Ochrona danych osobowych w globalnej rzeczywistości - debatujmy!
W ostatnich dniach Generalny Inspektor Ochrony Danych Osobowych wypuścił dwa istotne sygnały związane z działalnością internetową. Pierwszy z nich dotyczy działalności spółki Google, a ściślej dotyczy Google Street View. Drugi zaś dotyczy działalności Facebooka. GIODO przygląda się aktywności Google już od pewnego czasu. Samo Google Street View było przedmiotem komunikatów z maja 2009 roku, które zapowiadały głębsze analizy Inspektora (por. GIODO przyjrzy się Google Street View). Jeśli chodzi o Facebooka, to przywołując kanadyjskie prace uznające jurysdykcję tamtejszego regulatora nad Facebookiem, a to za sprawą konstatacji, że 1/3 obywateli Kanady ma konto w serwisie Facebook, polski Inspektor podnosi konieczność znalezienia sposobu na objęcie jurysdykcją polską aktywności tej spółki. Przywołuje przy tym instytucję "substantial connection" z prawa anglosaskiego.
O tym, że krajowi regulatorzy ochrony danych (w tym danych osobowych) przyglądali się aktywności spółek globalnych, pisałem kilka razy. W odniesieniu do Google Street View sygnalizowałem np. o działaniach w Szwajcarii (por. Google Street View - kłopoty w Szwajcarii). Kilka dni temu, 12 listopada, Gazeta Prawna opublikowała tekst GIODO sprawdza legalność Google Street View. Analizy prowadzone przez GIODO podpowiedziały pomysły na kolejne tytuły tekstów w mediach: Nie będzie polskiego Google Street View?, Google Street View w Polsce nie będzie - urzędnicy twierdzą, że jest nielegalne. Tymczasem nie mam pojęcia skąd wniosek, że takiej usługi nie będzie (skoro już jest, a problem dotyczy pewnych jedynie kwestii w sposobie działania serwisu Google).
Oto stosowany fragment linkowanego wyżej tekstu Gazety prawnej (zachęcam do sięgania do źródeł), który opisuje istotę problemu:
– GIODO wydał decyzję nakazującą Google’owi niszczenie zdjęć źródłowych zaraz po ich zamieszczeniu w internecie – mówi Małgorzata Kałużyńska-Jasak z GIODO. Czyli nie zgadza się też z oceną Grupy Roboczej Artykułu 29 – niezależnego europejskiego organu doradczego Komisji Europejskiej – która zgodziła się na przechowywanie ich przez 6 miesięcy. Powód takiej restrykcji: na zdjęciach pojawiają się przechodnie i samochody wraz z tablicami rejestracyjnymi, a to już dane osobowe, których Google nie ma prawa zbierać.
Warto też od razu przywołać wywiad, który Dziennik Gazeta Prawna przeprowadziła z Mohammadem Gawdatem, dyrektorem zarządzający Google (wywiad zatytułowano Google: Nie kolekcjonujemy informacji, poszukujemy zbiorowej mądrości internautów).
Druga sprawa to Facebook. W depeszy PAP, którą zatytułowano GIODO ma wątpliwości dot. działalności Facebooka, czytamy m.in.:
Generalny Inspektor Ochrony Danych Osobowych Wojciech Wiewiórowski ma wątpliwości dot. działalności popularnego portalu społecznościowego Facebook. Chodzi o m.in. brak poprawnej informacji o polityce prywatności serwisu oraz nieuznawanie polskiej jurysdykcji.
Jak relacjonuje Wiewiórowski, przedstawiciele Facebooka twierdzą, że nie ma możliwości pozywania ich w Polsce, ani poddawania serwisu kontroli jakiegokolwiek polskiego organu.
W oparciu o tę depeszę PAP powstał m.in. tekst opublikowany w Gazecie Wyborczej: Facebook stawia się polskiemu urzędowi. "Nie możecie nas pozwać".
Ale wcześniej Gazeta Wyborcza opublikowała długi wywiad z dr Wiewiórowskim, zatytułowany Wszystko widać. Zachęcam wszystkich do lektury tego wywiadu. GIODO odpowiada na pytania zadawane przez p. Ewę Siedlecką, a w tych odpowiedziach pojawiają się nazwy zarówno polskich, jak i zagranicznych (globalnych?) przedsiębiorstw. Zwracam w szczególności uwagę na następujący fragment wypowiedzi dr Wiewiórowskiego:
Nasza Klasa jest przedsiębiorstwem, które próbuje się dostosować do wysokich europejskich standardów ochrony danych osobowych. A działa na konkurencyjnym rynku, na którym są np. portale zarejestrowane poza Europą, które się do tych wysokich standardów stosować nie muszą.
Otóż to jeden z problemów obecnie dyskutowanych w środowisku (stali czytelnicy pamiętają wciąż, że NK, Onet.pl, Google i inne jeszcze spółki są członkami IAB Polska, a to istotne w kontekście opublikowanego tu we wrześniu materiału: Koordynacja działań prawnych Związku Pracodawców Branży Internetowej IAB Polska): dlaczego polskie prawo stwarza spółkom z siedzibą w Polsce problemy, których nie muszą obawiać się spółki działające spoza granic kraju? Z drugiej strony - rodzimym spółkom nie chodzi wcale o to, by działalność internetowa była obarczona coraz większymi obciążeniami. Skoro użytkownicy akceptują warunki, na jakich Facebook oferuje swoje usługi również polskim użytkownikom, to może należałoby rozważyć raczej ograniczenia restrykcji? Sam Generalny Inspektor Ochrony Danych zastanawia się publicznie nad sensownością instytucji "rejestracji zbioru" w GIODO...
