Koniec pani kadencji zbiegł się w czasie z rocznicą stosowania RODO w Polsce. Spróbujmy zatem podsumować jedno i drugie.

Trudno samemu oceniać swoją pracę, ale nieskromnie powiem, że mam poczucie dobrze wykonanej roboty. Przede wszystkim udało nam się wdrożyć RODO. Może nie do końca doskonale, jeśli chodzi o warstwę legislacyjną, mimo iż w procesie legislacyjnym zabiegaliśmy o zapewnienie właściwych rozwiązań, ale w praktyce nowe przepisy funkcjonują.

Sukcesy? Chyba przede wszystkim zatrzymanie czegoś, co nazwałabym szaleństwem RODO. Myślę, że udało nam się zmienić postrzeganie przepisów rozporządzenia jako nieracjonalnych i groźnych dla przedsiębiorców. Dzisiaj okazuje się, że to, co na początku administratorzy widzieli jako przeszkodę w budowaniu własnych biznesów, może dać im przewagę konkurencyjną, choćby wobec rynków azjatyckich.

Z drugiej strony, i to również uważam za sukces, udało się podnieść świadomość każdego z nas co do tego, jak ważna jest nasza prywatność. Że jest to mająca swoją cenę wartość, którą należy chronić. Świadczy o tym choćby liczba skarg wpływających do UDOO.

Uwaga! Od maja kolejne zmiany w RODO – sprawdź jak przygotować się  do kontroli przestrzegania przepisów >>

Zapewnienie właściwego stosowania RODO w praktyce wymaga jeszcze czasu, ale już teraz dostrzegam próby szukania balansu między prawem do prywatności a swobodą przetwarzania danych. Nie da się rozwijać gospodarki bez przetwarzania danych. Coraz większa świadomość ludzi sprawia jednak, że biznes musi uwzględniać ich prawa.

Pozwolę sobie powątpiewać, czy rzeczywiście lepiej znamy swe prawa. Spora część skarg kierowanych do UODO dotyczy telemarketingu. Większość powinna być kierowana do Urzędu Komunikacji Elektronicznej, bo chodzi głównie o to, że ktoś dzwoni do nas bez naszej zgody. Tymczasem ludzie kierują swe pierwsze kroki w stronę UODO.

Paradoksalnie można to uznać właśnie za przejaw wzrostu świadomości. Nawet jeśli nie wszyscy jeszcze wiedzą, do kogo powinni kierować swe skargi, to widać, że zaczynają się zastanawiać, czy w ogóle ktoś ma prawo przetwarzać ich dane. To prawda, że to nie UODO powinien badać, czy administrator, w imieniu którego dzwoni telemarketer, uzyskał wcześniej zgodę na taką formę kontaktu. Natomiast sam fakt, że ludzie uznają takie niechciane telefony za naruszające ich prywatność, jest czymś pozytywnym. To jest właśnie wzrost świadomości wynikający z RODO. Oczywiście oznacza to dodatkowe obciążenie dla UODO, ale też motywację do współpracy z UKE i UOKiK. Ostatecznie liczy się zaś to, że obywatele wiedzą, jak się bronić przed naruszaniem ich prywatności.

Jest coś, co uznaje pani za swoją porażkę?

Na pewno jest jeszcze sporo do zrobienia. Brakuje mi podejścia do ochrony danych osobowych jako elementu całościowego zarządzania firmą. Chciałabym, aby do określonych w RODO obowiązków nie podchodzono jak do formalności, które należy odhaczyć i o nich zapomnieć, tylko żeby myślano o nich kompleksowo. RODO jest i będzie. Musimy zacząć je traktować jako coś oczywistego. Coś, co nie wyklucza postępu, tylko musi być jego częścią. Słyszę często, że firma chciałaby uruchomić jakąś innowacyjną usługę, ale na przeszkodzie temu staje RODO. Nie, RODO niczemu nie przeszkadza. Wystarczy wszystko zorganizować tak, by było zgodne z przepisami o ochronie danych, i wbudować ochronę danych osobowych w projekt już od samego jego początku. Niestety, często jest tak, że o RODO myśli się dopiero, gdy dany produkt ma już zostać wypuszczony na rynek.

Jednym z zarzutów kierowanych pod adresem UODO jest to, że wciąż nie świadczy usług certyfikacyjnych. Polskie firmy nie mogą więc zdobyć certyfikatu zgodności z RODO. Dlaczego?

Przede wszystkim dlatego, że wciąż nie uzgodniliśmy ram certyfikacji na poziomie europejskim. A w moim przekonaniu to jest najważniejsze. Nie chodzi o to, żeby każdy organ, w każdym kraju UE wydawał certyfikaty według własnych zasad, tylko by były one wspólne.

Poza tym nie demonizowałabym tego problemu. Na razie nie ma bowiem zainteresowania certyfikacją. Żadna firma nie zgłosiła się do UODO choćby z pytaniem o możliwość uzyskania certyfikatu.

Na początku naszej rozmowy wspomniała pani o niedoskonałościach legislacyjnych. Coś konkretnego miała pani na myśli?

Przede wszystkim podejście do numeru PESEL. Zarówno w samym RODO, jak i we wszystkich wytycznych europejskich, traktuje się numer PESEL jako dane, które można wykorzystywać, ale wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, a które przewiduje wskazane rozporządzenie. Polskie przepisy chyba nie do końca to respektują. Jako przykład podam ustawy, które dopuszczają ujawnianie numeru PESEL w Krajowym Rejestrze Sądowym, a także w kwalifikowanym podpisie elektronicznym.

