Igor Kowalewski
Sprawozdanie z Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych. 10 - 11 maja 2001 r., Ateny
SESJA 2 - OCHRONA DANYCH W SEKTORZE TELEKOMUNIKACYJNYM
I W INTERNECIE - [Data protection in the telecomunications field / Internet]
[Spis treści]
Pierwszy referat w tej sesji wygłosił pan Jesús Rubí Navarrete, zastępca dyrektora hiszpańskiego organu ochrony danych osobowych. Prelegent podzielił się uwagami i spostrzeżeniami jakie zebrano w Hiszpanii w wyniku prowadzonej od 1999 r. kontroli operatorów telekomunikacyjnych i dostawców usług internetowych [Internet Service Providers]. Kontrola ta wykazała, że wielu operatorów pozyskiwało dane o swoich klientach z innych niż oficjalnie deklarowano źródeł. Dane zbierane o klientach dotyczyły miedzy innymi ich sytuacji socjalnej i rodzinnej. W procesie przetwarzania danych w celu zidentyfikowania niektórych cech wykorzystywano zaawansowane systemy eksploracji danych (systemy data mining). W wyniku przeprowadzonej kontroli okazało się, że niektórzy operatorzy zgodę osoby na przetwarzanie danych osobowych abonenta w związku z świadczeniem mu usług telekomunikacyjnych interpretowali również jako zgodę na tworzenie jego profili osobowych. Autor referatu zdecydowanie podkreślił, że interpretacja taka jest niezgodna z intencją, jaką wyrażali abonenci wyrażając zgodę na przetwarzanie ich danych w związku z dostarczaniem im określonych usług. Jest to, jak zaznaczył autor, sprzeczne również z intencją wyrażaną w tym zakresie w Dyrektywie 97/66/EC. W opinii autora zgoda na tworzenie profili osobowych musi być wyrażana wprost. Innym zjawiskiem, które zaniepokoiło Hiszpańskiego Komisarza Ochrony Danych Osobowych, to zbyt szerokie wykorzystywanie przez operatorów telekomunikacyjnych danych o ruchu abonentów w sieci. Podsumowując swoje wystąpienie autor stwierdził, że obserwacje Hiszpańskiego Komisarza Ochrony Danych Osobowych potwierdzają potrzebę korekty Dyrektywy EC/97/66 w zakresie zaproponowanym przez Grupę 29 (Art. 29 WP).
Następnie głos zabrał prof. Stefano Rodota, przewodniczący włoskiego organu ochrony danych osobowych. Prelegent poruszył niezwykle istotny problem spamu -rozsyłania niechcianej korespondencji e-mailowej (głównie reklam) do użytkowników Internetu. Kwestia przysyłania dużych ilości poczty przychodzącej [incoming mail] stanowi poważne zagrożenie dla ochrony prywatności i danych osobowych. Prof. Rodota wskazał, że bezpieczeństwo sieci leży zarówno w interesie konsumentów, jak i producentów i dystrybutorów dóbr i usług. Z analizy opublikowanej przez Komisję Europejską wynika, że użytkownicy Internetu na świecie tracą rocznie 12 mld. dolarów z powodów kosztów przesłania niechcianych reklamowych wiadomości elektronicznych. Prelegent podkreślił wielkie korzyści płynące z wykorzystywania Internetu przez przedsiębiorców, ale jednocześnie wyraźnie zaznaczył, że należy stworzyć odpowiednie zabezpieczenia informatyczne i prawne przed "technologiczną euforią" panującą od kilku lat w Europie. Problem spamu jest naprawdę poważny ponieważ klienci zasypywani ogromną ilością niechcianej korespondencji, tracą zaufanie do wiarygodności handlu elektronicznego. Podstawę dla nowych uregulowań stanowić powinien Art. 8 Europejskiej Konwencji Praw Człowieka oraz przepisy nowoprzyjętej Karty Podstawowych Praw Unii Europejskiej uchwalonej w 2000 r., w Nicei. Na zakończenie swojej wypowiedzi autor wyraził opinie, iż przedstawiona przez uczestników spotkania deklaracja dotycząca ograniczenia przetwarzania przez ISP danych o ruchu jako działań naruszających podstawowe prawa człowieka powinna zostać przyjęta.
Następnie głos zabrały pani Diania Alonso Blas, starszy urzędnik ds. kontaktów międzynarodowych holenderskiego organu ochrony danych osobowych oraz pani Anne-Christine Lacoste, radca prawny w belgijskiej Komisji ochrony danych. Podczas wykładu przedstawione zostało sprawozdanie z prac Grupy Roboczej ds. ochrony prywatności w Internecie" [The Internet Task Force Report 2000] zatytułowane "Prywatność w Internecie -jednolite podejście Unii Europejskiej do ochrony danych osobowych On-line" [An integrated EU approach to On-line Data Protection], przyjęty jednogłośnie 21 listopada 2001 r.. Grupa Robocza ds. ochrony prywatności w Internecie została utworzona w 1999 r. w ramach prac Grupy Roboczej Art. 29. Stworzenie dokumentu zostało podyktowane niezwykle szybkim rozwojem Internetu, rosnącą ilością i stopniem złożoności nowych usług dostępnych przez sieć. Równocześnie mamy do czynienia z personalizacją usług internetowych, które są dostępne dopiero z chwilą ujawnienia danych osobowych przez klienta. Zachowanie anonimowości w cyberprzestrzeni jest w obecnie niezwykle trudne z uwagi na możliwości monitorowania użytkowników sieci w czasie rzeczywistym [real time monitoring]. Pojawiły się również nowe zagrożenia związane z gromadzeniem i przechowywaniem danych osobowych w Internecie.
