DI: Skąd pomysł, aby tegoroczny Dzień Ochrony Danych Osobowych poświęcić zagadnieniom związanym z internetem?

GIODO: Jest to wynik analizy, jaką przeprowadziliśmy i doświadczenia zdobytego w czasie ponad 11 lat obowiązywania ustawy o ochronie danych osobowych i funkcjonowania biura Generalnego Inspektora Ochrony Danych Osobowych. Początkowo najwięcej problemów dotyczyło działań marketingowych, czego skutkiem niejednokrotnie były pełne skrzynki pocztowe. Sprawa ta spędzała sen z powiek nie tylko mojej poprzedniczce, ale również mnie. W styczniu 2008 roku udało się podpisać porozumienie ze Stowarzyszeniem Marketingu Bezpośredniego, co już zaowocowało zmniejszeniem się liczby skarg na praktyki tego sektora.

Po naszej analizie doszliśmy do wniosku, że zmieniająca się sytuacja, łatwość dostępu do nowych technologii, dynamiczny ich rozwój powodują, że to właśnie z ochroną danych osobowych i prywatności w sieci może się wiązać najwięcej problemów. Mogą je mieć zarówno wszyscy obywatele, jak i nasz urząd. Dlatego podjęliśmy decyzję, że będziemy tę sprawę nagłaśniać, bo dla ochrony danych osobowych istotne są nie tylko dobrze napisane przepisy, ale także, a może nawet najważniejsze są budowanie świadomości i edukacja. Tak żeby, korzystając z nowych technologii, w tym z internetu, mieć świadomość, że za każdym razem dokonujemy wyboru, czy dajemy się okraść ze swojej prywatności, czy nie, czy warto dla realizacji jakiegoś celu zgodzić się na bycie okradzionym z jakiejś części swojej prywatności.

fot. - Michał Serzycki - Generalny Inspektor Ochrony Danych Osobowych

Rozumiem, że w pewnym sensie do takiej decyzji doprowadziły także wydarzenia z minionego roku, w którym to miał pan kilka zgłoszeń związanych z naruszaniem danych osobowych oraz związanych z tym kontroli w serwisie Nasza-Klasa.

Między innymi, oczywiście, tak.

Czy jako osoba prywatna korzysta Pan z serwisów społecznościowych?

Jeśli chodzi o Naszą-Klasę, to jestem tam zalogowany i można to sprawdzić.

W jaki sposób chroni Pan swoje dane w tym serwisie?

Udostępniłem tylko te dane, które są niezbędne, a inne, istotne pominąłem – nie ma tam np. mojego zdjęcia. Natomiast sam również padłem ofiarą nieuczciwych internautów, bo na N-K zostało utworzone moje konto, z którym nie miałem nic wspólnego. Były tam różne informacje, które ja osobiście potraktowałem jako żartobliwe. Może nie był to do końca żart zbyt górnolotny, ale mimo podstaw nie złożyłem doniesienia do prokuratury, tylko zwróciłem się z wnioskiem do Naszej-Klasy o zlikwidowanie tego konta i zostało ono usunięte.

Jak szybko zostało zlikwidowane fałszywe konto, o którym Pan wspomina? Pytam, gdyż czytelnicy Dziennika Internautów niejednokrotnie donoszą o powolnych reakcjach ze strony N-K na zgłaszane temu portalowi problemy.

Nie chcąc tłumaczyć N-K, stwierdzam jedno, że jeśli serwis ma 14 mln użytkowników i problemy z tych 14 mln może mieć tylko promil z nich, to choć w liczbach statystycznych może to być naprawdę niewielka ilość, to w liczbach bezwzględnych  może oznaczać duży problem. Przykładowo, jeśli problemy zgłosiło 500 internautów, to  jest to w granicach błędu statystycznego, ale z drugiej strony, w liczbach bezwzględnych, jest to 500 osób, które mają problem z ochroną danych osobowych. Tych sygnałów jest rzeczywiście dużo i na ich podstawie podjęliśmy decyzję, że będzie kolejna kontrola w Naszej-Klasie.

Jak ocenia Pan dostosowanie polskich przepisów związanych z ochroną danych osobowych do współczesnych realiów, szczególnie w odniesieniu do sfery wirtualnej?

