- Jestem jak najdalsza od tego, by cieszyć się, że wreszcie będę dysponować biczem na przedsiębiorców - mówi w wywiadzie dla DGP dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych.
Urząd Ochrony Danych Osobowych ruszył z naborem nowych pracowników, poszukuje stu dodatkowych osób. Do jakich zadań?
W związku z RODO zmieniliśmy strukturę urzędu, odchodząc od podziału funkcjonalnego na rzecz podejścia problemowego. Mamy więc osobny zespół zajmujący się przetwarzaniem danych przez administrację publiczną, osobny zajmujący się biznesem, kolejny dedykowany jest służbie zdrowia, zatrudnieniu i szkolnictwu, a osobny – policji oraz wymiarowi sprawiedliwości. Chcemy, aby każdy z tych zespołów zajmował się swą tematyką kompleksowo – począwszy od legislacji, na nakładaniu kar skończywszy. Nie będzie więc osobnych działów zajmujących się samą tylko legislacją czy samymi kontrolami. Warto też wspomnieć o takich nowych strukturach urzędu, jak zespół ds. współpracy z administratorami czy zespół ds. analiz i strategii.
Które z tych zespołów będą mieć najwięcej pracy?
Na podstawie naszych dotychczasowych doświadczeń przewidujemy, że będą to zespoły zajmujące się przetwarzaniem danych w sektorach prywatnym i publicznym. Dlatego do nich właśnie poszukujemy najwięcej pracowników. Przy czym mówimy na razie tylko o naszych założeniach. Będziemy reagować na bieżąco i jeśli okaże się, że któryś z zespołów ma więcej pracy, a któryś mniej, będziemy przesuwać pracowników.
Uda się ich zwerbować? Pytam, bo w związku z RODO nawet kancelarie prawne mają problem ze znalezieniem pracowników, a one przecież płacą dużo więcej, niż może zaoferować UODO.
To nie jest wyłącznie nasz problem, tylko całej administracji publicznej. Zawsze tak jednak było, a jakoś udawało nam się funkcjonować i śmiem twierdzić, że właśnie u nas, mimo niższych zarobków, są najlepsi specjaliści. Dla wielu osób ważniejsza od wysokich zarobków jest praca w zespole fachowców i realizacja ambitnych zadań. Dlatego mam nadzieję, że także teraz uda nam się znaleźć ludzi z pasją, dla których pieniądze nie są na pierwszym miejscu.
Skompletowanie pełnego zespołu na pewno zajmie co najmniej kilka miesięcy. A co do tego czasu? Z czym będziecie gotowi w pierwszym okresie stosowania RODO?
Z wszystkim, z czym musimy być gotowi. Będziemy realizować wszystkie zadania, jakie nakłada na nas RODO. Będziemy m.in. rozpatrywać skargi, doradzać, kontrolować, przyjmować zgłoszenia o naruszeniach, edukować. Są jednak pewne czynności, których na razie nie możemy wykonywać z powodów obiektywnych.
Czyli?
Przykładem może być certyfikacja. Pierwszego certyfikatu na pewno nie wydamy w pierwszych dniach ani w pierwszych tygodniach po rozpoczęciu stosowania RODO, ani nie zrobią tego przewidziane przez RODO podmioty certyfikujące. Pamiętajmy, że nie tylko organ będzie wydawał certyfikaty, ale także działające na zasadach rynkowych podmioty certyfikujące. Wydawane mogą być również certyfikaty europejskie. Zatem model certyfikacji jest bardziej kompleksowy, a dla swojej skuteczności wymaga rzetelnego podejścia i zharmonizowania na poziomie wszystkich państw członkowskich UE. Z jednej strony Europejska Rada Ochrony Danych jeszcze pracuje nad wytycznymi dotyczącymi m.in. kryteriów oceny mechanizmów certyfikacji, które będą stanowiły pewien wspólny standard uwzględniany przez krajowe organy ochrony danych. Z drugiej strony podmioty certyfikujące będą mogły być poddane akredytacji przez Polskie Centrum Akredytacji, gdy zostaną wydane kryteria akredytacji zgodne z RODO, które wcześniej musimy przedstawić Europejskiej Radzie Ochrony Danych w celu zaopiniowania.
Docelowo jednak UODO będzie wydawał takie certyfikaty?
I RODO, i ustawa stanowią, że może je wydawać, i tak pewnie będzie. Nie chciałabym jednak, żeby UODO zawłaszczył rynek certyfikatów, skoro mają być one również wydawane przez prywatne akredytowane podmioty. Certyfikaty wydawane przez Urząd Ochrony Danych Osobowych będą raczej uzupełnieniem tego, co pojawi się na rynku.
Nowym zadaniem urzędu jest przyjmowanie zgłoszeń o naruszeniach ochrony danych osobowych, np. o ich wycieku. Według szacunków resortu cyfryzacji może to być nawet 50 tys. zgłoszeń w ciągu roku. Jesteście przygotowani do przyjmowania tak dużej liczby sygnałów?
Wydaje mi się, że te szacunki są nieco na wyrost, choć trudno oczywiście stwierdzić to z całą pewnością. Tak duża liczba zgłoszeń będzie mogła świadczyć o dwóch rzeczach. Albo jest bardzo źle i dochodzi do tak wielu naruszeń, co znaczy, że dane osobowe nie są właściwie zabezpieczone, albo też panuje taki strach, że wszyscy bezrefleksyjnie zgłaszają nawet najmniejsze niedociągnięcia, choć nie ma wcale takiej potrzeby. Przypominam, że zgłaszanie naruszeń nie jest konieczne, jeśli jest małe ryzyko, by wiązały się one z naruszeniem praw i wolności obywateli.
