Monitoring kandydatów na Generalnego Inspektora Ochrony Danych Osobowych

W tekście Niebawem upłynie kadencja Generalnego Inspektora Ochrony Danych Osobowych napisałem, że to dobry czas, by - wzorem inicjatyw związanych z wyborem na sędziów Trybunału Konstytucyjnego - pojawiła się również inicjatywa monitoringu kandydatów na Generalnego Inspektora. Otóż i pojawiła się taka inicjatywa. Helsińska Fundacja Praw Człowieka, INPRIS – Instytut Prawa i Społeczeństwa oraz Fundacja Panoptykon rozpoczynają monitoring wyboru Generalnego Inspektora Ochrony Danych Osobowych.

Ten projekt w sposób oczywisty nawiązuje do realizowanych od 2006 r. monitoringów wyborów sędziów Trybunału Konstytucyjnego, monitoringu wyboru Prokuratora Generalnego oraz trwającego obecnie monitoringu wyboru Rzecznika Praw Obywatelskich.

Dziś do Marszałka Sejmu RP, ale również Klubów i Kół Poselskich organizatorzy przesłali pisma proszące o jak najszybsze wskazanie opinii publicznej kandydatów na GIODO. W ramach dalszych działań będziemy m.in. zbierali i publikowali informacje o zgłoszonych kandydatach, organizowali spotkania z kandydatami oraz obserwowali działania Sejmu przy wyborze GIODO.

W przesłanej do mediów informacji prasowej organizatorzy napisali zaś:

Celem akcji jest włączenie opinii publicznej w proces wyboru GIODO – głównego organu państwowego odpowiedzialnego za ochronę danych osobowych obywateli. Urząd ten powinna piastować osoba wyróżniająca się nie tylko szeroką wiedzą prawniczą, ale także wysokim autorytetem moralnym. Powinna to być również osoba dysponująca wiedzą i doświadczeniem z zakresu ochrony danych osobowych, w tym znajomością wyzwań wynikających z rozwoju społeczeństwa informacyjnego.

Ochrona danych osobowych jest jednym z podstawowych warunków realizacji prawa do prywatności. Dane osobowe są przetwarzane przez organy administracji publicznej oraz przedsiębiorstwa każdego dnia. Gromadzenie danych pracowników, klientów banków, utrwalanie w aktach medycznych danych na temat zdrowia pacjenta, to tylko niektóre przykłady. Wraz z rozwojem nowych technologii wyłaniają się nowe zagadnienia dotyczące ochrony danych osobowych (związane np. z coraz większymi możliwościami w zakresie łączenia i wymiany informacji czy działalnością portali społecznościowych).

No, to zaczynamy monitoring.

Może ktoś z czytelników chciałby zaproponować własne pytania do kandydatów?

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Pytania

Z giodo miałem trochę do czynienia jako twórca stron web 2.0 i wyszukiwarki ludzi. Totalnie się zawiodłem i (mimo dwóch listów + szukania na stronie giodo i w sieci) nie otrzymałem potrzebnych mi informacji od urzędników. Musiałem działać w ciemności, lub czasem wręcz świadomie łamiąc (niektóre bezsensowne) zasady ustanawiane przez giodo.

Dobrze byłoby gdyby kolejny kandydat był na bierząco w kwestii internetu, rozumiał problematykę serwisów web 2.0 (w których obecnie istnieje olbrzymia "szara strefa" nieudokumentowanych zbiorów danych osobowych).

Pytania do kandydatów na kolejnego inspektora?

Pytania wprost o jego komptetencje i zorientowanie w temacie internetu:
- Z jakich polskojęzycznych serwisów społecznościowych korzysta?
- Jakie jest jego doświadczenie w zarządzaniu zbiorami informatycznymi? W informatyce w ogóle? (p. Serzycki ma doświadczenie nieinformatyczne - przez to moim zdaniem jego opinie są niejednokrotnie oderwane od realiów)
- Czy korzysta z Facebooka? Jaka jest jego opinia na temat ostatnich zmian w polityce prywatności na tej platformie? (Pytanie po to, aby wykazać, czy orientuje się w światowych trendach)

Pytania o opinie na różne tematy. Ja wiem, że to nie wybory prezydenckie i nie prezentuje się programu, ale chciałbym usłyszeć, że osoba która ma zająć stanowisko inspektora ma jakieś pojęcie o tych problemach. No i ta okazja jest bardzo dobra aby zwrócić uwagę na kilka kwestii ważnych dla twórców baz danych (i pośrednio też użytkowników serwisów):

