2. Korzenie regulacji
Dla rozumienia rozporządzenia, zwłaszcza w kontekście sporów o materialny zakres jego stosowania, nieodzowne jest pamiętanie o jego prehistorii, w tym o ćwierćwieczu konstruowania prototypów systemu ochrony danych. Myślenie o prawnej reglamentacji obiegu wiadomości o ludziach wyrosło z upowszechnienia się poczucia obywatelskiej podmiotowości, a także indywidualizmu jako społecznej postawy, z przekonania o jedyności i odrębności człowieka względem wszystkich ludzi. Oczekiwania w pewnym momencie wyszły poza odwieczne dążenie, by zaradzić mocy złych języków. Nie tylko negatywne pogłoski i nieżyczliwe komunikaty, ale już wszelkie informacje o ludzkiej jednostce, zawłaszczane przez innych, mogły naruszać jej nowo odkrytą autonomię. Ich spontaniczny, niekontrolowany obieg zderzał się z pragnieniem samodzielnego kształtowania bycia postrzeganym przez innych, a także trzymania w skrytości pewnej głębokiej, osobistej wiedzy, udzielanej powściągliwie lub wcale, na mocy względnie suwerennych decyzji. Niemal nigdy postronnym, a rządzącym na miarę środków przymusu, jakimi gotowi byli się posłużyć. Pierwsze manifestacje tej potrzeby wystąpiły u schyłku XIX w.[1] To sędzia Thomas M. Cooley z Michigan sformułował w 1879 r. „prawo do bycia pozostawionym samemu sobie”, przedefiniowując miejsce jednostki w społecznościach[2].
Nowe przesłanki ochrony pojawiły się po kolejnych dziesięcioleciach, za sprawą automatyzacji przetwarzania i transferu danych[3]. Nie stało się to od razu, ale przełom był nagły, a wywołało go pojawienie się w życiu społeczeństw – choć długo jeszcze nie w użytku osobistym – seryjnie produkowanych komputerów. Postęp był koniecznością zrodzoną przez technologię, nadzieją i źródłem obaw. Już względnie wczesne informatyczne wdrożenia wywołały regulacyjną reakcję. W obliczu technicznych środków zdolnych posłużyć do inwigilacji ludzi, rejestracji i analizy ich zachowań, a także do kompilowania informacji na ich temat, niewystarczające okazywało się przyjmowane dotychczas rozumienie prywatności. Nie obejmowało bowiem typów ingerencji, które stały się możliwe w środowisku cyfrowym, a wobec tego brakowało też odpowiednich zabezpieczeń.
Obok przemian technologicznych odnotowano inne zjawiska: mnożenie się współzależnych ról, które przypadają każdemu w społecznym otoczeniu, a z drugiej strony – rozrost inwigilacyjnego aparatu państw oraz rynkowych narzędzi obserwowania konsumentów i kształtowania ich postaw[4]. Ponadto, ludzie nie tylko byli podpatrywani, ale sami pozostawiali po sobie coraz więcej tropów, np. komunikując się przy pomocy środków niedyskretnych, a często wręcz ulegając pragnieniu, by postronni widzieli ich w osobistym życiu[5]. W następstwie tych przemian określona informacja o konkretnej osobie nabyła – co właściwie było nieuniknione – podatność na przejmowanie przez innych i znajdowanie zastosowań, z których zainteresowany nie był już w stanie zdawać sobie sprawy. Stać się więc mógł bezwolnym obiektem skrytych informacyjnych operacji.
Cele przetwarzania danych, w porównaniu z metodami tradycyjnymi, zmieniały się powoli. Od razu widoczna była natomiast odmienność sposobu zarządzania danymi w systemach elektronicznych, wynikła ze specyfiki przechowywania i wyszukiwania informacji, masowej skali zasobów, zdolności do transmisji na wielką odległość oraz szybkości operacji. Pojawił się też jeszcze jeden problem: poprawnej interpretacji danych zgromadzonych w nowych systemach i przetwarzanych maszynowo – aż poza tę granicę, gdy urządzenie nie poprzestaje na dostarczeniu informacji do podjęcia decyzji, ale samo rozstrzyga o sprawach ludzi. Nie był to jeszcze dylemat autonomicznej sztucznej inteligencji – chociaż lęk przed nią od dawna towarzyszy ludziom – lecz całkiem realna obawa przed maszynową procedurą selekcyjną, wykonywaną według anonimowo zadanej instrukcji.
