GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wywiad z Prezesem Urzędu Ochrony Danych Osobowych mec. Mirosławem Wróblewskim.  Cz.III

wywiad z prezesem Urzędu Ochrony Danych Osobowych

wywiad z Prezesem Urzędu Ochrony Danych Osobowych

Tomasz Osiej (TO) : Teraz może nieco o karach. Ten temat musiał się pojawić. Są różne sposoby myślenia o nakładaniu kar. Bywają wielkie kary, z którymi potem bywa bardzo różnie przed sądami, ale są także kary mniejsze, szybsze, punktowe. Jest też możliwość upomnienia administratora, co także stanowi dobre narzędzie dyscyplinowania. Czy urząd ma zamiar nadal trzymać się wielkich kar, czy zmieni swoje podejście i dominować będą mniejsze kary? Czy filozofia jednego z moich ulubionych organów, czyli hiszpańskiego – niższe i szybsze kary ma szansę przebicia? Czy jest w urzędzie jakakolwiek dyskusja żeby to przekalibrować?

Mirosław Wróblewski (MW) : Oczywiście to jest materia żyjąca – zależy od danej sprawy, ale wysokość kar jest w dużym stopniu uzależniona od bardzo ścisłych wytycznych europejskich. To dobrze, bo w ten sposób granice uznania organu nadzorczego są zawężone. Do tej pory w tych sprawach kierowałem się czymś co jest dla mnie bardzo ważne, to jest postawą administratora. Przesłanki dotyczące reakcji administratora, po nagłośnieniu sprawy, jego postawa względem podmiotów danych, współpraca z organem nadzoru, działania w kierunku dokonania zadośćuczynienia czy też wprowadzenia zmian celem zapobieżenia kolejnym naruszeniom, to wszystko jest niezwykle istotne. W takich przypadkach do tej pory starałem się, żeby te podmioty, które widać, że poważnie traktują ochronę danych osobowych mogły korzystać z najniższego wymiaru kary. Czasem nie da się zejść poniżej pewnych progów z uwagi na wielkość obrotów takiego podmiotu i wysokość kary może zdziwić, jak w przypadku znanej już sprawy zgubienia pendrive’a z danymi osobowymi jednej osoby (redakcja: kara ta wyniosła 240 tyś PLN). Wielkość obrotów tego akurat administratora nie dała żadnych możliwości jeszcze większego obniżenia kary. Jego postawa spowodowała jednak, że otrzymał najniższy wymiar kary. Nałożenie z kolei upomnienia nie byłoby zasadne, bo byłoby to poza granicami uznania organu administracyjnego. Zawsze zatem kara będzie dostosowana do okoliczności danego typu i będzie taka, by spowodować odpowiednią reakcję. Wysokość kary w odbiorze społecznym, nie tylko administratora, jest wyrażeniem tego, że ochronę danych osobowych trzeba postrzegać poważnie. Myślę, że takie większe kary też będą się zdarzały. Wysokość kar zawsze musi być dostosowana do wielkości podmiotu, do danego przypadku, do liczby osób dotkniętych naruszeniem. Hiszpański organ działa też w tych granicach i to nie jest tak do końca, że nakłada wyłącznie niskie kary. Jesteśmy elementem systemu europejskiego, który musi być spójny i uwzględniać te czynniki.

TO: Spójność systemu jest widoczna, bo gdy kilka miesięcy temu jako portal GDPR.PL spytaliśmy organy nadzoru jakie czynniki biorą pod uwagę przy naliczaniu kary, wszystkie solidarnie odesłały nas do tych samych wytycznych, wskazując że tam należy szukać odpowiedzi. A to co przede wszystkim biorą pod uwagę to postawa administratora. To jest spójne z tym co Pan powiedział.

MW: Staram się, żeby z tych decyzji wynikało nie tylko to, dlaczego kara została nałożona, ale także skąd wynika jej wysokość. Z mojego punktu widzenia szczególnie ważny jest sposób komunikacji i o to chcę bardzo dbać, bo nie każdy zada sobie trud, żeby przeczytać całą decyzję, by zrozumieć dlaczego akurat taka, a nie inna jest wysokość kary. Z kolei ostatnia na przykład kara jest praktycznie symboliczna – 900 zł dla stowarzyszenia za naruszenie danych osobowych kilkuset osób. Jest to małe stowarzyszenie, natomiast z kolei w pewnym momencie zdecydowałem, żeby taką karę nałożyć, bo to powinien być wyraźny sygnał, że obowiązki, które są jasno określone, trzeba realizować i nie może być tak, że stowarzyszenie jest z nich zwolnione. Natomiast wysokość kary jest niewielka, z tego względu że to stowarzyszenie jest organizacją społeczną i osiąga minimalne przychody. Jakby takiego samego naruszenia dokonał bardzo duży podmiot biznesowy, automatycznie kara mogłaby być znacznie, naprawdę znacznie większa.

