Objavljeno: 29.11.2022 | Avtor: Domen Savič | Monitor December 2022

Kje bivajo vaši podatki?

Čeprav v informacijski družbi velikokrat omenjamo prosti pretok informacij in podatkov, se je treba zavedati, da morajo države, vključene v podatkovno ekonomijo, poskrbeti za pravnoformalno podlago, s katero zaščitijo uporabniške podatke. Največ črnila na tem področju se je v zadnjih desetletjih prelilo o odnosih med Združenimi državami Amerike in Evropsko unijo. Na področju varovalk podatkovne ekonomije gre namreč za zelo različna pristopa.

Medtem ko Evropska unija stremi k poenotenim varovalkam, ki zavezujejo vse članice, se v Združenih državah Amerike še vedno pojavlja parcialni način varovanja podatkovnih tokov, kjer so razlike med posameznimi državami Združenih držav Amerike precej velike. V ZDA namreč na tem področju nimajo federalnih zakonov, ki bi veljali za vse članice, temveč se mora vsaka država na tem področju znajti sama.

V informacijski dobi se človeška življenja vedno bolj zapisujejo v obliki ničel in enic.

A to pomeni, da je pretok podatkov med Združenimi državami Amerike in Evropsko unijo otežen, saj se relativno poenotena politika varovalk v EU vedno znova srečuje z izzivi segmentiranega pristopa ZDA, kar otežuje pretok, negativno vpliva na poslovne odnose in slabša varovanje uporabniške zasebnosti.

Globalne podatkovne trdnjave: od Washingtona do Pekinga

Združene države Amerike so še vedno vodilna država na lestvici lokacije velikih podatkovnih centrov, ki si jih v večini primerov lastijo spletni velikani (Amazon, Microsoft in Google imajo v lasti več kot polovico vseh velikih podatkovnih centrov). Po podatkih Synergy Research Group iz začetka 2021 pa se v Združenih državah Amerike nahaja skoraj 40 odstotkov vseh globalnih kapacitet.

Na drugem mestu je s 16 odstotki kapacitet Kitajska, na tretjem Japonska, nato pa sledijo Nemčija, Velika Britanija, Avstralija in druge države.

Razlogov za vodilno mesto Združenih držav Amerike na lestvici velikih podatkovnih centrov je več, v vrhu pa so zagotovo stimulacije in davčne ugodnosti, ki jih spletni velikani prejemajo od lokalnih oblasti zveznih ameriških držav, če podatkovne centre gradijo pri njih.

Hkrati se v javnosti že dalj časa pojavljajo kritike davčnih olajšav in očitki o ekonomski neutemeljenosti gradnje dragih podatkovnih centrov, ki po mnenju kritikov ugodnosti prinašajo samo njihovim lastnikom, ne pa tudi lokalnemu okolju, v katerem nastajajo. Problematičen je tako njihov ekološki vpliv kot tudi ekonomski, saj gre v večini primerov za tajne poslovne dogovore, ki se sklepajo brez javnih razprav.

Razumljivo je torej, zakaj je področje varovanja uporabniških podatkov na relaciji med Združenimi državami Amerike in Evropsko unijo tako pomembna tema, hkrati pa si lahko predstavljamo, kako zapleteno je urejanje teh razmerij.

20 let sporazumov, enako let težav

Pred 20 leti so zato Združene države Amerike in Evropska unija podpisale prvi sporazum na tem področju, ki se je imenoval Varni pristan (Safe Harbour).

Med drugim je dogovor urejal pravico uporabnika, da ga podjetja obvestijo, kako in kje bodo hranila njegove podatke, da lahko uporabnik zbiranje in hrambo svojih podatkov prepove, da morajo podjetja poskrbeti za varovanje podatkovnih zbirk in na koncu – da morajo imeti Združene države Amerike razvite učinkovite mehanizme uveljavljanja teh pravil na svojem ozemlju.

