Co trafi do Internetu, już tam zostanie

Rozmowa z WOJCIECHEM RAFAŁEM WIEWIÓROWSKIM, głównym inspektorem ochrony danych osobowych

<!** Image 2 align=right alt="Image 155675" sub="Fot. www.giodo.gov.pl">Czy polskie przepisy o ochronie danych osobowych nie nadążają za rzeczywistością?

Z pewnością nie nadążają, ale nie należy z tego robić zarzutu do polskich regulacji. Problem ten dotyczy w podobnym stopniu Polski, co innych krajów Unii Europejskiej. Co prawda w Sejmie ukończono prace nad drobnymi zmianami w ustawie o ochronie danych osobowych, ale potrzebny jest generalny przegląd ustawodawstwa w tym zakresie, który prowadziłby do jego kompleksowej nowelizacji. Obecnie obowiązująca ustawa o ochronie danych osobowych została uchwalona w 1997 roku na podstawie dyrektywy europejskiej z 1995 roku, która powstała w 1994 roku. Jeżeli spróbujemy sobie wyobrazić, jak wtedy świat wyglądał, jeśli chodzi o przetwarzanie informacji, a jak dzisiaj, to widzimy, że te przepisy tak naprawdę odnoszą się do rzeczywistości przedinternetowej. Do nowelizacji nie dojdzie w ciągu najbliższego roku, bo kończy się kadencja Sejmu. Mamy więc czas na przygotowanie aktów prawnych, które byłyby procedowane w nowej kadencji.

<!** reklama>Od czego trzeba zacząć?

Przede wszystkim należy zastanowić się, czy aparat pojęciowy, którym się posługujemy, przystaje do dzisiejszego dnia. Kiedy 15 lat temu używano określenia administrator albo przetwarzający dane osobowe, myślano o świecie papierowym albo co najwyżej o komputerach, nad którymi sprawuje kontrolę jedna osoba. Dziś, kiedy mówimy o serwisach społecznościowych, nie jesteśmy w stanie odpowiedzieć na pytanie, czy administratorem danych, np. w Naszej Klasie lub na Facebooku jest ten, kto go prowadzi, czy może każda z osób, które swoje dane tam zamieszcza. Należałoby też rozstrzygnąć, co to są dane biometryczne, czy zasady przetwarzania danych o stanie zdrowia zapewniają ich odpowiednią ochronę, jakie dane są wrażliwe, a jakie zwykłe, itd.

Ma Pan swoje profile na kilku portalach społecznościowych. Nie obawia się Pan, że ktoś zasięgnie o Panu zbyt wiele informacji?

Staram się dbać o to, jakie informacje tam umieszczam. Jeśli robimy to rozsądnie, wręcz zwiększamy ochronę swoich danych osobowych, ponieważ w tej sytuacji ludzie nie poszukują już dodatkowych informacji o nas w innych zasobach. Między innymi dlatego mam jeden prywatny adres e-mailowy, który podaję w serwisach społecznościowych i na stronie Uniwersytetu Gdańskiego. Dzięki temu ta poczta nie trafia pod adres służbowy.

Jak możemy skutecznie chronić swoje dane osobowe?

Po pierwsze, każdy powinien się zastanowić, które dane o sobie chciałby przekazać do wiadomości publicznej, a które nie. Trzeba bowiem zdawać sobie sprawę z tego, że każda informacja przekazana do Internetu, tam już pozostanie. Nie da się jej w dowolnym momencie wycofać. Te informacje rozprzestrzeniają się w Internecie, a nasi przyjaciele i nieprzyjaciele mogą je przetwarzać. Po drugie, kiedy jesteśmy zmuszani albo zachęcani do przekazywania swoich danych osobowych, zalecana jest ogromna ostrożność. Należy zważać, co i komu przekazujemy, a kiedy mamy wątpliwości, nie wolno się wstydzić pytać. Czy na pewno dana instytucja powinna żądać od nas danych osobowych w aż tak szerokim zakresie, czy na pewno do zawarcia jakieś umowy potrzeba aż tylu informacji o nas, czy musimy udzielać informacji na temat stanu zdrowia, itd.

Ludzie jednak zbyt rzadko korzystają z prawa do ochrony swoich danych...

Z badań Eurostatu wynika, że 83 proc. Polaków zauważa istnienie problemu przetwarzania danych osobowych i konieczność ich ochrony. W porównaniu z innymi krajami unijnymi ten odsetek jest bardzo wysoki. Z drugiej strony, czytanie regulaminów nie jest naszą ulubioną czynnością. Jeżeli korzystamy z serwisów internetowych, najpierw staramy się sprawdzić, jak on wygląda i działa, a dopiero potem zastanawiamy się albo i nie, czy w ogóle powinniśmy w nim uczestniczyć. To jest bardzo ważne, ponieważ często nie mamy możliwości wycofania się z niego. Mnie zdarzyło się skorzystać z kilku serwisów, z których - mimo wielu prób - do dzisiaj nie mogę się wypisać.

Jak zamierza Pan skłonić portale społecznościowe do większej dbałości o ochronę danych osobowych?

W przypadku polskich portali nie jest to aż tak trudne, raczej jest to kwestia współpracy z nimi. To, że jakiś serwis społecznościowy współdziała z GIODO, jest dla niego plusem. Działa to trochę jak w przypadku serwisów aukcyjnych. Chwalą się one dobrą współpracą z policją, bo to jest sygnał dla klientów: u nas twoje dane są bardziej bezpieczne.

