Na stronie internetowej Głównego Inspektora Danych Osobowych znaleźć można szereg porad przydatnych przed wakacjami – mówił w „Pulsie Trójki” GIODO Wojciech Rafał Wiewiórowski. Na przykład: szef nie musi wiedzieć, gdzie jedziemy na wakacje, chyba że jesteśmy cennym agentem służb specjalnych. Można się też dowiedzieć, jakie dane może od nas pobrać biuro podróży.

GIODO przestrzega również przed oddawaniem w zastaw dowodu tożsamości, czy to paszportu, czy dowodu. W Polsce nikt nie ma prawa tego robić! - W Polsce wykorzystanie dowodu w ten sposób, że dajemy go jako zastaw za siebie, jest wręcz zabronione przez prawo. Przepis ustala, że przetrzymywanie cudzego dowodu jest wykroczeniem – mówił w „Trójce” GIODO. Dodał, że dane zawarte w dowodzie osobistym mogą umożliwić zaciągnięcie kredytu lub zakup na raty w naszym imieniu. GIODO mówi, żeby nie dawać swojego dowodu tożsamości osobie, która używa go poza naszą wzrokiem, bo może go zeskanować. Nie zawsze też uprawnione jest kserowanie dowodu, bo kserujący może nie potrzebować wszystkich naszych danych.

Na stronie GIODO znajduje się zdjęcie z łupiną arbuza na głowie. Wojciech Wiewiórowski przypomniał, że wakacyjne szalone zdjęcia czasem mogą być wykorzystane zupełnie inaczej, niż sobie życzyliśmy. - Pamiętajmy, że umieszczając zdjęcia na stronach społecznościowych albo ujawniając je szerokiej grupie osób, ryzykujemy prywatnością swoją, ale czasem i znajomych i rodziny – zauważył.

GIODO ocenił w „Trójce”, że bardzo dobrze się stało, że Parlament Europejski odrzuciła ACTA i podjął nad nim samodzielną dyskusję. Dodał, że gdyby PE czekał na decyzję Komisji Europejskiej, oznaczałoby to, że sam nie potrafi ocenić tej sytuacji.

PO, SLD, RP i PSL przyjęły roczne sprawozdanie GIODO, podsumowujące 2011 rok. Wojciech Wiewiórowski wspominał w sprawozdaniu o tym, że było 200 kontroli, a to mało w porównaniu z zapotrzebowaniem. Poza tym GIODO ma mały budżet, 15 mln złotych, należałoby poprawić ustawę, zarobki są niskie, co powoduje dużą rotację pracowników. Liczba kontroli jest porównywalna ze statystykami we Francji, ale w ocenie GIODO jest niewystarczająca.

GIODO powiedział, że razem z resortem finansów zaproponował, by w ustawach deregulacyjnych znalazły się przepisy, które zlikwidowałyby obowiązek rejestracji zbiorów danych osobowych w tych przypadkach, w których nie jest to konieczne. Po drugie, wprowadzonoby wirtualne kontrole, przeprowadzane przy pomocy osób działających na terenie danego zakładu.

agkm

Średnio przestępcy zrabowali w ten sposób w Polsce 35 tysięcy złotych. Rusza kolejna odsłona kampanii „Nie daj się okraść, chroń swoją tożsamość”.

Generalny Inspektor Ochrony Danych Osobowych Wojciech Rafał Wiewiórowski przypomina, że nie powinniśmy popełniać podstawowych błędów. Powinniśmy wystrzegać się wielu sytuacji, które mogą pozwolić przestępcy podszyć się pod nas i na przykład wziąć kredyt. GIODO ostrzega nawet przed pozostawieniem dowodu osobistego w zastaw za wypożyczenie na przykład kajaka. Podczas naszej trzygodzinnej wycieczki kajakowej przestępcy mogą z pomocą naszych dokumentów zaciągnąć w naszym imieniu kilka kredytów konsumenckich.
Socjolog Marta Ślendak ostrzega, aby nie wyrzucać do śmieci dokumentów z naszymi danymi osobowymi. Niestety, badania pokazują, że wielu Polaków nie niszczy wyrzucanych dokumentów i na śmietnikach lądują na przykład telefoniczne billingi ze wszystkimi danymi, które mogą posłużyć przestępcom do podszywania się.
Eksperci ostrzegają, aby zwrócić też uwagę jakie dane publikujemy w internecie i jak zabezpieczone są dane przechowywane w nowoczesnych telefonach komórkowych.

