- Trudno mówić o niezależności prezesa urzędu, skoro jego zastępcy mają być narzucani przez ministrów - wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Ministerstwo Cyfryzacji przedstawiło pełny projekt nowej ustawy o ochronie danych osobowych. Jakie są pani pierwsze wrażenia?
Lekkie rozczarowanie. Cieszę się jednak, że projekt wreszcie został przedstawiony opinii publicznej. Tym bardziej że nie mówimy tu wyłącznie o nowej ustawie o ochronie danych, ale przede wszystkim o zawartych w drugim akcie zmianach przepisów sektorowych.
Szczegółowo analizujemy te projekty, bo w tej wersji poznaliśmy je – tak jak wszyscy – przed tygodniem. Dotychczas zgłaszaliśmy uwagi jedynie do wcześniejszych szczątkowych wersji projektu ustawy o ochronie danych osobowych. Po analizie wypowiemy się odnośnie rozwiązań zawartych w obu projektach ustaw.
Dzisiaj chciałabym jednak zaznaczyć, że wbrew propagandowemu przekazowi, który słyszymy, to nie przygotowana przez Ministerstwo Cyfryzacji ustawa wprowadza rewolucję w ochronie danych osobowych. Rewolucją jest unijne rozporządzenie, które ustawa ma jedynie doprecyzować. Nie chciałabym, aby administratorzy danych osobowych z dostosowywaniem się do nowych zasad przetwarzania danych czekali na uchwalenie ustawy, bo przecież określają je przepisy rozporządzenia, które już weszło w życie, a jedynie od maja 2018 r. zacznie być bezpośrednio stosowane.
Trudno jednak odmówić wagi ustawie, która reguluje choćby sposób działania organu stojącego na straży ochrony prywatności. Przez wiele miesięcy zastanawialiśmy się, czy nowe przepisy zapewnią mu niezależność. Zapewniają?
Mam co do tego poważne wątpliwości. Unijne rozporządzenie potwierdza wysokie standardy dotyczące niezależności organu, rozwinięte w Unii Europejskiej na przestrzeni ostatnich lat. Jednym z elementów tego standardu jest zapewnienie, by osoba piastująca funkcję organu miała swobodę w wyborze jego personelu. Tymczasem projekt Ministerstwa Cyfryzacji wprowadza bardzo niebezpieczny sposób powoływania zastępców prezesa Urzędu Ochrony Danych Osobowych (UODO), mogący prowadzić do upolitycznienia instytucji, która dotąd była niezależna i fachowa. Zastępców ma powoływać bowiem premier, na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji. Trudno chyba w tej sytuacji mówić o niezależności urzędu. Takie rozwiązanie będzie stanowiło naruszenie unijnego rozporządzenia oraz art. 16 traktatu o funkcjonowaniu Unii Europejskiej. Szczególnie wobec wyraźnej linii orzeczniczej Trybunału Sprawiedliwości UE, który w jednej ze spraw podkreślił niebezpieczeństwo zaistnienia przewidywanego posłuszeństwa organu nadzorczego w sytuacji, kiedy organ kontrolujący państwa miałby choćby polityczny wpływ na decyzje organu nadzorczego. Dlatego boję się negatywnych konsekwencji w postaci postępowania przed Trybunałem Sprawiedliwości.
Ministerstwo Cyfryzacji tłumaczy ten nietypowy sposób powoływania zastępców prezesa UODO koniecznością współpracy między nim a dwoma resortami, w których gestii znajduje się ochrona danych osobowych.
Takie podejście świadczy o niezrozumieniu istoty niezależności organu ochrony danych osobowych. Współpraca, oczywiście, jest konieczna i od zawsze współpracujemy ze wszystkimi instytucjami. Jednocześnie jednak mamy za zadanie kontrolować przestrzeganie prawa przy przetwarzaniu danych osobowych. Rodzi się więc pytanie, czy jest to możliwe w sytuacji, gdy zastępcy prezesa UODO są narzuceni przez dwa resorty, które mają wpływ na najistotniejszą bazę danych w Polsce, czyli bazę PESEL. Czy w proponowanym modelu można jeszcze mówić o odpowiedzialności za rejestry publiczne? Bo mam co do tego poważne wątpliwości.
