bezpieczeństwo

W USA sędzia Sądu Dystryktowego z Seattle uznał, że numer IP (ang. internet protocol) nie jest daną osobową ("IP addresses are not personal information"), ponieważ aby taki numer mógł być uznany za daną osobową musiałby identyfikować konkretną osobę, a przecież taki adres wskazuje jedynie komputer w sieci. Takie stanowisko zostało sformułowane w sprawie z powództwa zbiorowego ("class-action lawsuit") przeciwko spółce Microsoft, która aktualizując automatycznie oprogramowanie antywirusowe gromadzi numery IP komputerów, na których takie oprogramowanie się instaluje. Pozew złożono jeszcze w 2006 roku, kiedy w imieniu konsumentów argumentowano, że gromadzenie przez korporacje danych tego typu stanowi naruszenie relacji kontraktowych. Microsoft zaś odpiera zarzuty twierdząc, że numerów IP nie zestawia z danymi pozwalającymi na identyfikację konkretnych osób.

Jest "finał" "działań marketingowych" Pełnomocnika Rządu ds. Równego Traktowania. Stali czytelnicy pamiętają takie teksty, jak Pełnomocnik rządu chce wprowadzić kodeks etyki internetu, a ja mam wrażenie manipulacji, a wcześniej Dyskryminacja nieletnich w mass mediach. Hmmm.... W pierwszym z podlinkowanych tekstów napisałem, że uczestniczyłem w spotkaniach Podzespół ds. bezpieczeństwa Internetowego i oprogramowania interaktywnego i zwróciłem uwagę na różnice pomiędzy przebiegiem tych spotkań, a wysyłanymi "na rynek" komunikatami na temat efektu prac. W Kancelarii Prezesa Rady Ministrów zaprezentowano „Porozumienie na Rzecz Bezpieczeństwa Dzieci w Internecie” oraz „Kodeks Dobrych Praktyk Rynku Gier Komputerowych i Wideo w Polsce”. Dostałem już nawet pierwsze notatki prasowe. Elektroniczne listy od podmiotów niepublicznych opatrzone są "godłem" Kancelarii Prezesa Rady Ministrów i w ten sposób - jak rozumiem - mają być bardziej wiarygodne... Wydaje się, że treść porozumienia czy kodeksu nie jest najistotniejszym elementem tej akcji...

Numer PESEL może być gromadzony tylko i wyłącznie za zgodą osoby, której dane dotyczą, jednak nie może być umieszczony na Warszawskiej Karcie Miejskiej, a jedynie w systemach informatycznych na potrzeby jednoznacznego zidentyfikowania przez ZTM właściciela karty. Generalny Inspektor Ochrony Danych Osobowych wydał niedawno decyzję, co było skutkiem postępowania, o którym pisałem w tekście Po kontroli GIODO wszczął postępowanie wobec ZTM. GIODO zwołał konferencję prasową, jednak na stronie Generalnego Inspektora nie ma, albo przynajmniej nie mogę tam znaleźć, treści decyzji. Nie ma też sygnatury... ZTM zaś uznał, że GIODO "nie kwestionuje zasadności i legalności zbierania przez ZTM danych osobowych pasażera w postaci numeru PESEL i adresu", chociaż prawnicy ZTM analizują treść decyzji.

Fundacja Panoptykon i portal PolskaLiberalna.net zapraszają na dyskusję w ramach cyklu "Spotkania Liberałów", a zatytułowaną "Społeczeństwo nadzorowane: czy mamy kontrolę nad systemami nadzoru?". Rozmawiać będą: Katarzyna Szymielewicz (Fundacja Panoptykon), Adam Ostolski (Krytyka Polityczna), Piotr Waglowski (portal VaGla.pl) i Jerzy Jachowicz (Dziennik). Moderatorem dyskusji będzie Marcin Celiński (portal PolskaLiberalna.net).

Obok notatki na temat zarządzania internetem Komisja Europejska chce również znormalizować relacje w obszarze "internetu przedmiotów". Wiadomo: internet się rozwija, "każdego dnia pojawiają się przykłady nowych zastosowań", lodówki mogą zamawiać zapasy jedzenia, a farba może dać nam do zrozumienia, że będzie interesująco wyglądała na ścianach naszego pokoju (o innych zastosowaniach "internetu przedmiotów" pisałem w dziale RFID, bo tego w istocie dotyczy ta inicjatywa Komisji). I tu Komisja postanowiła zabrać głos, by "wspierać rozwój internetu przedmiotów", ale - poza normalizacją tego procesu - celem Komisji (a być może uzasadnieniem wprowadzenia unijnego porządku w tym obszarze) są również "środki na rzecz ochrony prywatności i danych osobowych oraz zapewnienia bezpieczeństwa w miarę wyłaniania się nowych technologii" (celem są środki, ale tak to zredagowano).

