Professional Documents
Culture Documents
www.cybsecurity.org
Spis Treci
Sprawozdanie z debaty. Wstp....................................................................................................................3 Ochrona przed naruszeniami a prawo do prywatnoci.................................................................4 Ochrona prywatnoci a cookies...................................................................................................................6 Prywatno w usugach wiadczonych drog elektroniczn.........................................................7 Prywatno w serwisach spoecznociowych........................................................................................9
www.cybsecurity.org
www.cybsecurity.org
Specjalne przesanie do uczestnikw debaty wygosi Minister Administracji i Cyfryzacji Micha Boni, zapraszajc do dalszych dyskusji rwnie z udziaem Ministerstwa Administracji i Cyfryzacji. Przesanie mona odtworzy: https://mac.gov.pl/dzialania/m-boni-potrzebne-nowe-spojrzenie-na-ochrone-danych-osobowych/ Poniej przedstawione zostay niektre fragmenty debaty, wskazujce na wag poruszanych problemw. Merytorycznym otwarciem debaty by wykad Piotra Drobka z Biura Generalnego Inspektora Ochrony Danych Osobowych (Zastpca Dyrektora Departamentu Edukacji Spoecznej i Wsppracy Midzynarodowej), ktry wskaza na problematyczn istot waenia rozwiza prawnych i rozwoju technologii komunikacyjno informacyjnych. Podkreli potrzeb tworzenia elastycznych ram prawnych, ktre pozwol na zagwarantowanie podstawowych zasad i praw. Tym samym odwoa si do trudnoci w regulowaniu samego stosowania okrelonych rozwiza technologicznych czy wykorzystywania informacji zbieranych o osobach. W kontekcie Polski powoa si na art. 47 Konstytucji (gwarantujcy prawo do prywatnoci) oraz art. 51 Konstytucji (gwarantujcy autonomi informacyjn jednostki), ktre s podstaw przy inkorporowaniu przepisw jak i tworzeniu polskich regulacji.
www.cybsecurity.org
ich prawa do prywatnoci przez pastwo czy organizacje prywatne. W nastpnym pytaniu moderator odwoa si do przykadu osoby, ktra notorycznie posugiwaa si przy wypenianiu formularzy faszyw tosamoci. Postawione pytanie brzmiao: Jak bardzo moemy zmusi obywateli do podawania prawdziwych danych na swj temat np. przy zawieraniu umowy i czy ta umowa zostanie skutecznie zawarta jeeli dane bd faszywe. Dr Arwid Mednis podkreli, e to zaley od ksztatu umowy i zarazem natury usugi. W zalenoci od serwisu, rodzaju i specyfiki usug podejmowane s rne rodki w celu weryfikacji tosamoci. Katarzyna Szymielewicz odniosa si do problemu w odniesieniu do naruszania prywatnoci. Podkrelia, e usugodawca w zalenoci od przyjtego modelu biznesowego moe gromadzi tak wiele informacji na temat aktywnoci uytkownika (jego cyfrowych ladw), e bez najmniejszych problemw jest w stanie zweryfikowa jego tosamo bez stosowania wymogu podawania przez niego choby imienia i nazwiska by skutecznie na niego oddziaywa (np. proponowa mu okrelone oferty). Dr Mednis zgodzi si, e mona narusza prywatno obywatela bez wiedzy na temat jego danych osobowych (wszak prywatno jest szerszym pojciem anieli ochrona danych osobowych).