Nie musimy nawet zostawiać nigdzie naszych danych, ani numeru telefonu. Smsy nie są spersonalizowane i, wykorzystując technologię bluetooth, wysyłane automatycznie do prawie wszystkich klientów galerii handlowej. - Jest tu pewien problem, bo na przesyłanie jakichkolwiek informacji handlowych jest potrzebna nasza zgoda. Regulują to oddzielne przepisy o świadczeniu usług drogą elektroniczną - wyjaśnia mecenas Arwid Mednis z biura Generalnego Inspektora Ochrony Danych Osobowych. Często sami zgadzamy się na otrzymywanie takich informacji, akceptując przetwarzanie naszych danych przy podpisywaniu różnych umów.

Sklep, w którym robimy zakupy, wcale nie przesyła naszych informacji bankowi, a ten naszemu operatorowi telefonii komórkowej, jak mogłoby się wydawać.  - Operator dysponuje systemem teleinformatycznym, który dokładnie pokazuje do której stacji bazowej użytkownik jest zalogowany - wyjaśnia Jerzy Łabuda, ekspert ds. nowych technologii w serwisie forbs.pl. Takich stacji jest kilka na każdym piętrze centrum handlowego, aby wszystkim klientom zapewnić dobrą jakoś usług telefonicznych. Raporty przesyłane przez komórki trafiają do centralnego systemu, który rozsyła reklamy na telefonu znajdujące się w danym miejscu.

Oddzielny problem dotyczy właścicieli firm, którzy otrzymują reklamy sugerujące, że ktoś posiadł informacje dotyczące ich przedsiębiorstwa. Jak podkreśla mecenas Arwid Mednis problem ten wynika z faktu, że jeszcze niedawno dane te nie były chronione. Obecnie podmioty przechowujące takie informacje powinny zawiadomić właścicieli, że je posiadają i w jakim celu przetwarzają. Jak podkreśla przedstawiciel GIODO, danych tych nie można wykorzystywać, mimo że Ewidencja Działalności Gospodarczej jest jawna.

Kiedy bezwzględnie trzeba zniszczyć, a kiedy wystarczy wyrzucić dokument? – Jeśli są na nim jakiekolwiek dane, nawet tylko imię, nazwisko i adres, to już traktujmy taki dokument jako bardzo ważny – mówi ekspert z firmy HSM Polska.

Przykładem częstych zaniedbań w tym obszarze są wydruki z bankomatów. Ich –co podkreślała gość radiowej Jedynki – nigdy nie możemy zostawiać w maszynach, albo przypadkowo wyrzucać. - Pierwsza nieprzyjemność która nam grozi polega na tym, że ktoś może dowiedzieć się, ile pieniędzy wypłaciliśmy. A taka informacja będzie bardzo interesująca dla potencjalnych złodziei.  Kolejną, groźną informacją są zawarte na wydrukach nasze cząstkowe dane osobowe. Sam kwitek nie daje możliwości na szybkie wyłudzenie czy kradzież, ale to już ważny fragment układanki, który może się źle zakończyć – opowiadał Piotr Baczyński.

A co z bezpieczeństwem dokumentów w urzędach? – Temat jest skomplikowany, bo przepisy dokładnie nie regulują tego, jak niszczyć. Tymczasem urządzenia są przeróżne, palenie często niewykonalna, a podarty nawet na kilkanaście fragmentów dokument to nadal łatwa układanka – tłumaczył Piotr Baczyński.

Ile kosztuje najtańsza, skuteczna niszczarka i na co zwracać uwagę przy jej wyborze oraz jak zabezpieczać dokumenty elektroniczne? O tym wszystkim usłyszysz w nagraniu audycji.

Rozmawiał Roman Czejarek.

ei

Na temat zawiłości związanych z ochroną danych rozmawiamy z dr. Wojciechem Rafałem Wiewiórowskim – Generalnym Inspektorem Ochrony Danych Osobowych.

Robert Kamiński: Zacznijmy od podstaw - co to są dane osobowe, które trzeba chronić?

