W erze postępującej rewolucji technologicznej coraz częściej możemy zastanawiać się, na ile jesteśmy jeszcze w stanie chronić naszą prywatność. Reklamy, telemarketerzy, SMS-y z nieznanego źródła, w których wzywa się nas do zapłaty… Jak chronić swoje dane i kto może nam w tym pomóc? Z Moniką Krasińską, dyrektor Departamentu Orzecznictwa i Legislacji w Urzędzie Ochrony Danych Osobowych rozmawiała Aleksandra Bilicka.
Jaka jest misja Urzędu Ochrony Danych Osobowych?
Stoimy na straży prawa podstawowego, jakim jest prawo do ochrony danych osobowych, i realizujemy wszystkie swoje obowiązki wynikające z tego prawa. Podstawowymi zadaniami UODO są m.in. monitorowanie i egzekwowanie stosowania ogólnego rozporządzenia o ochronie danych (RODO), upowszechnianie w społeczeństwie wiedzy o przepisach RODO.
Prowadzimy zarówno postępowania administracyjne wszczęte na skutek skarg skierowanych do organu nadzorczego, jak i postępowania związane z naruszeniami ochrony danych. Prowadzimy także kontrole u administratorów. A to wszystko w celu zapewnienia odpowiedniej ochrony danych osobowych.
Nasza Infolinia codziennie pomaga rozwiązywać problemy wielu osób, ale i administratorów. Podpowiadamy, co należy zrobić, jeśli doszło do naruszenia ochrony danych, jak realizować żądania osób, czy jak i do kogo kierować swoje żądania, gdy przypuszczamy, że nasze dane są niewłaściwie przetwarzane.
Urząd odpowiada też na liczne pytania kierowane do organu nadzorczego oraz angażuje się w wiele wydarzeń o charakterze edukacyjnym, aby jak najbardziej poszerzać świadomość na temat praw i obowiązków wynikających z przepisów RODO.
Niezwykle istotna jest też współpraca z organizacjami, które opracowują swoje branżowe kodeksy postępowania w celu ich zatwierdzenia przez prezesa UODO. To ważne, gdyż takie kodeksy, doprecyzowując wiele postanowień RODO, pozwalają jeszcze lepiej chronić dane osobowe.
Działamy także na polu legislacyjnym, zgłaszając uwagi do projektów zmian prawa, tak aby były zgodne z RODO. Urząd kieruje liczne wystąpienia do właściwych ministrów, gdy dostrzega potrzebę interwencji legislacyjnej w celu stworzenia spójnych ze sobą przepisów i zapewnienia zgodnego z RODO poziomu ochrony danych.
Mierzymy się obecnie z problemem ujednolicenia podejścia do ochrony danych osobowych i prawa do prywatności przez ustawodawcę i sądownictwo.
W jaki sposób łamane są prawa do ochrony danych jednostki? Z jakimi przypadkami najczęściej się Pani spotyka w pracy? Przed czym warto przestrzec czytelników?
Najczęstszymi przyczynami naruszeń ochrony danych osobowych są: ujawnienie danych osobowych nieodpowiedniemu odbiorcy, np. wysyłka e-maila do złego adresata; utrata korespondencji papierowej przez operatora pocztowego bądź otwarcie przed zwróceniem jej do nadawcy; zagubienie bądź kradzież nośnika/urządzenia, np. pamięci pendrive, przenośnego dysku twardego lub laptopa.
Z kolei w większości wypadków skargi zgłaszane przez obywateli dotyczą takich zagadnień, jak usunięcie lub sprostowanie danych osobowych oraz niewłaściwe spełnienie obowiązku informacyjnego. Sektor prywatny mierzy się z problemem skarg, związanych z wymuszeniem zgód na przetwarzanie danych czy wykorzystywania danych w celach telemarketingowych.
Czytelników chciałabym przestrzec przed bezrefleksyjnym podawaniem swoich danych osobowych, wyrażaniem zgód na ich przetwarzanie, gdy wcale nie jest to niezbędne do osiągnięcia przez nich danego celu. Bardzo często, działając zbyt pochopnie, sami narażamy się na to, że nasze dane zaczynają krążyć między różnymi podmiotami, a my nie wiemy nawet jakimi. Później dochodzi do wykorzystywania naszych danych – głównie kontaktowych – w celu sprzedania nam różnych usług, produktów, a my dziwimy się, skąd ktoś ma nasze dane.
