Tomasz Ciechoński: Dużo komentarzy wywołał poradnik nt. naruszeń danych osobowych, w którym naruszenie jest definiowane jako „zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność”. Dlaczego „może wpłynąć”, a nie „wpływa”? Pojawiają się głosy, że Pana podejście jest restrykcyjne.

Mirosław Wróblewski: Na wstępie zaznaczę, że wątpliwości jest kilka, na blisko 100 stron tekstu. Mamy bardzo dużo sygnałów, że poradnik wiele rzeczy wyjaśnił i że jest napisany bardzo dobrym językiem. Nasze działania mające na celu stosowanie prostego języka przynoszą efekty.

Przechodząc do pytania, chciałbym zwrócić uwagę, że naruszenie ochrony danych jest zdefiniowane w RODO. Poradnik tej definicji oczywiście nie zmienia, zresztą wprost przywołuje ją na stronie 8. To nie jest kolejny komentarz do RODO, to nie są przepisy prawa. Poradnik ma na celu lepsze zrozumienie przepisów i zwrócenie uwagi na najważniejsze kwestie.

Określenie „może wpłynąć” nie odnosi się do samego naruszenia, ale do ryzyka z nim związanego, co może powodować konieczność zawiadomienia prezesa UODO i osób dotkniętych naruszeniem. Już sama możliwość wystąpienia zagrożeń będących konsekwencją naruszeń, rodzi pewne obowiązki po stronie administratorów danych. Z punktu widzenia RODO, ryzyko nie musi się zmaterializować. Natomiast odpowiednia reakcja może sprawić, że ryzyko się nie zmaterializuje. Podkreślamy, że zagrożeń można uniknąć, gdy będziemy im odpowiednio wcześnie przeciwdziałać. Duży nacisk położyliśmy na profilaktykę i szybkość reakcji. Gdy występuje incydent, to nie jest to czas na pogłębioną analizę, dywagowanie czy naruszenie poufności jest możliwe, czy niemal pewne. Na pierwszym miejscu powinno być bezpieczeństwo osób, których dane są przetwarzane. Pragnę podkreślić, że na pewno nie jest celowe zgłaszanie do urzędu wszystkich incydentów bez zastanowienia, bo pojawiły się opinie, że teraz urząd zostanie zarzucony zgłoszeniami. Chciałbym jasno powiedzieć, że nie oczekuję zgłaszania incydentów, które nie spełniają warunków wynikających z RODO, przede wszystkim z art. 4 pkt 12 i 33 RODO. Nikt nie będzie zagrożony sankcją, gdy do naruszenia ochrony danych osobowych jedynie mogło dojść.

Byłem trochę zaskoczony dyskusją na ten temat, gdyż dokładnie takie samo określenie znajdowało się w poradniku z 2019 r. Żeby uniknąć jakichkolwiek nieporozumień, postanowiliśmy jednak zorganizować jeszcze webinarium, na które serdecznie zapraszam: 28 marca w godzinach 10–12:30, szczegóły dostępne na stronie urzędu. Nie będę się spierał z określeniami „rygorystyczne”, „restrykcyjne”; celem poradnika na pewno nie jest „przykręcanie śruby” administratorom, przyświeca mu intencja skłonienia do większej uważności i roztropności przy zgłaszaniu naruszeń.

Czy więc każde zdarzenie, w którym występuje ryzyko naruszenia danych, należy zgłaszać do UODO?

Zachęcam, do lektury poradnika i proponuję nie koncentrować się na pojedynczych słowach czy zdaniach, a na zrozumieniu pewnej filozofii i całościowego podejścia. Tu nie ma rozwiązań zawsze i zupełnie zero-jedynkowych. Trzeba znać swoją organizację, trzeba znać specyfikę incydentu. Powiedziałbym, że w razie gdyby po lekturze poradnika administrator nadal miał wątpliwości (na co szanse są już niewielkie), pewnie lepiej jest zgłosić naruszenie. Nie zmienia się tutaj jednak nic w odniesieniu do obowiązujących przepisów prawa.

Liczne pytania budzi też opis roli inspektora ochrony danych (IOD). Dr Paweł Litwiński napisał, że teraz „wszelkie czynności związane z obsługą naruszenia będzie musiał wykonywać inny podmiot niż IOD”. Prof. Grzegorz Sibiga twierdzi, że w każdej organizacji ochroną danych będą musiały zajmować się co najmniej dwa piony. Prof. Arkadiusz Sobczyk stwierdził: „IOD nie jest doradcą, ale organem kontrolnym i doradczym”. Jak Pan odniesie się do tych uwag?

