Sytuacja jest nadzwyczajna i właściwie trudno połapać się, jakie właściwie prawa nam w takim wypadku przysługują. Właśnie dlatego postanowiliśmy zapytać ekspertkę Fundacji Panoptykon, Karolinę Iwańską, jak możemy chronić nasze dane oraz jakie niebezpieczeństwa wiążą się z wyborami korespondencyjnymi, które odbędą się już 10 maja.
W gąszczu politycznych zawiłości
Celem Fundacji Panoptykon jest ochrona podstawowych wolności wobec zagrożeń związanych z rozwojem współczesnych technik nadzoru nad społeczeństwem. Jej pracownicy służą internautom informacjami na temat ochrony danych oraz prowadzą liczne kampanie społeczne, których celem jest uświadomienie Polakom, że współcześnie dane są równie cenną walutą, co pieniądze.
Eksperci fundacji wielokrotnie podkreślali swoje zaniepokojenie nadchodzącymi wyborami korespondencyjnymi - sprawdźcie koniecznie, co powiedziała nam na ten temat Karolina Iwańska z Fundacji Panoptykon.
Jakie niebezpieczeństwo niosą ze sobą wybory korespondencyjne organizowane w obecnych warunkach?
Karolina Iwańska: Zagrożeń jest mnóstwo, ale w Fundacji Panoptykon koncentrujemy się na tym, co zagraża wolności i prawom obywatelskim - i o tym możemy mówić. Przepisy o wyborach korespondencyjnych jeszcze nie zostały uchwalone, a Poczta Polska na polecenie premiera przygotowuje się do ich przeprowadzenia i pozyskuje dane ze spisów wyborców i z bazy PESEL. Dane z bazy PESEL nie wystarczą, żeby zorganizować wybory, bo widnieje w niej adres zameldowania, a nie adres zamieszkania, który jest brany pod uwagę przy tworzeniu rejestrów wyborców. Gdyby wybory były organizowane tylko na podstawie bazy PESEL, wielu obywateli głosujących poza miejscem zameldowania zostałoby pozbawionych możliwości oddania głosu.
Dlatego kilka dni temu Poczta zażądała od samorządowców wydania danych ze spisów wyborców. Ale zrobiła to bez podstawy prawnej (bo ustawa o wyborach korespondencyjnych jeszcze nie obowiązuje) i w sposób urągający wszelkim procedurom bezpieczeństwa wynikającym z RODO - w niepodpisanym mailu żądając przekazania danych drogą mailową w zwykłym, niezabezpieczonym hasłem pliku tekstowym. Apelowaliśmy do samorządowców o niewydawanie Poczcie spisów wyborców i cieszy nas, że wielu z nich potraktowało ochronę prywatności obywateli bardzo poważnie. Co możemy zrobić jeżeli gmina przekazała nasze dane Poczcie w celu przeprowadzenia wyborów korespondencyjnych?
Karolina Iwańska: Ponieważ ustawa o wyborach korespondencyjnych jeszcze nie obowiązuje, a więc Poczta oficjalnie nie przeprowadza wyborów, gmina zrobiła to niezgodnie z prawem, a Poczta nie ma prawa tych danych przetwarzać. Dlatego możemy skorzystać z prawa do usunięcia danych, jakie daje RODO. Wystarczy wysłać na adres inspektorodo@poczta-polska.pl wniosek z żądaniem usunięcia danych przetwarzanych bez podstawy prawnej lub od razu złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. W Panoptykonie przygotowaliśmy odpowiednie wzory i instrukcje. Poczta odrzuca wnioski o usunięcie danych, a Prezes UODO uważa, że nie dzieje się nic złego. Czy w takim razie te działania mają sens?
Karolina Iwańska: Jak najbardziej. W ten sposób pokazujemy, że nie ma zgody na działanie ponad prawem i dokumentujemy jego naruszanie. A decyzje Prezesa można zaskarżyć do sądu.
W jaki sposób w trakcie wyborów korespondencyjnych może dojść do wycieku danych?