W każdym razie GIODO ogłosił rozpoczęcie debaty o przyszłości prawa ochrony danych osobowych, a taka debata uruchomiona została również w Unii Europejskiej (por. Globalna debata o ochronie danych (osobowych) wchodzi w kolejną fazę). Debatujmy zatem.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Tablice rejestracyjne daną osobową?
To chyba nowość.
Dana osobowa
Ustawa mówi
Ponieważ po numerze rejestracyjnym można pośrednio zidentyfikować osobę, to może być ona uznana za daną osobową.
Raz, po numerze
Raz, po numerze rejestracyjnym można zidentyfikować właściciela pojazdu, a nie osobę go prowadzącą.
Nie wiem dokładnie jak jest teraz, ale o ile mnie pamięć nie myli do niedawna było tak, że na zdjęciu z policyjnego foto-radaru koniecznym było by twarz kierowcy była rozpoznawalna, i dopiero na podstawie połączonych danych numeru i twarzy można było wystawić mandat.
Dwa, nie jestem pewien, czy baza wiążąca numery rejestracyjne z właścicielami jest jawna i powszechnie dostępna. Jeśli tak nie jest, nie spełnione są wymagania pkt. 3 który podajesz.
Pozdrawiam,
Tomasz Sztejka.
Identyfikacja prowadzącego pojazd
Zgadzam się, że sam numer identyfikuje pojazd i że baza nie jest dostępna. Ustalenie tożsamości nie jest proste dla dużej ilości osób. Znajomi właściciela, którzy znają numery (albo pamiętają niedokładnie numer, ale skojarzą z marką+numerem) i wiedzą jakie zwyczaje ma dana osoba mogą bez trudu, z dużą dozą pewności, powiedzieć, że za kierownicą siedzi właśnie właściciel.
Jeżeli mieszkam sam i mam jeden samochód i nigdy nie zdarzyło mi się go pożyczyć, to dla sąsiadów i znajomych będzie niemal pewne, że na zdjęciu jestem ja.
Problem jest taki, że każda osoba potrzebowałaby innych środków żeby z określonych informacji ustalić tożsamość osoby.
Adres e-mail identyfikuje tylko pewną skrzynkę, ale i tak w ustawie jest wymieniony jako dana osobowa.
Street view
Mnie ciekawi kwestia dotycząca właśnie widoku ulicy. Otóż jest inna usługa innego dostawcy mianowicie jest to zumi i ichnia "ulica 360°", jak kwestia usuwania tych zdjęć wygląda u nich (oni nie czekali ani nie pytali się nikogo)? Z tego co wiem to google samo zwróciło się z prośbą o ocenę giodo przy planowaniu wejścia na polski rynek ze street view (prawdopodobnie po fali protestów i zarzutów ze strony urzędów w europie) i uzyskała odpowiedź.
Piotrze, Piszesz "dlaczego
Piotrze,
Piszesz "dlaczego polskie prawo stwarza spółkom z siedzibą w Polsce problemy, których nie muszą obawiać się spółki działające spoza granic kraju?". To nie tak. Polskie prawo jest w zasadzie takie w kwestiach ochrony danych osobowych, jak prawo europejskie. I w tym sensie jesteśmy częścią europejskiej przestrzeni prawnej, w której panują określone - wysokie - standardy ochrony danych osobowych. USA do tej przestrzeni prawnej nie należą i tyle. Polskie prawo nie stwarza nikomu problemów - polskie prawo jest po prostu inne niż prawo np. USA. I w konsekwencji, jak się nie podoba, to spółka może się przenieść np. do Kalifornii i stamtąd świadczyć usługi w Polsce. Jeżeli polscy obywatele godzą się na warunki, jakie oferuje ta spółka z USA, to w zasadzie nie ma problemu. Bo volenti not fit iniuria, czy jakoś tak.
I to jest pierwszy problem. Drugi to pytanie, czy ta europejska przestrzeń prawna nie zapewnia aby zbyt wysokich standardów ochrony danych osobowych. Tu możemy dyskutować i na pewno znajdziemy takie aspekty tej ochrony (np. rejestracja zbiorów danych osobowych), z których można by w pewnym zakresie zrezygnować albo które można by ograniczyć.
I wreszcie trzecia sprawa. Volenti nit fit iniuria... W tekście, który niedługo się ukarze (materiały pokonferencyjne z konferencji na UKSW sprzed pół roku) proponuję właśnie takie podejście do tematu ochrony prywatności. Jeżeli chcesz coś ujawnić, to masz do tego prawo. Mamy orzecznictwo polskiego TK, mamy zasadę autonomii informacyjnej. Wolna wola zawsze powinna mieć podstawowe znaczenie. Ale ta wolna wola to za mało. To musi być decyzja świadoma - czyli ja uważam, że prawo powinno kłaść nacisk na obowiązki informacyjne oraz ich egzekwowanie. Coś na wzór rozwiązań istniejących w prawie ochrony konsumenta. Jeżeli człowiek wie, że jego dane będą jawne i będą sprzedawane na prawo i na lewo, a mimo tego podaje swoje dane, to niech podaje. Jego sprawa. Ale prawo musi mu zapewnić tą wiedzę i bezwzględnie karać tych, którzy takiej wiedzy nie zapewniają.
Pozdrawiam,
Paweł
reductio ad głupie pytanie do prawików
Nie lubię tematyki ODO, bo uważam ją za przeregulowaną i to mocno, więc spróbuję zadać pytanie:
Jak wiadomo adres IP jest daną osobową . Zakładam, że Vagla zgłosił logi tego serwisu zgłoszone są do dra Wiewiórowskiego, boż:
[op.cit.]
