Tomasz Osiej (TO): Zanim przejdziemy do spraw cyfrowych i wyzwań jakie czekają na nas w przyszłości, mam pytanie związane z oceną skutków dla ochrony danych a konkretnie ze stosowaniem art. 35 ust. 10. Czy urząd planuje większą aktywność w tym obszarze aby finalnie odciążyć administratorów stosujących te przepisy?
Mirosław Wróblewski (MW): Chodzi o legislację?
TO: Tak, chodzi o wyjątek od obowiązku przeprowadzania oceny skutków, jeśli wykonano ją na etapie legislacyjnym. To mało popularna instytucja w Polsce.
MW: Ocena skutków dla ochrony danych to jedna z głównych bolączek procesu legislacyjnego. Wskazywałem na to choćby podczas posiedzenia podkomisji – bardzo często brakuje tego testu prywatności przeprowadzonego przez projektodawcę, w tym oceny skutków dla ochrony danych. Z pewnym zaskoczeniem odnotowuję, jak często musimy zwracać na to uwagę przy opiniowaniu projektów aktów prawnych. To dotyczy przede wszystkim projektów poselskich, ale także projektów rządowych. Już to sygnalizowałem, na pewno będę zachęcać Rządowe Centrum Legislacji, żeby elementy testu prywatności wprowadzać i przygotowywać resorty za każdym razem, kiedy w grę wchodzi taka potrzeba do jego rzetelnego opracowania. Oczywiście zwracamy na to uwagę w toku opiniowania, ale czasami mamy do czynienia z gotowym projektem. Tymczasem należy robić to wcześniej, bo wtedy projektodawca nie traci czasu, podstawową refleksję wykonuje już wcześniej, więc wtedy też jest to w interesie organu nadzorczego, będzie on miał może mniej pracy w tym zakresie i będzie mógł wydawać bardziej pozytywne opinie. Ja podejmowałem już takie inicjatywy w Biurze Rzecznika Praw Obywatelskich kilkanaście lat temu, ale nie spotkały się one z dużym zainteresowaniem ze strony organów legislacyjnych. Dzisiaj chciałem o tym powiedzieć w parlamencie, ponieważ przy okazji wdrażania Aktu o sztucznej inteligencji to będzie trochę powtórka, może na trochę mniejszą skalę, z wdrażania RODO. Zakładam, że do zmiany będzie kilkadziesiąt, a może i więcej ustaw. Na ważną kwestię zwrócili mi uwagę przedstawiciele jednej z fundacji, chodzi mianowicie o kwestię zmiany celu przetwarzania. Jeśli mamy stawiać na rozwój tych technologii, muszą istnieć pewne konkretne podstawy prawne, zatem te zmiany będą musiały w ustawodawstwie nastąpić. Wydaje mi się, że to jest okazja do zmian, dlatego przedstawiłem taki projekt wskazówek, które mają w tym pomóc. Już przesłaliśmy do ministerstwa cyfryzacji zarys, który mógłby pomóc w przygotowaniu tej wielkiej, planowanej serii nowelizacji. Zakłada się, że tzw. mapowanie będzie trwało do października, a potem nastąpi rozpoczęcie prac legislacyjnych. To mogłaby być dobra okazja, żeby to narzędzie wykorzystać. Oczywiście to jest pewna propozycja, którą można udoskonalić, uszczegółowić, ale liczę, że może przy okazji wdrażania Aktu o sztucznej inteligencji wypracujemy narzędzie, które będzie potem wykorzystywane w innych obszarach.
TO: Chciałbym teraz zapytać o innego gracza w ochronie danych, a mianowicie IOD. Ostatnio szerokim echem odbiła się dyskusja o tzw. konflikcie interesów z jakim może się zderzyć IOD. Moim zdaniem rysuje nam się taki obraz, gdzie urząd ma koncepcję by wypracować bardzo jasne wytyczne, które by mówiły, że inspektorzy nie zajmują się pewnymi sprawami, opierając to o konflikt interesów i te zadania powinny być wykonywane przez administratora. Rolą inspektora byłaby koordynacja, weryfikacja, dostarczanie wiedzy, czyli bycie specjalistą od RODO, takim wyspecjalizowanym pełnomocnikiem do spraw ochrony prywatności. Jeżeli ci inspektorzy będą mieć zwolnione moce, czyli czas, to powinni go wykorzystać maksymalnie by się wyszkolić, przygotować do nowych zadań. Pytanie czy dobrze odczytuję intencje urzędu?
