Object

Alternative title:

The influence of Council of Europe and European Union standards on ensuring the security of personal data in the Member States

Abstract:

Zapewnienie bezpieczeństwa danych osobowych znalazło się w ostatnich latach w centrum zainteresowań badawczych. Jest to wyrazem reakcji na skalę zagrożeń jakie współczesny rozwój cywilizacyjny przyniósł w zakresie przetwarzania danych osobowych. Dostęp do danych osobowych uważanych jest za jeden z kluczowych czynników prowadzenia współczesnej działalności gospodarczej. Rozwój technik informatycznych stał się z jednej strony źródłem wzrostu gospodarczego i szybszego rozwiązywania problemów społecznych, a z drugiej strony otworzył pole do nienotowanej uprzednio w takiej skali cyberprzestępczości. Wymaga to poszukiwania nowych metod ochrony danych, w związku z coraz bardziej wyrafinowanymi typami występujących tu zagrożeń. Ochronę danych osobowych uznaje się jako element prawa do prywatności. Bezsporne jest to, że każdy człowiek powinien mieć zagwarantowane prawo do prywatności. Prawo to, czerpiąc wiedzę z łaciny (z łac. prywatność - privatus), oznacza „oddzielony od reszty”. Prawo do prywatności określane jest jako należące do jednego z praw człowieka. W przypadku zderzenia prawa do prywatności i ochrony danych mówi się jednak o „niełatwej miłości”. Ustawodawcy dążą do zabezpieczenia prywatności. Kluczowe znaczenie ma tu zapewnienie instrumentów kontrolnych ze strony kompetentnych organów władzy publicznej. Jest to jednak złożony cel w sytuacji stałego doskonalenia technologii informatycznych, a w tym także technik inwigilacyjnych. Samo więc zagwarantowanie prawa do prywatności na poziomie konstytucyjnym, jak na to wskazują np. doświadczenia Federacji Rosyjskiej, nie jest wystarczające w zderzeniu z nowymi wyzwaniami, jakie niesie rozwój metod informatycznych i muszą być tu ustawicznie weryfikowane zarówno rozwiązania rangi ustawowej, a także przepisy wykonawcze. Również doświadczenia Stanów Zjednoczonych wskazują, że nie można poprzestać na gwarancji konstytucyjnej, a ochrona danych osobowych powinna być objęta precyzyjną regulacją ustawową. Dane osobowe są dziś przetwarzane w nienotowanej skali zarówno w sferze publicznej, jak i prywatnej. Gdyby poprzestać na przykładzie Facebooka, który jest drugim co o wielkości światowym medium społecznościowym, to notuje on cotygodniowy wzrost rzędu 3% i staje się atrakcyjnym przedmiotem ataków dla tych, którzy chcą pozyskać dane dotyczące jego użytkowników. Wiąże się z tym ryzyko w zakresie zapewnienia bezpieczeństwa tych danych, którego identyfikacja stanowi podstawę do podejmowania działań ochronnych. Rozwój technologii cyfrowych i ich szerokie zastosowanie w różnych obszarach życia społecznego, politycznego i gospodarczego w sposób bezpośredni oddziałuje na zapewnienie bezpieczeństwa w procedurach przetwarzania danych osobowych. Ta technologiczna rewolucja w dziedzinie technologii cyfrowych z jednej strony niesie nowe możliwości w zglobalizowanym świecie w sferze nauki i życia gospodarczego, ale też wiąże się z pojawieniem się nowego typu zagrożeń dla ochrony praw człowieka.
Następuje przy tym odejście od subiektywnego i mniej ustrukturowanego przetwarzania danych osobowych do jego form zautomatyzowanych. W wyniku tego może dochodzić do niekontrolowanej cyrkulacji o ludziach, ich upodobaniach, preferencjach i stylu życia. Rodzi to szereg obaw w obszarze ochrony praw człowieka, bo może nieść praktyki dyskryminacyjne w zakresie dostępu do kredytów, ubezpieczenia, edukacji, a nawet ochrony zdrowia.Istotnym obszarem zagrożeń dla ochrony danych osobowych stała się służba zdrowia. Wiążę się to m.in. z dokonującym się procesem decentralizacji usług medycznych, a także coraz szerszym wykorzystaniem technik informatycznych, co w sposób zasadniczy zwiększyło niebezpieczeństwo bezprawnego dostępu do danych pacjentów. Przetwarzanie danych osobowych otwiera też drogę do manipulacji cenami na rynku