Sierpniowy wyrok TSUE to największa zmiana w prawie ochrony danych osobowych od maja 2018 r. Już pojawiają się dzikie spekulacje na temat ziszczających się absurdów RODO – czy jeśli czyjaś kamera przemysłowa nagra homoseksualną parę, to przetwarzane są dane o orientacji seksualnej?

Już powszechniej rozumiemy, jak działa technologia, że niektóre z jej dobrodziejstw to droga dwukierunkowa. Komunikacja w obie strony. My coś dostajemy, np. usługę typu mapy, nawigację, medium społecznościowe, możliwość wrzucenia filmików lub ich przeglądania. Operator takich usług też coś dostaje. Technologia działa w taki sposób, że jej kontroler zwykle może wiedzieć, w jaki sposób z niej korzystamy: to, w co klikamy, jakie opcje wybieramy, co wpisujemy w różne okienka aplikacji smartfona lub strony internetowej – może być pod kontrolą operatora (czyli właściciel deweloper strony internetowej lub bardziej ogólnie – Wykop, Google, TikTok, Instagram, Twitter, Facebook). Informacje o interakcjach tego rodzaju są zapisywane w bazach danych. Są otagowane, mają znacznik dokładnej daty. Czasami operatorzy wdrażają specjalistyczne technologie śledzące, jeszcze pomnażające dane. To pozwala na łączenie różnego rodzaju informacji, np. o odwiedzanych stronach internetowych, o profilach, ale także tego rodzaju jak stan naładowania baterii.
Analiza listy odwiedzonych stron internetowych z jednego miesiąca może ujawnić wiele treści. Przykładowo, ktoś odwiedzający konkretne strony może zostać sklasyfikowany jako heteroseksualny 35-letni ekstrawertyk, zainteresowany doniesieniami sportowymi i rynkiem nieruchomości, do tego buddysta, który jest wegetarianinem (a sporadycznie je schabowe) i ma poglądy takie lub inne. Zakres danych do odkrycia jest bardzo duży, dodatkowo wiąże się z dokładną analizą danych jak najbardziej prywatnych.
Próbą regulacji tych procesów było choćby sławne RODO – dzięki niemu miało być wiadomo, kiedy i w jakim zakresie zachodzi profilowanie, jakiego rodzaju dane są pozyskiwane, przechowywane, używane. Jak to jednak z prawem bywa, podlega interpretacjom. Do niedawna nie było jasne, jak traktować dane ze względu na sposób ich uzyskania – czy dane wywnioskowane z innych danych podlegają ochronie na równi z bezpośrednimi danymi źródłowymi? To znaczy, jeśli z pozyskanych danych można wywnioskować np. religię, orientację psychoseksualną, stan zdrowia, poglądy polityczne (od strony zawartości to przecież dane szczególnie wrażliwe) danego użytkownika, czy to dane podlegające ochronie wprost? Jasności nie było nawet pośród urzędów ochrony danych osobowych, np. ten z Hiszpanii uważał, że dane wywnioskowane nie są równoważne z tymi pozyskanymi wprost.
Sytuację zmienił niedawny wyrok Trybunału Sprawiedliwości Unii Europejskiej (DGP nr 149/2022). Zrównał wywnioskowane dane podlegające szczególnej ochronie po prostu z „danymi podlegającymi szczególnej ochronie”.
Ci, którzy byli entuzjastami „elastyczniejszej interpretacji” RODO, teraz będą mieli problem. Muszą natychmiast zbadać przetwarzanie danych w swoich systemach, uaktualnić wewnętrzne analizy, a być może nawet zgłosić naruszenie ochrony danych w odpowiednim urzędzie. Zgłoszenie naruszenia jest obowiązkiem od daty wejście w życie RODO w maju 2018 r., od tamtego czasu obowiązują też kary finansowe. Jeśli wcześniej tego zaniechali, to najpóźniej od dnia wydania wyroku trybunału mieli 72 godziny na zgłoszenie takiego naruszenia.
Co zrobią europejskie urzędy ochrony danych osobowych? Otrzymały właśnie potężną amunicję.
Moim zdaniem polski Urząd Ochrony Danych Osobowych (UODO) powinien natychmiast wydać notę informacyjną, w jaki sposób wyrok będzie uznawany i stosowany. Do wiadomości wszystkich, dla jasności firm i urzędów w Polsce. UODO musi działać. UODO zresztą to wie, bo wyroków TSUE europejskie organa ochrony danych osobowych nigdy nie ignorowały. Dlatego możemy zdecydowanie wezwać prezesa UODO do działania.
