GDPR/RODO: „Obywatele są świadomi swoich praw do ochrony danych osobowych i są gotowi je egzekwować!”

Obowiązek wdrożenia RODO (GDPR) sprawił, że dane osobowe stały się głównym tematem debaty publicznej, podczas gdy wcześniej interesował on raczej wąski krąg specjalistów, np. prawników czy naukowców. O wzroście popularności kwestii przetwarzania danych może też świadczyć znaczny wzrost liczby rozpraw sądowych związanych z danymi osobowymi – co podkreśla Blandine Poidevin, prawniczka specjalizująca się w nowych technologiach oraz w prawie dotyczącym danych osobowych, z kancelarii Jurisexpert, współpracującej z OVH. Jej zdaniem zjawisko to powodowane jest wzrostem świadomości wśród obywateli Francji i Europy, którzy są lepiej poinformowani, wyposażeni w stosowne narzędzia i mają większe wsparcie.

Jako adwokat specjalizujący się w prawie dotyczącym danych osobowych, jak ocenia Pani ryzyko prawne w tym obszarze?

Blandine Poidevin: Od kiedy wprowadzone zostały pierwsze regulacje opracowane w 1978 r. (ustawa w sprawie systemów przetwarzania danych, systemów ewidencjonowania danych oraz swobód) ramy prawne chroniące prywatność osób fizycznych bardzo się umocniły: najpierw w 1995 r., wraz z dyrektywą dotyczącą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, a następnie w 2004 r.

Umocnią się one jeszcze bardziej z chwilą wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych RODO (GDPR).

Celem tego europejskiego dokumentu jest umożliwienie obywatelom rzeczywistej kontroli nad ich danymi oraz udostępnienie im odpowiednich narzędzi. Niewątpliwie pomocne w realizacji tego założenia są sankcje grożące za niewypełnianie przepisów.

„Liczba skarg wzrosła ponad trzykrotnie w okresie między końcem lat 90. a chwilą obecną”.

Czym można tłumaczyć skok liczby skarg dotyczących naruszeń?

B. P. : „Istotnie, liczba skarg wzrosła ponad trzykrotnie w okresie między końcem lat 90., a chwilą obecną”. [CNIL mówi wręcz o „eksplozji” liczby wniosków, które wpłynęły do komisji w 2017 r., patrz poniżej, NDR]. Wzrost ten można tłumaczyć obecnym poziomem wiedzy obywateli o prawach i sposobach ich egzekwowania. Użytkownicy zaczynają się interesować, co się dzieje z danymi, które powierzają podmiotom zewnętrznym, i w jaki sposób są one wykorzystywane. Ponadto oczekują możliwości większej kontroli, o czym świadczy zaobserwowany ostatnio wzrost zainteresowania narzędziami udostępnionymi przez Facebook i Google, służącymi między innymi do wglądu, pobierania i ewentualnie usuwania informacji powierzanych tym platformom.

Czy proces dochodzenia swoich praw ewoluuje?

B. P. : Niektóre przedsiębiorstwa wciąż są przekonane, że mechanizm kontroli istnieje jedynie w teorii. Uważają, że obywatele nie mają wystarczającej mocy, aby dochodzić swoich praw w zakresie ochrony danych osobowych, i to jest mylne założenie.

Od kilku lat obserwujemy, że skargi wnoszone przez klientów przeciwko firmom, którym powierzyli swoje dane, są przygotowane w sposób coraz bardziej profesjonalny.

Klienci czy konsumenci coraz częściej są wspierani przez adwokata lub urząd ochrony konsumentów. Trzeba przyznać jednak, że obowiązujące reguły są rzeczywiście skomplikowane i złożenie skargi wymaga dobrego zrozumienia mechanizmów prawnych.

Weźmy przykład zwolnionego pracownika, który domagałby się od byłego pracodawcy, w oparciu o prawo dostępu do informacji wynikające z ustawy o ochronie danych, kopii oświadczeń innych zatrudnionych osób, potwierdzających zasadność jego zwolnienia. Oświadczenia takie zawierają dane dotyczące tego pracownika, ale również dane odnoszące się do osób trzecich. CNIL uważa, że w takich przypadkach prawo dostępu do informacji dotyczy danych, a nie dokumentów, w związku z czym pracownik mógłby uzyskać jedynie dane pochodzące ze wspomnianych dokumentów dotyczące wyłącznie jego osoby. Rozwiązanie takie pozbawiłoby go jednak dużej części interesujących go informacji…

A co z pozwami zbiorowymi w zakresie danych osobowych, takimi jak class actions istniejące w prawie amerykańskim?