Absolutnie zgadzam się z określeniem przez prof. Arkadiusza Sobczyka IOD jako organu doradczego. Natomiast oczywiście jest pewna różnica w podejściu urzędu i w doktrynie prawa. My nie prowadzimy studiów, nie analizujemy pewnych określeń w taki sposób jak doktryna prawa, a podchodzimy do tego bardzo praktycznie. Rolą poradnika nie jest kształtowanie czy zmiana roli pełnionej przez IOD. Poradnik systematyzuje stanowisko UODO w tym zakresie. Nie wyklucza roli IOD w działaniach związanych z obsługą naruszeń, tylko podkreśla konieczność zapewnienia jego statusu. Uwagę wzbudziły dwa zdania, natomiast trzeba je czytać w całym kontekście. IOD może wspierać i doradzać administratorowi w sprawach, działaniach związanych z obsługą naruszeń, ale nie może zastępować administratora. I nie może być obarczany odpowiedzialnością, która z mocy przepisów RODO spoczywa na administratorze. To jest pierwsza nieprzekraczalna granica. Druga jest taka, że wykonywanie zadań IOD nie może prowadzić do konfliktu interesów i podważenia niezależności IOD.

Poprosiłem o wprowadzenie do poradnika dwóch przykładów: w obsłudze procesu naruszeń IOD nie może w żadnym sposób wyznaczać celów i sposobów przetwarzania, ani wyznaczać działań zaradczych już po wystąpieniu incydentu. W poradniku zawarte są zalecenia kierujące uwagę na rozwagę w kwestii obarczania IOD obowiązkami, które zostały powierzone administratorom. Reasumując, inspektorzy mogą brać udział w działaniach związanych z obsługą naruszeń, ale nie mogą zastąpić administratora, nie mogą przejąć ich zadań i nie może dojść do konfliktu interesu i wpłynięcia na ich niezależność.

Nowość

-10%

Nowość

RODO dla AI

Dominik Lubasz

Sprawdź  

Co w takim razie ma robić organizacja, która ma do czynienia z danymi osobowymi? Czy słusznie mecenas Maciej Gawroński radzi, by niezależnie od IOD, zatrudnić specjalistę ochrony danych (SOD), który mógłby podejmować czynności w imieniu administratora?

Rolą urzędu nie jest przesądzanie struktury zarządzania u administratorów. Nie narzucamy, jak mają zorganizować swoje działania, zwłaszcza że wiele zależy od wielkości jednostki. Wydaje mi się jednak, że tutaj nie powinno się dużo zmienić. Nie wyobrażam sobie, żeby do tej pory administrator nie miał zielonego pojęcia o ochronie danych osobowych. Natomiast, czy wymaga to dodatkowych szkoleń? To na pewno nigdy nie zawadzi. Czy powinni być zatrudniani osobni specjaliści? To administratorzy muszą decydować, czy w ogóle taka potrzeba występuje. Na pewno nie wynika to z poradnika. Jeżeli istnieje jakaś generalna potrzeba rozmowy na temat rozsądnego zarządzania i ułożenia relacji w tym zakresie, to być może modele rynkowe, które są dziś przyjęte, są niedoskonałe. Sugestie pana mec. Macieja Gawrońskiego na pewno są godne takiej dyskusji.

Czytaj także: Inspektor pisze, administrator podpisuje. UODO tłumaczy swój poradnik

W sprawie Poczty Polskiej i wyborów kopertowych nałożona przez Pana kara jest rekordowa. Wcześniej Pana poprzednik też tą sprawą się zajmował i uznał, że skargi obywateli są bezzasadne. Czy jest więcej spraw, w których Panowie się różnicie?

Rzeczywiście, nie wszystkie stanowiska mojego poprzednika mogłem podzielić. Zależy to nie tylko od wykładni przepisów, ale także zmieniającego się orzecznictwa. Po prawomocnych wyrokach sądów administracyjnych z 2024 r., mogę powiedzieć, że moje poglądy prawne w zakresie wyborów kopertowych tylko się potwierdziły.

Natomiast uważam, że mój poprzednik niejednokrotnie uciekał się do zasłon formalnych, aby uniknąć trudnych spraw. Przez to nie doszło do właściwej ochrony osób i ich danych osobowych. Przykładem jest ostatnia kara dla Radia Szczecin. Mój poprzednik nie zajął się sprawą, ponieważ doszło tam do samobójczej śmierci dziecka, a RODO nie chroni danych osobowych osób zmarłych. Tymczasem sprawa miała przyczyny systemowe, którymi należało się zająć i co uczyniłem. Chcę, aby ta sprawa była lekcją dla pozostałych rozgłośni regionalnych i innych administratorów danych. Tak jest z wieloma innymi sprawami, ostatnio chociażby w sprawie komendanta głównego policji. W dalszym ciągu będę wracać do takich spraw, tam gdzie jest to możliwe.

Zobacz w LEX: RODO - obowiązek poinformowania pracowników w pytaniach i odpowiedziach > >

Jest jednak kwestia, w której chyba bardzo zgadza się z poprzednikiem – obaj Panowie zabiegaliście o to, by numery ksiąg wieczystych nie były dostępne powszechnie. A i tak można je nabyć od firm z Seszeli. Czy podejmuje Pan dalsze działania w tym zakresie?

