W najbliższym czasie przed Panią spore wyzwania. Planowane jest zastąpienie dyrektywy z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych rozporządzeniem w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych.
Zmiany w ochronie danych osobowych, jakie wkrótce zostaną wdrożone, to rzeczywiście dla mnie osobiście - z racji funkcji, którą pełnię - niezwykle istotne zagadnienie, a przede wszystkim wyzwanie. Liczę, że nowe przepisy wzmocnią ochronę naszych danych, a do dbałości o prywatność i dane osobowe zaczniemy podchodzić poważnie. Wszyscy bowiem musimy się nauczyć, że istnieje coś takiego jak prywatność, i że należy o nią dbać.
Co niesie za sobą ta zmiana prawa?
Rzeczywiście, szykujemy się do absolutnej rewolucji w ochronie danych osobowych. Będą one skutkiem zmiany przepisów na gruncie prawa europejskiego. Dyrektywa z roku 1995 zostanie zastąpiona przez rozporządzenie dotyczące ochrony osób, których dane są przetwarzane. Unijne rozporządzenie to akt prawny, który będzie obowiązywał na terenie wszystkich krajów członkowskich UE bezpośrednio.
Zatem nie będzie potrzebne jego implementowanie do prawa polskiego?
Nie będzie takiej konieczności, bo faktycznie będzie ono obowiązywać bezpośrednio, lecz trzeba liczyć się z koniecznością dostosowania, polskich przepisów w zakresie ochrony danych osobowych. do regulacji tego rozporządzenia.
Rozporządzenie najprawdopodobniej zostanie przyjęte jeszcze w tym roku i choć zakłada dwuletnie vacatio legis, to jest to naprawdę niedługi czas, żeby dokonać niezbędnych zmian w polskich przepisach prawa, a także przygotować się do realizacji nowych zadań przez Biuro GIODO. W tym czasie polski ustawodawca musi m.in. dokonać przeglądu wielu aktów prawnych, aby ujednolicić definicje i wprowadzić nowe. Ostatnio bowiem coraz głośniej mówi się o zjawiskach i rodzajach danych, które wymagają uregulowania, a które nie zostały zdefiniowane w polskim prawie. Mam na myśli na przykład dane biometryczne, dane genetyczne czy instytucje biobanków.
Czy zatem GIODO otrzyma w końcu skuteczną broń w walce z łamaniem praw związanych z ochroną danych osobowych?
Liczymy na to, że tak się stanie. Rozporządzenie wyposaża krajowe organy nadzorujące przetwarzanie danych osobowych w szczególnego rodzaju kompetencje, tj. prawo nakładania kar finansowych bez procedury sądowo-administracyjnej. Przeprowadzający kontrole inspektorzy GIODO będą mogli nakładać kary, o ile zostanie stwierdzone naruszenie przepisów ustawy. Kary, choć na razie na etapie konsultacji, są dotkliwe. W grę wchodziły kwoty miliona, dwóch, a nawet 100 mln euro lub 0,5 procenta rocznego obrotu firmy.
To duże kwoty.
Moim zdaniem, to dobrze, że kary będą tak dotkliwe, gdyż dotyczą niezwykle ważnej dla naszego życia kwestii. Proszę jednak nie postrzegać GIODO jako instytucji, która gdy tylko dostanie możliwość nałożenia kar, to nic innego nie będzie robić, tylko czyhać na działania niezgodne z ustawą, by móc wymierzyć karę. Istotne będzie ustalenie, czy naruszenia prawa dokonano umyślnie, czy wynikało z niewiedzy. Niemniej kary będą istotnym instrumentem w naszej działalności. Moim zdaniem, będą motywowały administratorów do polepszenia ochrony danych osobowych, a także - działały prewencyjnie.
Czy Polacy dbają o ochronę swoich danych?
Niestety, nadal niewystarczająco. Trzeba uświadamiać ludzi, z jakimi konsekwencjami muszą się liczyć, jeśli w małym stopniu troszczą się o swoją prywatność czy o swoje dane osobowe.
