O sukcesie Internetu przesądziło kilka czynników, w tym min.: powszechny dostęp niezależnie od miejsca, w którym się znajdujemy, niewielkie koszty użytkowania, poczucie anonimowości, brak ograniczeń czasowych i teryto-rialnych. Chociaż początki rozwoju Internetu sięgają lat 60., to jednak rozwój usługi przypada na lata 90. XX w [Grzelak, Lieder 2012, s. 126]. Wirtualny świat oferuje użytkownikowi wiele atrakcyjnych usług, pozwalających mu na ko-munikowanie się ze światem niezależnie od miejsca, w którym się znajduje. Za sprawą Internetu możliwe stało się robienie zakupów bez wychodzenia z do-mu, rozmawianie na czacie ze znajomymi znajdującymi się na drugiej półkuli, wymiana poglądów za pośrednictwem forów czy blogów. Komunikacja w wir-tualnym świecie jest tak atrakcyjna, że nie tylko duża część naszej aktywności zawodowej, ale także prywatnej została do niej przeniesiona.
Wbrew powszechnej opinii Internet nie zapewnia nam prywatności. Każda wizyta w wirtualnym świecie jest rejestrowana. Przez długi czas istniało prze-konanie, że skoro „jesteśmy niewidoczni gołym okiem”, trudno jest nas ziden-tyfikować. Nic bardziej mylnego. Każdego dnia, w sposób bezpośredni lub pośredni, pozostawiamy w Sieci wiele informacji stanowiących dane osobo-we. Daną osobową jest nie tylko imię i nazwisko, ale także każda inna infor-macja pozwalająca w sposób bezpośredni lub pośredni nas zidentyfikować. Tak więc, danymi osobowymi w określonych sytuacjach będę także adres IP, e-mail czy też nasz numer telefonu. Pozostawiane przez nas w Sieci pojedyn-cze, w naszej opinii mało istotne informacje, stanowią cenne źródło dla innych podmiotów. Mając na uwadze fakt, że w praktyce bardzo trudno jest usunąć raz zamieszczone w Sieci informacje, warto zastanowić się dwa razy, zanim ponownie zdecydujemy się na kolejne zamieszczanie danych. Powinno to stanowić przestrogę dla wszystkich tych, którzy z tak dużą łatwością dzielą się
Bezpieczeństwo danych osobowych w cyberprzestrzeni – Big Data
51 informacjami na temat życia prywatnego. Dodajmy, że powstanie Internetu doprowadziło do redefinicji pojęcia prywatności. Dzielenie się informacjami na temat naszych sukcesów i porażek, pasji, tego gdzie jemy i co czytamy, za pośrednictwem Internetu przychodzi nam z ogromną łatwością [Cytowski 2011]. Powyższe informacje w połączeniu z innymi, które zamieszczamy w Sieci, stanowią nasz profil jako klienta, a także pakiet danych osobowych, które mogą być wykorzystane w różnym celu, nawet tym nielegalnym. Nieste-ty wiele osób nadal nie jest świadomych konsekwencji swoich działań w świe-cie wirtualnym [Bracisiewicz 2018].
To właśnie na gruncie prawa do prywatności zrodziła się potrzeba ochrony danych osobowych, a rozwój społeczeństwa informacyjnego dodatkowo spo-tęgował tę potrzebę. Niewątpliwy wpływ na rozwój prawa do ochrony danych osobowych mieli dwaj bostońscy sędziowie, Samuel D. Warren oraz Louise D. Brainders, którzy w 1890 r. opublikowali artykuł pt. The Right to Privacy. Bardzo szybko dostrzeżono potrzebę szczegółowego uregulowania tej problematyki na gruncie prawa europejskiego. Pierwszym aktem prawnym poruszającym problematykę ochrony danych osobowych była Konwencja nr 108 [Konwen-cja nr 108]. Uchwalona później Dyrektywa 95/46 stała się podstawą do prze-twarzania danych osobowych na obszarze państw należących do EOG przez ponad 20 lat [Dyrektywa 95/46]. Dyrektywa, jako wtórne źródło prawa, regulu-je podstawowe zagadnienia, dając regulu-jednocześnie państwom członkowskim możliwość samodzielnego uregulowania poszczególnych zagadnień za po-średnictwem ustawodawstwa krajowego. W czasie powstawania dyrektywy Internet był już powszechnie stosowany, niemniej jego rozwój technologiczny w znaczący sposób wyprzedził rozwiązania prawne zaproponowane w doku-mencie. Dyrektywa przewiduje znacznie węższy zakres ochrony w wirtualnym świecie, niż wynika to z rzeczywistych potrzeb. Przykłady stanowić mogą po-wszechnie dziś wykorzystywany monitoring czy urządzenia biometryczne. Ani dyrektywa, ani polskie ustawodawstwo nie przewidują rozwiązań prawnych wskazujących, w jakich okolicznościach i na jakiej podstawie można dokony-wać przetwarzania danych osobowych zgromadzonych w ten sposób. Po-dobnie zresztą w przypadku e-usług czy też portali społecznościowych. Od dłuższego czasu zwraca się uwagę, że obowiązujące przepisy nie zapewniają wystarczającej ochrony prawnej. Dodatkowo potrzebę tę potęguje rosnąca różnica standardów ochrony danych osobowych w poszczególnych pań-stwach, zwłaszcza europejskich. Na tym tle zarysowała się propozycja stwo-rzenia nowych ram prawnych mających bezpośrednie zastosowanie we
