Edyta Bielak Jomaa: formalizm nie sprzyja ochronie danych

Edyta Bielak Jomaa

Rz: Jaki jest aktualny budżet generalnego inspektora ochrony danych osobowych, a jaki zaplanowano dla nowego urzędu?

Dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych: Obecny budżet GIODO opiewa na ponad 20 mln zł. Przedstawiając jego projekt na 2018 r., wystąpiliśmy o prawie 49 mln zł. Kwota ta jest zbieżna z propozycją Ministerstwa Cyfryzacji przedstawioną w ocenie skutków regulacji dołączonej do projektu ustawy o ochronie danych osobowych. Cieszę się, że ministerstwo dostrzegło konieczność finansowego wzmocnienia generalnego inspektora.

Kwestię tę podnosiłam od lat nie tylko ja, ale i moi poprzednicy. Jednym z przykładów niedofinansowania GIODO były wydatki jednego z największych polskich miast na monitoring wizyjny: równały się rocznemu budżetowi GIODO, którego jednym z zadań jest nadzorowanie wykorzystywania danych osobowych zbieranych na potrzeby funkcjonowania tego systemu. Proponowane przez nas kwoty były jednak zawsze obniżane. Mam nadzieję, że teraz tak nie będzie. Inaczej pod znakiem zapytania stanie skuteczne działanie urzędu i sprostanie obowiązkom określonym w unijnym rozporządzeniu o ochronie danych osobowych.

Dlaczego? Będzie miał więcej zadań?

Będzie ich znacznie więcej, a część będzie zupełnym novum, jak przykładowo wydawanie pisemnych zaleceń w ramach oceny skutków dla ochrony danych, nakładanie administracyjnych kar pieniężnych czy transgraniczne rozpatrywanie spraw i prowadzenie przez organy ds. ochrony danych osobowych wspólnych kontroli. Przepisy rozporządzenia wprost wskazują na konieczność zapewnienia organowi nadzorczemu odpowiednich środków finansowych niezbędnych do wykonywania zadań i gwarantujących jego niezależność. Wzmocnienie organów nadzorczych to jedno z głównych założeń reformy przepisów o ochronie danych.

Na potrzebę zapewnienia adekwatnych środków zwróciła uwagę również Grupa Robocza art. 29, co uzasadniano m.in. „koniecznością przygotowania i profesjonalnego wdrożenia nowych ram prawnych, szkolenia pracowników, aktualizacji systemów informatycznych, propagowania świadomości i zapewniania wytycznych na temat nowych zasad. Mam zatem nadzieję, że powyższe argumenty zostaną wzięte pod uwagę w pracach nad budżetem GIODO na 2018 r.

Główny zarzut pod adresem GIODO to zbyt długi czas trwania postępowań, średnio 600 dni. To chyba nie wynika tylko z niedostatków finansowych?

Te dane to spore przekłamanie. Statystyki dotyczące czasu rozpatrywania spraw, podawane przez Ministerstwo Cyfryzacji i powtarzane przez niektórych ekspertów, opracowano bowiem wyłącznie na podstawie tych decyzji GIODO, które zostały zaskarżone do sądów administracyjnych, a to jedynie drobny ułamek spraw, którymi się zajmujemy. Przykładowo w 2016 r. z nieco ponad 1200 wydanych decyzji jedynie 60 było zaskarżonych do sądu administracyjnego, a więc zaledwie 5 proc. Owe 600 dni to czas od wpłynięcia sprawy do GIODO do zakończenia jej prawomocnym wyrokiem WSA.

