Gratuluję wyboru na stanowisko europejskiego inspektora ochrony danych. Tematyką danych osobowych zajmuje się pan od dwóch dekad, przez lata w administracji publicznej, m.in. jako polski GIODO, ale wcześniej w biznesie – pracował pan bowiem w firmach informatycznych zajmujących się tworzeniem systemów informacji prawnych. Czyli osoba wykorzystująca dane osobowe i dostarczająca ludziom informacji została inspektorem, który ma chronić dane i de facto ograniczać dostęp do informacji. Bo przecież temu służy choćby prawo do bycia zapomnianym.

Nigdy nie byłem fanem tego pojęcia. Nie podoba mi się nawet już sama nazwa. Jest politycznie atrakcyjna, ale nieprawdziwa. Nie zapominajmy o tym, że prawo do bycia zapomnianym zostało wyinterpretowane jeszcze przed przyjęciem RODO, w sprawie Google Spain. Ta sprawa pokazała zresztą dobitnie, jak niejednoznaczne jest to prawo. Pomijam już to, że nazwisko mężczyzny, który chciał być zapomniany, w konsekwencji wniesienia skargi było odmieniane przez wszystkie przypadki. Jeszcze bardziej istotne jest to, że mimo wyroku trybunału wciąż widnieje w archiwum gazety, a więc informacja o jego niegdysiejszych długach wciąż jest dostępna. Przestała być natomiast kojarzona z jego nazwiskiem przez wyszukiwarkę Google.

W praktyce oznacza to jednak duże utrudnienie w znalezieniu informacji. Informacji, do której przecież ludzie również mają prawo, podobnie jak mają prawo do prywatności.

Dlatego właśnie mam problem z prawem do bycia zapomnianym. To szalenie trudne zagadnienie, co świetnie widać chociażby na przykładzie sprawy Wolfganga Werlé i Manfreda Laubera, dwóch Niemców, którzy w 1990 r. zamordowali aktora Waltera Sedlmayra. Po odsiedzeniu wyroku wystąpili oni w 2009 r. do niemieckiej Wikipedii o usunięcie ich nazwisk z noty o wspomnianym aktorze. Hamburski sąd uznał, że mają do tego prawo i nakazał usunięcie ich danych. Co ciekawe, informacja o tej sprawie trafiła do angielskojęzycznej Wikipedii i wciąż jest tam dostępna. Mężczyźni próbowali wywalczyć jej usunięcie przed angielskimi i amerykańskimi sądami, ale te całkowicie odrzuciły ich argumentację. Uznały, że skoro informacja o zabójstwie jest prawdziwa, to ludzie po prostu mają do niej prawo. Pokazuje to, jak różne może być podejście. Na dodatek sama sprawa wywołała efekt Barbry Streisand, czyli wzmocniła przekaz informacji, które miały zostać ukryte.

A RODO nie miało przypadkiem ujednolicić przepisów o ochronie danych osobowych?

Miało i z zasady ujednoliciło. Trzeba jednak pamiętać, że RODO pozostawia pewną swobodę państwom członkowskim. Niemcy wyliczyli, że odrębnemu uregulowaniu państwa członkowskie mogą poddać aż 60 różnych kwestii. Niektóre są malutkie, ale niektóre całkiem duże. Weźmy choćby relacje pracownik – pracodawca. Parlament Europejski próbował je uregulować jednolicie, ale się poddał. Dlatego też w polskiej ustawie wdrażającej RODO tak wiele miejsca poświęca się właśnie ochronie danych osobowych w miejscu pracy. Inny przykład, poniekąd związany z tym, o czym przed chwilą rozmawialiśmy, to prawo dostępu do informacji. W Szwecji ludzie są przyzwyczajeni do tego, że informacje o tym, ile zarobił sąsiad, mogą sprawdzić w internecie. W większości pozostałych państw byłoby to herezją. W Polsce mamy swój numer PESEL, czemu Niemcy nie mogą się nadziwić. Pytają, czy nie pamiętamy wydarzeń z własnej historii, gdy ludziom tatuowano na rękach numery identyfikujące w rejestrach. Inny przykład to zgoda na przetwarzanie danych osób małoletnich. RODO pozostawiło widełki wieku, od którego przestają decydować rodzice – od 13 do 16 lat. Na przeciwnych biegunach mamy często sąsiadujące ze sobą kraje, jak choćby Litwa i Łotwa, Wielka Brytania i Irlandia czy Holandia i Belgia.

