Ochrona danych osobowych w obecnym wydaniu wcale nie jest absurdem

Teza, jaka wyłania się z tekstu autorstwa panów Piotra Araka i Kamila Rakocego "Ochrona danych osobowych w obecnym wydaniu to absurd" (DGP z 28 października), jest prosta: granica prywatności danych osobowych jest obecnie postawiona zbyt wysoko. Autorom chodzi o granicę ochrony prywatności obywateli przed działaniami władzy publicznej. Na uzasadnienie swojego poglądu przywołują wiele przykładów z różnych dziedzin życia społecznego, które - w ich ocenie - uzasadniają tak sformułowaną tezę. A wszystkiemu temu winien kto? Generalny inspektor ochrony danych osobowych.

Zacznijmy więc od początku: błędem podstawowym jest dychotomia "podmioty publiczne" - "podmioty prywatne", od której autorzy zdają się wychodzić i na której opierają swoje wywody. Założenie, jakie czynią, jest następujące: w sferze prywatnej jest źle, ale nikt na to nie reaguje; w sferze publicznej mogłoby być dobrze, ale GIODO wszystko psuje. Dlaczego takie podejście jest błędem? Dlatego że sfery prywatna i publiczna w aspekcie ochrony prywatności (i danych osobowych) rządzą się diametralnie odmiennymi zasadami. W sferze prywatnej (prywatne podmioty zbierające nasze dane osobowe, często nimi handlujące) dozwolone jest to, co nie jest zabronione i na co osoba, której dane dotyczą, się zgodzi. Dobrowolnie, składając odpowiednie oświadczenie.

Oczywiście zdarzają się przypadki naruszeń prawa w tym zakresie - niemniej nie można w sposób odpowiedzialny twierdzić, że wszystko to (w domyśle: wszystkie te dane, jakie zebrały prywatne podmioty) "dzięki nieuwadze konsumentów", jak twierdzą autorzy. Co istotne, takie przypadki GIODO stara się ścigać (w 2013 r. wpłynęło 1879 skarg, przeprowadzono 173 kontrole, wydano 1358 decyzji administracyjnych - to dane ze źródeł powszechne dostępnych), poruszając się w granicach kompetencji przyznanych mu przez obowiązujące prawo. Obowiązujące prawo jednak nie wyposażyło inspektora w kompetencje zbyt szczodrze - w zasadzie GIODO może wyłącznie nakazać lub zakazać pewnego działania, nie może natomiast nakładać kar finansowych za naruszenie przepisów o ochronie danych osobowych.

W sferze publicznej zaś (organy władzy publicznej zbierające nasze dane osobowe) odwrotnie - dozwolone jest tylko to, co pozostaje w granicach wyznaczonych przez przepisy konstytucji i właściwych ustaw. A przepisy konstytucji są w tym względzie jasne (art. 51 ust. 1 i 2): obywatel może być zobowiązany do ujawniania informacji na swój temat tylko na podstawie ustawy, a władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać więcej innych informacji o obywatelach, niż to jest niezbędne w demokratycznym państwie prawnym.

I tutaj dochodzimy do sedna problemu: otóż autorzy konstruują wiele zarzutów pod adresem obowiązujących przepisów o ochronie danych osobowych oraz praktyki ich stosowania. Mylą przy tym dwie sfery: błędy w stosowaniu obowiązującego prawa i chęć psucia tego prawa. Czy więc prawidłowe jest pominięcie w procesie rekrutacji do szkoły wyższej kogoś, kto nie zaznaczy zgody na przetwarzanie danych osobowych? Nie, jest to oczywiste naruszenie prawa, najprawdopodobniej wynikające ze zwyczajnej jego nieznajomości (w skrócie: zgoda w tym przypadku nie jest wymagana, pytanie o nią to błąd, a podanie należało rozpatrzyć mimo braku zgody). Ale przywoływani są też przez autorów bezrobotni, których dane nie mogą swobodnie wędrować przez wszystkie szczeble administracji aż do ministra właściwego włącznie czy absolwenci szkół wyższych, których - rzekomo - nie można objąć monitoringiem karier. I jeszcze kilka innych podobnych przykładów. Wszystko to na okoliczność uzasadnienia tezy, że tworzenie wielkich, współpracujących ze sobą baz danych osobowych przez administrację publiczną jest (byłoby) dobre. Byłoby, ale "przez działania GIODO" jest to niemożliwe.

I chwała GIODO za takie działania. Autorzy, nie wiedzieć dlaczego, prowadzą swoje rozważania wyłącznie na gruncie możliwości technicznych, pomijając odpowiednie regulacje prawne - a te zezwalają władzom publicznym na przetwarzanie danych o obywatelach tylko w zakresie niezbędnym w demokratycznym państwie prawnym.

Czy więc, aby pozostać w kręgu przywoływanych przykładów, istnieje techniczna możliwość stworzenia systemu monitorowania losów absolwentów szkół wyższych, dzięki któremu uczelnia uzyska informacje o zarobkach swoich absolwentów? Można - tyle że byłoby to sprzeczne z konstytucją jako wykraczające poza zakres niezbędności w demokratycznym państwie prawnym. Czy można dowiedzieć się, co robił bezrobotny po tym, jak wyrejestrował się z urzędu pracy? Można, wystarczy poskładać ze sobą kilka publicznych baz danych - ale znów konstytucja się temu sprzeciwi. I to nie tylko po to, by rzucać kłody pod nogi tym, którzy chcą, aby "kluczowe instytucje publiczne w Polsce miały prawo łączyć różne zbiory danych, żeby podejmować decyzje na podstawie faktów, a nie opinii polityków", jak to widzą autorzy. Sprzeciwi się dlatego, by chronić naszą prywatność przed zakusami władzy publicznej - tej samej władzy, o której ci sami autorzy w tym samym tekście piszą, że sięga po 2 miliony naszych billingów rocznie. Nie wiedzieć tylko czemu władza sięgająca po billingi jest zła, a władza inwigilująca bezrobotnych lub absolwentów uczelni już nie.

W przypadku prawa ochrony danych osobowych jak zwykle walka toczy się o pryncypia, a także o ich praktyczne wdrażanie w naszej codziennej rzeczywistości. Ja, jako obywatel, cieszę się z tego, że ktoś - tutaj: GIODO, ale i rzesza organizacji pozarządowych - o te pryncypia walczy. Nie cieszę się jednak z tego, że niektóre podmioty stosujące prawo tego prawa nie znają. Tylko receptą na ten stan rzeczy nie jest likwidacja błędnie stosowanego prawa w imię lobbingu za ideą big data w administracji, jak zdają się postulować autorzy.

Walka toczy się o pryncypia, a także o ich praktyczne wdrażanie w codziennej rzeczywistości

@RY1@i02/2014/215/i02.2014.215.000000800.803.jpg@RY2@

Paweł Litwiński Instytut Allerhanda

Paweł Litwiński

Instytut Allerhanda