Tomasz Osiej (TO): Pani Profesor, od lutego 2024 roku jest Pani zastępczynią Prezesa UODO, a od wielu lat przedstawicielką świata naukowego. Dr hab. nauk prawnych w zakresie prawa europejskiego (INP PAN 2016), profesorka w Kolegium Prawa Akademii Leona Koźmińskiego (Katedra Prawa Międzynarodowego i Prawa UE). Jak czytamy dalej na stronie UODO, jest Pani autorką, współautorką i redaktorką wielu książek, artykułów i innych publikacji naukowych. Co spowodowało, że zdecydowała się Pani na transfer ze świata nauki do świata urzędu?
Agnieszka Grzelak (AG): Nie przeniosłam się ze świata nauki do świata urzędów, bo w świecie administracji publicznej jestem od dwudziestu czterech lat, a moja kariera naukowa zawsze łączyła się z praktyką zawodową. Pierwszą pracę podjęłam zaraz po studiach, w 2000 roku, w Urzędzie Komitetu Integracji Europejskiej, jako referendarz. Później zajmowałam różne stanowiska w Kancelarii Sejmu, w biurze Rzecznika Praw Obywatelskich, przed UODO pracowałam również w Biurze Studiów i Analiz Sądu Najwyższego. Ochroną danych osobowych zajmuję się od 2012 roku – od czasu, gdy się pojawił projekt tzw. dyrektywy policyjnej. Bardzo interesowała mnie współpraca policyjna i sądowa w sprawach karnych w Unii Europejskiej i zaraz po publikacji projektu zaczęłam mu się bliżej przyglądać. W ten sposób weszłam do świata ochrony danych osobowych i w wymiarze praktycznym i w wymiarze naukowym. Zajmowałam się tą tematyką jeszcze w Kancelarii Sejmu, a później również w biurze RPO i trochę w Sądzie Najwyższym, bo tam również pojawiały się różne sprawy z nią związane. Z Panem Prezesem Wróblewskim pracowaliśmy wcześniej razem w biurze RPO. Myślę więc, że moja nominacja na jego Zastępczynię nie była zaskoczeniem.
TO: Czyli pytanie nie było do końca trafione. Ten urząd jednak wyróżnia się nie tylko strukturą czy zespołem, ale przede wszystkim tematyką. Z jednej strony mamy do czynienia z bardzo wąskim zakresem – ochroną danych osobowych, z drugiej zaś z szerokim spektrum problemów z tym związanych. Czy praca w UODO to dla Pani wyzwanie bardziej organizacyjne, czy naukowe? A może te aspekty są równie istotne?
AG: Zdecydowanie mogę powiedzieć, że praca tutaj wiąże się z wieloma wyzwaniami, z jakimi wcześniej nie miałam do czynienia – przede wszystkim dlatego, że zajmuję obecnie tak wysokie stanowisko kierownicze. Stawia to przede mną szereg wyzwań o charakterze organizacyjnym, na przykład w obszarze zarządzania zespołem. Jednocześnie, specyfika pracy w urzędzie wymaga głębokiego zrozumienia prawa Unii Europejskiej, co dodatkowo mobilizuje mnie do refleksji naukowej nad funkcjonowaniem urzędu, kierunkami rozwoju ochrony danych osobowych oraz analizą potencjalnych skutków regulacji. To interdyscyplinarne podejście – łączenie organizacji i nauki – jest dla mnie szczególnie inspirujące, ponieważ umożliwia przekładanie teorii na konkretne działania, które mają realny wpływ na rzeczywistość prawną i społeczną.
