Przeczytaj
Dane osobowe oraz dane wrażliwe w dobie cyfryzacji
Wyobraź sobie sytuację, w której poznajesz przypadkową osobę. Po krótkiej rozmowie jesteś może w stanie znać jej imię, pamiętać ton głosu, a także ogólnie opisać jej wygląd. Ale czy te informacje wystarczą, by potem na ich podstawie odszukać tę osobę? Jeśli było to zupełnie losowe spotkanie (a nie na przykład zorganizowana impreza u wspólnych znajomych) – zapewne nie.
Aby mieć jakiekolwiek szanse na odszukanie jakiejś osoby (choćby za pośrednictwem serwisu społecznościowego), potrzebne są dokładniejsze informacje, które w ten czy inny sposób określają jej tożsamość wśród tysięcy innych.
Dane osobowe
Dane osoboweDane osobowe to wszelkie informacje, przy pomocy których możliwe jest zidentyfikowanie osoby fizycznej. Należą do nich m.in.:
imię i nazwisko,
adres zamieszkania,
numer dowodu tożsamości/paszportu,
numer PESEL,
identyfikator internetowy (adres IP),
szczególne czynniki określające społeczną tożsamość osoby fizycznej (aspekty fizyczne, fizjologiczne, genetyczne czy też kulturowe).
Są to więc wszystkie informacje, które – jeśli wejdziemy w posiadanie choćby jednej z nich (np. numeru PESEL) – umożliwią nam zidentyfikowanie osoby fizycznej, a także zdobycie pozostałych danych osobowych.
Dane wrażliwe
Szczególnym typem danych osobowych są dane wrażliwedane wrażliwe, gdyż obejmują one wszystkie informacje dotyczące obszaru prywatności osoby fizycznej. Są to m.in.:
pochodzenie rasowe lub etniczne,
poglądy polityczne oraz przekonania religijne,
informacje na temat przynależności do związków zawodowych,
dane dotyczące orientacji seksualnej,
dane genetyczne oraz informacje o przebytych chorobach i stanie zdrowia,
dane biometryczne (odciski palców, wzór podpisu, cechy siatkówki oka).
Bezpodstawne przetwarzanie danych wrażliwych może być szczególnie niebezpieczne w stosunku do osób publicznych (np. funkcjonariuszy państwowych, polityków, artystów), gdyż wyciek takich informacji może zaważyć na ich wizerunku.
Dane wrażliwe mogą być również przyczyną dyskryminacji, szykanowania lub mobbingu wobec pracowników (np. kiedy pracodawca obniża pensję lub w ogóle nie przyjmuje do pracy osób o innym pochodzeniu rasowym lub etnicznym).
RODO i jego znaczenie dla ochrony danych osobowych
W roku 2016 Parlament Europejski wprowadził w życie rozporządzenie (zwane w skrócie RODORODO), na mocy którego wszystkie firmy i instytucje działające na terenie Unii Europejskiej zobowiązane są do szczególnej ochrony danych osobowych swoich pracowników oraz klientów.
Oprócz konieczności zadbania o bezpieczeństwo tych danych na polu technicznym, czyli wprowadzenie odpowiednich zabezpieczeń cyfrowych oraz dokumentacji zgromadzonych informacji, firmy zobligowane są m.in. do uzyskiwania pisemnej zgody na przetwarzanie danych osobowych.
Sam termin przetwarzanie danych osobowych odnosi się w tym ujęciu do wszelkich czynności związanych z ich użyciem, tj. zapisywaniem, kopiowaniem, przesyłaniem, a także samym przechowywaniem tych danych w formie cyfrowej.
W klauzuli RODO powinna się również znajdować informacja dotycząca celu przetwarzania naszych danych oraz określenie, przez jaki okres będą się one znajdowały w rękach firmy. W przypadku niezastosowania się do tych wymogów spółki zobligowane są do płacenia wysokich kar grzywny, które – w zależności od skali naruszeń – mogą osiągnąć kwotę nawet 20 mln euro.
