Zapraszamy na II część wywiadu z Agnieszką Grzelak – Zastępczynią Prezesa Urzędu Ochrony Danych Osobowych.
Część I wywiadu dostępna jest TUTAJ
Tomasz Osiej (TO): Wspomniała Pani o małych i średnich przedsiębiorstwach. Czy moglibyśmy się przy tym na chwilę zatrzymać? Czy chodzi o marketing, który jest zmorą dla większości z nas?
Agnieszka Grzelak (AG): Tak, to zdecydowanie problematyczna kwestia. Choć istnieje wiele obszarów, które wymagają uwagi, marketing bezpośredni jest jednym z tych, które najczęściej dotykają obywateli. W tej dziedzinie współpracujemy z innymi organami, choć pojawiają się trudności związane z podziałem kompetencji i odpowiedzialności.
TO: A małe i średnie przedsiębiorstwa? Co z nimi?
AG: Ten sektor jest obecnie przedmiotem naszego szczególnego zainteresowania. Minęło już sześć lat od wprowadzenia RODO, ale wciąż zauważamy brak ugruntowanej i powszechnej wiedzy na ten temat wśród małych i średnich przedsiębiorców. Planujemy pewne działania, aby przyjrzeć się, jak realizowane są wymogi RODO w praktyce.
TO: Czyli RODO nie wszędzie się przyjęło?
AG: Nie wszędzie. Niestety, wielu przedsiębiorców traktuje je jedynie jako formalny wymóg – kolejną porcję dokumentów do wypełnienia i odłożenia na półkę. Nie dostrzegają natomiast faktycznego celu i korzyści, jakie niesie za sobą ochrona danych osobowych.
TO: A co z zapowiedzianymi poradnikami? Kiedy możemy się ich spodziewać? Czy będą one zawierać zdania odrębne doradców społecznych, zgodnie z wcześniejszymi zapowiedziami?
AG: Pracujemy nad kilkoma poradnikami, w tym dwoma we współpracy z naszym Społecznym Zespołem Ekspertów – jeden dotyczy zatrudnienia, a drugi zgłaszania naruszeń. Bardziej zaawansowane są prace nad tym drugim, który powinien ukazać się jeszcze w styczniu. Poradnik dotyczący zatrudnienia wymaga więcej czasu, ponieważ w trakcie konsultacji otrzymaliśmy wiele uwag, które musimy dokładnie przeanalizować. Ponadto, w ostatnich latach pojawił się szereg nowych problemów, do których taki poradnik powinien się odnieść.
Poradniki będą przedstawiać jednolite stanowisko Urzędu, aby uniknąć zamieszania. Choć eksperci mają prawo do swojego zdania odrębnego, publikacje powinny być spójne i jasne dla odbiorców. W razie zmian w interpretacji wynikających z orzecznictwa sądowego, poradniki będą aktualizowane.
TO: W ostatnim czasie pojawiło się kilka ciekawych wypowiedzi dotyczących sygnalistów, o które chciałbym dopytać. Czy UODO planuje wydać wytyczne dotyczące ochrony tożsamości sygnalistów? Jak będą wyglądać procedury rozpatrywania zgłoszeń zewnętrznych?
AG: Przypominam, że na etapie przyjmowania przepisów urząd zgłaszał szereg wątpliwości i zastrzeżeń, których nie uwzględniono w pracach. Rozumiem, że ustawodawca się śpieszył, co było uzasadnione wyrokiem TSUE nakładającym karę pieniężną na Polskę, ale wydaje mi się, że pewne przepisy można było lepiej skonstruować. W tej chwili pojawiają się problemy, z którymi my musimy się zmierzyć. Już trafiają do nas pytania dotyczące interpretacji przepisów ustawy. Po czerwcowym seminarium, obecnie zbieramy informacje i planujemy kolejne seminarium poświęcone zgłoszeniom zewnętrznym, które zamierzamy zorganizować z grupą ekspertów i biurem RPO. To pozwoli na zidentyfikowanie problemów i w razie potrzeby opracowanie stanowisk zgodnych z oczekiwaniami rynku.