www.cybsecurity.org
Artur Piechocki bdcy moderatorem drugiego panelu wprowadzi uczestnikw debaty do tematu prezentacj edukacyjn na temat cookies. Debata rozpocza si od zweryfikowania trafnoci lokalizacji przepisu dotyczcego cookies (niewielkie informacje tekstowe, wysyane przez serwer WWW i zapisywane po stronie uytkownika Internetu) w przepisach ustawy prawo telekomunikacyjne. Igor Ostrowski (Salans) poprzedzi swoj wypowied podkreleniem, e bez cookies nie byoby moliwe prosperowanie e- commerce czy wszelkiego rodzaju podmiotw wiadczcych usugi drog elektroniczn std sposb regulacji jest nadzwyczaj wany. Odpowiadajc na pytanie uzna, e umiejscowienie przepisw w ustawie prawo telekomunikacyjne jest waciwe z uwagi na szeroki zakres podmiotw, do ktrych owa ustawa si odwouje. Xawery Konarski stwierdzi z kolei, e wane jest uzyskanie odpowiedzi nie tylko na to gdzie regulowa, ale przede wszystkim co powinno zosta objte przedmiotem regulacji. Jego zdaniem prawo unijne zajo si reglamentowaniem zapisywania informacji w rnych celach w urzdzeniach kocowych.. Mecenas Konarski odpowiadajc na pytanie moderatora o trafno lokalizacji regulacji przytoczy przykady pastw czonkowskich Unii Europejskiej, ktre implementoway przepisy dyrektywy i w tym kontekcie wskaza, e polska regulacja moga zosta umieszczona w iinym miejscu. Xawery Konarski wskaza na cztery sposoby regulacji:
www.cybsecurity.org
1) w ustawie prawo telekomunikacyjne (przepisy zostay wdroone jeszcze w czterech pastwach oprcz Polski); 2) w odpowiednikach polskiej ustawy o wiadczeniu usug drog elektroniczn; 3) za pomoc odrbnej regulacji (np. w Danii uchwalono ustaw o ochronie prywatnoci w usugach elektronicznych); 4) bdnie, a mianowicie za pomoc nowelizacji ustawy o ochrony danych osobowych (Wochy).
Problem i specyfika polskiej regulacji polega na tym, e ustawa o wiadczeniu usug drog elektroniczn reguluje ju cookies (art. 6.2 ustawy). Problemem moe by zatem aspekt interpretacji adresatw przepisw co zostao wielokrotnie poruszone w czasie pniejszej dyskusji. Mecenas Ostrowski w odniesieniu do wypowiedzi adwersarza wskaza, e miejsce regulacji przepisw o cookies w prawie telekomunikacyjnym jest swego rodzaju dopenieniem ustawy o wiadczeniu usug drog elektroniczn. Drugie pytanie Artura Piechockiego dotyczyo problematyki zakresu terytorialnego obowizywania przepisw. Xawery Konarski powoa si na ocen prawa waciwego ze wzgldu na siedzib (Midzynarodowych Regulacji Telekomunikacyjnych), ktrym m.in. Polska zawetowaa. Wskaza, e w dobie Internetu nie ma granic, a tym samym polskie regulacje powinny przyciga przedsibiorcw do zakadania firm na terenie kraju i zgodzi si z mec. Konarskim. W dalszej czci debaty odniesiono si do problematyki zgody, a take moliwego wpywu przepisw na gospodark europejsk , ktra w wyniku wprowadzania kolejnych wymogw, nakadanych na przedsibiorcw dziaajcych w Internecie moe sta si mniej konkurencyjna.
