Wywiad z Generalnym Inspektorem Ochrony Danych Osobowych

2010-12-21 00:00:00 +0000


Co GIODO może zrobić Facebookowi? Dlaczego dane osobowe należy w ogóle chronić? O co chodzi z “prawem do zapomnienia”? Poniższy wywiad powstał jako kontynuacja dyskusji emailowej po jednym z poprzednich wpisów na temat ochrony danych osobowych. Pytanie 1: Dlaczego działania ustawodawcy unijnego idą w kierunku zaostrzenia kontroli nad danymi osobowymi, a nie liberalizacji tych przepisów? Przecież równoczesne zwiększanie poziomu ochrony danych osobowych i deklarowanie budowy gospodarki opartej na wiedzy jest ewidentną sprzecznością (typową zresztą dla unijnych strategii). Albo się ciastko ma, albo się go zjada :)

Nie bardzo chciałbym odpowiadać w imieniu ustawodawcy unijnego, bo nim nie jestem :) Mogę natomiast powiedzieć, dlaczego sam uważam, że przepisy związane z ochroną danych osobowych powinny zostać zmodernizowane w celu zapewnienia ich skuteczności, a ich ewentualne "liberalizowanie" powinno być czynione z rozwagą. Nie zgadzam się z twierdzeniem, ze równoczesne zwiększanie poziomu ochrony danych osobowych i deklarowanie budowy gospodarki opartej na wiedzy jest ewidentną sprzecznością. Można w ramach tego co nazywane jest próbą osiągnięcia sumy dodatniej w ochronie prywatności rozwijać i jedno, i drugie. Dobrym przykładem jest tu - przytaczana też przez Panią Komisarz N.Kroess - analogia z rynkiem motoryzacyjnym. Rozwój bezpieczeństwa kierowcy i pasażera samochodu nie przeczy rozwojowi motoryzacji. Kilkanaście lat temu pomysły na obowiązkowe pasy bezpieczeństwa czy poduszki powietrzne traktowane były jako ewidentny przykład przeszkód w rozwoju rynku motoryzacyjnego. Dziś są elementem gry rynkowej, ku zadowoleniu kierowców i pasażerów, choć wciąż wiele osób uważa, że nie powinny być narzucane. Ochrona praw konsumenta też jest "ewidentnie sprzeczna" ze swobodnym rozwojem konkurencji. Jest jednak elementem cywilizacyjnym, który może zostać "wygrany" na potrzeby rywalizacji konkurencyjnej. Jednocześnie dostrzegam wiele obszarów, gdzie liberalizacja ochrony danych osobowych jest niezbędna. Dotyczy to moim zdaniem m.in. systemu notyfikacji zbiorów czy uznawania tzw. wiążących reguł korporacyjnych (BCR).

Pytanie 2: W sytuacji gdy mieszkańcy Europy stanowią drugą najliczniejszą grupę aktywnych użytkowników Facebooka jaką legitymację ma europejski ustawodawca by twierdzić, że chcą oni większego poziomu ochrony danych osobowych, czy że nawet takiego samego jak obecnie?