RODO działa już półtora roku. Jakie rozwiązania się sprawdziły?

Główne cele zostały osiągnięte lub też jesteśmy blisko ich osiągnięcia. Dużym sukcesem jest to, że zaczęliśmy ponadkrajowo rozmawiać o tym, jak te przepisy powinny funkcjonować. Pięć lat temu na konferencjach w Brukseli spotykałem trzech Polaków, dzisiaj bywa ich 50, w tym również przedstawicieli biznesu. Zaczęliśmy rozumieć, że decyzja, która zapada we Francji czy w Irlandii, może mieć praktyczne znaczenie dla administratora z Polski, dla osoby, której dane dotyczą, prezesa Urzędu Ochrony Danych Osobowych czy sądu. Kształtuje się realnie wspólny rynek.

Dobre jest też na pewno to, że nie można jedną decyzją ministra czy nawet parlamentu zmienić prawa i dostosować go do aktualnego widzimisię. Pracowałem w Ministerstwie Spraw Wewnętrznych, pracowałem jako GIODO i powiem brutalnie, że wiem, jak łatwo jest zmienić polską ustawę, i to nawet bez nocnych głosowań. Dlatego za duży atut uznaję, że sytuację stabilizuje już samo istnienie tego unijnego rozporządzenia.

Dużym sukcesem jest też wzrost świadomości na temat tego, jak istotna jest ochrona danych. Wiem, że niektórzy uznają obowiązek informacyjny za stratę czasu, gdyż mało kto czyta wszystkie te informacje, ale jednak w każdej chwili możemy się z nimi zapoznać i z nich skorzystać.

A co według pana nie zadziałało, jeśli chodzi o RODO?

Dostrzegam pewne rozczarowanie wśród ludzi tym, że nie ma wielkich kar dla największych graczy, takich jak choćby Facebook czy Google, w sprawach, w których większość osób uważa, że złamano prawo. Zdaję sobie jednak sprawę, że organy, które prowadzą postępowania w tych sprawach, muszą działać nad wyraz ostrożnie, by ich decyzje nie zostały potem uchylone przez sądy z jakichś błahych powodów.

Nie zadziałała natomiast dotychczas certyfikacja i nie do końca wiemy, czy w ogóle kiedykolwiek zadziała. Nigdzie w Europie certyfikaty nie są wydawane. Co więcej, obawiam się, że nawet gdy już zaczną być, to i tak nie spełnią oczekiwań rynku. Firmy chciałyby swego rodzaju pieczęci potwierdzającej „my jesteśmy zgodni z RODO”. A takich certyfikatów nikt nie może wystawić. Można potwierdzić zgodność z RODO konkretnego sposobu przetwarzania danych czy konkretnego systemu informatycznego. Zresztą w przypadku tego ostatniego taki certyfikat byłby ważny tylko do pierwszej aktualizacji.

Będą jakieś zmiany w działalności europejskiego inspektora ochrony danych?

Rozszerza się krąg podmiotów, które nadzorujemy. W najbliższych miesiącach do tej grupy dołączą agencja EuroJust oraz Prokuratura Europejska (EPPO). Będę chciał w pewien sposób zdywersyfikować naszą załogę biura. Do przeszłości odchodzą czasy, gdy ochroną danych osobowych zajmowali się prawnicy i informatycy. Oczywiście wciąż będą oni odgrywać dużą rolę, ale uważam, że w naszym biurze muszą pojawić się specjaliści z innych dziedzin życia. Ważne jest ekonomiczne czy socjologiczne podejście do ochrony danych. Brakuje nam specjalistów od różnych zagadnień sektorowych, choćby od przetwarzania danych w marketingu, usługach finansowych czy informacji przestrzennej. Zawsze byłem pod wrażeniem tego, jak na podstawie danych, które dla mnie były całkowicie neutralne, ci eksperci potrafili wyłowić konkretną osobę. Choćby połączenie danych telekomunikacyjnych z danymi firm transportowych może nam wiele powiedzieć o danej osobie. Chciałbym, by nasz urząd aktywnie reagował na związane z tym zagrożenia, zajął się inspekcją i kontrolą, a nie tylko pełnił rolę edukacyjną i oceniał tworzone prawo.