wywiad - euro25

Wojciech Rafał Wiewiórowski
Nasze życie
w „chmurze” informacji
Rozmowa z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych
Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych
– Panie Ministrze, obserwując
działalność Biura Generalnego Inspektora Ochrony Danych Osobowych
(GIODO), można bez żadnej przesady
powiedzieć, że rola urzędu z każdym rokiem jest większa. Co takiego
dzieje się w naszej rzeczywistości, że
nasze dane osobowe wymagają coraz
większej ochrony?
– W ciągu 15 lat obowiązywania
ustawy o ochronie danych osobowych
i działalności urzędu przede wszystkim
zmieniły się sposoby przetwarzania danych osobowych. Na początku funkcjonowania Biura Generalnego Inspektora
Ochrony Danych Osobowych mieliśmy
do czynienia głównie z wykorzystywaniem
informacji w postaci klasycznej, często
papierowej, mówiliśmy najwyżej o marketingu telefonicznym, a pewne rozwiązania elektroniczne i internetowe dopiero
się pojawiały. Dzisiaj internet otacza nas
z każdej strony, a komputery mające
znacznie większe możliwości, niż te, które
w 1995 roku stały w laboratoriach uniwersyteckich, nosimy w kieszeni i nazywamy
tabletami lub smartfonami. Kilkanaście lat
temu przetwarzanie informacji wyglądało
zatem zupełnie inaczej. Dziś każdy z nas
jest zarówno przetwarzającym informacje,
jak i ich administratorem. Dzisiaj jesteśmy
u progu rozwoju tzw. internetu przedmiotów, czyli ery, w której same przedmioty,
w których znajdują się różnego rodzaju
sensory, będą komunikowały się między
sobą, będą przekazywały informacje,
które mogą być także informacjami o nas.
Trzeba przyznać, że wzrasta świadomość społeczeństwa, że informacje
o nas są wykorzystywane nie tylko do
tego, by przesyłać nam np. oferty handlowe, ale przede wszystkim do oceniania nas w różnych sytuacjach, m.in.
kiedy bierzemy kredyt, zawiązujemy
umowę ubezpieczeniową czy trafiamy do
lekarza. Ta informacja krąży wokół nas,
a my nie zawsze zdajemy sobie sprawę
z tego, w jaki sposób i przez kogo jest
wykorzystywana. Typowym przykładem
takiej sytuacji jest korzystanie przez nas
ze smartfona. Używamy go, by łączyć
się z innymi ludźmi, ułatwić sobie życie, ale nie zawsze jesteśmy świadomi,
że on również przesyła informacje dotyczące naszego zachowania, naszego
sposobu działania. Czasem może to być
dla nas dobre i czasem nawet możemy
sobie tego życzyć, ale niejednokrotnie
możemy być zaskoczeni, co się z taką
informacją dzieje.
6
– Czy zatem za każdym razem
kiedy używajmy takich zaawansowanych technologicznie urządzeń
powinna nam się zapalić czerwona
lampka?
– Nie chciałbym, żeby zapalała nam
się czerwona lampka, która by nas stopowała w działaniu, ale niech się zapala
przynajmniej żółta. Zanim bowiem klikniemy przycisk „tak, zgadzam się”, powinniśmy się zastanowić, czy na pewno mamy
pełną świadomość, na co się godzimy.
Czy na pewno wiemy, w jaki sposób przetwarzane są dane, które mamy zapisane
na naszym coraz bardziej zapełnionym
przenośnym urządzeniu, albo przechowujemy w „chmurze”, z którą za pomocą
tego przenośnego urządzenia się łączymy.
Generalnie jestem zwolennikiem używania
łacińskiej dewizy, która umieszczona jest
na herbie Gdańska, mojego rodzinnego
miasta: Nec temere, nec timide, czyli
Nie zuchwale, ale bez strachu. Nie zatrzymamy rozwoju technologii, ale możemy ją
ucywilizować.
– Wśród wielu określonych ustawą
kompetencji Generalnego Inspektora
Ochrony Danych Osobowych znajdziemy również przepis stanowiący,
że GIODO reaguje w przypadku naruszeń przepisów o ochronie danych
osobowych…
– To jeden z podstawowych sposobów działania GIODO. Reagujemy po
pierwsze wówczas, kiedy otrzymujemy
skargę – zawsze bowiem ją analizujemy,
a gdy jest zasadna, nakazujemy przywrócenie stanu zgodnego z prawem. Po drugie, działania podejmujemy wtedy, gdy
o bezprawnym wykorzystaniu danych
osobowych dowiadujemy się np. z prasy,
radia czy telewizji. Wówczas interweniujemy z urzędu. Z urzędu reagujemy
również w sytuacji, gdy o nieprawidłowościach poinformuje nas inna instytucja
państwowa, która np. prowadziła kontrolę. Najczęściej z tego typu współpracą
mamy do czynienia w przypadku Najwyższej Izby Kontroli (NIK) albo Państwowej
Inspekcji Pracy (PIP). Są to instytucje powołane do prowadzenia kontroli w innych
obszarach, ale przy okazji swoich działań
niejednokrotnie napotykają na sytuacje,
wywiad
które wywołują wątpliwości co do tego,
czy dane są przetwarzane prawidłowo.
