Sprawozdanie

www.cybsecurity.org

Spis Treci
Sprawozdanie z debaty. Wstp....................................................................................................................3 Ochrona przed naruszeniami a prawo do prywatnoci.................................................................4 Ochrona prywatnoci a cookies...................................................................................................................6 Prywatno w usugach wiadczonych drog elektroniczn.........................................................7 Prywatno w serwisach spoecznociowych........................................................................................9

www.cybsecurity.org

Prywatno w nowych technologiach

Sprawozdanie z debaty
20 marca 2013r. odbya si debata na temat prywatnoci w nowych technologiach, jako pierwsze wydarzenie spord cyklu zaplanowanego przez Fundacj Bezpieczna Cyberprzestrze, ktrego celem jest zaaktywizowanie dyskusji na wybrane tematy z zakresu bezpieczestwa prawnego i technicznego w nowych technologiach. Fundacja moe sta si platform dla skonfrontowania rnych pogldw i rodowisk z tego zakresu. Temat przewodni spotkania nie zosta wybrany przypadkowo, bowiem zostao ono zorganizowane na dwa dni przed wejciem w ycie znowelizowanych przepisw prawa telekomunikacyjnego, dotyczcych midzy innymi zagadnie prywatnoci uytkownikw Internetu, ktre zrodziy wiele znakw zapytania. Ostatnie prace Komisji Europejskiej oraz wzmoona dyskusja na temat reformy ochrony danych osobowych stanowiy dodatkowe czynniki aktualizujce potrzeb gbszego omwienia zagadnienia prywatnoci w nowych technologiach. Wydarzenie zostao zorganizowane wsplnie z Koem Naukowym CyberLawUW dziaajcym na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Patronat honorowy nad wydarzeniem obj Generalny Inspektor Ochrony Danych Osobowych dr Wojciech Wiewirowski, Dziekan Wydziau Prawai Administracji Uniwersytetu Warszawskiego prof. dr hab. Krzysztof Rczka, Polska Izba Informatyki i Telekomunikacji oraz Krajowa Izba Radcw Prawnych.

www.cybsecurity.org

Specjalne przesanie do uczestnikw debaty wygosi Minister Administracji i Cyfryzacji Micha Boni, zapraszajc do dalszych dyskusji rwnie z udziaem Ministerstwa Administracji i Cyfryzacji. Przesanie mona odtworzy: https://mac.gov.pl/dzialania/m-boni-potrzebne-nowe-spojrzenie-na-ochrone-danych-osobowych/ Poniej przedstawione zostay niektre fragmenty debaty, wskazujce na wag poruszanych problemw. Merytorycznym otwarciem debaty by wykad Piotra Drobka z Biura Generalnego Inspektora Ochrony Danych Osobowych (Zastpca Dyrektora Departamentu Edukacji Spoecznej i Wsppracy Midzynarodowej), ktry wskaza na problematyczn istot waenia rozwiza prawnych i rozwoju technologii komunikacyjno informacyjnych. Podkreli potrzeb tworzenia elastycznych ram prawnych, ktre pozwol na zagwarantowanie podstawowych zasad i praw. Tym samym odwoa si do trudnoci w regulowaniu samego stosowania okrelonych rozwiza technologicznych czy wykorzystywania informacji zbieranych o osobach. W kontekcie Polski powoa si na art. 47 Konstytucji (gwarantujcy prawo do prywatnoci) oraz art. 51 Konstytucji (gwarantujcy autonomi informacyjn jednostki), ktre s podstaw przy inkorporowaniu przepisw jak i tworzeniu polskich regulacji.

