bezpieczeństwo

Po tym, jak Zarząd Transportu Miejskiego w Warszawie wprowadził spersonalizowaną kartę miejską (por. Mam cię - bo muszę) pewien mieszkaniec Warszawy wystąpił do Biura Generalnego Inspektora Ochrony Danych Osobowych w sprawie udzielenia informacji na temat zgodności z ustawą o ochronie danych osobowych przetwarzania danych osobowych przez ZTM. GIODO odpowiedział, że zasady wydawania oraz korzystania ze spersonalizowanej Karty Miejskiej zostały określone w uchwale Rady Warszawy i, że akty prawa miejscowego, takie jak uchwała rady gminy, są aktami powszechnie obowiązującego prawa. Mieszkaniec Warszawy zatem zwrócił się do GIODO ze skargą o zbadanie legalności przetwarzania swoich danych osobowych, wnosząc jednocześnie o nakazanie zaprzestania przetwarzania jego danych osobowych niezgodnie z prawem. Poinformował, iż sprawa dotyczy wymagań określonych przez ZTM przy składaniu wniosku o spersonalizowaną Warszawską Kartę Miejską, tj. podanie swego imienia, nazwiska oraz numeru PESEL, co jego zdaniem, narusza art. 51 ust. 1 Konstytucji RP. Chociaż w GIODO uruchomiono postępowanie wyjaśniające, to jednak - jak podniósł mieszkaniec Warszawy w skardze do Wojewódzkiego Sądu Administracyjnego - doszło do bezczynności, polegającej na nierozpatrzeniu skargi. W efekcie WSA w Warszawie wydał wyrok z 19 listopada 2010 r. (sygn. II SAB/Wa 220/10).

Jest już po Radzie UE. Polska opowiedziała się za poparciem wniosku dot. dyrektywy Parlamentu europejskiego i Rady w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, uchylająca decyzję ramową 2004/68/WSiSW, która przewiduje m.in. blokowanie dostępu do stron internetowych zawierających pornografię dziecięcą (por. O tym, że polski rząd poprze blokowanie stron).

23 listopada 2010 wpłynął do Sejmu rządowy projekt ustawy o podpisach elektronicznych. Wedle projektodawcy projekt ma na celu implementacje dyrektywy Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych. Cel zatem dość lakonicznie sformułowano, tym bardziej, że przecież mamy dziś ustawę o podpisie elektronicznym, która jest krytykowana, która powoduje wiele problemów prawnych, technicznych, logistycznych. To ta ustawa przecież implementowała ww. dyrektywę, a w ogólnym opisie nowego projektu nie wspomina się, że chodzi o całkowicie nowe "ułożenie" sytuacji, gdyż w wyniku przyjęcia nowej ustawy straci moc ustawa z dnia 18 września 2001 r. o podpisie elektronicznym. Takie opisy, jak w przypadku aktualnie znajdującego się w Sejmie projektu, uważam za dalece niewystarczające.

"Przedstawiciele polskiego rządu od początku prac nad projektem dyrektywy wyrażali poparcie dla przewidzianych w nim założeń (...). Blokowanie stron internetowych byłoby pomocne w zwalczaniu rozpowszechniania treści pornograficznych z udziałem dzieci w Internecie, przyczyniając się do spadku zarówno popytu, jak i podaży materiałów zawierających takie treści."

"Siedziba Wikileaks mieści się w Szwecji, więc jest problem jurysdykcji. Myślę jednak, że w sytuacji, gdy informacje przekazuje się dziś błyskawicznie przez internet, kwestię jurysdykcji można rozwiązać. Ochrona Wikileaks z tego tytułu tylko dlatego, że organizacja mieści się w Szwecji, jest wątpliwa, gdyż działają oni przecież na skalę globalną. W epoce elektronicznego przekazu trudno dziś się upierać przy fizycznej lokalizacji jako podstawie jurysdykcji"

W miniony piątek wiele z torrentowych serwisów internetowych zablokowano w wyniku działań amerykańskiego Departamentu Spraw Wewnętrznych. Na grafikach pojawiających się pod "zablokowanymi" domenami widać "pieczęci" (loga) Departamentu Sprawiedliwości oraz jednej z części Departamentu Spraw Wewnętrznych - National Intellectual Property Rights (IPR) Coordination Center (bardzo groźnie wyglądające logo, przedstawiające atakującego orła). Wedle komunikatów - domeny zostały zablokowane w wyniku postanowienia sądu dystryktowego... W komentarzach na temat tego zdarzenia pojawia się problem kontrolowania przez USA światowego systemu domenowego (DNS). Amerykanie mogą zmienić wpisy DNS dowolnej domeny, a w wyniku tego domena taka zostanie "zablokowana" (odwiedzający zostanie przekierowany zgodnie ze zmodyfikowanym wpisem DNS). Zastanawiam się, czy w ten sposób również postąpią z Wikileaks.org, w którym to serwisie właśnie ujawniane są dokumenty amerykańskiej dyplomacji...

