RODO jest potrzebne, ale świata nie zmieni. To zagłuszanie wyrzutów sumienia, bo decydenci z łatwością oddają prywatność obywateli wielkim korporacjom. Nie uda nam się za 10 lat zachować prywatności choćby w tej postaci co dziś. Będzie gorzej - mówi Andrzej Lewiński, zastępca GIODO w latach 2006-2016, obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej.
ikona lupy />
Dziennik Gazeta Prawna
Dziś pierwszy dzień rewolucji?
Praktycznie czy teoretycznie?
A jest różnica?
Reklama
Jest, i to kolosalna. Teoretycznie RODO, zaczynające dziś wywoływać skutki prawne unijne rozporządzenie o ochronie danych osobowych, to żadna rewolucja. Moje słowa potwierdzi każdy, kto potrafi czytać i porównywać przepisy. Przecież przytłaczająca większość zapisów RODO to powtórzenie tego, co znajduje się choćby w rodzimej ustawie o ochronie danych osobowych. Tej z 1997 r. Ale praktycznie RODO jest rewolucją. Przede wszystkim w myśleniu. Bo przez te ponad 20 lat masa obowiązków w ustawie była, ale nikt – ani przedsiębiorcy, ani urzędnicy – się do nich nie stosowali.
Tak trudno spełnić te wymogi?
A skąd. Powód jest bardziej prozaiczny – po prostu byliśmy jedynym w Europie krajem, który nie miał kar finansowych za naruszenie przepisów o ochronie danych osobowych. Zamiast tego przewidziana była odpowiedzialność karna...
Której przedsiębiorcy powinni się bardziej obawiać.
Pod warunkiem że kogokolwiek by przykładnie ukarano. Co z tego, że przewidziane były grzywny i kary więzienia do lat dwóch, skoro prokuratorzy i urzędnicy przymykali oczy. Mówiono: no, nie będziemy wsadzać do więzienia za coś tak błahego jak niewłaściwe przechowywanie danych. A pieniężnych kar administracyjnych nie można było nakładać, bo przepisy ich nie przewidywały. RODO jest rewolucją, bo wprowadza system kar za naruszenia w ochronie danych osobowych. I to tego się większość przedsiębiorców boi, a nie nowych wymogów co do samego przechowywania tych informacji.
Niektórzy specjaliści mówią, że przez lata w Polsce nikt się nie przejmował odpowiednim przechowywaniem danych, że panował tu Dziki Zachód.
Podpisuję się pod tym oburącz. Dane osobowe były nagminnie bezprawnie przetwarzane, nielegalnie nimi handlowano. Do tego trzeba dołożyć brak zabezpieczeń nawet w dużych firmach i instytucjach publicznych, udostępnianie danych osobom trzecim, nierejestrowanie zbiorów danych osobowych czy niedopełnianie obowiązków informacyjnych.
Nie wydaje nam się, byśmy na co dzień zauważali tę tragedię.
To dlatego, że już niemal nikt nie pamięta, jak powinno być. Czy panowie się oburzają na to, że dostają spam na skrzynki e-mailowe?
Przyzwyczailiśmy się.
No właśnie. Wszyscy się przyzwyczailiśmy. Trudno nam sobie wyobrazić świat bez łamania prawa. Bo wysyłanie niezamówionych informacji i handlowanie przez różne firmy naszymi danymi, co potem skutkuje chociażby wysyłaniem spamu, to łamanie prawa. Tyle że – właśnie – przyzwyczailiśmy się.
To co robił generalny inspektor ochrony danych osobowych?
Cóż, patrzono na te wszystkie patologie przez palce.
Szokujące słowa jak na kogoś, kto był przez dekadę zastępcą szefa GIODO.
Ale tak właśnie było. Tu należy się słowo wyjaśnienia. To nie tak, że urzędnikom – w tym mnie – nie chciało się pracować. Do pewnego czasu bardzo się nam chciało, bo proszę mi wierzyć – ludzie przyszli do GIODO dla idei i chęci zmiany świata na lepsze. Bo po cóż innego być? Proszę mi wierzyć, że nie dla pieniędzy. Sęk w tym, że jakkolwiek nie lubię krytykować sądów, to nie zdały one egzaminu z ochrony danych osobowych. Sędziowie lekceważyli takie sprawy.