Z perspektywy późniejszego rozwoju informacyjnych technologii te zmiany, szerzej dostrzeżone pod koniec lat sześćdziesiątych XX w., mogły wydawać się co najwyżej zapowiedzią dylematów cywilizacji cyfrowej. Z drugiej strony, już wtedy, ludzie, za punkt odniesienia mający niecyfrową przeszłość, realnie odczuwali oszałamiające zwielokrotnienie informacyjnego potencjału. Z powodu nagle objawionej technologicznej sprawności swe osobiste sekrety ujrzeli wystawione na widok publiczny, a najwrażliwsze dane – znacznie bardziej narażone na nadużycia. Sama zresztą ekspansywność elektronicznego przetwarzania informacji budziła społeczną trwogę. Podnoszono więc, że różne publiczne agendy będą zdolne wymieniać między sobą i zestawiać dane dotyczące określonej osoby, tworząc szczegółowe profile obywateli. Ewentualności profilowania nie uważano z początku za bezpośrednio prawdopodobną, ale nie zapobiegło to upowszechnionemu przeżywaniu zagrożenia[6].
Nie ma zgody, gdzie tkwią kamienie milowe tej drogi, i w różnych punktach wyznaczać można jej początek. Jeden z nich bywa umieszczany aż w 1964 r., gdy Vance Packard opublikował „The Naked Society” – studium technologicznej inwazji na prywatność jednostek, jeszcze skądinąd nieprzewidujące nadchodzącej cyfrowej opresji[7].
Informatyczna infrastruktura na przełomie lat sześćdziesiątych i siedemdziesiątych XX w., gdy rozpaliły się debaty nad ochroną informacji, usprawniała operowanie danymi, ale nie była jeszcze w stanie spowodować, by świat funkcjonował zasadniczo inaczej. Miała walor ulepszeń w zarządzaniu informacją – od dawna przecież i na wielką skalę praktykowanym w życiu społeczeństw i państw. Przez dziesięciolecia doskonalone były w tej dziedzinie procesy zautomatyzowane, wspierane przez mechaniczne technologie. Choć ludzie uważali, że pionierska faza elektronicznej informatyzacji jest za nimi, to w istocie urządzenia komputerowe – znane, ale wciąż nieliczne i umiarkowanie wydajne – tkwiły u początków kolonizacji rozwiniętych krajów. Niemniej jednak, już wtedy wywołały alert.
Kiedy pojawiły się pierwsze pomysły chronienia danych osobowych na skalę Wspólnot europejskich, od kilkudziesięciu już lat w biegu były dzieje komputeryzacji, ograniczanej przez stopień integracji układów scalonych, lecz mimo to w niesłychanym tempie pomnażającej moce obliczeniowe. Potencjał nowych technologii był publicznie unaoczniany, nawet jeśli pewne postępy, obejmujące m.in. zastosowania militarne lub wywiadowcze, pozostawały w cieniu.
Koncepcje ochrony danych osobowych z początku ignorowały dotychczasowe zasoby informacyjne – nacechowane powolnością operacji, trudno przeszukiwalne, mozolnie wiążące różne wiadomości ze sobą, praktycznie niepoddające się masowemu i szybkiemu przesyłowi, na każdym kroku uzależnione od ludzkich czynności. Na pozór zbyt niefunkcjonalne, by ich się bać.
Groźne wydało się natomiast to, co nowe. Odnotowano wprawdzie zapewnienia wytwórców komputerów oraz pierwszych zarządców danych, jakoby nowe urządzenia pod względem bezpieczeństwa górowały nad tradycyjnymi rejestrami – ale przyjęto je bez wiary[8]. Pierwsze projekty ochronnych unormowań skupiały się więc całkowicie na technologiach informatycznych[9]. Nie obyło się jednak w tej mierze bez sporów ani wątpliwości. Jeżeli za kryterium przyjąć sprawność przetwarzania, a w konsekwencji – łatwość identyfikacji jednostek, to zaawansowane rozwiązania niecyfrowe nie były przecież pozbawione ryzyka. Zaabsorbowani nagle objawioną efektywnością komputerów, która wydała się nadludzka, a pod pewnymi względami taką rzeczywiście była, pionierzy regulowania informacyjnych operacji na ogół tracili z oczu wcześniejsze, potencjalnie groźne postępy w zarządzaniu informacją. Funkcjonowały tymczasem zmechanizowane kartoteki, będące wielkimi zbiorami danych, i używano wyrafinowanych środków kancelaryjnych, które spełniały kryteria krytycznie łatwego dostępu i operacyjnej skuteczności.
Wdrożenie narzędzi informatycznych stanowiło wyrazistą zmianę jakościową i wywołało zrozumiałą, na nich skoncentrowaną reakcję. Pole widzenia dość szybko uległo jednak retrospektywnemu poszerzeniu. Gdy podważeniu uległo inicjalne ujęcie technologiczne, na jego miejsce pojawił się pogląd, jakoby środki ochrony powinny być stosowane nie tylko ze względu na sposób przetwarzania danych osobowych, ale także wtedy, gdy ich charakter, albo okoliczności ich używania spowodowałyby zagrożenie „dla prywatności i swobód jednostki”[10]. Było to podejście funkcjonalne, któremu trudno odmówić racjonalności. Charakterystyczne, że po wstępnym epizodzie wyłączności „elektronicznych banków danych” w kolejnych regulacjach posługiwano się uogólnionym pojęciem zautomatyzowanego przetwarzania, na nim zresztą nie poprzestając[11]. W praktyce automatyczne operacje dokonywały się niemal wyłącznie w świecie cyfrowym, lecz dla ich opisania konsekwentnie używano określenia znaczeniowo pojemniejszego. Mechaniczna infrastruktura automatyzacji należała już do historii (nawet jeśli np. służby kryptograficzne państw trzymałyby w pogotowiu niecyfrową rezerwę) – niemniej jednak konsekwentnie podtrzymywano terminologię, która znajduje odniesienia do rzeczywistości wirtualnej, ale może przywodzić też na myśl wyrafinowane konstrukcje industrialnego zmierzchu.
Wszelkie dane osobowe mogły być niebezpieczne dla jednostek, ale nie one same stanowiły źródło ryzyka, a sposoby ich przetwarzania, zestawione z etycznym deficytem. W skupieniu uwagi na fenomenie automatyzacji przejawiało się dojrzewanie rozumienia sprawności i rosnącej dostępności maszynowego przetwarzania danych jako czynników zagrożenia wolności i praw jednostek. Tych jednostek, których cechy były odwzorowywane i zestawiane już we wczesnych prototypach cyfrowej rzeczywistości. Banalizacja nadefektywnych narzędzi gromadzenia i korzystania z danych, imiennie identyfikujących ludzi, coraz wyraźniej sprowadzała grozę anonimowego i niejawnego zarządzania jednostkami, manipulowania, wręcz posługiwania się nimi, kontrolowania ich zachowań, zwłaszcza dla administracyjnej wygody lub dla politycznego wpływu, lub z motywów marketingowych.