Ochrona przed naruszeniami a prawo do prywatnoci

Pierwszy panel dyskusyjny Ochrona przed naruszeniami a prawo do prywatnoci moderowany by przez Piotra Waglowskiego, ktry postawi przed dyskutantami prowokacyjn tez sprowadzajc si do pytania czy w 2015r. bdziemy mogli ogosi koniec prawa do prywatnoci, gdy wszyscy bd wiedzie wszystko o wszystkich. Doktor Arwid Mednis (Wierzbowski Eversheds), ktry jako pierwszy zabra gos w dyskusji stwierdzi, i zasadniczy problem polega na dziaaniu wielu uytkownikw Internetu udostpnianiu przez nich szeregu informacji przy jednoczesnym braku wiadomoci o wiecznej pamici Internetu oraz jego globalnym zasigu. Tym samym wyrazi on swoj obaw co do realnej ochrony w kontekcie zachowa samych uytkownikw. Katarzyna Szymielewicz (Fundacja Panoptykon) zgodzia si, e ryzyko w zakresie faktycznego koca prywatnoci obywateli (nie prawa do prywatnoci jako takiego) istnieje, ale w duej mierze zaley ono wanie od nich samych. adne regulacje nie bd bowiem skuteczne jeli ludzie samowolnie bd rezygnowa z wasnej prywatnoci. Niemniej jednak pastwo powinno zapewni odpowiednie ramy regulacyjne tak by by zapewniony faktyczny wybr dla uytkownikw/ obywateli w zakresie respektowania

www.cybsecurity.org

ich prawa do prywatnoci przez pastwo czy organizacje prywatne. W nastpnym pytaniu moderator odwoa si do przykadu osoby, ktra notorycznie posugiwaa si przy wypenianiu formularzy faszyw tosamoci. Postawione pytanie brzmiao: Jak bardzo moemy zmusi obywateli do podawania prawdziwych danych na swj temat np. przy zawieraniu umowy i czy ta umowa zostanie skutecznie zawarta jeeli dane bd faszywe. Dr Arwid Mednis podkreli, e to zaley od ksztatu umowy i zarazem natury usugi. W zalenoci od serwisu, rodzaju i specyfiki usug podejmowane s rne rodki w celu weryfikacji tosamoci. Katarzyna Szymielewicz odniosa si do problemu w odniesieniu do naruszania prywatnoci. Podkrelia, e usugodawca w zalenoci od przyjtego modelu biznesowego moe gromadzi tak wiele informacji na temat aktywnoci uytkownika (jego cyfrowych ladw), e bez najmniejszych problemw jest w stanie zweryfikowa jego tosamo bez stosowania wymogu podawania przez niego choby imienia i nazwiska by skutecznie na niego oddziaywa (np. proponowa mu okrelone oferty). Dr Mednis zgodzi si, e mona narusza prywatno obywatela bez wiedzy na temat jego danych osobowych (wszak prywatno jest szerszym pojciem anieli ochrona danych osobowych).

www.cybsecurity.org

Ochrona prywatnoci a cookies

Artur Piechocki bdcy moderatorem drugiego panelu wprowadzi uczestnikw debaty do tematu prezentacj edukacyjn na temat cookies. Debata rozpocza si od zweryfikowania trafnoci lokalizacji przepisu dotyczcego cookies (niewielkie informacje tekstowe, wysyane przez serwer WWW i zapisywane po stronie uytkownika Internetu) w przepisach ustawy prawo telekomunikacyjne. Igor Ostrowski (Salans) poprzedzi swoj wypowied podkreleniem, e bez cookies nie byoby moliwe prosperowanie e- commerce czy wszelkiego rodzaju podmiotw wiadczcych usugi drog elektroniczn std sposb regulacji jest nadzwyczaj wany. Odpowiadajc na pytanie uzna, e umiejscowienie przepisw w ustawie prawo telekomunikacyjne jest waciwe z uwagi na szeroki zakres podmiotw, do ktrych owa ustawa si odwouje. Xawery Konarski stwierdzi z kolei, e wane jest uzyskanie odpowiedzi nie tylko na to gdzie regulowa, ale przede wszystkim co powinno zosta objte przedmiotem regulacji. Jego zdaniem prawo unijne zajo si reglamentowaniem zapisywania informacji w rnych celach w urzdzeniach kocowych.. Mecenas Konarski odpowiadajc na pytanie moderatora o trafno lokalizacji regulacji przytoczy przykady pastw czonkowskich Unii Europejskiej, ktre implementoway przepisy dyrektywy i w tym kontekcie wskaza, e polska regulacja moga zosta umieszczona w iinym miejscu. Xawery Konarski wskaza na cztery sposoby regulacji:

