Co zaważyło na pańskiej decyzji o kandydowaniu na prezesa Urzędu Ochrony Danych Osobowych?

Od wielu lat jestem związany z urzędem, który dba o ochronę danych osobowych wszystkich Polaków. Pracowałem z jego trzema szefami. Byłem świadkiem i uczestnikiem jego przekształceń, wypracowywania praktyk działania. Przygotowanie się do stosowania RODO to ostatni ważny okres wielu cennych dla mnie doświadczeń. Teraz przyszedł dobry moment, by sprawdzić się w nowej roli, aby moje doświadczenia jeszcze lepiej wykorzystać w UODO. Mam pomysł na rozwój urzędu, wzmacnianie jego roli, aby jeszcze skuteczniej chronił dane osobowe nas wszystkich. Rozmowa - ODP - 8.25 L: Wydaje mi się, że mam dobrą perspektywę, aby to zrobić. Na pewne procesy patrzę jako dyrektor z wewnątrz organizacji, a w kontekście rozwoju jako doświadczony menedżer jestem w stanie spojrzeć na urząd z innej perspektywy.

Czytaj także: Ochrona danych osobowych: dekalog pracodawcy

Jakie ma pan plany działania po objęciu stanowiska prezesa UODO?

Nie będę robił rewolucji. Urząd Ochrony Danych Osobowych to dojrzały, dobrze ukształtowany organizm. Niemniej chciałbym z nowej perspektywy i mając pogłębioną wiedzę z zakresu zarządzania, przyjrzeć się pewnym procesom, być może niektóre zmodyfikować, by działały lepiej. Może się to wiązać z pewnymi zmianami wewnętrznymi, tym bardziej że zbliżający się rok od rozpoczęcia stosowania RODO i działania urzędu w nowej strukturze to dobry moment na wyciągnięcie pierwszych wniosków. Z tej perspektywy warto przeanalizować, co się sprawdza, a co można i warto usprawnić. Już teraz widać, że w kontekście nowych obowiązków rosnącej świadomości Polaków w zakresie ochrony swoich danych nie tylko rośnie rola i zaufanie do naszych działań, ale też odpowiedzialność związana z ilością pracy i obowiązków spoczywających na naszych specjalistach. A wiadomo, że czas i budżet nie są z gumy, warto więc zadbać o doskonałą organizację pracy i odpowiedni budżet urzędu.

Przy okazji chciałbym podkreślić, że jako prezes urzędu będę także dbał, by zachowana została dotychczasowa niezależność organu nadzoru. To bardzo ważne dla jego efektywnego działania, a także wszystkich zainteresowanych ochroną danych osobowych, by obywatele czy przedsiębiorcy mieli pewność, że korzystają z rekomendacji jedynego wyspecjalizowanego w tym zakresie urzędu w tym kraju. Dlatego o rozwiązania gwarantujące taką niezależność zabiegaliśmy mocno na etapie prac legislacyjnych nad nową ustawą o ochronie danych osobowych. Wywalczyliśmy je i chciałbym być ich strażnikiem, bo polityka musi pozostawać za drzwiami naszego urzędu. Tak było przez lata i musi być nadal.

A może krystalizują się pewne plany, które będą miały znaczenie nie tyle co dla samego UODO, ale dla rynku?

Tak, choć wolałbym o nich mówić dopiero wówczas, gdy wspólnie z moimi współpracownikami dokonam kompleksowej analizy najistotniejszych problemów i praktyk rynkowych, tak byśmy mogli odnieść się do tych, które są najistotniejsze dla przetwarzania naszych danych osobowych z poszanowaniem przysługujących nam praw.

Niemniej już teraz mogę np. wskazać, że doświadczenia i wnioski wynikające m.in. z prowadzonych przez nas kontroli, a także ze zgłaszanych do prezesa UODO naruszeń ochrony danych osobowych, chcemy wykorzystać w szeroko zakrojonej działalności edukacyjnej urzędu. Liczę, że w ten sposób wesprzemy administratorów w osiąganiu pełnej zgodności z RODO. Przykładowo to, że naruszenia zgłasza wiele podmiotów z danego sektora albo ten sam administrator przesyła zgłoszenia o drobnych, ale powtarzających się tego samego rodzaju incydentach może świadczyć o tym, że w niektórych obszarach lub aspektach są problemy z wyzbyciem się pewnych nieprawidłowości. Chciałbym jednak, by błędy innych, które będziemy eliminować, korzystając ze wszystkich środków i narzędzi, jakimi dysponuje organ nadzoru, posłużyły do doskonalenia całego systemu ochrony danych osobowych.