Wiemy, jaka jest skala handlu danymi osobowymi w Polsce?

Nie, ale z rodzaju skarg, które do nas napływają, wynika, że sytuacja zmieniła się na lepsze. Niektórzy jednak zastanawiają się, czy ochrona danych osobowych nie jest walką z wiatrakami, ponieważ dane te i tak przenikają między instytucjami, a my wyłapujemy tylko niewielki procent tych zdarzeń.

Powinniśmy niepokoić się powstającym elektronicznym systemem informacji medycznej?

Wciąż nie wiemy, jak ten system będzie wyglądał. Dlatego nie powinniśmy bać się zadawania pytań na jego temat, ponieważ jest to potencjalnie bardzo groźne narzędzie. Gdyby znalazły się w nim historie przebytych przez pacjentów chorób, wówczas podstawowe będzie pytanie, kto będzie miał dostęp do tych danych i w jakim zakresie. Czy dane każdego pacjenta będą się w nim znajdować z założenia, a pacjent będzie mógł zażądać ich usunięcia, co byłoby absolutnym minimum dla ochrony danych osobowych. Czy też będzie odwrotnie, te dane nie będą się tam znajdować w formie spersonalizowanej, natomiast pacjent będzie mógł sobie zażyczyć, żeby one się w nim znalazły, co wbrew pozorom nie będzie wcale takie rzadkie. Sam chciałbym, aby lekarze mieli dostęp do moich danych medycznych i nie musiałbym wozić w teczce całego pliku badań z ostatnich lat. Uważam jednak, że nie każdy lekarz powinien mieć dostęp do całego zestawu danych.

Czy powinniśmy godzić się na przepisy naruszające naszą prywatność w imię poprawy bezpieczeństwa ogólnego?

Musimy, oczywiście, godzić się na pewne ograniczenia naszej wolności, ale wymogi bezpieczeństwa publicznego czy państwa nie mogą być powszechnym wytrychem, otwierającym dostęp do wszystkich danych osobowych obywateli.

Czy coraz powszechniejszy monitoring nie za daleko ingeruje w naszą prywatność?

W przypadku monitoringu ulicznego szansa uznania zawartych w nim danych za osobowe jest nikła. Zwłaszcza, że wiadomo jak trudny jest ich odczyt. Nie można np. zidentyfikować osoby, która była w pobliżu zaginionej dziewczyny w Trójmieście, choć mamy nagranie z ulicznej kamery. Z drugiej strony, monitoring mający jedynie kontrolować pracę kasjera w sklepie, może prowadzić do zbierania danych klientów tegoż sklepu. W najbardziej drastycznym przypadku możemy zastanawiać się, czy operacje, których dokonujemy za pomocą karty płatniczej nie są także możliwe do zidentyfikowania w takim systemie. Może na nagraniu widać, jaki PIN wystukaliśmy i numer karty. Na dziś monitoring jest nie tyle problemem z zakresu ochrony danych osobowych, lecz szerzej rozumianej prywatności. Ale raczej chcemy, żeby świat był monitorowany. Nie bez powodu wiele miast zachęca do przyjazdu, chwaląc się, że są monitorowane, czyli bezpieczniejsze.

Zrobi Pan coś z listami lokatorów?

Uważam, że w tej kwestii byliśmy bardziej papiescy od papieża. Prawdą jednak jest, że nie każdy chce, żeby znany był jego adres. Być może należałoby postępować tutaj tak, jak przy zastrzeganiu numerów telefonów komórkowych - opt out. Nie chcąc być w spisie lokatorów, powinniśmy tego zażądać. W Europie jednak obowiązuje opt in - jeżeli chcemy, aby nasze dane były gdzieś umieszczone, musimy wyrazić na to zgodę. Niemniej w obecnych rozwiązaniach widać pewną absurdalność. Sądzę, że i ten problem będzie rozpatrywany przy opracowywaniu projektów zmian kilkudziesięciu aktów prawnych, związanych z ochroną danych osobowych.

Czy buszujący w Internecie oszczercy powinni być anonimowi?

Myślę, że rozwiązania obowiązujące w polskim prawie nie są złe. Istnieje możliwość ujawnienia danych osoby, która w sieci dokonała przestępstwa i toczy się postępowanie karne. W przypadku postępowania cywilnego byłbym jednak ostrożny. Prawo do wyrażania swojej opinii jest bowiem częścią zagwarantowanych konstytucją praw obywatelskich.

Teczka osobowa

Wojciech Rafał Wiewiórowski

Ma 39 lat, niedawno został nowym generalnym inspektorem ochrony danych osobowych (zgłosiła go PO). Jest doktorem nauk prawnych Uniwersytetu Gdańskiego. Zajmuje się, m.in., polskim i europejskim prawem nowych technologii, przetwarzaniem i bezpieczeństwem informacji, ochroną danych osobowych i podpisem elektronicznym. W latach 2006-2008 był doradcą ds. informatyzacji w gabinecie politycznym ministra MSWiA, w październiku 2008 r. został dyrektorem Departamentu Informatyzacji MSWiA. W latach 2006-2008 był współprzewodniczącym Komisji Regulacyjnej ds. Polskiego Autokefalicznego Kościoła Prawosławnego.

Hobby: historia stosunków politycznych i historią sportu. Muzyka (od średniowiecznej do punk rocka) oraz prekolumbijskie kultury Mezoameryki.