Pytanie tym bardziej uzasadnione, że GIODO właśnie ogłosił wyniki kontroli dotyczącej bazy PESEL. Do czego macie zastrzeżenia?
Kontrola GIODO przeprowadzona w Ministerstwie Cyfryzacji wykazała, że minister – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy, stwarzając poważne zagrożenie dla bezpieczeństwa danych Polaków, które są przetwarzane w tym rejestrze. Główne zarzuty są cztery: brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych, przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych, brak w aplikacji, za pośrednictwem której realizowany jest dostęp funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze, a także niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.
Te naruszenia spowodowały m.in. to, że komornicy mogli masowo pobierać dane z rejestru bez żadnego uzasadnienia. Wprawdzie mają prawo korzystać z tych zasobów, ale nie mają prawa, by zbierać i wykorzystywać dowolne dane osobowe, bez związku z prowadzonymi postępowaniami. Obowiązkiem administratora danych jest zaś, zgodnie z obecną ustawą o ochronie danych osobowych, a wkrótce także z rozporządzeniem, zapewnienie kontroli nad tym, kto i do których danych ma dostęp.
W kontekście głównego tematu naszej rozmowy warto zaś zadać sobie pytanie, jak potoczyłaby się taka sprawa, gdyby dwóch moich zastępców było powołanych na wniosek ministra cyfryzacji.
Ale ostatecznie to prezes będzie podejmował decyzję w sprawie kontroli przeprowadzanych w ministerstwach. I będzie przecież ona autonomiczna, choćby nie wiem co mówili jego zastępcy.
Tym bardziej warto więc zastanowić się, dlaczego zastępcy mają być wskazywani przez ministrów i powoływani przez premiera. Trudno wyobrazić sobie pracę urzędu, którego szef nie współpracuje ze swoimi zastępcami. A tak by było w sytuacji, którą pan przedstawia. Prezes podejmowałby decyzję wbrew swoim zastępcom. Zresztą stwarzamy tutaj zupełnie dysfunkcyjny model zarządzania organem.
Zmieni się też sposób powoływania samego prezesa. Będzie wybierany przez Sejm, ale na wniosek premiera.
I znów mogłabym postawić pytanie, dlaczego wyższe standardy mamy zastępować niższymi? Obecny sposób zgłaszania kandydata przez grupę 35 osób zapewnia większą apolityczność i niezależność. Metoda zaproponowana przez Ministerstwo Cyfryzacji jest jednak zgodna z unijnym rozporządzeniem, dlatego trudno ją podważać. W przeciwieństwie do sposobu wybierania zastępców prezesa.
W trakcie prac nad projektem pojawiały się pytania, czy utworzenie UODO nie będzie stanowić pretekstu do skrócenia pani kadencji. Ostatecznie jednak zostanie pani w sposób automatyczny pierwszym prezesem nowego urzędu.
Żaden z przepisów przejściowych projektu ustawy na to nie wskazuje. Owszem, nie ma regulacji, które skracałyby moją kadencję, nie ma jednak również takich wskazujących na to, że dotychczasowy GIODO zostaje prezesem UODO. Proszę jednak zwrócić uwagę, że uchyla się ustawę o ochronie danych osobowych, na podstawie której GIODO działa. Takie rozwiązanie nie jest zgodne z prawem UE.
Jest przepis mówiący o tym, że wszyscy pracownicy GIODO automatycznie stają się pracownikami UODO.
Ja nie jestem pracownikiem, dlatego art. 231 kodeksu pracy mnie nie dotyczy.
Jednym z najważniejszych celów nowej ustawy ma być skrócenie postępowań. Co do zasady mają się kończyć w ciągu miesiąca. Aby było to możliwe, Ministerstwo Cyfryzacji przewiduje podwojenie budżetu i etatów. To wystarczy?