www.cybsecurity.org
rozwoju takich usug, poczwszy od prostych e-usug, a skoczywszy na inteligentnych samochodach i licznikach energii. W kontekcie swojej wypowiedzi Tomasz Kulisiewicz zasugerowa, e ustawa o wiadczeniu usug drog elektroniczn zaczyna si starze i poprowadzi krtkie rozwaania na temat tego czy zostanie ona regulacj sektorow czy moe pjdziemy w takim kierunku, e prawo telekomunikacyjne bdzie dotyczyo czci technicznej tymczasem ustawa o wiadczeniu usug drog elektroniczn bdzie dotyczya innych aspektw. Moderator jako pierwsze sformuowa pytanie na ile i zarazem w jakim zakresie dostawcy, ktrych reprezentuj dyskutanci s zainteresowani prywatnoci uytkownikw. Agata Wacawik-Wejman (Google) zacza odpowied od wskazania, e gospodarka krajw rozwinitych opiera si na przepywie informacji, w tym dotyczcych danej osoby. Temat wymaga pewnego usystematyzowania, gdy firm technologicznych jest coraz wicej, a istnieje wiele mitw na temat czyhania tych firm na prywatno uytkownikw. Agata Wacawik-Wejman podkrelia, e dziaalno takiej organizacji jak Google opiera si na zaufaniu uytkownika do usugodawcy. Uytkownik bowiem powierza swoje prywatne dane, a take informacje na swj temat. Dostawcy zaley na zapewnianiu jak najwyszych standardw bezpieczestwa, aby uytkownik czu si bezpiecznie. Agata Wacawik-Wejman wskazaa, e Google przetwarza trzy rodzaje danych: 1) logi dane logowania na temat wyszukiwania (zbierane na podstawie adresw IP, ktre identyfikuj urzdzenie); 2) dane, ktre przekazuj zalogowani uytkownicy usugodawcy (dane te nie s ujawniane); 3) dane na temat funkcjonowania produktw (zbierane w celu poprawy usug).
Mariusz Grzesiuk (Grupa Onet) zgodzi si co do zasady z panelistk. Sw wypowied zacz od stwierdzenia, e wiedza jest dobra. Internet umoliwia zbieranie i przetwarzanie danych. Mitem jest twierdzenie, e informacje, ktre s przetwarzane powszechnie indywidualizuje si. Dane
www.cybsecurity.org
s interesujce, ale nie takie, ktre indywidualizuj kadego z osobna. Mec. Grzesiuk podkreli take, e wspczenie kada organizacja przetwarza informacje natomiast problem dotyczy ich interpretacji. Mecenas Grzesiuk podkreli, e przedsibiorcy, ktrzy maj miliardy uytkownikw s zainteresowane grupami do ktrych maj trafia produkty. Mariusz Grzesiuk wskaza, e Internet to cz infrastruktury technicznej takiej jak droga i o wiele wikszym problemem jest to w jaki sposb, przy obecnych regulacjach, zapobiega monopolizacji rynku i dostpu do informacji, ktre znajduj si na tej drodze. W tym kontekcie wielkie sieci reklamowe korzystajc z danych cookies, ktre za porednictwem takich podmiotw jak np. Onet zbieraj bardzo duo informacji, ktre bezporednio nie dotykaj pojedynczych uytkownikw, ale mog wypycha z rynku mniejszych graczy. Zdaniem mec. Grzesiuka warto pochyli si nad prawem antymonopolowym. W toku dalszej dyskusji podkrelono, e sdownictwo polskie jest w trudnej sytuacji ze wzgldu na niezrozumienie przez sdziw zagadnie wystpujcych na styku prawa i technologii oraz sformuowane m.in. postulaty, e: a) Internet przenika do kadej dziedziny gospodarki a danymi osobowymi interesuj si wszystkie brane. b) Powszechny system sdownictwa ma powane trudnoci z dogonieniem tak szybko zmieniajcej si dziedziny jednak tworzenie sdw specjalizacyjnych nie jest dobr drog; c) Reforma ochrony danych osobowych powinna odzwierciedla gospodark ICT w kadym sektorze i nie by od niej oderwana; d) Najwikszym wyzwaniem dla firm, prawnikw i regulatorw jest takie uoenie ram by wyeksponowa transparentne podmioty (dobrym rozwizaniem jest samoregulacja); e) wiadomo uytkownikw Internetu w zakresie bezpiecznego korzystania z sieci nie jest wysoka std trzeba j podnosi.
