Ci, którzy najbardziej starają się podważyć moją niezależność, najgłośniej krzyczą, że robią to w jej obronie - mówi Jan Nowak, prezes Urzędu Ochrony Danych Osobowych.
Zarzuca się panu, że działa pan podejrzanie zgodnie z linią partii rządzącej. Skargi trafiają nawet do europejskich organów.
Zapewniam, że jestem w pełni niezależny i apolityczny. Zarówno względem rządu, jak i nacisków opozycji. W swoich działaniach zawsze postępuję zgodnie z przepisami prawa – przede wszystkim RODO. Niektórzy zapominają, że pewne spawy są regulowane przepisami krajowymi i nimi też muszę się kierować. Proszę pamiętać, że urząd nie stanowi prawa ani nie ma inicjatywy ustawodawczej, natomiast musi się poruszać w granicach prawa. Ubolewam, że za swoją niezależność płacę wysoką cenę, ale żyjemy w bardzo spolaryzowanym świecie, w którym, jeśli nie jesteś z nami, to jesteś przeciwko nam. Opiniuję, często negatywnie, wiele działań strony rządowej. Czasami moje decyzje nie podobają się także opozycji. Z przykrością jednak obserwuję, że to właśnie w tym drugim przypadku zamiast merytorycznej dyskusji dochodzi do politycznych ataków. Często bezrefleksyjnych, dalekich od analizy aktów prawnych, które komentuję, a czasami opartych na podstawowych błędach merytorycznych. Nic natomiast nie wiem o skargach do europejskich organów. Chyba że ma pan na myśli niedawne wystąpienie posła Halickiego, które według mnie zakończyło się naszym sukcesem i wsparciem ze strony EROD.
Mówi się, że przez kontrowersje wokół pana zmalała renoma polskiego urzędu w oczach przedstawicieli organów z pozostałych państw członkowskich UE.
Jest dokładnie na odwrót. Niedawno zakończyła się 26 sesja plenarna Europejskiej Rady Ochrony Danych Osobowych, na której z przykrością odnotowałem próbę ataku na renomę UODO, która w mojej opinii zakończyła się niepowodzeniem. Wydałem zresztą niedawno obszerne oświadczenie w tej sprawie. Na wspomnianej sesji był omawiany wniosek posła Halickiego, którego – co z przykrością odnotowałem – wspierał także dr Wiewiórowski, Europejski Inspektor Danych Osobowych. Wniosek dotyczył przekazania danych PESEL przez Ministerstwo Cyfryzacji Poczcie Polskiej i był wyraźną próbą wywarcia politycznego nacisku na europejski organ. EROD nie jest organem nadzorującym ochronę danych i nie ma odpowiednich kompetencji i uprawnień takie jak krajowe organy nadzorcze. W pierwszej kolejności ocena domniemanych naruszeń RODO należy więc zdaniem rady do kompetencji niezależnego krajowego organu nadzorczego, jakim jest Urząd Ochrony Danych Osobowych. W mojej opinii rada stanęła murem za UODO, a próba politycznego nacisku poniosła klęskę.
Eksperci uważają, że powinien pan jednak bardziej zdecydowanie zadziałać w sprawie przekazania Poczcie Polskiej danych ze spisu wyborców.
Eksperci od RODO nie zadali sobie nawet trudu, aby przeczytać mój tekst ze zrozumieniem. Niezależną PKW nazywali organem rządowym i w żaden sposób nie odnosili się do specustawy o COVID-19 oraz decyzji premiera, która była wiążąca i do której się odnosiłem. Zamiast tego wytoczono ataki ad personam, bez najmniejszej woli rzeczowej analizy moich argumentów. To przykre, ale i niebezpieczne, bo jest to de facto atak na moją niezależność. A ci, którzy najbardziej starają się ją podważyć, najgłośniej krzyczą, że robią to w jej obronie. W tamtym stanie prawnym podstawą prawną do kierowania przez Pocztę Polska żądania udostępnienia jej danych był art. 99 ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 w związku z decyzją Prezesa Rady Ministrów nakładającą określone obowiązki na operatora pocztowego. Przepis ten stanowił, że wyznaczony operator pocztowy kieruje takie wnioski także wtedy, gdy wykonuje obowiązki nałożone na niego przez organy administracji rządowej. A taki obowiązek, dla realizacji którego potrzebne jest pozyskanie danych osobowych, został nałożony na Pocztę Polska decyzją Prezesa Rady Ministrów z 16 kwietnia 2020 r., na którą powołuje się operator pocztowy.