B. P.: Możliwość złożenia pozwu zbiorowego w zakresie danych osobowych została dopuszczona w prawie francuskim jesienią 2016 r. w ostatniej wersji ustawy o ochronie danych w oparciu o ustawę o modernizacji wymiaru sprawiedliwości. Artykuł 43 stanowi, że organizacja, której celem jest ochrona prywatności, organizacja zajmująca się ochroną konsumentów czy też organizacja związkowa może reprezentować przed wymiarem sprawiedliwości grupy osób, „gdy kilka osób fizycznych znajdujących się w podobnej sytuacji odniosło szkodę spowodowaną uchybieniem tego samego rodzaju”.

GDPR, w artykule 80, stanowi dodatkowo, że „osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.”

A zatem nie jest już konieczne, aby podobne uchybienie było wspólne dla kilku osób skarżących, by organizacja mogła zostać upoważniona i działać w imieniu ofiary przed CNIL lub krajowym czy europejskim wymiarem sprawiedliwości.

Poszczególne kraje UE mogły transponować lub nie, w oparciu o ich wewnętrzne regulacje prawne (w tym przypadku ustawa o ochronie danych) zasadę, że organy upoważnione przez skarżącego mogły, oprócz nakazu zaprzestania naruszenia prawa, domagać się odszkodowania za szkodę. Możliwość uzyskania odszkodowania, pierwotnie odrzucona w debatach parlamentarnych toczących się na początku roku, została przywrócona poprzez złożenie poprawki przez deputowaną Paolę Forteza, która to poprawka została zatwierdzona przez komisję ustawową (1).

Teraz, dzięki wsparciu prawników i odpowiednim ramom prawnym, osoby fizyczne dysponują potężną bronią, aby egzekwować prawo do prywatności.

W związku z tym ryzyko, jakie ponoszą operatorzy przetwarzający dane lub ich podwykonawcy w związku z nieprzestrzeganiem obowiązujących przepisów, nigdy wcześniej nie było tak duże, ponieważ sankcje są obecnie bardzo dotkliwe, a obywatele są coraz częściej zdecydowani dochodzić swoich praw, wykorzystując nowe, udostępnione im środki ochrony.

"Ryzyko związane z przetwarzaniem danych przez podmioty dotyczy dziś również utraty wizerunku."

Czy przedsiębiorstwo ponosi tylko ryzyko natury finansowej?

B. P.: Ryzyko związane z przetwarzaniem danych przez podmioty dotyczy dziś również utraty wizerunku. Prawo pozwala na publikację sankcji zastosowanych wobec przedsiębiorców łamiących przepisy.

W styczniu 2018 dziennik Le Monde informował o sankcji zastosowanej przez CNIL wobec firmy specjalizującej się w sprzedaży sprzętu gospodarstwa domowego w związku z naruszeniem bezpieczeństwa danych klientów. W tym przypadku kilkaset tysięcy zgłoszeń lub skarg zawierających dane, takie jak nazwisko, imię, adres pocztowy, adres e-mail lub numer telefonu klientów było potencjalnie dostępne dla wszystkich użytkowników Internetu. W swoim oświadczeniu CNIL wyraziła ubolewanie, że oprócz braku zabezpieczenia danych, zabrakło reaktywności ze strony pociągniętej do odpowiedzialności firmy.

Gromadzenie danych stało się strategicznym wyzwaniem dla przedsiębiorstw. Podobnie wyzwaniem strategicznym musi stać się ochrona danych. Jeśli tak się nie stanie, konsumenci zaczną zwracać się do konkurencyjnych marek, które zachowują większą dbałość w zakresie poszanowania danych osobowych.

Wniosek?

To przedsiębiorstwa muszą teraz dokonywać odpowiednich wyborów, dzięki którym będą mogły zagwarantować swoim klientom ochronę danych, a sobie zapewnić wizerunek firmy dbającej o prywatność użytkowników.

W jaki sposób prywatność stała się fundamentalną wartością europejskich społeczeństw?

