Za rok zaczną obowiązywać przepisy unijnego rozporządzenia o ochronie danych osobowych. W Ministerstwie Cyfryzacji trwają intensywne prace nad nową ustawą, GIODO jednak w nich nie uczestniczy. Nie czuje się pani odsunięta?

Gospodarzem prac legislacyjnych jest Ministerstwo Cyfryzacji. My jesteśmy, oczywiście, otwarci na współpracę, jesteśmy przecież urzędem, który ma dwudziestoletnie doświadczenie w ochronie danych osobowych. Chyba nikt nie jest lepiej od nas zorientowany nie tylko w bieżących problemach, bo to przecież do nas trafiają skargi obywateli i to my kontrolujemy tych, którzy przetwarzają dane osobowe, ale również w przepisach unijnego rozporządzenia i dyrektywy, które powstawały przy naszym eksperckim udziale. To my, pracując w Grupie Roboczej art. 29, współtworzymy wytyczne do rozporządzenia, to my z polskimi instytucjami i wszystkimi zainteresowanymi konsultujemy brzmienie tych dokumentów. Mamy też wreszcie doświadczenie we współpracy z organami ochrony danych z innych państw, z krajowymi organizacjami społecznymi i branżowymi, z którymi zawarliśmy kilkanaście porozumień o współpracy, uczestniczymy w pracach legislacyjnych nad wieloma aktami prawnymi, które odnoszą się do przetwarzania danych osobowych w poszczególnych obszarach.

Czy Ministerstwo Cyfryzacji z tego doświadczenia korzysta?

Niestety, w bardzo niewielkim zakresie. Przedstawiamy swoje propozycje, licząc, że zostaną uwzględnione podczas prac legislacyjnych. Ostatecznie chodzi przecież o to, by polski system ochrony danych osobowych był na jak najwyższym poziomie.

Mam wrażenie, że koncepcje przedstawiane przez GIODO i MC są tak rozbieżne, że nie da się ich pogodzić. Wy proponujecie, by skargi były rozpoznawane w ciągu 6 miesięcy, projekt ministerstwa jako podstawowy termin wyznacza 30 dni.

Nasze propozycje, przedstawione już w styczniu 2017 r., były kompleksowe i dotyczyły całej procedury postępowania przed organem, a nie tylko prowadzenia postępowań skargowych. Ponadto wynikały z owego dwudziestoletniego doświadczenia. Zaproponowaliśmy m.in. możliwość prowadzenia swego rodzaju mediacji, bez wszczynania postępowania właściwego, bo może się okazać, że po prostu nie będzie potrzeby jego prowadzenia. Dlatego zarzut, że chcemy maksymalnie ułatwić sobie życie, przyznając półroczny termin na rozpoznanie sprawy, jest niesprawiedliwy. Na naszą propozycję trzeba patrzeć kompleksowo, a nie tylko przez pryzmat tego terminu, który jest terminem końcowym.

Co do projektu Ministerstwa Cyfryzacji – nie wierzę w koncepcję stworzenia superurzędu, który w ciągu 30 dni będzie w stanie rozstrzygać skargi. Nasze decyzje nie są wydawane na podstawie przesłanek formalnych, wymagają pogłębionych analiz stanu faktycznego, niejednokrotnie wielowymiarowego. Mówimy o podstawowych prawach człowieka. Myślę też, że pod rządami ogólnego rozporządzenia czas postępowań dodatkowo wydłuży się wobec mechanizmów transgranicznego rozpatrywania spraw.

Chce pani powiedzieć, że zakładany w projekcie MC termin 30 dni na wydanie decyzji jest nierealny?

Na pewno nie w tym momencie. Przedstawię dane za ubiegły rok – 2610 skarg od obywateli, 1205 wydanych decyzji, prawie 15 tys. wysłanych pism związanych ze skargami. A wszystko to obsługuje zespół liczący 25 osób. Przy czym wraz ze wzrostem świadomości społeczeństwa rośnie liczba skarg. W tym roku otrzymaliśmy ich już prawie tyle, ile wpłynęło w całym ubiegłym roku.

Dlatego też ma zostać powołany Urząd Ochrony Danych Osobowych, który zastąpi GIODO. Dostanie większy budżet, będzie zatrudniał więcej pracowników.