Z jednej bowiem strony ważne jest, by wspierać podmioty zbierające i wykorzystujące dane osobowe, z drugiej strony nie może być pobłażania dla tych, którzy lekceważą obowiązujące prawo. Obowiązkiem prezesa UODO jest bowiem dbanie o przestrzeganie praw osób, których dane są przetwarzane, bo są oni „słabszą" stroną w relacjach z administratorami. Dlatego będę zabiegał o to, by Urząd Ochrony Danych Osobowych jeszcze bardziej otworzył się na obywateli i ich potrzeby. Mimo rosnącej świadomości w zakresie ochrony danych wiele osób wciąż czuje się zagubionych, gdy chce skorzystać z przysługujących im praw.

Jakie najtrudniejsze wyzwania widzi pan na początku swojej czteroletniej kadencji?

Wyzwań jest wiele. Część z nich wynika z tego, że transformacja spowodowana rozpoczęciem stosowania RODO wciąż trwa. Dlatego wyzwaniem będzie np. stworzenie przewidzianego przepisami o ochronie danych osobowych systemu certyfikacji. Europejska Rada Ochrony Danych, której jesteśmy członkiem, pracuje jeszcze nad kryteriami certyfikacji. Stworzą one podstawy do funkcjonowania podmiotów wydających administratorom certyfikaty zgodności z zasadami ochrony danych. Mam nadzieję, że te prace zostaną niebawem ukończone.

Kolejnym wyzwaniem będzie zatwierdzanie kodeksów postępowania. Na unijnej arenie jesteśmy liderami, jeśli chodzi o liczbę środowisk zaangażowanych w wypracowanie takich dokumentów. Urząd wspiera je w tych działaniach, edukując i prowadząc konsultacje. To żmudna i czasochłonna praca

Niewątpliwie dużym wyzwaniem będzie sprawne i terminowe rozpatrywanie skarg. Liczyliśmy się z tym, że w związku z RODO skarg będzie dużo więcej, ale nikt nie przypuszczał, że aż tak dużo.

Istotne będzie też z jednej strony zatrzymanie w urzędzie specjalistów, których udało nam się pozyskać i przez lata wykształcić, z drugiej zaś zapewnienie kadr, które będą w stanie sprostać tym wyzwaniom z zakresu ochrony danych osobowych, które wynikają m.in. z ich przetwarzania z wykorzystaniem nowoczesnych technologii czy np. transgranicznego prowadzenia spraw. Dlatego dbamy o to, by zatrudnieni u nas eksperci dysponowali wiedzą z różnych dziedzin. Znalezienie takich pracowników nie jest łatwe, ale też nie niemożliwe, co potwierdzają wyniki naboru, jaki przeprowadziliśmy po 25 maja 2018 r. ze względu na znaczny, wynikający z RODO, wzrost liczby zadań organu nadzorczego. Prywatny sektor kusi jednak specjalistów od ochrony danych, ale mimo to i mimo ograniczeń budżetowych udało nam się stworzyć atrakcyjne warunki pracy umożliwiające rozwój zawodowy.

To sprawy związane stricte z urzędem i RODO. Sytuacja na rynku pewnie też rodzi nowe wyzwania?

Oczywiście. Pamiętajmy, że bardzo dynamicznie rozwijają się nowe technologie, które coraz częściej są wykorzystywane do przetwarzania danych osobowych. Jednocześnie umożliwiają ich gromadzenie i łączenie oraz analizowanie na niespotykaną dotąd skalę. I to jest nieustające wyzwanie dla prezesa UODO, by móc reagować i zapewniać należytą ochronę danych, poszanowanie prywatności w tak dynamicznie zmieniającej się rzeczywistości.

Kolejne wyzwanie dotyczy rynku usług telemarketingowych. Psują go podmioty, które nie chcą szanować praw osób, które kontaktują się z nimi mimo sprzeciwu, nie dopełniają obowiązku informacyjnego, bezprawnie udostępniają lub sprzedają dane innym przedsiębiorcom. Eliminowanie tych, którzy stosują takie praktyki, nie jest łatwe, gdyż działają na styku różnych przepisów, za przestrzeganie których odpowiadają różne urzędy. Przedsiębiorcy ci często mają siedziby za granicą, m.in. w państwach trzecich, co utrudnia egzekwowanie przestrzegania prawa. Nakładają się na to dokonywane przez nich z premedytacją przekształcenia własnościowe prowadzące do przekazywania baz danych kolejnym podmiotom. Pewne działania mające na celu ukrócenie takich praktyk zostały już zainicjowane przez dr Edytę Bielak-Jomaa we współpracy z innymi instytucjami. Z pewnością będę je kontynuował.