MW: Panie mecenasie, mogę skwitować to bardzo krótko, w zasadzie musiałbym powtórzyć wszystko, co Pan powiedział. Inspektorzy powinni mieć możliwość działania, myślę tu nie tylko o czasie, ale i wiedzy. Powinni być w stanie coraz bardziej wspierać administratorów, w poszukiwaniu dobrych odpowiedzi na wyzwania technologiczne. Wiadomo, że są pewne konkretne obowiązki związane z przestrzeganiem RODO. One powinny być pewną oczywistością po sześciu latach jego stosowania. Coraz większy nacisk musi być jednak kładziony na właściwe środki organizacyjne i techniczne oraz na zapewnienie odpowiedniego standardu w tym zakresie. To ma być wspieranie administratorów, a nie wykonywanie za nich czynności. Chociaż wiemy, że na rynku i w przestrzeni publicznej prowadzone są dyskusje o różnych modelach w tym zakresie. My jesteśmy na te wszystkie głosy otwarci, ja się im wszystkim przysłuchuję, jednak to, co bardzo trafnie Pan przedstawił powinno być tym standardem, do którego powinniśmy zmierzać.
TO: Wczujmy się teraz na chwilę w rolę inspektora. Jakiej wiedzy będzie potrzebował? Czy urząd będzie wydawał jakieś poradniki, wytyczne, prowadził szkolenia dla inspektorów ? Inspektor w tym coraz bardziej skomplikowanym świecie będzie potrzebował rzetelnej wiedzy i nie zdobędzie jej byle gdzie, a nawet nie powinien tego robić. Problemem też jest to, że w tej chwili mamy do czynienia z bardzo niskim progiem wejścia w zawód inspektora. Czy urząd przewiduje jakąkolwiek standaryzację w tym obszarze, dobre praktyki? Jakiś standard po osiągnieciu którego, byłoby wiadomo, że ktoś kto jest inspektorem, jest należycie przygotowany do pełnienia tej niełatwej funkcji? Czy to Pana zdaniem jest możliwe? I przepraszam za tak długie pytanie …
MW: Na to pytanie nie odpowiem jeszcze ostatecznie, ponieważ model będziemy wypracowywać. Cenię sobie wszystkie inicjatywy związane z profesjonalizacją funkcji inspektora, realizowane czy proponowane przez różnego rodzaju stowarzyszenia, bo wydaje mi się, że każdy krok w tym kierunku jest dobry. Nawet, jeżeli te działania są nie do końca skoordynowane, to na takie dobre, czy obiecujące praktyki będziemy spoglądać przychylnie. Są sygnałem, że same środowiska czują potrzebę działania w tym obszarze. Po drugie, rzeczywiście potrzebny jest i ja tego chcę, urząd będący realnym wsparciem dla inspektorów ochrony danych. Dlatego też współpraca ze środowiskiem inspektorów ochrony danych była dla mnie od początku priorytetem. Stąd te liczne spotkania, które były bardzo szczere i pozwoliły na nowe otwarcie. Jeżeli chodzi o wsparcie z urzędu ochrony danych osobowych, podejmujemy już konkretne działania związane z tworzeniem tego wsparcia w postaci narzędzi, typu poradniki, czego dowodem są konsultacje dotyczące poradników (od redakcji: 21 maja ukazała się informacja o rewizji poradników) i liczymy na uwagi ze strony inspektorów, a także organizacji zrzeszających inspektorów ochrony danych. Zapowiadałem to w czasie kandydowania, że jednym z najważniejszych obszarów jest ochrona danych w zatrudnieniu i prawie pracy. Potrzebne są poradniki skupiające się na kwestii naruszeń. Czyli jeden dotyczący bardziej materialnej strony, a drugi taki bardziej proceduralny. Pracujemy także nad poradnikami dotyczącymi kwestii bardziej technologicznych, takich jak np. pliki cookies. Wreszcie trzeba to moim zdaniem zrobić. Te doświadczenia pozwolą nam potem zająć się innymi obszarami. Ta preferencja tematyczna wynika z oczekiwań które płyną od inspektorów, a także z rynku, z biznesu. Te narzędzia na pewno będą realizowane.
