wywiad - euro25
Transkrypt
wywiad - euro25
Wojciech Rafał Wiewiórowski Nasze życie w „chmurze” informacji Rozmowa z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych – Panie Ministrze, obserwując działalność Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO), można bez żadnej przesady powiedzieć, że rola urzędu z każdym rokiem jest większa. Co takiego dzieje się w naszej rzeczywistości, że nasze dane osobowe wymagają coraz większej ochrony? – W ciągu 15 lat obowiązywania ustawy o ochronie danych osobowych i działalności urzędu przede wszystkim zmieniły się sposoby przetwarzania danych osobowych. Na początku funkcjonowania Biura Generalnego Inspektora Ochrony Danych Osobowych mieliśmy do czynienia głównie z wykorzystywaniem informacji w postaci klasycznej, często papierowej, mówiliśmy najwyżej o marketingu telefonicznym, a pewne rozwiązania elektroniczne i internetowe dopiero się pojawiały. Dzisiaj internet otacza nas z każdej strony, a komputery mające znacznie większe możliwości, niż te, które w 1995 roku stały w laboratoriach uniwersyteckich, nosimy w kieszeni i nazywamy tabletami lub smartfonami. Kilkanaście lat temu przetwarzanie informacji wyglądało zatem zupełnie inaczej. Dziś każdy z nas jest zarówno przetwarzającym informacje, jak i ich administratorem. Dzisiaj jesteśmy u progu rozwoju tzw. internetu przedmiotów, czyli ery, w której same przedmioty, w których znajdują się różnego rodzaju sensory, będą komunikowały się między sobą, będą przekazywały informacje, które mogą być także informacjami o nas. Trzeba przyznać, że wzrasta świadomość społeczeństwa, że informacje o nas są wykorzystywane nie tylko do tego, by przesyłać nam np. oferty handlowe, ale przede wszystkim do oceniania nas w różnych sytuacjach, m.in. kiedy bierzemy kredyt, zawiązujemy umowę ubezpieczeniową czy trafiamy do lekarza. Ta informacja krąży wokół nas, a my nie zawsze zdajemy sobie sprawę z tego, w jaki sposób i przez kogo jest wykorzystywana. Typowym przykładem takiej sytuacji jest korzystanie przez nas ze smartfona. Używamy go, by łączyć się z innymi ludźmi, ułatwić sobie życie, ale nie zawsze jesteśmy świadomi, że on również przesyła informacje dotyczące naszego zachowania, naszego sposobu działania. Czasem może to być dla nas dobre i czasem nawet możemy sobie tego życzyć, ale niejednokrotnie możemy być zaskoczeni, co się z taką informacją dzieje. 6 – Czy zatem za każdym razem kiedy używajmy takich zaawansowanych technologicznie urządzeń powinna nam się zapalić czerwona lampka? – Nie chciałbym, żeby zapalała nam się czerwona lampka, która by nas stopowała w działaniu, ale niech się zapala przynajmniej żółta. Zanim bowiem klikniemy przycisk „tak, zgadzam się”, powinniśmy się zastanowić, czy na pewno mamy pełną świadomość, na co się godzimy. Czy na pewno wiemy, w jaki sposób przetwarzane są dane, które mamy zapisane na naszym coraz bardziej zapełnionym przenośnym urządzeniu, albo przechowujemy w „chmurze”, z którą za pomocą tego przenośnego urządzenia się łączymy. Generalnie jestem zwolennikiem używania łacińskiej dewizy, która umieszczona jest na herbie Gdańska, mojego rodzinnego miasta: Nec temere, nec timide, czyli Nie zuchwale, ale bez strachu. Nie zatrzymamy rozwoju technologii, ale możemy ją ucywilizować. – Wśród wielu określonych ustawą kompetencji Generalnego Inspektora Ochrony Danych Osobowych znajdziemy również przepis stanowiący, że GIODO reaguje w przypadku naruszeń przepisów o ochronie danych osobowych… – To jeden z podstawowych sposobów działania GIODO. Reagujemy po pierwsze wówczas, kiedy otrzymujemy skargę – zawsze bowiem ją analizujemy, a gdy jest zasadna, nakazujemy przywrócenie stanu zgodnego z prawem. Po drugie, działania podejmujemy wtedy, gdy o bezprawnym wykorzystaniu danych osobowych dowiadujemy się np. z prasy, radia czy telewizji. Wówczas interweniujemy z urzędu. Z urzędu reagujemy również w sytuacji, gdy o nieprawidłowościach poinformuje nas inna instytucja państwowa, która np. prowadziła kontrolę. Najczęściej z tego typu współpracą mamy do