Moment zmiany prezesa Urzędu Ochrony Danych Osobowych powinien sprzyjać refleksji na temat obecnej instytucjonalnej ochrony danych osobowych, a ta z pewnością wymaga zmiany. Dotyczy to zarówno przepisów prawa, jak i bardziej efektywnego i niezależnego sposobu wykonywania kompetencji przez organ.
Obecnie prezes UODO jest jedynie organem wykonującym przepisy unijne, tj. ogólne rozporządzenie o ochronie danych (RODO) oraz przepisy o ochronie danych osobowych związane z zapobieganiem i zwalczaniem przestępczości w rozumieniu unijnej dyrektywy 2016/679.
Wbrew potocznej opinii prezes UODO nie jest organem stojącym na straży konstytucyjnego prawa do ochrony danych osobowych w rozumieniu art. 51 ustawy zasadniczej, a tym bardziej gwarancji ochrony życia prywatnego (w zakresie prywatności informacyjnej; art. 47 konstytucji). Wszelkie polskie przepisy są stosowane przez prezesa jedynie przez pryzmat wspomnianego prawa unijnego Co więcej, RODO swoim zakresem nie obejmuje szerokiego zakresu przetwarzania danych osobowych „w ramach działalności nieobjętej zakresem prawa Unii”. Zaistniałe w ostatnich pięciu latach spory sądowe w zakresie obowiązywania RODO, które dotyczyły m.in. informacji publicznej oraz akt IPN, chociaż nie przebiły się do szerszej świadomości opinii publicznej, były w istocie zmaganiami o zapewnienie realnego prawa do ochrony danych osobowych.
Jeszcze gorsza sytuacja występuje na gruncie „przepisów policyjnych”, ponieważ w naszym kraju celowo, niegodnie z dyrektywą 2016/679, ograniczono moc obowiązywania ustawy z 2019 r. o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości. Jej przepisy nie mają bowiem zastosowania do danych osobowych „znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych”, czyli do znaczącej części danych osobowych przetwarzanych przez sądy, organy ścigania i inne podmioty objęte mocą dyrektywy.
Otwarcie na rewolucję technologiczną
W każdej sprawie prezes UODO powinien być silnym, niezależnym i fachowym organem rozumiejącym rozwój technologiczny, biorącym udział w unijnych mechanizmach ochrony danych osobowych, ponieważ tam są wykuwane kierunki rozwoju tego prawa, ale również będącym nie tylko kontrolerem, lecz także partnerem dla polskich władz. Celowo używam słowa „partnerstwo”, ponieważ zasady ochrony danych osobowych powinny być wkomponowane w działanie tych władz.
W procesie stanowienia prawa potrzebne jest na stałe wbudowanie przewidzianej w RODO legislacyjnej oceny skutków dla ochrony danych w projektowanie aktów normatywnych. Pozwoli w każdym akcie prawnym na ocenę niezbędności i proporcjonalności wprowadzanego w nim przetwarzania danych osobowych czy wdrożenie środków zabezpieczających. Inną rolą prezesa UODO jest stałe wspieranie niezależnych inspektorów ochrony danych, którzy swoimi rekomendacjami i budowaniem świadomości wewnątrz urzędów powinni m.in. zapobiegać niezgodnemu z ich przeznaczeniem wykorzystywaniu przez organy państwa i ich funkcjonariuszy ogromnego zasobu danych o obywatelach zgromadzonych przez państwo.
Polski organ z pewnością powinien szerzej otworzyć się na zjawiska technologiczne i techniczne skutkujące nowym wymiarem przetwarzania danych osobowych. Nie wypada dobrze porównanie jego aktywności z działaniami niektórych innych organów krajowych, stale wydających w tym zakresie standardy, wytyczne i poradniki. Wyzwaniem będzie określenie roli prezesa UODO w wykonaniu całej grupy nowych aktów unijnych mających wpływ na przetwarzanie i ochronę danych, począwszy od tych realizujących europejską strategię w zakresie danych, a skończywszy na długo wyczekiwanym akcie w sprawie sztucznej inteligencji. W mijającym roku złym sygnałem był ostry sprzeciw prezesa UODO wobec projektu ministra cyfryzacji dotyczącego instytucjonalnego włączenia prezesa w wykonywanie unijnego aktu w sprawie zarządzania danymi, bez żadnych pozytywnych propozycji swojego udziału w stosowaniu tego aktu.
Ostatecznego rozwiązania wymaga też problem nigdy niepowołanej rady ds. ochrony danych osobowych, ustawowego organu kolegialnego, który z jednej strony ma doradzać prezesowi UODO, ale z drugiej większość jego składu jest ustawowo narzucana niezależnemu przecież prezesowi, ponieważ to osoby zgłaszane przez prezesa Rady Ministrów i rzecznika praw obywatelskich. Osobiście jestem zwolennikiem ciał doradczych, ale w pełni samodzielnie kształtowanych przez niezależnie działający organ ds. ochrony danych osobowych.