drogą adresowania ofert do precyzyjnie zaadresowanej grupy potencjalnych klientów. Przetwarzanie danych musi się więc stać przedmiotem regulacji prawnych, uwzględniających odpowiednie mechanizmy ochronne. Trwają poszukiwania rozwiązań technologicznych, które umożliwiałyby zapewnienie standardów ochronnych w procesie przetwarzania danych osobowych. Poważnym wyzwaniem stało się zapewnienie prawa do bycia zapomnianym, istotne dla ochrony praw człowieka w dobie szerokiego zastosowania Internetu. Wdrażanie nowych technologii wiąże się z niepewnością, w jakim celu będą one wykorzystywane. Tworzy to zasadniczy problem dla prawnych działań regulacyjnych, gdyż prawodawca nie zawsze potrafi przewidzieć wszystkie konsekwencje, jakie może przynieść zastosowanie nowych technologii. Globalny charakter mediów społecznościowych powoduje, że problemy ochrony danych osobowych mają istotne prawne i polityczne znaczenie nie tylko dla mieszkańców Europy i Ameryki, ale też Azji, Afryki oraz Australii i Oceanii. Choć cel w postaci zabezpieczenia danych osobowych pozostaje wszędzie tam w zasadzie ten sam, to jednak dają o sobie znać specyficzne podejścia w zakresie instrumentów przeciwdziałania, nawiązujące do kultury politycznej, kultury prawnej oraz tradycji. Widać to np. w odniesieniu do Konwencji Unii Afrykańskiej o cyberbezpieczeństwie i ochronie danych osobowych z 27 czerwca 2014. Bezpieczeństwo danych osobowych stanowi dziś jeden z istotnych elementów polityki państw. Jest to reakcja na - jak to określono - „kryzys w zakresie ochrony danych osobowych”. Internet przyniósł bowiem nowe możliwości i zagrożenia, jakie wiążą się m.in. z dynamicznym kształtowaniem się rynku danych osobowych. Ludzie zdają sobie bowiem coraz bardziej sprawę z tego, na jakie niebezpieczeństwa narażone są ich dane osobowe w sytuacji funkcjonowania wyrafinowanych metod inwigilacyjnych, jakie niosą nowoczesne formy komunikowania się i oczekują od władz państwowych podejmowania adekwatnych środków zaradczych.
Dotyczy to zwłaszcza Internetu, który gromadzi - uwzględniając różne formy mediów społecznościowych - miliardy użytkowników, zabieganie o dane osobowe których staje się biznesem o skali globalnej. Stąd poszukiwanie skutecznych mechanizmów ochrony tych danych urasta do rangi jednego z najważniejszych wyzwań współczesności. Zapewnieniu tej ochrony służą w szczególności zawierane porozumienia dotyczące przetwarzania danych osobowych. Nowe typy zagrożeń bezpieczeństwa informacji wiążą się z użytkowaniem komputerów przenośnych i smartfonów. Zagrożenia w zakresie zarządzania danymi osobowymi zwiększyły zainteresowanie dla tworzenia Systemów Zarządzania Danymi Osobowymi (Personal Data Management Systems - PDMS), oferowanych jednostkom dla ochrony całokształtu ich obecności w świecie cyfrowym. Eksponuje się zarówno walory takich systemów, jak i zagrożenia, które niosą. Stawiane są bowiem pytania, na ile zwykli ludzie będą mieli faktyczny dostęp do zbioru danych i potrafili nimi zarządzać. Żyjemy w czasach globalnej współzależności, gdzie problemy bezpieczeństwa związane z terroryzmem mają charakter ponadgraniczny, a zglobalizowane sieci informatyczne i handlowe e platformy zmieniły kształt światowej gospodarki. W tych warunkach załamaniu uległy wcześniejsze systemy regulacyjne, a tworzenie nowych musiało uwzględniać konflikty powstające na styku wolności i bezpieczeństwa. Nasiliły się one od chwili zamachu na World Trade Centre w dniu 11 września 2001 r., co spowodowało wymóg udostępniania listy pasażerów linii lotniczych, czy w związku z rewelacjami przekazanymi przez Snowdena. Wywołało to globalne działania, w których zaangażowane są państwowe agencje bezpieczeństwa, ministrowie spraw wewnętrznych, prywatne organizacje pozarządowe (NGOs), biurokraci, a także inni aktorzy, próbujący eksploatować tego typu wydarzenia do osiągania swych celów w skali transatlantyckiej. Zarządzanie bezpieczeństwem informatycznym stało się obszarem działalności