Skupimy się również na edukacji społeczeństwa, tak by wszyscy coraz lepiej znali swoje prawa i wiedzieli, jak ich dochodzić, jak poprawnie złożyć skargę do prezesa UODO, w jakich sytuacjach wnosić pozwy do sądów, kiedy można korzystać z prawa do bycia zapomnianym.

Czego mogą się spodziewać administratorzy danych, po tym jak przejmie pan stery w urzędzie?

W dużej mierze kontynuacji. Wciąż bowiem obowiązywać ich będą te same regulacje i zasady dotyczące przetwarzania danych, a prezes UODO nadal będzie miał te same narzędzia i uprawnienia, by egzekwować ich przestrzeganie.

Jednocześnie jeszcze ściślej chciałbym współpracować z inspektorami ochrony danych (IOD) – także w zakresie edukacyjnym. Osoby takie są powoływane przez wielu administratorów i ich rola jest kluczowa dla systemu ochrony danych. Doświadczenia zebrane choćby na przykładzie szkoleń, jakie prezes UODO organizował dla IOD, uwidaczniają, że działania adresowane do takich specjalistów dają efekty w postaci lepszych praktyk, procedur oraz wiedzy pracowników w wielu podmiotach.

Pytam nie bez powodu, gdyż weszły już w życie przepisy tzw. ustawy wprowadzającej RODO, które usuwają rozbieżności między polskimi a unijnymi przepisami, co otworzy drogę do nakładania kar przez prezesa UODO za złamanie nowych regulacji. Czy przedsiębiorcy mają się czego bać?

Prezes UODO ma możliwość nakładania kar finansowych od niemal roku, a dotąd zostały nałożone tylko dwie takie sankcje. Prezes UODO do nakładania kar podchodzi bowiem z dużą odpowiedzialnością oraz rozwagą – i nic w tym zakresie się nie zmieni. Ponadto przed podjęciem decyzji w tej sprawie opinię, czy nałożenie kary jest zasadne i jaka powinna być jej wysokość, wyraża specjalnie powołany komitet. Jego członkowie bardzo dokładnie analizują sytuację i biorą pod uwagę wszystkie określone w RODO czynniki, których jest aż kilkanaście. Dopiero na tej podstawie prezes UODO podejmuje ostateczną decyzję. Rozmowa - ODP - 8.25 L: Natomiast nowe przepisy, które dostosowują krajowe regulacje do RODO, w wielu przypadkach powinien ułatwić przedsiębiorcom działanie, rozwiać niektóre ich wątpliwości.

Czy jednak nowelizacja ponad 160 ustaw jest równoznaczna z tym, że krajowe regulacje będą zgodne z RODO?

Mimo dużej pracy, jaka została wykonana, proces dostosowania przepisów krajowych do RODO tak naprawdę dopiero się rozpoczął. Wciąż wiele kwestii nie zostało doprecyzowanych, jak np. określenie ról w niektórych procesach przetwarzania danych sygnalizowane nam przez część środowisk. Nie podjęto też np. wysiłku dostosowania do RODO prawodawstwa w zakresie dostępu do informacji publicznej. Konieczny jest również przegląd przepisów dotyczących wykorzystywania i upubliczniania numeru PESEL, który jest krajowym numerem identyfikacyjnym w rozumieniu RODO. W naszej opinii niektóre polskie regulacje budzą wątpliwości co do zgodności z art. 87 powołanego rozporządzenia, zgodnie z którym numeru tego można używać, ale z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, a które przewiduje wskazane rozporządzenie.

Również implementacja tzw. dyrektywy policyjnej budzi nasze wątpliwości. W toku prac nad zmianami prawa krajowego zgłaszaliśmy liczne uwagi, ale nie wszystkie zostały wzięte pod uwagę. Dlatego będziemy bacznie przyglądać się, jakie efekty stosowanie nowych przepisów daje w praktyce, i sygnalizować ustawodawcy potrzebę ich zmiany w tych przypadkach, w których okaże się to konieczne. Gdy będzie to potrzebne, będziemy też przygotowywać odpowiednie rekomendacje i wskazówki dla administratorów, przekazując je zwłaszcza działającym u nich inspektorom ochrony danych.

Jak pan ocenia pierwszą karę pieniężną nałożoną przez pana poprzedniczkę. Pytam zarówno o wysokość tej kary, jak i koszt wykonania określonego w tej decyzji obowiązku informacyjnego, które łącznie mogą przekroczyć nawet 30 mln zł, a także o postawione w tej decyzji zarzuty dotyczące zasad przetwarzania ogólnodostępnych danych.