A co ze sprawą uniemożliwienia publikacji list poparcia do KRS? Wówczas też mało który prawnik popierał pana działania.
Po wydanym przeze mnie postanowieniu urząd, w tym ja, znaleźliśmy się pod nieprawdopodobnym atakiem. Głównym zarzutem było niewykonanie wyroku sądu. Tymczasem wyrok miała wykonać Kancelaria Sejmu, a nie prezes UODO. Przy czym nie był to wyrok, który by nakazywał Kancelarii Sejmu ujawnienie tych nazwisk. NSA prawomocnie uchylił decyzję odmawiającą udostępnienia informacji publicznej, co oznaczało konieczność powtórnego rozpatrzenia tej sprawy przez Kancelarię Sejmu. A do UODO wpłynęły skargi, które należało rozpatrzyć. Niestety takie sytuacje mogą się powtarzać. Podczas prac legislacyjnych nad dostosowaniem ustaw krajowych do ogólnego rozporządzenia ustawa o dostępie do informacji publicznej nie została dostosowana do RODO. Dlaczego? Nie wiem. Ale już w 2014 r. prof. Małgorzata Gersdorf jako pierwsza prezes SN wystąpiła do prezesa Trybunału Konstytucyjnego (którym był wówczas prof. Andrzej Rzepliński) z wnioskiem o zbadanie konstytucyjności art. 5 ustawy o dostępie o informacji publicznej. Wniosek ten przygotował prof. Marek Chmaj, który reprezentował SN w tej sprawie i w przygotowanym piśmie na kilkudziesięciu stronach trafnie wskazywał niezgodność art. 5 ustawy o dostępie o informacji publicznej z konstytucją i z prawem europejskim. W 2015 r., po paru miesiącach, pierwsza prezes wycofała ten wniosek z TK, ale nie oznacza to, że problem przestał istnieć. W tym wypadku zwyciężył dostęp do informacji publicznej, ale przegrały prawa człowieka.
Mimo wszystko przedstawiciele firm w Polsce są rozgoryczeni faktem, że muszą spełniać restrykcyjne postanowienia RODO, kiedy ich zdaniem UODO odpuszcza spełnianie tych samych obowiązków władzy.
To mylne spostrzeżenia. Pragnę przypomnieć, że za mojej kadencji wszczęliśmy postępowania wobec Ministerstwa Sprawiedliwości, KRS (w związku z podejrzeniem, że instytucje te mogły przetwarzać dane z prywatnego życia sędziów), Kancelarii Sejmu w związku z ujawnieniem danych z list poparcia sędziów do KRS, a ostatnio wobec Głównego Geodety Kraju. W tym ostatnim przypadku występowałem zarówno do GGK z nakazem zaprzestania ujawniania danych osobowych setek tysięcy osób, ale i do ustawodawcy w celu zmiany regulacji w taki sposób, by nie dało się ich interpretować w sposób niekorzystny dla ochrony danych. Zgłaszamy także uwagi w procesie legislacyjnym. Również do aplikacji ProteGO Safe zgłosiliśmy Ministerstwu Cyfryzacji swoje zastrzeżenia. Wątpliwe jest tu bowiem przetwarzanie z uwagi na konieczność wypełnienia obowiązku prawnego albo ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego. Wskazaliśmy przy tym na pogląd wyrażony przez Europejską Radę Ochrony Danych, która stwierdziła, że stosowanie takich aplikacji powinno być dobrowolne.
Dlaczego przez wiele miesięcy nie pojawiał się pan publicznie w mediach? Wygląda to tak, jakby nie chciał pan bronić swoich argumentów.
Urząd zawsze i regularnie informuje o swoich stanowiskach na stronie internetowej i w komunikatach medialnych. Jest w nich dokładne uzasadnienie dotyczące danego stanowiska czy decyzji. Oczywiście ktoś może z nimi polemizować. W niektórych przypadkach komentatorzy sprowadzają dyskusję na grunt polityczny. Nie zamierzam brać w tym udziału, bo prezes UODO działa w określonych ramach prawnych.
