infoShare 2011 - Wojciech Wiewiórowski - Ochrona prywatności w sieciach społecznościowych....
-
Upload
infoshare -
Category
Technology
-
view
1.696 -
download
1
description
Transcript of infoShare 2011 - Wojciech Wiewiórowski - Ochrona prywatności w sieciach społecznościowych....
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Ochrona prywatności w sieciach społecznościowych
Dlaczego organy ochrony danych osobowych interweniują tam, gdzie „każdy może
przedstawiać się jak chce” ?
infoSharePolitechnika Gdańska
12-13 maja 2011 r.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
dr Wojciech Rafał Wiewiórowski
Pracownia Informatyki PrawniczejWydział Prawa i Administracji Uniwersytetu Gdańskiego
Generalny Inspektor Ochrony Danych Osobowych
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Nota:Niniejsza prezentacja stanowi uzupełnienie wykładu prezentowanego w ramach
Konferencji InfoSharezorganizowanej na Wydziale Elektroniki, Telekomunikacji i Informatyki
Politechniki Gdańskiej w dniach 12-13 maja 2011 r.
Prezentację można kopiować i wykorzystywać w całości lub w części tylko pod warunkiem podania pełnej informacji o utworze w poniższym brzmieniu:
W.R.Wiewiórowski, „Ochrona prywatności w sieciach społecznościowych. Dlaczego organy ochrony danych osobowych interweniują tam,
gdzie „każdy może przedstawiać się jak chce”, GIODO / WPiA Uniwersytet Gdański 2011 (wersja z 10 maja 2011 r.)
© W.R.Wiewiórowski
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
1. Serwisy społecznosciowe jako wyzwanie dla ochrony prywatności
2. Prawo przed-internetowe. Dlaczego konieczne są zmiany ?3. Podstawowe zarzuty wobec serwisów spolecznosciowych
w zakresie ochrony prywatności4. Privacy by design jako nowy paradygmat ochrony prywatności5. Tzw. odwrotna dyskryminacja wobec europejskich serwisów
internetowych6. Co przed nami ? Jaki kroki może podjąć Unia Europejska,
Grupa Art. 29 i GIODO?7. Podsumowanie
Program wykładu
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
(art. 47.) Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym.
(art. 51.) 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do
ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych
informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Konstytucyjna ochrona prywatności
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Dane osobowe w zasobach samorządowych
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Art. 2. 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:1) w kartotekach, skorowidzach, księgach, wykazach i w innych
zbiorach ewidencyjnych,2) w systemach informatycznych, także w przypadku przetwarzania
danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Dane osobowe w zasobach samorządowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Art. 27. 1. Zabrania się przetwarzania danych ujawniających - pochodzenie rasowe lub etniczne, - poglądy polityczne, - przekonania religijne lub filozoficzne, - przynależność wyznaniową, partyjną lub związkową, - danych o
-- stanie zdrowia, -- kodzie genetycznym, -- nałogach, -- życiu seksualnym
- danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Dane wrażliwe
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie
dotyczących jej danych,2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby,
której dane dotyczą, i stwarza pełne gwarancje ich ochrony,3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby,
której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lubinstytucji o celach politycznych, naukowych, religijnych, filozoficznych lubzwiązkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznieczłonków tych organizacji lub instytucji albo osób utrzymujących z nimi stałekontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących
się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Dane wrażliwe
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usługmedycznych lub leczenia pacjentów przez osoby trudniące się zawodowoleczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może
następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Dane wrażliwe
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Szybki rozwój technologiczny i globalizacja doprowadziły go głębokich przemian w otaczającym nas świecie, przynosząc nowe wyzwania w zakresie ochrony danych osobowych.Dzisiejsze technologie umożliwiają jednostkom łatwe dzielenie się informacjami na temat ich zachowania i preferencji oraz publiczne udostępnianie tych informacji w skali globalnej na nie mającą precedensu skalę. Sieci społecznościowe z setkami milionów członków rozsianych po całym świecie stanowią chyba najbardziej ewidentny, choć nie jedyny, przykład tego zjawiska. Również „przetwarzanie w chmurze” (ang. cloud computing) – tzn. przetwarzanie dokonywane w Internecie przy pomocy oprogramowania, dzielonych zasobów i informacji znajdujących się na zewnętrznych serwerach („w chmurze”) stanowi wyzwanie dla ochrony danych, ponieważ wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane korzystając z programów zainstalowanych na urządzeniach osób trzecich. Niedawno przeprowadzona analiza potwierdziła, że zarówno organy ochrony danych, zrzeszenia przedsiębiorców, jak i organizacje konsumentów są zgodne co do tego, że wzrasta zagrożenie dla prywatności i ochrony danych osobowych w związku z działalnością w Internecie.