Też się przyzwyczaili?
Też. Nie pomagały również przepisy, które były tak napisane, że dało się je rozumieć na wiele sposobów. W ten sposób zapał, na przełomie wieków iście rewolucyjny, gasł w GIODO z roku na rok. Powinniśmy składać po kilkaset zawiadomień rocznie do prokuratury, że ktoś narusza przepisy ustawy o ochronie danych osobowych. A składaliśmy kilkanaście. Jak było kilkadziesiąt, to był już dobry rok. Choć ostatecznie to i tak nie miało większego znaczenia, bo albo prokuratorzy umarzali postępowania, albo sąd nie widział w ochronie danych osobowych przesadnej wartości.
Od dziś zamiast GIODO mamy Urząd Ochrony Danych Osobowych. Czy poza nazwą cokolwiek się zmieni?
Zgodnie z RODO kompetencje urzędu wzrastają wręcz nieprawdopodobnie. I dlatego jego aktywność powinna być proporcjonalnie większa. Musi się też zmienić całkowicie myślenie urzędników, bo w związku z unijnym rozporządzeniem wszelkie wypracowane interpretacje należy wyrzucić do kosza.
Przed jakim wyzwaniem staje UODO?
Myślę, że Urząd zostanie wkrótce zasypany lawiną skarg dotyczących naruszenia ochrony danych. Za brak uzyskania odpowiednich informacji od firm, które stały się administratorami systemów informatycznych, za brak udostępnienia możliwości sprostowania danych, za brak respektowania prawa do bycia zapomnianym w internecie. Ponadto sami administratorzy, czyli firmy, będą występować z prośbą o konsultacje do UODO w związku z podejrzeniem, że dokonywane przez nich przetwarzanie danych może naruszać prawa i wolności jednostki. Dodatkowo do urzędu będą trafiać donosy i zgłoszenia o wyciekach danych osobowych. Plus certyfikacja zgodności systemów przetwarzania z RODO.
Czyli w praktyce zmieni się bardzo dużo.
Akurat tego nie jestem pewien. Bo papier wszystko zniesie. Pytanie brzmi, czy w praktyce nie będzie to zwrot o 360 stopni i powrót do punktu wyjścia. UODO – zgodnie z unijnym rozporządzeniem – staje się potężnym urzędem z ogromem kompetencji i szeroką władzą. Ale to są przecież nowe obowiązki, które zawsze wykonują ludzie. W urzędzie będzie pracowało ok. 130 osób. To niewykonalne, by tak mały zespół był w stanie właściwie zadbać o ochronę naszych danych osobowych.
Skończy się „po polsku”: dużo szumu, marny efekt?
Tego się boję. Rząd zdaje się nie dostrzegać tego, przed jakim wyzwaniem staje. Szuka pieniędzy na różne cele, lecz nie na działanie strażnika prywatności każdego z nas. Bo właśnie UODO powinien być takim strażnikiem. Ale słaby, niedofinansowany i ze sfrustrowanymi, przemęczonymi pracownikami – nie będzie. Państwo na tym straci, bo przewlekłość działań urzędu będzie mogła skutkować obowiązkiem wypłaty odszkodowań. Jeśli ktoś wykaże, że poniósł szkodę w wyniku wycieku danych osobowych, a państwo o tym wiedziało, lecz nie pomogło – to człowiek będzie mógł żądać pieniędzy i od tego, u którego był wyciek, i od Skarbu Państwa.
Na mocy RODO będzie można walczyć o odszkodowania za naruszenie ochrony danych osobowych w sądach. Czy sądy także zostaną zasypane powództwami?
