"Nikt nie może być narażony na bezprawną ingerencję w sferę jego prywatności, rodziny, domu lub korespondencji, ani na ataki na jego honor i reputację. Każdy ma prawo do ochrony prawnej przed takimi ingerencjami lub atakami.”
- artykuł 12 z Powszechnej Deklaracji Praw Człowieka Organizacji Narodów Zjednoczonych.
Mimo że Deklaracja Praw Człowieka z 1943 roku zawiera odniesienie do prywatności, dopiero niedawno położono większy nacisk na prywatność w Internecie. Dzisiejszy krajobraz cyfrowy wywarł presję na zdefiniowanie prywatności, której wcześniejsze pokolenia nie były w stanie przewidzieć. Definicja prywatności w świecie fizycznym różni się od tej w świecie cyfrowym. Przed rewolucją cyfrową uważano, że największe zagrożenie dla prywatności może pochodzić od rządów, które miały największe szanse na gromadzenie i przechowywanie dużej ilości danych o jednostkach. Za sprawą eksplozji usług cyfrowych i internetowych, z których każdy z nas korzysta na co dzień, firmy zarządzające tymi usługami gromadzą ogromne ilości danych na nasz temat.
Wcześniejsze regulacje, które dotyczyły głównie organizacji i instytucji rządowych, takich jak banki i firmy ubezpieczeniowe, okazały się niewystarczające dla nowego cyfrowego świata. Ta wyraźna potrzeba lepszych regulacji przyczyniła się do stworzenia takich regulacji jak RODO (GDPR) w Unii Europejskiej.
Mimo że w większości krajów świata stworzono lepsze regulacje, warto zdawać sobie sprawę, że w niektórych przypadkach są one zazwyczaj ignorowane. Na przykład Chiny wprowadziły przepisy dotyczące prywatności, które są często ignorowane przez same władze. Nawet jeśli prawa te są przestrzegane przez rządy, często zawierają wyjątki dla niektórych agencji ze względu na bezpieczeństwo narodowe.
Kraje UE zrobiły ogromny krok naprzód w kwestii ochrony prywatności swoich obywateli. Przyjrzyjmy się bliżej rozporządzeniu RODO i porównajmy je z jego odpowiednikiem w USA.
RODO (ang. GDPR)
Unijne rozporządzenie o ochronie prywatności RODO (General Data Protection Regulation - GDPR) ma na celu ochronę praw obywateli UE do prywatności. Głównym celem RODO jest zapewnienie ram dla firm, które przechowują lub kontrolują dane dotyczące dowolnego obywatela UE. Ostatecznie RODO zapewni obywatelom wzmocnienie prawa do prywatności poprzez określenie sposobu postępowania z prywatnymi danymi oraz zdefiniowanie kar za naruszenie tych przepisów.
RODO jest reakcją na wzrost liczby usług, które przechowują i przetwarzają dane online. Przepisy dotyczące prywatności były, i nadal są w większości krajów świata, fragmentaryczne. Dzięki RODO UE może się obecnie poszczycić najbardziej kompleksowymi i ochronnymi ramami regulacyjnymi w zakresie prywatności cyfrowej na świecie.
Prawa te obejmują wszystkich obywateli UE, nawet jeśli usługa, z której korzystają, nie jest zlokalizowana w UE, o ile oferuje ona jakiekolwiek usługi na terenie UE lub dla obywateli UE.
RODO określa 8 praw dla użytkowników. Są to:
Prawo do informacji: Jednostka ma prawo wiedzieć, jakiego rodzaju dane są przechowywane i w jaki sposób są one wykorzystywane.
Prawo dostępu: Masz prawo wglądu w informacje, które usługa przechowuje na Twój temat.
Prawo do sprostowania: Masz prawo do poprawienia danych, które są przechowywane przez usługę na Twój temat.
Prawo do usunięcia danych: Masz prawo zażądać, aby usługa usunęła dane, które przechowuje na Twój temat.
Prawo do ograniczenia przetwarzania: Masz prawo zażądać zaprzestania przetwarzania Twoich danych w określonych przypadkach.
Prawo do przenoszenia danych: Prawo do otrzymania danych osobowych przechowywanych przez usługę do celów osobistych lub do przesłania ich do innej usługi.
Prawo do sprzeciwu: Masz prawo do sprzeciwu wobec przetwarzania Twoich danych, na przykład masz prawo do sprzeciwu wobec śledzenia plików cookie.