- Co sądzi na temat wyszukiwarek osób? Serwisy takie jak wyczajka.pl, czy kto-kogo.pl. Zamknąć, pozostawić?
- Czy e-mail typu imie.nazwisko@gmail.com w jego opinii jest daną osobową? Jeśli tak, to co zamierza zrobić aby ukrócić preceder nierejestrowania tych zbiorów? (na blogu Vagla.pl podałem swój e-mail w komentarzach, więc rozumiem, że Vagla ma bazę z moimi danymi)
- Jakie jest jego stanowisko wobec serwisów internetowych hostowanych za granicą, ale działających (biznesowo) w Polsce? Działają legalnie (i nie muszą się martwić o ochronę danych), czy nielegalnie (bo dane powinny trzymać w kraju)?
- Czy według niego obecne zabezpieczenia serwerów na których są hostowane zasoby web2.0 są odpowiednie? (lub jakieś inne pytanie techniczne. obecny urząd giodo w ogóle na tym się nie zna... wszystkie formularze i wskazówki dotyczą realiów serwerowni / korporacji, a nie hostowania małych serwisów w chmurze)

Wiem, że pytania są trudne i pewnie niektórych z nich nie da się zadać (zbyt szczegółowe), ale byłbym bardzo zadowolony gdyby monitoring kandydata na giodo wyeliminował osoby, które są słabo rozeznane w tematyce internetu i technologii.

Jak nie masz konta na Facebook'u to nie istniejesz?

Nie wydaje mi się by Generalny Inspektor musiał mieć konta w serwisach społecznościowych. Uważam, że na tym stanowisku należy kształtować i egzekwować politykę ochrony danych osobowych
Bardziej interesuje mnie kwestia wyważenia granicy prywatności w postaci "obowiązkowo" pozyskiwanych danych przez różne podmioty.
Za przykład niech posłużą:
- PESEL jaki zbiera ZTM,
- wypełnianie niemal ankiety personalnej w celu uzyskania informacji publicznej.

W kwestii internetu - zasadność kolekcjonowania informacji o internaucie zbierana przez różne serwisy przy okazji wejścia na jakąś stronę.

Pytania do kandydatów

1) Czy wyniki publicznych rozgrywek sportowych mogą być objęte ochrona danych osobowych?

2) Czy wobec części osób można wystąpić z żądaniem zaprzestania przetwarzania danych w celu podania ich do publicznej wiadomości w internecie, pozostawiając jednocześnie możliwość przetwarzania innym osobom?

3) Czy można w dokumentach podlegających ustawie o dostępie do informacji publicznej anonimizować dane osób pełniące funkcje publiczne?

4) Czy urzędy administracji publicznej i ich jednostki organizacyjne mogą żądać podania danych osobowych bez ustawowego na to zezwolenia, uzasadniając to racjonalnością postępowania?

5) Kto ponosi koszty usunięcia danych osobowych ze wszystkich zbiorów informatycznych (łącznie z backupami) oraz z dokumentów prywatnych?

6) Czy nieuporządkowany zbiór informatyczny (np. zbiór pism na różne tematy) zawierające dane osobowe jest zbiorem danych osobowych w rozumieniu ustawy, ponieważ można użyć funkcji szukających?

7) Czy żądanie usunięcia danych osobowych obejmuje również usunięcie ze wszystkich posiadanych egzemplarzy książek, czasopism, dzienników, filmów itd. co do których nie posiada się praw autorskich?

Uzasadnienie
ad 1
Spotkałem się z sytuacją, że zawodnik po zawodach, po nieudanym występie, nakazał jednej z osobó zaprzestania przetwarzania swoich danych osobowych uwzględniając w tym zapisy archiwalne i tabele porównawcze zawodników.

ad 2
Ten sam zawodnik wybiórczo potraktował redaktorów stron internetowych relacjonujących zawody w internecie. Uzasadnił, że to on decyduje kto może, a kto nie przetwarzać jego dane osobowe.

ad 3
W opublikowanych uzasadnieniach wyroków sądów administracyjnych często spotykam się z następującym schematem "Pan B. wójt gminy Z. ..." i następuje opis nieprawidłowości.

ad 4
Ponoć, w celu obniżenia swoich kosztów ZTM W-wa (i nie tylko) uzależnia wyrobienie biletu miesięcznego od podania danych osobowych, w tym PESELa.

ad 5
Zgodnie z wyrokiem sądu administracyjnego nakaz usunięcia danych osobowych dotyczy również usunięcia ich ze wszystkich kopi zapasowych. W przypadku dużych baz danych operacje takie składają się z trzech faz: odtworzenia bazy danych, usunięcia danych osobowych, ponownego zrobienia kopii bazy danych. W znanym mi przypadku koszt takiej operacji, na danych z 15 lat oszacowano na ok.380 tys zł. Niebezpieczeństwo niedozwolonego przetwarzania danych osobowych zminimalizowano, modyfikując oprogramowanie i trzymanie poza bazą danych stosownych identyfikatorów.

ad 6
Pani Kulesza, poprzedni GIODO, publicznie wyraziła zdanie, że wobec możliwości wyszukania na komputerze zbiorów zawierających zadany tekst (będący np. daną osobową) komputer jest zbiorem danych osobowych.

ad 7
Spotkałem się z żądaniem wobec biblioteki i czytelni miejskiej przez byłego radnego usunięcia jego danych osobowych z gazetek lokalnych, książek okolicznościowych i filmów. Relacje o końcowym etapie jego działalności pokazywały jego w sposób nie przynoszący mu chwały.

czekamy na kandydatów...