Urad Informacijskega pooblaščenca: Zadevo še preučujemo

Nadzorni organi za varstvo podatkov, ki smo združeni v Evropski odbor za varstvo podatkov, bomo na predlog Evropske komisije podali svoje mnenje z vidika upoštevanja pravnega okvira za varstvo osebnih podatkov, kot ga interpretira tudi sodba Evropskega sodišča v primeru Screms II. Na tej točki se informacijski pooblaščenec ne more podrobneje opredeliti do vsebine zakonodajnih sprememb, niti še ni na voljo predlog dogovora.

Kolikor dogovor ne bi sledil določbam sodbe Schrems II in zagotavljal ustrezne ravni varstva podatkov, ker bi se izkazalo, da ZDA zakonodaja kljub nedavnim spremembam ne zagotavlja dovolj visoke ravni varstva podatkov, pa je tudi novi dogovor lahko razveljavljen s strani Sodišča EU.

Evropska unija je s sporazumom poskušala doseči, da bi bili podatki državljank in državljanov Evropske unije, ki se izvažajo v tretje države, v teh zavarovani z vsaj približno enako stopnjo pravne varnosti, kot so znotraj Evropske unije.

Program je bil že od začetka obsojen na propad, saj je temeljil na prostovoljnem pristopu k sporazumu, hkrati pa so podjetja, ki so sodelovala v njem, sama ocenila lastno sposobnost in kakovost izvajanja omenjenih pravil. Še huje, podjetja so sama opozarjala, da dogovor Varni pristan uporabniških podatkov ne varuje pred ameriškimi obveščevalnimi službami, ki so z zloglasno zakonodajo Patriot Act dobile dostop do vseh podatkovnih zbirk ameriških podjetij, ne glede na to, kje se te dejansko nahajajo.

Vseeno je trajalo skoraj 15 let, da se je na sceni pojavil avstrijski digitalni aktivist Max Schrems, ki je ob štipendijskem obisku Združenih držav Amerike ugotovil, da ameriška podjetja digitalne ekonomije prej opisane varovalke jemljejo samo kot mrtvo črko na papirju in da v resnici dogovor ne velja, saj ga ameriška podjetja sploh ne izvajajo. Sodišče je zato leta 2015 dogovor Varni pristan razveljavilo, s tem pa prvič ogrozilo pretok podatkov med Združenimi državami Amerike in Evropsko unijo.

Mednarodna družba nadzora

Max Schrems pa ni bil edini, ki je javno opozarjal na problematičnost poslovnopravnih dogovorov med ZDA in EU na področju podatkovne ekonomije. Glavno delo na tem področju je leta 2013 opravil Edward Snowden, ki je z razkritji več depeš in podatkovnih zbirk svetu sporočil, kako ameriške obveščevalno-varnostne službe »sesajo« podatke o uporabnikih različnih spletnih omrežij in drugih mest na svetovnem spletu.

Ko je Schrems leta 2011 od irskega pooblaščenca za dostop do informacij javnega značaja zahteval informacijo o tem, katere uporabniške podatke o evropskih uporabnikih Facebook deli z ameriškimi oblastmi, so njegovo zahtevo po dostopu do lastnih podatkov zavrnili, zato se je pritožil na Evropsko sodišče.

Sodišče je odločilo, da ima do teh podatkov vsekakor pravico, in tako je Max Schrems od spletnega velikana Facebook leta 2011 prejel zgoščenko z več kot tisoč strani podatkovnih zaznamkov o svojih aktivnostih na tem omrežju. Facebook je bil pri zbiranju in beleženju njegove podatkovne sledi res natančen, saj so se v arhivu nahajale tudi vsebine, ki jih je Max izbrisal iz svojega profila. Še več – Max je v pritožbi sodišču opozoril tudi na dejstvo, da Facebook zbira podatke, za katere jim sam nikoli ni dal dovoljenja, hkrati pa Facebook nima izdelanih politik brisanja in varovanja uporabniških podatkov na svojem omrežju.

Max je tako na zelo plastičen način prikazal problem podatkovne ekonomije, različnih pravnih ureditev držav, znotraj katerih poteka trgovina s podatki, in ničnost pravnih dogovorov med državami, ki naj bi urejali in varovali uporabniške podatke. A to je bil samo začetek.