Prawo do unikania zautomatyzowanego podejmowania decyzji: Masz prawo do niepodlegania zautomatyzowanemu przetwarzaniu lub profilowaniu.
Od wszystkich tych praw istnieją wyjątki i inne zastrzeżenia, ale zasadniczo zapewniają one możliwość decydowania, czy usługa może przechowywać dane na Twój temat, a jeśli jest to dozwolone, masz kontrolę nad tym, w jaki sposób są one wykorzystywane i możesz zażądać usunięcia danych.
RODO definiuje dane w dwóch kategoriach, " dane umożliwiające identyfikację osoby" i "wrażliwe dane osobowe". Jak omówiliśmy w poprzednim rozdziale, dane umożliwiające identyfikację osoby to dane, które można powiązać z osobą użytkownika, takie jak adresy. Wrażliwe dane osobowe to dane, które mogą ujawnić informacje biometryczne, genetyczne, zdrowotne, seksualne, religijne, filozoficzne, polityczne, rasowe lub etniczne. Jeśli usługa przechowuje i wykorzystuje wrażliwe dane osobowe, podlega bardziej rygorystycznym środkom w zakresie zgody i ochrony danych przed nieuprawnionym wykorzystaniem.
RODO wzbudziło wiele kontrowersji i wywierana jest duża presja na wprowadzanie poprawek do przepisów, ale zasadnicza treść przepisów prawdopodobnie nie ulegnie większym zmianom. Kary za naruszenia RODO również wywołały wiele dyskusji. Kary mogą sięgać nawet 20 milionów euro lub 4% rocznych globalnych przychodów firmy, w zależności od tego, która z tych kwot jest wyższa.
Prawa do prywatności w USA
W Stanach Zjednoczonych nie ma ujednoliconych przepisów, takich jak RODO w UE, choć może się to zmienić w przyszłości. Zamiast tego Stany Zjednoczone posiadają szereg różnych regulacji na poziomie federalnym i stanowym. Regulacje takie jak RODO nie są wykluczone również w USA, chociaż organizacje takie jak Privacy for America, grupa lobbingowa zrzeszająca organizacje branżowe w USA, pracują nad zapewnieniem, że potrzeby tych firm zostaną zaspokojone. Niektórzy wzywają do utworzenia Agencji Ochrony Danych, której zadaniem byłoby egzekwowanie amerykańskich przepisów dotyczących prywatności. Różnice te nie oznaczają, że w USA nie obowiązują przepisy dotyczące prywatności - one obowiązują. Większość problemów w USA wiąże się z wielością regulacji i praw, ponieważ niektóre z nich obowiązują na poziomie federalnym, a inne na stanowym.
Prawdopodobnie największą przeszkodą dla ustawodawstwa podobnego do RODO w USA jest różnica między tym krajem a UE. Stany Zjednoczone kładą nacisk na prawa stanowe, a regulacje federalne są postrzegane jako naruszające prawa stanów do samodzielnego rządzenia. Ostatecznie jakiś rodzaj rozwiązania zostanie najprawdopodobniej znaleziony również w USA, ale efekt tego może wyglądać zupełnie inaczej niż w UE.
Niektóre stany przyjęły znacznie bardziej rygorystyczne nastawienie w kwestii prywatności swoich obywateli niż poziom federalny. Na przykład CCPA (California Consumer Privacy Act) obejmuje zasadniczo te same prawa, co RODO. CCPA obejmuje również wszystkich Kalifornijczyków na całym świecie, a jest to naprawdę ważne, ponieważ Kalifornia jest piątą co do wielkości gospodarką na świecie.
Ramy Tarczy Prywatności UE-USA
UE i USA porozumiały się w celu ułatwienia przekazywania danych między stronami przy jednoczesnej ochronie prywatności w sposób, który jest do przyjęcia dla obu stron. Firmy amerykańskie, które chcą przekazywać dane między USA a UE, muszą dokonać certyfikacji w ramach Tarczy Prywatności.
Tarcza Prywatności nie jest przepisem, lecz umową. Oznacza to, że naruszenia RODO przez amerykańskie firmy nie mogą być egzekwowane, chyba że firmy te naruszają nakazy FTC w USA. Tarcza Prywatności nie obejmuje również wszystkich praw prywatności zawartych w RODO. Warto zauważyć, że poprzednik Tarczy Prywatności, Safe Harbour Privacy Principles, został uznany za nieważny przez sądy w UE i Tarczę Prywatności może kiedyś spotkać ten sam los.