czynienia w przypadku Najwyższej Izby Kontroli (NIK) albo Państwowej Inspekcji Pracy (PIP). Są to instytucje powołane do prowadzenia kontroli w innych obszarach, ale przy okazji swoich działań niejednokrotnie napotykają na sytuacje, wywiad które wywołują wątpliwości co do tego, czy dane są przetwarzane prawidłowo. Niedawno w parlamencie NIK przedstawiała wyniki kontroli przeprowadzonej w Komendzie Głównej Policji w związku z działaniem systemu e-posterunek. Choć kontrola była prowadzona pod kątem przysługujących NIK uprawnień, to w czasie jej trwania kontrolerzy NIK uznali, że istnieje duże prawdopodobieństwo, iż doszło do nieprawidłowego i sprzecznego z prawem przetwarzania danych osobowych, o czym poinformowali Generalnego Inspektora Ochrony Danych Osobowych. Była zatem podstawa, by zająć się sprawą z urzędu. Jest to normalny sposób działania. Podobnie przebiega współpraca z Państwową Inspekcją Pracy. PIP kontroluje przestrzeganie praw pracowniczych, ale gdy przy okazji dostrzega problemy związane z ochroną danych osobowych, informuje nas o tym. Działa to też w drugą stronę: gdy inspektorzy GIODO mają podejrzenia, że kontrolowana firma narusza prawa pracowników, przekazujemy sprawę do zbadania przez PIP. – Panie Ministrze, właśnie zakończyła się w Warszawie 35. Międzynarodowa Konferencja Rzeczników Ochrony Danych i Prywatności, która odbywała się pod hasłem „Prywatność: przewodnik po zagmatwanym świecie”. Czy zdiagnozowała ona problemy, którymi w najbliższych latach zajmą się rzecznicy, by chronić nasze dane i naszą prywatność? – W pewnym stopniu oczywiście tak. Wśród kwestii, które były poruszane podczas Konferencji, a które mają praktyczne znaczenie dla naszego działania, warto wyróżnić temat sesji zamkniętej, poświęconej tzw. apifikacji świata, a więc zarządzania aplikacjami, które otaczają nas ze wszystkich stron. Na tej sesji podkreślano, że nawet rzecznicy ochrony danych nie do końca wiedzą, co „potrafią” różnego rodzaju gadżety. To nie całkiem rozpoznany przez nas obszar. Rzecznicy ochrony danych muszą mieć możliwość coraz lepszego jego poznania, i tym właśnie interesowali się uczestnicy sesji zamkniętej. Drugim istotnym tematem, poruszanym podczas otwartej części Konferencji, były zagadnienia związane z aferami podsłuchowymi i inwigilacją prowadzoną przez służby specjalne czy policje różnych krajów. Tutaj poza kwestią, na ile dane naszych obywateli były przetwarzane przez służby z zagranicy, przede wszystkim ze Stanów Zjednoczonych, pojawia się jedno ważne pytanie – jakie w tym zakresie są uprawnienia polskich służb i policji. Co prawda tematowi temu poświęcone było ubiegłoroczne posiedzenie komisji sejmowej, na którym zarówno policja, jak i służby specjalne zapewniały, że tego typu inwigilacja nie jest prowadzona, to jednak czy takie zapewnienie jest wystarczające, by mieć pewność, że tak jest w istocie? W Polsce nie mamy instytucji publicznej, która byłaby niezależnym kontrolerem służb specjalnych. Ja mogę mieć tylko nadzieję, że częścią reformy służb specjalnych, którą zapowiadał Minister Spraw Wewnętrznych, Bartłomiej Sienkiewicz, będzie wprowadzenie takiej kontroli. Przede wszystkim należy uregulować prawnie dostęp instytucji publicznych do danych, które są ulokowane na różnych serwerach prywatnych. My jesteśmy gotowi na dyskusję, w wyniku której takie prawo powstanie. – A więc precyzyjne przepisy prawa mogą rozwiązać problem? – Jednak tylko do pewnego stopnia. Pamiętajmy, że prawo wszystkiego nie reguluje w całości, no i można przypuszczać, że nie będzie nadążało za nowymi technologiami, bo one rozwijają się zbyt szybko. Wspominałem już o wzajemnym komunikowaniu się urządzeń. Mówiąc o tym, nie myślę bynajmniej o takich urządzeniach, jak lodówka czy telewizor, ale na przykład o… jogurtach. Będą one stały na półkach i przesyłały informacje o sobie, a jednocześnie o ludziach, którzy je kupili. To jest coś, co w sposób naturalny nastąpi. To są te wyzwania technologiczne, wobec których stajemy w rozumieniu globalnym. Taki charakter powinna też mieć