www.cybsecurity.org

1) w ustawie prawo telekomunikacyjne (przepisy zostay wdroone jeszcze w czterech pastwach oprcz Polski); 2) w odpowiednikach polskiej ustawy o wiadczeniu usug drog elektroniczn; 3) za pomoc odrbnej regulacji (np. w Danii uchwalono ustaw o ochronie prywatnoci w usugach elektronicznych); 4) bdnie, a mianowicie za pomoc nowelizacji ustawy o ochrony danych osobowych (Wochy).

Problem i specyfika polskiej regulacji polega na tym, e ustawa o wiadczeniu usug drog elektroniczn reguluje ju cookies (art. 6.2 ustawy). Problemem moe by zatem aspekt interpretacji adresatw przepisw co zostao wielokrotnie poruszone w czasie pniejszej dyskusji. Mecenas Ostrowski w odniesieniu do wypowiedzi adwersarza wskaza, e miejsce regulacji przepisw o cookies w prawie telekomunikacyjnym jest swego rodzaju dopenieniem ustawy o wiadczeniu usug drog elektroniczn. Drugie pytanie Artura Piechockiego dotyczyo problematyki zakresu terytorialnego obowizywania przepisw. Xawery Konarski powoa si na ocen prawa waciwego ze wzgldu na siedzib (Midzynarodowych Regulacji Telekomunikacyjnych), ktrym m.in. Polska zawetowaa. Wskaza, e w dobie Internetu nie ma granic, a tym samym polskie regulacje powinny przyciga przedsibiorcw do zakadania firm na terenie kraju i zgodzi si z mec. Konarskim. W dalszej czci debaty odniesiono si do problematyki zgody, a take moliwego wpywu przepisw na gospodark europejsk , ktra w wyniku wprowadzania kolejnych wymogw, nakadanych na przedsibiorcw dziaajcych w Internecie moe sta si mniej konkurencyjna.

Prywatno w usugach wiadczonych drog elektroniczn

Trzeci panel debaty poprawdzi Tomasz Kulisiewicz, zaczynajc od unaocznienia jak bardzo rozbudowan dziedzin jest wiadczenie usug drog elektroniczn, ktrych z kadym rokiem przybywa coraz wicej i to w rnych odmianach. Posuy si w tym celu wieloma przykadami

www.cybsecurity.org

rozwoju takich usug, poczwszy od prostych e-usug, a skoczywszy na inteligentnych samochodach i licznikach energii. W kontekcie swojej wypowiedzi Tomasz Kulisiewicz zasugerowa, e ustawa o wiadczeniu usug drog elektroniczn zaczyna si starze i poprowadzi krtkie rozwaania na temat tego czy zostanie ona regulacj sektorow czy moe pjdziemy w takim kierunku, e prawo telekomunikacyjne bdzie dotyczyo czci technicznej tymczasem ustawa o wiadczeniu usug drog elektroniczn bdzie dotyczya innych aspektw. Moderator jako pierwsze sformuowa pytanie na ile i zarazem w jakim zakresie dostawcy, ktrych reprezentuj dyskutanci s zainteresowani prywatnoci uytkownikw. Agata Wacawik-Wejman (Google) zacza odpowied od wskazania, e gospodarka krajw rozwinitych opiera si na przepywie informacji, w tym dotyczcych danej osoby. Temat wymaga pewnego usystematyzowania, gdy firm technologicznych jest coraz wicej, a istnieje wiele mitw na temat czyhania tych firm na prywatno uytkownikw. Agata Wacawik-Wejman podkrelia, e dziaalno takiej organizacji jak Google opiera si na zaufaniu uytkownika do usugodawcy. Uytkownik bowiem powierza swoje prywatne dane, a take informacje na swj temat. Dostawcy zaley na zapewnianiu jak najwyszych standardw bezpieczestwa, aby uytkownik czu si bezpiecznie. Agata Wacawik-Wejman wskazaa, e Google przetwarza trzy rodzaje danych: 1) logi dane logowania na temat wyszukiwania (zbierane na podstawie adresw IP, ktre identyfikuj urzdzenie); 2) dane, ktre przekazuj zalogowani uytkownicy usugodawcy (dane te nie s ujawniane); 3) dane na temat funkcjonowania produktw (zbierane w celu poprawy usug).

