Cyberbezpieczeństwo

#CyberMagazyn: Dr Paweł Litwiński: Skutecznie przesunięto w świadomości większości z nas granicę tego, co uważamy za sferę prywatną

Fot. Paweł Litwiński

"Gros pokolenia dzisiejszych 20-latków nie ma problemu z tym, że płaci swoimi danymi za to, że mogą korzystać z konta poczty elektronicznej, czy serwisu społecznościowego. Wygląda więc na to, że skutecznie przesunięto w świadomości większości z nas granicę tego, co uważamy za sferę prywatną" - powiedział w rozmowie z CyberDefence24, dr Paweł Litwiński, ekspert prawa ochrony danych osobowych.

Kara nałożona na firmę Meta przez Irlandzką Komisję Ochrony Danych Osobowych rozpoczęła na nowo dyskusję dotyczącą wykorzystywania danych osobowych przez największe firmy technologiczne. Ostatnie tygodnie przyniosły bowiem nie tylko kary dla właściciela Facebooka i Instagrama, ale także m.in. grzywnę dla chińskiego TikToka.

W wywiadzie z dr. Pawłem Litwińskim podjęliśmy się rozmowy na temat RODO i tego, jak wpływa ono na ochronę naszych danych.

Michał Górski, CyberDefence24: Ostatnio Irlandzka Komisja Ochrony Danych Osobowych nałożyła karę na firmę Meta wynoszącą 390 milionów euro. Czego dotyczyła i w jakim kontekście dotyka ona użytkowników?

Dr Paweł Litwiński: Kara została nałożona w związku z tym, w jaki sposób Meta korzysta z danych osobowych użytkowników swoich platform. Sytuacja wydaje się dość prosta: korzystam np. z Facebooka, więc Meta może mieć przeróżne informacje na mój temat: jakie treści udostępniam, jak reaguję na inne treści, gdzie jestem, co robię itp. I te informacje Meta wykorzystuje, żeby dobierać reklamy, które mi pokazuje. Problem w tym, że Meta uważa, że ten mechanizm dobierania reklam jest integralną częścią jej usług – czyli korzystam z mediów społecznościowych także po to, żeby oglądać tzw. reklamy targetowane, a cały mechanizm jest opisany w regulaminie, który określa jednostronnie Meta. Tymczasem organy zajmujące się ochroną danych osobowych uważają, że nie do końca tak to powinno wyglądać: użytkownicy powinni godzić się (lub nie) na wykorzystanie swoich danych do personalizowania reklam, a jeżeli się nie godzą, powinni mieć możliwość korzystania z usług Mety bez reklam targetowanych i bez dodatkowych opłat.

Czytaj też

Kara dla Mety

W sprawę zaangażowanych jest też kilka innych instytucji. Jakie to instytucje?

Irlandzki organ nadzorczy, bo Meta w zakresie, w jakim świadczy usługi Europejczykom, ma siedzibę w Irlandii i Europejska Rada Ochrony Danych, a przez to wszystkie inne europejskie organy nadzorcze. Powód jest bardzo prosty: z usług Meta korzystają wszyscy obywatele Unii.

Jak wygląda ich współpraca? Czy można powiedzieć, że działania niektórych z nich są ze sobą sprzeczne?

Słabo, najogólniej mówiąc. Organ irlandzki proponował wstępnie karę 10-krotnie niższą, niż została ostatecznie nałożona i w ogóle nie był przekonany co do tego, że Meta narusza przepisy RODO. Europejska Rada Ochrony Danych tymczasem ma możliwość narzucenia organom krajowym swojego stanowiska i tak też się w tej sprawie stało. Organ irlandzki musiał wydać taką decyzję, jakiej zażyczyła sobie EROD i to zrobił, ale ... odwołał się od rozstrzygnięcia EROD to Trybunału Sprawiedliwości Unii Europejskiej.

Czy decyzja dotycząca kary nałożonej na Metę jest już definitywna? Czy firma odwoła się od niej?