Prawo do bycia zapomnianym
Zgodnie z rozporządzeniem RODO, przysługuje nam pełne prawo do całkowitego wykasowania naszych danych osobowych z baz instytucji lub spółek, którym je w przeszłości przekazaliśmy (zwane prawem do bycia zapomnianym
). Przedsiębiorcy lub administratorzy zobowiązani są również do przedstawienia zaświadczenia potwierdzającego usunięcie naszych danych, a jeśli udostępnili je też innym podmiotom, są jednocześnie zobligowani do usunięcia danych również z tych miejsc.
Zagrożenia związane z gromadzeniem danych osobowych
Sprzedaż danych
Chyba każdy z nas zastanawiał się czasem, jak to możliwe, że dzwonią do nas telemarketerzy lub przedstawiciele firm, oferując różnego rodzaju pożyczki, kredyty, ubezpieczenia czy też zaproszenia na prezentację garnków. W naszej głowie pojawia się pytanie: „Skąd oni w ogóle mają mój numer?” – zwłaszcza, że nigdy wcześniej z tego typu firmą nie mieliśmy do czynienia albo nawet nie wiedzieliśmy o jej istnieniu.
Najprawdopodobniej doszło w tym wypadku do sprzedaży danych osobowych firmom marketingowym. A co gorsze – możliwe, że doszło do tego za naszą zgodą.
Obecnie bardzo częstym zjawiskiem są konkursy internetowe, które oferują nagrody lub bonusy w zamian za zapisanie się na newsletter oraz podanie kilku informacji: imienia, nazwiska, adresu e‑mail oraz numeru telefonu. W tym wypadku, aby wziąć udział w losowaniu, konieczne jest również wyrażenie zgody na przetwarzanie naszych danych w celach marketingowych, co oznacza, że zgadzamy się na sprzedaż naszych danych innym podmiotom.
Ile jesteśmy warci?
Same informacje dotyczące naszego imienia, nazwiska oraz numeru telefonu są zazwyczaj dosyć tanie. Ceny wahają się bowiem od 10 gr do 1 zł za osobę. Dużo większym popytem cieszą się natomiast dane sprecyzowane, czyli informacje mogące przynieść realny zysk firmie, która je skupuje.
Tak wyselekcjonowane kontakty do osób, które wcześniej w jakiś sposób wyraziły zainteresowanie specyficzną usługą lub produktem, potrafią kosztować nawet 100 zł za osobę! Tego typu informacje pozwalają bowiem zaoszczędzić czas potrzebny na szukanie klientów oraz umożliwiają przedstawienie szczegółowej oferty już podczas pierwszej rozmowy telefonicznej.
Należy jednak wyraźnie podkreślić, że handel danymi osobowymi jest niezgodny z prawem, a za nielegalny obrót tego typu informacjami może grozić kara nawet 2 lat pozbawienia wolności.
Kradzież tożsamości
O ile sprzedaż danych do celów czysto marketingowych możemy jeszcze uznać za wykroczenie, o tyle sprzedaż tożsamości nosi już znamiona poważnego przestępstwa.
W przypadku kradzieży naszej tożsamości osoba trzecia posiada bowiem nie tylko informacje na temat imienia, nazwiska, telefonu czy też adresu, ale zna również np. numery naszej karty kredytowej lub dowodu tożsamości. Wykorzystując takie dane, oszuści mogą podszywać się pod naszą tożsamość m.in. w celu:
podrobienia dowodu osobistego lub paszportu,
zaciągnięcia kredytu lub pożyczki,
zapłacenia za kosztowny lub – co gorsze – nielegalny towar za pomocą naszej karty kredytowej.
Głównymi przyczynami trafienia naszej tożsamości w niepowołane ręce są zainstalowane na komputerze oprogramowania szpiegowskie (np. Spyware) lub inne programy śledzące (np. Keylogger), które zapisują informacje dotyczące loginów i haseł.
Niestety, zdarza się również, że to my sami przekazujemy nasze dane oszustom. W internecie roi się bowiem od stron, które oferują np. pewną ilość kryptowaluty za założenie konta w serwisie, gdzie weryfikacja następuje dopiero po potwierdzeniu tożsamości, tj. wysłaniu skanu dowodu osobistego oraz swojego zdjęcia – a te dane pozwalają na zaciągnięcie pożyczki internetowej.
Jeżeli kiedykolwiek zdarzyło ci się otrzymać dosyć podejrzany e‑mail, z którego jasno wynikało, że właśnie wygrałeś główną nagrodę w loterii lub że stałeś się szczęśliwym właścicielem ogromnego spadku – bardzo prawdopodobne, że ktoś próbował oszukać cię za pomocą tzw. phishingu.