Aż nie chce się wierzyć, że sąd może nie wiedzieć, jakie w danej chwili prawo obowiązuje. Mam też spore wątpliwości, czy sąd może oczekiwać od wydawcy elektronicznych baz danych o prawie, by cokolwiek to wydawnictwo wyjaśniało. Po prostu wydawca przygotowuję bazę, kto chce - ten kupuje. Taka baza, a raczej informacje w niej zawarte, nie mają takiej mocy prawnej, jak opublikowane w Dzienniku Ustaw lub w Monitorze Polskim przepisy. Zresztą, brzmienie przepisów publikowanych w serwisie internetowym Sejmu RP również nie przesądza o czymkolwiek. Liczą się przepisy poprawnie promulgowane (stąd tak ważna jest dyskusja o elektronicznym ogłaszaniu prawa; por. Kolejny etap informatyzacji ogłaszania aktów prawnych...). A tu nagle okazuje się, że sąd w Warszawie trafił na pewną przeszkodę w trakcie rozstrzygania...

Rok temu odebrałem spersonalizowaną kartę ZTM z nadrukiem fundacji Panoptykon "Mam cię - bo muszę". Przy tej okazji przypomniałem stanowiska Zarządu Transportu Miejskiego w Warszawie, który argumentował, że "ZTM zbiera jedynie niezbędne dane osobowe". Mówiło się też, że dane będą dobrze zabezpieczone. Ale dziś już wiadomo, że - generalnie - nie ma kontroli nad danymi gromadzonymi przy okazji wyrabiania kart miejskich (chociaż oczywiście wrocławska URBANCARD to nie to samo co karta ZTM, ale...). Wiadomo, że wrocławska Prokuratura Okręgowa wszczęła z urzędu śledztwo w sprawie podejrzenia o "kradzież bazy danych użytkowników karty miejskiej". Sztab wyborczy Prezydenta Wrocławia twierdzi, że ze spamem wyborczym nie ma nic wspólnego. Rzecznik Mennicy Polskiej oświadczył w mediach, że "nie może zapewnić, że dane wrocławian są bezpieczne i że nie wyciekły z systemu, póki tego nie sprawdzą".

W ostatnich dniach Generalny Inspektor Ochrony Danych Osobowych wypuścił dwa istotne sygnały związane z działalnością internetową. Pierwszy z nich dotyczy działalności spółki Google, a ściślej dotyczy Google Street View. Drugi zaś dotyczy działalności Facebooka. GIODO przygląda się aktywności Google już od pewnego czasu. Samo Google Street View było przedmiotem komunikatów z maja 2009 roku, które zapowiadały głębsze analizy Inspektora (por. GIODO przyjrzy się Google Street View). Jeśli chodzi o Facebooka, to przywołując kanadyjskie prace uznające jurysdykcję tamtejszego regulatora nad Facebookiem, a to za sprawą konstatacji, że 1/3 obywateli Kanady ma konto w serwisie Facebook, polski Inspektor podnosi konieczność znalezienia sposobu na objęcie jurysdykcją polską aktywności tej spółki. Przywołuje przy tym instytucję "substantial connection" z prawa anglosaskiego.

Dziś odbyła się konferencja TransparencyCamp Polska (sygnalizowałem ją w zapowiedziach). Jestem wielkim fanem Sejmometru i trzymam kciuki za powodzenie tego projektu. Mniej więcej to właśnie miałem na myśli, gdy w swoim czasie pisałem Przejmujemy państwo, a potem nawet nawoływałem do przejęcia państwa. Generalny Inspektor Ochrony Danych Osobowych, zgodnie zresztą ze swoją wcześniejszą zapowiedzią, wtyka "kij w mrowisko" i twierdzi, że jeśli ktoś bierze udział w dyskusji na temat procesu legislacyjnego, to jest osobą publiczną, a to ma swoje konsekwencje w sferze prywatności.