Karolina Iwańska: Przeprowadzenie wyborów korespondencyjnych oznacza przetwarzanie danych osobowych. Zgodnie z prawem administrator danych (czyli poczta, jeśli zostanie uchwalona ustawa o wyborach korespondencyjnych) powinien przeprowadzić analizę ryzyka, czyli zadać sobie pytanie “co może pójść nie tak”. Ryzyko udostępnienia danych osobom niepowołanym oczywiście istnieje, ale na tym nie koniec zagrożeń. Może też dojść do naruszenia prywatności – bagatela! – 30 milionów osób, pozbawienia kogoś prawa do głosu czy umożliwienia osobie trzeciej oddania głosu w czyimś imieniu. Ale na analizie ryzyka nie można poprzestać – trzeba też nim zarządzić.
Póki co nie wiemy, jak mają być dostarczane pakiety wyborcze – listem poleconym do rąk własnych czy jako druki bezadresowe do skrzynek pocztowych, które - jak zwracają uwagę pocztowcy - nie zawsze są zabezpieczone. Nie wiadomo też, kto będzie miał dostęp do danych wyborców, ani jak zabezpieczone będą pakiety wyborcze przed dostępem osób trzecich. Przygotowywanie wyborów w takim trybie i pośpiechu nie pozwala nam wierzyć, że nasze dane będą bezpieczne.
Kwestię wrażliwości danych poruszono także w najnowszej kampanii społecznej Fundacji Panoptykon, która próbuje odpowiedzieć na następujące pytania: "jak szeroki dostęp do naszych intymnych danych mogą mieć aplikacje na smartwatche?" oraz "jak wiele można wyczytać z monitorowanego przez nie pulsu?".
W ramach wspomnianej kampanii społecznej TWIN .digital collective i Panów Programistów pod patronatem Fundacji Panoptykon, przeprowadzono eksperyment w którym, mieszkające na co dzień oddzielnie pary przy pomocy aplikacji na smartwatcha monitorowały puls swojego partnera lub partnerki. Z pulsu można wyczytać informacje na temat aktywności seksualnej, stanie zdrowia, nastroju oraz o zażywanych środkach stymulujących. Po połączeniu tych danych z innymi informacjami na temat ciała, dotyczącymi np. płci, wieku, wagi, cyklu menstruacyjnego, powstanie szczegółowy raport aktywności i stanu psychofizycznego osoby.
Akceptując politykę dajemy dostęp do naszych danych nie tylko twórcom aplikacji, ale także ich komercyjnym partnerom. Co więcej, nasze dane mogą zostać sprzedane brokerom danych, którzy gromadzą informacje o użytkownikach sieci. Jak możemy się przed tym bronić? Warto na bieżąco kasować nieużywane aplikacje (nie usuwa to jednak danych z bazy firmy i należy napisać specjalnego maila z żądaniem ich usunięcia) oraz zastanowić się, czy na pewno potrzebujemy danej aplikacji i czy jej polityka prywatności spełnia nasze oczekiwania.
Uczestnicy eksperymentu opowiedzieli o swoich wrażeniach w filmie, który w warunkach przymusowej izolacji i skazaniu na kontakt wirtualny nabiera nowych znaczeń.
Dlaczego powinniśmy uważać na nasze dane i dlaczego ich wyciek może być dla nas szkodliwy?
Karolina Iwańska: Wielu osobom “wyciek” kojarzy się z tym, że sklep internetowy lub portal społecznościowy utracił dostęp do haseł kilkuset tysięcy użytkowników albo przestępcy podszyli się pod stronę banku i wyłudzili dane do logowania. Przed takim wyciekiem możemy się zabezpieczyć jedynie wybierając takich usługodawców, którzy zwracają uwagę na bezpieczeństwo, ustawiając dwustopniową weryfikację wszędzie tam, gdzie to możliwe i ogólnie zachowując ostrożność. Ale nasze dane to nie tylko loginy i hasła. W gospodarce opartej na danych każdy strzęp informacji na nasz temat jest cenny. Portale społecznościowe zarabiają na reklamach, a żeby dostarczyć nam taką, która będzie skuteczna, chcą wiedzieć o nas jak najwięcej.