TO: Przy zgłoszeniach zewnętrznych Urząd jest również jedną z instytucji, do których będą trafiać zgłoszenia. Jaka będzie procedura rozpatrywania zgłoszenia i jak będzie się miała do dotychczasowego trybu rozpatrywania skarg?
AG: Przygotowaniem stosownych procedur w Urzędzie zajmował się zespół pod kierunkiem Pana Prezesa Komornickiego. Wszelkie informacje na ten temat znajdują się na naszej stronie internetowej. Jeśli chodzi o procedury, od 25 grudnia przyjmujemy zgłoszenia sygnalistów. To oznacza, że skargę do Prezesa UODO należy odróżnić od zgłoszenia sygnalisty. W tym drugim przypadku postępowanie będzie toczyło się nieco inaczej – nie mamy np. obowiązku stosowania przepisów kodeksu postępowania administracyjnego. Osoba, która będzie zgłaszała skargę jako sygnalista, będzie chroniona w relacji do podmiotu, którego zgłoszenie dotyczy. Wprowadziliśmy także oddzielne kanały komunikacyjne dla sygnalistów.
TO: W sprawozdaniu Prezesa UODO widać, że kary są nakładane głównie za powtarzające się uchybienia, takie jak brak zgłaszania naruszeń czy błędy w analizie ryzyka. Czy wynika to z niewiedzy administratorów czy z ich podejścia?
AG: Celem kar nakładanych przez Prezesa UODO nie jest wyłącznie ukaranie podmiotu, ale przede wszystkim szersza edukacja, nie tylko podmiotu ukaranego, poprzez wskazanie właściwego sposobu postępowania w podobnych przypadkach. Staramy się, aby decyzje były analizowane i traktowane jako wzorzec dla innych. Mamy przecież 2025 r., mija już 7 rok stosowania RODO. Po tylu latach trudno zasłaniać się brakiem wiedzy, stąd pojawiają się kary. Chcielibyśmy jednak, by były one szerzej czytane i analizowane.
Zmodyfikowaliśmy – również w tym celu – strategię komunikacyjną Urzędu, aby wyjaśniać nasze działania w sposób zrozumiały i przystępny. Komunikaty są formułowane w sposób bardziej zrozumiały, ale nadal sporo do zrobienia jest po tzw. „drugiej stronie”, czyli wśród odbiorców komunikatów. Czasem mam wrażenie, że od urzędu oczekuje się podstawowych działań edukacyjno-szkoleniowych, podczas gdy powinniśmy już wszyscy być o wiele dalej i prowadzić o wiele bardziej zaawansowane analizy, chociażby dotyczące wpływu SI na nasze dane. W każdym razie, z przedstawianych informacji powinno jasno wynikać, że kary nakładane są w ostateczności – tylko 1% zgłoszonych naruszeń kończy się taką decyzją. Naszym celem jest współpraca i wspieranie podmiotów w minimalizowaniu ryzyka.
TO: Czyli mamy się nie bać zgłaszania naruszeń?
AG: Nie, absolutnie nie należy się bać zgłaszania naruszeń, wprost przeciwnie – dobra współpraca z urzędem może pozwolić na zminimalizowanie problemów. Jednocześnie mam nadzieję, że poradnik o naruszeniach wyjaśni, że nakładanie kar to nie jest żaden automatyzm, a zgłoszenie naruszenia nie zawsze równa się wszczęciu postępowania. Chcemy raczej podkreślić konieczność współpracy z urzędem i zgłaszania naruszeń, oczywiście nie wszystkich, bo nie wszystkie muszą być do nas zgłaszane. Myślę, że w poradniku wiele tematów zostanie wyjaśnionych.
TO: Pozostając w temacie naruszeń, ale to już ostatnie pytanie z tej puli. Dlaczego Polska zajmuje pierwsze miejsce pod względem liczby zgłoszeń naruszeń na mieszkańca? Czy wynika to z obaw, nadgorliwości, czy może rzeczywiście jesteśmy krajem przyfrontowym, w którym dzieje się dużo w tej kwestii?
