Krzysztof Grzesiowski: Gościem Sygnałów Dnia jest generalny inspektor ochrony danych osobowych dr Wojciech Wiewiórowski. Dzień dobry, panie doktorze.
Wojciech Wiewiórowski: Witam panów redaktorów, witam państwa bardzo serdecznie.
K.G.: Czy ma pan swój profil na jakimś portalu społecznościowym?
W.W.: Tak, mam swoje profile na portalach społecznościowych, na serwisach społecznościowych i polskich, i zagranicznych, z tym, że są to moje prywatne profile, to znaczy one nie są profilami generalnego inspektora ochrony danych osobowych, tylko Wojciecha Wiewiórowskiego.
K.G.: Pana Wojciecha Wiewiórowskiego. Jakie informacje pan przekazuje?
W.W.: To jest zawsze bardzo ciekawe pytanie. Powinniśmy, myślę, zawsze przy przystępowaniu do współpracy z jakimkolwiek serwisem społecznościowym postanowić sobie od razu z góry, jaka grupa informacji o mnie jest informacją, którą chciałbym udzielać tym, którzy będą moimi przyjaciółmi czy znajomymi, ale również wszystkim, z domyślnym takim założeniem, że informacje, które wydawałoby mi się, że będą przeznaczone tylko dla moich przyjaciół, zapewne w serwisie społecznościowym bardzo szybko rozprzestrzenią się wśród innych użytkowników tego serwisu. Ale zamieszczam tam różnego rodzaju wpisy o sobie, informuję o tym, jak się nazywam i jaki jest adres e-mailowy, przy pomocy którego można się ze mną skontaktować.
Ale już nie podaję informacji o tym, gdzie mieszkam, nie podaję szczegółowych informacji dotyczących swojej rodziny, nie podaję szczegółowych informacji dotyczących tego, gdzie jestem, jak wygląda mój plan dnia, kiedy opuszczam dom, kiedy do niego wracam, czy jestem na urlopie, czy jestem w miejscu, gdzie mieszkam. To są informacje, które na pierwszy rzut oka wydawałoby się, że są informacjami neutralnymi, natomiast tak naprawdę mogą służyć do sprofilowania osoby, do ustalenia, jaki jest jej porządek dnia, kiedy pozostawia puste mieszkanie, kiedy znajduje się w jakimś konkretnym miejscu, zostawia tam samochód. To są rzeczy, które niekoniecznie trzeba byłoby wszystkim objawiać.
K.G.: Ale to informacje przez pana przekazywane, bo według Eurobarometru, czyli takiej instytucji unijnej zajmującej się badaniem opinii publicznej, zajmującej się sondażami, na portalach społecznościowych uczestnicy tych portali 90% z nich ujawnia swoje dane biograficzne. No, jeszcze można to zrozumieć, 50% informacji o swoim otoczeniu, ale 10% przekazuje informacje szczególnie chronione. Czy to znaczy, że nie mają świadomości, że są to tego rodzaju informacje, czy to jest taka potrzeba powiedzenia o sobie wszystkiego?
W.W.: Tu mogą być różne sytuacje. Przede wszystkim powiedzmy sobie, że autonomia informacyjna osoby oznacza, że osoba może przekazywać o sobie te informacje, które chce. To jest jej własny wybór. Wiemy, że jeden z naszych słynnych polityków swoją kartę szpitalną okazywał w serwisie społecznościowym, bo uznał, że jest potrzeba poinformowania. Są ludzie, którzy chorują...
K.G.: Że choruje tak jak inni.
W.W.: Że choruje tak jak inni, że również ma kłopoty takie, a nie inne. Są osoby, które na informacjach tych szczególnie chronionych, a nawet intymnych, budują wręcz swoją pozycję w społeczeństwie, informując o swoich nowych podbojach miłosnych albo o tym, że przeszły jakąś bardzo skomplikowaną albo poważną albo operację, albo chcąc poinformować ludzi o tym, że zaangażowali się w jakąś działalność społeczną, dlatego że sami są również, nie wiem, na przykład ofiarą takiego zdarzenia, które miało miejsce, czy też takiej choroby. Czyli z jednej strony mamy osoby, które robią to świadomie i co do tych osób po prostu respekt i szacunek, że uznały, że taki jest zakres informacji intymnej, tej szczególnie chronionej, którą chcą przekazywać.