...ale mam wątpliwość czy PT Czytelnicy tego serwisu (przynajmniej ci, którzy go czytają "instytucjonalnie" ;)) nie powinni aby zgłosić doń (tj do GIODO a nie Vagli rzecz jasna) swoich plików cookies? No i jeszcze tablic arp, bo jeśli IP jest daną osobową to adres MAC tym bardziej przecież być powinien
Oj trzeba będzie pisać jaśniej
Na szczęście podstawowe założenie, że adres IP JEST danymi osobowymi NIE jest prawdziwe.
No cóż, muszę przyznać, że notka do której Maciej odsyła nie jest napisana zbyt czytelnie, ale jeśli nawet Maciej jej nie rozumie, to trzeba będzie ją zdecydowanie jaśniej napisać. Przyjmuję krytykę - w ramach zmian na stronie WWW urzędu w grudniu poprawimy ten wpis.
Mówiąc skrótowo: adres IP (tak jak i MAK adres) należy do grona danych, które MOGĄ BYĆ danymi osobowymi, szczególnie wówczas, gdy są w posiadaniu niektórych rodzajów podmiotów takich jak np. operatorzy telekomunikacyjni i IAP (i tu jest w notatce błąd, bo tam jest ISP zamiast IAP), lub jeśli dany przetwarzający może je uzupełnić o inne dane (np. geolokacyjne).
Pointa z tego taka, że adres IP i MAC adres powinny być traktowane z rozwagą i szanowane tak jak dane osobowe, do momentu, gdy nie uzna się, że dane te nie mogą spełniać warunków identyfikacji wskazanych w ustawie.
O ile wiem - a wiem to od Piotra - przeprowadzono taką ocenę dla Vagla.pl, a po jej dokonaniu nie zgłoszono zbioru.
Pozdrawiam z nocnego Trójmiasta
Wojciech Wiewiórowski
Generalny Inspektor Ochrony Danych Osobowych
Zbiór
Zbiór nie został zgłoszony z powodów opracowanych w tekście Konta w serwisach internetowych a "drobne bieżące sprawy życia codziennego".
--
[VaGla] Vigilant Android Generated for Logical Assassination
No mówię, że ja nie lubię i co gorsza się nie znam...
...bo dla mnie jeśli coś może być to pewnie czasem bywa, przynajmniej teoretycznie, a tu - masz babo placek - z tego, że może być, wynika że nie jest (a może nie wynika, w każdym razie z to że jest (a dokładniej, że "należy do") nie stoi w sprzeczności z tym, że "założenie że jest - NIE jest prawdziwe".
GIODO pisze
A powołana notatka zaczyna się tak:
Powtarzam moim studentom do znudzenia: gdy sprawa dotyczy prawa dajcie zarobić prawnikom, bo bez prawnika nie ma szans na zrozumienie prawa. Z prawnikiem poprawdzie zazwyczaj też nie, ale prawnicy się jakoś ze sobą dogadują czasem z korzyścią dla
podsądnegonas.Gdybyż ta notatka zaczynała się od "TO ZALEŻY" (jak nauczał jeden z moich profesorów, w ten sposób ekonomista odpowiada na każde pytanie - jakby co ja jestem z wykształcenia ekonomistą, choć niepraktykującym) to bym jeszcze rozumiał.
Ale ad rem: jak wiadomo adresy MAC zbierają się same w tablicy ARP-cache, kto nie wierzy, niech wpisze z linii poleceń magiczne:
arp -a
i - o ile jest to mało groźne w przypadku stacji roboczej (będziemy mieli w tablicy pewnie ip routera i jego MAC, no chyba, że pracujemy pod Windows w architekturze grup roboczych...) - o tyle taki router posiada IP (i MAC) nie dość że routerów znajdujących się po sąsiedzku, to jeszcze wszystkich komputerów w sieci lokalnej, dla której routuje. No i jest zbiór danych osobowych (i to nawet jeśli na routerze jest DHCP z losowym przydziałem adresów IP, bo MAC to jednak MAC i zwyczajny użytkownik raczej go nie modyfikuje). Wychodzi na to że każdy posiadacz routera (czy to już jest IAP?) będzie w nim miał zbiór danych osobowych. Zakup routerów rejestrowany w GIODO (jak zakup radioodborników za pierwszej komuny) toż to lepsze niż pamiętny RSUiN. A jeśli ktoś pracuje pod linuxem (albo innym systemem unixowym) to może sobie wpisać
ping 255.255.255.255
i stanie się posiadaczem zbioru MACów i IP (w tym samym arp-cache) z całej sieci lokalnej (i biegiem do GIODO zanim czas buforowania w arp-cache się skończy?) Well... aż się boję zapytać co z DNSami?
Ale znowu odszedłem od tematu. Czy mam rozumieć, że te same dane mogą być danymi osobowymi, a mogą nimi nie być w zależności od stanu świadomości a nawet potencjalnych możliwości poznawczych podmiotu (hmmm chyba osoby fizycznej reprezentującej podmiot a przynajmniej w jego imieniu działającej)?
Żeby odejść od przykładów komputerowych: na jednych z moich wykładów na informatyce mam w tym roku studentkę (zjawisko wcale nieczęste, w ostatnich dwóch latach miałem wyłącznie studentów).
Czy powyższe zdanie należy traktować jako zawierające dane osobowe (ja i moi studenci jesteśmy w stanie "stosując rozsądne środki" "określić tożsamości konkretnej osoby")? Czy może jednak nie (dajmy na to Vagla musiałby się pofatygować do Łodzi, zaczaić pod drzwiami sali wykładowej i mieć nadzieję, że studentka akurat nie pójdzie na wagary a na wykład nie przyjdzie z ciekawości jakaś inna osoba płci żeńskiej z innego kierunku czy roku studiów)?
Trudne to wszystko.