Mariusz Grzesiuk (Grupa Onet) zgodzi si co do zasady z panelistk. Sw wypowied zacz od stwierdzenia, e wiedza jest dobra. Internet umoliwia zbieranie i przetwarzanie danych. Mitem jest twierdzenie, e informacje, ktre s przetwarzane powszechnie indywidualizuje si. Dane

www.cybsecurity.org

s interesujce, ale nie takie, ktre indywidualizuj kadego z osobna. Mec. Grzesiuk podkreli take, e wspczenie kada organizacja przetwarza informacje natomiast problem dotyczy ich interpretacji. Mecenas Grzesiuk podkreli, e przedsibiorcy, ktrzy maj miliardy uytkownikw s zainteresowane grupami do ktrych maj trafia produkty. Mariusz Grzesiuk wskaza, e Internet to cz infrastruktury technicznej takiej jak droga i o wiele wikszym problemem jest to w jaki sposb, przy obecnych regulacjach, zapobiega monopolizacji rynku i dostpu do informacji, ktre znajduj si na tej drodze. W tym kontekcie wielkie sieci reklamowe korzystajc z danych cookies, ktre za porednictwem takich podmiotw jak np. Onet zbieraj bardzo duo informacji, ktre bezporednio nie dotykaj pojedynczych uytkownikw, ale mog wypycha z rynku mniejszych graczy. Zdaniem mec. Grzesiuka warto pochyli si nad prawem antymonopolowym. W toku dalszej dyskusji podkrelono, e sdownictwo polskie jest w trudnej sytuacji ze wzgldu na niezrozumienie przez sdziw zagadnie wystpujcych na styku prawa i technologii oraz sformuowane m.in. postulaty, e: a) Internet przenika do kadej dziedziny gospodarki a danymi osobowymi interesuj si wszystkie brane. b) Powszechny system sdownictwa ma powane trudnoci z dogonieniem tak szybko zmieniajcej si dziedziny jednak tworzenie sdw specjalizacyjnych nie jest dobr drog; c) Reforma ochrony danych osobowych powinna odzwierciedla gospodark ICT w kadym sektorze i nie by od niej oderwana; d) Najwikszym wyzwaniem dla firm, prawnikw i regulatorw jest takie uoenie ram by wyeksponowa transparentne podmioty (dobrym rozwizaniem jest samoregulacja); e) wiadomo uytkownikw Internetu w zakresie bezpiecznego korzystania z sieci nie jest wysoka std trzeba j podnosi.

Prywatno w serwisach spoecznociowych

Czwarty panel debaty zosta prowadzony przez Mirosawa Maja. Moderator rozpocz panel od przeprowadzenia bardzo ciekawego eksperymentu organizacji ENISA pod nazw kupuj bilet do kina. Uczestnikom konferencji zostay przedstawione do wyboru dwa kina. Cena biletu do kina A bya drosza o 2 z ni w kinie B, ale klient kina A nie by obowizany do podania nr telefonu. Pojawio si wiele pyta i wtpliwoci wrd uczestnikw debaty. Mirosaw Maj porwna wyniki z sali z wynikami badania ENISA i wskaza, e wiadomo uytkownikw/obywateli w zakresie ochrony danych jest wysoka niemniej cena biletu do kina ma istotne znaczenie co do wyboru usugi. Prywatno ma zatem swoj cen.

