14

GIODO o aferze PRISM – dlaczego USA są niebezpieczne [wywiad]

Afera PRISM od czasu ujawnienia jej na łamach przez brytyjskiego „Guardiana” cały czas budzi kontrowersje i bulwersuje. Chodzi w końcu o ochronę naszych, jakże cennych, danych osobowych. Dlatego najlepszym miejscem wyjaśnienia niejasności z nią związanych jest rozmowa z Generalnym Inspektorem Ochrony Danych Osobowych. Wojciech Wiewiórowski jest bardzo zaskoczony nagłą popularnością jaką PRISM sobie zdobył. Od […]

Afera PRISM od czasu ujawnienia jej na łamach przez brytyjskiego „Guardiana” cały czas budzi kontrowersje i bulwersuje. Chodzi w końcu o ochronę naszych, jakże cennych, danych osobowych. Dlatego najlepszym miejscem wyjaśnienia niejasności z nią związanych jest rozmowa z Generalnym Inspektorem Ochrony Danych Osobowych. Wojciech Wiewiórowski jest bardzo zaskoczony nagłą popularnością jaką PRISM sobie zdobył. Od dawna bowiem wiadomo było, że rozwiązania takie istnieją, a amerykańskie prawo tak naprawdę chroni tylko dane amerykanów – „Stany Zjednoczone nie są krajem bezpiecznym jeśli chodzi o przetwarzanie danych osobowych”.

Kilka ostatnich dni to odkrywanie nowych kart wokół afery ujawnionej przez brytyjskiego „Guardiana”, czy powinniśmy się obawiać PRISM?

Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych: Projekt PRISM znam jedynie z doniesień „Guardiana”, z odpowiedzi władz amerykańskich na ten materiał oraz z dyskusji, która się wokół niego toczy. Niemniej jego istnienie nie jest dla mnie żadnym zaskoczeniem. Od dawna mówi się, i to powszechnie, że tego typu rozwiązania istnieją, a co więcej, są dozwolone przez prawo amerykańskie – ustawy takiej jak Patriot Act czy FISAA, która w 2008 roku została zmieniona pod kątem Internetu. Na ich mocy, jeżeli zbiory informacyjne znajdują się poza granicami Stanów Zjednoczonych i nie dotyczą obywateli amerykańskich, służby specjalne Stanów Zjednoczonych mogą je przeglądać nawet bez nakazu sądowego w ramach działań poświęconych bezpieczeństwu narodowemu.

W związku z tym nie jestem zaskoczony, ale też nie jest tak, że nie patrzę na to bez obaw. Przeraża mnie też, że informacja, która pojawiła się w „Guardianie”, stała się z miejsca takim nagłym newsem, w sytuacji, kiedy użytkownicy Internetu powinni być od dawna świadomi, że podmioty działające w sieci mają pewne obowiązki publicznoprawne.

Polskie firmy też są obwarowane pewnymi prawami.

Tak, polscy operatorzy telekomunikacyjni i dostawcy usług internetowych mają obowiązki wobec polskich służb, tak też jest w Stanach Zjednoczonych. Różnica polega na tym, że o ile prawo europejskie, a co za tym idzie prawo polskie, chroni w tym zakresie prawa człowieka, o tyle prawo amerykańskie chroni prawa tylko obywateli Stanów Zjednoczonych. Obowiązki polskich przedsiębiorców wobec policji i służb są znacznie bardziej ograniczone.

Akty takie jak FISAA czy Patriot Act określają dokładnie, warunki bezpieczeństwa i konstytucyjne wartości, jakie powinny być przestrzegane w przypadku wykorzystywania danych obywateli amerykańskich, natomiast w żaden sposób nie regulują tych kwestii, jeśli chodzi o dane wszystkich obcokrajowców, zarówno Afgańczyków czy Irakijczyków, jak i Polaków czy Brytyjczyków.

Unia Europejska nie traktuje Stanów Zjednoczonych jako obszaru o porównywalnym poziomie ochrony danych osobowych. Stąd też wątpliwości unijnych rzeczników ochrony danych osobowych co do przechowywania danych osobowych np. w chmurach obliczeniowych, które są prowadzone przez podmioty amerykańskie.

W związku z tym najlepiej byłoby zrezygnować np. z poczty elektronicznej obsługiwanej przez Google’a?