To prowadzi także do tego, że i cyberprzestępcy próbują nas skłonić, czy to w drodze kontaktu elektronicznego, czy telefonicznego, do podania im naszych dodatkowych danych, które później mogą być użyte w celach przestępczych – np. do zaciągnięcia pożyczek na nasze dane. A metody, którymi się posługują, są coraz bardziej wymyślne: SMS-y z przypomnieniem o uregulowaniu należności z banku, z którym nie mamy podpisanej umowy kredytowej, albo prośba o przelew od przyjaciela z Facebooka, pod którego podszył się nieznajomy.
Jakie konsekwencje może mieć wyciek danych osobowych lub nierozważne ich udostępnianie?
W najgorszym scenariuszu osoba nieuprawniona może wykorzystać dane osobowe do próby wyłudzenia pożyczki, ubezpieczenia czy zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych, np. najmu nieruchomości czy samochodu. Poprzez bezprawne wykorzystanie danych osobowych można ukryć swoją tożsamość, np. przy otrzymaniu mandatu.
Podszycie się pod inną osobę w celu wyłudzenia dodatkowych określonych informacji, takich jak dane do logowania czy szczegóły karty kredytowej, nie może się dobrze skończyć dla właściciela danych. To mój apel do czytelników – nie przekazujcie danych telefonicznie – nigdy nie wiecie, kto jest po drugiej stronie telefonu.
Konsekwencje mogą być też mniej dotkliwe, ale za to uciążliwe. Nasze dane często służą do telemarketingu stosowanego przez podmioty, z którymi nie mamy nic wspólnego, czy do zapychania naszych skrzynek e-mailowych tzw. spamem. Na szczęście zauważalna jest nie tylko coraz większa ostrożność w podawaniu danych osobowych, ale i większa wiedza o tym, jak się zachować i na co uważać, gdy dojdzie do wycieku naszych danych.
Czy ochrona danych to, według Pani, również ochrona wolności człowieka? Jak rozumie Pani wolność w kontekście swojej pracy?
Wiemy, że utrata kontroli nad naszymi danymi, a więc nad tym, kto i jakie dane o nas przetwarza, może godzić w wolność człowieka. Dane te mogą np. bez naszej wiedzy służyć do profilowania nas. A w dzisiejszym świecie i przy wykorzystaniu skomplikowanych algorytmów czy mechanizmów sztucznej inteligencji mogą posłużyć do manipulacji – a więc wzbudzania w nas potrzeb np. zakupowych poprzez odpowiednio przygotowane kampanie skrojone specjalnie pod nasze gusta, zainteresowania, a nawet słabości.
Jakie wyzwania stoją przed UODO w obliczu postępującego rozwoju technologii, w tym sztucznej inteligencji?
Nie zapominajmy, że nieodłącznym elementem rozwoju technologii jest korzystanie z aplikacji, dlatego organ nadzorczy w tym roku w ramach planu kontroli sektorowych weryfikuje sposób przetwarzania danych osobowych przy użyciu internetowych oraz mobilnych aplikacji. Jesteśmy świadomi, że przyspieszenie transformacji cyfrowej i rozpowszechnianie e-usług w większości branż daje więcej okazji do działania dla cyberprzestępców – liczba naruszeń, z jaką musimy się uporać, związana z ich aktywnością, stale rośnie. Pamiętajmy, że podstawową zasadą, jak się przed nimi bronić, jest kierowanie się zdrowym rozsądkiem podczas udostępniania naszych danych osobowych.
11 maja w Parlamencie Europejskim odbyło się głosowanie nad projektem unijnego prawa regulującego rozwój i zastosowania SI. To duży krok w stronę ograniczenia wpływu SI na analizę danych biometrycznych czy stanów emocjonalnych człowieka. Liczymy, że AI Act (Akt o sztucznej inteligencji) pozwoli nam chronić prawa podstawowe przed nieodpowiednio działającymi algorytmami SI. Jednocześnie jesteśmy świadomi, że ze względu na możliwość automatycznego podejmowania decyzji na podstawie analizy danych, może istnieć ryzyko niewłaściwego wykorzystania SI, np. w celu manipulowania opinią publiczną, szerzenia nieprawdziwych informacji czy dyskryminowania pewnych grup społecznych. To wyzwania, z którymi przychodzi nam się zmierzyć. Pamiętajmy też, że klienci muszą być informowani, w jaki sposób ich dane są używane i przetwarzane przez SI, oraz mieć możliwość wyrażenia zgody na ich wykorzystanie.
Czy jest coś, co chciałaby Pani dodać?
Jesteśmy po to, by rozwiązywać problemy, więc proszę czytelników o zaufanie i korzystanie z możliwości, jakie daje im organ nadzorczy, gdy tylko tego potrzebują.
Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji w Urzędzie Ochrony Danych Osobowych.
Tekst pochodzi z kwartalnika Civitas Christiana nr 3 / lipiec-wrzesień 2023
/ab