Niedawno w parlamencie NIK przedstawiała wyniki kontroli przeprowadzonej
w Komendzie Głównej Policji w związku
z działaniem systemu e-posterunek.
Choć kontrola była prowadzona pod
kątem przysługujących NIK uprawnień,
to w czasie jej trwania kontrolerzy NIK
uznali, że istnieje duże prawdopodobieństwo, iż doszło do nieprawidłowego
i sprzecznego z prawem przetwarzania
danych osobowych, o czym poinformowali Generalnego Inspektora Ochrony
Danych Osobowych. Była zatem podstawa, by zająć się sprawą z urzędu. Jest
to normalny sposób działania.
Podobnie
przebiega
współpraca
z Państwową Inspekcją Pracy. PIP kontroluje przestrzeganie praw pracowniczych,
ale gdy przy okazji dostrzega problemy
związane z ochroną danych osobowych,
informuje nas o tym. Działa to też w drugą
stronę: gdy inspektorzy GIODO mają podejrzenia, że kontrolowana firma narusza prawa pracowników, przekazujemy
sprawę do zbadania przez PIP.
– Panie Ministrze, właśnie zakończyła się w Warszawie 35. Międzynarodowa Konferencja Rzeczników
Ochrony Danych i Prywatności, która
odbywała się pod hasłem „Prywatność: przewodnik po zagmatwanym
świecie”. Czy zdiagnozowała ona
problemy, którymi w najbliższych latach zajmą się rzecznicy, by chronić
nasze dane i naszą prywatność?
– W pewnym stopniu oczywiście
tak. Wśród kwestii, które były poruszane
podczas Konferencji, a które mają praktyczne znaczenie dla naszego działania,
warto wyróżnić temat sesji zamkniętej,
poświęconej tzw. apifikacji świata, a więc
zarządzania aplikacjami, które otaczają
nas ze wszystkich stron. Na tej sesji podkreślano, że nawet rzecznicy ochrony danych nie do końca wiedzą, co „potrafią”
różnego rodzaju gadżety. To nie całkiem
rozpoznany przez nas obszar. Rzecznicy
ochrony danych muszą mieć możliwość
coraz lepszego jego poznania, i tym
właśnie interesowali się uczestnicy sesji
zamkniętej.
Drugim istotnym tematem, poruszanym podczas otwartej części Konferencji, były zagadnienia związane z aferami
podsłuchowymi i inwigilacją prowadzoną
przez służby specjalne czy policje różnych
krajów. Tutaj poza kwestią, na ile dane
naszych obywateli były przetwarzane
przez służby z zagranicy, przede wszystkim ze Stanów Zjednoczonych, pojawia
się jedno ważne pytanie – jakie w tym
zakresie są uprawnienia polskich służb
i policji. Co prawda tematowi temu poświęcone było ubiegłoroczne posiedzenie
komisji sejmowej, na którym zarówno policja, jak i służby specjalne zapewniały, że
tego typu inwigilacja nie jest prowadzona,
to jednak czy takie zapewnienie jest wystarczające, by mieć pewność, że tak jest
w istocie? W Polsce nie mamy instytucji
publicznej, która byłaby niezależnym kontrolerem służb specjalnych. Ja mogę mieć
tylko nadzieję, że częścią reformy służb
specjalnych, którą zapowiadał Minister
Spraw Wewnętrznych, Bartłomiej Sienkiewicz, będzie wprowadzenie takiej kontroli. Przede wszystkim należy uregulować
prawnie dostęp instytucji publicznych do
danych, które są ulokowane na różnych
serwerach prywatnych. My jesteśmy gotowi na dyskusję, w wyniku której takie
prawo powstanie.
– A więc precyzyjne przepisy
prawa mogą rozwiązać problem?
– Jednak tylko do pewnego stopnia.
Pamiętajmy, że prawo wszystkiego nie
reguluje w całości, no i można przypuszczać, że nie będzie nadążało za nowymi
technologiami, bo one rozwijają się zbyt
szybko. Wspominałem już o wzajemnym
komunikowaniu się urządzeń. Mówiąc
o tym, nie myślę bynajmniej o takich urządzeniach, jak lodówka czy telewizor, ale
na przykład o… jogurtach. Będą one stały
na półkach i przesyłały informacje o sobie,
a jednocześnie o ludziach, którzy je kupili.
