O ochronie i definicji danych osobowych w dobie Internetu rozmawiamy z Michałem Serzyckim, Generalnym Inspektorem Ochrony Danych Osobowych.

Jak dużo pracy ma obecnie GIODO?

Wygląda, że wpadliśmy we własne sidła, tak dobrze wyedukowaliśmy polskie społeczeństwo. Jeśli chodzi o świadomość problemów związanych z ochroną danych osobowych w 2006 r., byliśmy na 18. miejscu w Unii Europejskiej, ale w zeszłym roku już na 1. To powoduje jednak, że coraz więcej osób zwraca się do nas z pytaniami, prośbą o interwencję. Coraz więcej dostrzega, że łamane są ich prawa. Staramy się także, aby wszelkie projekty ustaw, nad którymi pracuje Sejm, przechodziły przez nas, byśmy mogli wyłapać ewentualne błędy, które negatywnie odbiłyby się na ochronie danych osobowych w Polsce.

Czy obecna ustawa nie jest zbyt uciążliwa dla przedsiębiorców?

10 lutego wejdzie w życie nowe rozporządzenie Ministra Spraw Wewnętrznych i Administracji, znacznie upraszczające wzór zgłoszenia bazy z danymi osobowymi. Wcześniejszy zawierał wiele pytań szczegółowych, które wymuszały zapoznanie się z ustawą. Ten jednak etap edukowania rynku już minął. Całość zgłoszenia można zresztą wypełnić w Internecie, w systemie eGIODO i wysłać je do nas nawet niepoświadczone podpisem elektronicznym, a następnie - w takim przypadku - wydrukować wersję papierową. System ten wyłapuje ewentualne błędy w zgłoszeniu, co znacznie ułatwia dokonanie zgłoszenia przez przedsiębiorców.

Na co powinni oni zwracać uwagę chroniąc dane swoich klientów?

Właścicieli baz danych osobowych trzeba uczulić, że nie każdy pracownik musi mieć do nich dostęp. Jeśli już ma, to musi być to osoba zaufana, odpowiednio przeszkolona. Odpowiedzialność za utratę danych spoczywa bowiem na pracodawcy, administratorze bazy danych. Na razie grożą za to kary więzienia, nawet do lat trzech. Być może jednak - przygotowaliśmy odpowiednią nowelizację ustawy o ochronie danych osobowych - wkrótce będą to również kary pieniężne, za utrudnianie naszej pracy - do wysokości pięciu miesięcznych pensji osoby, która nam przeszkadza; czy uporczywe niedostosowywanie się do naszych zaleceń – do 100 tys. euro. W Europie takie podejście się sprawdziło.

GIODO po raz trzeci organizuje Dzień Ochrony Danych Osobowych, jednym z tematów jest ich ochrona w przypadku dzieci. Jak duży jest to obecnie problem w Polsce?

Jak dotąd, mieliśmy jedno zgłoszenie dotyczące możliwego naruszenia zasad ochrony danych osobowych w przypadku dzieci. Dotyczyło ono serwisu cwel.pl i sprawę skierowaliśmy już do Prokuratury. Istnieje podejrzenie, że na tej stronie mogą być zbierane dane osobowe dzieci. W Polsce i Europie ten problem staje się coraz bardziej palący. W zeszłym roku przygotowano nawet rezolucję w tej sprawie. Dzieci są bowiem szczególnym odbiorcą Internetu. Czyhają na nie te same zagrożenia, co na dorosłych, a są od nich mniej świadome. Przestępcy mogą wyciągać dane nie tylko na ich temat, ale także rodziców, ich zamożności, adresu zamieszkania... Rodzice powinni odgrywać szczególną rolę w edukowaniu dzieci.

Coraz częściej słyszy się o wyciekach danych z banków, również w Polsce, ostatnio z Pekao SA. Czy GIODO widzi, że jest to narastający problem dla klientów tych banków?

Wypadek w Banku Pekao co prawda nie dotyczył danych o kontach i zebranych przez klientów depozytach, ale wykorzystaliśmy ten przypadek do uzmysłowienia Polakom, że jest to potencjalnie duży problem. Na razie omijały nas przypadki utraty danych osobowych, w tym np. o numerach kart kredytowych klientów banków. Byłbym zbyt wielkim optymistą twierdząc, że dzieje się to z powodu stosowanych w polskich bankach superzabezpieczeń i ogromnej świadomości polskiego społeczeństwa. Los nas po prostu oszczędzał i trzeba wykorzystać to do lepszego zabezpieczenia się na przyszłość.