Odpowiadając zaś na pytanie – jesteśmy przygotowani do przyjmowania zgłoszeń. Udostępniamy na stronie internetowej specjalny formularz, który ma pomóc administratorom w ich przesyłaniu.
Czego się pani boi w pierwszym okresie funkcjonowania RODO?
Trochę obawiam się tego, jak administratorzy odczytają regulacje nowego systemu ochrony danych osobowych. Ci, którzy podeszli do wdrożenia RODO ze spokojem, z odpowiednim wyprzedzeniem, nie powinni mieć większych problemów ze spełnieniem nowych obowiązków. Boję się natomiast o tych, którzy nie przygotowali się wcześniej i działają na ostatnią chwilę. Niestety w szumie medialnym, który jest związany z RODO, pojawia się wiele mitów czy półprawd, które jeszcze bardziej komplikują ich sytuację. A to może spowodować, że zostaniemy zasypani pytaniami czy prośbami o interpretacje, z których wiele nie będzie miało z RODO nic wspólnego. Bardzo bym chciała, żeby RODO się przyjęło, bo to jest dobre prawo i dużo bardziej racjonalne, niż niektórzy je przedstawiają. Zdaję sobie jednak sprawę, że może to nie być łatwe.
Spodziewa się pani zalewu skarg od obywateli w pierwszym okresie stosowania RODO?
Wierzę w racjonalność obywateli, ale nie wykluczam, że liczba skarg rzeczywiście znacznie wzrośnie, zwłaszcza w początkowym okresie. Zrozumienie nowych przepisów na pewno będzie wymagało czasu. Słysząc o prawie do bycia zapomnianym, ludzie mogą domagać się natychmiastowego usuwania wszystkich danych, nie zdając sobie sprawy, że nie zawsze będzie to możliwe. Niekiedy tych żądań administratorzy nie będą mogli spełnić, gdyż będą bezzasadne, choćby z uwagi na ciążący na administratorze prawny obowiązek przetwarzania danych w określonej sytuacji wynikający z przepisów szczególnych. Już teraz mamy pytania, czy jak uczeń skończy szkołę, to rodzic będzie mógł żądać usunięcia wszystkich danych z e-dzienników.
A będzie mógł?
Oczywiście, że nie, bo nadal będzie podstawa do przetwarzania tych danych. Zasady prowadzenia dokumentacji związanej z edukacją, w tym prowadzenie dziennika elektronicznego, określono w wydanym na podstawie ustawy – Prawo oświatowe rozporządzeniu ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji. Określa ono, że w terminie 10 dni od dnia zakończenia roku szkolnego dane stanowiące dziennik elektroniczny zapisuje się na informatycznym nośniku danych. Sposób zapisu tych danych ma umożliwić zarówno późniejsze ich sprawdzenie, jak i ich integralności. Dane przetwarzane przez szkoły są niekiedy potrzebne choćby do wydania odpisów świadectw.
Prawo do bycia zapomnianym rzeczywiście urosło do jednego z najważniejszych uprawnień wprowadzanych przez RODO. Chyba niesłusznie.
Przyznaję, że nie wiem dlaczego, bo przecież w uzasadnionych sytuacjach już wcześniej można było żądać usunięcia danych. Jest wiele uprawnień, które w mojej opinii mogą przynieść większe korzyści obywatelom, a o nich się nie mówi. Weźmy chociażby prawo do przenoszenia danych. To, że użytkownik portalu społecznościowego będzie mógł poprosić administratora portalu o przeniesienie swoich danych, bo chce mieć profil na innym portalu, będzie stanowić naprawdę duże udogodnienie, a obawiam się, że niewiele osób zdaje sobie sprawę z takiej możliwości.
Jeśli będzie więcej skarg, to pewnie także więcej kontroli. UODO jest na to przygotowany?
Tak, choć pod względem samego procesu decydowania o kontrolach nic się nie zmienia – tak jak dotychczas będziemy wstępnie oceniać skargi pod względem ich zasadności i decydować o wszczęciu kontroli tam, gdzie uznamy to za uzasadnione. Przy ich prowadzeniu pomóc ma nowa struktura – zespół, który od początku będzie zajmował się skargą, nie będzie musiał zlecać innemu zespołowi przeprowadzenia kontroli, tylko sam ją przeprowadzi w ramach rozstrzygania skargi. Będzie to skuteczniejszy i szybszy sposób rozpoznawania sprawy.
Na koniec pytanie o to, czego wszyscy boją się najbardziej, czyli o kary finansowe. Będzie pani surowa przy ich wymierzaniu?
Traktuję kary jako narzędzie co prawda nowe, ale zupełnie normalne. Ponadto to jedno z wielu innych, które ma do dyspozycji organ nadzorczy, jak choćby upomnienia, ostrzeżenia czy nakazy. Jeśli uznamy, że kara będzie musiała być zastosowana, to ją zastosujemy, jeśli nie, to nie. Odsyłam do przesłanek z rozporządzenia, które jasno wskazują, kiedy kara ma być wymierzona. Jestem jak najdalsza, by cieszyć się z tego, że wreszcie będę dysponować biczem na przedsiębiorców. Podchodzę do kar w sposób bardzo odpowiedzialny, tym bardziej że zdaję sobie sprawę, jak wielkie emocje wywołuje ich dopuszczalna wysokość. Na pewno przed ich wymierzeniem zastanowię się nie raz i nie dwa razy. Z drugiej jednak strony, jeśli okażą się konieczne, nie będę się wahała i je nałożę.