Natomiast u części osób jest to swego rodzaju głupota. Aczkolwiek trzeba sobie zdawać sprawę z tego, że istnieje w Polsce społeczne prawo do popełnienia głupstw, trzeba tylko sobie zdawać sprawę z tego, że za każde takie głupstwo ponosi się odpowiedzialność niejako przed społeczeństwem, nie tylko, jak się je popełnia, ale jeżeli popełnia się je w Internecie, to można również tę swoistą odpowiedzialność ponosić kilka lat później, kiedy okaże się, że coś, co było dla nas informacją ciekawostkową, fajną, śmieszną, zabawną, kiedy mieliśmy lat szesnaście, okaże się informacją bardzo przeszkadzającą nam w życiu, kiedy będziemy mieli lat dwadzieścia sześć.
K.G.: To portale społecznościowe, ale mamy jeszcze handel w Internecie. Jak powiedziała pani komisarz Nelly Kroes, wiele osób nieufnie podchodzi do zakupów w Internecie, obawiając się o swoją prywatność. Ona mówi, że to blokuje oczywiście rozwój rynku europejskiego, i tak dalej i tak dalej, ale – i to ważne zdanie – zapowiada odpowiednie projekty legislacyjne. Na czym one mogłyby polegać? Czy pan coś wie o tym?
W.W.: Tak, tutaj w listopadzie zeszłego roku Komisja Europejska zaproponowała generalny przegląd aktów prawnych, które dotyczą ochrony prywatności i ich bezpieczeństwa w Internecie. To zresztą zapowiadane było już nieco wcześniej, w tak zwanej Europejskiej Agendzie Cyfrowej, gdzie zakładano właśnie, że do istnienia swobodnego rynku elektronicznej wymiany w Europie potrzebne jest najpierw przekonanie obywateli, że ten rynek jest bezpieczny. Bezpieczny oznacza, że nie będzie wycieków różnego rodzaju danych, ale bezpieczny oznacza również, że dbają o naszą prywatność ci, którzy w tym rynku uczestniczą. Komisja Europejska zapowiedziała, że przygotuje projekty nowych aktów prawnych dotyczących ochrony danych osobowych i ochrony prywatności. One miały pojawić się, projekty tych aktów miały pojawić się w czerwcu, dzisiaj wiemy, że pojawią się w drugiej połowie naszej prezydencji, czyli prawdopodobnie w listopadzie tego roku, i wówczas rozpocznie się dyskusja nad tym, jak w tej nowej erze technologicznej powinny wyglądać te przepisy. Trzeba bowiem pamiętać, że dziś istniejące przepisy tak europejskiej jak polskie to są przepisy, które powstawały w latach 94, 93, czyli tak naprawdę w erze przedinternetowej. Co prawda używaliśmy Internetu wtedy, ale to był inny Internet, to nie chodzi o to, że nie było serwisów społecznościowych, ale to chodzi o to, że nie było www, tylko telnetowało się albo eftepowało się, natomiast nie używało się takich przeglądarek jak w tej chwili, nie mówiąc już o tym, że nie było serwisów społecznościowych czy serwisów takich jak Allegro.
K.G.: Panie doktorze, co to jest prawo do bycia zapomnianym?
W.W.: Bardzo ciekawa idea, która zyskuje coraz więcej zwolenników w Europie, rozumiana na dwa sposoby. Po pierwsze jako prawo do tego, żeby informacje o mnie nie pojawiały się w Internecie, czyli ja po prostu uznaję, że nie chcę być w serwisach społecznościowych, nie chcę być na stronach internetowych i w takim zakresie, w jakim to nie jest nakazane przez prawo, takie sytuacje się zdarzają, kiedy prawo nakazuje jakieś działanie, na przykład choćby oświadczenia majątkowe osób, które są urzędnikami publicznymi, poza takimi przypadkami nie trafią do Internetu.
Drugi natomiast sposób rozumienia prawa do bycia zapomnianym to sytuacja, w której osoba już swoje informacje ma w Internecie, czy to przez siebie umieszczone, czy przez kogoś innego, i chce je z tego Internetu wycofać, chce je wycofać z publicznego obiegu. To jest bardzo trudne zadanie i szczerze mówiąc, dla mnie jako dla prawnika bardzo trudne do zadekretowania ustawowo, to znaczy bardzo trudno wyobrazić sobie, jak miałby wyglądać przepis prawny, który nakazywał tego rodzaju usuwanie i będzie skuteczny jednocześnie.
K.G.: Musiałby administrator usuwać nasze dane na naszą prośbę, żądanie?
W.W.: Zapewne tak, tylko proszę pamiętać...
