Rozmowa z dr Wojciechem Rafałałem Wiewiórowskim, Generalnym Inspektorem ochrony Danych Osobowych.
- Co Pan minister powie o wyroku Wojewódzkiego Sądu Administracyjnego, który oddalił skargę fundacji Panoptykon zmierzającej do ujawnienia, czy PKP SA nas podsłuchuje na dworcach?
- Sąd powiedział, że dane takie nie są informacją publiczną. Nie widziałem uzasadnienia tego wyroku, ale przyznaję, ze jestem zdziwiony orzeczeniem. Wydaje mi się, że informacja o nagraniach i monitoringu z peronów powinna zostać udostępniona. Nie zajmuję się udostępnianiem informacji publicznej, ale ochroną prywatności. Postanowiłem jednak w trybie ustawy o ochronie danych osobowych skierować dokładnie te same pytania, które zadała fundacja do PKP SA. Interesuje mnie przetwarzanie danych osobowych przez PKP i ta informacja powinna zostać ujawniona. Jeśli jest to tajemnica przedsiębiorcy, to nie będę mógł jej udostępniać, ale na razie nikt tego nie powiedział.
- W kolejnej kadencji czeka Pana rozstrzygniecie kwestii tzw. apostazji. Problem jest, gdyż stanowiska WSA i NSA rozeszły się diametralnie. Co w tej sprawie może Pan zrobić?
- Orzeczenie wydane w WSA w Warszawie w sierpniu br. różni się od wyroków NSA z marca i października zeszłego roku. NSA wydał dwie serie wyroków - też nie identyczne. A wiec czekam na uzasadnienie.
- Czy podziela Pan pogląd sędziego sprawozdawcy, który stwierdził, że żądanie przez wiernego sporządzenia adnotacji w księgach chrztu przez proboszcza, że osoba ta nie należy do Kościoła Katolickiego, przypomina małżonka, który chce rozwodu. Małżonek ten zamiast złożyć pozew rozwodowy w sądzie, idzie do Urzędu Stanu Cywilnego i prosi urzędnika o wpis z adnotacją do akt, że przestał być mężem lub żoną. Sędzia powiedział: państwo da wam ochronę prawną, gdy spełnicie procedury przewidziane prawem kanonicznym. Czy słusznie?
- Sprawa jest nieporównywalna. Dlatego, że w sytuacji rozwodu są wyraźne przepisy prawa cywilnego dotyczące znaczenia odpowiedniego zdarzenia dla prawa cywilnego i publicznego. Tymczasem w sprawach wystąpienia z kościoła lub związku wyznaniowego - takich przepisów z reguły nie mamy. Mówię "z reguły" , gdyż w statutach ok. 160 zarejestrowanych kościołów powinna być informacja, jak wygląda odpowiednia procedura. Natomiast w wypadku 16 kościołów i związków wyznaniowych, które reguluje ustawa - nie ma słowa na temat występowania. Trudno wiec powiedzieć, że prawo określa wprost sposób występowania. Oczywiste, że wiele organizacji społecznych ma prawo określać sposób wystąpienia, ale mam wątpliwości, czy w tej konkretnej diecezji, o której mówimy są odpowiednie przepisy. Aby akt stał się prawem obowiązującym w Kościele Katolickim, musi być wprowadzony do porządku prawnego diecezji przez dekret ogólny albo przez decyzję biskupa diecezjalnego. Sytuacja prawna miedzy diecezjami w Polsce może się różnić i różni się. Wydaje się wskazane, aby tę sprawę rozstrzygnął Naczelny Sąd Administracyjny.
- Rozpoczyna się Pana nowa kadencja. Największym wezwaniem będą nowe technologie w kontekście ochrony danych osobowych?
- Traktuję wyzwania technologiczne jako jeden z czterech głównych obszarów wyzwań GIODO. Trudno powiedzieć, czy wyzwania technologiczne są trudniejsze niż: wyzwania prawne, kwestie świadomości ochrony danych, czy sprawy organizacyjne ochrony danych w Polsce.
- Proszę podać przykłady.