Świat, nadal wypełniany przez papierowe kartoteki i książkowe rejestry, sposobił się do cywilizacji cyfrowej, nie wyłączając pesymistycznych wizji jej dehumanizacji. Od dawna ją sobie wyobrażał. Choć wiele futurystycznych wizji było literackiego pochodzenia, technologiczne utopie epoki industrialnej nie bez słusznej przyczyny aspirowały do racjonalistycznej prognozy. Z dużą trafnością antycypowały potęgę przyszłych systemów teleinformatycznych oraz globalną skalę ich oddziaływań. Postawy ludzi wobec komputerów bazowały tak na wiedzy, jak i na przekonaniach, a w tym – uprzedzeniach. Cyfrowa przyszłość, szeroko komentowana, pozostawała nieznana i groźna, sięgając aż po apokaliptyczne wyobrażenia poczłowieczej cywilizacji. Lęk wyprzedził realia epoki i żywił się kulturowymi stereotypami, które skądinąd – w odróżnieniu od wielu innych – miały z czasem stawać się rzeczywistością. Społeczne niepokoje nie brały się z wielości realnych nadużyć związanych z elektronicznym przetwarzaniem danych, ale z tego, że w powszechnym odczuciu prawdopodobne było ich zwielokrotnienie[12]. Także z poczucia niepewności – nierozwiewanego przez milczące rządy – jakim to technologicznym oddziaływaniom jednostki są poddawane.
Poza tym, komputerowe techniki wykazywały nieznaną wcześniej, poruszającą właściwość. Elektroniczne urządzenia uruchamiane były przez ludzi i dostarczały im wyników, ale, co do zasady, działały samoczynnie, według wprowadzonych algorytmów. Dotarłszy do krytycznego stopnia komplikacji, osiągnęły i przekroczyły – według człowieczych miar – granicę obliczalnego działania. Nie sterowały już nimi – jak niegdyś w żakardowych maszynach – perforowane karty, zapewniające przewidywalny, jednoznacznie zdeterminowany bieg mechanizmów. Komputery i systemy względnie wcześnie zaczęły wymykać się swoim twórcom[13]. Początkowo chodziło co najwyżej o efekt psychologiczny, ale z czasem rosnąca złożoność operacji wprowadziła działanie maszyn w sferę probabilistyki. Także dysfunkcje stały się mniej rozpoznawalne i ludzie zaczęli odkrywać, że zdarza im się nieświadomie działać na podstawie wadliwie lub nieprzewidywalnie przetworzonych danych albo osobiście ponosić konsekwencje zerojedynkowych wykolejeń. Wyzbyli się już w większości modernistycznej euforii, ale nie zostali przygotowani na ograniczoną prognozowalność działania informatycznej infrastruktury.
Odruchem mentalnie zakorzenionym była antropomorfizacja maszyn, a także hipotetycznych form cyfrowej umysłowości. Kultura bawiła się wizjami aberracji własnoręcznie wykreowanej sztucznej inteligencji, a także motywem jej epistemicznej niedostępności. Wszystko to przez dziesięciolecia nie wykraczało poza grę wyobraźni, aż wreszcie ludzkość z konsternacją dostrzegła, że o własnych siłach i będąc u siebie wyszła poza mapę. Bezlik zwyczajnych operacji, ich statystyczna zawodność oraz bezosobowa, postmechanistyczna logika to czynniki ryzyka zidentyfikowane przed laty, ale niezmiennie słabo rozpoznawalne.
Biorąc pod uwagę, jak często myślenie o przetwarzaniu danych osobowych ociera się o kulturowe archetypy buntu maszyn, wrogiej sztucznej inteligencji, może wydać się uderzająco przenikliwe, że europejskie regulacje od początku i konsekwentnie koncentrowały się nie na moderowaniu maszyn, ale na pilnowaniu ludzi, w których ręce trafiło instrumentarium nieogarnionej władzy i wpływu.
Pewne wiadomości o jednostkach długo niemniej pozostawały poza zakresem ochrony – albo ze względu na ich treść, albo na technologię zarządzania nimi. Z początku stosunkowo wiele spośród nich uważano za powszechnie dostępne. Nawet gdy zaabsorbowanie procedurami cyfrowymi przetrwało czas naiwności, wciąż utrzymywał się pogląd, że byłoby niecelowe chronienie danych osobowych, „które w oczywisty sposób nie stwarzają żadnego zagrożenia dla prywatności i swobód jednostki”[14]. Mowa o wiadomościach uznanych za neutralne, których obieg jest obojętny dla ludzkich interesów, wolności i praw. Kilka z nich zostało zresztą przykładowo wymienione: nazwiska, daty urodzenia, uzyskane dyplomy[15]. Bieg czasu nie miał na nie wpływu ani nie powodował jakoby ryzyka dla ludzkich interesów. Cytowane sformułowanie było symptomatyczne dla ówczesnego poszukiwania granic ochrony danych osobowych. Była ona bowiem i jest selektywna, choć na przestrzeni lat nie raz przesuwano linię, która oddziela istotne od błahego.