B. P.: Koncepcja prywatności jest dość stara. Znajdujemy jej ślady już w pismach Arystotelesa z IV w. p. n. e., który to przeciwstawiał sferę publiczną (związaną z polityką) sferze prywatnej (związanej z życiem domowym).

Od koncepcji prywatności wzięły swój początek idee wolności jednostki oraz równości, które rozwijają się pod koniec XVIII w., aby ostatecznie znaleźć swoje miejsce w konstytucjach.

Wynalezienie fotografii oraz rozwój prasy nadają nowego znaczenia koncepcji prywatności, który dwaj amerykańscy prawnicy nazywają w 1890 r. „prawem do bycia pozostawionym w spokoju”.

Wraz z rozwojem sieci informatycznych oraz nowoczesnych środków komunikacji liczba przypadków naruszenia prywatności znacznie się zwiększyła, co spowodowało wiele nowych problemów.

Z jednej strony użytkownicy dobrowolnie powierzają niektóre dane platformom, takim jak Facebook, z drugiej jednak inne dane są gromadzone bez ich wiedzy (np. przez pliki cookies), z czym wiąże się ryzyko, że informacje te będą wymieniane między podmiotami, wzbogacane, wykorzystywane bez zgody ich właścicieli albo też przekazywane stronom trzecim czy wykradane ze względu na słabe zabezpieczenia zastosowane przez firmy, którym zostały powierzone.

Informacje administracyjne, dane dotyczące zdrowia, rachunki bankowe, informacje o naszych zwyczajach konsumpcyjnych - całe obszary naszego życia zostały poddane masowej digitalizacji. O ile w odizolowaniu niektóre dane nie mają wielkiej wartości, o tyle zgrupowane mogą być podstawą do utworzenia dość dokładnych profili użytkowników cennych dla reklamodawców (a nawet określenia klasy społecznej, patrz jedno z ostatnich zgłoszeń patentowych złożonych przez Facebook).

Możemy sobie z łatwością wyobrazić, że ta masa danych może być wykorzystywana przez towarzystwa ubezpieczeniowe do ustalania wysokości składki ubezpieczeniowej lub przez banki w procesie decyzyjnym o udzieleniu kredytu.

„Wybór firmy hostującej dane nie jest dla przedsiębiorstwa już tylko i wyłącznie „zwykłą” kwestią techniczną. Należy również uwzględnić wymiar prawny związany z lokalizacją danych.”

Potrzebę ochrony naszych danych - zanim przyjęte zostało GDPR - uświadomiły sensacyjne doniesienia Edwarda Snowdena z 2013 r., na temat masowej inwigilacji prowadzonej przez Amerykańską Agencję Bezpieczeństwa Narodowego.

B. P.: Edwardowi Snowdenowi rzeczywiście udało się rozpropagować kwestię ochrony prywatności. Przywołajmy jego deklarację: „Kiedy mówisz: - prawo do prywatności mnie nie obchodzi, ponieważ nie mam nic do ukrycia, brzmi to tak, jakbyś powiedział: nie interesuje mnie prawo do wolności słowa, ponieważ nie mam nic do powiedzenia”.

Trudno jest ocenić, w jakim stopniu słowa Snowdena przyczyniły się do wzrostu świadomości wśród obywateli. Pewne jest jednak, że jego wypowiedzi zainspirowały serię pytań dotyczących pojęcia suwerenności cyfrowej. Jest to kwestia nie do końca należąca do obszaru prawa, ale wskazuje, że lokalizacja danych nie jest tylko przedmiotem debaty technicznej. Rodzą się pytania natury geopolitycznej: kto ma dostęp do danych? Między jakimi krajami one krążą? Jak są chronione, nie tylko przed szpiegowaniem przez obce służby, ale również przed atakami komputerowymi...

GDPR, na te kluczowe dla Europy pytania, przynosi odpowiedzi natury prawnej. Daje klientom prawo do informacji (o lokalizacji danych, poszczególnych podmiotach przetwarzających dane, celach przetwarzania), a ponadto określa obowiązki przedsiębiorstw.

W rezultacie wybór firmy hostującej dane nie jest już dla przedsiębiorstwa tylko i wyłącznie „zwykłą” kwestią techniczną. Należy również uwzględnić wymiar prawny związany z lokalizacją danych. W tym kontekście kampania #OdzyskajKontrole zorganizowana przez OVH odpowiada na potrzebę uświadamiania przedsiębiorstw w tym zakresie.

