29.10.2021

Ochrona danych: sawantyzm czy prawo obywatelskie - wnioski z kryzysu covidowego.

Portrait von Niko Härting
Niko Härting

Wykład prof. Niko Härtinga na jesiennej konferencji Stowarzyszenia Niemieckich Inspektorów Ochrony Danych na temat ochrony danych osobowych,  Monachium 27. 10. 2021r.  – główne elementy w wolnym przekładzie

Będę mówił o tym, że ochrona danych w 2021 r. ma dwa oblicza. Jedna z twarzy jest raczej młoda i niepozorna, ochrona danych jako część zestawu narzędzi do zapewnienia zgodności, jako ochrona konsumenta w cyfrowym świecie. Drugie oblicze jest dość stare, ochrona danych jako prawo obywatelskie, jako prawo człowieka i bastion przeciwko wkraczającemu państwu.

Będę mówił o tym, że ochrona danych wymaga obu twarzy. I przypomnę z naciskiem, że ochrona danych jest częścią rodziny - rodziny praw obywatelskich. Ponieważ jestem głęboko przekonany, że ochrona danych nie jest "wyspiarskim talentem". Każdy specjalista ds. ochrony danych musi dbać o prawa obywatelskie - wszystkie prawa obywatelskie. Dobry, poważny specjalista ds. ochrony danych, którego należy traktować poważnie, zawsze będzie jednocześnie działaczem na rzecz praw obywatelskich.

  1. Ochrona danych jest prawem obywatelskim. A ponieważ ochrona danych jest prawem obywatelskim, obrońcy danych nie mogą milczeć, gdy prawa obywatelskie są masowo ograniczane.

Dlaczego chronimy dane? Nie chronimy danych osobowych dla samego faktu ich posiadania. Ochrona danych nie jest celem samym w sobie. Każdy z nas o tym wie.

Ochrona danych jest prawem obywatelskim. Zgodnie z Europejską Kartą Praw Podstawowych ochrona danych jest również sama w sobie prawem podstawowym. Ochrona danych jest również wyrazem prawa człowieka do prywatności chronionego przez Europejską Konwencję Praw Człowieka. Ochrona danych jest prawem człowieka.

Od marca 2020 roku doświadczamy ograniczeń praw obywatelskich, których większość z nas nigdy by sobie nie wyobraziła. Przedsiębiorstwa musiały zostać zamknięte, obywatele mogli opuszczać swoje domy tylko "z ważnych powodów", a na demonstracje nałożono surowe ograniczenia. A kiedy państwo tak głęboko ingeruje w prawa podstawowe, nie poprzestaje na ochronie danych. Jak wytłumaczyć, że teatry pozostają zamknięte w obawie przed zakażeniem, a policjantka nie może wiedzieć, że człowiek, którego ma aresztować, jest zarażony covidem? Jak wytłumaczyć, że covidowe aplikacje ostrzegawcze  mogą być obsługiwane wyłącznie w oparciu o najsurowsze przepisy dotyczące ochrony danych, jeśli uczniowie muszą pozostać w domu, aby uniknąć infekcji? Jak można uzasadnić, że restaurator musi uważać na dane kontaktowe swoich gości ze względu na ochronę danych, jeśli jednocześnie każdy gość musi wszędzie okazywać dowód szczepienia i ujawniać dane dotyczące zdrowia?

Adekwatność, konieczność, stosowność - triada proporcjonalności. Pytania, które pojawiają się w kontekście ochrony danych. Ale także daleko poza nią. Kto tak naprawdę pyta, czy dane kontaktowe, które wszyscy zostawiamy odwiedzając hotele i restauracje, puby i siłownie, domy publiczne i kluby fetyszystów, są rzeczywiście dostępne i potrzebne organom służby zdrowia? Kto pyta, czy rzeczywiście istnieje większe zagrożenie ze strony sprawdzonej osoby nieszczepionej niż ze strony osoby zaszczepionej?

Zwolennicy ochrony danych nie mogą milczeć, kiedy coraz więcej danych dotyczących zdrowia jest gromadzonych i przetwarzanych w imię kontroli zakażeń. Dlatego słusznie Stefan Brink (Pełnomocnik Ochrony Danych i Wolności Informacji Badenii-Wirtembergii – przyp. TB) podniósł ostatnio głos, gdy rząd landu Badenia-Wirtembergia poważnie planował zniesienie obowiązku zakrywania ust i nosa w zakładach gastronomicznych dla osób zaszczepionych. Jeśli każdy gość może zobaczyć, którzy z pracowników są niezaszczepieni, istnieje ryzyko stygmatyzacji i presji społecznej. Podstawowe prawo do samostanowienia informacyjnego powinno nas chronić przed jednym i drugim.

