- Po kolei dokonujemy przeglądu spraw, w których niestety organ nadzorczy chował głowę w piasek. Chcę, żeby w tych sprawach postępowania administracyjne jednak zostały rzetelnie przeprowadzone - powiedział Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych.

Niedawno cofnął pan skargę kasacyjną w sprawie ujawnienia przez TVP, że aktywistka, która uczestniczyła w protestach po głośnym wyroku Trybunału Konstytucyjnego w sprawie aborcji, miała dodatni wynik testu na COVID-19. Oznacza to, że UODO zbada jednak tę sprawę. Ta oraz wcześniejsze decyzje zostały odebrane jako symboliczne zmiany w działaniu urzędu. Słusznie?

Tak. Przykładów takich spraw jest więcej, choćby wybory kopertowe czy co najmniej dwie sprawy, w których ujawnienie danych osobowych mogło doprowadzić do śmierci samobójczej. A będzie ich jeszcze więcej – to tylko kwestia czasu. Po kolei dokonujemy przeglądu spraw, w których niestety organ nadzorczy chował głowę w piasek, próbował trochę na siłę stosować wyjątki od RODO, przykładowo związane z działalnością dziennikarską czy z przetwarzaniem danych osób zmarłych. Chcę, żeby w tych sprawach postępowania administracyjne jednak zostały rzetelnie przeprowadzone i organ miał szansę ustalić ewentualną odpowiedzialność za naruszenie przepisów o ochronie danych.

Może pan zdradzić, jakie jeszcze będą to sprawy?

Choćby kwestia składania oświadczeń o przynależności sędziów do zrzeszeń, obowiązku narzuconego tzw. ustawą kagańcową, która – przypomnę – przez cały czas obowiązuje i w świetle Karty praw podstawowych UE narusza prywatność i ochronę danych osobowych. Rzecznik praw obywatelskich zwrócił się w marcu 2020 r. do prezesa Nowaka o wszczęcie postępowania w tej sprawie, ale organ nadzorczy odmówił. Nie będę ukrywał, że jeszcze jako pracownik Biura RPO przygotowałem skargę kasacyjną rzecznika, i poglądu prawnego w tej sprawie nie zmieniłem. Co więcej, Trybunał Sprawiedliwości UE w wyroku w sprawie C-204/21 potwierdził trafność tego poglądu. Jest to dosyć specyficzna sytuacja, gdyż będę obecnie wyrażał pogląd w sprawie, w której występowałem początkowo po drugiej stronie. Życie lubi płatać figle.

Czyli zamierza pan poprzeć zarzuty skierowane przeciwko organowi, którym pan kieruje?

Najważniejsze są meritum sprawy i skuteczna ochrona danych. Mam na myśli to, że nawet jeśli pojawia się ustawowy przepis uprawniający do przetwarzania danych, podobnie zresztą jak było przy wyborach kopertowych, to nie można do niego podchodzić całkowicie bezkrytycznie. Zgodnie z art. 6 ust. 3 RODO nawet takiej ustawowej podstawie do przetwarzania danych muszą towarzyszyć odpowiednie gwarancje ochrony praw i wolności. Samo istnienie przepisu, który nie spełnia kryteriów jakościowych szczegółowo określonych w RODO, nie może stanowić wymówki dla organu nadzorczego, by nie zajmować się w ogóle problemem, gdy ten realnie występuje.

A jakie możliwości ma wówczas organ?

Wyrok Naczelnego Sądu Administracyjnego będzie istotny – może pokazać dokładniej, jakie kompetencje ma w takiej sytuacji organ nadzorczy. Dotychczas były one postrzegane przez prezesa UODO bardzo wąsko – jeśli był przepis ustawowy stanowiący podstawę do przetwarzania danych, to uznawano, że wszystko jest OK i dalej nie trzeba sprawy badać. Jeśli NSA uzna, że to nie wystarczy, że trzeba badać, czy przepis spełnia kryteria RODO i może stanowić podstawę przetwarzania danych, to – jak uważam – to organ będzie miał obowiązek ustalania wszelkich konsekwencji związanych z danym przepisem.

No ale przecież prezes UODO nie będzie podważał legalności ustawy?

Oczywiście, że nie, ale będzie mógł badać, czy w danej sprawie konkretny przepis daje rzeczywiście administratorowi odpowiednią podstawę prawną do przetwarzania danych osobowych.

By powrócić do przykładu wyborów kopertowych – skoro sądy wielokrotnie oceniły, że przepis ustawy covidowej nie dawał podstaw do pozyskiwania danych przez Pocztę Polską, to prezes UODO nie może być organem, który tego nie zauważa.

