Prof. Marek Świerczyński o danych osobowych w internecie: ich ochrona to fikcja

Rz: Mimo deklaracji organów władz – zarówno europejskich, jak i krajowych – ochrona stron transakcji zawieranych w internecie jest ledwie teoretyczna. Nawet liczne ostatnio orzeczenia luksemburskiego Trybunału Sprawiedliwości w sprawach e-konsumenckich brzmią jakoś fałszywie. Chociażby dlatego, że nie udzielają odpowiedzi wprost, tylko pouczają sądy krajowe, jakimi mają kierować się kryteriami, żeby wilk był syty i owca cała.

Marek Świerczyński: Nie da się inaczej. W obrocie międzynarodowym konieczne jest zbalansowanie interesów przedsiębiorców internetowych i konsumentów. Bezrefleksyjne i restrykcyjne stosowanie przepisów chroniących lokalnych kupujących, stworzonych z myślą o krajowych transakcjach, do handlu międzynarodowego, mija się z celem. Może nawet doprowadzić do geoblokowania usług. Przykładem wadliwego podejścia do tego problemu jest wyrok polskiego Sądu Najwyższego w sprawie warunków sprzedaży biletów internetowych UEFA (z 17 września 2014 r., sygn. akt I CSK 555/13). SN przyjął, że klauzula właściwości prawa obcego (w tym przypadku szwajcarskiego) jest z założenia niedozwolona. To bezsensowne dla każdego, kto korzysta z internetu i sprawdził wiążący go regulamin. Większość takich dokumentów przewiduje właściwość prawa obcego. I to jest normalne. Polski sąd ograniczył prawa konsumenta internetowego. Trybunał Sprawiedliwości EU w wyroku z 28 lipca 2016 r. w sprawie Amazon (C-191/15) stwierdził natomiast co innego. Właściwość prawa obcego jest dopuszczalna, ale należy poinformować konsumenta, że może powołać się na korzystniejsze dla niego przepisy państwa, w którym ma miejsce zwykłego pobytu. To istotna różnica.

Obrona praw konsumentów to działanie bezrefleksyjne i restrykcyjne?

Niestety, często w odniesieniu do internetu ma taki właśnie charakter. Przedsiębiorcom globalnym należy zarówno ułatwić świadczenie usług w innych państwach niż kraj ich siedziby, jak i zmniejszyć rygory względem krajowych start-upów (małych, początkujących firm, które mają pomysł, ale jeszcze żadnej historii na rynku). Żeby umożliwić im chociażby rozpoczęcie działalności bez ryzykowania, że od razu naruszą jeden z tysiąca obowiązków chroniących użytkowników ich usług. Podam przykład: polskie prawo o ochronie danych osobowych wymaga, by zgoda na przetwarzanie danych wrażliwych, np. dotyczących zdrowia, była udzielana na piśmie, czyli w efekcie na papierze. To powoduje, że wiele nowatorskich usług medycznych, jak choćby elektroniczne konto pacjenta, ma od razu utrudniony start.

Uważam, że nie ma sensu utrzymywać jeszcze co najmniej przez dwa lata (zanim zaczną obowiązywać przepisy unijne znoszące ten wymóg, co dla internetu jest wiekiem) warunku pisemnej zgody, skoro możemy ją – i to już od września – w związku ze zmianami w kodeksie cywilnym zastąpić bardziej liberalną formą dokumentową, która żadnego podpisu nie wymaga. Przecież można poinformować użytkownika za pomocą specjalnego okienka o celach, w jakich jego dane medyczne są przetwarzane. Nie ma uzasadnienia akceptowanie przez użytkownika serwisu dziesiątek oświadczeń, których i tak nikt nie będzie czytał. Zapewnijmy przy tym użytkownikowi skuteczne prawo do zapomnienia oraz prawo do przeniesienia danych osobowych do innego administratora.

A może lepiej od razu otwarcie przyznać, że w internecie ten ma władzę i dyktuje dogodne dla siebie warunki, kto oferuje pożądany towar lub usługę. Ci natomiast, którzy łakną zakupów, muszą się godzić na wszystko.

W sieci to klient jest panem. Jego wybór rynkowy decyduje o sukcesie jakiejś usługi. Facebook wygrał, a analogiczna usługa Google'a poniosła klęskę, bo tak chcieli użytkownicy. Poza tym obecny model ochrony konsumenta w ogóle nie sprawdza się w świecie internetowym. Zacznijmy od tego, że trudniej stwierdzić, czy mamy do czynienia z konsumentem. Dla globalnej sieci bardziej charakterystyczny wydaje się podział na usługodawcę i usługobiorcę-użytkownika. Ten ostatni może działać zarówno jako konsument, jak i przedsiębiorca, zależnie od okoliczności. Kiedy używam chmury obliczeniowej do archiwizacji danych, to robię to w kilku rolach. Raz wiąże się to z moją działalnością uniwersytecką, innym razem z pracą adwokata, a kiedy indziej wrzucam do chmury prywatne zdjęcia.

