Nie wstydźmy się zadawać pytań

[b]Rozmawiamy w chwili, gdy jest pan jeszcze dyrektorem Departamentu Informatyzacji w MSWiA. Informatyzacja kraju to chyba jedno z najważniejszych w tej chwili zadań. Dlaczego porzuca pan to stanowisko i decyduje się zostać GIODO?[/b]

[b]Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych:[/b] Nie nazwałbym tego porzuceniem. Jestem prawnikiem, co jest dość nietypowe, gdyż zazwyczaj moje obecne stanowisko zajmowały osoby z wykształceniem informatycznym lub technicznym. Ostatnie dwa lata były czasem pracy nad aktami prawnymi, dlatego moja obecność tutaj miała sens. Sądzę, że teraz to nie prawnicy, lecz specjaliści od zarządzania projektami informatycznymi i nadzorowania działań innych podmiotów powinni doprowadzić do faktycznego funkcjonowania tych rozwiązań.

[b]A co pana pociąga w pełnieniu funkcji GIODO?[/b]

Przede wszystkim to ciekawe wyzwanie, szczególnie dla osoby zajmującej się nowymi technologiami informatycznymi. Jeśli chodzi o ochronę danych osobowych czy szerzej: prywatności, to w tej sferze jest potrzebny skok cywilizacyjny. Przypomnijmy sobie, że dyrektywa unijna, która stała się podstawą naszego prawodawstwa, była przygotowywana w latach 1993 – 1994. Kto z nas używał wówczas WWW? Teraz nadszedł czas na dostosowanie systemu prawnego do obecnej sytuacji. Nie musimy się wstydzić, że nie znamy odpowiedzi na wszystkie pytania dotyczące prywatności w społeczeństwie informacyjnym, natomiast powinniśmy się wstydzić, że nie zadajemy takich pytań.

[b]Jak pan postrzega przestrzeganie ochrony danych osobowych w Polsce?[/b]

Polska może się pochwalić dużą świadomością, że taki problem w ogóle istnieje. Z badań Eurostatu wynika, że 83 proc. mieszkańców naszego kraju zdaje sobie sprawę, że jest to jedno z zadań państwa i jednocześnie jedno z dóbr, które posiadają obywatele. Gorzej jest z realizowaniem tych praw. Jeżeli zobaczymy, jakie informacje o osobach krążą po sieci, to można nabrać wątpliwości, czy na pewno chcą, by były przekazywane.

[b]Jak w takim razie ocenić wiedzę Polaków o tym, co dzieje się z ich danymi?[/b]

Kiedy w Niemczech próbowano przygotować system elektronicznych baz z danymi medycznymi, które mogły być dostępne na terenie całego kraju, na ulice w Berlinie wyszło 50 tys. ludzi, żeby protestować. W Polsce, gdzie powstaje bardzo podobny system – cisza. Nie twierdzę, że tworzony w Polsce system jest z założenia zły. Mówię tylko o tym, że nie zadajemy dziś powszechnie pytań, jakie dane osobowe będą w nim przetwarzane. Czy będą to tylko dane umożliwiające rozliczanie świadczeń w systemie ubezpieczeń zdrowotnych, czy też cała nasza historia zdrowotna, a każdy lekarz będzie wiedział, iż przykładowo 15 lat temu poddaliśmy się konsultacji psychiatrycznej. Podobne pytania związane z możliwym profilowaniem osób fizycznych rodzą się przy ocenie założeń nowego Systemu Informacji Oświatowej.

[b]Od czasu ataków na World Trade Center czy na dworzec w Madrycie dużo się mówi o potrzebie ograniczenia prywatności na rzecz bezpieczeństwa. Czy pana te argumenty przekonują?[/b]

Można sobie wyobrazić, że niektóre służby mają specjalne regulacje dotyczące ochrony danych osobowych. Nie widzę jednak powodu, dla którego tych służb miałyby nie dotyczyć generalne zasady ochrony danych i ochrony prywatności. Jak choćby te, że dane są zbierane w jakimś celu, że sposób ich pozyskiwania ma być adekwatny do tego celu. Podam przykład spoza służb specjalnych, o którym niedawno było głośno. Czy można sprawdzać udział w przygotowaniu do sakramentu świętego poprzez zbieranie odcisków palca? Moim zdaniem – nie. Ten sam cel można bowiem osiągnąć w dużo mniej inwazyjny sposób.

[b]Zarówno w Polsce, jak i w Unii trwa dyskusja nad retencją, czyli przechowywaniem danych teleinformatycznych na potrzeby organów ścigania. Zgadza się pan na to?[/b]

Jeśli retencja ma dotyczyć tego, od kogo i do kogo w jakimś momencie przekazywano pewne dane, to jestem w stanie uznać to za dopuszczalne i wynikające z powodów takich jak troska o zapewnienie bezpieczeństwa obywatelom. Jeśli jednak, o czym się dyskutuje, retencja dotyczyłaby treści np. rozmów telefonicznych czy korespondencji elektronicznej, to mam już poważne zastrzeżenia. Nakłady, jakie trzeba ponieść, by zachować np. każdy e-mail, są zbyt wielkie, by je uzasadnić potrzebą zapewnienia bezpieczeństwa. Według mnie ludzie godzą się na pewien poziom inwigilacji, jeżeli nie dotyczy ona treści ich rozmów czy korespondencji.