Co ciekawe, nie jestem jedyną osobą w urzędzie, która łączy działalność naukową z praktyką zawodową. Zupełnie przykładowo, ale jednocześnie z dumą mogę wskazać, że w ostatnim okresie np. pan dr Olgierd Jakubowski z Departamentu Orzecznictwa i Legislacji (obecnie Prawa i Nowych Technologii), obronił rozprawę doktorską. Taka symbioza nauki i praktyki przynosi wymierne korzyści dla naszej pracy. Moje doświadczenie związane z prawem unijnym, na którym koncentrowałam się szczególnie w ostatnich latach, pozwala mi spojrzeć na działalność urzędu przez pryzmat kontekstu legislacyjnego, orzecznictwa TSUE czy interpretacji przepisów unijnych. Dotykamy także nowych wyzwań związanych z prezydencją Polski w Radzie UE, co dodaje jeszcze większego znaczenia naszej działalności. W czerwcu obchodziliśmy 20-lecie członkostwa Polski w Unii, organizując z tej okazji konferencję. Widać więc, że tematów wymagających pogłębionej analizy nie brakuje.
TO: Na kolejne pytanie odpowiedziała Pani już częściowo, ale chciałbym zapytać, wokół jakich obszarów koncentruje się Pani aktywność zawodowa?
AG: Zgodnie z decyzją Prezesa i regulaminem organizacyjnym Urzędu, zakres kompetencji jego zastępców obejmuje wszystkie zadania zlecone przez Prezesa. Nie dokonaliśmy formalnego podziału tematyki – zarówno ja, jak i wiceprezes Komornicki wspieramy Prezesa Wróblewskiego we wszystkich działaniach, w zależności od potrzeb. Ja, siłą rzeczy, zajmuję się głównie tematami europejskimi, w szczególności doradzając w zakresie prawa unijnego.
W kręgu moich szczególnych zainteresowań znajdują się opinie legislacyjne przygotowywane przez Departament Orzecznictwa i Legislacji (obecnie Prawa i Nowych Technologii), a także analiza orzeczeń TSUE, stanowisk w trakcie postępowań przed TSUE i ich implikacji dla polskiego systemu prawnego. Przykładowo, wspieram urząd w przygotowywaniu opinii dotyczących konieczności zmian przepisów krajowych w związku z wydawanymi wyrokami. Poza tym, zajmuję się zagadnieniami związanymi z systemem informacyjnym Schengen oraz systemami wjazdu i wyjazdu (system EES), które mieszczą się w kompetencjach naszego Departamentu Kontroli i Naruszeń. To tylko niektóre przykłady.
Bliska jest mi także współpraca w ramach Europejskiej Rady Ochrony Danych (EROD), a w tym roku szczególną uwagę poświęcamy zagadnieniom międzynarodowym, prezydencji Polski w Radzie UE, czy procedurom związanym ze skargami na działalność amerykańskich służb wywiadowczych. Choć takich skarg jeszcze nie odnotowaliśmy, posiadamy już opracowane procedury w tym zakresie. Współpracuję także z naszym społecznym zespołem ekspertów, co również stanowi dla mnie istotny obszar działalności.
Ponadto czytam niemal wszystkie decyzje Prezesa Urzędu. Często dyskutujemy w różnych kwestiach, bo nasze poglądy nie zawsze są jednolite.
TO: Wspomniała Pani, że nie zawsze zgadza się z decyzją Prezesa. Czy to oznacza występowanie konfliktów wewnętrznych?
AG: Nie, konfliktów nie ma.
TO: Ale dyskusje wewnętrzne się pojawiają?
A.G. Oczywiście, dyskusje są nieodłączną częścią naszej pracy, zwłaszcza w przypadku najważniejszych decyzji. W ramach urzędu działa tzw. zespół karowy złożony głównie z dyrektorów departamentów, którzy przygotowują projekty decyzji. Na tym etapie odbywają się gruntowne i merytoryczne dyskusje, w których często uczestniczymy, najpierw jako słuchacze, a następnie prowadząc rozmowy w mniejszym gronie.
TO: A jak wygląda to z Pani perspektywy jako wykładowczyni akademickiej? W jakich obszarach ochrony danych osobowych widzi Pani potrzebę pogłębionej dyskusji lub badań?