Cieszę się, że ministerstwo dostrzega potrzebę wzmocnienia urzędu, o którą zabiegałam nie tylko ja, ale i wszyscy moi poprzednicy. Propozycje są do pewnego stopnia zbieżne z naszym wnioskiem budżetowym, co powinno pozwolić na sprawne funkcjonowanie. Samo wsparcie finansowe i kadrowe nie oznacza jednak, że będziemy w stanie każde postępowanie kończyć w ciągu miesiąca. Decyzje wydawane przez GIODO nie opierają się bowiem na prostym sprawdzeniu przesłanek formalnych. Prowadzone przez nas postępowanie to nic innego jak spór, w którym są dwie strony. Obydwu powinniśmy dać możliwość wypowiedzenia się i obydwu racje wyważyć.
Odpowiadając wprost – na pewno czy ja, czy inny prezes, będziemy robić wszystko, aby dochowywać terminów narzuconych przez ustawodawcę. Warto jednak pamiętać, że nie będziemy startować od zera, gdyż nowy urząd będzie musiał kończyć postępowania wszczęte przez GIODO.
Pamiętajmy także, że zakres zadań organu nadzorczego jest dużo szerszy niż prowadzenie postępowań skargowych.
Co można zrobić, by usprawnić pracę urzędu?
Oprócz zwiększenia nakładów i usprawnienia wewnętrznych procedur nie ma jednego środka, który zapewniłby lepszą pracę urzędu. To wymaga wielu działań i kompleksowego podejścia. Musimy zacząć od uproszczenia procedury postępowania przed GIODO, obecnie bardzo sformalizowanej ze względu na stosowanie kodeksu postępowania administracyjnego. Pracujemy także nad nową strukturą organizacyjną Biura GIODO, w oparciu o analizę procesów wynikających z nowych przepisów. Wreszcie rozpoczęliśmy proces upraszczania języka w komunikacji z naszymi klientami. Wbrew pozorom to szalenie istotne, by pisma kierowane do stron były możliwie proste i zrozumiałe.
Na co zwracacie uwagę przedsiębiorcom czy urzędnikom przetwarzającym dane, aby przygotować ich do nowych przepisów?
Prowadzimy akcję uświadamiania od podstaw, szkoląc chociażby ABI. Przeszkoliliśmy już ponad tysiąc osób, pełniących taką funkcję. Pomimo to wciąż można trafić na przedsiębiorców, którzy nie zdają sobie sprawy, że także ich obowiązują regulacje o ochronie danych osobowych. Z drugiej strony przepisy te, a zwłaszcza rozporządzenie, zaczynają obrastać mitami. Ostatnio usłyszałam, że nowe regulacje zakazują instalowania klamek w gabinetach lekarskich i będą one musiały zostać wymienione na gałki, tak by nikt nieproszony nie mógł wejść do gabinetu. Proszę nie pytać, skąd wzięło się takie przekonanie.
A na serio – przede wszystkim zwracamy uwagę na zmianę perspektywy. Administratorzy muszą zdawać sobie sprawę, że to na nich spocznie teraz większa samodzielność i związana z tym odpowiedzialność za to, jak przetwarzane będą dane.
Ta odpowiedzialność będzie miała także konkretny wymiar finansowy. Mam na myśli kary nakładane przez urząd. Resort cyfryzacji zmienił pierwotne założenia i ostatecznie postanowił, że kary będą też groziły administracji publicznej. To dobrze?
Oczywiście, że dobrze, choć mam wątpliwość, czy ich wysokość będzie stanowiła wystarczającą motywację dla administracji publicznej. Dysproporcja w karach wydaje mi się jednak zbyt duża. 20 mln euro dla sektora prywatnego, a tylko 100 tys. zł dla publicznego. A przecież może chodzić praktycznie o taką samą działalność. Mam na myśli choćby służbę zdrowia, która funkcjonuje zarówno prywatnie, jak i publicznie. Ten sam wyciek danych pacjentów będzie zagrożony niewspółmiernie różnymi karami.