Nie potrzebujemy głównego inspektora ochrony danych osobowych. A przynajmniej nie potrzebujemy takiego GIODO jak obecnie.
SMS-y i telefony bombardujące użytkowników z mniej lub bardziej niepotrzebnymi ofertami marketingowymi, których zwalczenie dziś jest niczym walka z odrastającymi głowami hydry. Facebook i Google absorbujące terabajty, czy też może już petabajty, danych o swoich klientach. W planach uruchomienie systemu eZdrowie, który ma się opierać na chyba najbardziej wrażliwych danych, bo dotyczących historii zdrowia, chorób, wizyt lekarskich i przyjmowanych przez pacjentów leków. Parlament Europejski lansujący pomysł stworzenia ogromnej bazy informacji o pasażerach linii lotniczych, włącznie z tym, co jedli na pokładzie i czy nie był to posiłek halal. A do tego w perspektywie trzech lat nawet około 40 mln smartfonów i tabletów przetwarzających kolejne informacje o Polakach.
Jeżeli więc komuś się wydawało, że opowieści o tym, jak to informacje o ludziach będą najcenniejszą walutą, że analityk danych to najbardziej poszukiwany zawód przyszłości i że na podstawie tych danych można sterować naszymi przyzwyczajeniami, wyborami konsumenckimi czy wręcz naszym życiem, to science fiction, najwyższa pora, by zdał sobie sprawę, że to już są fakty.
Nie ma się co oszukiwać, że nawet jeżeli taką świadomość mamy, to na co dzień będziemy umieli i chcieli z niej skorzystać. Nie bez powodu powołano – i to jeszcze w 1997 r. – specjalny urząd Inspektora Ochrony Danych Osobowych, by to on w tej materii kontrolował, sprawdzał, pilnował i – jak trzeba – karał. Do niedawna nie wzbudzał zresztą specjalnych emocji. To się jednak zmieniło. Kiedy dotychczasowy GIODO dr Wojciech Wiewiórowski został zastępcą europejskiego inspektora ochrony danych, pojawił się problem wyboru następcy. To nie minister ani szef politycznie eksponowanego urzędu. Wręcz przeciwnie – GIODO to prawo, prawo i jeszcze więcej prawa. Nic dziwnego więc, że początkowo wybór nowego GIODO nie budził większego zainteresowania. Platforma Obywatelska zgłosiła jednego kandydata – Mirosława Wróblewskiego, prawnika z doświadczeniem w kwestiach ochrony prywatności. Nie jakiegoś szczególnie szeroko znanego, lecz ocenianego powszechnie w środowisku jako człowiek kompetentny. I wydawało się, że ta propozycja przejdzie bez większych dyskusji. Aż wybuchła bomba, że jednak PO ma innego kandydata, czy raczej kandydatkę, bez prawniczego wykształcenia, za to w lepszych kontaktach z premier Ewą Kopacz.
Mniejsza o to, czy to prawda, czy wewnątrzpartyjne rozgrywki. Ważniejsze, co ta mała awantura objawiła. A pokazała, jak bardzo z tym, po co jest GIODO, nie liczą się politycy, i jak ogromny błąd popełniają oraz że nie potrzebujemy inspektora działającego tak, jak ma to miejsce dziś – jeżeli faktycznie ma on kontrolować to, jak i po co przepływają dane osobowe 40 milionów Polaków oraz rozstrzygać między prawem do ochrony prywatności a rozwojem innowacyjnej gospodarki, w ogromnej mierze opartej na swobodnym przepływie tychże danych. Ten urząd trzeba, i to jak najszybciej, zmienić.
