Dane osobowe – czyli jak ożenić dziki Zachód (USA) z konserwatywnym Wschodem (UE)

Na temat umowy o wolnym handlu między USA, a Unią Europejską wciąż wiemy niewiele. Wiadomo, że jeśli taka umowa zostanie podpisana, to powstanie największy obszar wolnego handlu w historii. Historia pokazuje również, że wszędzie tam gdzie takie obszary powstawały, wzrost gospodarczy przyspieszał, rozwijały się nowe technologie, a ludzie bogacili się. Potencjalne korzyści są ogromne. Aby umowa o wolnym handlu została podpisana, potrzeba jednak zharmonizować i ujednolicić przepisy prawne w wielu obszarach. Jednym z obszarów budzących tutaj najwięcej kontrowersji jest obszar związany z prawem do prywatności i ochroną danych osobowych.

Dziki Zachód (USA)

W Stanach Zjednoczonych przepisy związane z ochroną danych osobowych są znacznie bardziej liberalne, niż te obowiązujące w Europie.
Brak norm, stwarzających ogólne ramy prawne dla firm, które przetwarzają dane osobowe.

Podejście Amerykanów do kwestii związanych z ochroną danych osobowych można streścić następująco: „co nie jest wyraźnie zabronione – jest dozwolone”. A zabronione jest niewiele.

Nie ma jednego urzędu, który nadzorowałby wyłącznie kwestie związane z przetwarzaniem danych osobowych.
A tam gdzie nie ma gospodarza, rodzą się najróżniejsze, czasem bardzo orwellowskie, pomysły.

Takie firmy jak np. Cognitec czy Animetrics pracują obecnie nad udoskonaleniem komercyjnych systemów rozpoznawania twarzy. System składa się z dwóch elementów. Pierwszy to algorytm, który wylicza odległości do charakterystycznych punktów na naszej twarzy.
W ten sposób powstaje nasz cyfrowy, unikalny obraz.
Drugi element to sama baza w ten sposób przechowywanych cyfrowych tożsamości.

Systemy są coraz doskonalsze i zapewniają już ok. 97% skuteczność. Oczywiście, aby system mógł rozpocząć pracę, potrzebuje odpowiedniej jakości fotografii, przedstawiającej twarz en face.
Słabej jakości obraz z kamery przemysłowej nie zawsze wystarczy. Ale i tutaj są kolejne sposoby i rozwiązania wspomagające.

Amerykańska agencja Intelligence Advanced Research Projects Activity (IARPA) pracuje nad systemami mającymi wspomagać identyfikację twarzy.
Chodzi między innymi o algorytmy identyfikujące ludzi po… sposobie poruszania się oraz po kształcie małżowiny usznej.
Samo słabej jakości zdjęcie – póki co może jeszcze nie wystarczyć. Ale jeśli do tego dodamy dwie dodatkowe zmienne… system zadziała bez zarzutu.

Również Rząd Federalny chce korzystać z nowych technologii. Aktualnie FBI koncentruje się na realizacji programu ułatwiającego identyfikację - Next Generation Identification (NGI). Inicjatywa warta ok. 1,2 miliarda dolarów została podjęta w 2008 roku. W 2013 zgromadzono już 73 miliony odcisków palców, 5,7 milionów odcisków dłoni oraz 8,1 miliona policyjnych fotografii.

Wspomniane już wyżej firmy (Cognitec i Animetrics) szacują, że w 2020 roku, globalny rynek technologii biometrycznych, będzie wart 20 miliardów dolarów.

Amerykańskie firmy rekrutacyjne przodują w „nowatorskich” rozwiązaniach, mających na celu weryfikację potencjalnych pracowników. Kandydaci proszeni są na przykład o podanie loginu i hasła do facebooka, tak aby rekruter mógł lepiej poznać prywatne życie kandydata.

Działania mające na celu optymalne wykorzystanie danych osobowych klientów, podejmują banki i inne instytucje finansowe. Mowa oczywiście o tzw. „Big data” – czyli wykorzystywaniu ogromnej ilości danych o klientach w celu budowy najlepszych modeli sprzedażowych.
Przykładem wykorzystania big data, są działające również w Europie firmy, udzielające niewielkich pożyczek przez Internet. Bez dowodu osobistego, bez żadnych formalności. Wiarygodność pożyczkobiorców badana jest dzięki analizie setek zmiennych zbieranych z ich facebookowych kont.
System analizuje np. częstotliwość oraz miejsce udzielania komentarzy, ilość znajomych, polubione filmy czy zespoły muzyczne. Na tej podstawie skomplikowany algorytm matematyczny selekcjonuje osoby, które dają gwarancję zwrotu pożyczonej kwoty.