AG: Nie sądzę, by samo położenie Polski miało na to znaczący wpływ. Raczej dostrzegam tu dwa istotne czynniki. Pierwszy to zgłaszanie naruszeń „na wszelki wypadek” – często także sytuacji, które faktycznie tego nie wymagają. Wynika to z obawy przed ewentualnymi konsekwencjami braku zgłoszenia. Drugi czynnik to swoista „presja kar”. Już od początku obowiązywania RODO podkreślano wysokość potencjalnych sankcji finansowych – często milionowych. Ta wizja wciąż jest żywa w świadomości administratorów. W efekcie zgłaszają oni naruszenia z dużą ostrożnością, kierując się zasadą, że lepiej być nadgorliwym niż zaniedbać obowiązek.
TO: To tutaj poradnik rzeczywiście może odegrać kluczową rolę. Czekamy z niecierpliwością.
Czy Urząd Ochrony Danych Osobowych jest gotowy sprostać wyzwaniom związanym z dynamicznym rozwojem sztucznej inteligencji? Jak zamierzacie nad tym zapanować?
AG: Nasza rola w systemie regulacji sztucznej inteligencji wciąż się kształtuje. Opracowywany jest projekt ustawy, w którym przewiduje się udział Prezesa Urzędu w pracach Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. W obszarze ochrony danych osobowych kluczowe jest zapewnienie niezależności organu ochrony danych osobowych – zgodnie z założeniami aktów prawnych dotyczących ochrony danych osobowych, jak i SI. Na razie podchodzimy do tematu aktywnie, opiniujemy projekty ustaw, a w konkretnym wymiarze monitorujemy zagrożenia i analizujemy skargi, które do nas wpływają. Szczególnie uważnie przyglądamy się tym sprawom, w których pojawia się problem współpracy z innymi organami w Europie. Działania międzynarodowe są kluczowe, ponieważ sztuczna inteligencja często funkcjonuje w ramach globalnych struktur.
Równolegle widzimy konieczność rozwoju własnych kompetencji i wsparcia ekspertów w tej dziedzinie. Liczymy, że uda się pozyskać odpowiednie środki finansowe na rozbudowę kadr i pozyskanie specjalistycznej wiedzy, ponieważ tematyka ta jest niezwykle złożona. Już teraz wspieramy tworzenie kodeksów i wytycznych, które pomogą w regulowaniu stosowania SI, choć nadal wszyscy uczymy się tej materii.
TO: Co Panią zaskoczyło w pracy w UODO – zarówno pozytywnie, jak i negatywnie?
AG: Zdecydowanie na plus zaskoczyło mnie zaangażowanie i poziom eksperckości zespołu pracowników Urzędu. To osoby z ogromnym doświadczeniem, które „zjadły zęby” na ochronie danych osobowych. Wielu z nich znałam wcześniej i współpracowałam z nimi już od czasów ministra Wiewiórowskiego, co teraz tylko dodatkowo ułatwia współpracę.
Zaskoczeniem – w nieco trudniejszym wymiarze – jest współpraca z niektórymi resortami. Liczyłam, że w Polsce wzrosło zrozumienie dla problematyki ochrony danych osobowych, ale wciąż widzimy deficyty, choćby w zakresie przeprowadzania ocen skutków dla ochrony danych przy projektowaniu nowych przepisów i szereg innych, bardzo znaczących problemów z uwzględnieniem kwestii ochrony danych osobowych na poziomie stanowienia przepisów prawa. Przecież dopuszczalne ograniczenie prawa do ochrony danych osobowych, w tym obowiązek wykazania ich konieczności i niezbędności to nie są nowe wymogi. O tym stanowi już Konstytucja RP.
Nie ukrywam, że oczekiwalibyśmy budżetowego wsparcia dla urzędu w kontekście nowych obowiązków wynikających z regulacji takich jak akt o sztucznej inteligencji, DSA czy DGA, ale też związanych z innymi nowymi zadaniami. Chociażby związanymi z wielkoskalowymi systemami informacyjnymi. Bardzo dobrze rozwija się natomiast współpraca Prezesa UODO z takimi organami jak Rzecznik Praw Dziecka czy regulatorzy rynków – tworzymy wspólne zespoły robocze i porozumienia, co pozwala działać skuteczniej.
TO: Jakie wyzwania w ochronie danych osobowych będą dominować w 2025 roku?
