Jak już zostało nadmienione, Internet stanowi główne źródło pozyskiwania i przetwarzania informacji. W ten sposób powstają ogromne zbiory danych, które mogą być analizowane w różny sposób, w zależności od potrzeb. Wbrew powszechnej opinii Big Data nie jest anonimową informacją niemają-cą większego znaczenia. Z punktu widzenia ochrony danych osobowych to cenne informacje mające często status danych osobowych, w tym niejedno-krotnie danych wrażliwych. Nie ulega wątpliwości, że w dobie postępującego rozwoju technologicznego wykorzystywanie Big Data może przynosić liczne korzyści oraz dawać szansę na rozwój w wielu obszarach społecznych, gospo-darczych i politycznych, niemniej jednak stanowi również poważne zagroże-nie dla prywatności osób fizycznych. Uświadamia to chociażby prosta analiza naszego najbliższego otoczenia, na podstawie której można stwierdzić, że w ostatnich latach powstało wiele rozwiązań ułatwiających lub skracających
naszą pracę [Kryśkiewicz 2017]. Powstałe rozwiązania budzą jednak wątpliwo-ści z prawnego punktu widzenia, bowiem bardzo często w znaczący sposób ingerują w prywatność osoby fizycznej. Zdarza się też, że z prawa do prywat-ności rezygnujemy samodzielnie (umieszczając informacje na nasz temat). Dużo większym zagrożeniem są jednak sytuacje, kiedy jesteśmy nieświa-domi, że z prywatności zostaliśmy „okradzeni”. Dostrzegając ten problem, ustawodawca unijny w rozporządzeniu ogólnym kładzie większy nacisk na to, by osoba, której dane dotyczą, miała większą wiedzę i świadomość, co dzieje się z jej danymi osobowymi. Bardzo często okazuje się, że dane zbierane są nadmiarowo bądź też przechowywane znacznie dłużej, niż jest to wymagane. Tymczasem, zgodnie z zasadą celowości, administrator danych powinien przetwarzać tylko te dane osobowe, które są mu potrzebne do realizacji celu, dla którego zostały zebrane. Informacje o osobie nie powinny stanowić towa-ru wymiennego. Administrator danych nie może nimi swobodnie dyspono-wać i przetwarzać ich w dowolny sposób. Administratorzy danych muszą mieć świadomość, że są odpowiedzialni za cały proces przetwarzania danych, od momentu ich zgromadzenia aż po usunięcie. Jakakolwiek ingerencja w dane osobowe, na przykład poprzez ich zmianę, powinna być odnotowywana, a osoba, której dane dotyczą, powinna zostać o tym fakcie poinformowana. Także udostępnianie bądź powierzanie danych osobowych powinno odby-wać się wyłącznie na podstawie umowy, która stanowi podstawę prawną do przekazania danych. Fakt zawarcia pomiędzy podmiotami takiej umowy po-winien zostać odnotowany we właściwym rejestrze. W sytuacjach, gdy wyma-ga tego przepis prawa, należy spełnić wobec osoby, której dane dotyczą, obowiązek informacyjny. Nałożenie na administratorów danych kar finanso-wych w przypadku nieprzestrzegania tych podstawofinanso-wych zasad ma zmobili-zować wszystkich administratorów danych, którzy dotychczas ich nie prze-strzegali. Chociaż przepisy prawa zobowiązują administratorów danych do realizowania tego obowiązku od dawna, brak kar finansowych za jego nie-przestrzeganie determinuje niską skuteczność realizacji tego obowiązku. Wej-ście w życie rozporządzenia ogólnego wymusi na administratorach danych stosowanie środków technicznych i organizacyjnych adekwatnych do możli-wego wystąpienia zagrożenia. Dziś wielu administratorów stosuje przypad-kowe, nieprzemyślane rozwiązania, które dają jedynie złudne poczucie bez-pieczeństwa. Rozporządzenie ogólne wymaga, by administrator danych za-planował i wdrożył cały proces przetwarzania, tak by stanowiły spójną całość.
Bezpieczeństwo danych osobowych w cyberprzestrzeni – Big Data
55 Możliwości wykorzystywania Big Data są dziś ogromne i dotyczą w coraz szerszym zakresie analiz naszego zachowania. Coraz powszechniejsze jest analizowanie sieci społecznościowych, przetwarzanie strumieni danych, wizu-alizacja danych.