Odpolitycznienie
Taki postulat dotyczy wszystkich właściwie organów kontroli państwowej. Bo przecież rolą GIODO jest – podobnie jak w przypadku rzecznika praw obywatelskich, Najwyższej Izby Kontroli, Urzędu Komunikacji Elektronicznej czy Komisji Nadzoru Finansowego – kontrolowanie działań państwa. Dlatego oczywiste jest zagwarantowanie mu niezależności od rządu i koniunktury politycznej. – Obecny mechanizm wyborów GIODO tej niezależności nie gwarantuje, bo przecież de facto decyduje o tym najsilniejsza partia w parlamencie i jej szef, często pełniący jednocześnie funkcję premiera – mówi Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
„Powoływany przez Sejm za zgodą Senatu i podlega tylko ustawie” – tyle o wyborze głównego inspektora mówi prawo. W praktyce oznacza to, że istotnie decyzja, kto obejmie ten urząd, to wybór partii czy koalicji rządzącej. Tak było w przypadku Ewy Kuleszy, Michała Serzyckiego i Wojciecha Wiewiórowskiego, czyli wszystkich dotychczasowo GIODO. Kulesza i Serzycki – co tajemnicą nie jest – trafiając na ten urząd, nie byli specjalnie obeznani w kwestii ochrony danych. Wiewiórowski – wręcz przeciwnie. Był już doświadczonym prawnikiem i urzędnikiem zajmującym się między innymi tą tematyką. Pierwszych dwóch GIODO działało jednak w czasach, gdy te kwestie dopiero się pojawiały, a z pewnością były nie tak istotne jak dziś. Mogli się więc spokojnie uczyć. – Teraz nie możemy sobie na to w żadnym razie pozwolić. Wyzwania są o wiele większe, a dodatkowo Parlament Europejski pracuje właśnie nad rozporządzeniem do ustawy o ochronie danych, które zapewne wejdzie w życie około 2018 r. i które wprowadzi naprawdę poważne zmiany do obecnego systemu – ostrzega dr Arwid Mednis, prawnik od przeszło dwóch dekad zajmujący się ochroną danych osobowych, który w latach 1991–2000 reprezentował Polskę w Komitecie ds. Ochrony Danych Osobowych w Radzie Europy w Strasburgu, w latach 1998–2000 był jego przewodniczącym.
Jakie tego upolitycznienia mogą być konsekwencje, widać po przepychankach w ostatnich dniach. – Tegoroczna afera z nagłym wycofaniem poparcia dla jedynego i przy tym bardzo dobrego kandydata na GIODO pokazuje, jak poważne mogą być konsekwencje upolitycznienia wyborów na to stanowisko. Najwyższy czas zastanowić się nad włączeniem do tego procesu niepolitycznych czynników: organizacji społecznych, które działają w obszarze ochrony danych, niezależnych ekspertów, gremiów naukowych czy nawet sędziów. Te środowiska mogłyby przynajmniej opiniować kandydatów. Chodzi o to, by kandydat, zanim zostanie przyjęty lub odrzucony przez Sejm, został rzetelnie prześwietlony pod kątem kompetencji do pełnienia tego urzędu – uważa Szymielewicz.
Takie same argumenty mają także przedsiębiorcy – choć mogłoby się wydawać, że zwiększenie kontroli nie jest w ich interesie, wręcz przeciwnie. – Nam też zależy, by był to fachowiec wybierany nie zgodnie z kluczem partyjnym, lecz na podstawie wiedzy i doświadczenia. Tylko to gwarantuje, że będzie umiał balansować między ochroną prywatności a docenieniem przedsiębiorców, którzy bez dostępu do danych nie mogą działać w innowacyjnym świecie – podkreśla Włodzimierz Schmidt, prezes zarządu IAB Polska, organizacji zrzeszającej pracodawców branży internetowej.