Zadałam sobie trud, żeby policzyć rzeczywistą długość postępowań. Średnio nie trwają one dłużej niż sześć miesięcy. Nie jestem z tego zadowolona, chociaż i tak, od kiedy pełnię funkcję GIODO, bardzo skróciliśmy czas rozpatrywania skarg. Analizując ten problem, trzeba jednak wziąć pod uwagę stopień skomplikowania spraw, które do nas wpływają. Wydajemy decyzje w kwestiach, które nie mogą być załatwione poprzez weryfikację, czy spełnione są przesłanki formalne. Prowadzone przez nas postępowania niejednokrotnie są bardzo złożone i przypominają sprawy rozpatrywane przez sądy. Toczy się bowiem spór między stronami, których racji trzeba wysłuchać, a następnie je wyważyć, pamiętając, że każda skarga dotyczy żywotnych spraw obywateli i musi być poddana bardzo głębokiej analizie. Dlatego czas ich rozpatrywania bywa długi. Wiem, że przekracza terminy z kodeksu postępowania administracyjnego, ale proszę zwrócić uwagę, że skargami w Biurze GIODO zajmuje się tylko 25 osób z blisko 150 zatrudnionych. Rocznie wpływa zaś ponad 2600 skarg, a to tylko jeden z wycinków naszej działalności.

Wydaje się, że 25 osób to mało, ale skoro będą nowe fundusze, to zatrudnienie zostanie zwiększone. Wiadomo już, o ile?

Chcielibyśmy, żeby można było zwiększyć zatrudnienie dwukrotnie, ale składając projekt budżetu, przewidzieliśmy zatrudnienie dodatkowych 100 osób. Zobaczymy, jakie środki finansowe przyzna nam parlament. Ale do wykonywania zadań, które przed nami stoją, absolutnie niezbędne jest zwiększenie zatrudnienia. To, że wnioskujemy o zwiększenie budżetu, to nie nic nowego ani dziwnego w Europie. Takie państwa, jak: Wielka Brytania, Holandia, Czechy czy Węgry też zwiększyły budżety swoich urzędów ochrony danych i zatrudnienie w nich.

Postępowania jednak trwają długo.

Mamy absolutną świadomość, że ten tryb jest zbyt powolny. Biorąc pod uwagę nasze dwudziestoletnie doświadczenie funkcjonowania jako organu nadzorczego, w styczniu 2017 r. przedstawiliśmy Ministerstwu Cyfryzacji propozycje, które w naszym przekonaniu spowodowałoby właśnie, że postępowanie przed GIODO byłoby szybsze i efektywniejsze. Resort, co mnie bardzo cieszy, częściowo skorzystał z tej propozycji, wprowadzając jednoinstancyjne postępowanie przed urzędem. Ale to tylko fragment naszego rozwiązania.

Proponowaliśmy procedurę odrębną – rozwiązanie kompleksowe, polegające m.in. na wprowadzeniu odformalizowanego, uproszczonego, wstępnego postępowania. Z naszego doświadczenia wynika bowiem, że da się wiele spraw załatwić w sposób mniej formalny. Według procedury, która obecnie obowiązuje, muszą jednak zakończyć się formalną decyzją lub postanowieniem. Ministerstwo tej propozycji nie przyjęło, ale myślę, że dyskusja jest jeszcze otwarta i będziemy mogli do niej wrócić.

Jak jednoinstancyjność przyczyni się do przyspieszenia postępowań?

Z pewnością sprawy będą szybciej kończyły się prawomocnym rozstrzygnięciem. Zaproponowaliśmy to, bazując na swoim wieloletnim doświadczeniu. Niemniej to tylko jeden z instrumentów, które przyczynią się nie tyle do przyspieszenia postępowań, ile do poprawienia ochrony danych osobowych.