państwowej, które wymaga stałego dostosowania instrumentów prawnych do nowych wyzwań. Wymaga ono innowacyjnego spojrzenia na zadania państwa w dobie rewolucji informatycznej. Chodzi o przeciwdziałanie zagrożeniom, jakie związane są z cyberterroryzmem. Ma ono zarówno wymiar wewnętrzny, w kontekście konstytucyjnie gwarantowanych praw i wolności obywateli, jak też wymiar zewnętrzny, w kontekście ochrony praw człowieka, zarówno w skali powszechnej, jak i regionalnej. Dotyczy to w szczególności zarządzania incydentami w systemie bezpieczeństwa. Wiążą się one m.in. z atakami hakerów zorientowanych na pozyskanie danych osobowych. Mają one na celu kradzież danych lub wykorzystywanie ich do innych działań przestępczych. Problem jest jednak złożony, bo niektóre przedsiębiorstwa używają techniki hakowania do ograniczenia ryzyka w podejmowanej działalności gospodarczej, np. w sferze ubezpieczeń.
Stąd próbuje się szukać zabezpieczeń prywatności w stosunku do cyber-fizycznych systemów (Cyber-Physical Systems - CPS), w ramach różnych form ich zastosowania, m.in. uwzględniających techniki kryptograficzne. CPS stanowią nową generację systemów, które łączą techniki komputerowe z możliwościami powiązań występujących w świecie fizycznym w procesie monitorowania i kontroli jednostek. Umożliwia to gromadzenie olbrzymiej liczby informacji i ich wykorzystanie w procesach decyzyjnych w różnych dziedzinach. Koncepcja Chmur Danych Osobowych (Personal Data Clouds - PDCs) związana jest z zapewnieniem pożądanych metod gromadzenia danych osobowych, a zarazem z dostępem do tych danych osób, których one dotyczą. Daje to osobom zainteresowanym prawo do zarządzania tymi danymi. Ma to istotne znaczenie dla zapewnienia bezpieczeństwa tych danych, a także kontroli zasadności ich gromadzenia i przetwarzania. Dotyczy to m.in. chmur obliczeniowych. Wskazuje się jednak, że ochrona danych osobowych w systemie Cloud Computing jest szczególnie trudnym wyzwaniem. Współczesna globalizacja, poczynając od lat 70. XX w., przyniosła rewolucję w zakresie elektronicznych technik przetwarzania informacji. Obszar aktywności społecznej, politycznej i gospodarczej przeniósł się do Internetu w tak dużej skali, że zaczęły być gromadzone o ludziach informacje we wszystkich dziedzinach ich życia, również w ujęciu ponadgarnicznym, na ochronę których to informacji nie znajdowano w odpowiednim czasie odpowiednich instrumentów. Zaczęto wówczas podejmować analizy rozwiązań prawnych zarówno w skali krajowej, jak i regionalnej. Wzrosło też znaczenie badań porównawczych zastosowanych rozwiązań prawnych. Wiąże się to z tym - gdyby nawiązać do doświadczeń choćby Stanów Zjednoczonych i Unii Europejskiej - że strategie zapewnienia ochrony danych osobowych bywają zróżnicowane. Istotne wyzwania dla bezpieczeństwa danych osobowych pojawiają się wraz z rozwojem robotyzacji i powstawaniem nowych technologii informacyjnych, m.in. w zakresie sztucznej inteligencji. Pojawia się tam bowiem niebezpieczeństwo użycia danych niekompletnych lub nieprawdziwych, które mogą stać się powodem działań dyskryminacyjnych. Nieprzypadkowo więc Agencja Praw Podstawowych UE podjęła działania na rzecz poszukiwania rozwiązań, które prowadziłyby do oparcia się na rzetelnych danych w systemach opartych ma „sztucznej inteligencji”. Poszukiwanie doskonalszych metod ochrony danych osobowych ma też znaczenie dla władz lokalnych. Projektowanie „inteligentnych miast” ma uwzględniać ochronę danych osobowych w sytuacji, gdy narasta liczba zagrożeń dla zapewnienia bezpieczeństwa w tym zakresie. Ma to istotne znaczenie dla zapewnienia ochrony praw człowieka w procedurach, które mają zapewnić bezpieczeństwo społeczności lokalnych. Nowe wyzwania dla ochrony danych osobowych niesie zastosowanie technologii 5G.