Varni pristan, poln piratov

Ko je Evropsko sodišče razveljavilo sporazum Varni pristan, se je pretakanje podatkov med Evropsko unijo in Združenimi državami Amerike znašlo v pravni praznini.

Glede na količino pretočenih podatkov iz Evropske unije v Združene države Amerike si namreč lahko hitro predstavljamo, kako pomembna je pravna skladnost poslovanja podatkovne ekonomije ter kako šokantna so bila opozorila Evropskega sodišča, ki je v svoji odločitvi poudarilo moč ameriških oblasti nad podatkovnimi tokovi, odsotnost kakršnegakoli zaščitnega mehanizma pred njihovimi posegi v evropske podatkovne zbirke in uporabnikovo nezmožnost brisanja oziroma spreminjanja lastnih podatkov.

Z razveljavitvijo dogovora Varni pristan je moralo več tisoč evropskih podjetij upoštevati veliko zahtevnejše in dolgotrajnejše pravne okvire korporativnega upravljanja, s katerimi so zagotavljala vsaj minimalno pravno skladnost pošiljanja in hrambe »evropskih« podatkov na ameriških tleh.

Max Schrems je bil z odločitvijo o razveljaviti sporazuma zadovoljen, v izjavi za javnost pa je poudaril, da »je odločitev sodišča pokazala, da podjetja in vlade ne morejo kar spregledati državljanove pravice do zasebnosti, temveč jo morajo varovati v teoriji in praksi zakonodaje« ter da »je razveljavitev sporazuma hud udarec za ameriško družbo nadzora, ki se v veliki meri zanaša na velika ameriška podjetja in njihove podatkovne tokove«.

A to je bil šele začetek podatkovne kalvarije.

Svet je vedno bolj ploščat – vedno več podatkov namreč živi na diskovjih megapodatkovnih centrov.

Od varnega pristana do zasebnostnega ščita

Sporazum, ki naj bi nadomestil in izboljšal slabosti Varnega pristana, se je imenoval Zasebnostni ščit (Privacy Shield). Veljati je začel leta poleti 2016, dobrega pol leta po razveljavitvi sporazuma Varni pristan, v njem pa so zakonodajalci povečali zahteve po preglednosti postopkov, poglobili odnose med ameriško federalno in lokalno oblastjo na področju varovanja podatkov, uvedli možnost uporabniške arbitraže za posamezne podatkovne zbirke in druge podrobnosti.

Nova zakonodaja pa ni nastajala v pravnem vakuumu, v istem času se je namreč Evropska unija ukvarjala z rešitvijo GDPR, s katero je nadomestila Direktivo o varstvu podatkov iz leta 2015. Med glavnimi motivatorji za razvijanje novih zasebnostnih mehanizmov v Evropski uniji so evropski zakonodajalci omenjali problematičnost vedno večjega števila zasebnostnih škandalov, ki so se dogajali na relaciji velikanov digitalne ekonomije, družabnih omrežij in drugih digitalnih kanalov ter podatkovnih zbirk evropskih in globalnih digitalnih potrošnikov.

Tako je leta 2018 izbruhnil škandal Cambridge Analytica, kjer je 87 milijonov zlorabljenih uporabnikov omrežja Facebook z grozo opazovalo masakriranje svojih podatkov za namene političnega prepričevanja v ameriški predvolilni kampanji in drugih kampanjah po vsem svetu. Leta 2019 je Facebook v novem primeru priznal »izgubo« podatkov več kot 530 milijonov Facebook uporabnikov, ki se je zgodila zaradi nepravilno nastavljenih pravic dostopa za Facebook aplikacije ter druge zasebnostne katastrofe v digitalni ekonomiji. Da bi bila ironija še večja, je bilo podjetje Cambridge Analytica eno od ameriških podjetij, ki so pristopila k novemu podatkovnem sporazumu Zasebnostni ščit in se zavezala za varovanje uporabniških podatkov.