www.cybsecurity.org

Grzegorz Wanio (Olesiski i Wsplnicy) nadmieni, e kiedy analizowa jaki odsetek danych podawanych w serwisach internetowych jest prawdziwy w usugach poczty elektronicznej dane te byy na poziomie 4-5%, w usugach patnych odsetek podawania prawdziwych danych by jednak wysoki (dane te maj znaczenie dla funkcjonowania usugi). W dalszej czci Mirosaw Maj zada pytanie czy dane klientw mona sprzedawa. Mecenas Wanio podkreli, e w serwisach spoecznociowych warto danych jest wysoka i dane te maj coraz wiksz jako. Odwoujc si do abstrakcyjnego przykadu panelista zaoy, e baza w praktyce moe zosta opisana i sprzedana podmiotowi, ktry bdzie od tej chwili administratorem tych danych. Maciej Koodziej (nk.pl) potwierdzi, e zbiory danych osobowych s w Polsce szeroko sprzedawane. Bazy spoecznociowe s szczeglnie atrakcyjne ze wzgldw reklamy i marketingu. Sprzedanie danych osobowych w Polsce nie jest jednak legalnie moliwe w innym wypadku anieli takim, e uytkownik uprzednio wyrazi zgod, e dane zostan zbyte (udostpnianie) na rzecz podmiotu trzeciego (podmiot ten musi zosta wyranie okrelony). W innym wypadku zarwno podmiot sprzedajcy jak i kupujcy naraa si na odpowiedzialno karn. Podkrelono, e problem sprzeday bazy danych dotyczy w duej mierze take startupw IT. Jednym z tematw poruszanych w czasie tej czci debaty by aspekt bezpieczestwa dzieci oraz ich dziaalnoci w portalach spoecznociowych. Maciej Koodziej odpowiadajc na pytanie Mirosawa Maja czy dzieci mog zaoy konto na portalu spoecznociowym zgodnie z zasadami polskiego prawa uzna, e tego typu umowa jest drobn biec umow ycia codziennego. Naleaoby si jednak zastanowi nad pakietem uprawnie i usug dodatkowych w ramach danego serwisu. Aspektem, na ktry szczeglnie zwrci uwag panelista byo wadliwe wyraenie zgody przez maoletniego na przetwarzanie jego danych w celach marketingowych w zamian za co otrzymuje on jaki ekwiwalent. Mecenas Wanio odpar jednak, e wiadomo dzieci jest bardzo wysoka, a przychody z mikropatnoci,

10

www.cybsecurity.org

ktre napdzaj dzieci s znaczne i nie mona tego ignorowa. Doda take, e dla samych dzieci serwisy spoecznociowe jak i serwisy z grami dla nich dedykowanymi s rozrywk. Rozgorzaa dyskusja na temat udzielania zgd przez przedstawicieli ustawowych bd opiekunw prawnych co spowoduje efekt odwrotny od zamierzonego, gdy dzieci bd zaznacza odpowiedni granic wiekow. Grzegorz Wanio poda take przykad portalu gdzie dzieci, nie nastolatkowie, odgryway role dorosych w Internecie i kreoway siebie na zupenie inne postaci. Maciej Koodziej podkreli, e problem dotyczy przedsibiorcy, a zgoda na przetwarzanie danych uzyskiwana od maoletnich bdzie nieskuteczna std nie bdzie przesanki do wywietlania np. reklam partnerw. Mecenas Wanio podkreli jednak, e to rodzi problem tworzenia faszywych tosamoci i weryfikowania danych. Stwierdzono, e zapata za wyraenie zgody na przetwarzanie danych w okrelonych celach jest dopuszczalna podobnie jak np. uniemoliwienie korzystania z danej usugi pod warunkiem, e nie jest to niezbdna usuga w ramach serwisu czy wrcz usug e- administracji. Podsumowujc debat stwierdzono, e naley podnosi poziom edukacji uytkownikw usug wiadczonych drog elektroniczn na temat ochrony danych osobowych, ochrony prywatnoci, bezpiecznego korzystania z Internetu, a take iloci udostpniania przez nich informacji w Internecie. Osoby zainteresowane wsparciem i udziaem w kolejnych debatach, serdecznie zapraszamy do kontaktu z Fundacj Bezpiecznaj Cyberprzestrze.

11

www.cybsecurity.org
ul. Tytoniowa 20, 04-228 Warszawa, tel.: +48 22 112 0 800, fax: +48 22 112 06 84