bezpieczeństwo

W mediach pojawił się temat ścigania z urzędu tych, którzy atakują infrastrukturę teleinformatyczną państwa. Dokładniej zaś cytowany jest fragment rządowego programu ochrony cyberprzestrzeni na lata 2011 – 2016. Temat się pojawił, gdyż 10 września pojawiły się w BIP MSWiA nowe dokumenty na ten temat. W każdym razie w głównym dokumencie programu (noszącym datę "czerwiec 2010"), w części 3.3.1 pt. "Program w zakresie działań legislacyjnych", czytamy postulat: "wprowadzenia ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów administracji publicznej oraz infrastruktury krytycznej ujawnionej w wykazie. Wprowadzenie ścigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w obszarze cyberprzestrzeni RP". Pomyślmy o konsekwencjach takiego rozwiązania legislacyjnego. Czy oznacza ono, że teraz z urzędu będzie się ścigać również posłów?

"Musimy się poważnie zastanowić, jak traktować serwisy społecznościowe w kontekście ochrony danych osobowych. Obowiązujące przepisy prawne pochodzą z połowy lat 90., kiedy technologia stawiała przed nami całkiem inne wyzwania. Wtedy były głównie strony www - statyczne, oferujące dostęp do wybranych przez ich autorów informacji. Dzisiaj wszyscy mogą skorzystać z narzędzi umożliwiających publikację dowolnych treści w sieci. Potrzebny jest przegląd istniejącego prawodawstwa pod kątem wyzwań stawianych przez dzisiejszą technologię."

Wczoraj zapadł dość ważny wyrok w sprawie Uzun v. Germany (application no. 35623/05). Istotą rozstrzygnięcia jest ocena przepisów dozwalających organom ścigania śledzenie poczynań obywateli za pomocą Global Positioning System (GPS). Była to pierwsza taka sprawa rozstrzygana przez Europejski Trybunał Praw Człowieka. W stanie faktycznym tej sprawy pojawiła się m.in. praktyka niemieckich służb polegająca na zainstalowaniu nadajnika GPS w samochodzie śledzonej osoby. Było to w grudniu 1995 roku. Ponieważ w pewnym momencie sprawa trafiła do sądu krajowego pojawiło się pytanie, czy służby miały prawo stosować tego typu środki inwigilacji. Oceniając niemiecką procedurę karną Europejski Trybunał Praw Człowieka doszedł do wniosku, że Niemcy nie naruszyły ani art. 8 Europejskiej Konwencji Praw Człowieka, ani też art. 6 § 1 tej konwencji. Czy w przypadku oceny polskich przepisów wyrok byłby taki sam? Niekoniecznie.

Organizacje: Centrum Monitoringu Wolności Prasy oraz Stowarzyszenie Dziennikarzy Polskich wystosowały 18 sierpnia 2010 r. list do Pana Prezydenta RP, w którym apelują o niepodpisywanie zmian do ustawy o ochronie informacji niejawnych uchwalonych przez Sejm 05.08.10 r. Przyjęta już przez Sejm ustawa, która teraz czeka na podpis Prezydenta RP (nie widzę jeszcze tej ustawy wśród podpisanych, w serwisie prezydent.pl), przewiduje m.in. możliwość nadania klauzuli "poufne" informacjom, których udostępnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że "wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej". Generalna zasada, że chronimy interes narodowy, zasługuje prawdopodobnie na wsparcie, ale chociażby - aby podać jakiś przykład - historia wydobywania informacji na temat międzynarodowych negocjacji w sprawie Anti-Counterfeiting Trade Agreement (i polskiego stanowiska w tych negocjacjach) podpowiada, że arbitralne uznawanie czegoś za niejawne może naruszać szereg praw obywatelskich (w szczególności może powodować wyłączenie opinii publicznej z procesu stanowienia prawa).

"Zgodnie z autopoprawkami do projektu nowelizacji ustawy, podmioty organizujące zakłady wzajemne przez Internet zobowiązane będą do zainstalowania i przechowywania informacji oraz danych dotyczących ww. zakładów i ich uczestników wyłącznie na terytorium państwa członkowskiego Unii Europejskiej lub państwa należącego do Europejskiego Stowarzyszenia Wolnego Handlu (EFTA) – strony umowy o Europejskim Obszarze Gospodarczym (EOG)" - czytam w opublikowanej właśnie informacji po posiedzeniu Rady Ministrów... Dziś odbyła się kolejna "reasumpcja" hazardowego projektu, który w lutym wywołał niemałe poruszenie w Sieci.

"Dyrektywa UE o retencji danych jest przejawem bardzo niepokojącej tendencji do naruszania równowagi pomiędzy wolnością a prawem do bezpieczeństwa - na niekorzyść wolności. W tej sprawie jest bardzo interesujący raport brytyjski o "społeczeństwie nadzorowanym" pokazujący, że zabrnęliśmy w Europie w ślepy zaułek. Ten sposób myślenia podzielam. I chciałabym alarmować, że nie wolno równowagi bezpieczeństwo - wolność naruszać, bo nie będziemy mieli ani wolności, ani bezpieczeństwa. Postaram się działać w porozumieniu z generalnym inspektorem ochrony danych osobowych który w tych sprawach się specjalizuje, ale - w przeciwieństwie do RPO - nie może skarżyć przepisów do TK."