TO: Czy podmiot, który otrzymał karę za zgubienie tego jednego pendrive’a, sam zgłosił naruszenie czy urząd dowiedział się o tym inną drogą?

MW: On sam zgłosił naruszenie. Dlatego kara, która mogłaby osiągnąć miliony, jest na poziomie niecałych trzystu tysięcy. Ja wiem, że to może źle wyglądać, że to jest kara wysoka, ale naprawdę, przerabialiśmy to w każdą stronę. Wszystkie możliwe obniżki, bonifikaty, zgodnie z wytycznymi zostały zastosowane. Naruszenie RODO jest jednak faktem i nie mogło pozostać bezkarne.

TO: Mam pytanie dotyczące absurdów RODO a konkretnie chodzi mi o obowiązki informacyjne. Czy będziemy je jakoś upraszczać i czynić bardziej zrozumiałymi? Czy dojdziemy do rozwiązania takiego jak w innych krajach, gdzie obowiązki informacyjne można umieścić w polityce prywatności? A może piktogramy? Jak Pan widzi ten problem?

MW: Ten problem zauważam i może to nie jest jakimś ogromnym odkryciem, ale organizacja obowiązku informacyjnego w sposób dwuwarstwowy jest takim sposobem na to, żeby mieć ciastko i zjeść ciastko, czyli zminimalizować ilość przekazanych informacji do rozmiaru takich nieprzytłaczających, z odesłaniem do miejsca, w którym można się z pełnym zestawem informacji zapoznać. To jest coś, co staram się promować, szczególnie tam, gdzie drukuje się duże ilości papieru. W kontaktach internetowych to jest kwestia bardziej technologiczna, więc tutaj nie ma powodu robić rewolucji. Dlatego będę namawiał administratorów do przejścia z formy papierowej na elektroniczną. Wszyscy już to mogą robić dzisiaj. Tym nie zarządza urząd, te praktyki są dopuszczalne, będziemy wskazywać na praktyki w pełni wystarczające dla zadośćuczynienia przepisom RODO, to będzie także znajdowało swoje odzwierciedlenie w sprawach prowadzonych przez nas kontroli i w innych aspektach działania.

TO: To dla administratorów danych jest dobra informacja.

MW: Dodajmy, że o tych przeglądach dotyczących klauzul mówiliśmy i one powinny być wykonywane. Administratorzy powinni klauzule przeglądać i upraszczać. Dodam, że z wielu względów, także biorąc pod uwagę oczekiwania, które są względem mnie wyrażane i które ja w pełni rozumiem, a dotyczą one uproszczenia języka czy komunikatywności ze strony urzędu, będziemy podejmować różne działania. Będą one miały na celu uproszczenie języka nie tylko przez nas, ale i administratorów. Niedawno podpisałem zarządzenie powołujące w UODO wewnętrzny zespół, który będzie nad tym pracować, którego przewodniczącym jest Pan Konrad Komornicki. Zaangażowaliśmy też do współpracy dziennikarzy, którzy jak mało kto, potrafią to robić. Będziemy się starać, aby te praktyki w stosunku nie tylko i wyłącznie do administratorów ale też do nas jako organu nadzoru stosować. Ale oczywiście to jest działalność ciągła, bo język to jest instrument żywy, tego się nie da zadekretować z dnia na dzień. Będziemy więc przeprowadzać szkolenia wewnętrzne i będziemy też myśleć nad tymi inicjatywami na zewnątrz., Dużo różnych rzeczy dzieje się równolegle.

TO: Tych spraw jest sporo. Czy urząd bierze pod uwagę możliwość jakiegoś wsparcia w pomysłach, konkursu?

MW: Zbieram pomysły. Zaproponowano mi np. żebyśmy zrobili konkurs na najkrótszą politykę prywatności. Oczywiście mam też własne. potrzeby. Przykładowo, na poziomie unijnym chyba nie doczekamy się szybko rozwiązań dotyczących piktogramów, więc będę promować różne pomysły na poziomie krajowym. Tym bardziej, że od wielu lat interesuję się monitoringiem wizyjnym. To taki mój mały konik i w ramach tego od lat za granicą fotografuję piktogramy z informacją o monitoringu. Mam tego całkiem sporą kolekcję w kilkudziesięciu językach. To oczywiście tylko małe hobby, ale warto generalnie zbierać dobre praktyki w różnych obszarach przetwarzania danych. Urząd już w 2018 roku opublikował wskazówki dotyczące monitoringu i wiem, że jest cały czas duże zapotrzebowanie w tym temacie. Te wskazówki nigdy nie przybrały formy ani poradnika ani wytycznych. To, co wydał EROD w 2019 r. też się nieco zestarzało, bo mamy już nowe, coraz szybsze technologie, mamy zautomatyzowane rozpoznawanie twarzy, wyzwania biometryczne i myślę o tym, żeby także w tym zakresie powstał poradnik. Zapewne przy okazji umieścimy informacje też o piktogramach, żeby pokazać najlepsze praktyki w tym zakresie.