Czekamy na kandydatów, warto by było poznać Ich sylwetki, dokonania, stanowisko w kwestiach ochrony danych osobowych.
Warto by WŁADZA na stronach gov.pl przedstawiała kandydatów na kluczowe urzędy w państwie, pozwalając na wypowiedzi obywateli.

Panu Michałowi już dziękujemy (przynajmniej ja i wielu moich znajomych) , takie wypowiedzi jak ta ;

http://wiadomosci.gazeta.pl/Wiadomosci/1,80708,7650621,Chce_usuniecia_swojego_wizerunku_z_Naszej_klasy__Czeka.html

w odniesieniu do prawomocnych wyroków Sądowych w mojej opinii dyskwalifikują Go jako kandydata.

Czytając te pytania

Czytając te pytania odnoszę wrażenie, że albo się coś komuś pomyliło (czy kandydat ma konto na Fecebooku?), albo cała impreza jest traktowana jako źródło bezpłatnych porad prawnych.
Tymczasem to chyba nie o to chodzi. Chodzi o pewną filozofię podejścia do problemów ochrony prywatności (jak wiemy, dane osobowe służą ochronie prywatności). Dobrze by było, żeby kandydat się wypowiedział na temat jego stanowiska w sprawie gromadzenia informacji przez władzę publiczną - czy bliższy mu jest model ograniczający organy władzy publicznej w takich uprawnieniach, czy może stawia dobro państwa przed prywatnością obywateli? Chciałbym się dowiedzieć, jaka filozofia jest mu bliższa - reglamentowanie i regulowanie, czy zezwolenie na pewną swobodę w dysponowaniu informacjami pod warunkiem, że delikwent ma świadomość tego, co robi? Chciałbym wiedzieć, że kandydat wie, ile trwa rejestracja zbioru danych osobowych i co zamierza zrobić, żeby to trwało krócej?

A tak poza wszystkim, to słyszał ktoś o jakichś kandydatach...?

rozważny bądź romantyczny

Digital Mike's picture

Szczerze jestem bardzo ciekaw czy monitoring wypali. Gdyby się udało byłby to bardzo pozytywny sygnał dot. zmian w życiu politycznym w Polsce. Inicjatywa jest na pewno bardzo interesująca, ale chyba niestety w dużym stopniu skazana na porażkę. Wybrany zostanie ten, kogo wybierze większość parlamentarna i czy to będzie osoba bez jakichkolwiek kwalifikacji czy też np. profesor prawa administracyjnego, to w parlamencie, podczas głosowania, będzie miało znaczenie drugorzędne. Jeżeli konkretny kandydat będzie osobą kompetentną, to oczywiście może zyskać na dyskusji podczas spotkań, czy też odpowiadając na pytania zadane przez "opinię publiczną" (w cudzysłowu, bo domyślam się, że liczba obywateli zainteresowanych osobą nowego GIODO jest stosunkowo niewielka). W przypadku gdy jednakowoż zignoruje inicjatywę monitoringu, wydaje się, iż nie będzie miało to dla niego żadnych negatywnych konsekwencji.

Osobiście mnie interesuje bardziej kwestia modelu funkcjonowania, jaki przyjmie kolejny GIODO. Widzę tu dwie możliwości – model „rozważny” i model „romantyczny”.

Model "rozważny" – czyli priorytetem jest państwo bądź też inne istotne, wg. GIODO, wartości (przykładowo: odniosłem wrażenie, że w sprawie NK, obecny GIODO jako priorytet widział zasługi dla informatyzacji kraju jakie ma tenże portal, stąd jego dziwne decyzje – niejako krył NK) a dopiero później ochrona danych osobowych;

Model "romantyczny" – GIODO jako ombudsman ds. danych osobowych, niezależny, obiektywny specjalista, jego jedynym celem jest jak najlepsza ochrona danych osobowych obywateli nawet kosztem dobra państwa (np. gdy jego decyzje miałyby narazić Skarb Państwa na poważne wydatki).

Mam też jedno pytanie, jeśli doszłoby do spotkań:

Jak kandydaci na GIODO chcą walczyć o wzmocnienie pozycji Inspektora?
GIODO potrzebuje dziś:
- instrumentów, które umożliwiałaby skuteczne egzekwowanie przestrzegania przepisów dot. ochrony danych osobowych; oraz
- wprowadzenia dotkliwych sankcji dla podmiotów naruszających ww. przepisy.

To pytanie jest chyba także zarzutem wobec obecnego Inspektora, który z tego co wiem nie zrobił nic, aby GIODO mógł działać skuteczniej.

pozdrowienia, Michał

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>