Europejscy klienci są również zapewne najlepszym rynkiem dla dowolnych produktów wykonywanych w tanich (produkcyjnie) krajach Azji. Nie oznacza to wszakże, że wyeliminować należy obowiązek prawdziwego informowania klientów o cechach towarów łącznie z ich składem chemicznym (którego przecież sami nie możemy ocenić). Nie jest to również powód do likwidowania RAPEXu jako rejestru produktów niebezpiecznych. Przechodząc jednak do korzystania z serwisów takich jak Facebook, trzeba uporządkować listę zarzutów jakie należy moim zdaniem kierować do serwisów internetowych tego typu. Po pierwsze jestem wielkim zwolennikiem twierdzenia, że prawo do dysponowania swoją prywatnością i używania jej do celów, jakie sobie wymyślimy, jest jednym z podstawowych praw społecznych. Oznacza to również prawo do "obnażania" swej prywatności w granicach nie zakazanych prawem karnym (eliminuję tym samym pewne typowe w Europie ale często i w USA ograniczenia wolności słowa typu nawoływania do nienawiści rasowej, faszyzmu, seksu ze zwierzętami czy - jak się okazuje niewskazanych i USA - opisów tzw. "dobrej pedofilii"). Takie prawo do dysponowania swoją prywatnością obejmuje również "społeczne prawo do popełniania głupstw". Nie mam zamiaru chronić obywateli przed ich własnymi decyzjami co do ujawniania swych własnych myśli, przeżyć, nałogów, potrzeb itp. W serwisach internetowych. Sam jestem użytkownikiem Facebooka od kilku lat i zamieszczam tam spory zasób danych o samym sobie. Zdarza mi się zamieszczać tam komentarze i "lajki". Używam również innych podobnych serwisów takich jak NK, Goldenline czy LinkedIn. To moja własna decyzja i jeśli popełnię tamże głupstwo, to muszę sam odpowiadać, za naruszenie swojej własnej prywatności. Mam jednak dwie grupy zastrzeżeń dotyczących tego typu serwisów: Pierwsza obejmuje dwa zarzuty generalne wobec serwisów społecznosciowych w zakresie swobody wyrażania zgody na przetwarzanie danych. a) Człowiek może rzeczywiście zrealizować swoje prawo do dysponowania prywatnością (w tym danymi osobowymi) tylko wówczas, gdy wie na co tak naprawdę się decyduje. Nieszczęśliwe użycie przeze mnie kiedyś jednego z innych serwisów społecznosciowych (mniejsza o nazwę) nauczyło mnie, że regulaminy należy czytać i to ze zrozumieniem. Mój podstawowy zarzut to wielu serwisów - w tym do Facebooka - polega na tym, że trzeba się naprawdę postarać, by politykę prywatności Facebooka i współpracujących z nim podmiotów (np. Zyngi) poznać. Jeśli widzę na stronie Facebooka zachętę "Wojciech, more friends are waiting. ...These 10 friends found their friends using the friend finder. Have you found all of your friends? Give it a try", a dalej zachętę do podania hasła do konta emailowego, to nawet uwaga, że FB nie będzie zatrzymywał tego hasła, nie wyłącza u mnie żółtego ostrzegawczego światełka w głowie. Sam również nie wiem, czy to ja, czy ktoś z moich znajomych stoi za spamem z badoo, który obecnie otrzymuję. Ale wiem, że to któraś z opcji FB stoi za tym procederem. Zarzut nr 1 to brak poprawnego informowania użytkownika o sposobie przetwarzania danych, które dostarcza. b) Zgadzam się z podejściem A. Cavoukian (Komisarza ds. Informacji i Prywatności kanadyjskiej prowincji Ontario) przedstawianym w serwisie privacybydesign.ca co do prywatności jako ustawienia domyślnego (privacy as default). Działania, w których dla założenia konta potrzebne jest podanie nierozsądnie dużej i nieadekwatnej do usługi grupy danych jest moim zdaniem działaniem co najmniej podstępnym wobec klienta. Oczywiście na rynku konkurencyjnym zawsze można stwierdzić, że można się nie decydować na usługi FB i "pójść do konkurencji". Potrzebne jest jednak moim zdaniem wyważenie proporcji. Zarzut nr 2 ustawienia domyślne powinny jak najbardziej chronić prywatność. Druga grupa zarzutów dotyczy ochrony interesów osób, do ochrony których jako GIODO jestem zdecydowanie powołany i których obrony nie mogę się wyprzeć. c) Jako GIODO muszę reagować na kwestię zakładania fałszywych profilów lub używania nie swoich danych w profilach własnych. Jestem zobowiązany do reagowania w sytuacjach, gdy serwisach społecznosciowych pojawia się fałszywy profil znanej pisarki, polityka czy nauczycielki (że przytoczę ostatnie skargi przedstawiane GIODO), a dostarczyciel usługi nie chce reagować na skargę kierowaną przez osobę wprost do niego. Podobnie ma się sprawa z wykorzystywaniem nie swojego wizerunku w z zasady prawdziwym profilu co zdarza się niektórych serwisach (głównie w serwisach randkowych). Z tego powodu polskiemu GIODO potrzebne jest skuteczne narzędzie działania wobec serwisu umieszczonego poza granicami RP. d) I na koniec dwa najtrudniejsze przypadki. Pierwszy to umieszczanie w serwisach społecznosciowych informacji o osobach trzecich (opisy, filmy, zdjęcia itp.). Jeśli chodziłoby tylko o zdarzenia naruszające godność osobistą danej osoby, to mógłbym "ściganie" pozostawić osobie, której prawa zostały naruszone, ale jest dla mnie oczywiste, że ta osoba często nie wie, że jest już "w serwisie". Jest również oczywiste, że często osoba po prostu nie życzy sobie, by prezentowano zdjęcie na którym nieładnie wygląda, albo które ośmiesza ją w środowisku (znany przypadek "chłopca-smoczka" z Norwegii). e) Drugi skrajnie trudny przypadek, gdzie działalność rzeczniowska GIODO - również w serwisach amerykańskich - byłaby potrzebna, to ochrona praw małoletnich. Gdy osoba dorosła sama umieszcza w swoim profilu skrajnie intymne informacje o sobie (wielkość i wygląd piersi, ulubiony sposób uprawiania seksu, długość członka itp.) to jest to swobodny wybór dorosłej osoby. Gdy czyni to 16-latek to uznaję, że sama edukacja nie wystarcza :) Gdy czyni to 13-latka, to reakcja jest niezbędna.