Czy zostały już nałożone lub zostaną nałożone dodatkowe obowiązki na banki w zakresie ochrony danych osobowych, czy też współpracy z GIODO?

W jednym ze stanów USA firmy - nie tylko banki - mają bezwzględny obowiązek informowania o tym, że doszło do „kompromitacji” systemu informatycznego. W Polsce nie ma jeszcze takich zapisów, choć jednym z pomysłów jest objęcie tego typu obowiązkiem wszystkich firm działających w szeroko pojętym e-commerce. Upowszechnienie Internetu powoduje, że coraz więcej czasu poświęcamy i będziemy poświęcać takim sprawom. Wydaje się także, że nie należy już mówić o danych osobowych, a raczej informacjach osobowych, w skład których wchodzą także - w niektórych przypadkach - adresy IP, pliki cookies, login...

Podczas III Dnia Ochrony Danych Osobowych nastąpi podpisanie porozumienia między Związkiem Banków Polskich a GIODO. Na czym będzie ono polegało?

Cieszę się, że po dwóch latach udało się nam nawiązać współpracę. Dotyczyć ona będzie: podnoszenia standardów ochrony danych osobowych w bankach, rozwiązywania problemów z zastosowaniem ustawy o ochronie danych osobowych; wprowadzenia kodeksu dobrych praktyk w zakresie ochrony danych osobowych w sektorze bankowym oraz uproszczenia zasad przetwarzania danych osobowych.

Czy GIODO monitoruje serwisy społecznościowe, na których Polacy – mimo ostrzeżeń i przypadków wykorzystania umieszczanych tam danych – bez żadnej refleksji dzielą się informacjami na swój temat? Rok temu uznali Państwo zabezpieczenia naszej-klasy za niewystarczające...

Tak, w tym roku zamierzamy nawet przeprowadzić kontrolę sektorową tych portali. W wybranych przez nas serwisach społecznościowych dokonamy kontroli pod kątem zabezpieczeń danych osobowych.

Chcielibyśmy także, aby portale społecznościowe opublikowały na swoich stronach - przygotowane przez nas - wskazówki dla użytkownika. Jest ich łącznie piętnaście, w tym takie jak: nie wpisuj pełnych danych osobowych; publikując zdjęcia, znacznie ułatwiasz identyfikację siebie i innych; a brak szyfrowania sesji nawiązywanej między Tobą a portalem może skutkować kradzieżą Twojej tożsamości...

Ubiegłoroczna kontrola w naszej-klasie wykryła właśnie m.in. brak takiego szyfrowania. Dodatkowo portal ten nie rejestrował skarg związanych naruszeniem zasad ochrony danych osobowych, a serwis ten ma już ponad 14 mln użytkowników. W tym roku przeprowadzimy w nim jeszcze jedną kontrolę.

Mówi się, że wyszukiwarki – zwłaszcza Google – przechowują ogromne ilości danych na nasz temat. Na podstawie śledzenia ruchu i aktywności klientów - w Internecie i nie tylko - można budować precyzyjne profile behawioralne. To skarb dla marketingowców, wiedza dająca olbrzymie pole działania. Czy problem ten jest już dostrzegany przez europejskie instytucje zajmujące się ochroną danych osobowych?

To istotnie coraz większy problem. Zgodnie z ustaleniami na poziomie europejskim, jeśli ktoś gromadzi i przetwarza dane bez naszej zgody i wiedzy, robi to nielegalnie. Pytanie, co tak naprawdę z danymi o naszych wynikach wyszukiwania robi Google? Zbieranie pojedynczych danych nie jest tak groźne, jak wiedza zdobywana przez serwisy internetowe, które – na podstawie różnych zachowań – mogą stworzyć nasz profil behawioralny. Swoją drogą, prowadzone już były rozmowy z Google. Często uważa się, że firma ta posuwa się zbyt daleko. W Japonii wręcz zakazano firmie publikowania w serwisie Google Maps zdjęć miejsc, budynków, ulic. Uznano, że to zbyt duża ingerencja w prywatność. Nie wiadomo np., czy na takim zdjęciu nie znajdzie się osoba idąca pod rękę z nieswoim mężem lub żoną, ci zaś zobaczą to dzięki tej dodatkowej usłudze w Google Maps...