Prokuratura umarza sprawę wycieku danych, choć osoby postronne mogły dowiedzieć się, co dolegało chorym, i poznać ich historię leczenia. To pominięcie interesu pacjentów - mówi w wywiadzie dla DGP dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Skierowała pani do prokuratora generalnego wystąpienie, w którym zwraca pani uwagę, że prokuratorzy zbyt często umarzają postępowania dotyczące przestępstw związanych z ochroną danych osobowych. Co panią do tego skłoniło?
Wydaje nam się, że prokuratorzy nie doceniają – nie chcę powiedzieć lekceważą, bo mam nadzieję, że tak nie jest – wagi i potrzeby ochrony danych osobowych i szeroko pojętej prywatności. Tymczasem
prawo do prywatności to jedno z podstawowych praw człowieka, a świadomość społeczna w tym zakresie jest coraz większa. Dowodzi tego lawinowo narastająca liczba wpływających do nas skarg. W części przypadków kierujemy do prokuratury zawiadomienia o popełnieniu przestępstwa, jednak ta umarza postępowania, co dziwi obywateli. Traktują to jako brak zrozumienia i poszanowania ich praw. „Jak to nie było przestępstwa, skoro moje dane wyciekły?” – pytają.
Daleka jestem od tego, by zarzucać prokuratorom złą wolę, ale być może potrzebne jest większe zrozumienie, jak ważna dla ludzi jest ich prywatność. Istotne jest również, że obowiązek ochrony danych osobowych wynika nie tylko z polskich, ale i z unijnych
przepisów. Na razie z dyrektywy, a za chwilę z nowego rozporządzenia unijnego. A to oznacza, że skutecznością działań polskich organów, w tym również prokuratur, interesuje się Komisja Europejska.
Z czego, pani zdaniem, wynika takie podejście prokuratorów?
Najprawdopodobniej z niewłaściwej interpretacji przepisów. Prokuratorzy zdają się nie zauważać, że niezabezpieczenie danych osobowych i umożliwienie do nich dostępu osobom nieuprawnionym wypełnia znamiona przestępstw z przepisów karnych ustawy o ochronie danych osobowych. A nawet gdy przesłanki takie są dostrzegane, to i tak najczęściej postępowania umarza się ze względu na znikomą szkodliwość społeczną czynu. A przecież przestępstwa związane z brakiem ochrony danych osobowych są przestępstwami ściganymi z urzędu i to na prokuraturze oraz
policji spoczywa obowiązek wyjaśnienia wszelkich faktów niezbędnych do ukarania winnych naruszenia przepisów ustawy.
O jakiego typu sprawy chodzi?
W wystąpieniu do prokuratora generalnego podajemy przykład placówki medycznej, w której doszło do wycieku danych wrażliwych. Powodem był brak odpowiedniego nadzoru nad przetwarzaniem
danych osobowych pacjentów likwidowanej jednostki. Osoby postronne mogły więc dowiedzieć się, co dolegało chorym, i poznać ich historię leczenia. Reakcja prokuratury? Umorzenie sprawy z powodu braku możliwości pozyskania dowodów uzasadniających popełnienie przestępstwa, choć dane wrażliwe wyciekły i był to fakt niepodważalny. Interes pacjentów został całkowicie pominięty. Niestety, takich przykładów jest więcej.
Jak zmienić to podejście?
Myślę, że konieczna jest współpraca, i my jesteśmy na nią otwarci. Organizowaliśmy już szkolenia dla prokuratorów i jeśli będzie taka potrzeba, będziemy organizować następne. Powtarzam – nie wierzę w to, że prokuratorzy lekceważą problem ochrony danych osobowych, ale liczę na większe zrozumienie, jak istotne są to sprawy dla ludzi, których dane nie są właściwie chronione i np. wyciekają lub są bezprawnie wykorzystywane.
Jednym z zadań GIODO jest opiniowanie projektów ustaw. Czy wasz głos jest brany pod uwagę w procesie legislacyjnym?
Niestety nie zawsze, czego przykładem są prace nad projektem ustawy – Prawo o ruchu drogowym. W ich trakcie zgłosiliśmy sporo uwag, ale dwie wydają się najistotniejsze. Pierwsza dotyczy zakresu danych osobowych gromadzonych w Centralnej Ewidencji Pojazdów i Kierowców. Przy czym chodzi także o dane wrażliwe, bo jeśli mówimy o informacjach z kart parkingowych osób niepełnosprawnych, to dotyczą one także stanu zdrowia. Co gorsza, ten zakres może być jeszcze poszerzony przez akty wykonawcze, których projektów nie przedstawiono, co zresztą jest sprzeczne z procedurą legislacyjną.
Ponadto, niepokoi nas, i to bardzo, proponowany krąg podmiotów, do których mogą trafiać dane kierowców. Ustawa umożliwia bowiem dostęp do nich tym wszystkim, którzy wykażą „uzasadniony interes”.
Co kryje się pod tym sformułowaniem?
Tego właśnie nie wiadomo. O ile mamy bogate orzecznictwo, czym jest uzasadniony interes prawny, o tyle nie wiadomo, co oznacza dużo szersze pojęcie, jakie wprowadzono do ustawy, czyli właśnie „uzasadniony interes”.