Rozumiem, że mówimy o superurzędzie, który będzie rozbudowany do poziomu Państwowej Inspekcji Pracy czy Najwyższej Izby Kontroli? Pytanie tylko, czy rząd rzeczywiście zamierza wydać tak olbrzymie środki na jego utworzenie i utrzymywanie. W 2016 r. budżet GIODO wyniósł niecałe 20 mln zł, podczas gdy budżet PIP prawie 318 mln zł, zaś NIK – blisko 271 mln zł. Nawet jeśli tak się stanie, to i tak uważam, że zakładany termin 30 dni na rozpatrzenie skargi i wydanie decyzji wydaje się nierealny. Jeśli mamy z pełną odpowiedzialnością mówić o rzetelnej pracy urzędu, to musimy racjonalnie określić ramy czasowe jego działania.

Zgodnie z zapowiedziami nowy urząd musi powstać, bo nazwa dotychczasowego organu mogłaby wprowadzać w błąd obywateli. Pojawią się bowiem na rynku inspektorzy ochrony danych, którzy mogliby być myleni z pracownikami GIODO. Przekonuje panią ta argumentacja?

Nie. Na poziomie unijnym mamy przecież europejskiego inspektora ochrony danych, który zgodnie z rozporządzeniem nr 45/2001 jest organem nadzorczym w zakresie przetwarzania danych osobowych przez organy i instytucje unijne, a w poszczególnych organach lub instytucjach powołuje się inspektorów ochrony danych i jakoś nikt nie obawia się, że to z nim będą oni kojarzeni. W Polsce mamy chociażby przykład Państwowej Inspekcji Pracy. Nikt dotychczas nie wyrażał obaw, że społeczni inspektorzy pracy mogą zostać omyłkowo wzięci za pracowników tego organu.

GIODO to marka powszechnie rozpoznawalna i zakodowana w świadomości społecznej. Może warto byłoby policzyć koszty prawne, społeczne czy wreszcie także finansowe związane z wprowadzeniem nowego urzędu. Czy stać nas na te wydatki w sytuacji, kiedy taka zmiana nie wydaje się konieczna?

Z powołaniem nowego urzędu wiąże się kolejny problem. Pani kadencja upływa w 2019 r., urząd zostanie utworzony za mniej niż rok. Czy pani zostanie jego prezesem do końca upływu kadencji?

Nie wiem, jak dotąd Ministerstwo Cyfryzacji nie przedstawiło żadnych rozwiązań w tym zakresie. Kluczowe jest jednak dla mnie co innego – zachowanie pełnej niezależności organu, który będzie się zajmował ochroną danych osobowych. To niezbędny warunek, by organ ochrony danych, stojąc na straży praw podstawowych, jakimi są prawo do prywatności i prawo do ochrony danych osobowych, jednakowo traktował administratorów danych ze sfery publicznej i prywatnej. Dziś mamy w tym względzie bardzo wysokie standardy, co potwierdza zresztą doktryna. GIODO jest zgłaszany i powoływany przez Sejm, co gwarantuje mu tę niezależność.

Są jednak kraje, w których odpowiednicy GIODO nie są powoływani przez parlament.

Są, i unijne rozporządzenie również tego nie wymaga. Pytanie jest inne – skoro mamy w tej chwili wysokie standardy gwarantujące niezależność GIODO, to czy powinniśmy z nich rezygnować. Moim zdaniem nie. Pamiętajmy, że jakiekolwiek zmiany instytucjonalne w tym zakresie muszą uwzględniać także bardzo wysokie standardy określone w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej.

Czy zmiana sposobu wyboru prezesa nowego urzędu osłabi jego niezależność?

Tego nie wiem, bo nie znam propozycji dotyczących sposobu wyboru nowego prezesa. W tej chwili nie mam więc do czego się odnieść.

Pozycja GIODO czy też prezesa nowego urzędu jest o tyle istotna, że rząd coraz bardziej ingeruje w naszą strefę prywatności. Powszechnie krytykowana jest ostatnia propozycja, by banki raz na dobę przesyłały wyciągi z rachunków bankowych przedsiębiorców. Pani zdaniem jest ona zgodna z prawem unijnym i polską konstytucją?