Wojciech Rafał Wiewiórowski:  Danymi osobowymi są wszystkie informacje, które można powiązać bez większego trudu z konkretną osobą fizyczną. Każde tego typu dane powinny podlegać pewnej ochronie, aczkolwiek należy pamiętać, że przepisy prawne, które dotyczą ochrony danych osobowych, gwarantują również swobodę ich przekazywania. Zawsze jednak musi istnieć podstawa uprawniająca do przetwarzania danych osobowych, czyli do wykonywania na nich jakichkolwiek operacji. Może nią być np. przepis prawa lub zgoda osoby, której dane dotyczą. Warto zaznaczyć, że dane osobowe mogą mieć bardzo różny charakter, a ten sam zestaw informacji dla jednej osoby nie będzie stanowił danych osobowych, a dla drugiej już tak. Dobrym przykładem jest adres IP czy MAC adres komputera – na pierwszy rzut oka nie są to dane osobowe. Jednak w niektórych przypadkach tak jest – np. dla operatora telekomunikacyjnego IP powiązane z informacją, do kogo zostało przypisane i jakich taryf ta osoba używa, mogą stanowić interesujące dane osobowe. Nie ma zatem precyzyjnej definicji danych osobowych, ale chyba nie powinno jej być.

RK: Rozumiem, że wizerunek może być również daną osobową?

WRW: Wizerunek może być daną osobową kiedy w łatwy sposób można połączyć go z innymi danymi, które indywidualizują osobę. Szansa na to, że monitoring umieszczony w miejscu publicznym takim jak ulica miasta umożliwi zidentyfikowanie konkretnej osoby jest niewielka, natomiast monitoring w miejscu pracy niewątpliwie pozwala jednoznacznie powiązać wizerunek z pozostałymi danymi osobowymi  posiadanymi przez pracodawcę. W sklepie wielkopowierzchniowym są osoby, których zidentyfikować się nie da, ale są również pracownicy, którzy są znani pracodawcy. Monitoring w tym przypadku ma służyć jednocześnie bezpieczeństwu anonimowych klientów, zapobieganiu kradzieżom  i ocenie pracy pracowników.

RK: Nie przez przypadek zapytałem o wizerunek - obecnie w sklepach bez problemu mógłbym nabyć latające zabawki-drony wyposażone w kamerę, dzięki którym można np. odnaleźć własnego kota, który udał się z wizytą do sąsiadów, ale jednocześnie zarejestruję przebywające tam osoby. Ponieważ znam sąsiadów, nie ma problemu identyfikacji. Rozumiem, że tego typu dane podlegają ochronie?

WRW: Tak, to prawda. Dotknął Pan interesującego zagadnienia, do którego można podchodzić w różny sposób. Nagrywanie obrazów przez drony używane np. w armii na potrzeby zapewnienia bezpieczeństwa narodowego nie będzie podlegało przepisom ustawy o ochronie danych osobowych. W przypadku policji czy straży miejskiej, o ile tego typu tryb nadzoru miałby być przez nie stosowany, wymagałby uregulowania w przepisach, bo obecne nie przewidują możliwości korzystania z takich urządzeń. Natomiast w zastosowaniu prywatnym sprawa jest delikatna – używanie różnego rodzaju urządzeń nagrywających: kamer, rejestratorów , aparatów fotograficznych nie jest przecież zabronione i przetwarzanie tego typu danych na potrzeby prywatne i użytku domowego jest jak najbardziej dozwolone, nawet jeśli przetwarzamy dane osobowe. Natomiast w przypadku rejestracji poczynań wspomnianego przez Pana kota zaczyna się problem – dopóki śledzi go Pan na swojej posesji lub terenie publicznie dostępnym, nie ma problemu, natomiast nagranie jego „wypadu” na teren sąsiadów nie stanowi, co prawda, nieuprawnionego przetwarzania danych osobowych, ale jest naruszeniem prywatności. Prywatność zaś jest pojęciem znacznie szerszym niż ochrona danych osobowych, gdyż obejmuje również ochronę dóbr osobistych wynikającą z Kodeksu cywilnego. I tu można narazić się nie tyle na administracyjną odpowiedzialność wynikającą z tego, że tworzymy jakiś zbiór danych, ale przede wszystkim na odpowiedzialność cywilną spowodowaną naruszeniem dóbr osobistych sąsiada. Trzeba mieć jednak na uwadze, że w Polsce nie mamy wystarczającej regulacji prawnej dotyczącej monitoringu i video monitoringu. Od półtora roku występujemy do Ministerstwa Spraw Wewnętrznych z permanentną prośbą o podjęcie efektywnych prac nad ustawą o monitoringu wizyjnym. Na razie żadnych efektów nie widać.

