GIODO na Dzień Ochrony Danych Osobowych. Rozmowa Fundacji Panoptykon

Z okazji międzynarodowego Dnia Ochrony Dany Osobowych Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, opowiada Fundacji Panoptykon o big data, aplikacjach mobilnych, edukacji cyfrowej i praktycznych narzędziach chroniących prywatność.

Trzy tematy na Dzień Ochrony Danych Osobowych

Tegoroczny Dzień Ochrony Dany Osobowych postanowiliśmy poświęcić zagadnieniom związanym z prywatnością w cyfrowym świecie, wyróżniając trzy główne tematy, którym poświęcona zostanie też konferencja organizowana przez GIODO [28 stycznia – przyp. red.].

Pierwszym jest życie w świecie Big Data – Big Data rozumianego jako zestawu bardzo różnych informacji, z bardzo różnych zasobów, prowadzonych przez bardzo różne podmioty, które często, bez naszej wiedzy, są składane ze sobą i dają całkiem duży zestaw informacji dotyczących naszego życia. Faktycznie nasz profil.

Aplikacje mobilne: kto powinien odpowiadać za gadżet, który nas śledzi?

Drugim ważnym zagadnieniem są aplikacje mobilne, czyli to co dzieje się w świecie telefonów, smartfonów i urządzeń mobilnych. Urządzeń mobilnych z resztą bardzo różnych. Przecież urządzeniem mobilnym, które służy do przekazywania danych o nas, jest również nasz samochód. Nasz samochód jest w tej chwili tak naprawdę smartfonem, który – będąc coraz bardziej smart – przekazuje coraz więcej informacji o nas. Coraz częściej zestawiamy i synchronizujemy informacje z iPada z informacjami w urządzeniach, które poruszają się razem z nami, takich właśnie jak samochód, laptop, czy jak za chwilę Google Glass albo Jarvis, które będą następne w kolejności.

Problem? Mamy tutaj kilka grup problemów. Po pierwsze problem tego, co my wiemy o tych aplikacjach, w jaki sposób zostaliśmy poinformowani i o czym zostaliśmy poinformowani, jeżeli chodzi o ich działanie. Natomiast prawdą jest również, że poza aplikacjami, za które w jakimś stopniu odpowiadamy sami (bo popełniliśmy tę głupotę, że je zainstalowaliśmy, nie będąc pewnym, co  robią), dostajemy również cały zestaw aplikacji w pakiecie z telefonem komórkowym.

Nawet operator telekomunikacyjny nie wie, co robi telefon, który dał nam w pakiecie.

Z kolei telefon komórkowy czy tablet kupujemy bardzo często nie jako urządzenie, ale jako gadżet do umowy o świadczenie usług telekomunikacyjnych. W związku z tym nawet operator telekomunikacyjny – podmiot, który nam ten gadżet sprzedał – z reguły nie ma bladego pojęcia, co to urządzenie robi. Teraz pytanie: jaka jest za to odpowiedzialność, odpowiedzialność w sferze prawa konsumenckiego, w sferze prawa ochrony danych osobowych; odpowiedzialność za produkt i oprogramowanie, które od kogoś dostajemy? Kto tak naprawdę ponosi odpowiedzialność naruszenia prywatności, które są dokonywane?

Edukacja cyfrowa: nie rozmawiajmy o tym, że jest potrzebna – zastanówmy się, jak ją prowadzić

To wszystko prowadzi nas do trzeciego tematu, który jest dla nas tematem bardzo ważnym, a mianowicie do edukacji cyfrowej. Edukacji cyfrowej, która bardzo często jest traktowana jak słowo klucz, a właściwie słowo wytrych. Taki klasyczny buzzword. Jak już nie wiemy, co mamy zrobić, mówimy „edukujmy”. Zajmijmy się edukacją. Edukacja jest najważniejsza. A w ogóle najważniejsze jest, żebyśmy edukowali dzieci. Tymczasem, po pierwsze, powinniśmy przejść od tego, że edukacja jest potrzebna, bo to wiedzą wszyscy, do tego jak tę edukację prowadzić. A czasem można ją prowadzić w niezupełnie oczywisty sposób.

Edukować można (i warto) w sposób nieoczywisty.

Przykładem tego jest działanie, które realizuje Biuro GIODO przygotowując scenariusze lekcji na temat prywatności na różne przedmioty. Dlaczegóż nie uczyć czasu present perfect continous czy trzeciego conditionala na czytance, która nie dotyczy Big Bena czy Mostu Londyńskiego, ale właśnie prywatności? To jest podprogowe przekazywanie informacji, która gdzieś tam powinna trafić. Ja do dzisiaj znam historię Jałty nie z tego powodu, że bardzo interesowała mnie Jałta, ale z tego powodu, że temu poświęcona była jedna z czytanek na języku rosyjskim w szkole podstawowej.

Edukować trzeba przez całe życie, kierując przekaz do konkretnych grup zawodowych

Druga kwestia, o której musimy pamiętać to, to że edukacja nie jest tylko zadaniem szkoły. Edukować trzeba tak naprawdę przez cały okres życia wszystkie osoby, które mają z tym światem cyfrowym coś do czynienia. Najciekawsze programy edukacyjne, które teraz prowadzimy jako Biuro Generalnego Inspektora, są skierowane do adwokatów czy radców prawnych. Proszę sobie wyobrazić jak wygląda nauka higieny obsługi komputera i higieny obsługi systemów informacyjnych zawierających dane osobowe dla osób, które z jednej strony są tak inteligentne i zorientowane w świecie, jak radcowie prawni, adwokaci czy lekarze. Z drugiej strony są całkowicie przekonani, że działają dla dobra drugiej osoby. Po trzecie, zdają sobie sprawę z tego, że posiadają ogromną ilość informacji, która dodatkowo jest objęta tajemnicami prawnie chronionymi. Komunikat dla lekarza czy adwokata, że jeżeli nie szyfruje swojego twardego dysku, to ma problem z tajemnicą lekarską albo tajemnicą adwokacką, będzie na tyle szokujący, że łatwo może taką edukację odrzucić.

Narzędzia: jak w praktyce chronić swoją prywatność?

Niestety nie jest tak, że możemy przygotować takie same narzędzia chroniące prywatność dla wszystkich grup, które ich potrzebują. One w jakiś sposób muszą być dostosowane. Na pewno powinniśmy położyć większy niż do tej pory nacisk na higienę bezpieczeństwa teleinformatycznego, bezpieczeństwa w cyfrowym świecie. Tak naprawdę najwięcej błędów, które popełniamy, wynika z nieuwagi. Nie ze złego zrozumienia czegoś, nie ze złej woli, tylko ze zwykłej nieuwagi. Jak konkretnie powinniśmy działać z tym problemem? Moim zdaniem działania powinny być skierowane do poszczególnych grup tak żeby trafiały; żeby pokazywały, że to u nich jest problem – coś, co należy rozwiązać – i że są na to dobre rozwiązania.

Nie ma uniwersalnego rozwiązania.

Myślę, że nie ma uniwersalnego narzędzia. Z pewnością szyfrowanie dysku jest czymś co generalnie należałoby polecać w ramach owej higieny bezpieczeństwa teleinformatycznego. Szyfrowanie maili też jest tego typu rozwiązaniem. Z drugiej strony zdajemy sobie sprawę z tego, że inaczej zachowujemy się przy codziennej prywatnej korespondencji, która dotyczy zakupu bananów albo mleka, a zupełnie inaczej, kiedy przekazujemy ważne czy wrażliwe dane. To prawda, że stosowanie takich odmiennych standardów może być złe – robiąc to sygnalizujemy podsłuchującym, co w naszej komunikacji powinna zasługiwać na ich uwagę. Potrafię jednak zrozumieć, że w sprawach drobnych ludzie chcą się komunikować szybko i bez konieczności ponoszenia dodatkowych kosztów. Nie jest tak, że siedząc w restauracji będziemy odcinali się szklanymi szybami, nieprzepuszczającymi dźwięku, tylko po to, żeby ktoś nie podsłuchał rozmowy, którą prowadzimy przy kawie. Po to przychodzimy do kawiarni, żeby być w miejscu publicznym. W tym momencie dokonujemy swoistego wyboru narzędzia komunikacji, które nie jest bezpieczne.

Pamiętajmy, że w grę może wchodzić nie tylko nasza prywatność.

Natomiast jeżeli w danej sytuacji nasza prywatność jest dla nas ważna, powinniśmy stosować dodatkowe zabezpieczenia. Takie zabezpieczenia powinniśmy stosować szczególnie wtedy, kiedy w grę wchodzi nie tylko nasza prywatność – kiedy nie popełniamy głupstwa na swój rachunek, ale na czyjś rachunek. To właśnie się dzieje, gdy dysponujemy danymi innych osób, również tych najbliższych: brata, siostry, matki, ojca, córki, syna. Każda z tych osób ma swoje własne podejście do prywatności, które może być inne niż nasze.

Wysłuchała: Katarzyna Szymielewicz
Opracowanie: Anna Walkowiak