26/10/2015

Niesamowite przygody danych osobowych w Europejskim Trybunale Sprawiedliwości

Informacje

6 października br. Europejski Trybunał Sprawiedliwości orzekł, że porozumienie Safe Harbor, które pozwala amerykańskim firmom przechowywać i przenosić osobiste dane użytkowników europejskich na teren Stanów Zjednoczonych (jeżeli są one zabezpieczone na odpowiednim poziomie ochrony prywatności), jest nieważne. Tę decyzję można jednocześnie uznać za dobrą i złą wiadomość.

no-safe-harbor-FB

Dobre strony

Ludzie coraz bardziej świadomie dbają o swoją prywatność w Sieci i nareszcie zdają sobie sprawę z ogromnej wartości swoich danych osobowych. Co więcej, niektórzy z nich nawet zadeklarowali, że są gotowi zgłosić się do sądów najwyższych, aby dochodzić swoich praw w kwestii naruszenia ich prywatnych danych. W post-snowdenowskiej erze wcale to nie dziwi – służby wywiadowcze nieustannie naruszają prywatność ludzi, a teraz stało się to jeszcze bardziej oczywiste niż kiedykolwiek. Ogólnie rzecz ujmując, poziom ochrony może być opisany jako „ledwie wystarczający”.

Jednakże decyzja trybunału nie oznacza końca procesu – tak naprawdę jest to dopiero początek całego problemu. Władze Irlandii (sprawa trafiła do Irlandii ze względu na europejską centralę Facebooka, która mieści się w Dublinie) muszą przeanalizować skargę i zadecydować, czy „przekazywanie danych europejskich użytkowników Facebooka do Stanów Zjednoczonych powinno zostać zawieszone”, ponieważ „nie zapewnia odpowiedniego poziomu ochrony danych osobowych”.

W tym miejscu warto również podkreślić fakt, że orzeczenie Europejskiego Trybunału Sprawiedliwości jest ostatecznie i nie można się od niego odwoływać.

Lecz to nie był pierwszy krok Unii Europejskiej w kierunku ochrony danych. W lutym br. Federacja Rosyjska przyjęła ustawę, według której prywatne dane obywateli Rosji mają być przechowywane lokalnie, na terenie kraju (od 1 września 2015 roku). W przeciwieństwie do UE wprowadzenie tego dokumentu w życie nie wymagało orzeczenia sądu, ponieważ Rosja oraz Stany Zjednoczone nie były związane umową „Safe Harbor” ani inną o podobnym charakterze.

Jak to bywa w przypadku wprowadzania szybkich zmian w prawie (a tak było w tym przypadku), termin wprowadzenia nowych przepisów w życie został przesunięty na styczeń 2016, ponieważ większość firm, które działają w Rosji, nie była w stanie w tak krótkim czasie przenieść danych swoich użytkowników. Niektóre z nich (jak na przykład Facebook) zupełnie zignorowały nowe prawo – zwyczajnie wolą zapłacić karę (jej kwota jest umiarkowana), zamiast lokalnie budować kosztowne centra danych.

Problem leży jednak w innym miejscu – ludzie traktują dane jako coś poważnego. „Słuchaj, wygląda na to, że nasze samochody nie są tutaj zbyt bezpieczne, parkujmy je tylko na naszym podjeździe”. Ale dane są z natury ulotne – łatwo uzyskać do nich dostęp, łatwo jest je przenieść oraz łatwo wykonać ich kopię. Właściwie zaskakująco trudne jest posiadanie całkowitej kontroli nad geograficznym przepływem danych.

Wielkie firmy, takie jak Google, Facebook, Visa czy Mastercard, które posiadają dziesiątki centrów danych na całym świecie, zwykle nie dbają o to, gdzie akurat przechowują dane swoich użytkowników z konkretnego kraju. Jeżeli w internecie wszystkie informacje otrzymujesz w kilka milisekund, to jakie ma znaczenie, z jakiego kraju one pochodzą?

Złe strony

Odpowiednie posortowanie danych oraz ustalenie, jakie powinny być przechowane w poszczególnych centrach, zajmie trochę czasu. Złą nowiną jest tutaj to, że tym zagadnieniem próbują zajmować się osoby, które wciąż żyją przeszłością, oraz że zabierają się za to w staromodny sposób – tak, jak radzą sobie z rzeczami materialnymi. Co więcej, chcą stawiać wirtualne ściany w cyfrowym świecie, którego cechą charakterystyczną jest przecież brak sztywnych ram i spójność.

Jest to ślepy zaułek. Zanim każdy zda sobie z tego, firmy IT będą musiały poświęcić ogromne pieniądze i włożyć wiele wysiłku, aby spełnić wymagania tego rządu czy innego. Najpierw będą musieli poradzić sobie z Unią Europejską i Rosją, później kolejne rządy poczują w wodzie krew i prawdopodobnie zaostrzą sobie zęby na firmy IT.

Powróćmy jednak do analogii z samochodem. Adekwatne pytanie nie powinno dotyczyć miejsca, w którym jest zaparkowany, lecz jak zabezpieczone są zamki w drzwiach, czy można legalnie ukraść samochód lub co możesz zrobić złodziejowi. I chyba najważniejsze z nich: dlaczego, do diaska, wszyscy mają klucz do MOJEGO samochodu?