Max Schrems je takoj po objavi besedila Zasebnostnega ščita napovedal identičen potek dogodkov, kot se je zgodil pri njegovi pritožbi na sporazum Varni pristan. Izkazalo se je namreč, da naj bi sporazum Zasebnostni ščit zavezoval ameriška podjetja k ustvarjanju »približno enake« stopnje varovanja uporabniških podatkov, kot jih znotraj EU zagotavlja zakonodaja GDPR, ameriška zakonodaja pa se na področju t. i. sodišč FISA (United States Foreign Intelligence Surveillance Court) tako zelo razlikuje od evropskih varovalk, da sta za ameriška podjetja spoštovanje in dejansko izvajanje »približno enake« stopnje varovanja v praksi misija nemogoče.

Tudi drugi akterji na tem področju so takoj po objavi Zasebnostnega ščita opozorili, da gre le za začasno rešitev, ki bo na sodišču padla takoj, ko se bo nekdo odločil za problematiziranje dogovora. To se je leta 2020 tudi zgodilo, ko je pritožbo na Evropsko sodišče poslal Max Schrems.

Max Schrems je svoj zasebnostni pohod začel z več kot tisoč PDF-datotekami svojih podatkov znotraj omrežja Facebook.

Digitalne tehnologije in storitve kot globalni ovaduhi

V vmesnem času so se korenito spremenili podatkovna ekonomija, vloga spletnih velikanov v našem vsakdanjem življenju in gospodarsko-politični odnosi med Združenimi državami Amerike in Evropsko unijo.

Tehnologije in storitve družabnega spleta so začele igrati vedno pomembnejšo vlogo pri delu evropskih in ameriških nadzornih organov, ki so ob njihovi pomoči zbirali informacije, analizirali podatkovne zbirke o posameznikih ter na podlagi teh podatkov izvajali prisluškovanje, zasledovanje in aretacijo posameznic ter posameznikov.

Hkrati se je zaradi vedno večjega številka kazenskih postopkov, v katerih so se (tudi po krivici) znašli posamezniki zaradi objave neslane šale oziroma druge aktivnosti na družabnem omrežju, javnost vedno bolj začela zavedati problematičnosti »življenja na spletu« in se zato vedno bolj zanimati tudi za probleme in izzive, povezane z njim.

Poleg vedno večjega zavedanja pomembnosti zasebnosti se je v javnosti pojavil tudi odpor do družabnega spleta in pretiranega objavljanja informacij o sebi, kot odgovor na te skrbi pa se je začela razvijati tudi t. i. zasebnostna industrija, ki je poskušala unovčiti strah pred pretiranim uporabniškim razkrivanjem na spletu.

Evropske zakonodajne varovalke na področju varovanja državljanske zasebnosti v informacijski družbi so zaradi vedno večjega števila hekerskih napadov in tatvin podatkovnih zbirk ter vedno večjega obsega črnega trga z uporabniškimi podatki premisleke političnih odločevalcev o podobnih ukrepih spodbudile tudi drugod po svetu, med drugim v ZDA in Avstraliji.

Družabna omrežja so predvsem zelo učinkoviti mehanizmi zbiranja, analiziranja in preprodajanja podatkov o uporabnikih.

ZDA vs. EU: nekompatibilnost prava in družbe

Takoj po sprejetju zasebnostne zakonodaje GDPR v Evropski uniji se je več zveznih ameriških držav odločilo, da gre za dobro varovalko, ki jo velja posnemati, in je tako v lokalni pravni sistem začelo uvajati podobne zakonodajne predloge, ki se ukvarjajo z uporabniško zasebnostjo.

A zaradi posebnosti zgodovinskega in pravnega okvira Združenih držav Amerike ter ključnih razlik med evropskim in ameriškim razumevanjem koncepta zasebnosti več kritikov opozarja, da bi se morale Združene države Amerike namesto z varovalkami zasebnosti bolj ukvarjati z zakonodajnimi varovalkami protimonopolne zakonodaje, ki bi po drugi poti prišla do istega cilja – preprečiti množične zlorabe uporabniških podatkov, ki jih v rokah drži peščica velikih podjetij.