Nie można nie poruszyć kwestii przetwarzającego w 2014 roku dane ok. miliarda użytkowników facebooka. Znamienne, że funkcja automatycznej identyfikacji twarzy działająca w USA, została w Europie… wyłączona.

Dodajmy do tego dane posiadane przez Google czy National Security Agency (NSA), a okaże się, że firmy oraz agencje rządowe USA, są prawdziwym potentatem jeśli chodzi o przetwarzanie danych osobowych.
Przetwarzanie nie poddane żadnej centralnej i skoordynowanej kontroli administracji publicznej.
Przetwarzanie obejmujące nie tylko dane obywateli USA ale dane osób z całego świata.

Konserwatywny Wschód (UE)

W Unii Europejskiej przetwarzanie danych osobowych zdaje się być odwrócone do góry nogami w stosunku do tego, co dzieje się w USA. Do dziś funkcjonuje dyrektywa 95/46 z 1995 roku, wydana specjalnie w celu uregulowania kwestii związanej z ochroną danych osobowych. Idee przepisów europejskich, najlepiej oddają poniższe sentencje:

I. Możesz przetwarzać dane osobowe tylko wtedy, kiedy masz ku temu podstawę prawną (np. zgodę dysponenta).

II. Możesz przetwarzać tylko tyle danych, ile jest Ci rzeczywiście niezbędne do realizacji Twojego celu (adekwatność).

W każdym państwie członkowskim działa specjalny regulator odpowiedzialny za respektowanie przepisów dotyczących ochrony danych. W Polsce mamy więc Generalnego Inspektora Ochrony Danych Osobowych, w Niemczech w każdym landzie działa Landesdatenschutzbeauftragter, w Wielkiej Brytanii Information Commissioner's Office (ICO).
Co więcej, w strukturach unijnych mamy tzw. Grupę Roboczą art. 29 - organ, który wydaje opinie, koordynuje działania oraz wyznacza kierunek zmian w zakresie prawa do prywatności.

Jakie są praktyczne przejawy zupełnie odmiennego podejścia do ochrony prywatności w USA i na terenie UE?

Przede wszystkim firmy europejskie znacznie ostrożniej podchodzą do nowinek technologicznych takich, jak np. biometria.
Zarówno jeśli chodzi o rozwój technologii, jak i zainteresowanie biometryką, które jest w europie znacznie mniejsze niż w USA.

Warto powołać szeroko omawiane i komentowane orzeczenie NSA w Polsce (OSK 249/09) dotyczące biometryki.
W omawianej sprawie, pracodawca zainstalował czytniki linii papilarnych w celu ewidencjonowania czasu pracy swoich pracowników.
Co więcej, każdy z pracowników wyraził zgodę na piśmie na przetwarzanie swoich danych biometrycznych. Tymczasem sąd stwierdził, że:

I. zgoda wyrażona w tej sprawie przez pracownika, nie mogła być do końca dobrowolna, ze względu na mocniejszą pozycję pracodawcy,

II. zbieranie danych biometrycznych, tylko po to aby ewidencjonować czas pracy, jest nieadekwatne – w tym celu wystarczy karta magnetyczna lub zwykły podpis.

To całkowite zaprzeczenie podejścia amerykańskiego, gdzie co do zasady zgoda wydaje się być rzeczą świętą i niepodważalną.

Warto zwrócić też uwagę, na kilka ciekawych przykładów z Niemiec – przywiązujących wyjątkowo dużą wagę do dbania o prawo do prywatności.

Odpowiednik naszego GIODO z Hamburga, szczególnie wnikliwie rozpatruje wszelkie skargi związane z działalnością Facebooka.

I tak na przykład – Facebook swojego czasu stosował niezbyt przejrzystą politykę automatycznego rozsyłania zaproszeń do portalu. Portal importował adresy kontaktowe z naszej skrzynki pocztowej i rozsyłał później automatycznie zaproszenia na w ten sposób pozyskane adresy.
Dzięki Landesdatenschutzbeauftragter-owi Johannesowi Casparowi z Hamburga, portal został zmuszony do zaprzestania takich praktyk i pełnej przejrzystości w tym zakresie.