Pytanie 3: Europa ma długą tradycję wdrażania rozwiązań o “wysokim poziomie ochrony”, które w ostatecznym rozrachunku okazują się oderwane od rzeczywistości, drogie lub nieskuteczne. Przykład - kwalifikowany podpis elektroniczny czy pomysł na wymuszanie “gwarancji na oprogramowanie”, o którym na szczęście zapomniano. Czy nie w tę stronę zmierzają również europejskie przepisy o ochronie prywatności, których egzekucja w dobie Internetu i globalizacji staje się coraz mniej realna?

Proszę nie wymagać ode mnie bronienia idei bezpiecznego podpisu elektronicznego weryfikowanego przy pomocy ważnego kwalifikowanego certyfikatu. Co do wadliwości rozwiązania z odpowiedniej dyrektywy, a już szczególnie jego implementacji w Polsce wypowiadałem się wielokrotnie. Nie przeczę, że wiele europejskich rozwiązań jest skrajnie nieżyciowych. Nie uważam jednak by dotyczyło to zagadnień ochrony prywatności. Wbrew pozorom to, co nazywane jest "europejskim podejściem do ochrony danych osobowych", nie jest jedynie europejskim wymysłem. Podobne podejście przyjęło się w Nowej Zelandii, Australii, Kanadzie, Korei Płd., Japonii, wielu krajach Ameryki Południowej a nawet po części w Izraelu. Przyznaję jednak, że kilka z tych krajów - w szczególności Kanada i Nowa Zelandia - lepiej i mniej pryncypialnie reaguje na nowe wyzwania technologiczne w zakresie ochrony prywatności. Stąd też zajmując się takimi zagadnieniami jak ochrona danych osobowych i ochrona prywatności przy usługach smart grid czy smart metering albo przy przetwarzaniu danych w chmurze obliczeniowej polski GIODO patrzy przede wszystkim na przykłady płynące z tych krajów.

Pytanie 4: Czy GIODO dysponuje konkretnymi danymi prawometrycznymi - np. jak często obywatele korzystają z dawanego im przez uodo prawa do poprawienia lub usunięcia danych w stosunku do całkowitej liczby rekordów?

Prawometrycznymi z pewnością nie. Przede wszystkim dlatego, że chyba nikt dziś już nie wierzy w sukces prawometrii i nie używa metod matematycznych dla przewidywania przyszłego rozwoju stosunków prawnych. Ta dziedzina informatyki prawniczej umarła chyba ostatecznie w końcu lat 80-tych. Sam widziałem polskie badania prawometryczne (niestety obciążone błędem w założeniach wstępnych) ostatni raz bodaj w 2007 r. i dotyczyły one lingwistyki prawniczej. Myślę, że raczej chodziło Panu o dane statystyczne. Oczywiście nie widziałem takich danych, bo chyba nie ma możliwości ich stworzenia. Nie znamy przecież (i chyba nie ma możliwości poznania) "całkowitej liczby rekordów". Nie jestem w stanie estymować nawet, ile takich rekordów powstało w trakcie czytania tego wywiadu. Nie widzę zresztą celu przeprowadzania takiego badania. To tak jakby badać, jak często obywatele korzystają z dawanego im przez ustawę o prawie autorskim i prawach pokrewnych prawa do dozwolonego cytatu w stosunku do całkowitej liczby możliwych cytatów. Co dałaby nam odpowiedź, że jest to śladowa cześć promila ? Czy pomogłaby nam wycofać z ustawy prawo do cytatu ? Czy miałaby udowadniać, że nie należy podawać źródła cytatu ?

Pytanie 5: W Facebooku wszystkie dane podaje się dobrowolnie. W ogóle korzystanie z Facebooka jest dobrowolne. Czy dorosłych mieszkańców Europy nie wystarczy poinformować np. o konsekwencjach podawania rozmaitych danych oraz różnych w podejściu do odo w USA i EU, wychodząc z założenia, że chcącemu nie dzieje się krzywda?