Z kolei jeśli chodzi o wytyczne, chcę żebyśmy byli aktywni na poziomie europejskim w ich wypracowywaniu, a potem wprowadzeniu w naszym kraju, czyli upowszechnianiu wytycznych europejskiej rady. Dlatego bierzemy udział w pracach różnych podgrup, czy też grup ad hoc, pracujących nad wytycznymi i praktycznymi wskazaniami i będziemy to także realizować na poziomie krajowym. A wracając do inspektorów i ich wsparcia, np. szkoleniowego, to po tej serii spotkań, po wakacjach, chciałbym, żebyśmy już zaczęli konkretne działania związane z wymiernym wsparciem. Zgłosiłem akces do dwóch projektów międzynarodowych dotyczących budowania wsparcia i narzędzi dla inspektorów ochrony danych. Będziemy czekać i kibicować, bo pewnie w lipcu się rozstrzygnie, czy takie uczestnictwo i środki zostaną przez Unię przyznane. Nie ukrywam, że to nam by na pewno ułatwiło realizację różnych form wsparcia – bo to nie tylko o szkolenia chodzi, ale też o inne wsparcie. Myślę, że to będzie cały czas ważny obszar działań urzędu , który, mam nadzieję, będzie się tylko rozwijał.
TO: Czy to wsparcie dotyczy pewnych narzędzi?
MW: Tak, to są projekty unijne, we współpracy z urzędami z kilku innych państw. To ma być przede wszystkim wypracowywanie narzędzi dla wsparcia inspektorów ochrony danych, głównie w sektorze prywatnym, aczkolwiek nie zapominamy o sektorze publicznym. Już spotkaliśmy się z inspektorami ze wszystkich urzędów wojewódzkich i będę chciał także spotykać się z inspektorami z innych sektorów, bo jest trochę „specyficznych” problemów i wyzwań dla sektora publicznego.
TO: Chciałem powrócić do zgłaszania naruszeń bo to niezmiernie ważny temat. Już wiemy o rewizji poradnika. Czy oprócz tejże przewiduje się przestrzeń do dyskusji aby wypracować rozwiązania odciążające administratorów od zgłaszania rzeczy, które są bardzo często zgłaszane na wyrost?
Chodzi mi o to czy można wypracować pewien standard postępowania np. przy omyłkowym mailu, który w niektórych sytuacjach pomoże nam nie zgłaszać a jednocześnie zabezpieczy interesy podmiotu danych. Jako Polacy zgłaszamy prawie wszystko a jednocześnie nawet przy większych wyciekach nie wiemy co robić, po prostu jako administratorzy zostawiamy rzeczy swojemu biegowi.
MW: Może się uda?
TO: Tak, chodzi o myślenie typu „może się uda, może jakoś będzie”, ew. wykonamy kopię zapasową i po problemie.