Poza tym przepisy ochronne były pisane z myślą o konsumencie pasywnym, do którego przedsiębiorca kieruje swój przekaz i zachęca do korzystania ze swoich produktów. Obecny użytkownik jest aktywny. Sam poszukuje w internecie usług, które go interesują. Jego ochrona wyraża się więc również przez to, że to on podejmuje kluczową decyzję, czy skorzysta z oferty czy nie.

Więc chcącemu nie dzieje się krzywda? A już myślałam, że po prostu nie wymyślono jeszcze dobrych narzędzi pozwalających łatwo powiedzieć „sprawdzam".

To prawda, że jeśli uchwalamy przepisy dotyczące cyberprzestrzeni, musimy mieć skuteczne narzędzia ich egzekwowania. Także transgranicznie. Tymczasem większość nowych regulacji jest po prostu martwa albo służy wyłącznie do gnębienia polskich przedsiębiorców. Chociażby zakaz spamingu wynikający z ustawy o świadczeniu usług drogą elektroniczną. Czy spowodował, że dostajemy mniej niechcianych wiadomości? Nie. Czy utrudnia oferowanie nowatorskich usług polskim start-upom informatycznym? Tak. Wniosek? Zarówno prawodawcy, jak i sądy – zarówno polskie, jak i Trybunał Sprawiedliwości Unii Europejskiej – muszą zachowywać ostrożność, żeby nie blokować rozwoju gospodarki cyfrowej poprzez nadmierną ochronę konsumenta.

To znaczy, że rozwój gospodarki cyfrowej nade wszystko?

To jedyna droga. Ocenia się, że internet rzeczy w ciągu pięciu lat spowoduje, że połowa zawodów będzie niepotrzebna. Gdy chodzi o prawników, to już teraz tworzy się, także w Polsce, generatory regulaminów i umów. W USA sztuczna inteligencja o imieniu Ross została ostatnio szefem departamentu prawa upadłości w jednej z kancelarii prawnych. Jeśli więc nadal będziemy upierać się przy dotychczasowym modelu ochrony konsumenta, to wylądujemy w trzecim świecie.

Strategia jednolitego rynku cyfrowego UE to tylko powierzchownie ochrona użytkowników. Zasadniczym jej celem jest właśnie rozwój gospodarki cyfrowej. Nade wszystko. Proszę przy tym pamiętać, że internet rzeczy oznacza również wytwarzanie materialnych przedmiotów, np. samochodów autonomicznych. Nie tylko treści cyfrowych.

Matrix! Ale czy dobrze zrozumiałam, że musi być fikcją ochrona danych osobowych przed wykorzystywaniem w nieznany sposób z powodu udostępnienia ich w internecie?

Jest fikcją i będzie fikcją, jeśli sami się nie zainteresujemy, jak nasze dane są przetwarzane, ponieważ kluczowym elementem dla dużego przeskoku w gospodarce cyfrowej jest właśnie przetwarzanie gigadanych (big data), które w dużym stopniu obejmują dane osobowe. Możemy oczywiście udawać, że nie przetwarzamy danych konkretnego Jana Kowalskiego, ale np. kategorii osób, do której należy. Skala tych danych umożliwia jednak rozpoznanie, co konkretny Kowalski robi i kim jest. Teraz najważniejsze jest uzyskanie dostępu do takich danych i ich wykorzystanie. Kto ma do nich dostęp, ten osiągnie sukces gospodarczy. Dane to nowa waluta świata. A my je rozdajemy za darmo.

Czuję się, jakbym wpadła za ekran, do ostatniego sezonu „House of Cards". Bo przecież nie tylko o sukces gospodarczy chodzi, ale przede wszystkim o możliwość manipulacji dla celów politycznych. I to w makroskali. A że nie jest to fikcja literacka, dowodzi choćby ujawnienie przez Edwarda Snowdena programu PRISM, pozwalającego NSA (amerykańskiej wewnętrznej agencji wywiadowczej) podsłuchiwać i przeglądać informacje elektroniczne bez ograniczeń. Dochodzimy więc kolejny raz do sytuacji, w której jednostka zerem, jednostka bzdurą.

Dostęp do danych osobowych jest również na rękę organom państwowym. Mówi się przecież półżartem, że gdyby nie było Facebooka, to służby specjalne powinny go wymyślić, żeby zapewnić rządom dostęp do danych osobowych. No bo po co za kimś chodzić i go inwigilować, jeżeli wystarczy włączyć serwis i ściągnąć kluczowe informacje, którymi tak ochoczo sprawdzany sam się podzielił. Łącznie ze zdjęciami dzieci w każdej fazie rozwoju i fotografiami dań, które zjadł danego dnia. Przecież taką weryfikację zrobił ZUS, badając, czy pracownicy rzeczywiście są na chorobowym. A ostatnio internet obiegło zdjęcie Marka Zuckerberga, właściciela Facebooka, na którym w tle widoczny jest jego laptop z zaklejoną kamerką i zablokowanym mikrofonem. To o czymś świadczy.