Study on the economic benefits of privacy enhancing technologies, London Economics, lipiec 2010 r., s.14.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Serwisy społecznosciowe jako wyzwanie dla ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Serwisy społecznosciowe jako wyzwanie dla ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
– Podstawowe pojęcia z zakresu ochrony danych osobowych oddają świat AD MCMXCIII
– Terytorialność prawa ochrony danych osobowych
– Globalne podejście do ochrony danych osobowych. Na ile podobne, a na ile różne podejścia prezentują UE, Kanada, Australia, Nowa Zelandia i USA
– Bazy serwisów Web 2.0 w chmurach
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Prawo przed-internetowe. Dlaczego konieczne są zmiany ?
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
– Autonomia informacyjna jako prawo do prezentacji informacji o samym sobie
– Zgoda jak podstawa do przetwarzania danych. Dobrowolna zgoda i poinformowany użytkownik
– Prezentacja materiałów o osobach trzecich
– Zakres danych prywatnych v. ochrona danych osobowych
– Zgoda małoletniego
– „Bóg może wybaczyć, Internet nie” – V.Reding
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Podstawowe zarzuty wobec serwisów spolecznosciowych w zakresie ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Paradygmat – (wg. Thomasa Kuhna)
Zbiór pojęć i teorii tworzących podstawy danej nauki. Paradygmat jest zestawem teorii i pojęć tworzących jest przyjęty jako konsensus przynajmniej do czasu, kiedy paradygmat jest twórczy poznawczo - tzn. za jego pomocą można tworzyć teorie szczegółowe zgodne z danymi doświadczalnymi, którymi zajmuje się dana nauka.
Paradygmat od tzw. dogmatu odróżnia kilka zasadniczych cech:• nie jest on dany raz na zawsze - lecz jest przyjęty na zasadzie
konsensusu większości badaczy,• może okresowo ulec zasadniczym przemianom prowadzącym do
głębokich zmian w nauce zwanych rewolucją naukową,• podważa sens absolutnej słuszności.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Privacy by design jako nowy paradygmat ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Dobry paradygmat posiada kilka cech i m.in. musi:
- być spójny logicznie i pojęciowo,- być jak najprostszy i zawierać tylko te pojęcia i teorie, które są
dla danej nauki rzeczywiście niezbędne,- dawać możliwość tworzenia teorii szczegółowych zgodnych
ze znanymi faktami.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Privacy by design jako nowy paradygmat ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Prywatność w Fazie Projektowania: Zasady Podstawowe
• Podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze• Prywatność jako ustawienie domyślne• Prywatność włączona w projekt• Pełna funkcjonalność: Suma dodatnia, nie suma zerowa• Ochrona od początku do końca cyklu życia informacji• Transparentność i przejrzystość• Poszanowanie dla prywatności użytkowników
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Privacy by design jako nowy paradygmat ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Prywatność w Fazie Projektowania: Zasady Podstawowe
• Podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze• Prywatność jako ustawienie domyślne• Prywatność włączona w projekt• Pełna funkcjonalność: Suma dodatnia, nie suma zerowa• Ochrona od początku do końca cyklu życia informacji• Transparentność i przejrzystość• Poszanowanie dla prywatności użytkowników
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Privacy by design jako nowy paradygmat ochrony prywatności
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
– GIODO v NK
– GIODO v Facebook
– Jurysdykcja i prawo właściwe dla rozstrzygania sporów cywilnych
– Jurysdykcja i prawo właściwe w sprawach administracyjnych
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Tzw. odwrotna dyskryminacja wobec europejskich serwisów internetowych
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Transformacja Europejskiego prawa ochrony prywatności
Komisja Europejska 4 listopada 2010 r. przyjęła kompleksową strategię dotyczącą ochrony danych osobowych w Unii Europejskiej (patrz komunikat KOM (2010) 609/3). Zakłada ona modernizację istniejących na poziomie Unii Europejskiej (UE) ram prawnych w zakresie ochrony danych osobowych.
Zmiany w prawie i inne inicjatywyKomisja Europejska (KE) w 2011 r. przedstawi projekt zmian Dyrektywy 95/46/WE o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym ich przepływie, a także podejmie działania pozalegislacyjne, mające na celu skuteczniejszą ochronę danych osobowych w UE.
