Anonimizować czy nie anonimizować decyzje UODO?
Święto Nałożenia Pierwszej kary administracyjnej RODO w Polsce to wydarzenie elektryzujące. Jest szansa, że to i przyszłe wydarzenia tego typu poprawią w Polsce klimat wokół prywatności i ochrony danych. W tym konkretnym przypadku UODO wskazuje na zjawisko oparcia modelu biznesowego na wykorzystywaniu danych bez wiedzy i zgody ponad sześciu milionów Polaków. Byłoby dziwne, gdyby sprawa ta nie zbulwersowała opinii publicznej.
Tekst decyzji UODO jest wyczerpujący i zajmuje dość pryncypialne stanowisko, co miejmy nadzieję przyczyni się w kształtowaniu debaty w Polsce. Pomimo upublicznienia sprawy, UODO zdecydowało się jednak częściowo zanonimizować, a właściwie zpseudonimizować tekst decyzji. To niefortunne zwłaszcza na samym początku GDPR w Polsce. Pseudonimizacja beneficjentów decyzji UODO nie powinna stać się stałą praktyką. Jeśli są powody dla takiego podejścia w wyjątkowych przypadkach, UODO powinno je wyjaśniać. Transparentność to filar GDPR.
Hipotetyczna “publiczna infamia” może być wzięta pod uwagę, a czasem nawet pełnić rolę penalizacji. Trzeba to jednak wyważyć w kontekście konkretnych spraw, priorytetyzując dobro społeczne. Najbardziej prozaicznym powodem przemawiającym za jawnością jest, że umożliwia ona użytkownikom-konsumentom kontakt z podmiotami by np. skierować żądania korekty, środków naprawczych.
Ważniejsze jest jednak to, że to kwestia kultury i pewnych standardów. Użytkownicy powinni mieć możliwość zapoznania się ze szczegółami praktyk konkretnych firm naruszających zasady. Jak obchodzą się one z danymi? jakie metody są stosowane w różnych miejscach, branżach? ilu ludzi dotyczą te praktyki? Z jawnych decyzji konsumenci-użytkownicy mogą wyciągać wnioski o poziomie zabezpieczeń i standardów prywatności. Pewne nadużycia danych można wręcz porównać do wprowadzenia do obrotu produktów niespełniających podstawowych norm jakości, by przypomnieć sprawę “soli drogowej jako spożywczej” z 2012. W ostatecznym rozrachunku ma to wpływ na szacunek obywatela do własnego kraju, ale i na wizerunek państwa. W pewnych środowiskach akademickich i eksperckich na Zachodzie już dziś zresztą dyskutuje się o pójściu nawet dalej, w stronę publikowania szczegółowych rejestrów firm naruszających dane, w podobny sposób jak robi się to z firmami których działania doprowadzają do zatrucia środowiska np. substancjami toksycznymi. Świat może więc pójść drogą jeszcze większej jawności.
W tej konkretnej sprawie ważna jest też sama praktyka pseudonimizacji. Nie od dziś wiadomo, że anonimizacja danych lub dobrej jakości pseudonimizacja to trudne zagadnienie z dziedziny technologii. Świadomość ta niewątpliwie jest obecna w wielu europejskich instytucjach odpowiedzialnych za ochronę danych. Jak się jednak okazuje UODO “zpseudonimizowało” treść decyzji w taki sposób, że “odwrócenie” tego procesu zajęło około pięć sekund, nie wymaga to zresztą szczególnie wielkiej wiedzy. Mamy więc sytuację gdzie nazwa rzeczonego podmiotu była z jednej strony niejawna, ale jej poznanie było niezwykle proste. To nie tyle zaskakuje, co raczej przyciąga uwagę. Sam tekst pierwszej decyzji o karze GDPR w Polsce jest dobrym argumentem za jawnością.
Anonimizacja czy pseudonimizacja decyzji i tak upublicznionych idzie też przeciw otwartości w krajach o uznanych standardach takich jak Wielka Brytania, czy Francja gdzie byłoby to nie do pomyślenia (choć tam decyzje pseudonimizuje się po dwóch latach). We Włoszech na 1121 publicznie dostępnych decyzji, wszystkie zawierają nazwę ukaranego podmiotu, za wyjątkiem niektórych z tych odnoszących się do osób fizycznych. Gdy informacja o sankcjach za ochronę danych ma być podana do wiadomości publicznej, to jaki sens by ją dodatkowo ograniczać w dniu publikacji? Właściwym kierunkiem jest transparentność. Inna praktyka wymaga wyjaśnienia.