W przypadku internetu te przepisy są słabo dostosowane i to nie tylko jeśli chodzi o ustawę o ochronie danych osobowych, ale i pozostałe kwestie, jak np. spam. Co jednak ciekawe, nie odbiegamy tutaj od krajów europejskich – śmiało można powiedzieć, że cały świat ma z tym problem. To jest tak nowe zjawisko, które tak lawinowo się rozwija, że na dobrą sprawę nikt chyba nie wie, jak sobie z nim poradzić, bo problemów dotyczących wirtualnej rzeczywistości może być wiele. Chociażby to, że nie zdajemy sobie do końca sprawy z tego, że – jak ktoś ładnie powiedział – internet ma pamięć słonia. Oznacza to, że dane, które się w nim znajdują są w nim przez całe nasze życie i jeszcze dłużej. Doskonale można to zobrazować na przykładzie dotyczącym osoby, która popełniła wykroczenie lub przestępstwo. Przepisy kodeksu karnego przewidują takie rozwiązanie, jak zamazanie wyroku, czyli po jakimś czasie nie uznaje się takiej osoby za skazaną – wyrok zostaje zamazany i nie można już mówić o tym, że to osoba skazana. Tymczasem w sieci taka informacja pozostaje na zawsze; nawet o tym, że jakaś osoba była tylko podejrzana o popełnienie przestępstwa lub wykroczenia. Stoi to w jawnej sprzeczności z unormowaniami kodeksu karnego.

Dlatego, mając na uwadze tę "pamiętliwość" internetu, przestrzegam, by rozważnie umieszczać tam wszelkie informacje, zwłaszcza wówczas, jeśli od nas to zależy.

Inna sprawa to chociażby zbieranie przez najróżniejsze firmy informacji o nas z wykorzystaniem danych z sieci. Czy to jest etyczne? Czy to jest zgodne z prawem? Ja, podobnie jak inni rzecznicy ochrony danych osobowych z Europy, stoję na stanowisku, że jeżeli osoby, których ruch w internecie jest kontrolowany nie wiedzą o tym, to jest niezgodne z prawem. Podobnie jest z tworzeniem baz danych czy profili behawioralnych na podstawie naszych zachowań w sieci..

Generalnie sprawa ochrony danych osobowych dobie rozwoju nowoczesnych technologii to wyzwanie dla mojego urzędu na najbliższe lata.

Mając świadomość tych problemów, czy ma pan jakieś plany z nimi związane (zmiany, nowelizacje ustawy) na rok 2009?

Ponieważ problemy związane z rozwojem nowoczesnych technologii dotyczą wszystkich krajów, to już dyskutujemy o nich podczas regularnych spotkań europejskich rzeczników ochrony danych osobowych (jest to tzw. Grupa Artykułu 29). Mam też już wstępne koncepcje rozwiązania kilku palących problemów, także tych związanych z internetem, które moglibyśmy wprowadzić w polskim prawie. W najbliższym czasie planuję jeszcze spotkać się z ekspertami w tej dziedzinie, zarówno z organizacji rządowych, jak i pozarządowych, a także środowiskiem internautów, i wszystko przedyskutować, ponieważ największym problemem, z którego wynika brak unormowań, jest to, że internet dotyczy wszystkich sfer życia i tutaj trzeba współdziałać z wieloma środowiskami, żeby w jednym akcie prawnym wypracować wszelkie niezbędne rozwiązania dotyczące internetu.

Jesteśmy świadkami postępującej informatyzacji państwa, a w związku z tym coraz częściej będzie się mówiło o kontaktach na linii urząd-urząd, urząd-obywatel. Czy przewiduje Pan już problemy z ochroną danych na linii tej komunikacji.

Zacznijmy od tego, że teraz mówimy o e-bankowości - to już jest zwrot, który zapisał się na stałe. Za chwilę będziemy mówić o e-gospodarce. Oczywiście, mamy zamiar, aby można było więcej rzeczy załatwiać przez internet, natomiast nie będzie to możliwe do momentu, do kiedy internet nie będzie na tyle powszechny, żeby był dostępny dla każdego. Jeśli w dodatku nie będzie podpisu kwalifikowanego, to ja tego za bardzo sobie nie wyobrażam. Zwłaszcza że ostatnio zapadł wyrok jeśli chodzi o ochronę danych osobowych, w którym to wyroku podważono wyrażenie zgody za pomocą kliknięcia. W tym momencie zdaje Pan sobie sprawę z tego, że to podważa w ogóle istnienie wielu witryn internetowych.