Do tej pory, na mocy ustawy o ochronie danych, firmy postępowały zgodnie z procedurą uprzedniej deklaracji i uzyskania zgody na przetwarzania danych. Wraz z GDPR przechodzimy do przekazania odpowiedzialności (ang. accountability) przedsiębiorstwom oraz podmiotom przetwarzających dane. Co to zmienia?

B. P.: Zgodnie z GDPR (i jego transpozycji do prawa krajów członkowskich) to podmiot przetwarzający dane - określający środki i cel przetwarzania - podejmuje niezbędne kroki w celu zapewnienia bezpieczeństwa i poufności danych, a zatem zgodności przetwarzania z przepisami.

Obowiązkiem podmiotu przetwarzającego dane jest wdrożenie niezbędnych środków technicznych i organizacyjnych w zależności od charakteru przetwarzanych danych. W tym kontekście ramy określone przez GDPR mogą wydawać się mniej kategoryczne niż obecne prawo, ale jest to błędne przekonanie.

Dane przetwarzane przez organizacje mają bardzo różny charakter. Niektóre są bardzo wrażliwe, inne mogą stać się wrażliwe, kiedy zostaną połączone w grupy. Gdyby prawo próbowało objąć wszystkie możliwe przypadki, dostarczyłoby ram prawnych niedostosowanych do wielu sytuacji. Przedsiębiorstwa muszą wziąć pod uwagę fakt, że z kwestią przetwarzania danych wiążą się nie tylko aspekty prawne, ale również etyczne. Jednym z zadań inspektora ochrony danych w przedsiębiorstwach jest uświadamianie tego faktu kadrze zarządzającej danej spółki, tak jak miało to miejsce w przypadku Florent Gastaud, powołanego na to stanowisko w OVH w październiku 2017.

Wiedza ta powinna być szerzona również na poziomie stowarzyszeń zrzeszających różne branże. W związku z powyższym firma OVH podjęła inicjatywę, mającą na celu zrzeszenie europejskich dostawców infrastruktury chmurowej w ramach koalicji Cloud Infrastrastructure Services Providers in Europe (CISPE). Organizacja ta opublikowała we wrześniu 2016 kodeks postępowania dotyczący ochrony danych (CISPE Data Protection Code of Conduct).

Jak wspomniana wyżej filozofia odpowiedzialności (ang. accountability) daje użytkownikom większą gwarancję bezpieczeństwa danych?

B. P.: Podmiot przetwarzający dane nie musi już wcześniej deklarować faktu ich przetwarzania ani prosić o wcześniejszą zgodę, ma jednak obowiązek dokumentowania wszystkich procesów. W przypadku kontroli CNIL lub odpowiadającej mu jednostki, konieczne jest udokumentowanie podjętych środków, a nawet przesłanek, jakie do nich doprowadziły. Może to być w niektórych sytuacjach badanie skutków decyzji o powołaniu lub niepowołaniu w określonym momencie inspektora ochrony danych, a w innych przypadkach prośba o przedstawienie takiej decyzji zapisanej w protokole.

Obowiązek dokumentowania procesu ma kilka zalet: inspiracja do refleksji nad praktykami, zwiększenie odpowiedzialności podmiotów (odpowiedzialność wykraczająca poza uzyskanie zgody, która może być postrzegana jako zgoda in blanco) oraz zapewnienie pełniejszej informacji użytkownikom końcowym.

Pojawiały się stwierdzenia, że istnieje sprzeczność między GDPR a innowacjami, w tym sensie, że niektóre usługi czy nowe funkcjonalności mogą być tworzone w wyniku analizy danych pierwotnie zebranych w innym celu. Jest to zresztą jedna z obietnic Big Data i sztucznej inteligencji - wydobywanie sensu i współzależności z rozproszonych danych.

B. P.: Wiele aplikacji wykorzystuje dane użytkowników w celu personalizacji i optymalizacji ich doświadczeń czy też oferowania „bezpłatnych” usług.