Tak sądzę. I dopiero będzie wesoło, bo praktycznie nie ma biegłych z zakresu ochrony danych osobowych. A nie podejrzewam, żeby nagle był ich wysyp. Sam nawet myślałem, czy nie zostać biegłym. Ale jak zobaczyłem stawki i ilość obowiązków, to złapałem się za głowę. Tymczasem skarg najprawdopodobniej będzie wiele, bo każda osoba fizyczna może umocować do swojej reprezentacji instytucję niepubliczną prowadzącą działalność niezarobkową. I np. w imieniu setek obywateli będzie występowała fundacja. Takich na pewno będzie bardzo wiele i każda z nich będzie chciała się wykazać. Od dawna podczas posiedzeń komisji sejmowych mówiłem, że UODO oraz sądy nie będą w stanie wypełnić swoich obowiązków.
Ale może kary odstraszą potencjalnych naruszycieli? Są przecież bardzo wysokie.
Z tymi karami to nie do końca tak różowo... Rzeczywiście dla niektórych będą bardzo wysokie, ale dla innych – śmiesznie niskie. Instytucjom kultury grozi kara 10 tys. zł, pozostałym instytucjom – 100 tys. zł. Dopiero przedsiębiorcom – do 20 mln euro lub maksymalnie 4 proc. rocznego przychodu z roku poprzedzającego naruszenie. Swoją drogą, zupełnie nie rozumiem, skąd taka gigantyczna różnica. Moim zdaniem to niezgodne z konstytucją i zawartym w niej prawem do równości. Oraz niezgodne z samym RODO.
Państwo nie chce obciążać finansowo teatrów czy galerii sztuki. Czy to źle?
Źle. I bez sensu. Lepiej się panowie poczują, gdy wasze dane wyciekną do sieci z systemu internetowego teatru niż firmy? To będzie dla was bez znaczenia. Na dodatek różnicowanie kar prowadzi do absurdalnych sytuacji. Proszę sobie wyobrazić, że w jednym budynku mamy szpital prywatny i publiczny. Dochodzi do ataku hakerskiego na ich przestarzałe infrastruktury sieciowe, skutki w obu przypadkach są podobne: dochodzi do wycieku danych. I teraz powiedzcie mi, panowie, dlaczego właściciel szpitala prywatnego ma zapłacić kilkusetkrotnie wyższą karę? Przecież niedopełnił obowiązków tak samo, jak właściciel państwowej lecznicy. Jeśli będziemy godzili się na to, że państwo może naruszać nasze prawa, to nigdy się ono tego nie oduczy.
Maluje pan obraz, w którym urzędy i sądy nie podołają zadaniom. Tymczasem Maciej Kawecki z resortu cyfryzacji, odpowiedzialny za wdrożenie RODO, mówi, że administracja publiczna sprosta temu wyzwaniu.
Bardzo doceniam pana Kaweckiego. I to nie tylko dlatego, że go przyjmowałem do pracy. Pamiętam, że znacząco wyróżniał się wiedzą z zakresu ochrony danych osobowych spośród innych. Tym bardziej smutno mi to mówić, ale winię go za to, że implementacja RODO została przyjęta „za pięć dwunasta”, a ustawa wdrażająca się opóźnia. Implementacja RODO to wielkie logistyczne działanie. Ale przecież było na to aż dwa lata. Teraz koszty tych opóźnień odczuwają przedsiębiorcy.
Z przejęciem mówi pan, że nie jesteśmy gotowi na ochronę danych zgodnie z postanowieniami RODO. Ale dlaczego to w ogóle takie ważne, skoro przez tyle lat dane chronione nie były?
