Nałożenie pierwszej w Polsce kary za naruszenie przepisów o danych osobowych przypomni opinii publicznej o rozporządzeniu.
Gdy 26 maja 2018 r. przy zamawianiu cappuccino w jednej z sieciowych kawiarni, w odpowiedzi na pytanie o imię przedstawiłem się jako „GDPR” (rzecz działa się poza Polską), otrzymałem kubek bez żadnego imienia. GDPR – w Polsce znane jako RODO – przedostało się do świadomości opinii publicznej, a nawet do szerokich kręgów i to w całej Europie. Dziś, po niemal roku obowiązywania rozporządzenia o ochronie danych osobowych i po początkowej histerii informacyjnej, nastroje zdecydowanie się uspokoiły.
Można nawet powiedzieć, że w Polsce zainteresowanie tematem powoli maleje nawet w firmach i instytucjach, które są zobowiązane do interesowania się ochroną danych. Wydaje się, że mógł zachodzić proces wyczekiwania wielkiego świątecznego dnia, gdy UODO obwieściło pierwszą karę nałożoną za nieprzestrzeganie RODO. Teraz zainteresowanie powinno na nowo wzrosnąć. Tymczasem poza popularnymi „grzywnami” w RODO jest znacznie więcej, być może nawet ciekawszych, instrumentów.
Do urzędów ochrony danych spływają dwa podstawowe rodzaje zgłoszeń. Są to skargi na podmioty oraz informacje o naruszeniu ochrony danych otrzymywane od podmiotów. Dane te są jednymi z fundamentalnych miar świadczących o działaniu RODO w kraju. Dostęp do nich niestety jest ograniczony. Szczęśliwie, można to bardzo łatwo zmienić. Dalej wyjaśniam, w jaki sposób.

Uczyć się ze skarg

Skargi mają dużą wartość informacyjną. Świadczą o względnej świadomości i wrażliwości społecznej na kwestie ochrony prywatności. To bogate źródło informacji nie tylko dla szerokiej rzeszy prawników, ekspertów, specjalistów, doradców, urzędników, lecz także socjologów.
W Polsce co jakiś czas w mniej lub bardziej otwarty sposób podawane są informacje o liczbie złożonych skarg. Już na samym początku obowiązywania RODO łatwo dostrzec, że ten nieprzejrzysty sposób przedstawiania informacji nie jest zbyt fortunny. Nieregularność podawania takich danych do wiadomości publicznej uniemożliwia też wyciągnięcie jakichkolwiek konstruktywnych wniosków. Co więcej, już wkrótce informacja o zbiorczej liczbie skarg, które wpłynęły „od początku obowiązywania RODO”, straci rację bytu. Ta zbiorcza liczba nigdy zresztą nie miała głębokiej wartości informacyjnej, nie umożliwiała choćby dokonywania sensownych porównań. By to usprawnić, informacje powinny być publikowane regularnie, niemal na bieżąco.

Symptomatyczne zgłoszenia

Drugą ważną mierzalną wartością są zgłoszenia o naruszeniach ochrony danych. Pierwszy raz w historii systemu ochrony danych w Polsce UODO jest w posiadaniu bardzo bogatego zasobu wiedzy o liczbie naruszeń w całym kraju. Osobiście traktuję dane tego rodzaju jak papierek lakmusowy jakości działania RODO w poszczególnych krajach, jakości implementacji, egzekwowania, a także świadomości w organizacjach objętych obowiązkiem. W tym sensie zgłoszenia to znacznie ciekawsze dane od suchej liczby złożonych skarg lub nawet informacji o nałożonych grzywnach. Dane te są też chyba jedyną metodą, by dostrzec jakość wdrożenia RODO szerzej w skali kraju, choćby kierując się dynamiką zgłoszeń.
Uważam, że obecnie w Polsce może występować problem zaniżonej skali zgłoszeń, co z punktu widzenia krajowego wdrożenia i egzekwowania RODO stanowiłoby problem strategiczny. Same dane o naruszeniach mogą świadczyć nie tylko o UODO (i sposobie, w jaki reaguje), lecz również o podmiotach w Polsce, ich uczciwości, choć może bardziej o świadomości obowiązków ochrony danych. Bez dostępu do precyzyjnych danych nie ma jednak możliwości ich weryfikacji. Ufajmy, że robi to UODO i będzie w stanie prawidłowo ocenić.
Także w tym przypadku regularne przedstawiane do publicznej wiadomości bardziej precyzyjnych danych byłoby pożądane. Można nawet pójść nieco dalej, publikując nie tylko suche dane o liczbie zgłoszeń przypadających na konkretny miesiąc. Udostępniane informacje mogłyby zawierać datę zgłoszenia, z zaznaczeniem sektora podmiotu zgłaszającego. Umożliwiłoby to interesujące porównania, obrazujące też świadomość problemów w konkretnych sektorach. Niewątpliwie pomogłoby to kancelariom, firmom, konsultantom, organizacjom pozarządowym czy badaczom, jednocześnie umożliwiając polskiemu ekosystemowi ochrony danych działanie na równych i przejrzystych zasadach.
RODO to odpowiedź na dostrzeżone problemy i wyzwania; powstało w wyniku debaty prowadzonej na Zachodzie. W ostatnim czasie w tamtych środowiskach zaczyna się mówić o możliwościach o wiele bardziej radykalnych niż konserwatywne propozycje wysunięte w tej analizie. I nie należy się przy tym kierować imposybilizmem, bo lepsze standardy prywatności są możliwe do osiągnięcia.

Wyciągnąć dane z szafy

Dziś brakuje nam podstawowych danych i metryk związanych z funkcjonowaniem RODO w Polsce. Dane te istnieją, znajdują się w szafach UODO. To, że obecnie odpowiednik tego urzędu w żadnym europejskim kraju nie podaje informacji z wystarczającą dokładnością, nie może stanowić przesłanki do niewprowadzania korekt. Przeciwnie, dziś nie ma wręcz żadnego powodu, by ta sytuacja nie mogła ulec zmianie. W mojej ocenie europejskie urzędy ochrony danych pójdą właśnie w stronę większej precyzji. Dla Polski większa otwartość już na samym początku jest niewątpliwą szansą stania się liderem, który uczyni to pierwszy, by stanąć w awangardzie standardów RODO. Wydaje się to niezwykle łatwe. Wystarczy udostępnić surowe dane związane z funkcjonowaniem RODO dla ogółu. Dostęp do informacji stanowiłby wartość dla analiz eksperckich, badawczych i społecznych.
Dziś brakuje nam podstawowych danych i metryk związanych z funkcjonowaniem RODO w Polsce. Dane te istnieją, znajdują się w szafach UODO. To, że obecnie jego odpowiednik w żadnym europejskim kraju nie podaje informacji z wystarczającą dokładnością, nie może być przesłanką do niepodejmowania zmian