Paweł Litwiński: Prywatność musi zacząć być szanowana

Unia wywarła decydujący wpływ na ochronę danych osobowych, nieodwracalnie zmieniając nasze życie.

Publikacja: 30.04.2024 04:30

Paweł Litwiński: Prywatność musi zacząć być szanowana

Foto: Adobe Stock

Twórcy Konstytucji RP z 1997 r. ukształtowali ustrój informacyjny naszego państwa na wzór rozwiązań obowiązujących ówcześnie w państwach UE, mimo że Polska członkiem Unii w tym czasie nie była. Rdzeniem tych rozwiązań była tzw. zasada autonomii informacyjnej jednostki, w myśl której to my mamy mieć decydujący wpływ na ujawnianie informacji nas dotyczących. Oczywiście od tego prymatu woli muszą istnieć pewne wyjątki, przecież fundamentem działania każdego państwa są informacje, jakie to państwo zbiera i przetwarza, wśród których na czele wybijają się informacje o jego obywatelach. Dlatego Konstytucja RP dopuszcza przypadki, w których nasze państwo zmusza nas do podawania pewnych informacji, ograniczając jednak znacznie swobodę tego typu rozwiązań przez warunek ich niezbędności w demokratycznym państwie prawnym.

W tym samym 1997 r. uchwalono ustawę o ochronie danych osobowych. W tym czasie w Unii obowiązywała już dyrektywa 95/46/WE o ochronie danych osobowych, stąd polska ustawa z 1997 r. miała się na czym wzorować . Ówczesne standardy ochrony danych osobowych w Polsce istotnie nie odbiegały więc od tych unijnych, ale w 2004 r. polska ustawa musiała zostać w pełni dostosowana do prawa Unii.

Czytaj więcej

TSUE przeciw gromadzeniu danych o abonentach i internautach

Prawdziwa przepaść

Rok 2004 od roku 2024 dzieli prawdziwa przepaść, gdy porównać poziom technologii przetwarzania informacji i związane z tym zagrożenia dla naszej prywatności informacyjnej. Źródeł tych zagrożeń trzeba upatrywać tak w działaniach biznesu, jak i w  aktywności organów państwa. Biznes chce nas śledzić, żeby zbierać informacje na nasz temat, które stanowią dla niego paliwo do napędzania systemów reklamy behawioralnej czy do trenowania sztucznej inteligencji. Państwo chce nas śledzić, żeby zwalczać przestępczość czy efektywniej ściągać podatki. Rok 2004 od roku 2024 dzieli też przepaść regulacyjna: już nie ustawa o ochronie danych osobowych, a RODO stanowi podstawowy akt prawny regulujący zasady przetwarzania danych osobowych. Rozporządzeniu RODO towarzyszą też inne akty prawne, takie jak choćby dyrektywa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dyrektywa policyjna), DSA, DMA czy AI Act. Ochrona danych osobowych w Unii stała się wielopłaszczyznowa.

I w tym miejscu część z nas powie tak: a po co to wszystko, skoro nasze dane wyciekają na potęgę, z każdej strony jesteśmy bombardowani spamem, scamem i phishingiem, nasze państwo nie potrafi sobie poradzić z numerami ksiąg wieczystych na Seszelach, a bazę danych nas wszystkich na potrzeby wyborów kopertowych można było sobie ot tak przekazać na płycie CD? Nie, nie będę zaklinał rzeczywistości: prawo ochrony danych osobowych, które Polska w całości dzisiaj zawdzięcza Unii Europejskiej, nie spowodowało, że nasze dane stały się absolutnie bezpieczne, incydenty zniknęły, a przypadki naruszenia zasad ochrony danych już się nie zdarzają. To oczywiście się nie stało, ale powiedzmy sobie szczerze: to się nie mogło wydarzyć; tak jak żadne, nawet najbardziej drakońskie przepisy, nie wyeliminują zabójstw czy kradzieży, tak żadne przepisy o ochronie danych osobowych nie zapewnią tym danym absolutnego bezpieczeństwa.

Trzy przykłady

Przykład pierwszy: dyrektywa policyjna. To jest w całości zasługa Unii Europejskiej, że policja i służby specjalne w krajach Unii zostały ograniczone w swobodzie zbierania i wykorzystywania informacji na nasz temat. Każde z państw członkowskich Unii tę dyrektywę musiało implementować. A jak to zrobiła Polska? Fasadowo, ograniczając zakres zastosowania przepisów, jak tylko się dało, i wyrywając dyrektywie zęby.