Początkowo wytyczane obszary europejskich uregulowań okazały się zbyt ciasne. Dane, które nie znajdowały się w informatycznych prasystemach, a następnie w zautomatyzowanych zbiorach, i które nie były automatycznie przetwarzane ani nawet zebrane w celu takiego przetwarzania, pozostały poza pierwszymi projektami – bez względu na ich funkcjonalność i treść. Następny krok doprowadził wszelako do pytania, dlaczego właściwie pewne sposoby postępowania z informacją miałyby sprowadzać większe ryzyko niż inne. W rezultacie, ze zdwojoną uwagą powrócono do spostrzeżenia, że groźne są takie techniki organizacji danych, które zapewniają efektywność dostępu do nich w celu identyfikacji jednostek. Nie tylko cyfrowe.
Na pierwszy plan, zajmowany niedawno na wyłączność przez technologiczne fascynacje, z czasem wysunął się sam aspekt wyszukiwawczej i skojarzeniowej sprawności, która – choć pożądana i ogólnie pomyślna – mogła wyjmować obywatelom z rąk kontrolę nad przetwarzaniem danych, które do nich się odnosiły. Spektakularność przewrotu cyfrowego bez wątpienia otworzyła oczy na informacyjne niebezpieczeństwa, a od tej chwili odnajdywano je również w innych, dawniejszych, mniej zaawansowanych sposobach przetwarzania danych.
Ochronne regulacje objęły więc po kolejnych latach dane osobowe, które podlegały, w całości albo w części, przetwarzaniu tak zautomatyzowanemu, jak i innemu, – ale temu drugiemu tylko wtedy, jeśli były zorganizowane „według określonych kryteriów, które odnosiły się do osób fizycznych, w celu zapewnienia łatwego dostępu do danych”[16]. Ta właściwość czyniła z dowolnej garści danych potencjalne paliwo skrytej inwigilacji, nieuprawnionego wpływu albo tylko ingerencji w prywatność jednostki. Z zastrzeżeniem tak sformułowanych wyróżników, wystarczających i kompletnych, objęto ochroną rozmaicie zorganizowane dane, byleby identyfikowały określone osoby albo tylko ich identyfikację w jakikolwiek realny sposób umożliwiały.
Po trwającym ćwierćwiecze mozolnym przypominaniu sobie o niebezpieczeństwach dawnego świata, prace nad ochronnymi regulacjami, u swych początków bez reszty zapatrzone w „elektroniczne banki danych”, definitywnie dotarły do zlekceważonych kiedyś zgoła niecyfrowych zapisów informacji. Nawet do niektórych spośród sporządzonych atramentem na papierze, bo i w nich ujawnił się mroczny potencjał. Porzucona zarazem została niegdysiejsza myśl o neutralnych danych osobowych, gdyż wszystkie mogły posłużyć do umniejszenia wolności i praw jednostek, jeśli zostałyby odpowiednio usystematyzowane i połączone.
Poza ochronną ingerencją
pozostawiono informacyjny bezład albo zasoby danych, które nie były ustrukturyzowane według
określonych kryteriów, z ujemnym skutkiem dla sprawności wyszukiwania
konkretnych spersonalizowanych wiadomości.
Paradoksalnie, wschodząca cywilizacji cyfrowa
sprowokowała dostrzeżenie zagrożeń oraz ich nawarstwiające się redefinicje, a w
następstwie pojawiły się pomysły uregulowań wyzwolone od początkowego zahipnotyzowania elektronicznymi narzędziami.
[1] Jagielski, Prawo do ochrony, s. 9.