  1. W polityce ochrony przed koronawirusem chodzi o klasyczną równowagę między wolnością a bezpieczeństwem. Obrońcy ochrony danych są obrońcami wolności. Nie wolno ci odwracać wzroku.

W tym roku przypada 20. rocznica wydarzeń z 11 września i uchwalenia w ich następstwie ustaw antyterrorystycznych - "pakietów Schily'ego". Dokładnie 20 lat temu - w dniach 24-26 października 2001 r. - zebrała się Konferencja Ochrony Danych (DSK) - 18 federalnych i krajowych pełnomocników ds. ochrony danych - i zgodnie ze swoim komunikatem prasowym zażądała od (ministra spraw wewnętrznych Otto) Schily'ego :

Bettina Sokol - Pełnomocnik Ochrony Danych w Nadrenii Północnej-Westfalii i obecna przewodnicząca konferencji: "Wiele wniosków jest nadal niewyważonych i brakuje w nich faktycznego i odpowiedzialnego wyważenia swobód obywatelskich i praw osobistych jednostki. Proponuje się wszystko, co wydaje się technicznie możliwe, bez uwzględnienia zakazu nadmiernej wydajności w ramach praw podstawowych, bez zbadania, co jest naprawdę konieczne i odpowiednie do walki z terroryzmem - to krytyka wszystkich komisarzy ds. ochrony danych. Apelują do osób odpowiedzialnych za politykę bezpieczeństwa, aby nie ograniczały praw osobistych przedwcześnie i bez koniecznej, starannej refleksji. Stan wyjątkowy nie powinien zostać podniesiony do rangi normy.”

Wszystkie nowo rozważane środki muszą być oceniane pod kątem tego, czy są one rzeczywiście odpowiednie i niezbędne do skutecznej walki z terroryzmem. Jednostronne dążenie do zapewnienia kompleksowego bezpieczeństwa nie powinno przekreślać dotychczasowego konsensusu społecznego co do znaczenia swobód obywatelskich i praw osobistych.

Jasne i precyzyjne wymagania oraz wyraźne przypomnienia. W 2001 r. Konferencja Ochrony Danych była jeszcze organem działaczy na rzecz praw obywatelskich. Czy można to jeszcze dziś powiedzieć o DSK?

Co mają wspólnego pakiety Schily i 11 września z Coroną? Tak wtedy, jak i teraz, istniał strach - zarówno przed terroryzmem, jak i przed pandemią. Tak wtedy, jak i teraz, istniała "frakcja bezpieczeństwa", "frakcja ostrożności", która domagała się "silnego państwa". Wtedy, tak jak i teraz, politycy odpowiedzieli pakietami legislacyjnymi, które ograniczyły prawa obywatelskie, aby chronić nas wszystkich przed terrorem, śmiercią i chorobami. Wtedy, tak jak i teraz, ochrona danych była niewygodna. Ci, którzy odrzucili i odmawiają biometrycznych dokumentów tożsamości i wszechobecnych pytań o "status szczepień", są podejrzewani o ochronę sprawców, niesolidarność i stawanie na drodze do dobra wspólnego, do ochrony zdrowia.

W walce między wolnością a bezpieczeństwem - czy to w przypadku przepisów dotyczących terroryzmu, czy kontroli zakażeń - ochrona danych zawsze stoi po stronie wolności. Jednak dziś nie jest to już tak oczywiste, jak 20 lat temu.

W międzyczasie minęło 75 lat od czasów nazizmu i 30 lat od upadku muru berlińskiego. Słabnie pamięć historyczna i maleje nieufność wobec wszechwiedzącego i wszechmocnego państwa. Pod rządami kanclerz Angeli Merkel oblicze państwa w oczach wielu obywateli stało się bardziej przyjazne. Ochrona danych nie jest już postrzegana jako tarcza ochronna obywatela przed wkraczającym państwem, ale jako instrument ochrony konsumenta i kwestia zgodności z przepisami. Debaty na temat ochrony danych dotyczą amerykańskich gigantów internetowych, plików cookie i wpisów do Schufy (rejestr długów - przyp.TB), a tylko z rzadka dotyczą władz żądnych danych. Dlatego nie jest zaskakujące, że w czasie kryzysu covidoweg ze strony zwolenników ochrony danych usłyszano niewiele krytycznych uwag.

  1. Obrona praw obywatelskich w niepewnych czasach zawsze była niewygodna. Osoby zajmujące się ochroną danych muszą czuć się niekomfortowo.

