Definicja prywatności jest bardzo płynna. Przez lata zmieniły się sposoby ustalania granic pomiędzy tym, co osobiste, a sferą, do której dopuszczamy innych.
dr Karolina Małagocka, ekspertka w dziedzinie prywatności danych w sieci oraz cyberbezpieczeństwa, Akademia Leona Koźmińskiego;
Dzisiejsze postrzeganie prywatności zdominowała definicja zaproponowana w 1980 r. przez dwóch prawników z Bostonu – Samuela Warrena i Louisa Brandeisa – w brzmieniu „prawo do pozostawienia w spokoju” lub „do pozostawienia samemu sobie”. Do poruszenia kwestii prywatności przyczyniło się wówczas coraz częstsze zamieszczenie w mediach zdjęć osób, których wizerunek nie był wcześniej powszechnie znany. Dyskusja, która się rozpoczęła, postawiła prawo do prywatności w opozycji do wolności mediów i prawa do informacji.
Trzeba przyznać, że ten sposób myślenia przetrwał do dziś. Stanowi on podstawę do wysuwania dość popularnych wśród przedstawicieli branży BigTech (czyli wielkich firm informatycznych, takich jak np. Google, Facebook, Apple) oraz administracji państwowej (w tym szczególnie osób odpowiedzialnych za bezpieczeństwo) opinii, że osoby przestrzegające zasady współżycia społecznego nie mają powodów do chronienia swojej prywatności. „Skoro obawiasz się, że ktoś dowie się, co robisz, to może najpierw zastanów się, czy to, co robisz, jest dobre” – miał powiedzieć Eric Schmidt, CEO Google w latach 2001–2011. Ten sposób myślenia spowodował, że bardzo długo prawo do prywatności było traktowane jako chęć kamuflowania działań nieakceptowalnych.
Po 2013 r. i rewelacjach Edwarda Snowdena, jego następców, a także kolejnych debatach publicznych skupionych na ilości gromadzonych oraz przetwarzanych danych, coraz więcej osób zaczęło dochodzić do wniosku, że prywatności już nie ma. To wizja zaburzonego świata, która może mieć swoje poparcie w ilościach cyfrowych śladów, które codziennie zostawiamy, i tego, jak są one pozyskiwane, a następnie wykorzystywane do tworzenia profili konsumenckich, wyborczych czy behawioralnych. Niemniej jako społeczeństwa, obywatele i konsumenci nie wyraziliśmy zgody na to, aby zupełnie pozbyć się prywatności.
E-prywatność jest dla wszystkich
Jej definicja mogła się zmienić. A dokładniej: zmieniły się sposoby ustalania granic pomiędzy tym, co moje osobiste, a sferą, do której zgadzamy się dopuszczać innych. Takie rozumienie prywatności sugerowali już w latach 70. i 80., na długo przed mediami społecznościowymi, psychologowie społeczni (np. Irwing Altman) czy prawnicy na czele z Alanem Westinem. Oznacza to, że można jednocześnie być całymi dniami zalogowanym na Facebooku lub innej platformie społecznościowej, ale jednocześnie chcieć regulować dostęp do swojej strefy. I nie ma tu żadnej sprzeczności, gdyż ludzie na ogół dopuszczają dobrowolne dzielenie się informacjami prywatnymi, ale większość widzi w tym również szansę na uzyskanie korzyści dla siebie.
Ten sposób myślenia wspierają zapisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), które umożliwiają „zbieranie” danych, ale jednocześnie nakładają obowiązek pozyskania świadomej na to zgody. Są tam również zapisy o konieczności ograniczenia apetytu dostawców rozwiązań poprzez „prywatność jako podstawę”, czyli taką konfigurację początkową, która ogranicza zgodę na zbieranie informacji do minimum. Z kolei art. 32 RODO może być odczytywany jako reakcja na liczne wycieki danych do internetu. Tylko w 2019 r. do sieci wypłynęły dane z 3,5 mln kont z całej Polski. W tej chwili firmy nie tylko muszą poinformować o tym swoich klientów, lecz także ciąży na nich obowiązek wynikający z przepisów prawa, aby zapewnić sieci wystarczającą odporność na poziomie uwzględniającym ryzyka cybernetyczne.
A poziom ten jest wysoki. Nowe zagrożenia w sieci pojawiają się co 3,9 s, a CERT Polska ostrzega, że ransomware (złośliwe oprogramowanie szyfrujące) stanowi największe zagrożenie dla firm w naszym kraju. W rezultacie każdy, kto prowadzi działalność na terenie Europejskiego Obszaru Gospodarczego, jest zobowiązany do ochrony swoich systemów. Celem nadrzędnym jest utrudnienie cyberprzestępcom pozyskiwania baz danych. Z drugiej strony, pozycja klientów została wzmocniona.