Patrz odpowiedź na pytanie 2.

Pytanie 6: Microsoft i Google sprzedają w Europie konkretne usługi w modelu “tradycyjnym”, więc istnieje narzędzie nacisku, stosowane w przypadku MSIE czy Street View. Facebook to przykład usługi całkowicie zglobalizowanej, która istnieje wyłącznie w Internecie i mnie jako użytkownika zupełnie nie obchodzi kto i gdzie tym zarządza. W tej sytuacji jedyna skuteczna możliwość egzekucji “prawa do prywatności” wobec obywateli Unii to zablokowanie im dostępu do tej usługi. Przedmiotem prawa staje się obywatel, którego deklaratywnie dotyczy “ochrona” a nie rzekomo zagrażający mu usługodawca. Czyż nie z podobnej filozofii “ochrony” swoich obywateli wychodzą np. państwowe systemy ograniczania dostępu do sieci w Chinach czy niektórych państwach arabskich?

Odpowiem po kolei na trzy pytania, które zdaje się, że Pan zadaje jednocześnie. Po pierwsze być może Pana nie zupełnie nie obchodzi kto i gdzie tym zarządza, jednak - co ciekawe - interesuje to FB, który każe Panu wybrać konkretną jurysdykcję i prawo właściwe, nie ograniczając tego do kraju, ale do stanu. Działanie to jest oczywiście logiczne i spowodowane interesami przedsiębiorcy. Zawsze bawiło mnie, że przedsiębiorcy amerykańscy, którzy trąbią wszem i wobec o wolności przemieszczania się informacji potrafią umieścić swoje centrum obliczeniowe w innym stanie niż stan siedziby bo ... tamten stan daje im lepsze warunki podatkowe (przykład z 2010 r.). Okazuje się, że informacja co prawda jest wolna i się przemieszcza, ale podatkiem stanowym da się obłożyć. Prawdą jest więc, że Pana nie musi obchodzić, gdzie i przez kogo jest przetwarzana informacja, ale wiele osób - łącznie ze mną, czy z właścicielem Facebooka - to zdecydowanie obchodzi. Po drugie zdaję sobie sprawę, że Facebook jest bardziej wirtualny niż Microsoft i Google, ale jeśli zapytałby Pan mnie 5 lat temu o najbardziej wirtualnego przedsiębiorcę IT, to powiedziałbym, że to Google. Dziś już jest zupełnie inaczej. W czasach konwergencji mediów informacyjnych Facebook ma zbyt wiele interesów do przegrania na twardej ziemi, by nie obawiać się europejskiego spojrzenia na swe działania. Po trzecie nie chcę się wypowiadać na temat blokowania dostępu do treści lub usług, gdyż jestem generalnie przeciwny takim praktykom jako nieskutecznym i niepraktycznym i ocierającym się o cenzurę.

Pytanie 7: Ochrona rzeczywistych nadużyć (kradzież tożsamości) wydaje się być w obu systemach (europeskim i anglosaskim) równie silna. Główna różnica w podejściu do odo wydaje się być czysto ideologiczna - tzn. czy dorosła osoba, która podjęła świadomą decyzję o zakupie jakiejś “darmowej” usługi w zamian za udostępnienie swoich danych powinna mieć prawo do wycofania się z tej transakcji w dowolnym momencie w przyszłości? Tym bardziej, że nie ponosi tutaj żadnej wymiernej szkody, być może poza wizerunkowymi - ale na tym polega dorosłość, że pewne decyzje mogą być nieodwracalne.

Patrz odpowiedź na pytanie 2.

Pytanie 8: Pewną - dość wąską - grupę osób irytuje np. fakt, że Facebook przetwarza “ich” dane albo mówi, że dezaktywuje konto zamiast powiedzieć, że kasuje go na amen i do końca świata. Ale czy to jest wystarczającym usprawiedliwieniem dla angażowania tutaj “twardych” działań legislacyjnych, zamiast “miękkich” działań edukacyjnych? Te pierwsze z zasady muszą prowadzić do absurdów już na etapie ustalania co w ogóle jest daną osobową. Co gorsza, prawo jest w tym przypadku jak kula śniegowa - 10 lat temu zaczęło się od baz danych, skończyło na adresie IP jako danej osobowej i forum dyskusyjnym jako bazie.