Prezes UODO zwraca uwagę na te kwestie, uczestnicząc w procesie legislacyjnym, tyle że jego uwagi często są pomijane. Jak choćby przy projekcie ustawy – Prawo komunikacji elektronicznej. W swoim stanowisku zauważył pan, że przepisy utrzymujące retencję danych telekomunikacyjnych i obowiązek ich udostępniania służbom przez operatorów jest niezgodny z prawem unijnym, co potwierdziło wiele orzeczeń unijnego trybunału.

Nie tylko ja. Podobne uwagi zgłosił choćby RPO. I rzeczywiście nasze zastrzeżenia nie zostały wzięte pod uwagę. Nie oznacza to jednak, że sprawa jest dla nas zamknięta. Będziemy badać samą praktykę stosowania tych przepisów i oceniać działalność administratorów.

Czy to znaczy, że będzie pan kwestionował działalność operatorów, którzy przechowują dane telekomunikacyjne i udostępniają je służbom w dobrej wierze, na podstawie przepisów ustawy?

Nie, to byłyby jednak działania zbyt daleko idące. Nie oznacza to jednak, że niczego nie można zrobić. Zwrócę uwagę, że już 28 maja Europejski Trybunał Praw Człowieka ogłosi wyrok dotyczący właśnie tych przepisów. Zakładam, że uzna je za niezgodne z Konwencją o ochronie praw człowieka i podstawowych wolności, a wówczas Polska będzie zobowiązana do wdrożenia tego wyroku, także systemowo, czyli do zmiany przepisów.

Wróćmy na poziom bardziej ogólny – jakie cele, jako nowy prezes UODO, stawia pan przed sobą?

Na pewno zwiększenie transparentności i otwartości urzędu, co wynika nie tylko z mojej wizji pracy urzędu, lecz także z oczekiwań. I myślę, że to jest już widoczne.

Poza tym moim celem jest zwiększenie przewidywalności działania urzędu, co po części jest związane ze wspomnianą otwartością, choćby informowaniem o wydawanych decyzjach. Mam też na myśli wskazówki, wytyczne, poradniki, w których będziemy się starali przedstawiać swoje stanowiska. W tej chwili rozpoczynamy pracę nad uaktualnieniem dwóch ważnych poradników, dotyczących zgłaszania naruszeń oraz kwestii ochrony danych podczas rekrutacji.

To dotyczy wewnętrznej pracy urzędu. A czego mogą się spodziewać administratorzy, np. na jakich kwestiach zamierza się pan skupić przy kontrolach?

Takich obszarów jest wiele. Z pewnością skupię się bardziej na nowych technologiach. Jest to dzisiaj najważniejsze wyzwanie dla ochrony danych osobowych, więc musi to być jeden z priorytetów dla urzędu. Kontrole podjęte już w tym roku skupiają się na aplikacjach webowych i mobilnych. Można się spodziewać ich intensyfikacji. Kontrole będą nieco skrócone, lepiej przygotowywane przed ich rozpoczęciem, za to będzie ich więcej. Jeśli chodzi o kontrole sektorowe, to na pewno zwrócimy uwagę na sektor ochrony zdrowia, bo wciąż pojawiają się nowe informacje o wyciekach, które pokazują, że jest tam poważny problem.

Dużo uwagi poświęcimy również obowiązkom wynikającym z nowych unijnych aktów cyfrowych, w tym sztucznej inteligencji. Jak zapowiedział już minister cyfryzacji, powstanie nowa komisja, która zajmie się nadzorem nad sztuczną inteligencją. Dlatego będziemy intensywnie wspierać wszelkie działania, by ochrona danych osobowych i prywatności w kontekście stosowania algorytmów była zapewniona.

Czy utworzenie zupełnie nowego urzędu ds. sztucznej inteligencji to dobre rozwiązanie?

Ma plusy i minusy. Koszty mogą być wyższe, niż gdyby powierzyć tę rolę już istniejącemu urzędowi. Jednak pozwoli to ukształtować ten organ od początku i skoncentrować jego działania na sprawach dotyczących sztucznej inteligencji. Wydaje się, że takie podejście – tworzenie osobnych urzędów ds. AI – dominuje obecnie w Unii Europejskiej. Pozytywnie odbieram zapowiedzi MC włączenia w prace nowej komisji regulatorów, takich jak UODO, UOKiK czy UKE. W takim scenariuszu kompetencje UODO muszą zostać uwzględnione, a ochrona danych zagwarantowana. Nie wyobrażam sobie też, żeby w związku z wyzwaniami, jakie stawiają nam rozwój nowych technologii i sztuczna inteligencja, nasz budżet i obsada kadrowa nie zostały wzmocnione. Bez tego ochrona prywatności i danych w obliczu sztucznej inteligencji byłaby w Polsce fasadowa.