Nie ulega wątpliwości, że wielu z nas nie zdaje sobie w ogóle sprawy ze skali tego zjawiska. Wciąż bardziej obawiamy się tradycyjnych zagrożeń, a nie tych występujących w wirtualnym świecie, choć skala szkód tych drugich mo-że być znacznie większa i poważniejsza. Na podstawie Big Data możliwe jest stworzenie algorytmów badających nasze zachowanie w Internecie, a następ-nie na tej podstawie przedstawiane są nam dedykowane produkty bądź usłu-gi. Nie ulega wątpliwości, że poza prawem do prywatności kolejny istotny problem dotyczy legalnego przetwarzania danych znajdujących się w zaso-bach Big Data. W praktyce okazuje się bowiem, że zgoda wyrażona przez oso-bę, której dane dotyczą, w określonym celu, jest dowolnie przetwarzana. Na tym tle bardzo szybko zaczęła się wykształcać praktyka „handlowania” danymi osobowymi i traktowanie ich jako łatwo dostępnego towaru.
Jak zostało zauważone, funkcjonowanie i wykorzystywanie Big Data niesie za sobą poważne ryzyko dla prywatności osób, których dane dotyczą. Przede wszystkim z uwagi na niezwykle łatwą i szybką utratę kontroli nad danymi osobowymi. Ze zjawiskiem tym mamy do czynienia wówczas, gdy nie wiemy, czy i komu dane zostają udostępniane bądź powierzane. Jak wynika z ostat-nich badań przeprowadzonych na Uniwersytecie w Cambridge, na podstawie informacji zgromadzonych na Facebooku możliwe jest wskazanie orientacji seksualnej większości użytkowników, chociaż ta, uznana za daną wrażliwą, nigdzie nie jest ujawniana. Rozważając temat prawa do prywatności, nie spo-sób pominąć roli i znaczenia danych wrażliwych, które objęte są szczególnymi standardami ochrony. Zarówno na gruncie prawa krajowego, jak i międzyna-rodowego istnieje ogólny zakaz przetwarzania tego rodzaju danych poza wy-liczonymi warunkami przewidzianymi w art. 9–10 RODO. Wśród nich wymie-niana jest chociażby zgoda osoby, której dane dotyczą, która w wielu przy-padkach bez wiedzy osoby, której dane dotyczą, stawała się podstawą do przetwarzania jej danych.
Przez wiele lat profilowanie było narzędziem pozwalającym na „bezkarne” pozyskiwanie i przetwarzanie danych osobowych. Stwarzało tym samym szansę szerokiego rozwoju Big Data. Wejście w życie rozporządzenia ogólne-go umieści to zagadnienie w ramach prawnych. Przede wszystkim
wprowa-dzono możliwość złożenia sprzeciwu wobec czynności profilowania jej da-nych [art. 20 ust. 1 RODO].
Poza naruszeniem prawa do prywatności Big Data może także prowadzić w skrajnych przypadkach do dyskryminacji. Warto zwrócić uwagę, że tego typu zbiory tworzą pewne wyobrażenie o nas na podstawie zgromadzonych danych, które jednak nie zawsze będzie odzwierciedleniem rzeczywistości. Wpływ Internetu na bezpieczeństwo danych osobowych
Rozpowszechnienie Internetu doprowadziło do wzmożonej aktywności człowieka w cyberprzestrzeni. Szczególnie widoczne stało się to w momencie powstania portali społecznościowych czy szeroko rozumianych e-usług. Za ich pośrednictwem stało się możliwe szybkie i tanie komunikowanie się z nie-ograniczoną liczbą osób bez potrzeby wychodzenia z domu. Cyberprzestrzeń zachęca nie tylko do podejmowania nowych inicjatyw w cyberprzestrzeni, które poza licznymi udogodnieniami stanowią także źródło nowych, niezna-nych dotąd zagrożeń. W dobie rozwoju społeczeństwa informacyjnego to właśnie informacja o jednostce stanowi cenne dobro, za które liczne podmio-ty są gotowe zapłacić wysoką cenę. Chętne dzielenie się informacjami na nasz temat w Internecie doprowadziło do powstania nowych, nieznanych dotąd zagrożeń w obszarze bezpieczeństwa danych osobowych. W dobie rozwoju społeczeństwa informacyjnego utarł się pogląd, że nie ma informacji nieważ-nych, każda z nich jest ważna w zależności od tego, w jakim celu jej użyjemy. Pozornie mało istotna informacja zamieszczona na portalu społecznościo-wym, chociażby o tym, że wybieramy się na urlop, może być cenną informacją dla złodziei.