Planowane działania mają przede wszystkim odpowiedzieć na wyzwania związane z rozwojem technologii informatycznych oraz procesami globalizacji.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Co przed nami ? Jakie kroki może podjąć Unia Europejska, Grupa Art. 29 i GIODO?
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Transformacja Europejskiego prawa ochrony prywatności
Podstawowe cele1.wzmocnienie praw jednostki,2.wzmocnienie pozycji i zwiększenie uprawnień organów ochrony danych osobowych,3.przegląd przepisów dotyczących ochrony danych w obszarze współpracy policji i wymiaru sprawiedliwości w sprawach karnych,4.zapewnienie swobodnego przepływu danych w obrębie Unii Europejskiej,5.zapewnienie wysokiego poziomu ochrony w przypadku transferu danych poza UE.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Co przed nami ? Jakie kroki może podjąć Unia Europejska, Grupa Art. 29 i GIODO?
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Cele są zgodne ze stanowiskiem na temat przyszłości ochrony prywatności wyrażanym przez GIODO w ostatnich miesiącach.
Obecnie obowiązujące przepisy, zarówno Dyrektywy 95/46/WE, która została uchwalona w 1995 r., a powstawała w latach 1990-1994 r., jak i polskiej ustawy o ochronie danych osobowych, która pochodzi z 1997 r., odnoszą się do rzeczywistości przedinternetowej.
Najistotniejszą kwestią jest zapowiadane przez KE wzmocnienie praw jednostki, w tym wprowadzenia rozwiązań zapewniających każdemu z nas realne gwarancje, że nasze prawo do ochrony danych osobowych i prawo do prywatności będą przestrzegane.
Komisja Europejska słusznie dąży do skuteczniejszej realizacji zasady adekwatności, zgodnie z którą, zakres przetwarzanych danych powinien być ograniczony do niezbędnego minimum
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Co przed nami ? Jakie kroki może podjąć Unia Europejska, Grupa Art. 29 i GIODO?
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
Komisja zbada sposoby:– wzmocnienia zasady minimalizacji danych;– poprawy metod faktycznego korzystania z prawa do dostępu do danych, ich
poprawiania, usuwania lub blokowania (np. poprzez wprowadzenie terminów na odpowiedź na wnioski osób fizycznych, umożliwienie korzystania z praw za pomocą środków elektronicznych lub zapewnienie, że korzystanie z praw do dostępu powinno być zasadniczo zapewnione bezpłatnie);
– wyjaśnienia tzw. „prawa do bycia zapomnianym” tzn. prawa osób fizycznych do spowodowania usunięcia ich danych oraz zaprzestania ich przetwarzania, jeżeli przestały być potrzebne do zgodnych z prawem celów. Przykładem jest tutaj sytuacja, w której przetwarzanie odbywa się na podstawie zgody danej osoby, jeśli ta wycofała swoją zgodę lub też skończył się okres przechowywania, na który wyraziła zgodę;
– uzupełnienie praw osób, których dane dotyczą przez zapewnienie „przenoszalności danych” tzn. wyraźne przewidzenie prawa osób fizycznych do wycofania swoich danych (np. zdjęć lub listy przyjaciół) z jednej aplikacji lub usługi, tak by można je było przenieść do innej, w zakresie, w jakim jest to technicznie możliwe, bez przeszkód ze strony administratorów danych.
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Co przed nami ? Jakie kroki może podjąć Unia Europejska, Grupa Art. 29 i GIODO?
Uniwersytet Gdański, GIODOdr Wojciech R. Wiewiórowski
– Czy warto korzystać z przykładu prawa ochrony konsumentów w Unii Europejskiej ?
– Czy warto korzystać z przykładu prawa antymonopolowego w UE ?
– Rola rekomendacji Grupy Art. 29
– Najnowsze decyzje GIODO w sprawie serwisów spolecznosciowych
– Współpraca bilateralna z innymi rzecznikami ochrony prywatności w Europie
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
Co przed nami ? Jakie kroki może podjąć Unia Europejska, Grupa Art. 29 i GIODO?
Ochrona prywatności w sieciach społecznościowychOchrona prywatności w sieciach społecznościowych
dr Wojciech Rafał Wiewiórowski
Pracownia Informatyki PrawniczejWydział Prawa i Administracji Uniwersytetu Gdańskiego
Generalny Inspektor Ochrony Danych Osobowych
I tym optymistycznym akcentem
kończąc
zachęcam do zadawania pytań