Pozdrawiam serdecznie
"Trudne to wszystko"
Jak wspomniałem: jest gorzej. Mamy ten art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W Opinii 2/2010 w sprawie internetowej reklamy behawioralnej (PDF), którą przyjęła 22 czerwca 2010 r. Grupa Robocza Art. 29 ds Ochrony Danych, można przeczytać następujący fragment odnośnie zmiany, której czas graniczny implementacji wypada w maju 2011:
A więc nie chodzi już o dane osobowe, a o dane, które "stanowią część prywatnej sfery użytkowników".
I odnośnie "trudne to wszystko" jeszcze cytat z ww. opinii:
Przepisy są, interpretacje są, nie wiadomo jedynie, jak te przepisy zastosować w praktyce. I to chyba potęgować może stwierdzenie "trudne to wszystko".
PS
I nie wiem, czy to, że Maciej napisał w internecie, że na jego zajęcia uczęszcza jedna studentka, nie jest już inwazją w jej sferę życia prywatnego, nawet jeśli nie pojadę do Łodzi i nie będę się czaił u drzwi sali wykładowej, by sprawdzić zweryfikować/uzyskać jej dane osobowe...
--
[VaGla] Vigilant Android Generated for Logical Assassination
MAC adres jest adresem
MAC adres jest adresem "fizycznym" urządzenia(np wirtualnego urządzenia też) i można go zmienić (urządzenie lub mac).
IP jest to warstwa nie sprzętowa a logiczna/sieciowa i przydzielane jest niezależnie od MAC adresu (tz. bardziej chodzi tu o lokalizację a nie fizycznie sprzęt np. kartę sieciową) wiec to chyba jest źle ujęte.
Nie tam, żebym się czepiał ale mamy 1 stycznia
http://www.giodo.gov.pl/319/id_art/2258/j/pl/
Mamy luty. Adres IP pozostaje daną osobową.
http://www.giodo.gov.pl/319/id_art/2258/j/pl/
Ceterum censeo Carthaginem esse delendam
http://www.giodo.gov.pl/319/id_art/2258/j/pl/
ha ha ha
ha ha ha, reputational damage przez ustawienie remindera w kalendarzu :)
No i mamy sukces
Chociaż dzisiaj pierwszy kwietnia, to zupełnie poważnie dostrzegam zmianę stanowiska GIODO w sprawie tego czy adres IP jest danymi osobowymi . Z czego wynika, że warto pisać u Vagli :)
Cookiesy
Problem podejścia do cookies nie jest banalny i prawdopodobnie musi być rozwiązany w ramach szerszej dyskusji środowiskowej. Pliki cookies są wykorzystywane podczas wizyt internautów również na stronach administracji publicznej. Strona GIODO takie cookiesy wykorzystuje, chociaż więcej ich (o dwa rodzaje) wykorzystuje np. Ministerstwo Gospodarki (dla mnie to o tyle ciekawsze, ponieważ MG wykorzystuje silnik Drupala).
Ministerstwa Gospodarki dziś wstrzykuje 6 rodzajów cookiesów. Są to:
Nie wszystkie takie cookiesy są wykorzystywane w każdym serwisie opartym na Drupalu (wystarczy sprawdzić, co wykorzystuje mechanizm serwisu prawo.vagla.pl). A przecież - przykładowo - szmit.info wykorzystuje cztery rodzaje cookiesów, czyli tyle ile GIODO, nawet bez mechanizmu logowania, chociaż - jak rozumiem - logi z tych serwisów również się tworzą i cyklicznie są opróżniane, ponieważ logi tego typu zajmują sporo miejsca (przykładowo - baza danych za prawo.vagla.pl ma mniej więcej 250 MB bez informacji potrzebnych do usprawnienia prezentacji serwisu dla osób odwiedzających, tj. bez informacji o scashowanych stronach, etc, oraz bez tokenów sesji przeglądarki, bo po miesiącu działania baza wraz z takimi danymi ma już ponad 800 MB).
Cookiesy zresztą nie są jedynym bólem głowy. Wystarczy sięgnąć do testu przygotowanego przez EFF: Panopticlick. Zachęcam również do lektury artykułu "How Unique Is Your Web Browser?" (PDF).
Same pliki cookies, a także samo zestawienie cech wskazujących na "konkretną" przeglądarkę na konkretnym komputerze (niekoniecznie w konkretnej lokalizacji sieciowej), z której korzysta (w czasie) jakiś użytkownik lub ich grupa, nie muszą wcale być danymi osobowymi. Problem jest jednak szerszy, gdyż np. unijne przepisy dot. tych kwestii mogą iść nieco dalej i dotyczyć "danych" bez precyzowania, że chodzi o dane "osobowe"...
--
[VaGla] Vigilant Android Generated for Logical Assassination
who's cooking cookies?
No taaaaak. Ciekawa kwestia czyj jest zbiór cookiesów: tego kto je ustanawia (serwera) czy tego na czyim komputerze (klienta)? Może należałoby rozróżnić - jak to prawnicy mają w zwyczaju - właściciela od posiadacza. Kto jest posiadaczem informacji zapisanej na Twoim
dyskuinformatycznym nośniku danych? Pewnie ten, kto tę informację uzyskał (albo może uzyskać). A przynajmniej dostęp do niej (vide art 267 par 1 i par 3 KK). Jeśli coś uzyskałem toć przecież posiadam. Tym bardziej jeśli to ja ją (tę informację) tam zapisałem (dokładniej zapisał ją mój serwis internetowy, a dokładniej pewnie Google analytics i jakieś skrypty które umieścił Apple na stronach generowanych z iWeba w którym zrobiłem moje strony, ale to drobiazg). No to kto powinien ustanowić ABIego (czy tam ADOego)? Właściciel nośnika czy posiadacz informacji? Pewnie posiadacz zbioru danych osobowych. A informacja to przecież zbiór danychPuk, puk, jestem ADO od cookiesów GIODO.GOV.PL proszę komputer do kontroli. Taaaaaaaak...
