Mija właśnie pół roku, odkąd stanął pan na czele Urzędu Ochrony Danych Osobowych. Jakie zmiany zaszły w tym czasie?
Dokonaliśmy przeglądu funkcjonowania Urzędu i sprawdziliśmy, jak dotychczasowa struktura sprawdza się w praktyce pod kątem wymagań stawianych nam przez RODO. Od 1 grudnia zmieni się funkcjonowanie urzędu. W miejsce dotychczasowych zespołów tematycznych zostały utworzone nowe departamenty. Nie będą kompleksowo zajmować się poszczególnymi sektorami, ale skupią się na konkretnych zadaniach. Skargi będą więc w kompetencjach jednego departamentu, a kontrolami, naruszeniami i legislacją zajmą się inne. W nowym departamencie skarg poszczególne wydziały zajmą się zgłoszeniami z czterech sektorów: publicznego, prywatnego, łącznie zdrowia, zatrudnienia i szkolnictwa oraz sektora finansowanego, ubezpieczeń i telekomunikacji. Jestem przekonany, że usprawni to nasze działania, które przełożą się na lepszą ochronę danych osobowych obywateli. Zależy mi, by urząd był bliżej obywateli i działał skuteczniej.
Czemu ma służyć nowy podział, np. rozdzielenie kontroli i postępowań związanych z badaniem zgłaszanych naruszeń?
Jest ich obecnie bardzo dużo, a ich obsługa jest najważniejsza dla prawidłowego funkcjonowania systemu ochrony danych w Polsce. Wymaga więc niejako pewnej specjalizacji, skupienia się na tym zadaniu.
Obsługą naruszeń zgłaszanych do tej pory zajmował się zespół ds. współpracy z administratorami, który po ich wstępnym przeanalizowaniu przekazywał je zespołom sektorowym. Ten zespół miał także inne kompetencje, jak współpraca z inspektorami ochrony danych oraz uczestniczył w kontrolach. Nowy wydział ds. naruszeń będzie działał równolegle do wydziału ds. kontroli w jednym departamencie. To zaś pozwoli na szybkie podejmowanie działań, gdyby w wyniku zgłoszonego naruszenia okazało się, że trzeba kompleksowo przyjrzeć się, jak dany administrator chroni dane.
Kontrole do tej pory były w kompetencjach zespołów sektorowych. Te zespoły zajmowały się dotychczas także skargami, opiniowaniem projektów aktów prawnych, działalnością edukacyjną, prowadzeniem kontroli, także obsługą zgłaszanych przez administratorów naruszeń oraz innymi zadaniami. Stworzenie oddzielnego wydziału ds. kontroli pozwoli dokładniej planować takie działania i szybciej podejmować kroki, gdy będzie wymagała tego sytuacja. Dzięki temu skupimy kontrolerów w jednym miejscu, co pozwoli lepiej organizować ich pracę.
W ten sposób unikniemy też sytuacji, w której zespół sektorowy prowadzi jedną bądź dwie kontrole w różnych podmiotach i nie jest już w stanie podjąć kolejnej. Wydział kontroli będzie mógł w zależności od potrzeb działać bardziej elastycznie.
Uprzedzając pytanie o liczbę kontroli, to w stosunku do tego, co organ planuje co rok, może teraz będzie ich nieznacznie więcej. Niekiedy bieżące wydarzenia powodowały konieczność podjęcia działań kontrolnych w innym miejscu, niż planowaliśmy. Wdrożone zmiany pozwolą reagować bez uszczerbku dla zaplanowanych wcześniej innych kontroli.
Czytaj także:
Czy może pan zdradzić plan kontroli na przyszły rok?
Plan kontroli sektorowych na przyszły rok jeszcze nie jest ukończony. Zazwyczaj gdy tylko już jest, to go publikujemy na stronie internetowej Urzędu.
Jakie naruszenia przepisów o ochronie danych osobowych są najczęściej zgłaszane przez administratorów?
Najczęstsze naruszenia ochrony danych osobowych to: ujawnienie niewłaściwemu odbiorcy (np. wysyłka e-maila do złego adresata); utrata korespondencji papierowej przez operatora pocztowego bądź otwarcie przed zwróceniem jej do nadawcy; zagubienie bądź kradzież nośnika/urządzenia (np. pamięci pendrive, przenośnego dysku twardego lub laptopa).
W nowej strukturze bardzo rozbudowany jest dział skarg. Jak skarżą się Polacy na tle innych państw UE?
Odkąd stosujemy RODO, skarg jest bardzo dużo. W 2017 r. było ich ok. 2,9 tys. Rok później już ponad 5,5 tys., ale po 25 maja 2018 r., gdy zaczęliśmy stasować RODO, wpłynęło ich prawie 4,5 tys. W tym roku, według stanu na 14 października jest ich już 6822.