Administratorzy oraz inspektorzy ochrony danych mówią nam, że wraz z rozpoczęciem pana kadencji znacząco ograniczyła się działalność edukacyjna organu nadzorczego.
Wręcz wzrosła! Rozszerzyliśmy grupę docelową naszych działań, włączyliśmy dodatkowe narzędzia. W większym stopniu koncentrujemy się na działaniach edukacyjnych adresowanych do osób fizycznych, które nie zawsze wiedzą, jakie prawa daje im RODO i jak mogą z nich korzystać. W związku z tym w UODO podejmowanych jest bardzo wiele inicjatyw, które mają edukować całe społeczeństwo, osoby fizyczne i wspomnianych inspektorów ochrony danych. Przede wszystkim chciałbym zwrócić uwagę na naszą infolinię, z której codziennie korzysta kilkaset osób fizycznych, administratorów czy inspektorów ochrony danych. Zainteresowanie jest tak duże, że w ostatnim czasie zwiększyliśmy na niej zatrudnienie. UODO systematycznie edukuje Polaków za pośrednictwem swojej strony internetowej, gdzie publikujemy artykuły poradnikowe – często w reakcji na zaistniałe zdarzenia czy nasilające się problemy, które mogą spotkać każdego, np. kradzież tożsamości. Jesteśmy także mocno aktywni w social mediach. Na naszym kanale YouTube dostępne są materiały filmowe ze szkoleń, jakie były prowadzone przez UODO. Uruchomiliśmy własne ministudio TV i gdy tylko wrócimy do pracy w biurze, będziemy publikować dodatkowe materiały edukacyjne z wykorzystaniem naszych ekspertów. Wydajemy też newsletter adresowany do inspektorów ochrony danych.
Gdy w połowie 2018 r. startował UODO, pana poprzedniczka dr Edyta Bielak-Jomaa zapewniała, że organ nadzorczy znacząco się wzmocni. Tymczasem nadal trafiają do nas doniesienia o zbyt małym budżecie, natłoku spraw i o odpływie merytorycznych pracowników.
Budżet się zwiększył. Przybyło pracowników, ale i zadań. W 2019 r. mieliśmy do dyspozycji ok. 31,9 mln zł. Kwota ustalona w ustawie budżetowej na 2020 r. dla UODO wynosi ok. 36,7 mln zł. Wnioskowaliśmy o 40 mln zł. Warto zwrócić uwagę, że liczba skarg i naruszeń z roku na rok szybko wzrasta. Z jednej strony pokazuje to, że świadomość praw w zakresie ochrony danych rośnie (co potwierdzają także badania Komisji Europejskiej w Polsce), ale z drugiej strony wiem, że musimy sprostać tym zadaniom. W 2019 r. do UODO wpłynęły ponad 9 tys. skarg, a administratorzy zgłosili w tym czasie ponad 6 tys. naruszeń ochrony danych osobowych. Tylko w pierwszym kwartale tego roku mamy prawie 2 tys. naruszeń i niewiele mniej skarg. Dodatkowo bierzemy udział w 175 postępowaniach transgranicznych, z czego w 161 sprawach jako urząd, którego sprawa dotyczy.
Obywatele oczekiwali, że urząd będzie mógł stawać w szranki nawet z gigantami technologicznymi, np. Facebookiem. Tymczasem słyszeliśmy o przypadkach dużych wycieków danych, ale nic o działaniach UODO w tym zakresie.
Jeżeli chodzi o pozywanie Facebooka, to musiałby to zrobić organ irlandzki na nasz wniosek, ponieważ Facebook Ireland Ltd ma siedzibę w Irlandii. Poza właściwością prezesa UODO znajduje się prowadzenie spraw, dla których jako właściwe zostały wskazane na podstawie art. 55 lub art. 56 RODO organy nadzorcze pozostałych państw członkowskich. Prezes UODO ma obowiązek przestrzegania właściwości, gdyż wydanie decyzji przez organ niewłaściwy może być podstawą do stwierdzenia jej nieważności.