RK: Porzucając temat kota i dronów – coraz więcej osób używa smartfonów, które przechowują dane osobowe, a co więcej synchronizują się z tzw. chmurą, gdzie te dane są również przechowywane. Operatorem chmury może być dostawca usług internetowych, może to być również np. firma Google, która archiwizuje zarówno kontakty, jak i korespondencje. Kto jest w tej sytuacji odpowiedzialny za ochronę danych osobowych?

WRW: Bez wątpienia użytkownik i to na nim spoczywa pełna odpowiedzialność za ochronę danych osobowych. Co ciekawe, ta odpowiedzialność spoczywa również na pracodawcy, jeżeli to on kupił i udostępnia smartfony swoim pracownikom. Na nim bowiem spoczywa obowiązek zadecydowania, w jaki sposób mogą być one wykorzystywane, a więc to on decyduje o celach, sposobie i zakresie przetwarzania danych, stając się administratorem danych zobowiązanym do właściwej ich ochrony. Przy czym pracodawca, określając sposób, w jaki dane urządzenie może być przez pracownika używane, niejako przenosi na niego odpowiedzialność za właściwą ochronę danych osobowych. Ważne, aby instrukcje użytkowania przekazał pracownikowi w sposób zrozumiały, tak by pracownik był świadomy obowiązujących go zasad. W przypadku gdy pracownik w sposób świadomy je naruszy, np. przekaże dane osobie nieuprawnionej, to on będzie ponosił odpowiedzialność karną. Natomiast za obowiązujące w danej firmie zasady i mechanizmy ochrony danych osobowych tak czy inaczej odpowiada pracodawca. Podobnie jest w przypadku korzystania z samochodu służbowego. Jeśli pracownik spowoduje wypadek, będzie odpowiadał osobiście.

RK: Jak rozumiem, podobnie sytuacja przedstawia się w przypadku serwisów internetowych – np. list czy forów dyskusyjnych?

WRW: W przypadku serwisów internetowych generalnym problemem jest określenie, kto jest administratorem danych osobowych, a kto tylko procesorem, czyli przetwarzającym dane. Nie ma jednej, wspólnej dla wszystkich serwisów definicji. Rzecznicy ochrony danych osobowych zgodnie twierdzą, że pierwszym i podstawowym administratorem danych jest osobą lub podmiot, który tworzy narzędzia do przetwarzania danych i umożliwia korzystanie z nich, a nie ten, kto zamieszcza posty. Z zasady media społecznościowe, np. Facebooka czy nk.pl traktuje się jako administratorów danych, choć nie jest wykluczone, że niektóre profile mogą stanowić odrębne zbiory danych osobowych.

RK: Kto jest zatem odpowiedzialny za przetwarzanie danych osobowych osób, które polubiły nasz fanpage na Facebooku?

WRW: W tym przypadku administratorem danych jest zarówno  twórca fanpage’a, jak i Facebook, choć odpowiedzialność może być rozłożona w różny sposób. Nie mam wątpliwości, że administratorem danych użytkowników jest Facebook, który może posiadać dane, których twórca fanpage’a może nie znać. W czasie rejestracji użytkownik musi bowiem podać swoje prawdziwe dane, nie jest jednak powiedziane, że te dane musi znać inny użytkownik tego samego serwisu społecznościowego. Dla twórcy fanpage konkretny użytkownik może być rozpoznawalny jedynie pod pseudonimem. Natomiast Facebook jest w stanie powiązać go z konkretną osobą. Jednak w większości przypadków twórca fanpage’a dysponuje danymi osób, które zostały fanami danego serwisu. Co więcej, dane te są z reguły do czegoś wykorzystywane, a zatem zastosowanie znajdą przepisy ustawy o świadczeniu usług drogą elektroniczną. Zobowiązują one m.in. do stworzenia regulaminu fanpage’a, określającego m.in. cel, w jakim dane będą wykorzystywane.

RK: Do kogo zatem może „poskarżyć się” osoba, która otrzymuje przez Internet np. niechciane przesyłki reklamowe?

WRW: Problem polega na tym, że w Polsce nie istnieje instytucja, która zajmuje się problemem spamu. Ja jako Generalny Inspektor Ochrony Danych Osobowych mogę najwyżej zajmować się bazą, która jest wykorzystywana na potrzeby rozsyłania spamu, a nie samą czynnością, jaką jest jego rozsyłanie. W bardzo wąskim zakresie zajęto się tym problemem w ustawie o świadczeniu usług drogą elektroniczną, jednak jednej instytucji zajmującej się tym zagadnieniem obecnie w Polsce nie ma.

autor: Robert Kamiński