Jeśli osoby zajmujące się ochroną danych milcząco akceptują, że każdy dom publiczny i placówka samopomocy ma obowiązek zbierania "danych kontaktowych", to wyświadczają tym samym niedźwiedzią przysługę ochronie danych. Kiedy zwolennicy ochrony danych opowiadają się za godziną policyjną, nie mogą już wiarygodnie wyjaśnić, dlaczego przekazywanie jakichkolwiek danych osobowych do USA miałoby dotyczyć praw człowieka.

  1. Ochrona danych to coś więcej niż tylko ochrona konsumenta i przestrzeganie przepisów. Ochrona danych jest bastionem obywateli przed wkraczającym państwem.

Wszyscy jesteśmy konsumentami. A ochrona konsumentów jest ważna dla nas wszystkich. Dlatego dla nas wszystkich jest oczywiste, że dobrze jest, gdy konsumenci dowiadują się, co dzieje się z ich danymi. Dla nas sensowne jest, aby organy ochrony danych upewniły się, że firmy nie postępują lekceważąco z danymi konsumentów. Uważamy, że firmy nie powinny mieć prawa do bombardowania naszych skrzynek mailowych niechcianymi reklamami. Zgadzamy się też, że spersonalizowane reklamy wymagają uregulowania.

Wielu z nas zarabia pieniądze na zapewnianiu zgodności z przepisami . Z rozbudowanymi wartościami reguł postępowania z danymi osobowymi w firmach i urzędach. Z wytycznymi, instrukcjami, informacjami o prywatności. Z koncepcjami usuwania, ocenami wpływu i procedurami raportowania. Zgodność z przepisami to biurokratyczne oblicze ochrony danych, świat pudełek i szufladek.

Ochrona danych to coś więcej niż tylko ochrona konsumenta i przestrzeganie przepisów. Ochrona danych jest bastionem obywateli przed wkraczającym państwem. Dlatego ochrona danych ma zawsze charakter polityczny. Osoby zajmujące się ochroną danych, które chcą być traktowane poważnie, nie mogą czuć się komfortowo w działach zgodności firm i w strefie komfortu ochrony konsumentów. Muszą zabierać głos, gdy państwo przykręca śrubę inwigilacji. Obrońcy danych muszą uczestniczyć w dyskursie społecznym działaczy na rzecz praw obywatelskich.

  1. Zasady ochrony danych obowiązują również wtedy, gdy dane są przetwarzane w "uzasadnionym celu". Proporcjonalność nie wprowadza rozróżnienia między celami "dobrymi" i "mniej dobrymi".

Cel nie uświęca środków. A ochrona danych nie uznaje hierarchii celów przetwarzania. Jeżeli dane dotyczące zdrowia są przetwarzane do celów kontroli zakażeń, obowiązują te same kryteria, co w przypadku przetwarzania danych do celów reklamowych. Wyniki rozważań mogą być rozbieżne, ale kryteria i zasady zawsze pozostają te same.

Minimalizacja danych, ograniczenie przechowywania, ograniczenie celu: wszystko to jest oczywiście istotne dla celów przetwarzania danych w związku z pandemią. I dlatego słusznie Stefan Brink i Barbara Thiel (Pełnomocnik Ochrony Danych Dolnej Saksonii - przyp. TB) nie przymknęli oczu, gdy usłyszeli, że policjanci w terenie pytają urzędy zdrowia, czy wiedzą o pozytywnych wynikach badań covidowych u poszczególnych obywateli. Konieczne jest zapewnienie, by dane dotyczące kontaktów, testów i szczepień nie były gromadzone jedynie jako środek ostrożności i przechowywane na zapas, ale by służyły konkretnie określonym celom i były bezzwłocznie usuwane. Koniec "sytuacji zagrożenia pandemią" musi również położyć kres wszechobecnemu gromadzeniu danych kontaktowych i zdrowotnych.

  1. Ochrona danych jest wiecznym kozłem ofiarnym cyfryzacji. Przyczyn tego jest kilka, ale wynika to również z faktu, że prawo o ochronie danych jest tak skomplikowane, że nie jest rozumiane przez przeciętnego człowieka.

Jeśli członkowie rady miejskiej uważają, że widzowie są dość irytujący, wetują streaming swoich spotkań tłumacząc to ochroną danych. Kiedy urzędnicy państwowi nie chcą odpowiadać na irytujące pytania prasy dotyczące spraw publicznych, z przykrością odmawiają udzielenia konkretnej odpowiedzi tłumacząc ochroną danych. Gdy urzędnicy odpowiadają na pilne pytania tylko drogą listową, a nie pocztą elektroniczną, wzruszają ramionami bo ochrona danych. Jeśli instytucje państwowe nie chcą zrezygnować z korespondencji faksowej, jeśli biura nie chcą zmieniać swojego oprogramowania lub nadal wolą pracować na papierze: tłumaczeniem zawsze jest "ochrona danych".