K.G.: Jak to miałoby wyglądać w praktyce?
W.W.: To jest akurat najprostsza część, bo ona istnieje już w tej chwili. Już w tej chwili jest mowa o tym, choćby w ustawie o świadczeniu usług drogą elektroniczną, że w sytuacji, w której informacje dotyczące nas albo dotyczące jakiegokolwiek zdarzenia są informacjami bezprawnymi, to mamy prawo zażądania usunięcia i ten, który prowadzi serwis internetowy, decyduje – albo usuwa je na nasze żądanie, albo ponosi odpowiedzialność za to, że one się w Internecie znalazły i możemy przeciwko niemu walczyć choćby sądownie.
Natomiast problem polega na tym, że to, że ja zamieściłem jakąś informację o sobie albo ktoś zamieścił o mnie informację w serwisie A, nie oznacza jeszcze wcale, że tylko administrator serwisu A jest tym, który nad tymi danymi panuje. Dane raz umieszczone w Internecie zaczynają się klonować, zaczynają się przenosić z serwisu na serwis, zaczynają przenosić się z komputera na komputer, w związku z czym zadekretowanie tego typu prawa jest trudne.
Natomiast prawdą jest, że jest to pewne wskazanie dla takich organów, jak choćby Generalny Inspektor Ochrony Danych Osobowych, żeby próbowały prowadzić różnego rodzaju i akcje społeczne, ale też pewne akcje pomocowe, powiedziałbym, które miałyby ułatwić użytkownikom Internetu wycofywanie swoich informacji z Internetu. Tutaj takim klasycznym, sztandarowym przykładem jest akcja prowadzona przez naszego norweskiego kolegę, którą moglibyśmy nazwać „wymaż mnie z Internetu”. Myślę, że w tej formie nie jesteśmy w stanie jej prowadzić w Polsce, jak jest prowadzona w Norwegii, czyli urzędowo, ale chcielibyśmy prowadzić ją przy pomocy organizacji branżowych.
K.G.: Jeszcze na koniec, panie doktorze, jedna sprawa, bo i z tym na pewno pana urząd się zetknął, a być może niektórzy z naszych słuchaczy czy też widzów. Niektóre podmioty powołują się na certyfikat Generalnego Inspektora pozwalający na legalne przetwarzanie danych osobowych. Czy pana urząd wydaje jakiekolwiek tego rodzaju dokumenty?
W.W.: Nie, nasz urząd nie wydaje żadnych tego rodzaju certyfikatów. Co prawda również rozważa się ideę takich certyfikatów prowadzonych nawet na poziomie europejskim, ale szczerze mówiąc urzędy są bardzo ostrożne z wydawaniem takiego certyfikatu, bo tego typu certyfikat jest certyfikatem na konkretny moment, w przypadku bezpieczeństwa danych, przetwarzania danych jest to na konkretny moment. Czyli takich certyfikatów nie ma. Natomiast prawdą jest, że pewnym początkiem jakby do pracy dla większości podmiotów przetwarzających dane jest zgłoszenie swoich zbiorów danych do rejestru prowadzonego przez generalnego inspektora. To jest pewnego rodzaju działanie, które jest wykonywane wspólnie z generalnym inspektorem. Czyli wiem, że mamy jakiś zbiór danych, przekazuję informacje o nim generalnemu inspektorowi. No i druga kwestia to jest ta, że taki podmiot może oczywiście podlegać inspekcji ze strony generalnego inspektora.
Wiesław Molak: I jeszcze pytanie z smsu, który do nas przyszedł. Jak złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych?
W.W.: Skargę można złożyć w dowolnej formie, można złożyć ją również w formie elektronicznej. Prawdą jest, że trzeba ponieść opłatę w wysokości 10 złotych, ponieważ nie jest to skarga zwolniona od opłaty skarbowej... przepraszam, opłaty administracyjnej, w związku z czym te 10 złotych trzeba uzupełnić. To jest formalna skarga, która rozpoczyna postępowanie. Zapraszam jednak do kontaktu również w mniej sformalizowanych formach, poprzez różnego rodzaju pytania czy to zadawane na serwisach internetowych, czy poprzez e-maile, czy też listownie. Tego typu zgłoszenia nie wywołują postępowania administracyjnego, ale powodują reakcję ze strony generalnego inspektora.
K.G.: Panie doktorze, dziękujemy za wizytę. Dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych, był gościem Sygnałów Dnia.
W.W.: Bardzo dziękuję.
(J.M.)