Jak zostało już wielokrotnie podkreślone, zamieszczane przez nas informa-cje stanowią cenne źródło informacji, które są zbierane i w zależności od po-trzeb wykorzystywane przez różne podmioty. Dotyczy to już nie tylko infor-macji, które sami zamieszczamy, ale także tych, które zbierane są na podsta-wie naszej aktywności w cyberprzestrzeni, w tym naszych preferencji, odpodsta-wie- odwie-dzanych sklepów, oglądanych lub wybieranych towarów lub usług. Obser-wowany przez nas rozwój technologiczny pozwala na zbieranie coraz bardziej szczegółowych informacji o naszej aktywności w cyberprzestrzeni. Te zaś, wykorzystywane w odpowiedni sposób, stanowią kartę przetargową dla firm oferujących nam swoje towary bądź usługi. Nie ulega wątpliwości, że stopień naszej aktywności w cyberprzestrzeni ma także wpływ na nasze bezpieczeń-stwo. Im jesteśmy bardziej aktywni, tym bardziej jesteśmy narażeni na naru-szenie przysługujących nam praw. Bezpieczeństwo w cyberprzestrzeni jest
Bezpieczeństwo danych osobowych w cyberprzestrzeni – Big Data
57 stosunkowo nowym obszarem aktywności państw. Wymaga od nich niewąt-pliwie większej elastyczności niż w przypadku pozostałych obszarów, na któ-rych sprawują jurysdykcję, a także zaangażowania nowych, skutecznych me-tod walki z zagrożeniami. Nie ulega wątpliwości, że cyberprzestrzeń jest miej-scem specyficznym, wymagającym ciągłego monitorowania. Z dotychczaso-wych obserwacji wynika, że w cyberprzestrzeni każdego dnia powstają nowe, nieznane dotąd zagrożenia. To przestrzeń specyficzna, także z tego względu, że niejednokrotnie zdefiniowanie źródła zagrożenia oraz sprawcy bywa bar-dzo trudne. Barbar-dzo często nie jesteśmy też w stanie przewidzieć źródła naru-szenia. Zapewnienie bezpieczeństwa w cyberprzestrzeni jest niezwykle złożo-nym zagadnieniem, czego najlepszym przykładem jest chociażby trudność w precyzyjnym określeniu, czym jest cyberprzestrzeń2. Na gruncie prawa międzynarodowego funkcjonuje wiele definicji cyberprzestrzeni. Niezależenie od przyjętej definicji zauważyć należy, że charakteryzuje ją :
ponadnarodowy charakter, brak ograniczeń czasowych, większa anonimowość sprawcy,
niski koszt użytkowania, pozwalający na nieograniczony dostęp do sieci. Powyższe cechy decydują o atrakcyjności tego obszaru. Cyberterroryzm, phishing, pharming, kradzież tożsamości to tylko niektóre z możliwych zagro-żeń. Nie ulega wątpliwości, że przestrzeń ta stała się atrakcyjna dla wielu prze-stępców, którzy coraz częściej dysponują narzędziami pozwalającymi wyrzą-dzić poważne szkody nie tylko pojedynczym osobom, ale także państwom. Dodatkowym atutem zachęcającym przestępców do aktywności w cyberprze-strzeni jest brak przepisów prawnych kompleksowo regulujących funkcjono-wanie w cyberprzestrzeni oraz ściganie przestępstw w tym obszarze. Przykła-dem jest chociażby cyberatak przeprowadzony na Estonię w 2007 r., który spowodował paraliż państwa na kilka dni. Jest to najlepszy przykład, obrazu-jący, jak poważne mogą być konsekwencje funkcjonowania w cyberprze-strzeni i jak ważne jest stworzenie mechanizmów, nie tylko ostrzegających o planowanym ataku, ale także procedur reagowania w przypadku jego wy-stąpienia.