Jak wspomniałem, odwołał się od niej w pierwszej kolejności irlandzki organ nadzorczy, skarżąc do TS UE rozstrzygnięcie EROD. Z kolei Meta już zapowiedziała, że odwoła się od decyzji organu irlandzkiego do irlandzkich sądów, a koniec końców sprawa zapewne trafi też do TS UE. Poczekamy więc zapewne jeszcze kilka lat na ostateczne rozstrzygnięcie.

Czy ta kara jest obecnie egzekwowana?

Obecnie nie, bo decyzja została zaskarżona. Ale jeżeli się uprawomocni, to z pewnością Meta będzie musiała ją zapłacić.

Czy Big Techy stosują się do prawa i rzeczywiście regulują nałożone na nie kary?

Co do zasady korzystają z wszelkich możliwości odwoławczych, jakie dają im przepisy krajowe i europejskie, ale też zmieniają swoje rozwiązania w zgodzie z decyzjami. Przykładem jest choćby Google, który z jednej strony zwalcza karę nałożoną przez CNIL (organ francuski - red.) za stosowane rozwiązania związane z cookies, ale z drugiej strony dostosował swoją praktykę do wymagań regulatora.

Co zmieniło wejście w życie RODO?

Czy Pańskim zdaniem wejście w życie RODO było punktem przełomowym w kontekście ochrony naszych danych osobowych?

I tak, i nie. Tak, bo RODO dało wspólne ramy ochrony danych w Unii i możliwości ich egzekwowania, czego wcześniej nie było. Nie, bo RODO miały towarzyszyć inne przepisy, na czele z rozporządzeniem ePrivacy, na które ciągle czekamy; nie, bo – jak pokazuje przykład kary na Meta – poszczególne kraje bardzo różnią się w podejściu do stosowania RODO i nie bardzo wiadomo, co z tym zrobić. Ostatnio Komisja Europejska ogłosiła projekt harmonizacji niektórych przepisów postępowania w sprawach ochrony danych osobowych, co na pewno jest dobrym krokiem, ale jeszcze długa droga, zanim projekt stanie się prawem.

Czytaj też

Ile w praktyce polskich firm zapłaciło kary ze względu na ochronę RODO?

Według stanu na połowę ub. roku, Prezes UODO nałożył kary na 44 podmioty na łączną kwotę 15,5 mln. zł. Z tego kary zostały zapłacone przez 8 podmiotów, na łączną kwotę 365 tys. zł. W pozostałych przypadkach postępowania sądowe trwają.

W ostatnich dniach francuski urząd zdecydował także o karze dla TikToka w zakresie plików cookie. Czego dotyczy ta sprawa, w jakim zakresie jest ważna z punktu widzenia użytkowników?

Kara została nałożona z dwóch powodów: po pierwsze, użytkownicy nie mogli odmówić zgody na stosowanie cookies tak samo łatwo, jak mogli wyrazić na to zgodę; po drugie, nie byli informowani dostatecznie o celu instalacji ciasteczek. To kolejny przykład – po karze na Google – ciasteczkowego serialu w wykonaniu CNIL i muszę otwarcie przyznać, że CNIL skutecznie wpływa na praktykę stosowania ciasteczek przez wielkich graczy, a przez to i przez cały Internet. Po prostu nie można utrudniać nam wyrażenia sprzeciwu wobec instalowania plików cookies.

Czytaj też

Świadomość na temat danych

Jaka jest wiedza Polaków dot. danych osobowych w internecie? Czy rośnie nasza świadomość dot. tego, jak Big Techy je wykorzystują?

Rośnie, moim zdaniem głównie dzięki temu, co robią organizacje pozarządowe, jak np. Panoptykon. Z drugiej strony moje obserwacje jako wykładowcy akademickiego prowadzą do wniosku, że gros pokolenia dzisiejszych 20-latków nie ma problemu z tym, że płaci swoimi danymi za to, że mogą korzystać z konta poczty elektronicznej, czy serwisu społecznościowego. Wygląda więc na to, że skutecznie przesunięto w świadomości większości z nas granicę tego, co uważamy za sferę prywatną.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także