Dziennik Internautów (DI): Jak Pan ocenia bieżący stan bezpieczeństwa danych osobowych w polskim internecie?

fot. GIODO - dr Wojciech Wiewiórowski

To, że jest coraz lepiej, odniósłbym do faktu, że przedsiębiorcy działający z terenu Polski bądź z terenu Unii Europejskiej od kilkunastu lat muszą dostosowywać się do przepisów dotyczących ochrony prywatności, co powoduje, że wykorzystywane przez nich systemy teleinformatyczne są coraz bardziej bezpieczne i rzeczywiście odpowiadają unijnym wymaganiom. Natomiast to, że wciąż nie jest dobrze, wynika z faktu, że coraz więcej serwisów, z których korzystamy, mimo iż są dostępne w języku polskim, prowadzonych jest spoza terenu Unii Europejskiej, niekiedy z bardzo dziwnych miejsc na świecie, gdzie niekoniecznie dane osobowe są przetwarzane według reguł, do których jesteśmy przyzwyczajeni.

Drugim powodem do niepokoju są natomiast działania samych użytkowników internetu. Badania Eurobarometru dotyczące ochrony prywatności, dowodzą, że 83% Polaków jest świadomych, iż prywatność to jedna z najważniejszych rzeczy do ochrony w internecie, jednak praktyka działania znacznie odbiega od tych deklaracji.

DI: Z raportu „Social Media 2010” przygotowanego przez Internet Standard wynika, że liczba Polaków korzystających z Facebooka przekroczyła już 8 mln. Zwracał Pan niedawno uwagę, że Facebook nie informuje poprawnie - tak jak tego wymagają przepisy europejskie - o zagrożeniach, które wynikają z jego polityki prywatności, ani też nie uznaje polskiej jurysdykcji (zob. Facebook poza polską jurysdykcją: nie można go ani pozwać, ani skontrolować).

WW: Jeżeli chodzi o kwestie związane z jurysdykcją, to mamy tutaj poważny problem polegający na tym, że Facebook jako przedsiębiorca nie uznaje się za podmiot działający na terenie Rzeczypospolitej. Wszelkie działania, które podejmujemy w sprawach związanych z Facebookiem, musimy prowadzić poprzez naszego odpowiednika w Irlandii, gdzie znajduje się europejskie przedstawicielstwo tego przedsiębiorcy. Działania te, jeżeli chodzi o kwestie związane z postępowaniem karnym, są stosunkowo proste. Natomiast kwestie związane z postępowaniem cywilnym, niestety, nie mieszczą się w ramach tego, co jest dopuszczalne w Irlandii. Co do postępowania administracyjnego, to nie ma żadnych wątpliwości, że polski organ publiczny nie ma bezpośredniej możliwości wydawania decyzji wobec podmiotu znajdującego się w innym kraju Unii Europejskiej.

Ten problem jest jednak problemem ogólnoeuropejskim i wszystkie kraje zdają sobie z tego sprawę. Wydaje się, patrząc na propozycje, które się pojawiają w instytucjach unijnych, że w tym względzie Unia Europejska ma zamiar podążać drogą, którą już wytyczyła, jeżeli chodzi o postępowania antymonopolowe czy konsumenckie, w których przedsiębiorcy świadczący usługi skierowane do jakiegoś kraju są zobowiązani do przestrzegania reżimu prawnego, który w tym kraju obowiązuje, lub przynajmniej reżimu prawnego, który obowiązuje na terenie Unii Europejskiej.

DI: Jakie konkretnie zarzuty Generalny Inspektor Ochrony Danych Osobowych stawia serwisom społecznościowym, w tym Facebookowi, a co takim zarzutem nie jest?

WW: Jestem wielkim zwolennikiem twierdzenia, że prawo do dysponowania swoją prywatnością i używania jej do celów, jakie sobie wymyślimy, jest jednym z podstawowych praw społecznych. To oznacza również prawo do „obnażania” swojej prywatności, oczywiście w granicach, które nie są zakazane prawem karnym. Absolutnie nie mam zamiaru chronić obywateli przed ich własnymi decyzjami co do ujawniania swoich myśli, przeżyć, nałogów, potrzeb seksualnych - nazywam to żartobliwie społecznym prawem do popełniania głupstw.

Mam natomiast dwa zarzuty dotyczące wyrażania zgody na przetwarzanie danych w serwisach społecznościowych. Człowiek może realizować swoje prawo do dysponowania prywatnością, w tym danymi osobowymi, tylko wtedy, gdy wie, na co tak naprawdę się decyduje. Mój podstawowy zarzut do wielu serwisów internetowych polega na tym, że naprawdę trzeba bardzo mocno się postarać, żeby poznać politykę prywatności, np. Facebooka i współpracujących z nim podmiotów. Polityka prywatności jest dostępna tylko w języku angielskim i znajduje się w takich miejscach, do których niespecjalnie łatwo dotrzeć. Użytkownicy nie są poprawnie informowani o tym, w jaki sposób przetwarzane są dane, których dostarczają. Drugie zastrzeżenie dotyczy tego, że serwisy społecznościowe powinny być budowane w taki sposób, by rozpoczęcie korzystania z nich wiązało się z koniecznością przekazania jak najmniejszej liczby danych osobowych. To nie ma miejsca w przypadku choćby takiego serwisu, jak Facebook.