Podczas pandemii okazało się, że w urzędach i instytucjach zajmujących się zdrowiem publicznym i w wielu innych miejscach procesy nadal funkcjonują w sposób analogowy. W wielu obszarach systemu opieki zdrowotnej cyfryzacja jest wciąż w powijakach. I co słyszycie od tych, którzy są za to odpowiedzialni? Tak, chciałoby się - ale "ochrona danych”.

Niejeden profesjonalista zajmujący się ochroną danych nie jest w tym względzie niewinny. Gdy Lutz Haase, pełnomocnik ds. ochrony danych osobowych w Turyngii, zastanawia się w wywiadach prasowych nad dopuszczalnością umieszczania nazwisk na domofonach w świetle prawa o ochronie danych osobowych, potwierdza on niepokojące odczucia wielu laików: ochrona danych osobowych jest skomplikowana i biurokratyczna, jej znaczenie nie zawsze jest oczywiste, a ochrona danych osobowych często niepotrzebnie utrudnia życie codzienne.

Kiedy niedawno okazało się, że nauczyciel z Turyngii otrzymał list od Urzędu Ochrony Danych Osobowych, ponieważ pytał uczniów o chęć szczepienia (a nie o status szczepienia!), jedno z czasopism edukacyjnych doniosło:

Zwrócił on (Lutz Haase) uwagę na to, że przesłuchania uczniów mogły dotyczyć również danych światopoglądowych. W zależności od wieku uczniów konieczna może być do tego również zgoda rodziców".

"Czy zaszczepiłbyś się?" Lutz Haase ma wyobraźnię, bo ja zadając to pytanie nie wpadłbym tak szybko na odniesienie do wiary czy światopoglądu.

Takie sprzeciwy i skojarzenia nie służą reputacji ochrony danych. Jednak fakt, że z prawa ochrony danych można wyciągać różne wnioski, wynika również z wad wrodzonych RODO. Z obawy przed "lukami prawnymi" nie można było zdobyć się na wyraźne wyłączenie codziennej komunikacji - dzwonków do drzwi, zdjęć klasowych, listów gratulacyjnych - z kompleksowej zasady ochrony danych. Stworzyli bardzo skomplikowany zbiór przepisów z licznymi komentarzami, które na tysiącach stron mają wytyczać drogę przez gąszcz. Jedynymi wyraźnymi beneficjentami RODO jesteśmy my: prawnicy, konsultanci, komentatorzy i wykładowcy, którzy dobrze zarabiają na RODO.

W perspektywie średnioterminowej akceptacja ochrony danych będzie zależeć od gotowości do uproszczenia ram regulacyjnych. Złożoność pozostaje piętą achillesową, która sprawia, że ochrona danych staje się kozłem ofiarnym odwracającym uwagę od własnych niepowodzeń - w zakresie cyfryzacji i przejrzystości działań rządowych, ale także w zakresie opieki zdrowotnej i skutecznego powstrzymywania pandemii.

Ochrona danych jest i pozostaje prawem obywatelskim, które jest nam wszystkim drogie. Jako prawo obywatelskie, ochrona danych jest nierozerwalnie związana z wieloma innymi prawami obywateli - między innymi z wolnością wypowiedzi i zgromadzeń, ochroną osobowości, wolnością zrzeszania się, wolnością przemieszczania się i ochroną mieszkania. Ci, którzy walczą o ochronę danych, nie mogą milczeć, gdy ograniczane są prawa obywatelskie. Zaangażowany obrońca danych zawsze stoi po stronie wolności, jeśli chodzi o równowagę między wolnością a bezpieczeństwem. Ochrona danych nie zna stref komfortu i musi pozostać niewygodna.

-------------

Prof. Niko Härting jest partnerem założycielem HÄRTING Rechtsanwälte, wiodącej berlińskiej kancelarii prawnej, specjalizującej się w zagadnieniach związanych z mediami i technologią, prawem IT, ochroną danych i prywatności. Jest również profesorem prawa na HWR Berlin i redaktorem naczelnym czasopisma "Privacy in Germany" (PinG). Od 2014 roku Niko Härting jest niezmiennie wymieniany wśród najlepszych prawników w dziedzinie prawa IT w rankingu Best Lawyers. Wśród swoich licznych publikacji jest autorem książki z zakresu prawa Internetu.

Zurück