Decyzja o nałożeniu kary nie jest podejmowana ad hoc. Wcześniej cała sprawa jest bardzo dokładnie analizowana przez specjalny komitet składający się z naszych najlepszych fachowców. Biorą oni pod uwagę wszystkie czynniki i aspekty wskazane w RODO, wnikliwie zapoznają się z dokumentacją zebraną w czasie postępowania, analizują wszelkie wyjaśnienia składane przez administratora.

Decyzja o nałożeniu kary i nakazaniu dopełnienia obowiązku informacyjnego była słuszna. Tym bardziej że bez jego spełnienia osoby, których dane są przetwarzane, nie są w stanie skorzystać z przysługujących im praw, bo nawet nie wiedzą, że ktoś ich dane ma i wykorzystuje do własnych, komercyjnych celów.

Dziwi mnie podnoszony przez ukaraną spółkę argument, iż dopełnienie obowiązku informacyjnego jest zbyt kosztowne. Podatki, ZUS też są kosztowne, a jednak, jak mniemam, firma je płaci – dlaczego w tym zakresie więc ignoruje obowiązujące prawo?

Ponadto proszę zauważyć, że system ochrony danych osobowych istnieje w Polsce ponad 20 lat, gdyby spółka dopełniała obowiązku informacyjnego wcześniej, gdy również była do tego zobowiązana, w ostatnim roku nie musiałaby tego robić na masową skalę. A co także istotne, nie zaczęła też tego robić także wówczas, gdy już trwało postępowanie.

Na co Urząd Ochrony Danych Osobowych pod pana kierownictwem będzie kładł największy nacisk podczas kontrolowania przedsiębiorców i innych administratorów danych osobowych?

Wiele zależy pod tego, jaki jest przedmiot kontroli, czy jest ona prowadzona w związku ze skargą, w której podnoszone są określone zarzuty, czy też jest to kontrola sektorowa, która może mieć bardziej kompleksowy charakter. Natomiast zasady przeprowadzania kontroli są znane, bo określają je przepisy nowej ustawy o ochronie danych osobowych. Nie różnią się one zresztą w sposób zasadniczy od tych, które obowiązywały wcześniej.

Natomiast plan kontroli sektorowych na ten rok jest już ustalony, więc ich przedstawiciele muszą liczyć się z tym, że to właśnie u nich będziemy dokonywać naszych sprawdzeń. Niemniej trzeba pamiętać, że swoje plany kontrolne zawsze możemy zweryfikować, w zależności od potrzeb. Rozmowa - ODP - 8.25 L: Mogę jednocześnie zapewnić, że organ nadzoru wciąż będzie kładł nacisk na jakość kontroli, a przy wyborze zagadnień uwzględniał ich wagę oraz wpływ na generalną poprawę przestrzegania zasad ochrony danych osobowych.

Czy zamierza pan wydać objaśnienia, wyjaśnienia, instrukcje co do stosowania nowych przepisów. Budzą one już wątpliwości np. co do formy wystawiania upoważnienia do przetwarzania danych osobowych oraz zakresu informacji, jakie ma podawać bank w uzasadnieniu odmowy udzielenia kredytu.

Edukacja w zakresie ochrony danych osobowych od lat jest jednym z priorytetów osób pełniących funkcję organu ds. ochrony danych osobowych. Ja też uważam, że to bardzo ważne zadanie. Jego realizacji służą m.in. wytyczne Europejskiej Rady Ochrony Danych (EROD), której jesteśmy członkiem, czy poradniki oraz wyjaśnienia prezesa UODO. Z pewnością takie materiały wciąż będą się pojawiały.

Obecnie w UODO trwają prace nad rozbudową poradnika dla szkół i nad uaktualnieniem wskazówek dotyczących monitoringu. Po dokonaniu rocznego podsumowania stosowania RODO i po analizie nowych, krajowych przepisów w zakresie ochrony danych osobowych na pewno wytypujemy też takie zagadnienia, które w pierwszej kolejności powinny zostać szerzej omówione. Na tym etapie nie chcę jeszcze tego przesądzać. Mam nadzieję, że ważnych wskazówek administratorom działającym w różnych obszarach będą też dostarczać zatwierdzone przez prezesa UODO kodeksy postępowania. Będą one miały walor edukacyjny i mogą być podpowiedzią także dla tych podmiotów, które nie przystąpią do tych kodeksów bądź działają w branży, w której one nie powstaną, lecz pewne problemy ze stosowaniem przepisów są u nich podobne.