[b]Jak pan ocenia obowiązujące w Polsce przepisy o ochronie danych osobowych? Trzeba coś w nich zmienić?[/b]

Widzę potrzebę zmian, i to głębokich. Zacznijmy od samego słownika. Jeśli próbujemy sobie wyjaśnić, kim jest administrator, a kim procesor danych osobowych, to okazuje się, że posługujemy się pojęciami sprzed ery Internetu. Przeglądu wymaga cała ustawa, zresztą nie tylko ona, ale i wiele innych, gdyż przepisy dotyczące danych osobowych znajdują się chociażby w prawie pracy, transportowym, podatkowym itd. Potrzebne byłyby również zmiany uprawnień administratorów bezpieczeństwa informacji oraz generalne spojrzenie na problemy takie jak biometria, dane z rejestrów publicznych czy przetwarzanie danych osobowych „w chmurze” (cloud computing). Patrzę jednak na to przez pryzmat kalendarza wyborczego i wiem, że w tej kadencji nie uda się tego przeprowadzić. Dlatego też lepiej zająć się porządnym przeglądem regulacji, aby móc zgłosić propozycje zmian w następnej kadencji.

[b]Tymczasem w Sejmie od dawna trwają prace nad projektem zmian zgłoszonym przez poprzedniego prezydenta. Jak pan ocenia te propozycje?[/b]

Kiedy wpłynął w 2007 r., był projektem złym. Przewidywał rozwiązania zbyt daleko idące, dla których trudno by mi było znaleźć uzasadnienie.

[b]Jakiś przykład?[/b]

Choćby wprowadzenie kar administracyjnych o charakterze egzekucyjnym tam, gdzie do tej pory rządziły przepisy karne. Tak naprawdę przekształcono by w tym momencie urząd, który stoi poza podziałem między władzą ustawodawczą, wykonawczą i sądowniczą, w quasi-organ administracyjnej egzekucji. Nie do tego urząd GIODO powinien służyć.

[b]O tym, że kary poprawiłyby skuteczność, mówi się jednak od dawna. Nie sięgając daleko, UOKiK kary takie może nakładać i działa to dyscyplinująco na przedsiębiorców.[/b]

Jest jednak jedna zasadnicza różnica pomiędzy UOKiK a GIODO. Ten pierwszy jest organem administracji rządowej, jest podporządkowany premierowi. GIODO zaś stoi poza administracją rządową, podlega jedynie Sejmowi. To jest trochę tak, jakby uprawnienia do nakładania kar przyznać rzecznikowi praw obywatelskich.

[b]Zaczął pan mówić, że pierwotny projekt oceniał jako zły. A teraz, po pracach podkomisji?[/b]

Teraz oceniam go pozytywnie. Podczas prac w podkomisji wiele złych rozwiązań zastąpiono dobrymi. Oczywiście nie ze wszystkim się zgadzam, ale szanuję konsensus, jaki został wypracowany. Powstał rozsądny kompromisowy projekt wynikający z różnych spojrzeń na kwestie związane z ochroną danych osobowych.

[b]Powróćmy na chwilę do planowanego przez pana przeglądu regulacji dotyczących danych osobowych. Widzi pan możliwość udziału w tym przedsięwzięciu organizacji pozarządowych?[/b]

Tak, co więcej uważam, że siłami biura GIODO nie da się zrobić takiego przeglądu. Można natomiast go przeprowadzić w pewnego rodzaju rozproszonej sieci – przy współpracy organizacji społecznych i środowiska naukowego. I na to chciałbym położyć duży nacisk. Nie chcę, aby urzędnicy biura GIODO uważali się za tych, którzy wszystko wiedzą lepiej.

Próbowałem to robić już w administracji rządowej i jestem zadowolony z rezultatów. Półtora roku trwały dyskusje nad gruntowną nowelizacją ustawy o świadczeniu usług drogą elektroniczną, zanim pojawiły się założenia do projektu.

[b]Jak mają wyglądać takie konsultacje?[/b]

Udział społeczeństwa w tworzeniu prawa powinien być transparentny i odpowiedzialny. To znaczy: wiem, kto wyraża daną opinię i wiem, że on w to wierzy. Nie jestem fanem tworzenia aktów prawnych w formie „Wiki” [czyli tak jak jest tworzona Wikipedia]. Jestem za pełnym dostępem organizacji społecznych, które jednak muszą jasno określać, kogo reprezentują.

Wracając do obowiązujących przepisów. Cały czas kontrowersje budzi już sama definicja danych osobowych. Nie wiadomo, czy np. adres IP komputera należy do takich danych czy nie.

[b]Stosunkowo niedawno sąd wydał wyrok, z którego wynika, że nawet zdjęcie umieszczone na Naszej-Klasie to także dane osobowe. Da się uniknąć tego typu kontrowersji w przyszłości?[/b]

Nie da się stworzyć definicji, która odpowie na pytanie o wszystkie możliwe rodzaje danych osobowych, również te, których dzisiaj nie znamy. Chociaż adres IP był znany podczas tworzenia polskiego i unijnego prawa, nikt nie odbierał go w taki sposób jak dzisiaj. Dlatego za każdym razem trzeba indywidualnie badać, co jest danymi osobowymi. Przykładowo nick, którym się ktoś posługuje w Internecie, czasem należy, a czasem nie do takich danych. Innym dobrym przykładem jest adres e-mailowy. Nie jesteśmy w stanie napisać w przepisie, czy adres ten jest danymi czy nie. Adres: [link=http://www.mswia.gov.pl/portal/pl/78/3617/]di@mswia.gov.pl[/link] (adres Departamentu Informatyzacji MSWiA) nie należy do danych osobowych, a adres wojciech.wiewiorowski@mswia.gov.pl tak, bo pozwala mnie zidentyfikować.

[b]Pozorna anonimowość w sieci sprawia, że wiele osób czuje się bezkarnie i narusza np. dobre imię innych.

Pokrzywdzeni nie są w stanie sami ustalić ich tożsamości. Firmy, które mają ich dane osobowe, nie chcą zaś ich ujawnić. Powinny to robić czy nie?[/b]