Pravni in ekonomski strokovnjaki namreč opozarjajo na problem digitalnih monopolov, ki ogrožajo razvoj digitalne ekonomije in inovacij, saj veliki igralci na tem področju na različne načine uničujejo konkurenco in preprečujejo, da bi se v praksi razvili poslovni modeli, ki bi ponudili alternativo obstoječim. Hkrati imajo Združene države Amerike na področju protimonopolne zakonodaje več izkušenj in uspešnih primerov iz preteklosti, kjer je mogoče najbolj znan in aktualen razbitje telekom velikana AT&T iz 80. let 20. stoletja.

Eden glavnih zagovornikov je avtor fraze »nevtralnost interneta« in avtor protimonopolne zakonodaje aktualne ameriške administracije, Tim Wu, ki že vrsto let opozarja, da bi morale ameriške oblasti razbiti digitalne velikane, kot so Facebook, Apple in Google.

S tem bi po mnenju tega ameriškega pravnika dosegli bolj z ameriško zakonodajo kompatibilen učinek reševanja problema velike industrije (poleg razbitja ameriške tehnološke industrije Tim Wu predlaga podobne ukrepe tudi na področju financ in farmacije), hkrati pa bi s tem »mimogrede« rešili še problem velikih podatkovnih zbirk, kapitalizma nadzora in nekompatibilnosti ameriškega modela z evropskim modelom zasebnosti v informacijski družbi.

Razbitje industrije – kaj to sploh pomeni?

Ameriška protimonopolna zakonodaja, ki se je do digitalne ekonomije ukvarjala predvsem s problemi na področju velikih naftnih družb, telekomov in drugih monopolov iz preteklosti, po mnenju mnogih ameriških pravnikov in sociologov ponuja dovolj možnosti za razrešitev problema majhnega števila spletnih velikanov, ki so si skoraj dobesedno razdelili posamezne plasti svetovnega spleta, a bi jo bilo treba malce dopolniti.

Razbijanje podjetij, kot so Facebook, Apple, Microsoft in Google, je namreč v praksi popolnoma drugačno, kot je bilo uspešno razbijanje velike naftne družbe Standard Oil na začetku 20. stoletja. Težava pri aktualnih digitalnih podatkovnih monopolih je namreč v tem, da cena storitev tukaj ne igra nikakršne vloge (storitve so namreč vsaj na papirju brezplačne), a se pojavljajo drugi škodljivi vplivi na potrošnika, od škode za manjše dobavitelje, kodljivih odnosov z zaposlenimi v teh podjetjih do pomanjkanja potrošniške izbire in celo uničevanja demokratičnega odločevalskega procesa.

Silicijeva dolina se iz dežele podjetniških sanj vedno bolj spreminja v podatkovno nočno moro s podivjanimi podatkovnimi vampirji.

Dodaten izziv predstavljajo popolnoma drugačni poslovni modeli spletnih velikanov, ki zmanjšujejo možnost ene rešitve za vse probleme. Zanimivo je videti, da se ameriški protimonopolni kritiki podjetja Apple v kritikah skoraj ne dotikajo. Čeprav gre za najbogatejše podjetje na svetu in čeprav bi lahko na področju njegovih tržnic z aplikacijami, kjer morajo razvijalci Applu plačevati »paradavek« v obliki tretjine vsega zaslužka, zaznali nekatere monopolistične težnje, je Apple do svojega položaja na trgu prišel predvsem z razvijanjem dobrih in zaželenih izdelkov. Za zdaj to še ni zločin.

Amazonov problem je malo večji, povezan pa je z njegovim produktom, ki je bil ustvarjen prav za spodbujanje spletne trgovine manjših trgovcev – Amazon Marketplace. Amazon namreč s tem izdelkom dejansko uničuje manjše trgovce, kopira njihove uspešne prodajne artikle in jih nato pod »hišno« blagovno znamko prodaja po nižji ceni, kar pomeni nelojalno konkurenco.

Najočitnejša monopola digitalne ekonomije sta trenutno Facebook in Google, kar pojasnjuje tudi navdušenost ameriških regulatorjev, ki so se s protimonopolno zakonodajo najprej lotili prav njih. Google nadzira svet iskalnih rezultatov, saj naj bi po nekaterih ocenah kar 90 odstotkov vseh spletnih iskanj potekalo prek Googla, medtem ko Facebook še vedno kraljuje na področju digitalnega oglaševanja, saj naj bi držal roko nad 80 odstotki globalnega trga spletnih oglasov.