Jest jeszcze gorzej
Wszak wystarczy stworzyć w serwisie internetowym możliwość komentowania, by nagle w komentarzach pojawiły się takie dane, jak: "VaGla", "Maciej_Szmit", "Wojciech Wiewiórowski (niezweryfikowany)"... I to nawet nie trzeba przewidywać specjalnego miejsca do "podpisu", bo w samej treści komentarza można znaleźć: "Wojciech Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych". Przerąbane, zwłaszcza gdyby się okazało, że dane te nie pochodzą od osoby, której dotyczą. Muszę pożegnać się z rodziną, ponieważ może się zdarzyć, że przez jakiś czas mnie nie zobaczą.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Unia Europejska zakaże (?!)
Ja tam nie wiem bo to dziennikarz pisze ale brzmi to dziwnie:
ktoś wie czy 26 nad ranem jednak zapukają nam do drzwi smutni ADO od GIODO (albo co gorsza EuroADO od UE)???
Dziennikarz się pomylił
Kiedy mowa o "25 marca" prawdopodobnie chodziło mu o 25 maja, ale to jest graniczna data, w której ma być dokonana transpozycja do polskiego porządku prawnego przepisów Pakietu telekomunikacyjnego. W jakim kształcie to nastąpi - tu sprawa jeszcze jest otwarta, a dyskusja środowiskowa w tym obszarze trwa.
--
[VaGla] Vigilant Android Generated for Logical Assassination
pamiętam...
...swojego czasu sąd zażyczył sobie ode mnie "ujawnienia wszystkich danych osobowych znajdujących się na dysku twardym oskarżonego" (szło o ustalenie składu grupy przestępczej i ewentualnych poszkodowanych). Na skutek tak nieszczęśliwego brzmienia postanowienia musiałem nie dość, że czytać jakieś mętne wywody, to jeszcze wypisywać równie inteligentne informacje w rodzaju "Bolesław Piast I syn Mieszka zwany Chrobrym", "Al Capone", "Sylwester Stallone" itp. (w końcu jakiś potencjalny bandyta mógł mieć ksywę "Rambo") mając nadzieję, że sędzia jest człowiekiem z poczuciem humoru (był). Natomiast nie wpadło mi do głowy, żeby gdzieś między Mikołajem Kopernikiem a Diego Armando Maradoną wymienić, dajmy na to 212.191.89.3 albo co gorsza 00:12:34:ab:cd:56...
Whois
Whois dla 212.191.89.3 wskazuje (sprawdziłem z ciekawości) Technical University Of Lodz, ale tam też jest pole "person" z imieniem i nazwiskiem, z adresem, telefonem, faxem...
--
[VaGla] Vigilant Android Generated for Logical Assassination
wieeedziałem :)
i specjalnie podałem adres serwera - żeby nie było, że podrzuciłem cichcem dane osobowe do logów Vagla.pl (w końcu chyba IP serwera to nie są dane osobowe, w każdym razie serwera, który ma bodaj pięciu admnistratorów i parę setek użytkowników) :) a dane z whois, poza tym że ciut nieświeże, są pewnie w RIPE więc to sprawa miedzy GIODO a RIPE :) To też interesująca kwestia, swoją drogą tym bardziej że przecież jest whois history Czy można zażyczyć sobie poprawiania historii? I w jakim zakresie: dajmy na to jakiemuś abstrakcyjnemu komuś nie spodoba się napisana przez innego abstrakcyjnego kogoś jego biografia i zażyczy sobie ochrony nie z jakiegoś tam zniesławienia ale po prostu usunięcia z niej swoich danych osobowych. I nie można nawet - jak w Harrym Potterze (na szczęście to postać ale nie osoba) - mówić eufemizmami, że mowa jest o tym-którego-imienia-nie-wolno-wymawiać, bo to też identyfikuje jednoznacznie :/
Sprawdziłem też...
Sprawdziłem też (również z ciekawości, żeby zobaczyć, jaką pułapkę zastawiłeś), co internet wie o tym MAC adresie :)
--
[VaGla] Vigilant Android Generated for Logical Assassination
no akurat wziąłem go z głowy czyli z niczego
a okazuje się, że Google słyszało, że go gdzieś zespoofowali :)
I zrobił się
I zrobił się ślad, aby nie powiedzieć: dowód, w zupełnie innej sprawie.. Ehh...
--
[VaGla] Vigilant Android Generated for Logical Assassination
Czytając tą dyskusję
Czytając tą dyskusję można dojść do wniosku, że każdy problem nadaje się do redukcji do absurdu...
Redukcja a realne problemy
W tej dyskusji pojawiają się sytuacje, w których mogą się pojawić i pojawiają się podmioty działające w polskim porządku prawnym. I one muszą każdocześnie dokonać analizy stanu prawnego i faktycznego, by podjąć niezbędne działania potrzebne do sprostania wymaganiom stawianym przez prawodawcę oraz regulatora. I nie jest to często proste. Przywołanie przykładów z MAC adresem, bazą Whois, czy cookies nie jest nawet problemem ekstremalnym.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Ja mam nieco odmienne
Ja mam nieco odmienne wrażenie.
Z prawnego punktu widzenia nie ma czegoś takiego, jak "zbiór cookiesów". A nawet, jeżeli przyjąć, że jest, to jest to część zbioru danych tego podmiotu, który plik cookie zapisał. Prosta konsekwencja przyjęcia możliwości, że zbiór danych jest rozproszony lub podzielony funkcjonalnie. Administratorem danych zawartych w pliku cookie (jeżeli ten plik w ogóle zawiera jakieś dane osobowe) jest ten, kto ten plik zapisał.
Jak dla mnie zawsze wydawało się to w miarę proste i logiczne...
Zgoda, ale...