Pierwszym takim impulsem był chyba masowy proceder wykorzystywania dowodów osobistych do zaciągania pożyczek i kredytów?
Tak, to jeden ważniejszych momentów, kiedy Polacy zdali sobie sprawę, że swoje dane trzeba chronić. Ale przecież handluje się danymi i nie od dzisiaj wiadomo, że taki proceder ma miejsce. Oczywiście nikt za moje imię i nazwisko czy numer telefonu nie oferuje mi pieniędzy, choć myślę, że gdyby takie propozycje były, to znalazłaby się jakaś część obywateli zainteresowanych skorzystaniem z takiej oferty.
Ale czasem zbytnia ochrona przeszkadza?
Mam poczucie, że część osób do ochrony danych osobowych podchodzi bardzo rygorystycznie, a część zbyt swobodnie. W pierwszym przypadku staramy się tak bardzo chronić dane osobowe, czego skutkiem są sytuacje, w których pomimo istnienia przepisów prawa zezwalających na ich podanie - nie można ich uzyskać. Prosty przykład: urzędnicy nie chcą dzwoniącym do nich interesantom podawać swoich imion i nazwisk, powołując się na ochronę danych osobowych. Tymczasem kwestie te reguluje nie ustawa o ochronie danych osobowych, a przepisy ustawy o dostępie do informacji publicznej. Również placówki opieki zdrowotnej, odmawiając najbliższej rodzinie pacjenta udostępnienia informacji o stanie jego zdrowia, zasłaniają się ustawą o ochronie danych osobowych. A kwestie te określają akty prawne, na podstawie których funkcjonują placówki opieki zdrowotnej.
Z drugiej strony mamy takie podejście, że skoro i tak wszyscy o nas wszystko wiedzą, to informacje na nasz temat można udostępniać podmiotom czy osobom, nawet gdy ich nie znamy i niczego na ich temat nie wiemy. Przykładem niech będzie choćby przesyłanie naszego CV do niezidentyfikowanych firm, bez wcześniejszego ich sprawdzenia, bo gwarantują nam zatrudnienie od zaraz, proponując intratne posady.
Jak zatem chronić dane skutecznie?
My nie chronimy danych jako takich, bo nie ma sensu chronić nazwy ulicy czy ciągu jakichś cyfr, np. numeru telefonu. Jeśli jednak do takich danych dołączymy choćby imię i nazwisko lub inne informacje, które umożliwią ich powiązanie z konkretną osobą, to dopiero staną się one danymi osobowymi podlegającymi ochronie.
Warto też uczulać, że zawsze zanim udostępnimy nasze dane, trzeba zastanowić się, czy chcemy, by ktoś wkroczył w naszą prywatność, a także, jakie będą konsekwencje tego, że ktoś będzie o nas tak dużo wiedział.
Jest wiele przykładów, jak poważne mogą konsekwencje ujawnienia informacji na swój temat. W USA ktoś sfotografował się z kartą kredytową, nie ujawniając ani imienia, ani nazwiska. Jednak korzystając z informacji dostępnych na portalach społecznościowych, udało się taką osobę namierzyć i okraść.
To kwestia braku zrozumienia nowoczesnych technologii lub naiwność i brak wiedzy.
Dlatego potrzebna jest zmiana mentalności. Dane powinny być dla nas ważne, choć nie uważam, aby niczego nie można było o sobie ujawniać. Nie chodzi też o zamknięcie portali społecznościowych, jestem temu absolutnie przeciwna. Ważne jest natomiast zwiększanie świadomości, jakie mogą być konsekwencje tego, że ujawniam jakieś informacje o sobie. To powinno przyczynić się, że będziemy to robić rozsądniej.
A co jeśli obywatel powie: to moje dane i mam do nich absolutne prawo. I będzie chciał sprzedać swoje dane osobowe, np. za niższy abonament, tańszy prąd?