Dokumenty zatwierdzone przez Internet Task Force dotyczyły m in.:
- przetwarzania danych osobowych w Internecie,
- automatycznego przetwarzania danych zarówno przez oprogramowanie [software] oraz urządzenia, na których jest ono zainstalowane [hardware],
- przechowywania danych dotyczących ruchu na serwerze w celu udostępnienia tych danych organom ścigania i wymiaru sprawiedliwości,
- ram prawnych przetwarzania danych osobowych w sektorze telekomunikacyjnym
- aspektów ochrony prywatności w handlu elektronicznym.
Internet Task Force opracował szczególne wytyczne i zalecenia:
1. podniesienie świadomości użytkowników Internetu odnośnie możliwości naruszenia prywatności i ochrony danych osobowych:
- realizowane poprzez informowanie użytkowników o przysługujących im prawach, informowanie administratorów danych o nałożonych na nich obowiązkach (art. 10 Dyrektywy 95/46/EC). Istotną rolę w procesie informacyjnym powinny odegrać władze publiczne, stowarzyszenia ochrony prywatności, adwokaci, organizacje konsumenckie
2. odpowiednie i zharmonizowane zastosowanie istniejących przepisów:
- interpretacja zasad prawa europejskiego, przegląd sektora telekomunikacyjnego, rola władz publicznych oraz wkład sektora prywatnego (przepisy samoregulujące, kodeksy etyczne)
3. opracowanie i wykorzystanie odpowiednich technologii służących ochronie prywatności:
-zaprojektowanie oprogramowania i sprzętu komputerowego oraz standardów technicznych, ustawienia domyślne powinny zapewnić najwyższy poziom ochrony, technologie wzmacniające ochronę prywatności [Privacy-Enhancing Technologies]: serwery proxy, pliki typu "cookie killers", oprogramowanie anonimizacyjne, narzędzia pseudonimizacyjne, filtry poczty elektronicznej. Powyższe technologie powinny być wspierane przez sektor publiczny
4. tworzenie sprawnego mechanizmu kontroli i reagowania:
-potrzeba zwiększenia zgodności uregulowań prawnych i wymagań technicznych, szczególna rola organów ochrony danych osobowych.
Następnie pani Diana Alonso Blas przedstawiła zadania, które Internet Task Force zamierza zrealizować w najbliższej przyszłości:
- promocja zagadnień opracowanych w raporcie
- pozytywny wpływ na działanie podmiotów w sektorze telekomunikacji (dane dot. ruchu)
- wyjaśnianie zastosowania dyrektyw w szczególnych przypadkach
- rozwój technologii PET
- odpowiedź na pytanie dotyczące możliwości zastosowania dyrektyw w stosunku do administratorów danych spoza Unii Europejskiej (jeżeli serwer znajduje się na terenie U.E.).
Kolejnym prelegentem tej sesji był dr Hansjürgen Garstka, Komisarz ochrony danych osobowych i dostępu do informacji landu berlińskiego, który przedstawił sprawozdanie dotyczące prac Międzynarodowej Grupy Roboczej ds. Ochrony Prywatności w Sektorze Telekomunikacji, tzw. Grupy Berlińskiej [An International Working Group on Data Protection in Telecomunications]. Międzynarodowa Grupa Robocza została powołana w 1983 r. podczas Międzynarodowej Konferencji Komisarzy Ochrony Danych Osobowych w Sztokholmie. Szczególne znaczenie przypisać należy konferencji, która odbyła się w 1989 r., w Berlinie. Na wniosek delegacji podjęto wówczas decyzję o rozszerzeniu działań Grupy Roboczej, która od tego czasu miała spotykać się dwa razy w roku. Dr Garstka przypomniał, że podczas spotkania w Berlinie, w 2000 r., omawiano m. in. kwestie ochrony danych osobowych w projekcie Konwencji Rady Europy o Przestępstwach Komputerowych, w szczególności Grupa wyraźnie sprzeciwiła się propozycji, aby dostawcy usług internetowych [Internet Service Providers] mieli prawo przechowywania danych przesyłanych w sektorze telekomunikacji i w Internecie, przez dłuższy niż dotychczas okres, w celu udostępnienia ich organom ścigania prowadzącym postępowanie karne. Prelegent poinformował, iż na ostatnim spotkaniu grupy roboczej, które odbyło się w Bengalore (Indie) przedstawiona przez delegację berlińską propozycja wspólnego stanowiska dotycząca przetwarzania danych lokalizacyjnych w mobilnych usługach komunikacyjnych [Common Position on Privacy and location in mobile communications services] została przedyskutowana, i z naniesionymi poprawkami przyjęta jako wspólne stanowisko Grupy Roboczej. Prelegent stwierdził, że należy powiązać wysiłki prac Grupy Berlińskiej oraz Komisarzy z państw nie należących do niej. Dr Garstka zaprosił wszystkie zainteresowane strony na 30-te spotkanie Grupy Berlińskiej, które odbędzie się w Berlinie, w dniach 27-28 sierpnia 2001 r., pod hasłem "Prywatność i Prawa Własności Intelektualnej w Internecie" [Privacy and Intellectual Property Rights on the Internet].