MW: Nie chciałbym rozstrzygać konkretnych spraw w czasie naszej rozmowy, bo po to są konsultacje, żeby poradnik był tym oficjalnym stanowiskiem organu nadzorczego. Sugestie, co też powinno się znaleźć w poradniku, będziemy zbierać. Zaproponowałem, żeby poradnik z tą tematyką był konsultowany w pierwszym rzędzie, bo sam nie jestem zadowolony z tego, jak dzisiaj wygląda praktyka. Proszę mi pozwolić nie mówić w tym momencie o wszystkich szczegółach, bo to by było, w sumie może prostsze, gdyby prezes w jednym wywiadzie mógł wskazać jak dokładnie interpretować wszystkie przepisy. Zastąpiłoby to poradnik, a poczytność tego wywiadu może byłaby ciut większa…
TO: Zdecydowanie byłaby większa …
MW: Myślę, że tych kilka miesięcy cierpliwości jeszcze jest potrzebnych, natomiast oczywiście pewne kwestie są nieprzekraczalne, wynikają one z przepisów RODO. Są także zawarte w istniejących wytycznych urzędu, europejskiej rady, a także wynikają z decyzji administracyjnych prezesa, w tym także decyzji, które ja już wydałem. Na przykład barierą nieprzekraczalną jest konieczność zgłaszania naruszeń, które są znaczące i stwarzają poważne zagrożenia dla praw i wolności, przede wszystkim prywatności, ale też oczywiście zagrożenie dla innych obszarów, na przykład jeżeli chodzi o kradzież tożsamości dla osób dotkniętych takim naruszeniem. Nie rozumiem, np. w przypadku banków i dużych instytucji finansowych, takiej swoistej toczonej gry, nie wiem, czy z organem nadzorczym, czy ze swoimi klientami, żeby nie zgłaszać naruszenia i tkwić w takim dialogu, że naruszenie nie miało miejsca. Chociażby to były dane ponad stu osób wyrzucone na śmietnik. Przekonanie, że nie było tu żadnego zagrożenia dla praw i wolności jest po prosu niewytłumaczalne. Są zatem pewne rzeczy nieprzekraczalne. Z drugiej strony rzeczywiście jest pewna praktyka nadmiernych zgłoszeń. Natomiast trzeba sobie zdawać sprawę z tego, że nawet jeśli to są pojedyncze naruszenia, to stwarzają one często bardzo poważne zagrożenia systemowe. Bardzo wyraźnie o tym pisałem w wystąpieniu skierowanym do prezesa Poczty Polskiej. Są to może stosunkowo małe incydenty, ale jeżeli ich liczba jest duża to można powiedzieć, że cały system nie działa. Są także inne podmioty, które mają już z tym problem systemowy – to jest np. policja. Trzeba rozwiązać te dylematy. Mówimy tu o zagadnieniach, które leżą pomiędzy dwoma ścianami, jednak należy uważać, aby poprzez drobne incydenty czasem nie przemknął słoń.
TO: To może inny przykład o którym rozmawialiśmy wcześniej. Chodzi o bezrefleksyjne skopiowanie dokumentacji używanej w banku na potrzeby domu opieki społecznej prowadzonego przez siostry zakonne o ile dobrze pamiętam. To była dokumentacja „w rozmiarach bankowych”. Dochodzimy do takiego momentu, w którym trzeba zrobić pewien przegląd, dokonać na jego podstawie zmian, usunąć absurdy, uszczelnić systemy. Rozumiem, że to w tym kierunku zmierza urząd, by pokazać, że to trzeba zrobić?
MW: Tak, zresztą po to skierowałem właśnie do kilku dużych podmiotów wystąpienia żeby uświadomić te zagrożenia, bardzo licząc na refleksję. Czekam na ich reakcję. Były już składane obietnice zmian systemowych. Zdaję sobie sprawę z tego, że niektóre z tych podmiotów, takie jak Poczta Polska, przeżywają dzisiaj bardzo poważny kryzys i może to nie być postrzegane jako najważniejsze wyzwanie w tym momencie. Jeżeli jednak np. Poczta zamierza teraz zmieniać systemy informatyczne które mają, jak mówi prezes, dwadzieścia lat, to teraz nadarza się odpowiednia okazja, żeby pomyśleć o tych podstawowych zasadach, jak choćby privacy by default, privacy by design i wpisać w funkcjonowanie firmy ochronę danych osobowych. Z przekonaniem, że te wszystkie nowe systemy, jak choćby system e-doręczeń, muszą spełnić standardy ochrony danych osobowych. Oceniam, że to jest właściwy moment i dlatego skierowałem tam wystąpienie właśnie teraz. I nie chodzi tutaj o to, że zaledwie kilka miesięcy temu zacząłem urzędowanie i chcę coś wykazać. Mam takie głębokie przekonanie i nadzieję, że nowe władze spółki tak to postrzegą. I chciałbym, żeby tak o tym Poczta Polska i inne podmioty myślały. Zmiana organizacyjna, technologiczna wewnątrz spółki powinna uwzględniać ochronę danych osobowych i to jest właśnie ten moment, żeby takich zmian dokonać. Bo potem pojawiają się takie problemy, jak u mojej koleżanki, której wpis zacytuję: „Super, dostałam emeryturę. Szkoda tylko, że nie swoją”.