Skoro już jesteśmy przy legislacji, to muszę spytać o pewien konflikt, który dało się zaobserwować między UODO a Ministerstwem Cyfryzacji. Co było jego powodem?

O tym konflikcie to ja się głównie z mediów dowiadywałam. Naprawdę byłam zbyt zajęta, by myśleć o szukaniu konfliktu z kimkolwiek. Natomiast uważam, że przy tej pracy, którą każdy z nas ma do wykonania, nie można wchodzić w kompetencje drugiej strony. W Polsce jest tylko jeden organ ochrony danych osobowych i jest nim prezes UODO. Nie może więc być tak, że inny organ próbuje wydawać wiążące interpretacje przepisów o ochronie danych osobowych.

Ma pani na myśli objaśnienia Ministerstwa Cyfryzacji dotyczące rekrutacji pracowników?

Tak, przy czym problem nie leży w tym, że to psuje dobry humor prezesa UODO. Taka sytuacja wzbudza ogromne niepokoje wśród adresatów prawa. Oni muszą mieć jasny przekaz, z czego będzie rozliczał ich organ nadzorczy. Tymczasem tu mamy do czynienia z sytuacją, gdy ministerstwo mówi coś, z czym nie musi się zgadzać tenże organ nadzorczy. A to on musi mieć głos decydujący. Jeśli ktoś się nie zgodzi z jego decyzją, to sprawę rozstrzygnie sąd.

Największy strach związany z RODO wynikał z grożących kar finansowych. UODO nałożył dotychczas dwie. To chyba niezbyt wiele, jak na rok funkcjonowania nowych przepisów? UOKiK nakłada ich rocznie kilkadziesiąt razy więcej.

Mówimy o pierwszym roku funkcjonowania nowych przepisów. Nie wiem, ile kar nałożył UOKiK w pierwszym roku swej działalności. Nie o to zresztą chodzi, by licytować się w nakładaniu tego typu sankcji. Przede wszystkim mają one czemuś służyć. Od zawsze powtarzam, że kary nie są celem samym w sobie, ale również nie są niczym nadzwyczajnym. Owszem, pierwsza z nałożonych przeze mnie kar była wysoka, ale wynikało to, po pierwsze, ze skali naruszenia, a po drugie, z uwzględnienia wszystkich innych okoliczności. Każda ze spraw jest indywidualna i nie można na nią patrzeć przez pryzmat statystyk. Pierwsza z kar nałożonych przez Francję dotyczyła Facebooka i była ogromna, bo wynosiła 50 mln euro. Austria z kolei nałożyła tych kar dużo więcej, ale są też one dużo niższe.

Czy wolno zadać pytanie, nomen omen, prywatne? Jakie ma pani plany po zakończeniu kadencji prezesa UODO?

Przede wszystkim chcę trochę odpocząć. Potem wracam do mojego naturalnego środowiska, czyli do nauki. To jest coś, czego bardzo mi brakowało na stanowisku prezesa UODO. Musiałam bowiem rozstrzygać konkretne problemy, mając mniej czasu na rozważania bardziej horyzontalne, teoretyczne.

Wraca pani na Uniwersytet Łódzki?

Tak, będę prowadzić zajęcia z ochrony danych osobowych i monitoringu pracowników. Bardzo się cieszę, że znów będę miała kontakt ze studentami. Myślę też o pewnym projekcie, o którym nie chciałabym jeszcze zbyt wiele mówić, bo nie wiem, czy uda się go zrealizować. Mam jednak wrażenie, że brakuje nam pewnej łączności między światem nauki a ekspertami, choćby z zakresu informatyki. Byłabym szczęśliwa, gdyby udało się stworzyć jakieś forum wymiany myśli między tymi dwoma światami. Zresztą nie tylko między nimi. Chciałabym, żeby o ochronie danych osobowych przestano myśleć jak o odrębnym bycie, tylko zaczęto ją pojmować jako coś naturalnego, przy każdym projekcie związanym z przetwarzaniem danych.

Jakie wyzwania stoją przed nowym prezesem UODO?

Przede wszystkim te związane z nowymi technologiami. Nie da się już pójść do firmy i sprawdzić, czy ma politykę bezpieczeństwa i czy dokumenty są zamknięte w szafie. Jesteśmy w zupełnie nowej rzeczywistości. Pracownicy UODO muszą rozumieć nowe technologie. Inaczej nie będą wiedzieć, co kontrolują.

A czego pani życzy nowemu prezesowi?

Skuteczności w walce o budżet. Przy obecnym zwyczajnie nie da się skutecznie sprostać wyzwaniom, jakie stoją przed UODO. Nie będę porównywać nas do Wielkiej Brytanii czy do Niemiec. Możemy się jednak porównać choćby do Hiszpanii. Budżet polskiego UODO jest na poziomie 7 mln euro, a hiszpańskiego na poziomie 15 mln euro.

Poza tym życzę nowemu prezesowi odwagi i determinacji. Musi mieć świadomość, że jego decyzje nie przysporzą mu popularności. Nie od tego jednak jest prezesem UODO, by być popularnym. Jego zadaniem jest stać na straży prywatności, co w dzisiejszym świecie jest chyba jednym z trudniejszych i jednocześnie najważniejszych wyzwań.