No tak, kliknięcia mogą zostać wykonane przez osobę niepowołaną lub nawet przez automat.

Właśnie. Ale w tym momencie, jeżeli sąd administracyjny uważa, że nie jest to forma wyrażenia zgody, a to tylko i wyłącznie podpis kwalifikowany, to wszystkie firmy zbierające w ten sposób dane osobowe po prostu łamią prawo.

Ostatnio dość popularne są przykłady namierzania użytkowników sieci P2P przez firmy prywatne współpracujące z organizacjami, które zarządzają prawami autorskimi. Często te firmy identyfikują daną osobę po adresie IP, następnie śledzą ten adres i zbierają wokół niego różne dane. Czy działanie tych firm jest legalne, nawet jeśli numer IP nie jest daną osobową?

Jesteśmy na etapie rozszerzania definicji danych osobowych. W tym przypadku należałoby mówić chyba o "informacji osobowej", a nie tylko o "danych osobowych". Używając sformułowania "dane osobowe", niejako podświadomie zawężamy krąg podlegających ochronie informacji i myślimy o tym, co się znajduje w dowodzie osobistym. Właśnie rozwój nowych technologii powoduje, że do kwestii danych osobowych trzeba podejść inaczej. Dlatego uważam, że należy rozszerzyć definicję danych osobowych, potraktować je jako informacje osobowe.

Moim zdaniem, IP komputera jest daną osobową. Kiedyś takie twierdzenie było niedopuszczalne, natomiast rozwój technologii upoważnia nas do tego, aby IP komputera uznać za daną osobową. Co więcej, teraz już uważamy, że rzadko kiedy IP komputera nią nie jest. Sądzę też, że nawet loginy, nicki i pliki cookie w wielu przypadkach stanowią dane osobowe. To całkiem nowe podejście, prawda?

Czyli loginy i nicki komunikatorów też można zacząć uważać za dane osobowe?

Tak. Musimy zdawać sobie sprawę z jednej rzeczy - w sieci nie jesteśmy anonimowi.

Ale w przypadku adresów IP można się spierać. Często jest w domu jeden komputer, z którego korzysta kilka osób, albo jeden adres IP odpowiada komputerom z jakiejś sieci.  Czy wypracowaliście państwo jakieś metody identyfikacji, w jakich przypadkach można mówić o danej osobowej?

Obserwując rozwój nowoczesnych technologii w Polsce i na świecie, doszliśmy po prostu do wniosku, że są technologie umożliwiające dotarcie do osoby, która kryje się za danym IP. Dlatego uważamy, że w większości przypadków ten numer to dana osobowa.

Jakie jeszcze inne serwisy wśród społecznościowych uważałby Pan za stanowiące zagrożenie dla danych osobowych.

Panie redaktorze, wszystkie serwisy społecznościowe stanowią zagrożenie dla danych osobowych. Wszystkie. Wszystkie serwisy, gdzie internauci mogą zostawić dane, nie myśląc o tym, kto będzie miał do nich dostęp i jak będzie mógł je wykorzystać, stanowią zagrożenie. Często zostawiamy dane z niskich pobudek, choćby z chęci pochwalenia się swoim statusem materialnym. Tymczasem każdy serwis społecznościowy, w którym bezmyślnie opublikujemy zbyt wiele danych, będzie stanowił zagrożenie. Nawet najlepsze zabezpieczenia nas nie ochronią. To my podejmujemy decyzję, czy upubliczniać aż tyle informacji o nas, czy nie.

Co w takim razie z wyszukiwarkami, które potrafią wyciągać z serwisów społecznościowych określone informacje? Są już narzędzia, które potrafią na podstawie imienia i nazwiska przyporządkować dane treści łącznie z danymi osobowymi do danej osoby. Wystarczy wpisać imię i nazwisko danej osoby, aby zobaczyć jej dane z różnych serwisów. Czy działanie takich narzędzi ma rację bytu? Można je uznać za zgodne z prawem, uczciwe? Czy mogą one ot tak gromadzić informacje?

