“My Friend Cayla” czyli lalka szpieg

„My Friend Cayla” „bez wiedzy rodziców może nagrywać i transmitować rozmowy dziecka i innej osoby” pojawiła się na ryku zabawek niemieckich, gdzie na skutek protestów rodziców oraz interwencji niemieckiego organu d/s ochrony danych osobowych, została wycofana.

Lalki zaczynają natomiast pojawiać się m.in. w ofertach naszych serwisów aukcyjnych i niektórych internetowych sklepów z zabawkami na polskim rynku, stając się dla polskich dzieci i ich rodziców takim samym źródłem zagrożenia. Podobnie zresztą jak inne zabawki podłączone do sieci – ostrzega dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

GIODO radzi, aby interaktywne zabawki były przez rodziców wybierane ze szczególną ostrożnością, gdyż przy nieodpowiednio zabezpieczonym łączu Bluetooth, otoczenie dziecka mogą podsłuchiwać obce osoby.

Jak czytamy na stronach GIODO interaktywne zabawki zwane “CloudPets, mogą komunikować się bezprzewodowo z najbliższym w otoczeniu urządzeniem, np. smartfonem, i dalej za jego pośrednictwem poprzez aplikację CloudPets App przesyłać komunikaty do innych podobnych zabawek w dowolne miejsce na świecie. Komunikaty te mogą być ponadto przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Nasze dzieci aktualnie bardzo szybko stają się posiadaczami smartofonów, tabletów, szybciej niz ich rodzice uczą się korzystać ze zdobyczy nowych technologii. Z jednej strony umiejętności te cieszą a z drugiej mogą stać się źródłem potencjalnych zagrożeń, gdyż za wzrostem umiejętności nie idzie świadomość czyhających na dziecko zagrożeń.

Kto by pomyślał, że niewinna zabawka lalka może szpiegować dziecko i jego otoczenie, dlatego reakcja niemieckiego urzędu d/s ochrony danych osobowych była tak zdecydowana a lalki wycofane ze sprzedaży.

Pamiętajmy, że jest to tylko przykład udowodnionej ingerencji w prywatność osoby fizycznej tym bardziej nagłośniona, że dotyczy dzieci. Jednakże problem dotyczy również dorosłych, do których kierowane są bardziej wyrafinowane rozwiązania technologiczne w formie np. aplikacji mobilnych różnego rodzaju, przetwarzających dane osobowe często w sposób nieadekwatny do potrzeb.

Rozwaga i ostrożność w korzystaniu z nowinek technologicznych w internecie to odruchy rzadko spotykane u użytkowników. Być może dlatego, że wyobrażenie potencjalnego niezbepieczeństwa jest abstrakacją. Trudno sobie wyobrazić, że z samego klikania może zrodzić się coś dla nas niedobrego tak samo jak niewiargodne jest, że lalka może być prawdziwym szpiegiem.

lalka

 

Kto ma porządek w “ochronie danych” ręka w górę:-)

Dzisiaj trochę inaczej o ochronie danych osobowych. Myślę, że kwestia ochrony danych osobowych to jedna z najbardziej zakurzonych i zapomnianych w większości firm.

Ba gorzej jest to temat, którego potencjalne porządkowanie denerwuje właścicieli firm jak nic innego. W ich ocenie temat ochrony danych osobowych jest wydumaną fanaberią.

W życiu najczęściej takie podejście związane jest ze zwykłym niezrozumieniem tematu, nieświadomością co do prawa oraz faktów. Dyrektywa unijna w sprawie ochrony danych osobowych ma już 20 lat a nie ma chyba innych przepisów, które byłby tak bardzo zapomniane jak te o ochronie danych osobowych.

Nawet moi koledzy radcy czy adwokaci, którzy na co dzień nie zajmują się tą tematyką ochrony danych kręcą głowami wyrażając niezrozumienie tematu. GIODO im to wytyka i wyraża opinię, że prawnicy nie zawsze w tym obszarze są wzorami do naśladowania

Bardzo często otrzymuję telefony od właścicieli małych firm. Kupię pani poradnik – mówi mój rozmówca, ale czy wystarczy mi on, aby samemu napisać wszystkie wymagane dokumenty. No i jak tu być mądrym oraz uprzejmym, nie urazić potencjalnego klienta, ale też wyrazić swoją opinię. Trudne zadanie.

Odpowiadam więc, że wszystko zależy od tego, co chcemy osiągnąć. Jeśli zależy nam żeby mieć jakiś papier w tym temacie i to już nas uspokoi to można skopiować jakie wzory lub kupić za parę złotych. Nie będzie miało to zbyt wiele wspólnego z zapewnieniem zgodności ochrony danych osobowych, ale zyskamy pozorny spokój, że coś zrobiliśmy, coś mamy.

Mojemu rozmówcy odpowiedziałam, że nawet, gdy kupi poradnik to w mojej ocenie nie jest w stanie samodzielnie uporządkować obszaru ochrony danych osobowych. Poradniki piszę bowiem dla ABI (administratorów bezpieczeństwa informacji), którzy na co dzień zajmują się stosowaniem przepisów o ochronie danych osobowych.

Klient poradnika nie kupił. Skutecznie go zniechęciłam. Jednak zapewnianie go, że mój poradnik rozwiązałby mu problem uważałam za nieetyczne.