Taktyka „3 T”
Można powiedzieć: cóż z tego, skoro najwięksi gracze na rynku pozostają poza zasięgiem tych przepisów? Jest w tym trochę racji, jednak warto przyjrzeć się pozytywnym aspektom zmian, które następują. Faktycznie, można było rozpatrzeć wprowadzenie regulacji mniej restrykcyjnych niż obecne, ale za to mających charakter porozumienia ponadregionalnego, ponieważ o globalny zasięg takowego byłoby trudno. Niemniej wprowadzenie RODO dało impuls do tworzenia podobnych standardów na całym świecie, a zgodnie z estymacjami Gartnera do 2021 r. mają one objąć blisko 65 proc. populacji.
Kolejny pozytywny aspekt zmian to uświadomienie dużej części użytkowników odnośnie do ich praw, które unormowały kontakty na linii biznes – klient. To właśnie dla mniejszych i średnich graczy wspólnie z profesorem Grzegorzem Mazurkiem przygotowaliśmy zasady zawarte w modelu T-Form, które po angielsku oznaczają Trust, Type of data i Transparency (Grzegorz Mazurek, Karolina Małagocka, „What if you ask and the say yes? Consumers’ willingness to disclose personal data is stronger than you think”, »Business Horizons«” Kelley School of Business, Uniwersytet Indiany). To wszystko składa się na dużą literę „T” symbolizującą transfer danych. Budowanie zaufania klientów, uzasadnienie, jakie dane są potrzebne i w jakim celu, oraz przejrzystość procedur – to klucz do pozyskiwania informacji prawdziwych i budowania relacji opartych na poczuciu wzajemnej uczciwości.
Kiedy firma świadczy usługi przez internet, zawiera z klientem swego rodzaju transakcję – w zamian za wgląd do jego danych osobowych oferuje produkt lub usługę, której klient poszukuje. Naturalne jest to, że aby konsument miał mniej oporów przed powierzaniem tego typu informacji, musi darzyć firmę zaufaniem oraz rozumieć, jakich danych i w jakim celu potrzebuje. Przykłady, że takie postępowanie może przynosić oczekiwane efekty, już są na rynku, i stosują je nawet największe marki w mocno ucyfrowionych branżach.
W telekomunikacji świetnym przykładem są operatorzy, którzy w specjalnie tworzonych centrach wiedzy informują klientów, jakie dane na ich temat pozyskują, oraz co się z nimi dalej dzieje. Na przykład T-Mobile konsekwentnie wdraża politykę pełnej transparentności w komunikacji o prywatnych danych klientów, informując użytkowników o tym, jaki rodzaj informacji na ich temat jest wykorzystywany. Decyzję o zakresie przetwarzania danych oddaje w ręce klienta. Jednocześnie uzasadnia swoje działania właśnie tym, że ze względu na to, że jest marką zaufaną, być może nie miałby problemu ze zbieraniem danych, ale nie chce tego nadużywać.
Wprowadzenie regulacji na poziomie europejskim zachęciło również dużych graczy branży informacyjnej i rozrywkowej do zbudowania przewagi konkurencyjnej w oparciu o uczciwe podejście do pozyskiwania informacji. Jako jeden z pierwszych postąpił tak wydawca »The Guardian«. Niemalże od razu wprowadził stronę informacyjną dla czytelników i subskrybentów, którą nazwano „Dlaczego Twoje dane mają znaczenie?”. Z kolei standardem w branży sklepów elektronicznych stały się zakupy bez konieczności zakładania konta, a prośby o podawanie dodatkowych danych prywatnych są klientowi uzasadniane.
Umiejętne zastosowanie taktyki trzech „T” może sprawić, iż klienci zaufają firmie, a ona sama pozyska dobre jakościowo dane oraz przyzwolenie na ich wykorzystanie, np. w celu ulepszenia oferty czy spersonalizowania komunikacji. Wówczas klient będzie odważniej wchodził w relacje online z taką firmą. W ten sposób buduje się kapitał społeczny wokół usług cyfrowych, który pozwala zrozumieć, że rynek cyfrowy nie „żeruje” na kliencie oraz nie traktuje go jako produkt. Jednocześnie wiele wskazuje, że regulacje prawne będą dążyły do umacniania pozycji klientów i dalszego zachęcania firm do wprowadzania możliwie najwyższych standardów w zakresie ochrony danych osobowych.