Unowocześnienie
Jednym z największych dokonań poprzedniego GIODO była wygrana z m.st. Warszawą. Warszawski magistrat, chcąc wprowadzić kartę warszawiaka, czyli możliwość uzyskania zniżek choćby na komunikację miejską dla płacących podatki w stolicy, dogadał się z Ministerstwem Finansów, że wnioski o wydanie karty będą automatycznie kontrolowane w resorcie, który w bazie podatników sprawdzał, gdzie wnioskujący składa PIT. GIODO pomysł się jednak nie spodobał. Przeprowadził w tej sprawie specjalną kontrolę i oświadczył, że zarówno ratusz, Zarząd Transportu Miejskiego, jak i resort finansów złamały ustawę o ochronie danych osobowych, wymieniając się danymi obywateli. Według kontrolerów GIODO przy wprowadzaniu karty warszawiaka prawo złamano trzykrotnie. Po pierwsze, miasto zbierało informacje dotyczące miejsca rozliczania podatku PIT przez mieszkańców bez żadnej podstawy prawnej, zaś Ministerstwo Finansów – także bezprawnie – udzielało ratuszowi danych na ten temat. Drugim zarzutem, zdaniem GIODO, było samo przekazanie resortowi finansów miejskiej bazy danych. Największego, według kontrolerów, naruszenia dopuścił się jednak ZTM. Otóż przed zawarciem umowy z Ministerstwem Finansów przekazano bazę danych wszystkich osób w wieku 18–70 lat posiadających spersonalizowane karty miejskie. Wprawdzie zarzuty te sąd odrzucił, lecz warszawscy urzędnicy, dmuchając na zimne, zmienili zasady: by dostać kartę warszawiaka, trzeba teraz samemu pofatygować się do urzędu skarbowego i poprosić o potwierdzenie rozliczenia podatku. Dopiero z tym dokumentem można wnioskować o kartę.
Na pewno jest to bardziej zgodne z prawem, na pewno lepiej chroni dane mieszkańców i na pewno też jest dla nich o wiele mniej wygodne. – I takich trudnych do rozstrzygnięcia kwestii na przecięciu różnych zasad będzie coraz więcej. Nie wszystkim z nich zresztą podoła suche prawo. Dlatego uważamy, że GIODO powinien mieć zastępcę. Niekoniecznie z wykształceniem prawniczym, za to z praktycznym doświadczeniem z rynku. Kogoś, kto byłby głosem przedsiębiorców, ale też potrafił dobrze orientować się w trendach i widział, gdzie mogą pojawić się nowe zagrożenia – mówi Włodzimierz Schmidt.
Ostre naboje
Dziś GIODO, nawet jeśli może skontrolować działania firmy czy instytucji publicznej, nie ma silnych argumentów, które mogłyby przekonać administratora danych do respektowania prawa. Dysponuje tylko niewielkimi karami – do 50 tys. zł, a w praktyce żadna do tej pory nie przekroczyła 25 tys.
– W przypadku gdy administrator danych nie wykonuje decyzji GIODO, ten organ powinien dysponować możliwością wymierzenia sankcji finansowych liczonych w procentach od obrotu spółki i milionach euro. Podobnie jak może karać UOKiK, w przypadku naruszenia prawa konkurencji. I proszę zauważyć, że zagrożenie tak wysokimi karami naprawdę zaczyna przynosić efekty – podkreśla Szymielewicz.
Według części ekspertów tylko taka perspektywa będzie w stanie zmusić każdego gracza na rynku, nawet wielką międzynarodową korporację, do poważnego traktowania tematu ochrony danych osobowych. Nie do końca jednak ten pomysł podoba się przedsiębiorcom, którzy obawiają się kar tak wysokich, że mogą zagrozić swobodnemu funkcjonowaniu na rynku. – Nie ma chyba jednak innej metody, by GIODO faktycznie miał moc sprawczą. Dziś jest tak, że spływają do niego dane obejmujące zaledwie kilkanaście procent informacji, którymi dysponują przedsiębiorcy i które to powinni oni GIODO zgłosić. Ale nie ma możliwości wymuszenie przestrzegania prawa – tłumaczy dr Mednis i dodaje, że na około 600 wniosków, jakie do końca 2013 r. GIODO złożył do prokuratury, ta, jeszcze w samych prokuraturach, albo odrzuciła wniosek, albo umorzyła postępowanie w ponad 400 sprawach, a niemal całą resztę podobnie potraktowały sądy. Tylko w kilku przypadkach rzeczywiście skazano za złamanie ustawy.
Prawo do ostrzejszego karania najprawdopodobniej wprowadzi unijne rozporządzenie, jednak pojawiają się głosy, że nie powinno się na nie czekać. I wcześniej zwiększyć uprawnienia urzędu w tym aspekcie, choć wprowadzając trochę niższy zakres kar. Owszem, byłyby to przepisy przejściowe przed wejściem prawa europejskiego, ale przygotowałyby przedsiębiorców do nowych rygorystycznych zasad. A dodatkowo przybliżyłoby to w czasie danie GIODO realnej możliwości zakazania pewnych działań i nakazania innych.