Trwają więc poszukiwania zabezpieczeń, które mogłoby zrealizować wymóg bezpieczeństwa informatycznego w odniesieniu do tej technologii, która stanie się w najbliższych latach istotnym segmentem nowoczesnej komunikacji społecznej. Władze państwowe z jednej strony dążyły do ochrony danych osobowych obywateli, a z drugiej strony zmuszone były udostępniać informacje o nich ze względu na wymogi bezpieczeństwa, stosowania prawa czy dostępu obywateli do korzyści wynikających z funkcjonowania systemu opieki społecznej. Szczególne wyzwanie wiązało się z sytuacjami, gdy dochodziło do ponadgranicznego przepływu informacji. Powstawało wówczas pytanie: jakie prawo ma zastosowanie. Sprawa ta stała się przedmiotem porozumień międzypaństwowych, a także o charakterze multilateralnym, przyjmowanych w ramach organizacji międzynarodowych, takich jak OECD czy APEC. Przedmiotem szczególnego zainteresowania jest kwestia wzajemnych relacji bezpieczeństwa i ochrony danych osobowych, zwłaszcza w kontekście możliwej inwigilacji elektronicznej obywateli. Narasta bowiem napięcie pomiędzy swobodą informacji, traktowanej jako jeden z najważniejszych standardów ochrony praw człowieka, a ochroną danych osobowych, co rzutuje zarówno na działalność tradycyjnej prasy, jak i na coraz bardziej żywiołowo rozwijające się tzw. nowe media. Poszukiwanie równowagi w tym zakresie określane bywa niekiedy „balansowaniem na linie”. Jeszcze do niedawna nie każdy zauważał lub być może nie był świadomy tego, że jego dane osobowe podlegają przetwarzaniu. Do dziś nadal wiele osób nie wie lub nie zdaje sobie sprawy z ważności danych osobowych, które są wprowadzane do obiegu społecznego. Często też obywatel sam wyraża na to zgodę nie zdając sobie sprawy z konsekwencji takiej decyzji. Zdarza się także, iż przepisy prawa świadomie nie są przestrzegane, są lekceważone i pomijane przez osoby, z którymi są one związane. Z tej motywacji przyjęte zostało rozporządzenia UE dotyczącego ochrony danych osobowych (RODO), określane w kategoriach „zharmonizowanego obowiązku” i „dzielonej odpowiedzialności”. Dlatego ustawodawca państwa członkowskiego UE, wdrażając to rozporządzenie UE, powinien dążyć do stworzenia coraz skuteczniejszej ochrony danych osobowych. Każde działanie w kierunku wykreowania lepszej ochrony tych danych można określać jako bezcenne zarówno dla każdego człowieka, jak i całej społeczności.
Bezpieczeństwo danych osobowych stało się szczególnie istotnym zagadnieniem zarówno na poziomie krajowym jak i międzynarodowym. Szybki rozwój technologii informacyjnych zwiększył, bowiem potrzebę solidniejszej ochrony danych osobowych zarówno w systemie aksjologicznym Unii Europejskiej (UE), jak i Rady Europy (RE). Zapewnienie tej ochrony zaczęto wiązać z nowymi i poważnymi wyzwaniami, ponieważ postęp technologiczny rozszerzył granice takich obszarów jak nadzór, przechwytywanie informacji i przechowywanie danych. Dotyczy do m.in. bezpieczeństwa danych w związku z masowym stosowaniem kart kredytowych. Na tle realizacji instrumentów prawnych pojawiło się szereg trudnych kwestii teoretycznych. Z podobną sytuacją mamy do czynienia w Unii Europejskiej, gdzie podnoszony jest np. problem wzajemnej relacji art. 17 RODO oraz art. 8 Karty Praw Podstawowych, gwarantującego prawo do ochrony danych osobowych. Celem dysertacji doktorskiej jest ustalenie, jaki jest wpływ standardów Rady Europy i Unii Europejskiej na zapewnienie bezpieczeństwa danych osobowych w państwach członkowskich. Zasadność podjęcia się tej analizy badawczej wiąże się z tym, że zarówno RE, która ma znaczące doświadczenie w regulowaniu ochrony danych, a także dąży do ustanowienia regionalnych standardów w tej dziedzinie, ale też Unia Europejska, która wprowadza przełomowe zmiany w tym obszarze, w zasadniczy sposób przyczyniają się do tworzenia nowych warunków przetwarzania danych w dzisiejszym zglobalizowanym świecie. Zasadnym jest więc podjęcie analizy, jak te dwie ważne organizacje międzynarodowe oddziałują na ochronę danych osobowych w państwach członkowskich. Problem ten nie doczekał się dotychczas monograficznego opracowania, stąd niniejsza dysertacja jest próbą wypełnienia tej luki.