Kilka dni temu media poinformowały o wyroku Sądu Apelacyjnego w Lublinie (sygn. I ACa 295/10). Sąd oceniał umowę, do której miało dojść w serwisie aukcyjnym Allegro. Sąd miał uznać, żę jeśli oświadczenie woli zostało złożone drugiej osobie, uchylenie się od niego dopuszczalne jest tylko wtedy, gdy błąd został przez tę osobę wywołany, chociażby nie z jej winy, lub wiedziała ona o błędzie (na przykład z treści rokowań) albo błąd mogła z łatwością zauważyć. W przypadku skorzystania w serwisie aukcyjnym z opcji "kup teraz" do takich sytuacji nie dochodzi. Wcześniej w sprawie orzekał Sąd Okręgowy w Radomiu, który uznał, że doszło do zawarcia umowy, ale sprzedawaca uchylił się od skutków jej zawarcia, ponieważ skutecznie powołał się na błąd. Sprzedający wystawił na aukcję miniładowarki za cenę 7,4 tys. zamiast za cenę 74 tys. Po apelacji sprawa została przesłana ponownie do sądu niższej instancji, do ponownego rozpatrzenia.

W dniu 23 lipca 2010 roku Sąd Okręgowy we Wrocławiu wydał wyrok (sygn. I C 144/10) w sprawie z powództwa o naruszenie dóbr osobistych. Powództwo wytoczył mężczyzna, którego dane, w tym wizerunek, zostały wykorzystane do stworzenia w serwisie Nasza-klasa.pl fałszywego profilu, przy czym dodatkowo w profilu pojawiły się określenia, które - w oczach powoda - stanowiły naruszenie jego dóbr osobistych. Jak relacjonuje powód - w marcu 2009 roku poprosił on spółkę o usunięcie zdjęcia oraz likwidację wskazanego konta. 1 kwietnia 2009 r. spółka poinformowała powoda o usunięciu konta. Chcąc dochodzić roszczeń wobec osoby, która profil założyła, powód zwrócił się do spółki o udostępnienie informacji pozwalających na identyfikację sprawcy. Spółka odpowiedziała, że takich danych nie może udostępnić. W sprawę był zaangażowany Generalny Inspektor Ochrony Danych Osobowych oraz policja. Tak zaczęła się sprawa, w wyniku której sąd zasądził od spółki 10 tys. zł tytułem zadośćuczynienia i nakazał spółce przeprosić powoda za naruszenie dóbr osobistych. Czekamy na uzasadnienie wyroku, gdyż może ono być niezwykle interesujące. Spółka zapowiedziała wniesienie apelacji od tego wyroku.

Być może wówczas, gdy Minister Finansów w porozumieniu z ministrem właściwym ds informatyzacji zechce zmienić rozporządzenie - wówczas niektórzy będą mogli odtrąbić sukces. Wydaje się, że rozporządzenia zmieniać dziś nie trzeba - NSA wydał wyrok (a ściślej: dwa wyroki - drugi na temat drukowania "kopii") na gruncie obowiązującego dziś w RP prawa. Wystarczyłoby zatem, gdyby MinFin przekonał urzędników, że należy to prawo stosować zgodnie z wyrokiem. Być może nawet lepiej byłoby, gdyby rozporządzenia w sprawie "e-faktur" w ogóle nie było. Nie musi go być. Delegacje ustawowe dotyczące tej sfery stwierdzają, że minister właściwy ds finansów publicznych "może określić" (czyli: nie musi). Zmiana rozporządzenia spowoduje rozbrojenie wyroku NSA, gdyż zmieni się stan prawny, na gruncie którego wydano rozporządzenie. Tymczasem MinFin ustami rzecznika prasowego zapowiada zmianę rozporządzenia w sprawie faktur elektronicznych, chociaż w wyroku NSA chodziło nie o faktury elektroniczne, a o faktury papierowe, jedynie przesłane do odbiorcy mailem - do wydruku. Trochę się obawiam tego, co wymyśli teraz MinFin, ale zobaczymy...

W dniach 12-14 lipca odbyło się posiedzenie Grupy Roboczej art 29 - tj. organu doradczego Komisji Europejskiej, działającego na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W trakcie tego posiedzenia regulatorzy sfery ochrony danych osobowych przyjęli raport, w którym uznają, że implementacja postanowień dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 roku w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej oraz dostarczaniem publicznych sieci komunikacji elektronicznej, zmieniającej dyrektywę 2002/58/WE w różnych krajach członkowskich została przeprowadzona wadliwie. Wśród wniosków dotyczących praktyki prowadzenia tzw. retencji danych telekomunikacyjnych można zaliczyć konstatację, że niektóre kraje usiłują gromadzić więcej danych, niż pozwala na to unijne prawo...