AG: Jeśli chodzi o naukowy wymiar ochrony danych osobowych, dostrzegam pewien deficyt. Zgadzam się z opinią Pani Prezes Edyty Bielak-Jommy, która podczas jednej z konferencji zauważyła, że w tej dziedzinie jest wciąż za mało badań naukowych. Wiele prac koncentruje się na interpretacji przepisów, co jest oczywiście cenne dla praktyków, ale w nauce brakuje szerszej analizy – refleksji nad potrzebami, celami czy konsekwencjami regulacji.
W mojej opinii najbliższe lata zdominują badania nad sztuczną inteligencją, w tym jej skutecznością i aspektami etycznymi, a także nad nowymi technologiami, takimi jak dane biometryczne czy neurotechnologie. Szczególną uwagę zwrócą również kwestie zgody na przetwarzanie danych w ekosystemach cyfrowych, gdzie granice tego pojęcia ewoluują. Temat suwerenności cyfrowej, cyberbezpieczeństwa oraz wykorzystania danych w systemie ochrony zdrowia – w tym danych genetycznych i telemedycyny – również wymaga dogłębnych analiz. W mojej ocenie te zagadnienia będą kluczowe w najbliższym czasie.
TO: Czy mogłaby Pani doprecyzować, co dokładnie ma Pani na myśli, mówiąc, że jest „mało nauki w nauce o ochronie danych osobowych”?
AG: Wydaje mi się, że obecnie skupiamy się głównie na interpretowaniu przepisów wprowadzanych w ramach – że użyję tego określenia – „tsunami legislacyjnego”. Analizujemy je i tłumaczymy ich zastosowanie, ale rzadziej zastanawiamy się nad ich genezą, celami czy konsekwencjami. Mam jednak nadzieję, że po zakończeniu etapu interpretacji przepisów wrócimy do szerszych zagadnień w tej dziedzinie. Zawsze byłam zwolenniczką łączenia teorii z praktyką, dlatego wspieram poszukiwanie praktycznych zastosowań przepisów i pytanie: „co to nam da w praktyce?” oraz „jaki będzie wymierny efekt?”. Uważam jednak, że nauka powinna sięgać głębiej – tego też oczekuję od jej przedstawicieli.
TO: Zgadzam się, że przepisy mnożą się w ogromnym tempie, a naszą rolą jest ich uporządkowanie, zrozumienie i interpretacja. Jednak mam wrażenie, że obecnie panuje chaos – pewnego rodzaju bałagan poprzedzający wspomniane „tsunami”. Czy zgadza się Pani z taką diagnozą?
AG: Trochę chaosu rzeczywiście występuje. W obszarze ochrony danych osobowych nowe akty prawne często zawierają klauzule zastrzegające, że są one „bez uszczerbku dla danych osobowych” lub „bez uszczerbku dla RODO”. To pokazuje, że RODO traktowane jest jako akt nadrzędny i kluczowy. Jednak brakuje głębszej refleksji nad interakcją między tymi regulacjami. Przed nami wiele pracy analitycznej w tym zakresie.
TO: W swoich publikacjach krytykowała Pani implementację tzw. dyrektywy policyjnej w Polsce. Czy coś się zmieniło w tej kwestii po kilku latach od przyjęcia ustawy?
AG: Niestety, moje stanowisko pozostaje krytyczne. Nie wprowadzono istotnych zmian ani korekt, a moim zdaniem wciąż brakuje zrozumienia wagi tego aktu dla obywateli. Władze zdają się być zadowolone z przyznanych im kompetencji, podczas gdy z punktu widzenia obywatela dyrektywa mogłaby pełnić kluczową rolę w ochronie przed nadużyciami władzy. Gdyby była odpowiednio wdrożona, być może uniknęlibyśmy takich sytuacji, jak sprawa Pegasusa. Niestety, Komisja Europejska ogranicza się do badania formalnego wdrożenia przepisów, a nie ich merytorycznej oceny.