A raczej "niezależny, otwarty i odpowiedzialny charakter zarządzania internetem" ma być "celem Komisji Europejskiej" - jak wynika z jednej z ostatnich, europejskich notatek. Komisja ogłosiła "strategię", a tam wezwała do "większej przejrzystości i wielostronnej rozliczalności w zarządzaniu internetem". Problem zarządzania internetem nie jest nowy. W 2005 roku pisałem o tym m.in. w tekście Światowe zarządzanie internetem - pozamiatane przed szczytem. Ta dyskusja ma charakter globalny, ale Unia Europejska w sposób oczywisty chce w niej brać udział. Jeśli za "koordynację najważniejszych elementów internetu" odpowiada ICANN, a Komisja zauważa, że podstawą takiego koordynowania i zarządzania, jest umowa z Departamentem Handlu USA, to - jak uważam - wezwanie do przejrzystości i wielostronnej rozliczalności ma zmierzać do zwiększenia wpływu Komisji Europejskiej na ten proces (w komunikacie mowa również o zwiększeniu udziału "wszystkich państw świata", ale nie przypuszczam, by Komisji zależało, tak na prawdę, na innych państwach świata poza UE; w kontekście tej notatki należy sięgnąć również do równocześnie opublikowanej: RFID: Internet przedmiotów malowany komisyjną wizją gadającego kubka jogurtu).

Dziś Trybunał Konstytucyjny rozpoznał połączone wnioski Grupy posłów na Sejm dotyczące działalności Centralnego Biura Antykorupcyjnego i rozstrzygnął o niezgodności z normami konstytucyjnymi szeregu przepisów ustawy o Centralnym Biurze Antykorupcyjnym. Z perspektywy tego serwisu istotne jest uznanie za niekonstytucyjne korzystanie z danych wrażliwych oraz z informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych (bez wiedzy i zgody osoby, której dotyczą) bez jednoczesnego zagwarantowania instrumentów kontroli sposobu przechowywania i weryfikacji tych danych oraz sposobu usuwania danych zbędnych z punktu widzenia realizacji ustawowych zadań CBA. Ale to nie jedyne przepisy. Ważne jest też zakwestionowanie definicji "korupcji", a to ze względu na "użycie wyrażeń niejasnych znaczeniowo oraz na skutek sformułowania go w sposób uchybiający wymogom logiki formalnej (prawniczej)". Ciekawe, co by Trybunał Konstytucyjny powiedział o art 269b KK, albo szeregu innych przepisów, związanych ze "społeczeństwem informacyjnym"... Zakwestionowano również rozporządzenie Prezesa Rady Ministrów z 27 września 2006 r. w sprawie zakresu, warunków i trybu przekazywania CBA informacji przez organy, służby i instytucje państwowe.

W środę (wczoraj) Grupa Robocza ds. art 29 miała przyjąć stanowisko w sprawie ochrony danych osobowych w kontekście działalności portali społecznościowych. Taką informację podał dwa dni temu, na konferencji Bezpieczeństwo w Internecie, minister Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych. Prezentuję poniżej nagranie z wystąpienia p. ministra. Wystąpienie to jest istotne, gdyż - jak wiadomo - trwa sprawa, dotycząca umieszczonego w serwisie Nasza-klasa zdjęcia osoby trzeciej (por. ostatnio Podpis pod zdjęciem w NK - uzasadnienie wyroku WSA w Warszawie (sygn. II SA/Wa 1495/08)). Jeśli dobrze zrozumiałem - GIODO liczy na opinię Grupy Roboczej, którą będzie się posiłkować przy dalszych działaniach w tej sprawie. Dowiedzieliśmy się również, że ma zostać zwołany "okrągły stół" w sprawie ochrony danych osobowych na portalach społecznościowych...

Wiele uwagi mediów koncentrowało się na problematyce gromadzenia przez Zarząd Transportu Miejskiego w Warszawie danych osobowych, w tym numeru PESEL. Odnotuję jedynie, że Generalny Inspektor Ochrony Danych Osobowych wszczął w związku z tymi pomysłami postępowanie z urzędu.

W Wielkiej Brytanii sąd uznał, że anonimowość nie jest dla blogera prawem, a ściślej, że prasa mogła - w interesie publicznym - ujawnić dane blogera. Od razu nasuwają się pewne skojarzenia, w szczególności z takimi tekstami jak Po wczorajszej debacie w sprawie "Dziennik vs. Kataryna". Są jednak również różnice między ujawnieniem tożsamości polskiej blogerki politycznej i odkryciem przez Times danych blogera, znanego wcześniej pod pseudonimem NightJack. NightJack jest policjantem...