Moją rolą - jako organu do spraw ochrony danych osobowych - jest ponadto reagowanie na przypadki zakładania w serwisach społecznościowych fałszywych profili, np. znanym artystom czy politykom, lub upubliczniania danych osobowych innych osób w profilach własnych, gdy dostarczyciel usługi nie chce reagować na skargi składane przez osoby, których dane zostały bezprawnie wykorzystane.

DI: Jakie przypadki uznaje Pan za najtrudniejsze?

WW: Pierwszym takim przypadkiem jest umieszczanie w serwisach społecznościowych informacji o osobach trzecich, także filmów i zdjęć, na których oprócz nas znajdują się osoby trzecie. To bardzo delikatna sprawa, ponieważ trzeba być świadomym, że ktoś może sobie po prostu tego nie życzyć, nawet jeśli są to zdjęcia czy filmy jak najbardziej prawdziwe i zdaniem osoby, która umieszcze je w internecie, nie zawierają niczego złego.

Drugim skrajnie trudnym przypadkiem jest kwestia ochrony praw małoletnich. Kiedy mówiłem, że nie chcę w żaden sposób ograniczać prawa do wypowiadania się w serwisach społecznościowych, to odnosiłem tę opinię do osób dorosłych, bo w przypadku osób małoletnich wymagana jest pewna ostrożność. Jeżeli dorosła osoba umieszcza w swoim profilu skrajnie intymne informacje na swój temat, to wszystko jest w porządku - tak zadecydowała, może na tym budować swój wizerunek. Jeżeli robi to osoba, która ma lat 16, zastanowiłbym się, czy na pewno wie, co robi. Natomiast jeżeli ta osoba ma lat 13, to zastanowiłbym się, czy nie doszło do popełnienia przestępstwa, bo być może ktoś ją zmusił albo nakłonił do tego, żeby tego typu informacje w internecie umieściła. Podsumowując, wolność słowa jest, oczywiście, czymś bardzo istotnym i nie powinna podlegać zbyt daleko idącym ograniczeniom. Jednak wolność ujawniania informacji o samym sobie może być ograniczona w przypadku, kiedy mamy do czynienia z osobą małoletnią.

DI: Jakie dostrzega Pan problemy związane z rozwojem nowych technologii, np. systemów namierzania GPS i serwisów geolokalizacyjnych?

WW: Jednym z problemów, jakie wynikają z postępu technologicznego, jest możliwość łatwego rozpowszechniania informacji dotyczących osób trzecich. W jednym z amerykańskich serwisów (nie będę tutaj podawał jego nazwy) możemy umieszczać informacje, że np. Kowalski był widziany w pizzerii na rogu ulicy takiej a takiej, a znany celebryta je w tej chwili obiad w restauracji o tej i tej nazwie, w tym i tym miejscu. I chociaż informacje te dotyczą osób publicznych, to mam duże wątpliwości, czy takie postępowanie jest dopuszczalne. To problem podobny do tego, z jakim mamy do czynienia w przypadku gazet nazywanych popularnie brukowymi: jakiego rodzaju informacje dotyczące osób publicznych można ujawniać.

Wielu problemów przysparzają też klasyczne usługi geolokalizacyjne. Często się spotykamy z wykorzystywaniem narzędzi typu GPS np. w samochodach służbowych, czyli używaniem ich do rozliczania czasu pracy, kontrolowania miejsca, w którym znajduje się pracownik, czy też analizowania tego, w jaki sposób nasz pracownik poruszał się po mieście, np. sprzedając nasze towary. To jest dość poważny problem, gdyż trudno odmówić pracodawcy możliwości kontroli nad tym, jak wykorzystywany jest jego „sprzęt służbowy”, a takim „sprzętem” jest przecież samochód należący do firmy.

Istnieje jeszcze kwestia możliwości ustalania miejsca przebywania konkretnej osoby bez jej wiedzy. Dosłownie dwa dni temu trafiła do nas informacja o serwisie geolokalizacyjnym, który operuje spoza terenu Unii Europejskiej i twierdzi, że za odpowiednią opłatą jest w stanie podać informacje, gdzie fizycznie znajduje się właściciel telefonu komórkowego o takim a takim numerze albo gdzie ostatnio się znajdował, kiedy łączył się z siecią. Zgodnie z naszymi przewidywaniami serwis ten nie oferował jednak działającej usługi geolokalizacyjnej, a był jedynie przykładem prymitywnego oszustwa internetowego.

DI: W listopadzie ubiegłego roku ostrzegaliśmy na naszych łamach przed bardzo podobnym serwisem, który został już jednak zablokowany (zob. Uwaga na „localizer” rzekomo za złotówkę + VAT).

