- RODO zrobiło bardzo dużo dobrego, natomiast z perspektywy czasu nie jestem pewien, czy aż tak zbiurokratyzowana regulacja była nam rzeczywiście potrzebna - mówi w rozmowie z Jakubem Styczyńskim dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, były dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji odpowiedzialny za krajową reformę ochrony danych osobowych.
Zakończył pan pracę w Ministerstwie Cyfryzacji. Skąd decyzja o odejściu?
Wydaje mi się, że swoją misję w resorcie cyfryzacji zrealizowałem. Słowo „misja” brzmi górnolotnie, ale ja tym ostatnim latom poświęciłem prawie cały mój czas. Zadanie wdrożenia w Polsce RODO zrealizowałem, a ocena tego, jak, należy do obywateli. Chciałem też uniknąć sytuacji, gdy musiałbym odchodzić dlatego, że w pracy dzieje się coś złego. Najczęściej tak jest, że odchodzimy, jak jest nam źle. A odchodzić powinno się w okresie najlepszym, gdy organizacja, którą się opuszcza, rozwija się. Tak jest z departamentem i miejscem, w którym pracowałem jako dyrektor. Początkowo miałem zostać w resorcie trzy miesiące, a potem przenieść się do kancelarii prawnej. Ostatecznie pracowałem dla MC przez trzy lata. Będę jeszcze wspierał ministra cyfryzacji, ale już w dużo luźniejszej, eksperckiej formie.
Dokąd pan się udaje? Wielu spekulowało, że odnajdzie się pan w ramionach jakiegoś technologicznego giganta.
Do giganta tak, ale nie technologicznego. Objąłem funkcję dziekana w Wyższej Szkole Bankowej w Warszawie. Będę współkierował uczelnią, która powstała w 2019 r., ale należy do największej grupy niepublicznych szkół wyższych w Polsce, które edukują od 25 lat. W jakimś sensie jest to więc gigant. Poza sprawowaniem funkcji dziekana będę również opiekunem merytorycznym kierunków związanych z nowymi technologiami i ochroną danych osobowych. Dla mnie to będzie okazja do kontynuowania edukacji, którą robiłem, będąc w resorcie, ale tym razem od drugiej strony. I od początku, tak jak w resorcie cyfryzacji, chcę podejść do zadania nieszablonowo. Już zresztą mój wiek jest nieszablonowy jak na taką funkcję i będę chciał podejść do moich studentów bardziej partnersko niż władczo. Chyba tego dzisiaj oczekuje się od uczelni wyższych. Chcę też wrócić w małym stopniu do praktyki prawniczej, współpracując z jedną z kancelarii, ale w roli wyłącznie doradczej i od strony edukacyjnej. Od dawna pracuję też nad projektem ogromnej inicjatywy non profit, ale o niej za wcześnie mówić teraz.
Nie miał pan propozycji, żeby być ministrem cyfryzacji albo prezesem Urzędu Ochrony Danych Osobowych (UODO)?
Nigdy nie dostałem propozycji objęcia teki ministra cyfryzacji. Prawdą jest, że informacje takie się pojawiały w prasie przy okazji zmiany ministrów, ale były nieprawdziwe i zawsze budziły u mnie konsternację. Nigdy o tym nawet przez chwilę nie myślałem. Co do wyborów prezesa UODO, uczono mnie, że o rozmowach kuluarowych się nie rozmawia. Objęcie takiej funkcji na pewno byłoby kontynuacją polityki ochrony danych prowadzonej w resorcie cyfryzacji od trzech lat. Polityki, z którą się utożsamiam. Już kiedyś mówiłem, że gdybym taką propozycję ostatecznie otrzymał, tobym ją przyjął. Decyzja parlamentu była inna, co niezwykle szanuję.
Ale przez trzy lata to pan był twarzą reformy związanej z RODO.
Kolejni ministrowie cyfryzacji: zarówno Anna Streżyńska, jak i Marek Zagórski pozostawili mi ten obszar, za co jestem im bardzo wdzięczny. Tym bardziej że to nie jest typowe, aby dyrektor departamentu, a nie minister, komunikował reformy legislacyjne. Nie będąc ministrem, a dyrektorem, który z mocy ustawy jest apolityczny, unikałem pytań politycznych. Merytoryczna dyskusja na temat RODO sprawiła, że rozporządzenie w trakcie tworzenia przepisów wdrażających je nie stało się instrumentem walki politycznej.
Za to kilka dni temu RODO posłużyło obecnemu prezesowi UODO do wstrzymania wykonania prawomocnego wyroku sądu.
W sprawie intencji dotyczącej wydania postanowienia, o którym pan mówi, pytania trzeba kierować do prezesa UODO. Ja tylko zaznaczę, że na temat postanowień zabezpieczających przez organ nadzorczy wypowiadają się nie tylko przepisy krajowe, ale również art. 66 RODO.
Wróćmy do pana – jak odbierano to, że urzędnik państwowy nagrywa filmy na Twittera i promuje się w telewizji?
Nie zawsze pozytywnie, zwłaszcza w gronie niektórych urzędników i prawników. Mówili wprost: Kawecki się lansuje, a potem będzie zarabiał fortunę w biznesie. Jak widać, nie sprawdziło się. Zresztą tu nie chodziło o lansowanie siebie, tylko tematu. Edukacja z zakresu RODO wymagała nadzwyczajnej aktywności medialnej, której żaden z ministrów, technicznie rzecz biorąc, nie miałby czasu prowadzić. W pewnym momencie chciałem jednak trochę uciec od tematu RODO i zaangażowałem się w pracę w zespołach zajmujących się zagadnieniami sztucznej inteligencji, rejestrami rozproszonymi, internetem rzeczy czy walką z kradzieżami tożsamości. Za taką możliwość też jestem szefowi bardzo wdzięczny.