AG: Największym wyzwaniem będzie integracja RODO z innymi regulacjami cyfrowymi, takimi jak akt o sztucznej inteligencji, akt o zarządzaniu danymi, akt o usługach cyfrowych czy dyrektywa NIS 2. Wdrożenie tych przepisów wymagać będzie dostosowania procedur i zapewnienia spójności między różnymi standardami prawnymi. Ta tematyka zresztą jest jednym z priorytetów polskiej prezydencji w Radzie UE – różne wymiary bezpieczeństwa, w tym informacyjnego. Na znaczeniu zyskają też kwestie związane z cyberbezpieczeństwem i ochroną danych osobowych. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nakłada dodatkowe obowiązki, które będą wymagały koordynacji między różnymi podmiotami.
Poza tym, w mojej ocenie kwestia mediów społecznościowych nadal będzie tym kluczowym obszarem, w którym pojawią się wyzwania, chociażby w kontekście dezinformacji, ataków hakerskich w powiązaniu z nadchodzącymi wyborami prezydenckimi. Będziemy się temu przyglądać.
Będziemy również niezmiennie kładli bardzo duży nacisk na ochronę danych grup wrażliwych, w szczególności dzieci i seniorów.
TO: Właśnie chciałem zapytać o tę grupę. Szczególnie chodzi mi o seniorów, których temat jest nieco pomijany. Kilkakrotnie podejmowaliśmy ten temat w naszym podcaście #RODOłamacz i wiem, że jest duży deficyt zainteresowania wykluczeniem seniorów. Nie sądzi Pani, że jeśli chodzi o ludzi starszych i ich cyfryzację, to jest to bardzo zaniedbana grupa? Czy starsze osoby są wystarczająco wspierane w cyfrowym świecie?
AG: Seniorzy są grupą, która rzeczywiście często pozostaje na marginesie działań edukacyjnych w zakresie cyfryzacji i ochrony danych. Postanowiliśmy się przyjrzeć temu problemowi i zaadresować pewne działania Urzędu właśnie w kierunku tej grupy społecznej. Niedawno podpisaliśmy porozumienie z uniwersytetami trzeciego wieku, a w planach mamy powołanie senioralnej rady doradczej. Chcemy wsłuchać się w głos seniorów, aby lepiej zrozumieć ich potrzeby i wyzwania, przed jakimi stają. Widzimy przecież wszyscy problemy, o których Pan wspomniał: wykluczenie cyfrowe, brak możliwości zrozumienia pewnych treści czy zagrożenie zdarzeniami, z którymi seniorzy sobie nie radzą, takimi jak chociażby cyberoszustwa.
TO: Bardzo dobra inicjatywa. Wyraźnie widzimy potrzebę wsparcia seniorów, a kiedyś wszyscy będziemy seniorami. Jesteśmy nagabywani, by założyć aplikację taką czy inną, a potem okazuje się, że osoby starsze są wobec nich bezbronne, w zasadzie nie wiedzą, co z tym zrobić.
AG: No tak, pojawiają się teraz różne pomysły, różne inicjatywy – chociażby na przykład aplikacje zdrowotne, które starsi ludzie będą instalować w swoich urządzeniach, bo przecież mają takie potrzeby. Nie mają jednak świadomości, jakie to może mieć istotne dla nich konsekwencje i jak korzystać z takich rozwiązań, nie narażając się jednocześnie na zagrożenia.
TO: Na koniec – jakie przesłanie chciałaby Pani przekazać administratorom danych i wszystkim zaangażowanym w ochronę danych osobowych?
AG: Najważniejsze to nie zatracić sensu RODO. Nie traktować go jako kolejnego formalnego obowiązku, lecz jako narzędzie służące ochronie praw człowieka. Kluczowe jest dbanie o interes osób, których dane dotyczą, a nie wyłącznie o interes finansowy administratora. RODO to ochrona przed nadużyciami władzy i gwarancja poszanowania praw obywatelskich. Warto pamiętać, że chodzi o ludzi i ich prywatność – to oni powinni być w centrum tych działań. Myślę, że to jest najważniejsze.
TO: Bardzo dziękuję za rozmowę.
Zobacz najnowszy odcinek videcastu #RODOłamacz!