Całkowicie zgadzam się z Panem, że używanie prawa ZAMIAST edukacji jest błędem. Niezależnie od tego jak wysoka będzie kara za zabójstwo, gwałt czy pobicie, nie możemy rezygnować z edukowania dzieci, jak dbać o swe bezpieczeństwo. Jadąc zaś do RPA, USA czy do mojego rodzinnego Gdańska powinniśmy się edukować, gdzie z zasady nie należy chodzić nocą z portfelem wypchanym pieniędzmi i piękną, nową kamerą na ramieniu. Zdecydowanie uważam, że środowiska wałczące o ochronę prywatności oraz - przede wszystkim - sam GIODO nie są wystarczająco aktywne na polu edukacji społecznej. Działania w zakresie "twardego" prawa nie wystarczą i nie zmienią same świata. Natomiast akurat podany przez Pana przykład działań "twardych" jest błędny. W zakresie definicji danych osobowych nic się od lat nie zmieniło. Wszelkie próby zmiany definicji prawnej zakończyły się niepowodzeniem. Ustala się pewne interpretacje w tym zakresie tego co danymi osobowymi jest, a co nie, ale to tylko interpretacje. I tak IP może być daną osobową. Nie mam co do tego wątpliwości. Tak samo jak adres MAC może w pewnych sytuacjach taką daną się stać. Jako specjalista od bezpieczeństwa danych wie Pan świetnie, że każdą daną trzeba przy ocenie bezpieczeństwa opisywać wraz ze środowiskiem, w którym jest przetwarzana. Dzieje się tak niezależnie od braku zmian w zakresie definicji. Forum niewątpliwie może być bazą danych. Co więcej z punktu widzenia informatycznego z reguły nią jest z informatycznego punktu widzenia (bo akurat w świetle definicji ustawowej z ustawy o ochronie baz danych z reguły nią nie jest :)). Forum może także stać się zbiorem danych w rozumieniu polskiej ustawy o ochronie danych osobowych. Oczywiście większość dyskusji dotyczy z reguły zbioru zarejestrowanych użytkowników forum, ale ma Pan rację, że samo forum takim zbiorem tez może się stać. Moim zdaniem w tym ostatnim przypadku - "zbiór danych" - ciekawszym pytaniem jest to, czy aby na pewno w naszej ustawie powinna być mowa o "zbiorze danych". Przecież nawet dyrektywa z 1995 r. posługuje się pojęciem "personal data filing system", które może w 1997 r. mogło być utożsamiane ze zbiorem danych (choć i w to wątpię), ale dziś chyba, żaden informatyk, słysząc o "filesystemie", nie słyszy tu pojęcia "zbiór danych", a co najwyżej "system plików" czy "system zbiorów" rozumiane jako metoda przechowywania, zarządzania plikami ORAZ informacjami o tych plikach celem ułatwienia dostępu do tychże plików.

Pytanie 9: W jakim kierunku może zmierzać postulowane przez europejskiego ustawodawcę “prawo do zapomnienia”? Rozumując logicznie należałoby zmusić do usunięcia stron zawierających moje dane nie tylko Facebooka ale każdego. Czym się różni moje zdjęcie z imprezy 10 lat temu wrzucone dobrowolnie na Facebooka, od tego samego zdjęcia, które 10 lat temu wrzuciłem na prywatną stronę WWW, skąd zostało skopiowane przez Internet Archive i setkę innych serwisów? Bo taki przecież był cel publikacji - żeby stało się publiczne.

I na koniec tego wywiadu muszę w końcu przyznać się, że tego akurat zupełnie nie rozumiem :) Co prawda znam całą masę opracowań dotyczących prawa do bycia zapomnianym i nawet zgadzam się z tym postulatem jako ideologicznie słusznym. Tu jednak nie widzę zupełnie możliwości "zadekretowania" takiego prawa. Mogę sobie wyobrazić, że pojawi się wskazanie dla rzeczników ochrony prywatności, by pomagali w realizacji takiej idei, ale nie bardzo wyobrażam sobie nakazu lub zakazu w tym zakresie. Jedynym sposobem realizowania takiego prawa, jaki uważam za wskazany jest tworzenie serwisów takich jak slettmeg.no, który "miękko" pomaga w realizacji prawa do dysponowania swoim danymi (w tym danymi archiwalnymi) w sieci. Mam nawet pomysł jak serwis taki w Polsce uruchomić, ale to już temat na zupełnie inną opowiesć :) Dziękuję za możliwość wypowiedzi i proszę raz jeszcze przyjąć moje wyrazy uznania dla Pańskich umiejętności stawiania poważnych pytań w sprawach związanych z różnymi aspektami bezpieczeństwa danych. Pozdrawiam Wojciech Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych na co dzień prawnik-belfer-internauta-serwisospołecznosciowiec