Phishing to prosta metoda bazująca na najsłabszym ogniwie zabezpieczeń komputerowych – czyli ludzkich błędach. Oszuści próbują wykraść nasze dane, podszywając się pod popularne instytucje lub oferując nagrody, które można odebrać po kliknięciu w specjalny link. Ten przekierowuje nas na zupełnie inne strony, które wyglądem łudząco przypominają dobrze nam znane witryny, takie jak Dotpay czy Paypal. Zostajemy tam poproszeni o zalogowanie się do bankowości elektronicznej. W ten sposób oszuści w łatwy sposób zdobywają hasło do konta, podczas gdy my nie zdajemy sobie sprawy, że w ogóle je wykradziono.
Inwigilacja
O tym, że wielkie korporacje, takie jak Facebook lub Google, zbierają dane na nasz temat, wiadomo nie od dziś. W końcu sami przecież im te informacje podajemy oraz akceptujemy zgodę na ich przetwarzanie przy okazji rejestracji w serwisach społecznościowych. W czym więc problem?
Głównym zarzutem wobec największych serwisów internetowych jest ich polityka reklamowa. Za tym niegroźnie brzmiącym hasłem, które w założeniu miało jedynie ułatwić dobieranie spersonalizowanych reklam dla użytkowników, kryje się współczesne ujęcie masowej cybernetycznej inwigilacji, czyli przede wszystkim profilowanieprofilowanie na podstawie zdobytych danych.
Rzecz w tym, że wśród danych użytkowników, gromadzonych przez takie platformy, jak Facebook czy Google, znajdziemy również dane wrażliwe, m.in. informacje o aktualnej lokalizacji, pochodzeniu etnicznym, dochodach, poglądach politycznych, działalności charytatywnej czy o przeglądanych stronach internetowych.
Są to więc informacje daleko wykraczające poza główne założenia tychże serwisów, zaś przy użyciu tych danych możliwe jest nawet manipulowanie opinią publiczną w celach politycznych lub ekonomicznych, czego jaskrawym przykładem może być choćby wynik wyborów prezydenckich w USA z roku 2016.
Podczas wyborów prezydenckich w USA w roku 2016 kandydat partii republikańskiej Donald Trump odniósł nieoczekiwane zwycięstwo nad Hillary Clinton, co wywołało niemałe poruszenie wśród analityków, którzy tuż przed wyborami byli pewni co do wygranej kandydatki demokratów.
Jak się później okazało, firma Cambridge Analytica, odpowiedzialna za kampanię prezydencką Trumpa, miała mieć wgląd do bazy blisko 50 mln Amerykanów korzystających z serwisu Facebook. Oznacza to, że mogła manipulować opiniami i wpływać na niezdecydowanych wyborców, wyświetlając treści o charakterze politycznym, które ostatecznie przeważyły szalę głosów na rzecz kandydata republikanów.
Właściciel Facebooka Mark Zuckerberg musiał stawić się przed Kongresem USA w celu złożenia wyjaśnień w związku z wyciekiem danych użytkowników. Pomimo jego zaprzeczeń co do jakichkolwiek powiązań z firmą Cambridge Analytica, ujawniona w późniejszym pozwie korespondencja kierownictwa Facebooka jasno wskazuje, iż spółka wiedziała o problemach z zabezpieczeniem danych już w 2015 roku, w tym o korzystaniu z nich przez firmę Cambridge Analytica.
Słownik
wszelkie informacje, na podstawie których możliwe jest zidentyfikowanie osoby fizycznej
szczególny typ danych osobowych, dotyczący zwłaszcza sfery prywatnej konkretnej osoby
dostosowanie wyświetlanych treści w serwisach do preferencji użytkowników; profilowanie tworzone jest na podstawie wcześniejszych wyborów użytkowników; to też tworzenie grup użytkowników na podstawie cech wywnioskowanych na bazie tego, co przeglądane jest przez dane osoby
Ogólne Rozporządzenie o Ochronie Danych Osobowych – rozporządzenie unijne zawierające przepisy oraz regulacje w kwestii przetwarzania danych osobowych