Z drugiej strony normą jest  w firmie wyznaczanie do  porządkowania kwestii ochrony danych przez osoby zupełnie do tego nieprzygotowane. Dostaję pełne rozpaczy listy, że nagle jak grom z jasnego nieba  prezes zrzuca na swoją kadrową czy księgową obowiązek uporządkowania danych osobowych. Jest płacz i zgrzytanie zębów.

Pamiętam błagalny list o pomoc młodej dziewczyny, stażystki w spółdzielni mieszkaniowej, której łaskawa Pani Prezes dała za zadanie uporządkowanie kwestii ochrony danych osobowych. Dziewczynie zależało na pracy, chciała się wykazać i mimo, że bladego pojęcia o temacie nie miała ambitnie wzięła się do rzeczy. Jednak, gdy zaczęła zgłębiać temat grunt spod nóg powoli jej się usuwał. Stąd błagalny list do mnie.

Dane osobowe to nie są jakieś tam dane osobowe, jednostkowe imiona i nazwiska przetwarzane w formie papierowej i trzymane na dnie szafy czy szuflady zamykanej na klucz. Te czasy minęły bezpowrotnie. Nasze dane osobowe to wszystkie informacje, które nas dotyczą, informacje dotyczące naszej sytuacji finansowej, mieszkaniowej, zawodowej, historie chorób, historie kredytowe, informacje dotyczące także skazań czy innych orzeczeń nas dotyczących.

Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wszelkie, co oznacza, że katalog informacji, które mogą zostać uznane za dane osobowe jest otwarty. Dane osobowe to adresy email, numery IP, co jeszcze kilka lat temu było sporne.

W dobie wszechobecności internetu, powszechności usług świadczonych elektronicznie także w sektorze publicznym, tworzenia kolejnych rejestrów zbierających dane o obywatelach (rejestry karne, rejestry PESEL, rejestry  ZUS, rejestry w systemie informacji medycznej i inne). Ilość danych, które są o nas przetwarzane jest zatrważająca.

Argument o udostępnianiu danych w portalach społecznościowych typu Facebook przez samych internautów do mnie nie trafia, bo każdy ma prawo decydowania o sobie i jeśli taka jego wola może ujawniać na swój temat, co chce. Jednak zauważmy, że na FB ludzie ujawniają z reguły te pozytywne informacje tak, aby ich wizerunek nie ucierpiał. Ba czasami z rozmysłem w ten sposób kreują  swój image.

Problem pojawia się, gdy to inni chcą decydować lub decydują, co zrobią z naszymi danymi, komu je udostępnią, bez naszej wiedzy i woli a czasami jej wbrew.

Nieustanny rozwój nowych technologii w internecie, ale także nasza w nim obecność w różnych aspektach zawodowym, prywatnym, handlowym wymaga posługiwania się danymi osobowymi  z wykorzystaniem tychże technologii.

Brak regulacji prawnych dotyczących ochrony danych osobowych w tej sferze czyniłoby z internetu i jego możliwości prawdziwe pole do nadużyć jak handel danymi na wielką skalę, kradzież tożsamości, notoryczne naruszanie prywatności i wiele wiele innych.

Nie dlatego, że zawodowo zajmuję się prawem ochrony danych osobowych, ale dlatego, że wiem, jak szerokie jest pole nadużyć w tej sferze i jak bardzo dotkliwe mogą być to nadużycia dla konkretnego człowieka jestem za ochroną danych osobowych.

Rozporządzenie unijne w sprawie ochrony danych osobowych, które w kwietniu tego roku zostało przyjęte w organach UE jest odpowiedzią na zagrożenia, które powyżej w wielkim skrócie starałam się zasygnalizować w tym poście.

Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.

Globalne porozumienie w sprawie ochrony danych

Czekają nas duże zmiany w kwestii przetwarzania danych osobowych i to już niebawem, warto zatem śledzić ten temat.

merkel

Kanclerz Niemiec Angela Merkel w niemieckim czaspopiśmie “Welt am Sonntag” ostatnio stwierdziła, iż jest  za zawarciem globalnego porozumienia w sprawie ochrony danych osobowych, aby w jego rezultacie służby specjalne nie miały możliwości ingerować w sferę prywatną ludzi.

Poprzednie  pokolenia doprowadziły do przyjęcia Powszechnej Deklaracji Praw  Człowieka i utworzenia Światowej Organizacji Handlu. My, w XXI wieku,  też powinniśmy być zdolni do zawarcia globalnych porozumień –  powiedziała  zaledwie kilka tygodni temu Merkel. Komunikacja  cyfrowa stawia nas przed całkowicie nowymi problemami w skali  światowej, dlatego musimy zmierzyć się z tymi wyzwaniami – zaważyła  szefowa niemieckiego rządu zapewniając, że Niemcy zaangażują się w  uregulowanie tej sprawy.

Merkel wyjaśniła, że punktem wyjścia do  działań powinien być oenzetowski Międzynarodowy Pakt Praw Obywatelskich i  Politycznych przyjęty przez ONZ, a przede wszystkim artykuł 17. tego dokumentu, traktujący o  ochronie prywatności. Szefowa rządu naszego zachodniego sąsiada powiedziała także, że gdy  – podpisywano ten  pakt, nikt jeszcze nawet nie myślał o przekazywaniu danych za pomocą  techniki cyfrowej. Dodatkowy protokół do paktu mógłby teraz wypełnić tę lukę, zapewniając bardziej skuteczną ochronę  danych osobowych. – Niemcy zastanawiają się nad podjęciem takiej inicjatywy –  zaznaczyła.