Problem cookiesów widać np. w przywołanej wyżej Opinii 2/2010 w sprawie internetowej reklamy behawioralnej. W szczególności jest tam kwestia analizy danych wynikających ze stosowania cookiesów i innych jeszcze danych, jak np. numerów IP, czasem też dodatkowo danych zostawionych przy zakładaniu konta czy unikalnych konfiguracji przeglądarek, z których korzystają odwiedzający. To wszystko m.in. wobec konstatacji, że dziś nawet administracja publiczna "ma" takie dane, nawet jeśli nie wykorzystuje ich akurat do "reklamy behawioralnej".
--
[VaGla] Vigilant Android Generated for Logical Assassination
Pełna zgoda, ale
Pełna zgoda, ale formułujmy problem w sposób prawidłowy. Nie podoba mi się po prostu sposób prowadzenia dyskusji - w każdym problemie można znaleźć jakiś mały absurd, rozdmuchać go i wyeksponować na pierwszy plan. I w ten sposób nie będziemy rozmawiać o tym, czy wolno zapisywać pliki cookie, kto to może robić i jak je może wykorzystywać, tylko o tym, kto ma rejestrować "zbiór cookiesów".
A kto może to robić?
A kto może to robić (kto może zapisywać cookies na dysku odwiedzającego)? Odpowiedź na to pytanie ma wielkie znaczenie, gdyż w istocie odpowiedź na to pytanie będzie również odpowiedzią na pytanie: kto może dziś prowadzić serwis internetowy? Oczywiście, jeśli pominie się kwestie różnorodności możliwych cookiesów, bo ciastko ciastku nie równe, ale poza wymienionymi wyżej, "standardowymi" cookiesami Ministerstwa Gospodarki, są też inne... Chodzi o to, że ten może prowadzić serwis internetowy, kto da radę sprostać wymaganiom prawnym m.in. w zakresie ochrony danych (i być może nie będzie mogła prowadzić serwisu "Zosia z 5c", chociaż dostępne są na rynku usługi hostingowe oraz narzędzia programistyczne, które potrafią kopiować funkcje takich serwisów, jak np. Facebook).
Sam Generalny Inspektor Ochrony Danych Osobowych zauważył (już kilka razy to słyszałem, aczkolwiek nie jestem pewny, czy taka teza już została opublikowana w jakimkolwiek stanowisku oficjalnym GIODO), że kwestia "rejestracji zbioru" dziś nie jest najszczęśliwiej uregulowana i być może należałoby rozważyć tu pewną deregulację (liczę, że zostanę poprawiony, jeśli dokonuje nadinterpretacji). Oczywiście wiadomo, że "rejestracja" jest tylko jednym z możliwych obowiązków ciążących na przetwarzającym dane. Bardziej "bolesną" wydaje się kwestia zapewnienia bezpieczeństwa danych (zwłaszcza, jeśli administrator danych ma do nich dostęp online i korzysta z usług hostingowych (np. na Tajwanie)). Obowiązek informacyjny - jak się wydaje - spełnić najprościej (chociaż i tu pojawić się mogą problemy, zwłaszcza jeśli weźmie się pod uwagę, że pojawią się nowe możliwości techniczne analizowania/wykorzystywania danych, których wcześniej nie zakładał przetwarzający, a przecież ma informować m.in. o celu przetwarzania).
--
[VaGla] Vigilant Android Generated for Logical Assassination
mały absurd, duży absurd, norma prawna
Ale to nie ja zajmuję się kwestią tego, czy adres IP jest czy nie jest daną osobową, zajmują się tym poważne grona na szczeblu Unii Europejskiej. A taka konstrukcja musi prowadzić do nie jednego małego, ale szeregu sporych paradoksów: wspomniane w notatce logi serwerów to jedno ale również choćby cały system DNSy ze swoim cache (i całym protokołem ICP), "inteligentne" switche z obsługą IGMP-snoopingu i m-routery bezwstydnie przekazujące informację o tym kto się do jakiej grupy zapisał, wspomniany protokół ARP (i RARP) itd. jw. Poza tym cookies to nie tylko zwykłe, przyzwoite ciasteczka ale i tracing cookies i flash cookies, które na prawdę mogą być (i bywają) wykorzystywane do naruszania prywatności. A od tego już niedaleko na salę sądową gdzie biegły nie będzie mógł powiedzieć "bo wysoki sąd rozdmuchuje jakieś małe absurdy". Może jestem niepoprawnym romantykiem, ale przepisy jak mi się zdaje trzeba pisać tak, żeby nie było w nich absurdów ani małych ani dużych, a nie mieć potem obiekcje że pytający ma złośliwe wątpliwości. Nie tak dawno mieliśmy tu abstrakcyjne dyskusje nad nowelizacją art 202 KK, z jej "wytworzonymi bądź przetworzonymi" wizerunkami, a w dwa lata później mamy "malarza - lubieżnika". Stawiam dolary przeciwko orzechom (w zasadzie nie muszę stawiać - niżej Vagla cytuje The Wall Street Journal) że problem wyjdzie w praniu szybciej niż moglibyśmy się spodziewać.
I jeszcze na marginesie prorokowania: nie tak dawno dyskutowaliśmy o tym czy można o kimś zbierać informacje i do czego służy art 267 par 3, a tu mamy ciepłe doniesienie (i przedstawienie zarzutów. Wiem, że "były chłopak" to nie to samo co "pracodawca" i nie mam informacji o tym czy telefon był służbowy ale jak widać (chyba, bo w tekście powołania nie ma ale jest dosłownie niemalże wzięte ustawowe znamię czynu zabronionego) par 3 art 267 KK ożył i to właśnie w kontekście zbierania danych o osobie, która sobie tego nie życzy.