Bo do tej pory nasze dane osobowe nie były tak cenne i przetwarzane na tak wielką skalę jak dziś. Niedawno zaprezentowano inteligentne zabawki potrafiące rozmawiać z dziećmi i uczyć się dzięki zbiorowemu systemowi zarządzania w chmurze danych. Amerykański senat zablokował możliwość sprzedaży gadżetu, którego producentem była spółka córka firmy Mattel. Uznano, że dzieci nie powinny być królikami doświadczalnymi dla rozwoju sztucznej inteligencji. Takich prób przełamywania granic będzie jednak z czasem coraz więcej. A jak pisze Kevin Kelly w książce „Nieuniknione”, jeżeli przeniesiemy się w 2050 r., to wokół nas znajdziemy technologie, których dziś jeszcze nie znamy. Nasze laptopy będą niedługo miały umysł porównywalny z tym, jaki ma jego właściciel, albo – dzięki chmurze – wszystkich ludzi świata. Robot Sophia otrzymała niedawno obywatelstwo w Arabii Saudyjskiej, a robot Fran Pepper – w Belgii. Proszę zauważyć, że teraz wszystko staje się smart – telefon, dom, mieszkanie, samochód i miasto. I to oczywiście może działać poprawnie, ale pod warunkiem że nikt nie będzie w niecnych zamiarach w to ingerował. A już dziś hakerzy włamują się do systemów komputerowych samolotów i zmieniają w nich parametry. Na razie tylko dla wyzwania i badania zabezpieczeń. Ale jeśli można dla takich celów, to można i dla wywołania katastrofy. Tylko patrzeć, jak niedługo pozbędziemy się banknotów, zamienimy je na tokeny, waluty wirtualne, karty bankomatowe i karty lojalnościowe. Przetwarzanie mnóstwa danych o obywatelach zejdzie nawet do piekarni na rogu ulicy. Do tej pory nikt się nie zastanawiał, co z zamontowaną w niej kamerą. A gdyby obraz z niej przechwytywał przestępca? Może uzyskać wiele informacji o klientach sklepu, ich nawykach czy rozkładzie dnia. Terroryści mają dzięki internetowi dużo łatwiejsze życie i możliwości rekrutowania członków niż kiedykolwiek wcześniej w historii świata.
Brzmi jak film sensacyjny. Zabijać prezydentów będzie się przez internet, a nie za pomocą karabinu?
Ależ takie rzeczy mogą się stać już dziś. Kilka lat temu były wiceprezydent USA Dick Cheney dowiedział się od Secret Service, że jego rozrusznik serca, którego działanie można było monitorować bezprzewodowo, nie jest odpowiednio zabezpieczony. Że hakerzy mogli przejąć kontrolę nad urządzeniem, trzeba było je wymienić. Dużo do myślenia daje też książka Marca Elsberga „Blackout”. W najczarniejszym z możliwych scenariuszy zainfekowano wirusem inteligentne liczniki elektryczne, notabene coraz częściej stosowane w Polsce, które powodują blackout i paraliżują tym samym działanie całego kraju. Idealny atak terrorystyczny, czyż nie?
Ale to książka...
Dziś książka, jutro – rzeczywistość. Kiedy pytałem firmy energetyczne, czy są zabezpieczone przed takimi atakami, to otrzymywałem zapewniania, że tak, że wszystko jest u nich w porządku i nie było do tej pory żadnych przypadków ani nawet prób włamań. Problemu nie widzą też politycy, i to niezależnie od partii. Gdyby jednak decydenci zdali sobie sprawę z potencjalnego zagrożenia i potencjalnej liczby poszkodowanych ludzi, to pewnie inaczej by na to spojrzeli. Dziś niektórzy mogą się łapać za głowę, ale mogę położyć na szali kilkadziesiąt lat swojego doświadczenia zawodowego związanego z ochroną danych osobowych, by stwierdzić, że ataki terrorystyczne przez blackouty to melodia nieodległej przyszłości.
Ale ochrona danych osobowych to nie tylko zamachy na prezydentów i blackouty.
To prawda. Pewnie dla przeciętnego czytelnika to ciekawsze, bo bardziej mu przypomina powieści science fiction, ale na co dzień najboleśniejsze problemy związane są z kradzieżą tożsamości. Przypadków, gdy ktoś zdobywa nasze dane i je potem wykorzystuje, jest bardzo dużo. Około 20 proc. dorosłych Polaków już tego doświadczyło. Często kończy się niewinnie, a czasem tragicznie. Był przypadek starszego małżeństwa, które wspólnie popełniło samobójstwo po tym, jak przyszedł komornik po kredyt, którego oni nie zaciągnęli. Kiedy pracowałem w GIODO, przyszła do mnie dziennikarka i opowiedziała, że jej partner złożył wniosek o zatrudnienie przez internet. Po pół roku dowiedział się, że ktoś wziął na niego kredyt. Wiele osób nie potrafi się wyplątać z takich kłopotów i spłacają te kredyty. Okropność.