A nie wszedł pan w kompetencje UODO, który zgodnie z RODO ma obowiązek edukacji obywateli? Organ rozumie tę funkcję raczej jako organizowanie zamkniętych szkoleń i warsztatów niż występowanie w telewizji śniadaniowej.
Poziom absurdów np. w zakresie ochrony zdrowia, gdzie rodzice nie mogli dowiedzieć się, co dzieje się z ich dzieckiem, rzekomo przez RODO, wymagały działań nadzwyczajnych. Oczywiście nikt nie jest wolny od błędów i ja przez trzy lata też popełniłem niejeden. Pewnie gdybym mógł cofnąć czas, współpracę z urzędem prowadziłbym inaczej. Natomiast mój obszar działań edukacyjnych do tych błędów się nie zalicza. Tak uważam. Nawet gdybym mógł cofnąć czas, postąpiłbym dokładnie tak samo.
Czy zauważa pan, że polskie firmy zbyt dosłownie podeszły do stosowania RODO i przez to teraz witryny internetowe zaśmiecone są wyskakującymi obowiązkami informacyjnymi, a żeby dodzwonić się na infolinię ubezpieczyciela w celu zamówienia pilnej pomocy medycznej trzeba przez kilka minut słuchać klauzuli RODO?
Rzeczywiście wiele polskich firm lubi nadmierny formalizm, i to znacznie bardziej niż te w innych krajach europejskich. Przez to wciąż panuje wszechobecna „RODOza” i „klauzuloza”. Czyli wszędzie na wszystko się trzeba zgadzać, przeklikiwać przez dziesiątki stron informacyjnych czy przerzucać tony papieru przy podpisywaniu umów. Na szczęście coraz większa świadomość obywateli w kwestiach związanych z RODO sprawia, że przedsiębiorcy powoli zmieniają swoje praktyki. Jeżeli chodzi o pomoc medyczną, to moim zdaniem, ochrona życia i zdrowia zawsze powinna mieć pierwszeństwo nawet ponad wymogi RODO. Obowiązek informacyjny powinien móc być spełniony już po zamówieniu karetki dla rannego.
Duża reforma wdrażająca RODO do polskich przepisów była krytykowana, że powstała późno, choć wcale nie później niż w większości krajów europejskich. I że zakładała mało wyłączeń dla MSP – pomimo iż RODO wcale nie daje szerokich możliwości wprowadzania dla nich ulg. Jak dziś administratorzy oceniają reformę?
Ostygły emocje, a UODO zdążyło wyjaśnić kilka palących tematów. Często słyszę, że można było zrobić reformę szybciej, ale z tym się absolutnie nie zgadzam. Czy lepiej? Wszystko zawsze da się zrobić lepiej, gdy ma się na to czas. Już dziś widzę, że mogliśmy bardziej sprecyzować w uzasadnieniu do ustawy chociażby obowiązek przedkładania pisemnych upoważnień do przetwarzania danych osobowych.
Nie każdy o tym wie, ale RODO może być cyklicznie aktualizowane. Prace nad zmianami mają ruszyć w połowie 2020 r. Co pana zdaniem powinno znaleźć się w nowej wersji rozporządzenia?
Mam bardzo wiele propozycji. Brakuje wskazania, że krótkotrwałe przetwarzanie danych osobowych do celów technicznych powinno być wyłączone spod zastosowania przepisów o ochronie danych osobowych poza wymogami o zabezpieczeniach danych. To coś, co może uniemożliwić wykorzystywanie dronów np. w usługach kurierskich. Ponadto, moim zdaniem, mechanizm uzyskiwania certyfikatów zgodności z RODO jest przeregulowany. Tak samo zatwierdzanie kodeksów branżowych. Dochodzą mnie też słuchy, że współpraca organów nadzorczych na poziomie europejskim oraz procedura przyjmowania opinii przez Europejską Radę Ochrony Danych Osobowych również są zbyt zbiurokratyzowane. Poza tym – jak wspomniałem – nawet przesłanka ochrony życia i zdrowia, czytając literalnie RODO, nie upoważnia do przesunięcia w czasie spełnienia obowiązku informacyjnego, gdy dane pozyskiwane są od osoby, której dotyczą. Aby wyprowadzić taką wykładnię, musimy podejmować złożoną analizę uzasadnienia RODO oraz innych aktów prawa unijnego. Nie powinno tak być. RODO nie uwzględnia zupełnie pozycji tzw. trzeciego sektora, a więc stowarzyszeń i fundacji. Nie wiem, czy powinny realizować tak rozbudowane wymogi jak administracja czy przedsiębiorcy. To wszystko powinno się zmienić. Wchodząc zaś w większe szczegóły, w art. 6 ust. 1 lit. f RODO pojawia się termin „strony trzeciej” niewykorzystywany nigdzie indziej w RODO. Brakuje wskazania chociażby w preambule, kim jest taka strona trzecia w praktyce. Wreszcie z jednej strony RODO mówi, że nie znajduje ono zastosowania do obszaru, do którego nie stosuje się prawa UE, a reguluje ono zagadnienia objęte bezpieczeństwem narodowym chociażby w art. 23, które prawem UE nie są objęte. Jest więc wiele obszarów do usprawnienia. Ogólnie rzecz biorąc, RODO zrobiło bardzo dużo dobrego, natomiast z perspektywy czasu nie jestem pewien, czy aż tak zbiurokratyzowana regulacja była nam rzeczywiście potrzebna.