Społeczność międzynarodowa zdaje sobie sprawę z trudności związanych z funkcjonowaniem w cyberprzestrzeni. Niemniej jednak sprzeczne interesy
2 Definicje takie zostały opracowane m.in. przez Departament Obrony USA, francuską Agencję Bezpieczeństwa Sieci oraz Informacji (ANSSI) czy w Polityce Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej z 2013 r.
poszczególnych państw oraz występujące dysproporcje w rozwoju technolo-gicznym przesądzają o tym, że trudno jest wypracować wspólne stanowisko dotyczące bezpieczeństwa w tym obszarze. Należy mieć przy tym świado-mość, że dążenie do zapewnienia bezpieczeństwa w cyberprzestrzeni jest możliwe wyłącznie poprzez wspólny wysiłek całej społeczności międzynaro-dowej. Samodzielne inicjatywy podejmowane przez poszczególne państwa z całą pewnością są niewystarczające i bardzo często mają charakter krótkofa-lowy. Aktywność państw powinna w większym zakresie skupić się na prostych, niedrogich rozwiązaniach, jak na przykład na podnoszeniu świadomości oby-wateli. Uświadamianie, czym jest cyberprzestrzeń, jakie zagrożenia związane są z funkcjonowaniem w tym obszarze, stanowi istotny krok w budowaniu bezpieczeństwa. Coraz częściej pojawiają się głosy wzywające państwa do podjęcia szerszej współpracy na rzecz cyberbezpieczeństwa. Chociaż widocz-na jest większa aktywność podmiotów prawa międzywidocz-narodowego w tym ob-szarze (głównie UE, RE), to jednak działania te wydają się daleko niezadowala-jące. Przede wszystkim dlatego, że wypracowywane przez nie dokumenty charakteryzują się dużą ogólnością i nie wskazują konkretnych rozwiązań prawnych i instytucjonalnych3.
Cyberprzestępczość dotyka w większym lub mniejszym stopniu wszystkie państwa, w tym również Polskę. Obecnie obowiązujące rozwiązania prawne gwarantujące bezpieczeństwo w cyberprzestrzeni to jednak kropla w morzu potrzeb. Pierwsze przepisy odnoszące się do cyberbezpieczeństwa w Polsce zostały zawarte w Kodeksie karnym i dotyczyły penalizacji przestępstw komputerowych [Kodeks karny, art. 130]4. Liczne inicjatywy podejmowane w tym obszarze doprowadziły również do powstania Rządowego programu obrony cyberprzestrzeni na lata 2009–2011 oraz 2011–2016 czy Polityki Ochrony
Cyberprzestrzeni Rzeczypospolitej Polskiej. W dokumentach skupiono się przede wszystkim na określeniu, czym jest cyberprzestrzeń, wskazaniu głównych źródeł zagrożeń w tym obszarze oraz zapewnieniu dążenia do zwiększenia bezpieczeństwa.
3
W szczególności mowa o Konwencji o Cyberprzestępczości Rady Europy z 2001 r., Europejskiej Strategii Bezpieczeństwa z 2003 r.
Bezpieczeństwo danych osobowych w cyberprzestrzeni – Big Data
59
Bibliografia
Braciszewicz M. (2018), Big Data w 2018 r. – kierunki rozwoju 2018 r., Business Intelligence [online], www.astrafox.pl, dostęp: 24.3.2018 .
Cytowski J (2011), Sieci Peer-to-Peer- problem bezpieczeństwa [w:] G. Szpor, Ochrona wolności, własności i bezpieczeństwa.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz. U. L 28.
Fischer B., Sakowska-Baryła M. (2017), Realizacja praw osób, których dane dotyczą, na podstawie Rodo.
Grzelczak M., Lieder K. (2012), Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski – zarys problemu, „Bezpieczeństwo Narodowe”, nr 22.
Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem da-nych osobowych, sporządzona w Strasburgu 28 stycznia 1981 r. [online], www.ispa.sejm.gov.pl. Kosinski M., Stillwell D., Graepel T. (2013), Private traits and attributes are predictable from digital
records of human behawior, PNAS Earl Edition [online], www.pnas.org/content/ early/2013/03/06/1218772110, dostęp: 21.3.2018.
Kryśkiewicz Ł. (2017), Big Data w biznesie – nowe możliwości analizy danych o kliencie [online], www.di.com.pl., dostęp: 5.2.2018.
Ochrona Danych Osobowych w dobie Big Data, raport z konferencji 28.1.2016 r. [online], www.cyberlaw.pl., dostęp: 5.01.2018 r.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – RODO.
PRZEDSIĘBIORCZOŚĆ I ZARZĄDZANIE 2018 Wydawnictwo SAN ISSN 2543-8190 Tom XIX Zeszyt 2 Część 3 ss. 61–74
Mirosław Banasik1
Uniwersytet Jana Kochanowskiego w Kielcach