowieka, jednak funkcjonując w oparciu o model uczenia się i (czasem nieprawidłowych) danych dostarczanych przez człowieka, prawdziwy obiektywizm nadal pozostaje nieosiągalny.
Ze względu na stronniczość procesu decyzyjnego, ADM i profilowanie stanowią zagrożenie dla naszych indywidualnych praw, wolności i demokracji. Powinniśmy mieć szansę dowiedzieć się, dlaczego podjęto daną decyzję i móc ją zakwestionować, jeśli tego chcemy.
UE dostrzegła ten problem i dlatego, jeśli dana decyzja ma skutki prawne lub znaczący wpływ na życie danej osoby, daje nam prawo nie zgadzać się z decyzję podjętą w sposób zautomatyzowany.
Jakie są kary za naruszenie RODO?
W zależności od sposobu i zakresu, w jaki RODO zostało naruszone, ustalono dwa poziomy kar finansowych.
W przypadku mniej poważnych naruszeń firmy mogą być zmuszone zapłacić do 10 milionów euro lub 2% światowych rocznych przychodów firmy, w zależności od tego, która kwota jest wyższa.
Z kolei jeśli doszło do poważnego naruszenia przepisów, grzywna może wzrosnąć do 20 milionów euro lub 4% światowych rocznych przychodów firmy.
Co robimy z RODO?
Jeśli dotarłeś aż tutaj, oficjalnie jesteś już bystrzakiem w temacie RODO. Więc czego się dowiedzieliśmy?
Wiemy już, kim jesteśmy (podmiotem danych), że nasze działania w internecie są śledzone (dane osobowe są cenne) oraz że wiele osób i firm chciałoby wejść w posiadanie naszych danych. Dowiedzieliśmy się również, że jeśli nie ochronimy naszej prywatności, to nasze demokracje mogą na tym ucierpieć.
Oczywiście RODO nie stanowi wodoszczelnej ochrony przed wszelkiego rodzaju naruszeniami prywatności – zwłaszcza, że władze nie zawsze są w stanie je egzekwować. Mimo że RODO jest pozytywną zmianą prawną, która zapewnia nam zabezpieczenie, jest jednak skuteczne tylko wtedy, gdy jest egzekwowane. W przyszłości UE powinna skupić się na wzmocnieniu i postępowaniu w zgodności z przepisami RODO.
Zdjęcia:
Naomi Tamar /Unsplash
Jurica Koletić/Unsplash
Omid Armin/Unsplash
Ludvig Wiese/Unsplash
Taylor Hernandez/Unsplash
Alexander Andrews/Unsplash
Derek Story/Unsplash