WW: Mam wrażenie, że jest to usługa, która nie zadziała, że mamy tu do czynienia z oszustwem, ale przyznam, że badamy sprawę. Jeżeli okazałoby się, że przedsiębiorca rzeczywiście jest w stanie dostarczyć nam tego typu informacji, to może to oznaczać dwie rzeczy, które są dla mnie niepokojące. Po pierwsze, że z baz operatorów telekomunikacyjnych, które w oczywisty sposób zbierają tego typu informacje, dane te wyciekają. Po drugie, że operatorzy telekomunikacyjni takie dane owemu przedsiębiorcy przekazują, co jest dla mnie rzeczą wręcz niemożliwą do wyobrażenia. Ponieważ nie chce mi się wierzyć, że którakolwiek z tych dwóch alternatyw jest możliwa, to sądzę, że mamy do czynienia z serwisem wyłudzającym pieniądze za usługę, której nie może on wykonać. Jednak dopiero po sprawdzeniu technicznym, jak ten serwis funkcjonuje, będę w stanie powiedzieć, jakie czynności zostaną podjęte.

DI: Wróćmy jeszcze na grunt polski. W okresie noworocznym została stworzona strona internetowa pozwalająca porównywać zdjęcia studentek Politechniki Wrocławskiej, którą - na fali popularności filmu "The Social Network" - nazwano Facemash. Uczelnia powiadomiła już prokuraturę o podejrzeniu popełnienia przestępstwa (zob. Co grozi twórcom wrocławskiego Facemasha? i Wrocławski Facemash: Uczelnia sprawdziła system pod kątem zabezpieczeń). Istnieje jednak przepis nakazujący administratorowi danych osobowych, w tym przypadku Politechnice Wrocławskiej, prawidłowe zabezpieczenie zbioru. Można założyć, że skoro doszło do wycieku, to administrator nie wywiązał się ze swoich obowiązków. Czy doszło do złamania ustawy o ochronie danych osobowych?

WW: Sprawa ta jest w obecnej chwili badana przez Generalnego Inspektora. Wpłynęły do nas dwa różne sygnały dotyczące administrowania danymi osobowymi przez Politechnikę Wrocławską. Jeden dotyczył sprawy, o której Pani mówi, czyli możliwego naruszenia ustawy o ochronie danych osobowych w serwisie facemashpwr.pl. Drugi natomiast odnosi się do zdarzeń, które miały miejsce w dziekanacie Wydziału Chemicznego, gdzie można uzyskać zbyt swobodny dostęp do indeksów studentów. Ponieważ uważamy, że oba te przypadki są dość poważne, Generalny Inspektor Ochrony Danych Osobowych zdecydował podjąć czynności wyjaśniające z urzędu. Na razie skierował pismo do rektora Politechniki Wrocławskiej z prośbą o wyjaśnienia dotyczące sposobu zabezpieczenia danych osobowych studentów tej uczelni. Jeżeli te wyjaśnienia będą niewystarczające, zostaną oczywiście podjęte kolejne kroki.

DI: Według PAP w drugiej połowie 2011 roku mają być gotowe tezy do zmian w ustawie o ochronie danych osobowych, wypracowane podczas serii konferencji z udziałem ekspertów i praktyków (zob. GIODO będzie mógł karać grzywną, więzieniem...).

WW: Rzeczywiście, a 16 grudnia 2010 roku rozpoczęliśmy te działania od konferencji zorganizowanej na Uniwersytecie Kardynała Stefana Wyszyńskiego, która miała charakter wbicia kija w mrowisko i sprawdzenia, które tematy związane z szeroko rozumianą ochroną prywatności wymagają omówienia. Pewne zmiany w ustawie o ochronie danych osobowych wejdą w życie już w marcu tego roku, ale trzeba pamiętać, że są one odzwierciedleniem dyskusji, która zaczęła się trzy lata temu od projektu zgłoszonego przez św.p. prezydenta Lecha Kaczyńskiego.

Natomiast w tej chwili jest konieczność mocnego odświeżenia ustawy. Chcemy podążyć kilkoma ścieżkami tematycznymi, dyskutując kwestie związane z ochroną danych osobowych w internecie, ale też związane z sytuacją pracownika, biometrią, usługami finansowymi i ubezpieczeniowymi, sytuacją służb specjalnych, ochroną danych osobowych w oświacie, szkolnictwie wyższym... Wspominam o tych najprostszych, ale za chwilę musiałbym dodać inteligentne sieci energetyczne, RFID, internet przedmiotów itd.

W drugiej połowie 2011 roku rzeczywiście chcielibyśmy dojść do pewnych podsumowań, na podstawie których mogłyby zostać stworzone tezy do projektu ustawy. Można byłoby przedłożyć je parlamentowi nowej kadencji, żebyśmy rok 2012 rozpoczęli od procesu legislacyjnego związanego z ustawą o ochronie danych osobowych, ale zapewne również z innymi aktami prawnymi, które z ochroną prywatności są związane.

DI: Dziękujemy za rozmowę.