Następne starcie dotyczyło algorytmów automatycznego rozpoznawania twarzy użytkowników Facebooka, a następnie oznaczania tych użytkowników na zdjęciach. W roku 2011 system został wyłączony w Europie.

Jednak Johannes Caspar, nadal nie czuje się usatysfakcjonowany. Twierdzi, że system rozpoznawania twarzy jest w ogóle nie do przyjęcia i stanowi poważne naruszenie przepisów związanych z ochroną prawa do prywatności.

Kolejny przykład z Europy ukazuje kontrast między działaniami FBI czy NSA, a tym na co mogą sobie pozwolić służby bezpieczeństwa na terenie Unii Europejskiej.

Przyjrzyjmy się dyrektywie UE dotyczącej tzw. „retencji danych”.
Zapisy dyrektywy miały między innymi nakazywać wszystkim operatorom telekomunikacyjnym, przechowywanie ogromnej ilości danych dotyczących ruchu w sieci.
Dane te miały być przechowywane przez co najmniej 2 lata i miały być pomocne przy wykrywaniu działalności terrorystycznej i przestępczej. Obywatele wielu Państw UE kwestionowali sens i potrzebę istnienia takiej dyrektywy.

Mnie szczególnie spodobała się forma protestu zamieszczona przez niemieckie organizacje pozarządowe działające na rzecz poszanowania prawa do prywatności:



Protesty poskutkowały - dyrektywa została niedawno zakwestionowana przez ETS. Trybunał orzekł, że dyrektywa "poważnie narusza podstawowe prawo do poszanowania życia prywatnego".

Czy to małżeństwo może się udać?

Czy reguła mówiąca o przyciągających się przeciwieństwach może się w tym przypadku sprawdzić? I co z tego może wyniknąć dla przeciętnego obywatela?

Tak jak zdobyto dziki zachód, dzięki energii i pomysłowości osadników, tak amerykańskie firmy i agencje rządowe chcą zdobyć najlepsze i najskuteczniejsze technologie służące identyfikacji obywateli.
Chcą też zdobyć jak największą ilość danych osobowych.

Niestety, koszty zdobycia dzikiego zachodu były bardzo duże, wytępiono miejscową ludność, a po zakończeniu fazy podbojów, energia społeczeństwa znalazła ujście w postaci wybuchu krwawej wojny secesyjnej.

Podobnie w kwestiach związanych z prawem do prywatności. Są korzyści ale są i straty.

Afera Prism bardzo mocno zaszkodziła administracji Barracka Obamy i jego polityce zagranicznej. Okazuje się, że nawet przywódca najpotężniejszego państwa na świecie, nie może bezkarnie naruszać prawa do prywatności obywateli USA oraz swoich sojuszników.

To znamienne, że idee stojące za oboma systemami związanymi z ochroną danych osobowych tak wyraziście przełożyły się również na relacje Angeli Merkel i Barracka Obamy!

Nie tylko politycy amerykańscy tracą. Tracą również amerykańskie firmy. Ich europejscy konkurenci wolą hostować swoje bazy danych w Europie, która wydaje się być znacznie bezpieczniejszym miejscem.

Jest też druga strona medalu. Pojawienie się Google Glass, powszechnie uznano za koniec naszego prawa do prywatności. Czy słusznie?
Tego nie wiemy. Wiemy za to, że takich końców prawa do prywatności było już kilka. Pierwszym z nich obwieszczono… pojawienie się aparatu fotograficznego w XIX wieku!

Okazuje się, że nie zawsze taki diabeł straszny. Technologię można oswoić, można też wykorzystać ją w słusznym celu.

Dlatego próbę połączenia obu porządków prawnych, postrzegam przede wszystkim jako szansę. Czy będzie ona należycie wykorzystana?
To już zależeć będzie od polityków UE oraz USA. Jeśli któraś ze stron całkowicie ugnie się pod presją drugiej – czeka nas albo mocne hamowanie rozwoju nowych technologii albo powszechna i nieograniczona inwigilacja przez firmy i administrację publiczną.

Trzymajmy więc kciuki za wypracowanie kompromisowego rozwiązania. Rozwiązania, które nie wyhamuje rozwoju nowoczesnych technologii ale jednocześnie pozwoli nam na zachowanie naszej prywatności.
Trwa ładowanie komentarzy...