Straciłeś pracę? Masz depresję? Urodziło Ci się dziecko? Lubisz strony dla dorosłych? W drugiej fazie cyklu kompulsywnie robisz zakupy? Wzruszają Cię cierpiące zwierzęta? Nawet nie zauważasz, kiedy portal społecznościowy podsuwa Ci posty, które podbijają Twoje obawy czy emocjonalne potrzeby, np. bezpieczeństwa, przynależności czy statusu, a chwilę potem - gotowe rozwiązania, za które ktoś zapłacił, mające rzekomo zaspokoić te potrzeby lub odpowiedzieć na obawy. Informacjami o Tobie obracają w sieci podmioty, o których istnieniu nie masz pojęcia, zarabiając na tym krocie. W ten sposób jesteśmy nieustannie formatowani do ciągłego konsumowania rzeczy i usług, których tak naprawdę nie potrzebujemy i do tego, by w mediach społecznościowych spędzać coraz więcej czasu, zostawiając kolejne cyfrowe ślady. A dodatkowa cena, jaką za to płacimy, to szerząca się dezinformacja - bo im więcej o Tobie wiadomo, tym łatwiej Tobą manipulować.
Jakie działania możemy podejmować na co dzień, aby zmniejszyć ryzyko wykorzystania naszych danych przeciwko nam?
Karolina Iwańska: Pierwszy krok to świadomość, że takie zagrożenia w ogóle mają miejsce. Możemy wykonać drobne kroki, np. zrezygnować z logowania się przez Gmaila czy Facebooka do innych aplikacji czy serwisów, żeby trochę przykręcić kurek płynących danych. Możemy programowo nie klikać w podsyłane nam reklamy, dbać o swoją dietę informacyjną, wybrać komunikator Signal zamiast popularnego Messengera czy WhatsAppa (oba są własnością Facebooka). Jeżeli dostatecznie dużo ludzi da cyfrowym gigantom sygnał, że nie podoba im się to, jak są przez nich traktowani, te firmy w końcu będą musiały coś zmienić. Ale dopóki model biznesowy platform internetowych opiera się na masowym gromadzeniu danych, te zmiany będą symboliczne.
W Panoptykonie mówimy czasem, że wszyscy siedzimy na taśmie i jedziemy do rozgrzanego hutniczego pieca. Jasne, możemy włożyć gogle, żeby nas mniej raziło światło, ale jeżeli nie zmienimy reguł gry, prędzej czy później się w tym piecu roztopimy. Dlatego walczymy z cyfrowymi gigantami na gruncie prawnym, za pomocą pozwów i skarg do organów ochrony danych oraz domagając się zmian w prawie, które uregulują, w jaki sposób branża internetowa może zarabiać na naszej uwadze, a w jaki nie (można nas w tym wspierać, przekazując 1% podatku lub darowiznę!).
Pobierając aplikację rzadko zastanawiamy się, które dane udostępniamy. Wyciek haseł czy danych bankowych budzi grozę, lecz nawet aplikacja monitorująca puls może zostać wykorzystana przeciwko nam, prawda?
Karolina Iwańska: W Stanach Zjednoczonych dane dotyczące aktywności fizycznej z opasek Fitbit były wykorzystywane do podwyższania składek przez ubezpieczycieli, a nawet do podważania roszczeń. Odwołując się do dzisiejszej sytuacji, COVID-19 wprowadza nas w całkiem nowy kontekst. Jeżeli zgodzimy się na to, żeby warunkiem wychodzenia z ograniczeń było ciągłe monitorowanie naszego ciała, a konkretnie jego temperatury, bo takie zapowiedzi się pojawiają, padnie ostatni bastion prywatności - nasze ciało. Jak wtedy obronimy swoją wolność?
