Dyskusja panelowa pod tym tytułem odbyła się 22 stycznia na terenie targów KomputerExpo. Zorganizowała ją redakcja PC Kuriera, prowadził Piotr Fuglewicz—wiceprezes PTI. W dyskusji udział wzięli: Arwid Mednis, prawnik, zajmujący się od lat tą tematyką, Dariusz Kupiecki, jeden z autorów obowiązującej ustawy o ochronie danych osobowych, Jarosław Deminet, wiceprezes PTI i Bogusław Jackowski, informatyk wrażliwy na problemy społeczne. Trzej pierwsi paneliści wielokrotnie spotykali się już poprzednio na posiedzeniach sejmowej podkomisji, nic więc dziwnego, że nie spierali się zbytnio, odpowiadając na dwa pytania zadane przez prowadzącego:

Jak należy rozumieć przesłanie ustawy o ochronie danych? Jak rozumieć samo pojęcie „danych osobowych"?

Niestety na trzecie pytanie, jaka jest rola informatyka w tworzeniu i wykonywaniu tej ustawy, paneliści nie mogli się wypowiedzieć z powodu (zawinionego przez nich samych) braku czasu.

Arwid Mednis, mówiąc o genezie i znaczeniu ustawy, przedstawił jej tło międzynarodowe. Od lat sześćdziesiątych w wielu krajach europejskich powstawały regulacje prawne, zwykle bardzo restrykcyjne, wynikające ze strachu przed nowym narzędziem. Potem jednak okazywało się, że zbytnie ograniczenia, naruszające zasadę swobody umów, ograniczają obrót gospodarczy. Obecne tendencje (m.in. dyrektywa Unii Eu-ropejskiej) sugerują raczej wyważenie interesów podmiotów gospodarczych (np. firm prowadzących marketing bezpośredni) i prawa do prywatności. W ten sposób została skonstruowana także polska ustawa. Nie ma w niej w szczególności bezwzględnego obowiązku uzyskiwania zgody osoby na przetwarzanie danych jej dotyczących (choć istnieje prawo bezwarunkowego sprzeciwu). Według Dariusza Kupieckiego ustawa, która początkowo miała dotyczyć przede wszystkim sektora publicznego, obecnie reguluje znacznie szerszy krąg spraw. Administracja natomiast, zgodnie z ustawą, ma prawo do przetwarzania danych, ale tylko w zakresie niezbędnym do wykonywania ustawowych zadań. Jarosław Deminet zwrócił uwagę, że ustawa określa jedynie zasady użycia narzędzia, jakim są środki przetwarzania danych. Będą niezbędne także bardziej szczegółowe regulacje sektorowe. Obecnie na przykład ustawa nie zabrania towarzystwom ubezpieczeniowym żądania od klientów zgody na przetwarzanie tzw. danych intymnych ich dotyczących. Tę sprawę powinno regulować prawo ubezpieczeniowe. Prawo o ochronie konsumenta powinno natomiast chronić przed oszukańczymi akcjami marketingowymi. Bogusław Jackowski podkreślił, że oczekuje od ustawy ochrony przez administrację i zwrócił uwagę na zagrożenia wynikające w ogóle z niedbałości producentów oprogramowania. Obecnie bardzo łatwo można nieświadomie przekazać swoje dane np. w postaci resztek informacji pozostającej w plikach tekstowych czy na dyskietkach. Często użytkownicy nie mają także kontroli nad tym, czy i jakie informacje są gromadzone przez programy w czasie ich pracy i np. przesyłane przez sieć. Jego propozycja, żeby takie programy opatrywać wielkimi informacjami „ten program zagraża twoim danym", pewnie nie spodoba się producentom...

Prowadzący odczytał list pana Mariusza Winklera ze Stowarzyszenia Marketingu Bezpośredniego. Stowarzyszenie jest zadowolone z kształtu ustawy, zresztą jego członkowie już wcześniej dobrowolnie poddawali się pewnym ograniczeniom. Istnieje np. tzw. lista Robinsona, zawierająca dane o osobach, które nie życzą sobie być adresatami marketingu bezpośredniego.

Co do rozumienia pojęcia „danych osobowych" rozwinęła się ciekawa dyskusja. Na pewno są to dane, które pozwalają zidentyfikować osobę, której dotyczą. Natomiast różnie może być rozumiany kontekst interpretacji tych danych. Czy np. ogólna informacja dotycząca wszystkich notariuszy w małym miasteczku podlega ochronie, jeśli wiadomo, że jest tam tylko jeden notariusz? Czy podlega ochronie wizerunek (zdjęcie lub nagranie wideo)? Czy operator sieci komórkowej ma prawo gromadzić dane o poruszaniu się swoich klientów? Ostateczna interpretacja i wykładnia będzie powstawać przy realizowaniu ustawy, natomiast wszyscy byli zgodni, że potrzebny jest jeszcze wzrost społecznej świadomości — ludzie sami muszą rozumieć istniejące zagrożenia.

W późniejszej dyskusji red. Tomasz Kulisiewicz z Teleinfo, wieloletni bojownik o prawo obywatela do prywatności, przedstawił świeży przykład pseudoankiety wysyłanej przez PZU do swoich klientów. Zawiera ona żądanie podania różnych danych w niejasnym celu (stworzenie jakiejś centralnej ewidencji) i potwierdzenia ich prawdziwości podpisem (co sugeruje ew. późniejsząodpowiedzialność za podanie nieprawdy). Obecny na sali przedstawiciel innej firmy ubezpieczeniowej natychmiast zaproponował zmianę ubezpieczyciela...

Obecni pytali także m.in.:

Co należy zrobić z bazami danych personalnych w przedsiębiorstwach? Obecnie są one praktycznie powszechnie dostępne. Odpowiedź prosta—w ciągu dwóch lat muszą być doprowadzone do zgodności z ustawą.

Co z bazami danych o mandatach nałożonych przez straże miejskie? Mogą być prowadzone tylko w zakresie wynikającym z ustaw pozwalających na nakładanie tych mandatów (czyli praktycznie dane o ukaranym powinny być kasowane po zapłaceniu mandatu).

Jakie dane o zabezpieczeniach systemu będą zapisane w jawnym rejestrze baz danych? Tylko ogólne, aby nie ułatwiać życia ewentualnym włamywaczom.

Sądząc po liczbie osób na sali i dyskusjach w podgrupach już po zakończeniu panelu, temat jest gorący. PTI na pewno jeszcze wiele razy będzie brać udział w wyjaśnianiu problemów związanych z tą tematyką.

J.D.