www.cybsecurity.org
Grzegorz Wanio (Olesiski i Wsplnicy) nadmieni, e kiedy analizowa jaki odsetek danych podawanych w serwisach internetowych jest prawdziwy w usugach poczty elektronicznej dane te byy na poziomie 4-5%, w usugach patnych odsetek podawania prawdziwych danych by jednak wysoki (dane te maj znaczenie dla funkcjonowania usugi). W dalszej czci Mirosaw Maj zada pytanie czy dane klientw mona sprzedawa. Mecenas Wanio podkreli, e w serwisach spoecznociowych warto danych jest wysoka i dane te maj coraz wiksz jako. Odwoujc si do abstrakcyjnego przykadu panelista zaoy, e baza w praktyce moe zosta opisana i sprzedana podmiotowi, ktry bdzie od tej chwili administratorem tych danych. Maciej Koodziej (nk.pl) potwierdzi, e zbiory danych osobowych s w Polsce szeroko sprzedawane. Bazy spoecznociowe s szczeglnie atrakcyjne ze wzgldw reklamy i marketingu. Sprzedanie danych osobowych w Polsce nie jest jednak legalnie moliwe w innym wypadku anieli takim, e uytkownik uprzednio wyrazi zgod, e dane zostan zbyte (udostpnianie) na rzecz podmiotu trzeciego (podmiot ten musi zosta wyranie okrelony). W innym wypadku zarwno podmiot sprzedajcy jak i kupujcy naraa si na odpowiedzialno karn. Podkrelono, e problem sprzeday bazy danych dotyczy w duej mierze take startupw IT. Jednym z tematw poruszanych w czasie tej czci debaty by aspekt bezpieczestwa dzieci oraz ich dziaalnoci w portalach spoecznociowych. Maciej Koodziej odpowiadajc na pytanie Mirosawa Maja czy dzieci mog zaoy konto na portalu spoecznociowym zgodnie z zasadami polskiego prawa uzna, e tego typu umowa jest drobn biec umow ycia codziennego. Naleaoby si jednak zastanowi nad pakietem uprawnie i usug dodatkowych w ramach danego serwisu. Aspektem, na ktry szczeglnie zwrci uwag panelista byo wadliwe wyraenie zgody przez maoletniego na przetwarzanie jego danych w celach marketingowych w zamian za co otrzymuje on jaki ekwiwalent. Mecenas Wanio odpar jednak, e wiadomo dzieci jest bardzo wysoka, a przychody z mikropatnoci,
10
www.cybsecurity.org
ktre napdzaj dzieci s znaczne i nie mona tego ignorowa. Doda take, e dla samych dzieci serwisy spoecznociowe jak i serwisy z grami dla nich dedykowanymi s rozrywk. Rozgorzaa dyskusja na temat udzielania zgd przez przedstawicieli ustawowych bd opiekunw prawnych co spowoduje efekt odwrotny od zamierzonego, gdy dzieci bd zaznacza odpowiedni granic wiekow. Grzegorz Wanio poda take przykad portalu gdzie dzieci, nie nastolatkowie, odgryway role dorosych w Internecie i kreoway siebie na zupenie inne postaci. Maciej Koodziej podkreli, e problem dotyczy przedsibiorcy, a zgoda na przetwarzanie danych uzyskiwana od maoletnich bdzie nieskuteczna std nie bdzie przesanki do wywietlania np. reklam partnerw. Mecenas Wanio podkreli jednak, e to rodzi problem tworzenia faszywych tosamoci i weryfikowania danych. Stwierdzono, e zapata za wyraenie zgody na przetwarzanie danych w okrelonych celach jest dopuszczalna podobnie jak np. uniemoliwienie korzystania z danej usugi pod warunkiem, e nie jest to niezbdna usuga w ramach serwisu czy wrcz usug e- administracji. Podsumowujc debat stwierdzono, e naley podnosi poziom edukacji uytkownikw usug wiadczonych drog elektroniczn na temat ochrony danych osobowych, ochrony prywatnoci, bezpiecznego korzystania z Internetu, a take iloci udostpniania przez nich informacji w Internecie. Osoby zainteresowane wsparciem i udziaem w kolejnych debatach, serdecznie zapraszamy do kontaktu z Fundacj Bezpiecznaj Cyberprzestrze.
11
www.cybsecurity.org
ul. Tytoniowa 20, 04-228 Warszawa, tel.: +48 22 112 0 800, fax: +48 22 112 06 84