Kradzież tożsamości to mimo wszystko problem, z którego wielu z nas zdaje sobie sprawę bardziej niż z faktu, że samowolnie ujawniamy swoje dane.
Odpowiednia socjotechnika jest skuteczniejsza niż włamanie do systemu informatycznego. Kevin Mitnick, najsłynniejszy haker świata, mówi, że nie łamał systemów, tylko ludzi. Proszę sobie wyobrazić, że ktoś pyta na ulicy, czy druga osoba poda mu numer PESEL. „Absolutnie nie!” – pada odpowiedź. A co, gdyby zapytać: „Pan to na pewno nie pamięta numeru PESEL, mało kto go zna na pamięć”. Odpowiedź będzie już dużo bardziej entuzjastyczna: „Ależ oczywiście, że znam. To 700203 i tak dalej”. Największe portale społecznościowe i związane z nimi firmy będą wykorzystywały tego typu sztuczki.
UODO będzie w stanie im się przeciwstawić?
Nie. Garstka urzędników w UODO wiele nie zrobi, bo wie, że z gigantami nie wygra. W jednej z niedawnych odpowiedzi na interpelację poselską obecny minister cyfryzacji Marek Zagórski przyznał, że widzi łamanie prawa przez Facebooka, ale polski rząd nie jest w stanie nic z tym zrobić. Prędzej będzie tak, że nasi urzędnicy ze stawu wyłowią małe rybki. Duże ryby będą w nim dalej pływać. Bardziej wierzę, że wojnę patologiom, które występują w największych internetowych portalach, wytoczy Komisja Europejska. Wspólny unijny front przeciw nielegalnym działaniom portali społecznościowych mógłby być wystarczająco silny, by zmienić ich praktykę.
Wiele mówi się o tym, że firmy zbierają za dużo danych, ale to przecież oczywiste, bo na tym zarabiają. Nie uważa pan, że również państwo trzeba utemperować pod kątem ilości przetwarzanych danych o obywatelach? E-dowód, e-karta miejska, e-skierowanie, e-recepta itd.
Niebawem bez smartfona nie będzie można wejść do toalety. Nawet by umyć ręce, będzie trzeba mieć specjalną aplikację. Jestem tym przerażony. Do niedawna ministrem cyfryzacji była wielka fanka nowoczesnych rozwiązań Anna Streżyńska. Mówiła, że obywatel będzie miał wszystkie potrzebne mu dokumenty w smartfonie i że to będzie bezpieczne. Ale zapomniała dodać, że tylko wtedy, gdy użytkownik zabezpieczy swój telefon. Kto ma antywirusa w smartfonie? Mało tego, mnóstwo osób korzysta z bankowości elektronicznej, będąc podłączonymi do otwartych sieci publicznych Wi-Fi. Dla mnie to proszenie się o kłopoty. Ale ludzie są łatwowierni. Jak minister mówi, że coś będzie działać, to wiele osób przyjmuje to za pewnik. I opuszcza gardę w przeświadczeniu, że państwo go obroni. Na szczęście trendy europejskie, w tym RODO, będzie tłamsić zbędne i niebezpieczne dla obywateli zapędy państwa. Moim zdaniem wiele można w tej kwestii zawdzięczać Edwardowi Snowdenowi.
Dlaczego?
Nie byłoby RODO bez Snowdena. To dzięki niemu kanclerz Niemiec Angela Merkel dowiedziała się, że miała włamania na swoje urządzenia elektroniczne. Snowden otworzył nam wszystkim oczy. Jedni go uważają za bohatera, inni za bandytę, ale wszyscy dostrzegli, że król jest nagi. Afera z firmą Cambridge Analytica jest głośna w Stanach Zjednoczonych tylko dlatego, że niezbyt lubiany prezydent Donald Trump prawdopodobnie korzystał z usług tej firmy. A przecież już ludzie pracujący w sztabie wyborczym Baracka Obamy profilowali potencjalnych wyborców. I zanim zapukali do ich drzwi, to wiedzieli, że ojciec rodziny lubi whisky, ma określone przyzwyczajenia i pali cygaretki danej marki. Z takimi teoretycznie trywialnymi informacjami można łatwo nawiązać nić porozumienia z nieznaną osobą.