Rozszerzenie
Podobnie jak przy ostrzejszych karach, tak i w temacie rozszerzenia kompetencji poza terytorium Polski zmiany wprowadzi za kilka lat unijne prawo. Tyle że i tu czekanie na te zmiany mocno ogranicza możliwości inspektora. – Dziś zakres jurysdykcji i kompetencji GIODO nie obejmuje kluczowych graczy na rynku usług internetowych, w tym potężnych firm zagranicznych, które przecież przetwarzają dane obywateli Polski – zauważa Szymielewicz.
Co więcej, unijne rozporządzenie przewiduje możliwość wniesienia skargi na działania firmy w kraju, w którym mieszka pokrzywdzony obywatel – a więc w naszym przypadku w Polsce, bez względu na to, w jakim kraju jest zarejestrowana firma. To oznacza więcej władzy i więcej odpowiedzialności dla GIODO. Przygotowania do takiego zwiększenia kompetencji oraz wymogów wobec urzędu warto zacząć wcześniej. – U nas wciąż inspektor ma bardzo ograniczone możliwości działania także na ważnych polach krajowych – szczególnie wobec Kościołów i służb przetwarzających informacje niejawne – podkreśla ekspertka i dodaje, że te zmiany trzeba by przeprowadzić w pierwszej kolejności. Zresztą pomysłów na zwiększanie możliwości GIODO jest więcej. Można, jak w Wielkiej Brytanii czy na Słowacji, dołożyć mu jeszcze uprawnienia z zakresu dostępu do informacji publicznej. Można także powiązać szczegółową ochronę danych osobowych z ochroną prywatności tam, gdzie niekoniecznie dotyczy ona samych informacji. Modeli stosowanych na świecie jest kilka. Żaden nie jest idealny dla Polski, ale warto przynajmniej je rozważyć.
Dofinansowanie
15,2 mln zł budżetu i 119 etatów. Dla porównania NIK – 235 mln i 1640 etatów, Instytut Pamięci Narodowej – 244 mln i 2099 pracowników. I, co ważne, budżet i zasoby GIODO od lat niespecjalnie rosną. A obowiązków przybywa. W 2013 r. jego eksperci obsłużyli 4911 zapytań z prośbą o interpretację prawa, rozpatrzyli 1897 skarg, przeprowadzili 60 szkoleń i 173 kontrole, wydali 1359 decyzji administracyjnych i 121 wystąpień do instytucji i firm, a do tego jeszcze zaopiniowali 617 projektów aktów prawnych.
Nawał pracy jest tak duży, że dziś w Biurze Rzecznika Praw Obywatelskich zaczynają się już pojawiać, i to w niemałej ilości, skargi na opieszałość GIODO. – Z braku środków materialnych i ludzi na zorganizowanie departamentu rejestracji zbiorów pojawiła się nowelizacja, zgodnie z którą zamiast takiej rejestracji przedsiębiorca może zatrudnić swojego administratora danych. Co tak naprawdę wcale życia firmom nie ułatwiło, a po prostu miało trochę urząd odciążyć – opowiada dr Mednis.
I tak – bez odpowiedniego budżetu, bez silnego zespołu ekspertów od prawa i informatyki – GIODO staje się wydmuszką. Żeby móc udźwignąć poszerzone kompetencje kontrolne i rzetelnie realizować powierzone mu zadania, urząd ten naprawdę potrzebuje odpowiedniego finansowania i kompetentnych ludzi, szczególnie w obszarze nowych technologii.
Duże korporacje już wiedzą, że dane są naprawdę bardzo cenne i warto w nie inwestować. Teraz powinni się do tego przekonać także politycy, w których rękach jest to, jak o te cenne informacje zadba państwo.
GIODO, nawet jeśli może skontrolować działania firmy czy instytucji publicznej, nie ma argumentów, które mogłyby przekonać administratora danych do respektowania prawa