dyskusja o nich, co Konferencja warszawska potwierdza. Wzięli w niej udział rzecznicy ochrony danych i prywatności z całego świata, dzięki czemu możliwa była wymiana wielu bardzo ważnych informacji. Pierwsze dwa dni Konferencji to sesje zamknięte, które były przeznaczone tylko dla rzeczników ochrony danych z całego świata. W drugiej, otwartej części Konferencji uczestniczyło 500 osób z różnych sektorów i branż. To naprawdę było bardzo ważne forum wymiany doświadczeń i informacji. Dzięki temu spotkaniu wiemy np., na jakie problemy napotkali ostatnio rzecznicy w Nowej Zelandii, Japonii czy Maroku. To pozwoliło nam zorientować się, jakie wyzwania czekają nas w najbliższej przyszłości. – Z tego, co Pan powiedział, o ochronie danych należy myśleć wyprzedzająco… – Jeżeli jako organy ochrony danych jesteśmy o krok lub dwa kroki do przodu niż przeciętny użytkownik danych, a chcielibyśmy być o trzy kroki przed nim, to na bieżąco musimy się uczyć tego, co dzieje się w świecie nowych technologii. Dlatego na Konferencję w Warszawie zaprosiliśmy m.in. specjalistów od aplikacji mobilnych i od systemów operacyjnych, które obsługują urządzenia mobilne. Tylko tak możemy dotrzymać kroku bardzo szybko zmieniającej się rzeczywistości. – Dziękuję za rozmowę. Ilona saft 7 Szpieg w kieszeni Sezam otwiera się teraz łatwiej niż za czasów Alibaby, a skarbem dla dzisiejszych „rozbójników” są nasze dane. Pracując w Komisji Prawnej PE nad regulacjami mającymi wprowadzić „ład i bezpieczeństwo” w chmurach obliczeniowych zdałam sobie sprawę ze skali współczesnego „sezamu” i nonszalancji powierzających mu swoje „skarby”. O sprawie pisałam: http://lgeringer.natemat.pl/74709,chmura-obliczeniowa-trampolina-wzrostu-czy-wtyczka-dla-sluzb-i-cybermafii. Teraz ciąg dalszy… Korzystając z aplikacji mobilnych możemy zupełnie nieświadomie przekazać swoje lub cudze dane osobowe, także te finansowo bardzo wrażliwe np. o naszym koncie bankowym, numerach kart, pinach, danych o stanie naszego zdrowia, ubezpieczeniach, wszelkich jakie mamy w pamięci urządzenia, które podłączamy np. do komputera pokładowego naszego samochodu. Przykładowo, gdy adwokat zsynchronizuje w ten sposób swojego iPada by posłuchać w aucie ulubionej muzyki, to przekaże komputerowi pokładowemu nie tylko dźwięki, z których chciał skorzystać, ale również kalendarz i listę swoich klientów… Każdy, kto będzie miał później dostęp do komputera w naszym samochodzie np. pracownik serwisu samochodowego, będzie mógł z łatwością uzyskać dostęp do tych i innych zsynchronizowanych danych. Przez brak rozwagi czy niewiedzę przy pomocy takiego urządzenia możemy przekazać bliżej niesprecyzowanej liczbie osób na świecie informacje o wszelkiej naszej aktywności. A raz udostępnione informacje są dziś praktycznie niemożliwe do wycofania. (Co prawda pracujemy właśnie nad pewną propozycją, o czym pisałam: http://lgeringer.natemat.pl/55693,kryzys-ochrony-prywatnosci, ale z wdrożeniem tej nowości nie będzie łatwo). Jeśli robiąc zakupy w Internecie zgodzimy się na to, żeby firma X uzyskała nasze dane i mogła podzielić się nimi z innymi współpracującymi z nią firmami, to już po kilku sekundach nasze dane mogą znajdować się w tysiącach różnych innych zbiorów, prowadzonych przez tysiące różnych administratorów. Ale nawet gdy nie zgodzimy się świadomie na udostępnianie naszych danych to i tak dostęp do nich mają różne służby… Po aferze z amerykańskim PRISM wiemy, że i w Europie różne agencje „monitorują” smartfony wszystkich najważniejszych producentów. Mają zatem dostęp do naszych poufnych danych, takich jak lista kontaktów, SMS-ów czy informacji o lokalizacji, a także do komputerów, z którymi nasz telefon był synchronizowany. Co prawda szpiegostwo smartfonowe nie było, jak nam się wydaje dotąd zjawiskiem stosowanym na masową skalę, a „tylko” ukierunkowanym na konkretne firmy czy osoby – to jednak Wielki Brat już nasze dane gromadzi na wszelki wypadek, i to jak na razie bez żadnych przeszkód prawnych. Z pozdrowieniami z Parlamentu Europejskiego Lidia Geringer de Oedenberg