TO: Jeszcze jedno pytanie na koniec. Każdy sobie czasem zadaje pytanie, gdzie będzie za, powiedzmy, dwa, trzy, cztery lata. Taka wizja na koniec kadencji, co jest takim minimum do osiągnięcia, aby powiedzieć, że to były dobre lata?

MW: Moje oczekiwania względem siebie i urzędu raczej będą rosnąć. Taki już mam charakter. Na pewno, chcę aby urząd zrobił kilka kroków i był urzędem bardziej otwartym, myślę, że tak się już dzieje. By lepiej komunikował swoją działalność, był urzędem, który pomaga, zarówno podmiotom danych, w ochronie ich praw, jak i administratorom w wypełnieniu ich obowiązków, poprzez lepsze wspieranie ich we wdrażaniu zmian prawnych, bo te są trudne nie tylko dla organów, ale także i dla podmiotów zobowiązanych. Także, albo przede wszystkim, w kontekście nowoczesnych technologii. Żeby urząd był bardziej urzędem przygotowanym do wyzwań technologicznych i tych które będą się przed nami pojawiały. Za trzy lata pewnie będziemy widzieć wokół siebie zupełnie inne technologie. AI za trzy lata może mieć zastosowanie w obszarach, których dzisiaj nawet sobie nie wyobrażamy. Tych wyzwań na pewno będzie więcej. Urząd musi sprawnie wdrażać zmiany, ale zdobywanie doświadczeń w ramach dostosowywania działalności w nowym otoczeniu regulacyjnym pozwoli potem łatwiej rozwijać się. To jest trochę tak, jak powiedział podczas wspólnego wywiadu prof. Wojciech Wiewiórowski, który jest Europejskim Inspektorem Ochrony Danych, że urzędy nadzorcze albo będą się zmieniać albo będą wymierać. Zmiana jest rzeczą oczywistą, więc taką kulturę wdrażania zmian będziemy budować. Bardzo się cieszę, że widzę wśród pracowników dobrą wolę i zrozumienie potrzeby tych zmian. Być może po kilku latach spokoju chyba każdy już widzi, że pewne zmiany są potrzebne. Urząd, mam nadzieję, będzie urzędem, który będzie wsparciem dla inspektorów ochrony danych, urzędem do którego będzie zaufanie, że do niego będzie można przyjść, przedstawić problemy. Osoby fizyczne uzyskają zaś skuteczne wsparcie w ochronie danych osobowych. No i w końcu urząd ochrony danych osobowych to jest organ nadzorczy, a więc także w stosunku do niego będzie można powiedzieć, że on sam będzie efektywnie przestrzegał obowiązującego prawa, szczególnie, że dzisiaj nam sytuacja geopolityczna pokazuje, że ochrona danych osobowych to nie jest sztuką dla sztuki, tylko elementem bezpieczeństwa państwa. Zasada poufności jest rzeczą kluczową. Dane mogą być wykorzystywane, nie tylko przez biznes, który na tym może robić pieniądze, ale też przez państwa, które niekoniecznie są nam przyjazne. Są to różne dane i często bardzo cenne. Wydaje mi się, że z tego powodu to zrozumienie dla potrzeby efektywnej ochrony danych osobowych będzie większe i dla działań urzędu też. Będzie też generalnie większe zrozumienie na rynku dlaczego my czasem także musimy karać.

TO: Jesteśmy krajem przyfrontowym, gdzie bezpieczeństwo zaczyna być naprawdę istotne. Bardzo się cieszę, że na koniec połączyliśmy bezpieczeństwo z ochroną danych. Udało nam się spiąć to klamrą.

MW: Coraz częściej zawiadomienia o naruszeniu zawierają informacje o naruszeniu zasad cyberbezpieczeństwa. Z drugiej strony naruszenia cyberbezpieczeństwa wskazują na naruszenie ochrony danych osobowych i dlatego też pracujemy z ministerstwem cyfryzacji nad skoordynowaniem tego systemu pod kątem wdrażania nowych aktów prawnych o bezpieczeństwie, jak chociażby NIS2.

TO: Bardzo dziękuję za rozmowę.

Część I wywiadu dostępna jest TUTAJ

Część II wywiadu dostępna jest TUTAJ