Dane ze sfery życia prywatnego a "dane osobowe"
Grupa art. 29 przytacza zmieniony tekst art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej z zaznaczonymi poprawkami w stosunku do poprzedniej wersji:
I na tej podstawie stwierdza, że dyskusja nie dotyczy już "danych osobowych", a ogólnie - danych.
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) została zmieniona Dyrektywą 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. oraz Dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r.
Art. 5 ust. 3 Dyrektywy dziś brzmi (już bez nanoszenia różnic):
--
[VaGla] Vigilant Android Generated for Logical Assassination
Z dzisiejszego artykułu The
Z dzisiejszego artykułu The Wall Street Journal, na temat cookiesów i dyskusji w UE, zatytułowanym EU Chews on Web Cookies:
--
[VaGla] Vigilant Android Generated for Logical Assassination
I tu jest sedno sprawy. Bo
I tu jest sedno sprawy. Bo że ma być zgoda, to chyba się wydaje oczywiste. Ale zgoda na cookies jako na pewną technikę marketingową, czy zgoda na cookies od konkretnego podmiotu?
Jak czytam art. 173 Prawa telekomunikacyjnego, to teraz w Polsce w ogóle zgody na cookies nie trzeba. Mamy opt out. I to mi się nie podoba. Chciałbym mieć możliwość wyrażenia zgody lub nie. Z drugiej strony, jak to rozwiązać? Mam być pytany "przez stronę WWW" o zgodę na zapisanie ciasteczka? Sam nie wiem, jak to technicznie zrobić.
"Mam być pytany "przez
Najprościej zacząć używać normalnej przeglądarki (np. z szeroko rozumianej rodziny Mozilla), gdzie traktowanie ciastek konfiguruje się bez większych problemów.
Użytkownik jest pytany przez przeglądarkę a nie stronę, ale całość działa całkiem nieźle.
No to już by była...
... zachęta do rezygnacji z zasady neutralności technologicznej ;)
Przepraszam, usuńmy
Przepraszam, usuńmy fragment w nawiasie - miałem na myśli dowolną przeglądarkę która umożliwia panowanie użytkownika nad cukiernią...
Tylko to nie przeglądarka
Tylko to nie przeglądarka zbiera i wykorzystuje pliki cookie. I dlatego możliwość załatwienia sprawy na poziomie przeglądarki mnie nie zadowala.
no mamy :)
mały consensus :) A może UE nakaże producentom przeglądarek dodanie takiej "funkcjonalności" :)
Myślę, że to jest dobry
Myślę, że to jest dobry trop. Nakażmy jeszcze producentom telefonów wdrożenie możliwości blokowania anonimowych połączeń. Aaa, i trzeba nakazać producentom samochodów montowanie zestawów głośnomówiących.
no ja się staram...
...wczuć w rolę zwolennika biurokracji na poziomie europejskim. W końcu jeśli rak może być rybą a marchewka owocem, Windows może musieć oferować rozmaite przeglądarki etc., to czemu przeglądarka nie musi móc umieć zarządzać cookiesami :/ Ale nie upieram się, bo osobiście to - co już parę razy powtarzałem - uważam że koncepcja ochrony prywatności poprzez ochronę danych osobowych i to jeszcze poprzez "ochronę uprzednią" jest złym rozwiązaniem (choć wyglądało obiecująco). Zdecydowanie wolałbym widzieć GIODO w roli szefa urzędu ochrony prywatności dysponującego własnym pionem prokuratorskim z ustawową właściwością dla określonej grupy przestępstw. Przynajmniej w razie czego wiedziałbym, że rozmawiam z prokuratorami dla których terminy "e-mail" czy "baza danych" nie są wielką niewiadomą. Ale zdaje się już kiedyś pisałem, że jestem zwolennikiem "okręgów merytorycznych" i roków sądowych... No dobrze, zejdźmy z dygresji. Są jeszcze ciasteczka flashowe, jest silverlight i tuziny pluginów (tudzież kontrolek ActiveX-a na przykład), o których jeszcze nie wiem czy zostawiają swoje własne wpisy czy też nie. A przeglądarka to nie jest jedyna aplikacja sieciowa, z której korzystają użytkownicy. Ot "sejwy" z gier xboxa, lista rozmówców w Skype itd jw. Ot - jakby powiedział mędrzec - puszka z Pandorą ;)
Czy tylko cookies, czy też inne checkboxy
Weźmy taki sklep internetowy. Wchodzimy "do niego" i tam sobie przeglądamy produkty. Jeden z nich nam się spodobał i "dodajemy go do koszyka", chociaż jeszcze chcemy wrócić "do sklepu" i przeglądać inne produkty. To znaczy... Dodajemy, jeśli akceptujemy cookies. Czyli nie dodajemy, tylko najpierw akceptujemy cookies i potem dodajemy (w praktyce miałoby to wyglądać jak? okno powiadomienia, zaznaczenie checkboxa, kliknięcie OK, przejście do koszyka, wróć, nie może być nic w koszyku, bo jeszcze wówczas nie zaakceptowaliśmy ciastka, więc skąd sklep ma wiedzieć, że wybrano produkt...). Oczywiście nie musimy dodawać "do koszyka" bez wcześniejszego założenia konta (wraz z z akceptacją regulaminu i wyrażeniem zgody na wszystko, na co zgoda jest wyrażona) i zalogowania się, ale oznaczałoby to, że pewne mechanizmy związane z doświadczeniem kupna online musiałby ulec zmianie.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Widzę dwa rozwiązania: a)
Widzę dwa rozwiązania:
a) z góry akceptujemy cookies dla określonej strony (usługodawcy?),
b) akceptujemy cookies przy każdej próbie zapisania.
Pierwsze moim zdaniem wygodniejsze.