To jest coś, co w sposób naturalny nastąpi. To są te wyzwania technologiczne,
wobec których stajemy w rozumieniu globalnym. Taki charakter powinna też mieć
dyskusja o nich, co Konferencja warszawska potwierdza. Wzięli w niej udział rzecznicy ochrony danych i prywatności z całego świata, dzięki czemu możliwa była
wymiana wielu bardzo ważnych informacji. Pierwsze dwa dni Konferencji to sesje
zamknięte, które były przeznaczone tylko
dla rzeczników ochrony danych z całego
świata. W drugiej, otwartej części Konferencji uczestniczyło 500 osób z różnych
sektorów i branż. To naprawdę było bardzo ważne forum wymiany doświadczeń
i informacji. Dzięki temu spotkaniu wiemy
np., na jakie problemy napotkali ostatnio
rzecznicy w Nowej Zelandii, Japonii czy
Maroku. To pozwoliło nam zorientować
się, jakie wyzwania czekają nas w najbliższej przyszłości.
– Z tego, co Pan powiedział,
o ochronie danych należy myśleć wyprzedzająco…
– Jeżeli jako organy ochrony danych
jesteśmy o krok lub dwa kroki do przodu
niż przeciętny użytkownik danych, a chcielibyśmy być o trzy kroki przed nim, to na
bieżąco musimy się uczyć tego, co dzieje
się w świecie nowych technologii. Dlatego
na Konferencję w Warszawie zaprosiliśmy
m.in. specjalistów od aplikacji mobilnych
i od systemów operacyjnych, które obsługują urządzenia mobilne. Tylko tak
możemy dotrzymać kroku bardzo szybko
zmieniającej się rzeczywistości.
– Dziękuję za rozmowę.
Ilona saft
7
Szpieg w kieszeni
Sezam otwiera się teraz łatwiej niż za czasów Alibaby, a skarbem dla dzisiejszych
„rozbójników” są nasze dane. Pracując
w Komisji Prawnej PE nad regulacjami mającymi wprowadzić „ład i bezpieczeństwo”
w chmurach obliczeniowych zdałam sobie
sprawę ze skali współczesnego „sezamu”
i nonszalancji powierzających mu swoje
„skarby”.
O sprawie pisałam:
http://lgeringer.natemat.pl/74709,chmura-obliczeniowa-trampolina-wzrostu-czy-wtyczka-dla-sluzb-i-cybermafii.
Teraz ciąg dalszy…
Korzystając z aplikacji mobilnych możemy zupełnie nieświadomie przekazać
swoje lub cudze dane osobowe, także te
finansowo bardzo wrażliwe np. o naszym
koncie bankowym, numerach kart, pinach,
danych o stanie naszego zdrowia, ubezpieczeniach, wszelkich jakie mamy w pamięci
urządzenia, które podłączamy np. do komputera pokładowego naszego samochodu.
Przykładowo, gdy adwokat zsynchronizuje w ten sposób swojego iPada by posłuchać w aucie ulubionej muzyki, to przekaże komputerowi pokładowemu nie tylko
dźwięki, z których chciał skorzystać, ale
również kalendarz i listę swoich klientów…
Każdy, kto będzie miał później dostęp do
komputera w naszym samochodzie np. pracownik serwisu samochodowego, będzie
mógł z łatwością uzyskać dostęp do tych
i innych zsynchronizowanych danych.
Przez brak rozwagi czy niewiedzę przy
pomocy takiego urządzenia możemy przekazać bliżej niesprecyzowanej liczbie osób
na świecie informacje o wszelkiej naszej
aktywności. A raz udostępnione informacje są dziś praktycznie niemożliwe do wycofania. (Co prawda pracujemy właśnie
nad pewną propozycją, o czym pisałam:
http://lgeringer.natemat.pl/55693,kryzys-ochrony-prywatnosci, ale z wdrożeniem tej
nowości nie będzie łatwo).
Jeśli robiąc zakupy w Internecie zgodzimy się na to, żeby firma X uzyskała nasze dane i mogła podzielić się nimi z innymi
współpracującymi z nią firmami, to już po
kilku sekundach nasze dane mogą znajdować się w tysiącach różnych innych zbiorów,
prowadzonych przez tysiące różnych administratorów.
Ale nawet gdy nie zgodzimy się świadomie na udostępnianie naszych danych
to i tak dostęp do nich mają różne służby…
Po aferze z amerykańskim PRISM wiemy,
że i w Europie różne agencje „monitorują”
smartfony wszystkich najważniejszych producentów. Mają zatem dostęp do naszych
poufnych danych, takich jak lista kontaktów,
SMS-ów czy informacji o lokalizacji, a także
do komputerów, z którymi nasz telefon był
synchronizowany.
Co prawda szpiegostwo smartfonowe
nie było, jak nam się wydaje dotąd zjawiskiem stosowanym na masową skalę,
a „tylko” ukierunkowanym na konkretne firmy
czy osoby – to jednak Wielki Brat już nasze
dane gromadzi na wszelki wypadek, i to jak
na razie bez żadnych przeszkód prawnych.
Z pozdrowieniami
z Parlamentu Europejskiego
Lidia Geringer de Oedenberg