Europejscy rzecznicy ochrony danych osobowych spotykają się, aby wypracowywać wspólne stanowiska w najważniejszych kwestiach. Zajęliśmy się już m.in. sprawą zbierania tych informacji i stoimy na stanowisku, że jeśli odbywa się to bez zgody zainteresowanego, to jest to łamanie prawa. Tu mówię krótko, bo stanowisko to wypracowane jest na tyle, że da się je streścić w jednym zdaniu. Jeśli odbywa się to bez zgody zainteresowanego, to jest to łamanie praw.

Wrócę znów do Naszej-Klasy. Sam mam dzieci, które już mnie pytają, czy mogą sobie założyć profil. W serwisie tym jest już wiele profili osób niepełnoletnich. Każde dziecko może mieć profil, zapisać się do klasy itd. Jak jednak wiadomo, dzieci nie potrafią do końca odróżnić, które dane są wrażliwe, które nie. W jaki sposób przeciwdziałać temu, aby dziecko nie ujawniło zbyt wiele danych?

Przede wszystkim trzeba dbać o bezpieczeństwo dzieci. Jak sam Pan zauważył, dzieci nie potrafią ocenić ryzyka związanego z ujawnianiem danych. Dlatego nie można dziecka zostawiać w sieci samemu sobie, bo może ono narobić nam wymiernych szkód. Ktoś może wyciągnąć od dziecka nie tylko informacje na jego temat, ale także na temat rodziców (np. może wyciągnąć numery kont). Istnieje też zagrożenie ze strony pedofilów.

Pomijam, że ciężko jest dziecko upilnować, ale też problemem jest to, że rodzice nie wychowują teraz dzieci, gdyż są zbyt zabiegani. Ideałem byłoby, gdyby dziecko rozmawiało na ten temat z rodzicem. To my musimy budować świadomość dziecka związaną z korzystaniem z sieci.

Poza tym trzeba pamiętać o jednej kwestii. Dzieci nie mają pełnej zdolności do czynności prawnych. Jedynie rodzice albo opiekunowie prawni mogą wyrazić zgodę na przetwarzanie ich danych osobowych.

Ale dzieci zakładają jednak te profile. Wiadomo, że serwis łatwo też oszukać co do daty urodzenia. Gdyby jednak chcieć zrobić wszystko jak należy, to w jaki sposób można weryfikować młodych użytkowników? Czy powinny istnieć przepisy, które nakazują serwisom określone działania?

Prawo właściwie już jest, bo wprost mówi ono o tym, że dziecko jest niezdolne do czynności prawnej. Natomiast na całym świecie nie ma jednobrzmiących przepisów dotyczących internetu, pomagających nam znaleźć się w dzisiejszej rzeczywistości. Je trzeba dopiero wypracować. Ciągle się nad tym zastanawiamy, ale to bardzo skomplikowane zagadnienie.

Ta ułomność przepisów wobec internetu jest ciągle wykorzystywana przez różne nieuczciwe osoby nie tylko w stosunku do dzieci. No bo jak zweryfikować, czy dana osoba w sieci jest rzeczywiście osobą, za którą się podaje? To jeden z głównych problemów Naszej-Klasy. Albo czy osoba, która domaga się zlikwidowania konta, jest tą, która jest krzywdzona? A może ktoś się pod kogoś celowo podszywa? Tutaj się robi kwadratura koła.

Czy mógłby Pan udzielić jakichś podstawowych rad Czytelnikom Dziennika Internatów, które pozwolą im zadbać o bezpieczeństwo swoich danych w sieci.

Rada jest bardzo prosta i jedyna – myślmy o tym, co robimy w sieci. Zawsze zastanawiajmy się nad tym, jakie informacje na swój temat upubliczniamy w internecie, bo to oznacza odarcie się z prywatności. Miejmy świadomość, że internet jest całością i ktoś, kto będzie szukał informacji o nas, będzie traktował internet jako całość, aby stworzyć nasz profil. Dla wielu z nas internet to jego poszczególne fragmenty, natomiast osoby nieuczciwe tak do niego nie podchodzą. Przede wszystkim trzeba myśleć i zastanawiać się nad tym, co się robi. Pamiętać o tym, że nasze dane osobowe są cenne nie tylko dla nas, ale także dla osób, które są nieuczciwe. Dlatego szanujmy swoje dane osobowe.