TO: No to jest pewien problem, szczególnie, gdy jest to niższa emerytura…Ten sam problem, dotyczy wszystkich tych podmiotów, gdzie jest dużo rekordów, Mam na myśli chociażby służbę zdrowia, banki czy innych dużych graczy, którzy dysponują ogromną liczbą danych. Oni wszyscy powinni wykonać taki przegląd.
MW: Dokładnie tak. Od tego jest organ nadzorczy, żeby o tym przypominać. Tu też, nie chcę przesądzać jak dokładnie będzie wyglądać poradnik w kwestii naruszeń, ale nasza wiedza bierze się z tych zgłaszanych, pojedynczych naruszeń. Bez tej wiedzy bylibyśmy trochę mniej świadomi tego, co się dzieje teraz na rynku.
TO: Nie mógłbym o to nie zapytać, bo zawsze mnie zastanawiał system nakładania kar.
MW: Powrócę jeszcze na chwilę do poprzedniego wątku, otóż niestety liczba zgłaszanych naruszeń rośnie, delikatnie, ale jednak. Rośnie też liczb skarg. Być może dlatego, że urząd jest bardziej widoczny i budujemy większą świadomość.
TO: Większa i bardziej merytoryczna aktywność urzędu jest bardziej zauważalna. Jako osoba zajmująca się ochroną danych, ale też wsłuchująca się w głosy naszych czytelników potwierdzam, że zaufanie do urzędu rośnie.
MW: Ja też to czuję. Myślę, że współpracownicy także. To rodzi u nas większą odpowiedzialność, bo powinniśmy teraz sprostać zaufaniu i oczekiwaniom, a to nie jest łatwe przy dosyć dużym obciążeniu. Wspomniał pan o ochronie zdrowia. Jestem tego świadomy, że jest to sektor, który wymaga dużej uwagi i myślę, że będziemy się mu bacznie przeglądać w przyszłości. Szczególnie pod kątem kontroli sektorowych. Staram się, żeby one rzeczywiście dotyczyły tych wszystkich poważnych naruszeń w ochronie zdrowia No i żeby tych kontroli było także więcej.
TO: Tutaj takim odciążeniem urzędu będą mam nadzieję poradniki, bo na wytyczne czekają wszyscy i myślę, że zmniejszą one po prostu liczbę spraw które nie powinny trafiać do urzędu, co z kolei pozwoli skoncentrować się na tych właściwych. ważnych.
MW: Jak już wszyscy wiedzą, zaprosiłem do współpracy społecznej ekspertów zewnętrznych, z których kilkunastu wyraziło już taką chęć i liczę na wsparcie w tym zakresie oraz współdziałanie, które pozwoli na to, żeby jakościowo te produkty były jak najlepsze .
TO: Odciążeniem na pewno byłaby jakaś standaryzacja, kodeksy postępowania. Uważam, że tu jest potencjał? Czy pan podziela ten pogląd?
MW: Bardzo się cieszę z tego, że podmioty które wcześniej wyrażały ochotę na wdrożenie kodeksów i z jakichś względów z tego zrezygnowały, wracają dzisiaj do urzędu i zgłaszają taką potrzebę, Traktuję to jako wyraz zaufania i na pewno będziemy pomagać, żeby w kolejnych sektorach takie kodeksy powstawały.
Przeczytaj I część wywiadu TUTAJ
Na III (ostatnią) część wywiadu zapraszamy 3 lipca.