Efektywność działania
Słusznie od prezesa UODO oczekujemy efektywnego realizowania prawa do ochrony danych osobowych. Nowoczesna ochrona danych osobowych została oparta na funkcjonowaniu wyspecjalizowanego organu państwa, który władczo, kompleksowo i sprawnie będzie załatwiał sprawy w tym przedmiocie. Miało to stanowić odpowiedź na niewystarczającą sądową ochronę, która może być spóźniona, nie obejmuje wszystkich potencjalnych naruszeń i zasadniczo w gorszej pozycji stawia osobę, której dane dotyczą w kontradyktoryjnym procesie. W założeniu postępowanie administracyjne miało być szybsze i bardziej przyjazne dla obywatela.
W rzeczywistości jednym z głównych zastrzeżeń wobec prezesa UODO jest długotrwałość załatwiania przez niego różnego rodzaju spraw. Ciągle na rozstrzygnięcie czekają niezwykle liczne (szacowane nawet w tysiącach) nierozpatrzone w ustawowych terminach sprawy ze skarg osób, których dane dotyczą, w tym niektóre rozpoczęte jeszcze przed początkiem stosowania RODO w 2018 r. Również wszczynane z urzędu postępowania dotyczące zdarzeń bulwersujących opinię publiczną, takich jak ujawnienie danych zdrowotnych z recept przez byłego ministra zdrowia Adama Niedzielskiego, ciągną się miesiącami mimo potrzeby dokonania w tym przypadku prostej oceny prawnej i przeprowadzenia stosunkowo nieskomplikowanego postępowania dowodowego.
Powolność działania UODO ostudziła entuzjazm różnych zrzeszeń, które zamierzały ustanowić samoregulację ochrony danych osobowych w swoich branżach (kodeksy postępowania). Z ponad 20 kodeksów przedstawionych formalnie lub wstępnie prezesowi tylko jeden został zatwierdzony. Część wnioskujących wycofała już swoje wnioski lub zrezygnowała z ich formalnego złożenia. Dodatkowo, pomimo przyznania takich kompetencji w RODO, polski organ nie wydał żadnych własnych formalnych standardów ułatwiających stosowanie RODO (np. standardowych klauzul umownych) poza obowiązkowo publikowanym w każdym kraju wykazem operacji wymagających oceny dla ochrony danych.
Remedium na bolączki urzędu nie powinno być ciągłe zwiększanie liczby pracowników. Dziś jest ich już ok. 250, co czyni urząd jednym z większych w państwach Unii Europejskiej. Oprócz potrzebnej reorganizacji struktury organizacyjnej, ukierunkowanej na sprawne wykonywanie najważniejszych zadań, systemowego rozwiązania wymaga problem skarg. Obecnie każda skarga osoby, której dane dotyczą, wszczyna postępowanie administracyjne kończone decyzją administracyjną z pełnym zastosowaniem przepisów kodeksu postępowania administracyjnego. Dlatego aż do 30 proc. pracowników urzędu zajmuje się formalnym rozpatrywaniem tych skarg, a mimo to ich kolejka znacząco nie maleje. Moim zdaniem potrzebujemy uproszczenia tej procedury i zastosowania nowych rozwiązań (np. mediacji między skarżącym a administratorem), rzecz jasna z pełnym zagwarantowaniem każdej osobie fizycznej prawa do skargi na naruszenie ochrony jej danych osobowych. Pozwoli to na większe zaangażowanie urzędu na innych polach.
Niezależność i fachowość
Aktualnym wyzwaniom ochrony danych osobowych może sprostać w roli organu ochrony danych jedynie osoba przygotowana fachowo i niezależna. Nowy prezes znowu będzie wybierany wyłącznie w procedurze politycznej, czyli tak jak od ćwierć wieku funkcjonowania w Polsce publicznoprawnej ochrony danych osobowych (od 1998 r.). To również powinno się zmienić, ponieważ w przeszłości zdarzało się, że mający parlamentarną większość dosyć dowolnie oceniali ustawowe wymagania stawiane kandydatom. Dlatego za zadanie najbliższej kadencji uważam także przygotowanie podstaw prawnych, aby kolejny prezes był już wybierany konkursowo lub przynajmniej z większą partycypacją strony społecznej. Oczywiście ze względu na rangę organu decydujący głos w wyborze zawsze powinien należeć do parlamentu, co tworzy silną legitymację dla instytucji ochrony danych osobowych. Trzeba jednak zawsze pamiętać, że nie ma nic gorszego dla niezależnego urzędnika niż dług wdzięczności wobec polityków za to, że wyłącznie ich przychylności zawdzięcza swój urząd. ©℗