Czyli sam mechanizm i zamiary się nie zmieniają. Jedynie sposób. Internet sprawił, że możemy sprofilować kilka milionów osób w kilka minut, a nie kilka tysięcy w kilka godzin.
Tak. Jeśli rządzący największymi państwami świata nie zareagują, to przyszłość będzie przerażająca. Jeszcze do niedawna Big Data było przedmiotem badań naukowych. Dziś informacje są mielone przez sztuczną inteligencję w celach sprzedażowych i politycznych. Wszyscy są zachwyceni, że tak wiele informacji można dorzucić do komputera i on w kilka sekund wypluje z siebie analizy i statystyki. I dlatego dorzuca mu się coraz ciekawsze dane, np. te o stanie zdrowia lub sprawach intymnych. Proszę sobie teraz wyobrazić, że ktoś chciałby taki mechanizm wykorzystać przeciwko obywatelom. Albo te dane wpadłyby w niepowołane ręce.
Tak, tylko była minister Streżyńska mówiła, że tego typu zagrożenia to jeszcze nie powód, żeby w rozwijającym się świecie zacząć się cofać i np. jeździć dorożkami zamiast samochodami autonomicznymi.
Ale to nie powód, by wsiadać całą swoją rodzinę do auta bez zderzaków. Za technologią musi nadążać bezpieczeństwo. Na panelach dotyczących Big Data wszyscy fascynują się nowymi sposobami przetwarzania informacji. Ale już nikt nie pomyśli o tych biednych ludziach, których styl życia jest rzucony na pożarcie przez system i służy obróceniu wiedzy o nich przeciwko nim samym.
Ale chyba wybiegamy trochę za bardzo w przyszłość.
Absolutnie nie. Z wielu analiz wynika, że 2018 r. będzie rekordowy pod względem włamań do systemów oraz przypadków wymuszania okupów przy użyciu programów szyfrujących typu ransomware. Pod rządami RODO będzie jeszcze więcej takich przypadków. I firmy będą płacić, by nie ryzykować wycieku danych zagrożonego wysoką karą od organu nadzorczego. Tak jak Uber, który zapłacił hakerom za milczenie kilkaset tysięcy dolarów. Ta sprawa wypłynęła po trzech latach. A co gdyby przez ten czas ktoś nielegalnie przetwarzał dane użytkowników w celach przestępczych? Takie przypadki wypływają przeważnie wówczas, gdy poinformuje o nich sygnalista.
Czy nie będzie tak, że wielkie korporacje zawsze będą o krok przed tym, kto ma je kontrolować?
Czasem ktoś wpadnie, jak Cambridge Analytica, i wtedy rolą urzędu jest to, żeby go odpowiednio ukarać. RODO narzuca też na administratora możliwość donosu na samego siebie, że naruszył przepisy rozporządzenia. Ktoś może tego nie chcieć zrobić, ale jeśli po pewnym czasie wpadnie, to organ nadzorczy będzie oceniał krytycznie fakt, że nie dopełnił on obowiązku powiadomienia urzędu. I będzie sięgał po najwyższy wymiar kary. A 20 mln euro albo 4 proc. przychodów z roku poprzedniego może zaboleć nawet gigantów. Pamiętajmy, że organ nadzorczy z każdego kraju członkowskiego może nałożyć własną karę. Do tego dodajmy możliwość dochodzenia roszczeń przez poszkodowanych.
Dużo mówimy o tych nieetycznych firmach. Ale jak państwo ma przeciwdziałać chciwości i niefrasobliwości firm, skoro samo niezbyt dobrze dba o dane obywateli? Przykładem są szpitale publiczne, w których mnóstwo ludzi ma dostęp do danych, oszczędza się na zabezpieczeniach, a wiele systemów jest outsourcowanych.