wszystkich państwach należących do EOG. Prace nad tekstem rozporządzenia [RODO] rozpoczęły się w 2012 r. i zakończyły się wejściem w życie dokumentu 27 kwietnia 2016 r. Od 25 maja 2018 r. we wszystkich państwach należących do EOG zaczną obowiązywać nowe standardy ochrony danych osobowych, przyznające osobom, których dane dotyczą, znacznie szerszy zakres ochrony. Przepisy rozporządzenia przewidują liczne nieznane dotąd rozwiązania praw-ne gwarantujące osobie, której dapraw-ne dotyczą, znacznie szerszą ochronę. Przy-kładem jest chociażby konstrukcja prawa do bycia zapomnianym, gwarantu-jąca osobie, której dane dotyczą, w określonych sytuacjach prawo do usunię-cia jej danych. Konstrukcja ta ma na celu bardziej szczegółowe uregulowanie praw osób, których dane dotyczą, zapewnienie możliwości kontrolowania swoich danych oraz szerszej ochrony prawnej, w sytuacji, gdy dojdzie do na-ruszenia jej praw. Dążąc do zapewnienia osobie, której dane dotyczą, większej kontroli nad danymi, od maja 2018 r. zostały rozszerzone klauzule zgód na przetwarzanie danych osobowych oraz obowiązku informacyjnego, ciążącego na administratorach danych i podmiotach przetwarzających. Dodatkowo, w momencie wystąpienia naruszenia osoba, której dane dotyczą, będzie mo-gła żądać zaprzestania przetwarzania jej danych, a także wystąpić na drogę postępowania sądowego w celu uzyskania odszkodowania za naruszenie jej praw. Możliwości dochodzenia roszczeń w tak szerokim zakresie nie było w dotychczas obowiązujących przepisach prawa, podobnie jak kar finanso-wych dla administratorów danych, którzy nie przestrzegają obowiązujących przepisów prawa [Fischer, Sakowska-Baryła 2017]. W konsekwencji, mimo że przepisy zobowiązywały administratorów danych do przestrzegania standar-dów wynikających z ustawy, to jednak w praktyce były one bardzo trudne do wyegzekwowania. Wprowadzenie od maja 2018 r. odpowiedzialności finan-sowej w wysokości do 20 mln EUR niewątpliwie stanie się dla wielu podmio-tów bodźcem zachęcającym do przestrzegania przepisów.
Nie ulega wątpliwości, że w cyberprzestrzeni przetwarza się dane osobowe na niespotykaną dotąd skalę. Dzieje się tak dlatego, że Internet służy przede wszystkim do wyszukiwania i przetwarzania informacji. Szybko okazało się, że pozornie łatwo dostępne informacje na temat osoby fizycznej dla innych podmiotów są bardzo cenne. Za sprawą Internetu na podstawie zebranych informacji o osobie możliwe staje się profilowanie klientów oraz dostosowy-wanie do ich potrzeb konkretnych produktów. Dzięki obserwacji odwiedza-nych przez nas konkretodwiedza-nych stron możliwe jest zaproponowanie klientowi konkretnego towaru. Dlatego też pozornie mało istotna informacja (np. jakie
Bezpieczeństwo danych osobowych w cyberprzestrzeni – Big Data
53 płatki śniadaniowe jemy) jest cennym źródłem informacji dla wszystkich kon-cernów handlowych zajmujących się produkcją tego produktu. Analiza na-szego zachowania i aktywności w Sieci pozwala na przewidywanie naszych zachowań. Warto także pamiętać, że dzisiejszy poziom rozwoju technologicz-nego umożliwia zbieranie informacji na nasz temat już nie tylko za pośrednic-twem Internetu, ale także sprzętu AGD, naszych smatrfonów, samochodów czy nawet elektrycznych zabawek naszych dzieci.
W rozporządzeniu ogólnym po raz pierwszy podjęto także próbę uregulo-wania oraz określenia ram prawnych profilouregulo-wania. Ustawodawca unijny uznał, że co do zasady profilowanie jest niedopuszczalne. Legalne wykorzystywanie profilowania wymaga od administratora danych dysponowania zgodą osoby, której dane dotyczą. Profilowanie polega na zestawieniu określonego zacho-wania użytkownika z określonymi cechami (wiek, płeć, rasa). Na tej podstawie powstają określone profile zachowań, które są powszechnie wykorzystywane w handlu – określony produkt jest proponowany selektywnie wybranej grupie osób. Zgodnie z definicją zaproponowaną w rozporządzeniu ogólnym profi-lowaniem jest „każda forma automatycznego przetwarzania danych mająca służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też ana-lizie bądź przewidzenia zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub za-chowania tej osoby fizycznej” [art. 4 pkt 3a RODO].