Oczywiście zapewne dałoby to zamierzony efekt. Problem polega na tym, czy istnieją konkurencyjne rozwiązania polskie lub nawet europejskie, z których użytkownicy chcieliby korzystać. Jesteśmy zwolennikami podnoszenia świadomości użytkowników Internetu w zakresie tego, co dzieje się z ich danymi. Jeżeli korzystają z serwisów amerykańskich, to muszą być świadomi tego, że ich dane będą podglądane, podsłuchiwane i oceniane przez różne podmioty zagraniczne, co może zostać wykorzystane dla celów, których nie znamy.

Jednak propozycja ta na obecny moment jest dość trudna do zrealizowania, czy np. Pan wystrzega się korzystania z amerykańskich stron internetowych?

Korzystam z usług amerykańskich firm, np. kupuję książki za Oceanem, jestem użytkownikiem serwisów społecznościowych, które są własnością tych podmiotów. Zdaje sobie sprawę z tego, że każda informacja, którą tam przekażę, jest informacją, która może zostać wykorzystana na moją korzyść lub niekorzyść.

Dlatego jeśli przetwarzamy istotne dla nas dane – np. finansowe, zdrowotne, ale i dotyczące naszego życia prywatnego, które chcemy zabezpieczyć przed dostępem służ specjalnych – nie powinniśmy korzystać z serwisów pochodzących z krajów niezapewniających wystarczającej ochrony danych osobowych.

Stany Zjednoczone są niebezpieczne?

Jeszcze raz podkreślę, że Stany Zjednoczone nie są krajem bezpiecznym jeśli chodzi o przetwarzanie danych osobowych.

Jednak Internet nie ma granic, czy Unia może jakoś wpłynąć na polepszenie obrazu sytuacji?

Założeniem aktualnie procedowanej reformy prawa ochrony danych osobowych w Europie jest to, że każdy podmiot, który chce oferować swoje usługi na terenie Unii, powinien zgodzić się na zasady ochrony danych, które na terenie Wspólnoty uważane są za wiążące. Potwierdzeniem spełniania unijnych reguł może być przeprowadzenie procedury uznania jakiegoś kraju za stosujący adekwatne metody ochrony lub wprowadzenie przez konkretnego przedsiębiorcę tzw. wiążących reguł korporacyjnych.

Te serwisy, o których wspominaliśmy, nie posiadają takich wiążących reguł korporacyjnych. Natomiast Unia Europejska w najbliższych latach z pewnością będzie zachęcała podmioty amerykańskie do tego, by – o ile chcą świadczyć usługi na rynku europejskim – dostosowały się do tych reguł bezpieczeństwa, które obowiązują w Europie, gdyż w przeciwnym przypadku, delikatnie mówiąc, nie będą promowane.

Czy w takim razie Polska może samodzielnie wprowadzić jakieś mechanizmy kontroli?

Nie wierzę w możliwość wprowadzenia oddzielnej kontroli na terenie Polski – jesteśmy częścią wspólnego rynku europejskiego i w zakresie swobody przepływu danych powinniśmy traktować Europę jako obszar, na którym obowiązują taka sama kultura i podstawy prawne. Chociaż oczywiście są takie zakresy informacyjne, które nie powinny być przetwarzane poza terem Polski, jak chociażby informacje niejawne np. o stanie bezpieczeństwa państwa. One nie powinny być przetwarzane nawet na serwerach w Niemczech, Słowacji czy Litwie, niezależnie od tego, jak bardzo zaprzyjaźnione z nami są to kraje. Co do tego nie mam wątpliwości.

Mam nadzieję, że Europa będzie obszarem, na którym dane osobowe będą odpowiednio chronione. Natomiast wystrzegałbym się wprowadzania rozwiązań irańskich, rosyjskich czy chińskich, zgodnie z którymi, wszystkie informacje mają być przetwarzane wyłącznie na serwerach w znajdujących się w tych krajach. Wdrożenie tego typu pomysłu jest prawie niemożliwe bez ograniczenia Internetu. Internet jest bowiem siecią, a dane przenikają pomiędzy różnymi węzłami. Jeżeli taką sieć chcemy ograniczyć tylko do obszaru kraju, to znaczy, że chcemy wprowadzić system, gdzie kraj będzie nadzorował Internet. Wymienione przeze mnie państwa chcą doprowadzić do sytuacji, w której same będą pilnowały każdego serwera, jaki znajduje się ich terytorium, co oczywiście oznacza, że będą miały do niego dostęp. Tylko wtedy bowiem możemy mieć pewność, że żaden serwer nie przekazuje żadnej informacji na zewnątrz. Nie jestem zwolennikiem odgórnego wprowadzania własnego, narodowego Internetu, który byłby „bezpieczny” z tego powodu, że jest nadzorowany przez służby państwa, na terenie którego działa.