To prawda. I lada moment mamy mieć elektroniczną dokumentację medyczną. Przy takim jak obecnie podejściu państwa do ochrony danych wieszczę tragedię. Bo za trzy lata możemy się dowiedzieć, że był wyciek i dane medyczne 15 mln obywateli wpadły w posiadanie np. dużego ubezpieczyciela. I wtedy poznamy odpowiedź, dlaczego Kowalski mógł kupić taniej ubezpieczenie niż Nowak. Jestem pewien, że takie przypadki to kwestia czasu. Nie mam też wątpliwości, że państwa są łase na dane obywateli i że będą miały problem z trzymaniem się zasady minimalizacji przetwarzania danych osobowych. I nie będą widziały w tym nic złego. Proszę sobie przypomnieć Janusza Piechocińskiego i wysłane przez niego setki tysięcy e-maili. Mówił, że spisywał dane osobowe ludzi z wizytówek. Kilkaset tysięcy. To tak straszny przykład ignorancji przedstawiciela rządu, że aż brak słów.
A co z systemem śledzenia pasażerów linii lotniczych? Pojawia się tu dylemat: prywatność czy bezpieczeństwo?
Gdy na wielu konferencjach i komisjach sprzeciwiałem się wchodzącemu właśnie systemowi śledzenia pasażerów linii lotniczych PNR, pytano mnie, dlaczego nie popieram rozwiązań zmniejszających zagrożenie terroryzmem. Moja odpowiedź była prosta. Byłem inspektorem nie do spraw bezpieczeństwa, tylko od ochrony prywatności. I uważam, że to niepotrzebne, żeby wiedzieć, co kto zjadł w samolocie – bo po tym można wywnioskować, na co choruje lub jakiego jest wyznania. Moim zdaniem, choć nie jestem ekspertem, lista posiłków zaserwowanych w samolocie nie zniweluje zagrożenia terrorystycznego. Za to na pewno wpłynie na ograniczenie prywatności wszystkich podróżujących.
Czy jeśli spotkamy się za 5 albo 10 lat, to będziemy musieli się obawiać o nasze dane osobowe bardziej czy mniej niż dziś?
RODO jest potrzebne, ale świata nie zmieni. To rozporządzenie to zagłuszanie wyrzutów sumienia, bo decydenci oddają prywatność obywateli wielkim korporacjom. Nie uda nam się za 10 lat zachować prywatności choćby w tej postaci co dziś. Będzie gorzej.
Czyli nie powinniśmy mieć złudzeń, że nasze dane osobowe będą wyciekać? Powinniśmy się skupić na tym, co najważniejsze, czyli aby nikt nam nie zaglądał do łóżka ani na konto bankowe?
Tak uważam. Chrońmy to, co najważniejsze. Swoją seksualność, pieniądze, dzieci. Powinniśmy się bronić przed lalkami rozmawiającymi z naszymi pociechami i urządzeniami do monitorowania niemowląt. Słyszałem o przypadkach kradzieży dzieci, bo haker mógł podejrzeć, co się dzieje w domu. Ale trzeba pamiętać, że co rodzic wrzuci publicznie do sieci, to jest dostępne nie tylko dla jego znajomych, lecz dla wszystkich. Proszę sobie wyobrazić, że matka dziecka chwaliła się nim w sieci, a potem jej dziecko zostało wystawione na aukcji w darknecie, czyli niedostępnej przy użyciu zwykłej przeglądarki części internetu.
Czy jakikolwiek urzędnik jest w stanie nas ochronić przed naszą własną głupotą? I czy powinien to robić?
Uważam, że urzędnicy powinni być świadomi, na straży jak ważnych informacji stoją. Zawsze będzie lepiej, gdy obywatel będzie postępował mądrze. Ale państwo powinno troszczyć się też o tych, którzy robią głupio.
Możemy coś zrobić jako obywatele?
Za każdym razem pytać, skąd ktoś ma nasze dane, po co je przetwarza i żądać, aby je usunął. Pod groźbą skargi do organu nadzorczego. To nic wstydliwego. I naprawdę, nie oddawajmy wszystkich informacji o sobie za rabat w wysokości 2 zł przy kasie w sklepie. Mamy 2018 r. Najwyższy czas zrozumieć, że dane o nas samych są warte znacznie więcej niż puszka gazowanego napoju.