- Myślę, że najważniejsze wyzwania technologiczne to tzw. internet przedmiotów i tzw. mobilna medycyna, czyli używanie urządzeń mobilnych związanych z ochroną zdrowia. A z drugiej strony - mamy stare technologie, a sposób ich wykorzystania - zupełnie nowy. Np. ujawniony dwa dni temu sposób oszustwa polegający na wysyłaniu sms o tym, że dziecko przez pomyłkę podało zły numer telefonu i na ten numer przyjdzie sms, który wygląda jak wysłany przez matkę działającą w imieniu dziecka. Oszustowi chodzi o to, by odesłać wiadomość na inny numer. W tym sms-ie będzie prawdopodobnie hasło do serwisu, w którym ktoś zaciągnął pożyczkę. Sms-y są starą technologią, ale sposób ich wykorzystania przez oszusta jest nowy.
- Gdzie tu oszustwo?
- Ktoś wykonał operację wymagającą potwierdzenia danych poprzez wysłanie sms. Jedynym punktem wiążącym z oszustem jest prawdziwy numer telefonu. Po czym może się okazać, że podana treść jest jednocześnie zaciągnięciem pożyczki. Ale może to być też zapisanie się na otrzymywanie reklam za 25 zł.
- A gdzie są pułapki w świadczeniach medycznych?
- Połączenie możliwości internetu przedmiotów i mobilnej medycynie może być wielkim wyzwaniem. Internet przedmiotów polega na tym, że rozmaite rzeczy wyposażone np. w chipy komunikują się między sobą przez sieć bez udziału człowieka. Większość przedmiotów w tym pokoju może być za 10 lat podłączona do internetu. To mogą być świetlówki, które wysyłają dane o stopniu swojego zużycia albo wazon, który "poinformuje" kogoś, że woda w kwiatkach się kończy.
- I co w tym złego?
- Takie dane może przechwycić osoba lub instytucja nieupoważniona i wykorzystać wbrew naszej woli i wiedzy. I właśnie takie zagrożenia pojawiają się na styku tego zjawiska i e-medycyny oraz tzw. medycyny mobilnej. Mam tu na myśli różnego rodzaju mierniki, które przekazują na zewnątrz informacje o stanie naszego zdrowia. Przykładem są soczewki kontaktowe, które na bieżąco mierzą poziom cukru we krwi. Można na bieżąco wyświetlać sobie poziom cukru na smartfonie kilka razy dziennie. Jeśli dane będą trafiały do lekarza - to świetnie, jeśli do ubezpieczyciela - to problem. W przyszłości każdy będzie miał jakiś chip, np. kontrola pulsu w trakcie jazdy na rowerze czy mini termometry mierzące ciepłotę ciała. Innym przykładem są inteligentne pieluszki. Ok. 360 mln pieluszek dziennie jest wymienianych na świecie i jeszcze nikt nie zbierał danych, co się w nich znajduje. Do dzisiaj. Można w ten sposób zbadać co się w pieluszkach pojawiło i jakie ma to "coś" cechy.
- W jednym z wywiadów powiedział Pan, że można w samochodach instalować urządzenia przekazujące ubezpieczycielowi dane z czarnej skrzynki zamontowanej - oczywiście "dobrowolnie" - w samochodzie tylko po to, żeby obniżyć składkę ubezpieczenia OC.
- Niektórzy nie widzą w tym problemu np. Włosi, a Niemcy nie życzą sobie, aby ktoś badał ich zachowanie.
- Gdy obejmował Pan urząd zdawał Pan sobie z ogromu problematyki Inspektora Ochrony Danych?
- Nie i cały czas odkrywam, że problemów może być jeszcze więcej.
Rozmawiała: Katarzyna Żaczkiewicz-Zborska
Generalny Inspektor na tropie oszustów sms-owych, tajnego monitoringu i apostatów
- Postanowiłem w trybie ustawy o ochronie danych osobowych skierować dokładnie te same pytania o monitoring, które zadała fundacja Panoptykon do PKP SA. Interesuje mnie przetwarzanie danych osobowych przez PKP i ta informacja powinna zostać ujawniona - uważa dr Wojciech Rafał Wiewiórowski, GIODO.