W piątek został pan powołany przez Sejm na drugą kadencję. Jakie wyzwania stawia pan przed sobą na kolejne cztery lata?
Decyzję Sejmu musi jeszcze zaakceptować Senat. Jeśli tak się stanie, to bez wątpienia najważniejszym wyzwaniem będzie dla mnie przygotowanie gruntu pod nową ustawę o ochronie danych osobowych, co wiąże się z nowym rozporządzeniem unijnym, nad którym prace zdają się dobiegać końca. Według mojej oceny jest duża szansa, że rozporządzenie to zostanie przyjęte na początku następnego roku, co oznaczałoby, że wejdzie w życie w 2017 r. Do tego czasu musi więc zacząć obowiązywać nowa ustawa. Problem w tym, że za rok kończy się kadencja Sejmu. Moim zadaniem będzie więc przygotowanie możliwych rozwiązań prawnych, które będę mógł przedstawić rządowi utworzonemu po wyborach. Tak, aby mógł jak najszybciej rozpocząć prace nad projektem ustawy.
Rozmawiamy o rozporządzeniu, które przecież będzie obowiązywać wprost i nie musi być wdrożone do prawa krajowego?
Jeśli chodzi o przepisy materialne, to rzeczywiście, Sejm niewiele będzie miał do powiedzenia. Inaczej jednak jest, jeśli chodzi o przepisy proceduralne. Prawo krajowe musi zdecydować o kształcie krajowego organu ochrony danych i o tym chociażby, jaki sąd i w jakiej procedurze będzie rozstrzygał skargi na decyzje podejmowane przez GIODO. A przypomnę, że nowe rozporządzenie – co jest już raczej przesądzone – pozwoli na nakładanie bardzo wysokich kar finansowych za naruszenia związane z ochroną danych osobowych. Według dzisiejszej wersji projektu mogłyby one wynieść nawet 100 mln euro.
Co uważa pan za swoje największe osiągnięcia mijających czterech lat?
Przede wszystkim wzrost świadomości społecznej we wszystkim, co jest związane z ochroną danych osobowych. Oczywiście mógłbym narzekać, że mamy coraz więcej spraw, ale tak naprawdę to jest właśnie miara sukcesu. Nie tylko obywatele mają większą świadomość ich praw i zagrożeń związanych z przetwarzaniem ich danych osobowych, ale – co chyba jeszcze ważniejsze – także podmioty przetwarzające te dane zaczynają sobie uświadamiać związane z tym obowiązki i to, ile mogą stracić, nie chroniąc właściwie danych.
Za sukces uznałbym też uporządkowanie pewnych sfer prawa, które dotychczas kompletnie nie zauważały problemów związanych z ochroną danych osobowych. Przy wszystkich zastrzeżeniach, jakie mam do systemów informacyjnych w ochronie zdrowia, bez wątpienia sukcesem jest, że wreszcie pojawiły się w nim regulacje dotyczące prywatności pacjentów. Mamy też przepisy o ochronie danych w systemie informacji oświatowej. Udało się przesunąć regulacje dotyczące przetwarzania danych przez policję, które dotychczas istniały w formie instrukcji komendanta głównego policji, na poziom rozporządzenia i ucywilizować je.
Dyskusje toczące się przy okazji tworzenia tych przepisów pokazują, że wreszcie zaczęliśmy rozmawiać o tym, co wcześniej nie istniało w debacie publicznej. A przecież te zbiory danych nie istnieją od wczoraj, tylko od wielu lat.
Mówi pan o nadrabianiu zaległości. Tymczasem świat idzie do przodu i powinniśmy też myśleć o nowych problemach.
Oczywiście dostrzegamy je i staramy się na nie reagować. Przykładem mogą być chociażby inteligentne liczniki energii. Chociaż przyjęte regulacje bez wątpienia są dość skromne, to jednak uwzględniają problemy związane z ochroną danych osobowych. Ważniejsze jest jednak, że w ogóle zaczęliśmy na te tematy rozmawiać.
A czego nie udało się panu zrobić w ciągu upływającej kadencji?
W pewnym sensie poczuwam się do odpowiedzialności za brak ogólnoeuropejskich przepisów ochrony danych osobowych. Spodziewałem się, że zostaną one uchwalone do 2014 r., a chociaż jest szansa, że niebawem zakończą się nad nimi prace, to jednak nadal ich nie ma.
Jeśli chodzi o Polskę, to największym problemem jest to, że zaciera się nam maszyna, jaką jest GIODO. Mówiąc wprost, przy tych środkach, jakimi dysponujemy, nie jesteśmy w stanie wypełniać powierzonych nam zadań. Kilkukrotnie wzrosła liczba wnoszonych skarg, kilkukrotnie też zwiększyła się liczba rejestrowanych zbiorów, a zatrudnienie jest takie samo jak przed kilkoma laty. Nie udaje nam się też, ze względów finansowych, zatrzymać wartościowych pracowników. Jesteśmy traktowani trochę jak instytucja edukacyjna dla osób, które później chcą robić karierę w biznesie.
Chociaż został pan powołany przez Sejm na kolejną kadencję, to nie wiadomo, czy pan będzie rozwiązywał te problemy. Kandyduje pan przecież na stanowisko europejskiego inspektora ochrony danych osobowych.
To prawda, złożyłem aplikację na to stanowisko, jako jedna z 32 osób. W ramach drugiej rundy zostałem zaproszony do udziału w przesłuchaniu w Brukseli, które odbędzie się dzisiaj. Ostateczne decyzje powinny zapaść do połowy października.
Jednocześnie jest pan wiceprzewodniczącym Grupy Roboczej art. 29, czyli gremium skupiającego rzeczników ochrony danych osobowych z państw UE. Dużo uwagi poświęcacie teraz konsekwencjom niedawnego wyroku luksemburskiego trybunału, zgodnie z którym wyszukiwarki takie jak Google muszą usuwać informacje o osobach, które nie chcą widnieć w wynikach wyszukiwania.
Głównym wyzwaniem, jakie pojawia się przed rzecznikami ochrony danych osobowych, jest to, jak podejdą do wnoszonych skarg. Osoba, która chce usunąć swoje dane z wyników wyszukiwania, najpierw powinna oczywiście zwrócić się do wyszukiwarki. Jeśli ta odmówi, zwraca się do rzecznika ochrony danych osobowych. Chcielibyśmy, aby decyzje podejmowane przez rzeczników Estonii, Wielkiej Brytanii, Hiszpanii czy Polski były podobne. Nie jest to jednak takie proste. Chociażby dlatego, że w różnych krajach różnie pojmuje się interes publiczny. Czy dentysta ma prawo żądać usunięcia linku prowadzącego do negatywnych o nim opinii? To tylko jeden z przykładów, które wymagają rozstrzygnięcia.
Google dość szybko uruchomiło formularz, za pomocą którego można się domagać usunięcia linków.
To tylko świadczy o tym, że nie jest to skomplikowane pod względem technologicznym, co od wielu lat próbowały nam wmówić wyszukiwarki internetowe. Praktyka pokaże, na ile skuteczne jest to narzędzie. Do GIODO zaczynają wpływać pierwsze skargi Polaków, którym odmówiono wykasowania danych. Bez wątpienia problem ten będzie narastał.