AI Act jeszcze nie ma, ale problemy związane ze sztuczną inteligencją już są. Jeszcze w poprzedniej kadencji do UODO wpłynęła skarga dr. Łukasza Olejnika na ChatGPT. Co się dzieje z tą sprawą?

To zagadnienie paneuropejskie, w związku z czym jesteśmy zobowiązani do współpracy z organami nadzorczymi w innych krajach. W ramach Europejskiej Rady Ochrony Danych Osobowych (EROD) została powołana podgrupa zajmująca się tą sprawą i uczestniczymy w jej pracach. Skarg na ChatGPT jest w Europie więcej i są to trudne sprawy.

Więc decyzja będzie za cztery lata?

Mam nadzieję, że znacznie szybciej. Choć rzeczywiście postępowania tego typu zajmują trochę czasu.

Ostatnim głośnym skoordynowanym działaniem było przyjęcie stanowiska EROD w sprawie modelu „pay or okay”. Ustaliliście, że aby być w zgodzie z RODO, Facebook i inne duże platformy nie mogą stawiać użytkownika pod ścianą: albo opłaca subskrypcję, albo godzi się na przetwarzanie swoich danych. Trudno było w EROD osiągnąć kompromis w tej sprawie?

Była grupa organów, które chciały bardziej liberalnej interpretacji RODO. Była też grupa krajów, która chciałaby bardziej rygorystycznego stanowiska. Przyjęta opinia jest wyrazem kompromisu.

A pan się pod tym stanowiskiem EROD podpisuje?

Tak. To jest wyważone, kompromisowe stanowisko. Natomiast nie ukrywam, że w trakcie prac zwracałem uwagę, że ten model nie może być kontynuowany. On po prostu narusza standard ochrony danych osobowych. Uzależnianie świadczenia usług od płacenia danymi osobowymi jest niedopuszczalne i stanowi zagrożenie dla ochrony danych, szczególnie w przypadku dużych platform. Moim zdaniem platformy powinny znaleźć inne rozwiązania.

Stanowisko EROD nie kończy tej sprawy. Zamierzamy przeprowadzić otwarte konsultacje społeczne na poziomie europejskim – i zachęcam, żeby organizacje z Polski wzięły w nich udział. Później zostaną wydane wytyczne EROD.

Paradoksalnie model „pay or okay” został wprowadzony w reakcji na zastrzeżenia wobec poprzednich systemów przetwarzania danych. A zmuszenie firm, żeby świadczyły usługi w internecie za darmo i jednocześnie bez przetwarzania danych, też nie jest w porządku. To się nie spina biznesowo.

Biznes jest bardzo kreatywny i jestem przekonany, że znajdzie sposób, żeby zarobić i jednocześnie zapewnić wymagany standard ochrony danych. Próba wywarcia pewnego nacisku ze strony organów, pokazania, że nie tędy droga, zachęci przedsiębiorców do myślenia.

Z tego, co pan mówił o swoich planach, i z pańskich pierwszych decyzji przebija motyw zmiany. Czy to znaczy, że prezes Jan Nowak wszystko robił źle?

Jest to zmiana związana z moją odpowiedzialnością i z realnym wykonywaniem powierzonych mi zadań. Jak pokazują wyroki sądowe, problemy, których się próbowało uniknąć, i tak później wracają.

Wolałbym nie oceniać działań mojego poprzednika, ale jest to czasem niestety nieuniknione, bo są kwestie, na które muszę zareagować, by to, co moim zdaniem było działaniem niewystarczającym, zmienić. Szkoda tylko, że te sprawy, często mające jakiś polityczny kontekst, rzuciły w opinii wielu osób negatywne światło na działanie całego urzędu. Staramy się teraz, wraz z zastępcami i współpracownikami, przywrócić należną mu pozycję. Pracownicy urzędu są ekspertami w swojej dziedzinie i wykonują pracę zgodnie ze standardami niezależnie od tego, kto jest prezesem. Nie oceniam więc, że wszystko było dotychczas robione źle. Było czasem za mało aktywności i za dużo kunktatorstwa, za mało otwarcia – i te elementy staram się zmieniać przy pomocy współpracowników, którzy się nie zmienili. ©℗

Rozmawiali Elżbieta Rutkowska i Sławomir Wikariak