Dostrzegając wspomniane kontrowersje, wzięliśmy jednak pod uwagę istotę projektowanej regulacji, czyli przeciwdziałanie wyłudzeniom skarbowym przez przedsiębiorców, oraz to, że proponowane w projekcie ustawy kompetencje szefa Krajowej Administracji Skarbowej nie odbiegają zarówno zakresem, jak i pod względem dopuszczonych form działania od prerogatyw innych podmiotów powołanych do ścigania przestępstw. Poza tym w ustawie wskazano administratora danych, zdefiniowano cel przetwarzania danych, unormowano kwestię retencji, a sama ustawa to tylko jeden z elementów całego pakietu, który będzie jeszcze omawiany. To przesądziło, że na tym etapie prac legislacyjnych GIODO nie zgłosił uwag do proponowanych rozwiązań. Z pełną odpowiedzialnością mogę jednak zapewnić, że będziemy się przyglądać tym zmianom, także w kontekście adekwatności planowanych regulacji do zakładanych celów, czyli do uszczelnienia systemu podatkowego. Realizacja ważnego społecznie celu nie może bowiem odbywać się z naruszeniem ochrony danych osobowych obywateli.

Wróćmy do wdrażania unijnego rozporządzenia o ochronie danych. Polskich przepisów jeszcze nie mamy, ale znamy treść samego rozporządzenia. Czy na jego podstawie firmy lub urzędy administrujące danymi powinny już prowadzić przygotowania, aby sprostać nowym wymogom?

Dla wielu z nich to już ostatni moment, inaczej nie zdążą do maja 2018 r. Przepisy rozporządzenia weszły już w życie, a za rok zaczną być stosowane i egzekwowane. Administratorzy powinni więc już przygotowywać się do realizowania wprowadzonych przez nie zmian. Każdy inaczej, bo oczywiście w poszczególnych jednostkach sytuacje mogą być inne. Na stronie internetowej GIODO można znaleźć checklistę, którą przygotowaliśmy, by ułatwić administratorom zorientowanie się, na jakie problemy zwrócić uwagę w związku z nowymi przepisami.

Przede wszystkim muszą oni przeanalizować, w jaki sposób przeorganizować pracę firmy czy urzędu. Rozporządzenie zmienia bowiem podejście do ochrony danych osobowych. Teraz to administrator danych musi ustalić, jakie dane przetwarza, czy ma do tego podstawy prawne, oraz sam musi przeprowadzić ocenę ryzyka związanego z ich przetwarzaniem i określić, jakie zabezpieczenia zastosować.

Chyba jeszcze nigdy ochrona danych osobowych nie była tak popularnym tematem. Powód jest oczywisty – przewidziane w unijnym rozporządzeniu olbrzymie kary finansowe, których wysokość może nawet osiągnąć 20 mln euro. Przedsiębiorcy powinni się bać?

Przedsiębiorcy muszą się liczyć z tym, że kary będą dotkliwe. Bo takie mają być, co podkreślano wielokrotnie podczas prac nad unijnym rozporządzeniem. Sankcje mają działać odstraszająco, a więc muszą być odczuwalne dla administratorów, którzy nie przykładają wystarczającej wagi do ochrony danych.

Rozumiem strach przedsiębiorców, ale to nie on powinien skłaniać do przestrzegania przepisów. Nie kradnie się nie dlatego, że można za to trafić do więzienia, ale dlatego, że jest to złe. Podobne podejście powinno towarzyszyć myśleniu o ochronie danych osobowych. Myślmy o tym, co zrobić, by działać zgodnie z prawem, a nie będziemy musieli zastanawiać się nad karami.

Kary będą grozić wyłącznie przedsiębiorcom – administracji centralnej czy samorządowej już nie. Uważa pani to rozróżnienie za uzasadnione?

Nie, mamy tu bowiem do czynienia z nierównością podmiotów wobec prawa. Jaka jest różnica między szpitalem prywatnym a publicznym, jeśli chodzi o przetwarzanie danych osobowych? Wyobraźmy sobie wyciek danych, danych medycznych, a więc wrażliwych. Placówka publiczna nie poniesie żadnej odpowiedzialności finansowej, szpital prywatny będzie się musiał z nią liczyć. Z perspektywy osób, których dane zostały utracone, sytuacja jest taka sama. I jeden, i drugi podmiot utracił władztwo nad danymi, a pacjenci ponieśli taką samą szkodę. Warto zaznaczyć, że do tej pory w sektorze publicznym poziom zgodności z przepisami o ochronie danych osobowych zazwyczaj był wyższy niż w sektorze prywatnym. Czy tak będzie dalej – nie wiadomo.