Sierpniowy wyrok TSUE to największa zmiana w prawie ochrony danych osobowych od maja 2018 r. Już pojawiają się dzikie spekulacje na temat ziszczających się absurdów RODO – czy jeśli czyjaś kamera przemysłowa nagra homoseksualną parę, to przetwarzane są dane o orientacji seksualnej? Czy jeśli ktoś zostawi na trawniku przed czyimś budynkiem jakiegoś rodzaju materiał biologiczny, to są to dane biometryczne albo być może takie o zdrowiu? Nie dajmy się zwariować tak jak w okolicy maja 2018 r.! Żeby mówić o przetwarzaniu danych, musi zaistnieć procedura ich pozyskiwania (jednoznaczna, nie tylko potencjalna) i intencja.
I bez absurdalnych spekulacji wiele firm będzie miało rzeczywisty problem. Bo wyrok jest jednoznaczny i dotyczy wszystkich. Od aplikacji randkowych typu Tinder (zdecydowanie przetwarzają dane chronione, być może np. o orientacji seksualnej przy wyświetlaniu kandydatów do par, ponadto utrzymują komunikator bez silnego szyfrowania), poprzez systemy rekomendacyjne (np. gdy na Twitterze wyświetla się informacja o „poleconych” treściach w sposób jasny odnoszących się do danych chronionych), po reklamy internetowe (tzw. systemy kierowania reklam mogą przetwarzać bardzo wiele danych wywnioskowanych z zachowania użytkownika).
Mamy też kolejny dowód na to, że warto słuchać ekspertów. Ja i wielu innych utrzymywałem, że jest tak, jak uznał ostatnio TSUE, logicznie wynika to z RODO. W Polsce niektórzy byli jednak przeciwnego zdania. To jakieś pozostałości i ślady wskazujące na to, jak podejście do ochrony prywatności jest kwestią kulturową. Te zasady przyszły do nas z Zachodu stosunkowo niedawno, pod koniec lat 90., wcześniej będąc po niewłaściwej stronie żelaznej kurtyny, nie braliśmy udziału w zachodniej ewolucji podejścia do prywatności. Być może potrzeba jeszcze czasu, by to ugruntować, zwłaszcza w niektórych środowiskach. Trudno jednak zrozumieć sceptycyzm, gdy sprawa jest tak jasna jak w przypadku wyroku TSUE. Trwanie przy wątpliwościach może skończyć się bólem głowy i kosztami. Zdrowia życzę.
Sprawa może być też polityczna, bo w Brukseli są dyskutowane obostrzenia dla reklamy politycznej. Rozważa się pełen zakaz kierowania treści na podstawie tzw. danych chronionych (tych w rozumieniu RODO). W połączeniu z wyrokiem TSUE nie byłoby żadnych wątpliwości, że chodzi także o dane wywnioskowane.
Ale jeśli wyrok taki miałby zatrząsnąć podstawami branży, która finansuje „darmowe” strony i usługi internetowe, tj. reklamą internetową, to czy stawka nie jest nawet wyższa (liczona w setkach miliardów euro oraz w dostępie do „darmowych treści”)?
Szczęśliwie, od 10 lat i tak idziemy w stronę reklamy internetowej z poszanowaniem prywatności. Obostrzenia wprowadza tu Apple. Google opracowuje tzw. system Privacy Sandbox, gdzie kierowanie treści będzie możliwe na podstawie przetwarzania danych wyłącznie na urządzeniu użytkownika (nigdy go nieopuszczających). I choć niektóre firmy są sceptyczne wobec tego rodzaju rozwiązań, to można postawić tezę, że wygrają jednak te, które chcą pracować nad ochroną prywatności. Za wiele już w to zainwestowano. To zwycięstwo całej dziedziny badań naukowych nad prywatnością (bardzo ważnej, choć niestety nieuprawianej na polskich uczelniach). I tym optymistycznym akcentem rozpoczynam w DGP swą serię „Cyberpolityka”. ©℗
Europejskie urzędy ochrony danych osobowych otrzymały potężną amunicję w postaci sierpniowego wyroku TSUE
*Dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw Człowieka, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, autor książki „Filozofa Cyberbezpieczeństwa”