Niestety, nie jest prawdą to, co mówią niektórzy eksperci, że ustawa wprowadza jakieś nowe mechanizmy prawne. Mam na myśli np. możliwość wniesienia skargi do sądu, co wynika wprost z art. 79 rozporządzenia, a nie z ustawy. Myślę, że do zwiększenia tej ochrony przyczynią się też kodeksy postępowania. Będą one zatwierdzane i publikowane przez GIODO, a zatem obywatele będą mieli wiedzę, kto przyjął taki kodeks i w jaki sposób realizować swoje prawa w odniesieniu do określonego sektora, np. banków. Warto też zwrócić uwagę na kwestie certyfikacji i uprzednich konsultacji z generalnym inspektorem, czy też, jak proponuje ministerstwo, prezesem urzędu. Nie można też zapominać o rosnącej roli inspektorów ochrony danych osobowych. Pamiętajmy, że mają oni stanowić punkt kontaktowy dla obywateli. Będą świadczyć taką, nazwijmy to, pierwszą pomoc w zakresie ochrony danych, udzielając niezbędnych wyjaśnień i informacji. Te rozwiązania nie wynikają jednak z przedstawionej przez ministerstwo ustawy, lecz wprost z ogólnego rozporządzenia, które weszło w życie już w maju 2016 r.

A wiadomo już, czy nowe, wysokie kary, będą zasilać budżet GIODO czy centralny?

Będą wpływały do budżetu państwa, choć w ustawie jest propozycja, aby 1 proc. kar zasilał specjalny fundusz, z którego miałyby być finansowane przedsięwzięcia mające zwiększyć świadomość zarówno obywateli, jak i administratorów danych i podmiotów przetwarzających dane.

Czy to dobrze, że firmy po wejściu zmian będą mogły być kontrolowane bez ostrzeżenia?

Już teraz, zgodnie z ustawą o swobodzie działalności gospodarczej, kiedy następuje np. wyciek danych, nie musimy ostrzegać o kontroli. Nasze doświadczenie jest takie, że jeśli uprzedzimy o kontroli, to podmiot kontrolowany może się do niej przygotować. Gdy przyjeżdżamy, na miejscu jest zazwyczaj osoba uprawniona do składania wyjaśnień i są niezbędne dokumenty do kontroli. Nie trzeba czekać, aż np. zjawi się ktoś odpowiedni – administrator danych lub osoba, która w jego imieniu może otworzyć pomieszczenia czy udostępnić wgląd w dokumenty. Z naszej perspektywy kontrola jest efektywniejsza, skuteczniejsza i szybsza. Nie zakładamy, że podmiot kontrolowany będzie unikał mówienia prawdy, i jedynie jeśli nie będziemy ostrzegać, to złapiemy kogoś na czymś złym. Przyjmujemy, że podmioty kontrolowane nie chcą niczego ukrywać, raczej współpracować z organem.

Ile teraz średnio trwa kontrola? Przedstawiciele Ministerstwa Cyfryzacji mówią, że nie dłużej niż siedem dni, pozostały czas zajmuje biurokracja.

Czas kontroli jest różny i zależy m.in. od tego, co jest jej przedmiotem i jak bardzo skomplikowane są systemy, które badamy. Nie wiem, czy w ogóle da się uśrednić czas kontroli. Niekiedy wyniki inspekcji, którą prowadzimy, wskazują na konieczność przeprowadzenia kontroli u kolejnego administratora danych. Trzeba też pamiętać, że kontrola to nie tylko naoczne sprawdzenie, jak działa dany podmiot. To również spisanie protokołu, przedstawienie go administratorowi, to sprawdzenie, czy uchybienia, jeśli je stwierdzono, zostały usunięte, czy konieczne jest wszczęcie postępowania administracyjnego, w którym znów obowiązuje określona procedura.

Ustawa wprowadza wymóg zakończenia kontroli w miesiąc. Czy można ją w ogóle przeprowadzić w takim czasie?

Wie pan, można założyć, że kontrola albo postępowanie mają trwać trzy dni. I nawet zamieścić w przepisach. Pytanie tylko, czy to będzie realne i czy będzie to ten standard, o który nam chodzi. Myślę, że jednak ustawodawcy i projektodawcy zależy, żeby postępowania, które prowadzi GIODO, były nie tylko racjonalne pod względem czasu, ale i rzetelnie, by dogłębnie analizowały ich sytuację i kończyły się sprawiedliwym rozstrzygnięciem.

Czyli przewidziany w projekcie czas jest pani zdaniem zbyt krótki?