Dlatego właśnie transparencja jest absolutnie konieczna. Mogę bez problemu zaakceptować fakt, że aplikacja mobilna do nawigacji gromadzi dane w zamian za świadczoną usługę, ale użytkownik musi mieć tego pełną świadomość. Czy trasa proponowana przez taką aplikację uwzględnia jedynie kryteria, takie jak ruch drogowy i prognoza pogody czy też celowo kieruje mnie w pobliże restauracji, w której - zgodnie z jej wiedzą o moich preferencjach - mogę się zatrzymać? Podobnie wygląda sytuacja, kiedy bank odmawia mi kredytu, opierając się na ocenie wyliczonej przez algorytm. Klient musi mieć wiedzę, jak ten dyskwalifikujący go wynik został uzyskany. Bez tej wiedzy niemożliwe jest jego podważenie.

Wracając do innowacji, należałoby ponownie rozważyć tę kwestię. Czy identyfikacja słabych sygnałów, korelacji między rozproszonymi danymi behawioralnymi, na przykład w dziedzinie zdrowia, nie może być przeprowadzana przy użyciu danych anonimowych czy pseudonimizowanych? Należałoby również pomyśleć o usuwaniu danych gromadzonych na przykład w ramach testów czy też procesu R&D, w momencie, gdy nie ma już potrzeby ich przechowywania.

Trzeba też wiedzieć, że możliwe będzie złożenie w CNIL wniosku o odstępstwo w odniesieniu do eksperymentów w dziedzinie Big Data i sztucznej inteligencji. Moim zdaniem pozostanie to marginalne, ponieważ zaprojektowanie modelu eksperymentalnego, który nie może zostać zrealizowany bez naruszenia zasad ustalonych przez GDPR nie ma większego sensu.

Wreszcie, jak słusznie zauważa w jednym ze swoich ostatnich postów Olivier Ertzscheid, francuski badacz w dziedzinie informatyki i komunikacji, kwestia celu jest kluczowa. Kto ma świadomość, że rozwiązując test Captcha bazujący na obrazkach (pierwotny cel to odróżnienie ludzi od robotów) może uczestniczyć w treningu algorytmów sztucznej inteligencji, które mogą być potem używane na przykład do... kierowania wojskowymi dronami?

Tymczasem pomijając już samą ochroną prywatności, algorytmy IA potrzebują dużej ilości danych do treningu. Czy dzisiaj mamy niezbędną wiedzę o wszystkich celach takich projektów? Istnieje również obowiązek transparencji przedsiębiorstw wobec użytkowników.

„Transparencja jest absolutnie konieczna. Mogę bez problemu zaakceptować fakt, że aplikacja mobilna do nawigacji gromadzi dane w zamian za świadczoną usługę, ale użytkownik musi mieć tego pełną świadomość.”

Czy z prawnego punktu widzenia GDPR może stanowić przewagę konkurencyjną dla przedsiębiorstw europejskich?

B. P.: Jeśli spojrzeć na wagę, jaką obywatele europejscy przywiązują do tematu danych osobowych, można tak uznać.

Są tacy, którzy widzą w GDPR narzędzie protekcjonizmu wprowadzające "bariery regulacyjne", które mogą utrudniać ekspansję amerykańskim lub azjatyckim graczom, a wszytko to po to, aby mogli powstać europejscy giganci.

Należy również zauważyć, że harmonizacja prawa na skalę europejską jest szansą, a przynajmniej pierwszym krokiem w stronę jednolitego rynku europejskiego. Ułatwia w ramach UE wzrost w podobnym rytmie, trochę jak w przypadku amerykańskich lub chińskich konkurentów, korzystających z gigantycznych rynków wewnętrznych. Z tego powodu wszystkie procesy zmierzające w kierunku harmonizacji są bardzo korzystne.

Innym pozytywnym aspektem jest to, że nawet nieeuropejskie przedsiębiorstwa interesują się GDPR. Oczywiście dlatego, że muszą podporządkować się przepisom GDPR, przetwarzając dane obywateli Unii Europejskiej w ramach eksterytorialnego zastosowania tego rozporządzenia, ale również dlatego, że uznają, iż regulacja ta pozwoli przywrócić zaufanie użytkowników do ich możliwości dostarczania usług cyfrowych w poszanowaniu prywatności.

„W gospodarce cyfrowej zaufanie jest kluczową wartością.”

A wiemy dobrze, że w gospodarce cyfrowej zaufanie jest kluczową wartością. Czyż jedna z najważniejszych francuskich ustaw w tym obszarze nie jest nazywana "prawem zaufania do gospodarki cyfrowej"?

(1) Patrz artykuł: GDPR: rola pozwu zbiorowego, autor Valérie Peugeot, 24 stycznia 2018, vecam.org