Czy poza wyżej wymienionymi krajami panuje w tym temacie wolna amerykanka?

Nie mam wątpliwości, że Internet nie jest przez nikogo w całości kontrolowany ani nadzorowany, jest najwyżej przeglądany i odsiewany przez podmioty amerykańskie. Jednak nie wylewajmy dziecka z kąpielą. To nie jest tak, że w związku z uprawnieniami służb amerykańskich, powinniśmy zamknąć się we własnej twierdzy, a jej zabezpieczenie powierzyć polskim służbom specjalnym. To też nie jest rozwiązanie problemu.

Myślę, że bardzo ważną kwestią, którą trzeba brać pod uwagę przy dyskusji o tych „rewelacjach” dotyczących amerykańskiej inwigilacji, jest rozróżnienie informacji o ruchu w sieci od informacji o treści korespondencji. Przecież polskie służby specjalne czy Policja też mogą przeglądać dane o ruchu w sieci, na co zezwalają im przepisy Prawa telekomunikacyjnego. Polska Konstytucja stoi jednak na straży tajemnicy treści korespondencji. Tymczasem amerykańskie prawo takiego rozwiązania nie przewiduje. Natomiast to, co w doniesieniach o amerykańskiej inwigilacji mnie zszokowało, to informacja, że jeśli dane mają zostać przekazane na mocy nakazu sądowego, to ten nakaz jest bardzo ogólny, blankietowy, gdyż nakazuje przekazanie praktycznie całości danych bez określenia, do czego będą wykorzystane. W Polsce też mamy podobne nakazy, jednak są one szczegółowe i określają, że o ile toczy się przeciwko komuś postępowanie przygotowawcze lub sądowe, to na podstawie nakazu sądowego można pozyskiwać określone dane, ale tylko w zakresie, który dotyczy prowadzonego postępowania. Natomiast w przypadku działań ujawnionych przez „Guardiana” mamy do czynienia z działaniami przesiewowymi – mającymi wyłowić ludzi, którzy byliby z jakiś względów interesujący. Przy czym amerykańskie prawo ogranicza tego typu działania jedynie w stosunku do obywateli amerykańskich.

Jak by Pan skomentował ostatnie doniesienia w sprawie TTIP. Komisarz unijny Karel de Gucht, który rok temu forsował ACTA, powiedział ostatnio, tu cytat: „Nie można negocjować otwarcie”.

W tej sprawie jestem uprawniony jedynie do tego, aby wypowiadać się o kwestii ochrony danych osobowych, bo leży ona w zakresie moich kompetencji. Trzeba zaś podkreślić, że zagadnienie to jest jedynie częścią proponowanych zapisów. Natomiast to oczywiste, że chcielibyśmy, aby rozmowy były bardziej otwarte. Pragnę przypomnieć, że rok temu GIODO, jeszcze przed eskalacją społecznego niezadowolenia spowodowaną ustawą ACTA, kierował otwarte pismo w tej sprawie do polskiego rządu.

Na koniec chciałbym jeszcze zapytać o bezpieczeństwo naszych danych w kontekście coraz śmielej poczynających sobie grup hakerskich?

Poziom tego typu zabezpieczeń naszego kraju jest coraz większy, choć wciąż niewystarczający. Ogromną bolączką jest fakt, że Polska nie ratyfikowała jeszcze Konwencji Rady Europy z 2001 roku dotyczącej cyberprzestępczości (tzw. konwencji budapeszteńskiej). W mojej ocenie problemem jest także to, że w polskim prawie istnieją rozwiązania, które wymagają zmian bowiem zupełnie nie spełniają swojej roli, jak np. art. 269b Kodeksu karnego odnoszący się do tzw. narzędzi hakerskich.

Foto