Kilka uwag…
Kilka uwag w sprawie cookies:
- po pierwsze, nowy art. 5.3 w zakresie zgody odsyła do dyrektywy 95/46, tym samym dając stosunkowo szerokie pole manewru. W szczególności nie można wykluczyć rozwiązania, aby zgoda została wyrażona poprzez „zastosowanie odpowiednich ustawień w przeglądarce lub innej aplikacji” (co wyraźnie wynika zresztą z pkt. 66 preambuły do dyrektywy 2009/136). Takie liberalne rozwiązanie przyjęto wstępnie m.in. w projekcie holenderskim, pytanie jakie rozwiązanie przyjęte zostanie u nas. Doświadczenie uczy, że należy spodziewać się raczej restrykcyjnej regulacji, miejmy nadzieję, że będzie ono nadawało się do stosowania w praktyce (a nie jak np. wymogi zbierania zgody w formie pisemnej, znane z uodo)…
- po drugie, co do wpływu nowego art. 5.3. na takie usługi on-line jak np. zakupy internetowe to nie wydaje mi się, aby należało przebudowywac zasady działania e-sklepów. Dyrektywa nie zmienia bowiem w art. 5.3. zdania drugiego, które można będzie tu stosować („gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”). Tym samym zgoda na korzystanie z cookies na potrzeby świadczenia usługi e-koszyka i innych tego rodzaju nie wydaje się potrzebna. Pomysłodawcom noweli chodziło raczej o wykorzystanie cookies na cele marketingowe (zwłaszcza przez podmioty trzecie, inne niż sam operator strony), czy nawet na tego rodzaju szkodliwe oprogramowanie jak malware czy spyware. Kluczowa będzie zatem określenie w krajowej ustawie zakresu, w jakim zgoda będzie wymagana (abstrahując od samej formy/postaci zgody).
- po trzecie, zastanawiam się, jak ta nowa regulacja zadziała w praktyce, w sytuacji gdy poszczególne państwa UE w inny sposób ją zaimplementują. Powstać może poważne zamieszanie, jeśli w każdym państwie zgoda może dotyczyć innych działań/celów, oraz być w inny sposób wyrażona. Jakie zasady mają wówczas stosować administratorzy stron z np. Wlk. Brytanii, w sytuacji, gdy ich strona kierowana jest do użytkowników z Polski, Francji, itd. A co z dostawcami z państw trzecich (wracając do głównego tematu tego wątku) – oczywiście jeśli uznamy, że można ich do czegokolwiek zmusić… Być może należało zrezygnować tu z dyrektywy (na rzecz rozporządzenia), o ile jest to dopuszczalne prawem UE i jeśli ma zadziałać w praktyce?
Pozdrawiam
wampir, wół i drugi koiec kija
Ja rozumiem, że sklep internetowy czyta i pisze informacje o Panu, umieszczone w plikach cookies na Pańskim komputerze i zbiera w ten sposób dane o Panu, ale wampir jest pogrzebany, jak powiada klasyk, tu, że Pan ma potem u siebie na dysku stadko cookiesów zawierających przecież informacje, które jednoznacznie mogą zidentyfikować również tego kto je zostawiał. Bo ten kij ma dwa końce. Podobnie (żeby nie poprzestać na cookiesach) ma Pan u siebie w komputerze MAC i IP swojego routera a także adresy MAC i IP komputerów kolegów, z którymi tworzy Pan grupę roboczą w pokoju w pracy a co gorsza - nieznajomych, z którymi razem uczestniczy Pan w konferencji serfując sobie na sali konferencyjnej, na służbowym laptopie przez tamtejsze WiFi po Internecie. I mamy jak wół: zbiór cudzych IP (i MACów) na firmowej maszynie, dotyczący osób które nie są kontrahentami, nie wyraziły zgody na przetwarzanie ich danych itd jw.
A kto mu każe te ciasteczka
A kto mu każe te ciasteczka u Damiana, czy u mnie zapisywać? Volenti nit fit iniuria, czy jak to leciało.
każe mu siła wyższa
Na przykład twórca narzędzia, w którym zbudowana jest jego strona. A poza tym nie mówimy tylko o cookiesach - Pan też ma u siebie na komputerze zbiór poważnych danych osobowych składający się co najmniej z adresu ip routera. Czy takie rzeczy też mają podlegać rejestracji u GIODO (wiem, że to akurat nie, ale na prawde oprócz tego jest jeszcze sporo innych automagicznie tworzonych zbiorów adresów: cache ARP, cache DNS...)
Rozumiem, mnie też. To
Rozumiem, mnie też. To prowizorka ułatwiająca nieco życie do czasu, aż sprawy nie zostaną uregulowane zgodnie z życzeniami użytkowników - czyli zapewne do końca świata.
Chyba nikt nie wie...
Pawle, przepis ma taki ksztalt bo nikt nie potrafil (w owym czasie) odpowiedziec na pytanie jak (technicznie) wprowadzic opt in? Pierwotne brzmienie przepisu zaproponowane przez MI (gospodarza nowelizacji) zakladalo ze kazde "ladowanie" strony www, o ile towarzyszy mu "wstrzykniecie" cookies, musi byc poprzedzone disclaimerem zawierajacym informacje i checkbox...
ps
krytyke przyjmuje z godnoscia;-))
Opinia 8/2010 o prawie właściwym
W dniu 16 grudnia 2010 r. Grupa Robocza Art. 29 przyjęła Opinię 8/2010 o prawie właściwym. Jest to moim zdaniem jeden z ważniejszych w ostatnim czasie dokumentów grupy, ale też jeden z najtrudniejszych. Zapraszam do komentowania (nie tylko tu, ale i w pracach naukowych).
http://www.giodo.gov.pl/473/j/pl/
Wojciech Wiewiórowski
Generalny Inspektor Ochrony Danych Osobowych