Kolejne niejasne sformułowanie to „zainteresowany podmiot”, który mógłby mieć dostęp do danych z CEPiK. Z naszej analizy wynika, że nie chodzi tu o policję, Inspekcję Transportu Drogowego czy straże gminne. A to oznacza, że chodzić może także o podmioty działające w celach komercyjnych, np. ubezpieczycieli, którzy bez wątpienia chcieliby mieć dostęp do danych o kierowcach. Pytanie tylko, czy rzeczywiście ten dostęp mieć powinni.
GIODO zgłosił swoje uwagi. Jak na nie zareagowali posłowie?
Niestety zostały one pominięte. Podczas prac podkomisji większość jej członków przeszła nad nimi do porządku dziennego i pozostawiła projekt w wersji niezmienionej. My oczywiście przedstawimy je jeszcze raz podczas dalszych prac w Senacie, a jeśli nie zostaną uwzględnione, to przekażemy je prezydentowi.
Chciałabym być dobrze zrozumiana: nie kwestionujemy potrzeby tej nowelizacji. Nie mamy nic przeciwko temu, by kierowcy mogli sprawdzać w internecie, np. ile mają punktów karnych. Chcielibyśmy jedynie, by ustawodawca zastanowił się, czy dane dotyczące kierowców rzeczywiście powinny być dostępne w zasadzie nieograniczonemu gronu podmiotów. W naszym przekonaniu tak być nie powinno, a do tego, niestety, może prowadzić ta nowelizacja.
Mówiąc wprost, wygląda na to, że nikt nie liczy się z opiniami GIODO.
Być może niektórzy uważają, że GIODO utrudnia czy spowalnia tworzenie prawa, lecz my chcemy jedynie, by w procesie legislacyjnym brano pod uwagę podstawowe prawa obywateli. Przypomnę dyskusje dotyczące kształtu ustawy o ustroju sądów powszechnych czy też sprawę zakończoną wyrokiem Trybunału Konstytucyjnego z 2014 r. o naruszeniu przepisów konstytucyjnych przez ministra zdrowia. Dotyczyła ona konieczności wprowadzenia właściwych podstaw prawnych działania rejestrów medycznych w Polsce, aby przetwarzanie zawartych w nich danych wrażliwych było uregulowane w przepisie rangi ustawy. Opinie GIODO i tym razem nie były brane pod uwagę. Podzielająca pogląd GIODO prof. Irena Lipowicz, rzecznik praw obywatelskich, wystąpiła z wnioskiem o zbadanie sprawy przez Trybunał Konstytucyjny. Chcielibyśmy – i jest to możliwe – uniknąć takich sytuacji w przyszłości, ale aby tak się stało, nasz głos musi stać się słyszalny i traktowany z powagą.
W ostatnich dniach skierowaliście pismo do marszałek Sejmu w sprawie ustawy o Instytucie Pamięci Narodowej. Co was w niej niepokoi?
W związku z nadchodzącym rozporządzeniem unijnym w sprawie ochrony danych osobowych dokonujemy przeglądu polskiego prawa. Jedną z ustaw, która budzi nasze zaniepokojenie, jest właśnie ustawa o IPN. Przewidziano w niej całkowite wyłączenie tej instytucji spod przepisów ustawy o ochronie danych osobowych. Pytamy o podstawy prawne tego wyłączenia.
Wbrew temu, co się nam zarzuca, absolutnie nie mamy na celu rzucania kłód pod nogi tej instytucji. Jej rola jest nie do przecenienia. Niemniej nie znajdujemy podstaw, zwłaszcza w prawie europejskim, do całkowitego wyłączenia jej działalności spod przepisów ustawy o ochronie danych osobowych. Dopuszczalne jest bowiem pewne ograniczenie obowiązków związanych z przetwarzaniem danych osobowych, ale nie całkowite wyłączenie. Chcemy zwrócić na to uwagę w przededniu wejścia w życie unijnego rozporządzenia, gdyż wówczas takie wyłączenie będzie z nim niezgodne.
Nie podoba się pani również kserowanie dowodów osobistych przez banki czy operatorów komórkowych.
To prawda, uważam, że powinno być to zakazane, chociaż Naczelny Sąd Administracyjny uznał to za czynność techniczną dopuszczalną przy przetwarzaniu danych osobowych. Moim zdaniem dowód osobisty powinien służyć jedynie potwierdzaniu tożsamości danej osoby. Oczywiście, bank czy operator telefoniczny ma prawo zażądać wglądu do niego, aby potwierdzić dane osoby zawierającej umowę, ale kompletnie nie rozumiem, czemu ma służyć jego skserowanie.
Tymczasem takie ksero dowodu może zostać wykorzystane przez oszustów. Zwłaszcza w dzisiejszych czasach, gdy skan dowodu osobistego może posłużyć do zawarcia umów przez internet. Jeśli sądy na podstawie obecnego prawa uznają kserowanie czy skanowanie dowodu osobistego za dopuszczalne, to być może nadszedł czas, by to zmienić.