Zwracam często uwagę na przykład artykułu 17 dyrektywy, który przewiduje prawo do pośredniej kontroli przez organ nadzorczy (np. Prezesa UODO) przetwarzania danych osobowych przez służby policyjne, w sytuacjach, gdy obywatele nie mogą być poinformowani o przetwarzaniu swoich danych. Ten przepis, choć kluczowy, wciąż nie został wdrożony w polskim prawie. Co więcej, Trybunał Sprawiedliwości UE w odniesieniu do innych państw wydał wyroki, które wskazują na potrzebę sądowej kontroli działań organu nadzorczego w takich przypadkach. Nasze sądy nie mają jednak nawet czego kontrolować. O nieprawidłowościach w zakresie wdrożenia dyrektywy jest mowa również w raporcie ewaluacyjnym, który właśnie otrzymaliśmy, dotyczącym stosowania przepisów odnoszących się do strefy Schengen w Polsce. Może to będzie jakiś argument do podjęcia inicjatywy w zakresie niezbędnych zmian.
Mimo licznych problemów, jedyne, co możemy robić, to „pukać do drzwi” – bo Prezes UODO nie ma inicjatywy ustawodawczej. Brakuje zrozumienia ze strony decydentów, co utrudnia wprowadzenie zmian.
TO: To mocne stwierdzenie, że dyrektywa policyjna jest ważniejsza dla obywatela niż RODO.
AG: Tak, to dość kontrowersyjna teza, ale moim zdaniem uzasadniona. Dyrektywa pozostaje mało znana, ponieważ w obecnym kształcie jest w praktyce niestosowalna. Przepisy wprowadzające ją w życie są pełne wyjątków i klauzul generalnych, co uniemożliwia obywatelom korzystanie z przysługujących im praw. Organy zawsze znajdą podstawę, by uzasadnić brak zastosowania tych gwarancji. W efekcie dyrektywa nie spełnia swojej funkcji, a świadomość obywateli na jej temat jest znikoma.
TO: Mam pytanie odchodzące nieco od problemów szeroko rozumianej administracji. Jak ocenia Pani ochronę danych w różnych sektorach? Czy niektóre branże są bardziej profesjonalne, a inne mniej?
AG: Nie prowadzimy badań systemowych, które pozwoliłyby na jednoznaczną ocenę poziomu profesjonalizacji w różnych branżach. Na pewno jednak sektor publiczny pozostaje pod naszą szczególną uwagą. W najbliższym czasie zamierzamy przyjrzeć się również małym i średnim przedsiębiorstwom oraz sektorowi ochrony zdrowia.
Ochrona zdrowia jest dla nas szczególnie istotna, ponieważ dotyczy każdego obywatela i wiąże się z przetwarzaniem wrażliwych danych, takich jak dane genetyczne. Z jednej strony mamy nowoczesne systemy i badania naukowe, z drugiej – wciąż zdarzają się przypadki rażących błędów w przetwarzaniu danych w podstawowych placówkach. Dlatego ten sektor wymaga szczególnej uwagi.
Jeśli chodzi o skargi, dominują te dotyczące sektora finansowego, zwłaszcza banków. W tym roku odnotowaliśmy także wiele zgłoszeń naruszeń związanych z atakami ransomware, głównie w bankach spółdzielczych. Inne obszary zainteresowania to tzw. chińskie platformy sprzedażowe, które nasuwają liczne wątpliwości dotyczące ochrony prywatności, choć skarg w tej kwestii praktycznie nie ma. Nasza intuicja podpowiada, że wynika to z braku świadomości obywateli na temat przetwarzania ich danych przez te platformy.
Podsumowując, ochrona danych w różnych sektorach wciąż wymaga uwagi i doskonalenia. Szczególnie zależy nam na zwiększeniu świadomości obywateli oraz poprawie stosowalności kluczowych regulacji.
TO: Bardzo dziękuję za rozmowę.
Na drugą część wywiadu zapraszamy w kolejną środę (29.stycznia).
Poznaj nową platformę o RODO: TUTAJ
Już jutro nowy odcinek podcastu #RODOłamacz w nowej odsłonie! Kliknij w grafikę i zobacz zwiastun!