Istotne są tu dwa aspekty – przepisy prawa określające uprawnienia podmiotu, który chce dane zbierać i wykorzystywać, oraz nasza zgoda na przetwarzanie naszych danych.
Żeby chronić konsumentów przed nieuprawnionym pozyskiwaniem ich danych osobowych, należy tworzyć odpowiednie ramy prawne określające, jakie dane klientów i na jakie potrzeby mogą być przetwarzane przez podmioty z konkretnych sektorów.
Jeśli ustawa nie daje im prawa do pozyskiwania określonych informacji o klientach, to aby ewentualnie móc je gromadzić i wykorzystywać, muszą mieć na to ich zgodę. Co istotne, musi być ona wyrażona w sposób świadomy i dobrowolny, ale wówczas to klient ma prawo wiedzieć i pytać m.in. o to, jaki jest cel przetwarzania jego danych, czy są one adekwatne do tego celu, w którym są zbierane.
Ustawodawca kwestie pozyskiwania danych osobowych obywateli powinien regulować w przepisach rangi ustawowej i my bardzo często wskazujemy, że takiej regulacji prawnej w konkretnym przypadku brakuje.
Jednym z kluczowych aspektów rozporządzenia jest kwestia profilowania klientów. Chodzi tu głównie o zmianę podejścia administratorów do informacji o celach przetwarzania danych w tym zakresie.
Rozporządzenie generalnie nie sprzeciwia się profilowaniu klientów, zwłaszcza na potrzeby marketingu własnych towarów czy usług administratora danych. Z jednej strony klienci dzięki profilowaniu odnoszą pewne korzyści, choćby mają możliwość zapoznania się z określoną ofertą w postaci np. reklamy. Z drugiej strony należy zadać pytanie, i to nie tylko rola GIODO, ale każdego konsumenta, jak dalece chcemy być profilowani i jakie wnioski z udostępnionych danych wyciąga na nasz temat ich administrator. Rozporządzenie przewiduje jednak szalenie istotne rozwiązanie, czyli dopełnianie obowiązku informacyjnego wobec profilowanego konsumenta. Jeśli dodać do tego te regulacje rozporządzenia, które nakazują, by na etapie tworzenia każdego rozwiązania, systemu czy zbioru danych analizować jego wpływ na ochronę prywatności, to ochrona naszych danych powinna zostać wzmocniona.
Przy czym informacja o tym, że może dojść do profilowania (oczywiście po uzyskaniu zgody osoby, której dane dotyczą) powinna być dla każdego czytelna.
A co z możliwością wycofania zgody na profilowanie?
To oczywiste, że powinna być możliwość skutecznego cofnięcia zgody na profilowanie. To my sami powinniśmy stać na straży naszych danych, prawa do naszej prywatności. I tu widzę duże pole do działania, jeśli chodzi o ten rodzaj aktywności GIODO, czyli edukację. Musimy się edukować nawzajem od najmłodszych lat.
Uregulowanie kwestii profilowania w rozporządzeniu brzmi dumnie. Pytanie, czy nie jest to walka z wiatrakami? Czy duże, zagraniczne koncerny „wymkną” się prawu na gruncie unijnym?
Mam nadzieję, że nie. I wygrana Hiszpanii przeciwko Google najlepiej o tym świadczy. Hiszpanie - dosyć odważnie wspierani przez hiszpański sąd - postawili się globalnej firmie, dowodząc, że hiszpański oddział Google jest administratorem danych. Oddział ten twierdził wprawdzie, że administratorem danych jest firma z USA, lecz Hiszpania wygrała tę sprawę przed TSUE. Warto dodać, że do GIODO również wpływają skargi w tym zakresie. Przykład hiszpański pokazuje jednak, że nie można się bać konfrontacji z wielkimi koncernami. Jako organ mamy stać na straży ochrony danych osobowych, a pomocne w tym jest orzeczenie TSUE, przesądzające, że hiszpański oddział Google jest administratorem danych. Jak widać nie jesteśmy bezsilni. Natomiast unijne rozporządzenie powinno nas wzmocnić w dochodzeniu naszych praw od korporacji, tym bardziej że ujednolica prawo na całym europejskim rynku.