Przykład drugi: słynne blillingi, czyli tzw. retencja danych osobowych w telekomunikacji. Idzie o to, żeby państwo wiedziało, kto i kiedy do kogo dzwonił czy wysyłał wiadomości. Pomysł, żeby te dane zbierać, wyszedł od Unii Europejskiej po zamachach terrorystycznych w Londynie i Madrycie, ale ta sama Unia po kilku latach rękami TSUE z tego pomysłu się wycofała, uznając, że nie można naszej prywatności kłaść na ołtarzu walki z terroryzmem. A Polska na to, jak ten Gałkiewicz u  Gombrowicza, że ją wyrok TSUE nie zachwyca, więc nie dość, że swoich przepisów o retencji danych nie uchyliliśmy, to jeszcze chcemy je rozszerzyć na komunikatory internetowe.

Przykład trzeci: walka z reklamą behawioralną. W każdym momencie, gdy korzystamy z internetu, jesteśmy śledzeni na potrzeby profilowania prezentowanych nam reklam. Tak naprawdę nie wiemy, kto korzysta z naszych danych ani co z tymi danymi się dzieje. I ten system został w 2019 r. zaskarżony do organów zajmujących się ochroną danych osobowych, a wśród skarżących była polska organizacja pozarządowa Panoptykon. Sprawa została rozstrzygnięta przez belgijski organ nadzorczy, który przyznał rację skarżącym, a niedawny wyrok TSUE potwierdza prawidłowość tego rozstrzygnięcia.

Oczywiście nie można także zapominać o konkretnych zakazach i nakazach wprowadzanych przez kolejne akty prawne dotyczące ochrony danych osobowych. Te zazwyczaj dotyczą biznesu i mają przeciwdziałać takim zjawiskom, jak choćby profilowanie w internecie czy reklama kierowana do nas na podstawie naszych wrażliwych danych.

Prawo Unii Europejskiej odnoszące się do ochrony danych osobowych powoli zmienia naszą rzeczywistość. Choć prawo, z definicji, zawsze będzie o krok za rozwojem technologii, to prawo ochrony danych osobowych stara się tą technologię ograniczać. Z definicji także Unia ma mniejsze możliwości wpływu na to, jak dane chronią ograny poszczególnych państw członkowskich, dlatego to państwo polskie musi zacząć wreszcie szanować naszą prywatność, co w praktyce oznacza przyjęcie standardów ochrony naszych danych wyznaczonych przez Unię. Wreszcie i my sami musimy zacząć korzystać z rozwiązań, które prawo Unii nam daje – ale o to ostatnie w zasadzie jestem spokojny. A w sumie tę szklankę widzę do połowy pełną.

Autor jest adwokatem, partnerem w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów oraz członkiem grupy ekspertów Europejskiej Rady Ochrony Danych

Twórcy Konstytucji RP z 1997 r. ukształtowali ustrój informacyjny naszego państwa na wzór rozwiązań obowiązujących ówcześnie w państwach UE, mimo że Polska członkiem Unii w tym czasie nie była. Rdzeniem tych rozwiązań była tzw. zasada autonomii informacyjnej jednostki, w myśl której to my mamy mieć decydujący wpływ na ujawnianie informacji nas dotyczących. Oczywiście od tego prymatu woli muszą istnieć pewne wyjątki, przecież fundamentem działania każdego państwa są informacje, jakie to państwo zbiera i przetwarza, wśród których na czele wybijają się informacje o jego obywatelach. Dlatego Konstytucja RP dopuszcza przypadki, w których nasze państwo zmusza nas do podawania pewnych informacji, ograniczając jednak znacznie swobodę tego typu rozwiązań przez warunek ich niezbędności w demokratycznym państwie prawnym.

Pozostało 86% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Marek Kobylański: Fundusz nieprawidłowości. Ktoś za to odpowie, ale czy ci, którzy powinni?
Opinie Prawne
Robert Gwiazdowski: ZUS in Digital Age, czyli zlikwidować urzędy skarbowe
Opinie Prawne
Ewa Szadkowska: Kampania za rządowe pieniądze? Krzysztof Szczucki prochu nie wymyślił
Opinie Prawne
Piotr Podgórski: Jak walką z cyberzagrożeniem wylewamy dziecko z kąpielą
Opinie Prawne
Tomasz Justyński: Czy to już koniec zasiedzenia, jakie znamy?
Materiał Promocyjny
CERT Orange Polska: internauci korzystają z naszej wiedzy