Łączenie statusu numerów ksiąg wieczystych z możliwością ich zakupu na Seszelach to skrót myślowy. Natomiast rzeczywiście problemem jest to, że te numery ksiąg – a co za tym idzie dane osobowe – są dostępne za granicą, podczas gdy przestały być dostępne w kraju. Jedną rzeczą jest jednak zapewnienie jawności i powszechności dostępu do ksiąg wieczystych. Drugą - w jaki sposób ten dostęp jest realizowany. W swoich wystąpieniach podkreślałem, że konieczne jest, żeby ten dostęp nie był możliwy bez weryfikacji tożsamości osób, które do systemu mają dostęp. Minister sprawiedliwości zapowiedział podjęcie inicjatywy ustawodawczej, która ma na celu wprowadzenie systemu weryfikacji. Zadeklarowałem, że przy wypracowaniu konkretnych przepisów będę pomagał. Mam nadzieję, że wkrótce sprawa zostanie ostatecznie rozwiązana.

Zgłaszam też uwagi do innych projektów, tak żeby nie dochodziło do udostępniania numerów ksiąg wieczystych w sposób, który naruszałby przepisy RODO. Chcę wspierać rozwiązania, które będą sprzyjać zrealizowaniu zarówno jawności ksiąg, jak i ochrony danych osobowych.

Przy okazji dyskusji o deregulacji niejednokrotnie spotkałem się z argumentem (także z ust prawników), że deregulacji wymaga RODO. Jak Pan się do tego odniesie?

- Rozumiem te głosy. Wynikają one z wielu błędów popełnionych przy wdrażaniu RODO, w tym straszenia RODO i wielkimi karami za niespełnienie biurokratycznych obowiązków. Wykształcił się formalizm skupiony na klauzulach informacyjnych i papierologii, przywiązując do RODO biurokratyczny image.

Czasu nie da się cofnąć. Tymczasem właściwe wdrożenie RODO może iść ręka w rękę z odpowiednim zarządzaniem, realizacją procesów biznesowych czy zadań publicznych, przy jednoczesnej ochronie danych. To buduje zaufanie obywateli do państwa, czy klientów do przedsiębiorstwa. I nie jest to element przeregulowania. Chcemy odczarować RODO, dlatego edukujemy, organizujemy webinaria, konferencje, seminaria, wydajemy poradniki.

Co oznacza „deregulować RODO”? RODO było wielką zmianą w stosunku do poprzedniego stanu prawnego. Wprowadziło neutralność technologiczną, uniezależnienie rozwiązań od konkretnej technologii, podejście oparte na ryzyku - uzależniając to od samooceny przez administratorów ryzyk i przyjęcia adekwatnych rozwiązań. RODO można w istocie postrzegać jako swoistą inicjatywę deregulacyjną. W przeciwieństwie np. do Aktu o sztucznej inteligencji, który definiuje kategorie ryzyka i ściśle określa związane z nimi obowiązki i rzeczywiście wydaje się przeregulowany.

Zobacz również w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych > >

RODO stało się jednak przedmiotem licznych anegdot. Ostatnio usłyszałem o problemie z odebraniem u weterynarza wyników badań psa, „bo RODO”.

- Rzeczywiście, RODO, chociaż nie dotyczy zwierząt, to może jednak w pewnych sytuacjach w istocie umożliwić identyfikację np. właściciela psa, któremu np. wszczepiono czip i w praktyce spacery z psem identyfikują spacery człowieka. Ale to wyjątek. RODO niezasłużenie stało się trochę aktem memicznym. Trzeba zatem demitologizować wywoływane sztucznie komplikacje i skupiać się na rzeczach istotnych. Słynny przykład to konieczność podawania numeru PESEL w aptece. Na to jest bardzo proste rozwiązanie. Niektóre apteki mają już klawiaturki do wpisywania numeru PESEL, można go też zapisać na karteczce i podać przez okienko. Powiem szczerze, że osobiście zdecydowanie wolę tłumaczyć te memiczne rzekome paradoksy RODO, bo da się to zrobić znacznie prościej niż tłumacząc paradoksy prawa podatkowego.

W internecie krąży filmik ukazujący Szwecję jako kraj, w którym łatwo jest uzyskać dane dowolnej osoby, takie jak: data urodzenia, stan cywilny, wartość nieruchomości, wcześniejsze adresy, posiadane pojazdy, a nawet informacje o zwierzętach domowych. Czy informacje te są prawdziwe? Jeśli tak, jak to możliwe, że Szwecja stosuje to samo RODO?

- Wynika to w dużej mierze z różnic kulturowych. To widać dobrze w kwestii przejrzystości i dostępności informacji o wynagrodzeniach. W krajach skandynawskich nikt z tym nie ma żadnego problemu. U nas w Polsce i myślę, że w wielu innych krajach jest to zupełne tabu. Dyrektywa o równości wynagrodzeń, która ma spowodować zmniejszenie luki płacowej między kobietami i mężczyznami, także będzie budzić u nas bardzo dużo kontrowersji. W różnych krajach także różnie postrzegane są kwestie jawności informacji w prasie. Myślę, że przede wszystkim te różnice powodują także różnice w interpretacji przepisów o ochronie danych osobowych.

Czytaj w LEX: Prezes UODO nie rozpoznaje skarg dotyczących przetwarzania danych osobowych w kościelnych rejestrach > >