Oczywiście problemy będą się pojawiały w sytuacji przekazywania danych poza EOG, natomiast należy wzmóc współdziałanie europejskich rzeczników, by wspólnie wpływać na to, by poziom ochrony poza UE był taki, jak na jej terenie. Europejska Rada Ochrony Danych Osobowych, jako stały organ będzie silnym podmiotem, który będzie mógł realizować takie działania.
Do profilowania klientów może być wykorzystywany także monitoring. Wbrew pozorom wiele podmiotów wykorzystuje zbierane dane, a ich jedynym celem nie jest ochrona mienia czy bezpieczeństwa publicznego, ale coś więcej. Co ciekawe, nikt z nas, przekraczając próg sklepu, nie jest o tym informowany?
Pyta Pan, kiedy będzie w końcu ustawa o monitoringu wizyjnym? To świetne pytanie, które również i ja zadaję, bo GIODO nie ma inicjatywy ustawodawczej. Wielokrotnie już wskazywaliśmy, że konieczne jest uchwalenie osobnej ustawy regulującej tę kwestię kompleksowo. Według mnie jest ona niezbędna, bo tak naprawdę oprócz szczątkowych regulacji, nie mamy podstaw prawnych, aby taki monitoring funkcjonował.
A co z obowiązkiem informacyjnym i celowością monitoringu? Bezpieczeństwo to bardzo szerokie pojęcie.
Mamy słynne już orzeczenie TSUE w sprawie Obywatela Czech, który zainstalował monitoring przed domem, z obawy przed kradzieżą czy chuligaństwem, tyle że kamera nagrywała nie tylko jego samochód, ale dodatkowo - fragment ulicy. Trybunał stwierdził, że Czech przetwarza dane osobowe, a więc jest ich administratorem. Dlatego uznał, że – przy braku szczegółowych regulacji o monitoringu – osoby czy podmioty dokonujące nagrań powinny dopełniać wszelkich obowiązków ciążących na administratorach danych, w tym obowiązku informacyjnego. Powinny zatem informować, że dany obszar jest monitorowany, wskazywać, w jakim celu oraz kto jest administratorem przetwarzanych w związku z tym danych. Ich obowiązkiem jest także umożliwienie monitorowanym osobom, do czego uprawnia ich ustawa o ochronie danych osobowych, kontrolowania tego, w jaki sposób ich dane są przetwarzane,. To jest trudne do wykonania, a w zasadzie prawie niemożliwe. Proszę sobie wyobrazić, że zatrzymujemy każdego na ulicy i informujemy, nagrywam pana/panią przez 24 godziny na dobę. Jeżeli osobnej ustawy o monitoringu jednak nie będzie, to GIODO będzie zmuszony do żądania od każdego, kto przestrzeń publiczną dla celów prywatnych nagrywa, spełnienia wszystkich obowiązków wynikających z ustawy o ochronie danych osobowych.
Tu mamy problem monitorowania sklepów, ale także popularnych wideorejestratorów, kiedy nagrania z nich umieszczamy w sieci.
Oczywiście. Z jednej strony nie chcemy być nagrywani, ale z drugiej bez żadnych oporów umieszczamy tego typu filmiki w Internecie. Proszę zauważyć, że kiedy rzeczywiście dochodzi do umieszczenia filmu czy zdjęcia w sieci, wiele osób uruchamia procedurę żądania ich usunięcia. Ale nie łudźmy się, w sieci nic nie ginie i nawet jeśli administrator, na naszą prośbę usunie dotyczące nas materiały, to i tak, powielone, mogą pojawić się w kolejnych serwisach.