[2] Thomas M. Cooley, A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract, Chicago 1879, s. 29; por. Samuel Warren, Louis Brandeis, The Right to Privacy, Harvard Law Review Vol. IV No5 (1890), s. 195 (http://links.jstor.org/sici?sici=0017-811X%2818901215%294%3A5%3C193%3ATRTP%3E2.0.CO%3B2-C [odczyt 2018 09 26]) – autorom tym przypisuje się spopularyzowanie zwrotu “the right to be let alone”; Dorothy J. Glancy, The Invention of the Right to Privacy (w:) Arizona Law Review, 1 (21)/ 1979, s. 1-39.
[3] Litwiński, Rozporządzenie UE (Wprowadzenie, I [1] s. 3-4, III [12] s. 22), Jagielski, Prawo do ochrony, s. 9-10.
[4] Rezolucja (74) 29 w sprawie ochrony prywatności jednostek w odniesieniu do elektronicznych banków danych w sektorze publicznym, przyjęta przez Komitet Ministrów [Rady Europy] 20 września 1974 r., Explanatory report, pkt 1 i 4 – https://rm.coe.int/16804d1c51 [odczyt 25 05 2019].
[5] Por. mot. 6 R.2016/679.
[6] Rez. (74) 29 Explanatory report, pkt 4.
[7] Vance Packard, The Naked Society, New York 1964; por. Robert E. Burns, Packard: The Naked Society, DePaul Law Review, vol. 14/1964 (https://via.library.depaul.edu/cgi/viewcontent.cgi?referer=https://www.google.com/&httpsredir=1&article=3311&context=law-review, s. 225-227 [odczyt 2018 09 21]), Joseph W. Bishop Jr., Book Review: The Naked Society (1964), Faculty Scholarship Series (http://digitalcommons.law.yale.edu/fss_papers/2844 s. 193-199 [odczyt: 2018 09 21]).
[8] Rez. (74) 29, Explanatory report, pkt 27.
[9] Rezolucja (73) 22 w sprawie ochrony prywatności jednostek w odniesieniu do elektronicznych banków danych w sektorze prywatnym – przyjęta przez Komitet Ministrów [Rady Europy] 26 września 1973 r. – https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680502830 [odczyt 2017 05 24]; Rez. (74) 29.
[10] Organisation for Economic Co-operation and Development (OECD) – Recommendation of the council concerning guide-lines governing the protection of privacy and transborder flows of personal data, adopted by the Council 23 September 1980, preambuła oraz aneks, pkt 3 lit. c (https://legalinstruments.oecd.org/public/doc/114/114.en.pdf (dalej jako “1980 Guidelines”).
[11] 1980 Guidelines, aneks, pkt 2. [odczyt: 2019 05 22]; Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzona w Strasburgu dnia 28 stycznia 1981 r., tytuł, preambuła, art. 2 lit. a, b, c, art. 3 ust. 1, 2 i 4, art. 5-7, art. 8 lit. a, b, art. 9 ust. 3, art. 12 ust. 1 i 3 lit. a, art. 13 ust. 3 lit. b, art. 14 ust. 3 lit. b; D.95/46/WE mot. 11, 15, 27, 41, art. 2 lit. b, art. 3 ust. 1, art. 4 ust. 1 lit. c, art. 12 lit. a, art. 15 ust. 1, art. 18 ust. 1 (Dz.U. z 2002 r. Nr 3, poz. 25.).
[12] Rez. (74) 29, Explanatory report, pkt 5.
[13] Por. Sakowska-Baryła (red.), Ogólne rozporządzenie: interesujący pogląd K. Wygody, że ograniczenie ludzkiej kontroli nad współczesnymi sieciami neuronowymi czyni problematycznym traktowanie ich jako automatów – lecz musi być przyjmowane, dopóki sztuczna inteligencja nie uzyska prawnego statusu osoby – komentarz do art. 2 [3] R.2016/679, s. 56.
[14] 1980 Guidelines, pkt 3 lit. b.
[15] Rez. (74) 29, Explanatory report, pkt 21.
[16] Mot. 15 D.95/46/WE.
dariuszgrot 