The security of personal data has become a particularly important issue both at the national and international level. The rapid development of information technologies has increased the need for more reliable protection of personal data both in the axiological systems of the European Union (EU) and the Council of Europe (CoE). Providing this protection has become associated with new and serious challenges as technological advances have widened the frontiers of areas such as surveillance, information gathering and data storage.The aim of this doctoral dissertation is to determine the impact of the standards of the Council of Europe and the European Union on ensuring the security of personal data in the Member States. The legitimacy of undertaking this research analysis is related to the fact that both the CoE, which has a renowned experience in regulating data protection and strives to establish global standards in this field, or the European Union, which introduces ground-breaking changes in this area, both contribute in a fundamental way to creating new conditions for data processing in today's globalized world.Chapter 1 deals with the general security characteristics of personal data. The intention of this chapter is to show the origins of the concept of personal data security, as well as the understanding of this concept. The author also intends to focus on the security of personal data in relation to other types of security, i.e. military security, energy security, social security, IT security, political security or democratic security. The types of threats and general rules related to ensuring the security of personal data will also be shown. In addition, universal and regional standards in this area will be presented. Chapter 2 will present the security of personal data in the Council of Europe system and the mechanisms of its implementation in the Member States. The subject of this chapter will be the analysis of legally binding standards as well as those of the so-called "Soft law". The author's goal will also be to present the mechanisms of enforcement of standards regarding the security of personal data in the Member States (accession procedure, monitoring procedure). Chapter 3 will present the security of personal data in the European Union system and the mechanisms of its implementation in the Member States. In the analysis, the author will refer to both legally binding and "soft law" standards. It will also present the mechanisms for enforcing standards in this area during the accession and membership phases. Chapter 4 will analyze the implementation of personal data security standards in the member states of the Council of Europe and the European Union. Therefore, the author will present transformations in three areas: legislation, creating a personal data security policy, and in the area of ​​control mechanisms. The author will also evaluate the effectiveness of the implementation of personal data security in the member states of the CoE and the EU.

Additional notes:

Zawiera bibliografię

Identifier:

oai:bibliotekacyfrowa.ujk.edu.pl:6053

Computer catalogue:

click here to follow the link

Language:

pol

Degree name:

doktor

Date obtained:

23.09.2021

Degree grantor:

Uniwersytet Jana Kochanowskiego w Kielcach

Supervisor:

Jaskiernia, Jerzy (1950- ) ; Spryszak, Kamil. Promotor pomocniczy

Reviewer:

Leszczyńska, Krystyna ; Zaleśny, Jacek Paweł

Field:

Dziedzina nauk społecznych

Scientific disciplines:

Nauki o polityce i administracji

Faculty:

Wydział Prawa i Nauk Społecznych

Type:

rozprawa doktorska

Access rights:

tylko w Oddziale Informacji Naukowej

Publication status:

niepublikowana