Oba imata poleg monopolnega položaja še dodatne težave: Googlovi algoritmi iskanja lahko dobesedno izbrišejo posamezna spletišča in spletna podjetja, ki so proti tem spremembam popolnoma nemočna, medtem ko je Facebook izredno brutalen na področju prevzemanj in kopiranj svojih konkurentov.

Podatki niso nafta

A glavno vprašanje na področju razbijanja prej omenjenih podatkovnih monopolov ostaja brez odgovora, s tem pa tudi predlogi protimonopolne zakonodaje izgubljajo zalet.

Vprašanje lastništva podatkovnih zbirk, načina zbiranja in hrambe izredno specifičnih podatkov o posameznih spletnih uporabnikih, vzpostavljanje in monetizacija podatkovnih zbirk ter »ukrivljanje« digitalnega sveta na podlagi zbranih podatkov so namreč tako novi in tako brez primerjave iz preteklosti, da se bomo morali najprej lotiti nove družbene pogodbe na tem področju in šele nato začeti reševati »plastične« probleme podjetij, kot so Google, Amazon, Apple, Facebook in ostali velikani digitalne ekonomije.

Tukaj je evropski model regulacije, ki poudarja vrednoto zasebnosti za posameznega potrošnika in državljana, vseeno v prednosti pred ameriško logiko svobodnega trga, ki v dejstvu, da je človek v informacijski družbi dobesedno predelan v zbirko ničel in enic, načelno ne vidi problema.

A tudi tu bitka ne bo tako enostavna. Za namig o distopični prihodnosti pa se moramo ozreti proti Vzhodu. Kitajska namreč že dalj časa prakticira teoretično in praktično družbo nadzora, ki ji uspeva tudi zaradi spremenjene družbene pogodbe, v kateri je zasebnost breme in ne prednost. Kitajske državljanke in državljani se tako zasebnosti odpovedujejo v zameno za (vsaj v teoriji) bolje delujočo družbo, ki je hkrati tudi varnejša.

Kitajska družba nadzora, ki temelji na zbiranju ogromnega številka podatkovnih točk o posamezniku, namreč v teoriji predpostavlja, da s tem bolje spoznava svoje državljanke in državljane ter na tak način lahko hitreje in učinkoviteje razume njihove želje. To pomeni, da vlada lahko sprejema boljše odločitve, kar v skrajnosti izniči potrebe po demokratičnih procesih odločanja, saj je vlada vedno korak pred svojimi državljankami in državljani.

Kitajska zasebnostna zakonodaja je tako v trikotniku država – državljani – zasebna podjetja mejo postavila med državo in državljani ter zasebnimi podjetji, kjer zadnje lahko doletijo astronomske kazni za zasebnostne zlorabe, država pa lahko identične zlorabe podatkov brez sankcij izvaja v imenu družbene optimizacije.

Kitajski je svoje državljanke in državljane uspelo prepričati, da je zasebnost slaba.

Pandemija koronavirusa je samo še pospešila razvojne trende na tem področju, saj je imela kitajska država s koronavirusom izredno plastičen in otipljiv razlog za še večjo sistematizacijo nadzora v čisto vseh družbenih sferah javnega in zasebnega življenja, model kitajske družbe nadzora pa že več let izvažajo tudi v druge države in področja po vsem svetu. Tudi v Evropsko unijo in Združene države Amerike.

Ko bo torej Max Schrems že v tretje na sodišču sesul dogovore o izmenjavi podatkov med Evropsko unijo in Združenimi državami Amerike, se bo torej treba vprašati, kako daleč smo na obeh straneh Atlantika v razmišljanju, da je zasebnost v bistvu škodljiva oziroma vsaj neuporabna in da bi se nam kot potrošnikom in državljanom veliko bolj izplačala popolna datizacija vseh človeških lastnosti in aktivnosti, saj bi si s tem olajšali življenje. Če tej trditvi prikimavate že danes, potem je konec res blizu.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji