Rozmowa z Andrzejem Lewińskim, zastępcą Generalnego Inspektora Ochrony Danych Osobowych.
- Już 28 maja rozpocznie się X Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych. Jakie są dotychczasowe sukcesy tego kongresu?
- Sukcesem jest choćby aktywny udział środowisk biznesowych w pracach kongresu, Związku Rzemiosła Polskiego, prezesa KIG Andrzeja Arendarskiego i Andrzeja Malinowskiego Prezydenta Pracodawców RP. Biznes niechętnie przyjmował zmiany w zakresie obowiązków, które narzuca ustawa, a które są związane z ochroną danych osobowych.
Warto wspomnieć, że 12 marca br. zostało przegłosowane w Parlamencie Europejskim rozporządzenie w sprawie ochrony danych, które zmieniło zasady odpowiedzialności za naruszenia. Będzie więc jednolita w całej UE odpowiedzialność finansowa. Polska jako chyba jedyny kraj w Europie utrzymuje odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych, ale nie ma sankcji finansowych.
W pierwszej wersji, którą opracowała Komisja Europejska kara ta wynosiła do miliona euro. Parlament zwiększył ją do 100 mln euro. To działa na wyobraźnię biznesmanów.
- W ostatnim czasie ożywiło się też środowisko medyczne?
- Dlatego, że od 1 sierpnia tego roku ma zacząć obowiązywać elektroniczny system informacji medycznej. Może jego wejście w życie zostanie przesunięte, ale na wszystkich lekarzach, wielkich klinikach medycznych, a także Ministerstwie Zdrowia spoczywa wielki obowiązek zagwarantowania bezpieczeństwa danych. Lekarz nie może danych medycznych pacjenta, danych wrażliwych przesyłać bez szyfrowania. Również pacjent, który wysyła dane drogą elektroniczną musi mieć podstawowe wiadomości, ze może być narażony na "wyciek", jeśli nie zainstaluje w swoim komputerze programów bezpieczeństwa.
- Czy taki program bezpieczeństwa można sobie ściągnąć z internetu?
- Można, ale jest on nieskuteczny. Zwracamy się do Krajowej Izby Lekarskiej, aby zapewniła swoim członkom programy, wynikające z polityki bezpieczeństwa.
- Ale instalacje takich programów to dodatkowe koszty dla samorządów i przedsiębiorców, trzeba zatrudnić informatyków...
- Nie. Administrator bezpieczeństwa danych nie musi być informatykiem, a zabezpieczenie komputera to są czynności jednorazowe lub do stałego nadzoru informatyka zewnętrznego.
Rozporządzenie unijne ogranicza obowiązki małych przedsiębiorstw. Wystąpiliśmy ostatnio z inicjatywą w ramach deregulacji, aby przedsiębiorcy, którzy powołają administratora bezpieczeństwa informacji, nie musieli rejestrować zbiorów danych zwykłych.
Od 17 lat przedsiębiorcy powinni zabezpieczać swoje zbiory, to są zaległości, które trzeba nadrobić. GIODO pomaga biznesowi w różnoraki sposób, także poprzez bezpośrednie spotkania, studia podyplomowe. Nawet dwie uczelnie będą kształcić magistrów z zakresu ochrony danych osobowych (Uniwersytet Łódzki i Społeczna Akademia Nauk), a wkrótce podpisujemy umowę z Katedrą Prawa Gospodarczego UJ w sprawie kształcenia.
- Jak ocenia pan wyrok ETS i prawo do bycia zapomnianym w przeglądarkach Google?
- Rewolucyjne podejście. Ale prawo do bycia zapomnianym znajduje się w procesowanym rozporządzeniu unijnym. To powinno być bezwzględne prawo! Podam przykład. Niektóre sądy w ramach postępowań w sprawie kierowców ( w wyrokach ) publikują w Internecie orzeczenia z nazwiskami. Ale jest zatarcie skazania i nikt z internetu tych nazwisk nie wyrzuca. Po zatarciu sprawca jest niewinny, choć w sieci nadal występuje jako sprawca.
- Rozpowszechniają się także liczne przestępstwa internetowe, cyberterroryzm, inwigilacja obywateli przez państwa...
- Odnotowujemy kradzieże tożsamości, podszywanie się pod inne osoby i zawieranie w ich imieniu umowy gospodarcze. Nie możemy zamknąć się przed potężną skalą rozwoju społeczeństwa informacyjnego. Ale nie możemy zapominać, ze 10 tys. podmiotów (stron lub serwisów) w świecie działa na rzecz terroryzm i analizują nasze skłonności. Takie dane podaje Gabriel Wellman z Uniwersytetu w Hajfie. Na podstawie innych działań ( PRISM ) ok. 360 raportów powstało z podsłuchów kanclerz Niemiec Angeli Merkel.
- ETS zawiesił funkcjonowanie dyrektywy retencyjnej, czyli telekomunikacyjnej. Jakie będą tego skutki?
- Ta dyrektywa nadała tak szerokie uprawnienia, że zgoda na zastosowanie cookies, czyli ciasteczka internetowe są akceptowane na podstawie domniemaniem zgody. Poprzez cookies śledzi się każdą naszą obecność w sieci. To jest potężna skala profilowania naszych zainteresowań, która powinna być poprzedzona wyraźną zgodą.
Jeśli prokuratura w Lublinie umarza śledztwo w sprawie znalezienia na śmietniku historii choroby kilkudziesięciu osób z powodu znikomej społecznej szkodliwości czynu - to jest zupełny brak świadomości. Musimy zdawać sobie sprawę z niebezpieczeństw i przeciwdziałać im.
Rozmawiała: Katarzyna Żaczkiewicz-Zborska
GIODO: trzeba się bronić przed cyberprzestępcami
Kara finansowa za naruszenia danych osobowych jest jednolita dla wszystkich państw członkowskich i wynosi do 100 mln euro. To działa na wyobraźnię biznesmanów - uważa Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych .