Zacznę od pytania osobistego. Jak to jest, że zastępca europejskiego inspektora ochrony danych wrzuca na Facebooka tak dużo rodzinnych zdjęć? Spodziewałbym się, że kto jak kto, ale pan będzie wyjątkowo dbał o swą prywatność.

Jestem zwykłym użytkownikiem mediów internetowych. Lubię je, umożliwiają one mnie i mojej rodzinie kontakt ze światem, co jest dla nas szczególnie ważne, odkąd przeprowadziliśmy się do Brukseli. Nie mam nic przeciwko mediom społecznościowym, choć zdaję sobie sprawę, jak one funkcjonują. Porównałbym to do korzystania z elektryczności. Trudno się bez niej obejść, ale oczywiście nie chciałbym zostać kopnięty przez prąd.

Czy należy ukrywać się w sieci? Decyzję musi każdy podjąć sam. Nawet moja żona i ja mamy inne podejście do tego, jak prezentować informacje o sobie w internecie. Dlatego też zanim umieszczę jakiekolwiek jej zdjęcie, to wcześniej z nią konsultuję i pytam o zgodę.

Publikuje pan również zdjęcia swych córek.

I tu rzeczywiście jest nieco trudniejsza sytuacja. O ile starsza córka jest już w stanie samodzielnie wyrazić swoje zdanie, o tyle druga jest zbyt młoda, by świadomie ocenić, o co tak naprawdę w tym chodzi. To bardzo trudna decyzja, którą każdy z rodziców musi podjąć sam. Większość zdjęć mej rodziny prezentuję jedynie swym znajomym z serwisu społecznościowego. Oczywiście jednak mam świadomość, że każde z tych zdjęć może zostać skopiowane i rozpowszechnione. Pamiętam więc o tym, że raz wrzucony do sieci materiał to materiał, nad którym straciłem kontrolę. Dlatego też, nawet jeśli zamieszczam tych zdjęć dużo, to są to tylko takie ujęcia, które mógłbym pokazać wszystkim. Natomiast zdjęcia, nazwijmy to nieco bardziej dziwne, to zdjęcia, na których jestem wyłącznie ja sam. I tylko tu pozwalam sobie na nieco więcej swobody. Przypomnę, że moje zdjęcie z arbuzem na głowie ilustrowało ostrzeżenie generalnego inspektora ochrony danych osobowych o zagrożeniach związanych właśnie z niekontrolowanym rozpowszechnianiem zdjęć.

Przejdźmy do RODO. Nie brakuje osób, które twierdzą, że unijne rozporządzenie to same absurdy, a globalne firmy i tak robią z naszymi danymi, co chcą. Co pan myśli, czytając takie opinie?

Większość nowych obowiązków prawnych traktowanych jest jak bubel czy też łagodniej nadregulacja. Wolę rozmawiać o konkretnych zarzutach niż tego typu ogólnych, publicystycznych ocenach. Podobne komentarze czytałem, gdy uchwalano pierwszą ustawę o ochronie danych osobowych czy później, gdy zmieniano ją w związku z wstąpieniem Polski do UE.

Co ciekawe, największe zaskoczenie wzbudzają przepisy, które dotarły do nas z USA czy też szerzej z krajów anglosaskich.

Jakiś przykład?

Zgłaszanie incydentów związanych z naruszeniem ochrony danych. Przepisy dotyczące notyfikacji wycieku danych obowiązują we wszystkich stanach USA. Tam nie są to jednak przepisy zharmonizowane. W UE, od chwili wejścia w życie RODO są to reguły zharmonizowane, przy czym jest to nowość dla 25 z 28 krajów członkowskich. Jednocześnie jednak wiele zdziwienia wywołują przepisy RODO, które istniały w polskim prawie od 20 lat. Prawdopodobnie dlatego, że dotychczas niezbyt zwracano na nie uwagę i dopiero groźba nałożenia kary sprawiła, że zostały dostrzeżone.

Prawdą jest jednak również, że RODO nierzadko wchodzi w relacje z już istniejącymi regulacjami, jak chociażby dotyczącymi ochrony zdrowia. I tu pojawiają się rzeczywiste problemy. Wyzwaniem jest więc doprowadzenie do sytuacji, w której normy te przynajmniej nie będą ze sobą sprzeczne. Dodam, że wyzwaniem, przed którym stają także inne kraje unijne.

Wiele osób kojarzy RODO głównie z wyświetlanymi mu na nowo komunikatami o cookies i e-mailami z prośbami o potwierdzenie zgody na przetwarzania danych, którymi został zasypany 25 maja ub.r. I zastanawia się, po co to wszystko.

Jeśli chodzi o komunikaty dotyczące ciasteczek, to mogę jedynie powiedzieć, że ich wyświetlanie nie wynika z RODO, tylko z dyrektywy o e-prywatności. Osobiście zawsze byłem przeciwnikiem tego rozwiązania i miałem nadzieję, że zostanie ono zmienione przez przygotowywane obecnie rozporządzenie ePrivacy. Niestety, prace wciąż trwają.

Zgodzę się, że e-maile z informacjami o przetwarzaniu moich danych osobowych były irytujące. Jednocześnie pokazały nam, jak w wielu miejscach są przechowywane nasze dane osobowe i jak wielu z tych, którzy je przechowują, nie ma pewności, czy tak naprawdę wyraziliśmy na to zgodę. Bo przecież, jeśli mieliby tę pewność, to nie zadawali sobie trudu, by ponownie wysyłać do mnie prośby.

Co pan uważa za największą zdobycz RODO? Nie jako zastępca europejskiego inspektora ochrony danych, tylko jako Wojciech Wiewiórowski.

Podstawowym osiągnięciem jest to, że z dowolnego miejsca w UE mogę domagać się realizacji swych uprawnień, niezależnie od kraju, w którym podmiot przetwarzający moje dane ma siedzibę. Jeżeli coś mi się nie podoba w działaniu francuskiej firmy, to nie muszę kierować skargi po francusku do francuskiego organu ochrony danych osobowych, mogę ją wnieść po polsku do polskiego organu. To samo zresztą dotyczy firm spoza UE, które adresują swe usługi do obywateli krajów europejskich.

Przede wszystkim jednak RODO pozwoliło się przebić z tematyką ochrony danych osobowych, z czym w Polsce, mimo obowiązywania w znacznej mierze zbliżonych przepisów, był problem. Podam przykład branży bankowej czy ubezpieczeniowej. Świadomość tego, jak jest przygotowywany tzw. scoring, jest bez wątpienia dużo większa niż było to jeszcze kilka lat temu.

A gdyby miał pan wskazać coś, co pana denerwuje w RODO?

To nie jest doskonały akt prawny. Trochę martwi mnie to, że – choć jest to rozporządzenie obowiązujące wprost – zbyt duży margines pozostawia do uregulowania państwom członkowskim. Przykładowo RODO nie odnosi się wprost do danych przetwarzanych w relacji pracodawca – pracownik. W efekcie mamy w tym zakresie 28 reżimów, które są warunkowane aktualną sytuacją polityczną w poszczególnych krajach.

Mówi pan o braku regulacji, a ja pytam o regulacje, które uważa pan za bezsensowne.

Nie jestem przekonany do przepisów dotyczących certyfikatów, które miałyby niejako potwierdzać, że dany administrator dobrze chroni dane osobowe. Mam duże wątpliwości, czy system certyfikacji, przynajmniej tak, jak jest on opisany w RODO, rzeczywiście zadziała. Nigdy nie byłem też fanem prawa do bycia zapomnianym jako pojęcia prawnego. Rozumiem prawo do usunięcia danych, które zresztą obowiązywało na podstawie wcześniejszych przepisów, nie do końca zaś wiem, czym jest prawo do bycia zapomnianym.

Dla większości oznacza ono tyle, że mogą domagać się zniknięcia z internetu.

Dlatego też traktuję to sformułowanie raczej w kategoriach socjologicznych, politycznych czy wręcz politykierskich, a nie prawnych, choć jest ono obecne w RODO.

To w końcu można zniknąć z internetu, czy nie można?

Można, jeśli ktoś się bardzo postara i jednocześnie nie był wcześniej zbyt mocno aktywny w internecie. Teoretycznie potrafię sobie wyobrazić, że ktoś doprowadzi do usunięcia z sieci wszystkich informacji na swój temat. Tyle że nie będzie to miało zbyt wiele wspólnego z RODO. Prawo do usunięcia danych nie dotyczy przecież internetu jako takiego, tylko zasobów konkretnego administratora danych. Oczywiście tym administratorem może być Google, ale nawet jego nie można przecież utożsamiać z internetem. Przypomnę, że w wyroku Google Spain, w którym po raz pierwszy odwołano się do prawa do bycia zapomnianym, trybunał nakazał jedynie usunięcie z wyników wyszukiwania linków związanych z nazwiskiem osoby skarżącej (sygn. akt C-113/12). Pierwotne informacje, jakie opublikowano na temat skarżącego w prasie, wciąż znajdują się w internecie i przy odrobinie wysiłku każdy może do nich dotrzeć.

Co uważa pan za największe zagrożenie dla naszej prywatności?

To zagrożenie już istnieje i w najbliższej przyszłości będą się jedynie zmieniały jego techniczne aspekty. Mam na myśli ocenianie nas ludzi przez rozbudowane algorytmy, być może wspierane przez sztuczną inteligencję, na podstawie danych zebranych z różnych źródeł, z gigantycznych baz danych. Nie mamy wpływu na taką ocenę, nie wiemy, co było brane pod uwagę. Nie wiemy chociażby, dlaczego odmówiono nam kredytu, nie jesteśmy w stanie nawet domniemywać, jakie czynniki o tym zdecydowały.

Tak jak mówię, nie jest to problem nowy, ale będzie narastał. Nie ma odwrotu od współpracy różnych systemów i wymiany informacji między nimi. W sposób naturalny prowadzi to jednak do powstania systemu, który w sposób autonomiczny, bez ludzkiej kontroli będzie nas oceniał. Nie mówię tu tylko o osławionym chińskim systemie kredytów społecznych (czy poprawniej „oceny społecznej”), ale też o ocenach przeprowadzanych przez banki i ubezpieczycieli, a nawet przez administrację samorządowa, chcącą – w dobrej wierze – mieć całościowy obraz członka wspólnoty lokalnej, któremu ma służyć.

Od ponad czterech lat jest pan zastępcą europejskiego inspektora ochrony danych. Czym na co dzień zajmuje się ten organ?

Przede wszystkim nadzorem nad przetwarzaniem danych osobowych w instytucjach czy agencjach Unii Europejskiej. Poza 28 krajowymi rzecznikami ochrony danych, takimi jak polski prezes Urzędu Ochrony Danych Osobowych, istnieje 29., czyli właśnie EIOD. Upraszczając – jeśli ktoś przyjedzie do Brukseli i będzie miał problem z przetwarzaniem danych w hotelu, to złoży skargę do belgijskiego organu ochrony danych osobowych. Jeśli ten sam problem będzie dotyczył przetwarzania jego danych przez chociażby Komisję Europejską, to skargę powinien złożyć do EIOD.

Drugim naszym zadaniem jest opiniowanie wszystkich aktów prawnych tworzonych w UE. Czy to będzie rozporządzenie, dyrektywa, decyzja czy nawet wewnętrzna regulacja, to zawsze musi trafić na biurko EIOD, który ocenia ją pod względem zgodności z przepisami o ochronie danych osobowych.

Skupmy się na pierwszym z tych zadań. Czego dotyczą skargi kierowane do EIOD?

Nie różnią się one specjalnie od tych kierowanych do krajowych organów ochrony danych. Dotyczą chociażby przetwarzania danych medycznych przez pracodawcę, bo przecież UE jest pracodawcą dla zatrudnionych w jej administracji urzędników. Są skargi na bezpodstawne przekazywanie danych między instytucjami unijnymi czy też na samo ich zbieranie bez podstawy prawnej lub przechowywanie przez zbyt długi okres. Szczególne przypadki dotyczą Europolu czy też danych dotyczących wjazdu i wyjazdu na teren UE gromadzonych np. w Systemie Informacyjnym Schengen. Tu skargi dotyczą tego, że ktoś w ogóle znalazł się w tych bazach lub też chce się dowiedzieć, jakie dane na jego temat zostały w nich zgromadzone.