Tymczasem użytkownicy sieci wciąż są niefrasobliwi. Jeżeli miliony ludzi zainstalowały „Pokemon GO" i przez wakacje łapały potworki na ulicach, a niewielu przeczytało regulamin, żeby dowiedzieć się, w jakich celach przetwarzane są dane osobowe graczy, to najlepsze prawo nie zabezpieczy nikogo przed ochoczym oddawaniem danych osobowych czy lokalizacyjnych.

Nie mogę się powstrzymać od pytania o zaakceptowaną w lipcu przez Komisję Europejską Privacy Shield. Co to za tarcza, skoro opiera się na samocertyfikacji? Przecież ten sam sposób przystąpienia do programu przewidywało poprzednie porozumienie, Safe Harbour. I była to jedna z podstaw uznania go za niezgodne z prawem Unii. Poza tym karą dla przedsiębiorcy nieprzestrzegającego zasad może być usunięcie z programu. Jednocześnie Stany Zjednoczone wykluczyły (sic!) możliwość masowej inwigilacji danych osobistych Europejczyków przesłanych do USA na mocy Privacy Shield. A gdyby jakiś maniak powziął podejrzenie, że jego dane mogą być wykorzystywane niezgodnie ze standardami tarczy, to co? Jego skargę może rozpatrzyć sama firma-winowajca. Nie wyklucza się też alternatywnego rozwiązywania sporów (poza sądami państwowymi, np. w drodze mediacji czy arbitrażu). Czy w tej sytuacji przeciętny europejski użytkownik internetu nie powinien uznać porozumienia za żart?

Priorytetem UE w rozwoju jednolitego rynku cyfrowego jest ochrona prywatności użytkowników sieci, ale jest to zarazem środek służący rozwojowi gospodarki cyfrowej UE. A to nie może zostać osiągnięte bez porozumienia z USA, które odmiennie podchodzą do ochrony danych osobowych. Nie wiadomo zresztą, który model jest lepszy.

Nie wiadomo?

Dla rozwoju gospodarki cyfrowej lepsza jest nieograniczona wolność decydowania o tym, komu i w jakim zakresie powierzamy nasze dane osobowe.

Ale czy wskutek porozumienia przedsiębiorcy z USA administracja Stanów Zjednoczonych nie ma być sędzią we własnej sprawie? Przecież przedstawiciele Facebooka po ujawnieniu PRISM utrzymywali, że praktyka ta została przez serwis zaniechana, a kiedy ją stosowano, nie naruszała prawa.

Żyjemy w fikcji, że jakieś przepisy, chociażby to były umowy międzynarodowe, zapewniają ochronę naszych danych osobowych. Po pierwsze, jeśli zależy nam na tym, sami musimy kontrolować w możliwym zakresie (bo przecież pewne informacje są publikowane poza nami) to, co jest udostępniane w sieci. Po drugie, dalszy rozwój gospodarki cyfrowej nie jest możliwy bez przetwarzania gigadanych. To nieunikniony proces. O ochronie danych osobowych więcej się zresztą mówi, niż faktycznie robi. Mało kto z nas zainwestuje 5 zł w usługę, która zapewnia anonimowość komunikacji, a chętnie korzystamy z wszelkich promocji, które są związane z udostępnieniem naszych danych. I nawet nie chce się nam nikogo skarżyć, kiedy dojdzie do naruszenia.

Więc bez Snowdena, WikiLeaks i Assange'a znowu ani rusz?

Oczywiście zrobili kawał dobrej roboty, gdy chodzi o uświadomienie wszystkim zagrożeń wynikających z bezprawnego przetwarzania danych osobowych. Są bohaterami naszych czasów. Nie możemy jednak zapominać, że także postępowanie sądowe wszczęte przez prawnika z Austrii – Maksymiliana Schremsa, który sprawdził, co o nim wie Facebook – spowodowało upadek aktu poprzedzającego tarczę, czyli systemu bezpieczniej przystani (Safe Harbour). Jeżeli więc tarcza nie zapewni wystarczającej ochrony prywatności, może z nią być podobnie. A dopóki ktoś nie powie „sprawdzam" w konkretnej sprawie, chociażby przez wyciek, to nie będziemy pewni, czy jest to tylko proteza ochrony danych osobowych.

Co w takim razie można zrobić, żeby stado owiec pasących się w sieci lepiej wiedziało, co czyni?