Sama liczba skarg to nie wszystko. Większość z obecnie wpływających skarg ma braki formalne, jak. np. brak podpisu czy nieokreślenie żądania, tj. niewskazanie, podjęcia jakich działań skarżący oczekuje od organu ds. ochrony danych osobowych. Nasi pracownicy muszą obsłużyć proces tej weryfikacji. Tylko pod tym warunkiem będzie można kontynuować postępowanie w danej sprawie. A obsługa takich spraw w polskim systemie prawnym i przy wymogach kodeksu postępowania administracyjnego jest trudna i czasochłonna.
Trudno się porównywać do innych państw. O ile przepisy o ochronie danych osobowych są zbieżne, to przepisy szczególne już nie. Inne są też wewnętrzne procedury. Jeśli chodzi o liczbę skarg, to jesteśmy w porównaniu z innymi państwami UE w czołówce. Przekłada się to także na większe obciążenie liczbą skarg w przeliczeniu na jednego pracownika urzędu. Dysponujemy natomiast mniejszym budżetem od organów w państwach, do których wpływa podobna liczba spraw. Nawet niektóre z mniejszych organów w innych państwach UE zarówno pod względem liczby prowadzonych spraw, jak i liczebności pracowników dysponują większymi budżetami.
Polska jest jednak na trzecim miejscu w Unii Europejskiej, jeśli chodzi o świadomość przepisów rozporządzenia ogólnego o ochronie danych osobowych. Ponadprzeciętnie na tle średniej w Unii wypadamy także pod względem świadomości przysługujących nam praw. Nie znaczy to jednak, że świadomość nie powinna być jeszcze większa. W tym także upatruję dalszą ważną rolę Urzędu. W tym celu powstał kolejny nowy departament komunikacji społecznej. W jego skład oprócz zespołu prasowego wchodzą infolinie, dzięki którym kilka tysięcy osób miesięcznie zasięga porad w zakresie ochrony swoich danych. Wraz z nową strukturą odświeżyliśmy także logo Urzędu. Chcemy być urzędem nowoczesnym i przyjaznym obywatelom i nowe logo ma to także odzwierciedlać.
Czy oddzielny wydział skarg dla sektora usług finansowych, ubezpieczeń i telekomunikacji oznacza, że spółki działające w tych branżach muszą mieć się na baczności?
RODO każdego administratora danych traktuje tak samo. Urząd również nie traktuje żadnego z sektorów w sposób szczególny. Wszyscy administratorzy powinni więc jednakowo starannie podchodzić do ochrony danych osobowych.
Podział departamentu skarg na poszczególne wydziały ma usprawnić prowadzenie postępowań. Wymaga to pewnego rodzaju specjalizacji. Pamiętajmy, że administratorzy nie tylko mają stosować RODO, ale i przepisy szczególne. Często zasady przetwarzania danych są uszczegółowione w krajowych regulacjach. Inne są więc zasady przetwarzania danych w przypadku szkół, inne w przypadku banków. Inny jest też zakres danych, jakie przetwarzają administratorzy w poszczególnych sektorach.
W nowej strukturze Urzędu jest też oddzielny wydział skarg na administrację publiczną. Czy to oznacza, że nie będzie pobłażania dla urzędników naruszających przepisy o ochronie danych osobowych?
RODO tak samo traktuje administratorów w sektorze publicznym, jak i prywatnym. Inne są tu jednak przepisy szczególne, inny zakres danych, inne problemy. Administratorzy w sektorze publicznym tak samo muszą dbać o dane. Prezes UODO jednakowo będzie traktował administratorów ze wszystkich sektorów.
Na co najczęściej skarżą się Polacy, jeśli chodzi o naruszenia ochrony ich danych osobowych w poszczególnych branżach, w relacjach z pracodawcami, służbą zdrowia czy administracją publiczną?
We wszystkich sektorach są skargi, które mają wspólny mianownik. Najczęściej dotyczą takich zagadnień jak usunięcie lub sprostowanie danych osobowych oraz niewłaściwe spełnienie obowiązku informacyjnego. W sektorze prywatnym dochodzą jeszcze skargi na wymuszanie zgód na przetwarzanie danych czy wykorzystywanie danych w celach telemarketingowych. Oczywiście skargi też się różnią – w zależności od tego, kto jest administratorem i w jakim działa sektorze. Na pracodawców są więc skargi związane z zakresem przetwarzanych danych czy ich udostępnieniem osobom nieuprawnionym. W służbie zdrowia z kolei dotyczą udostępniania danych bądź wydania dokumentacji medycznej osobie nieuprawnionej. Dotyczą też kwestionowania podstaw prawnych przetwarzania danych czy zakresu danych pozyskiwanych przez podmiot medyczny.
W sektorze publicznym skargi dotyczą najczęściej udostępniania danych osobom nieuprawnionym.
Co powinni wiedzieć konsumenci, pracownicy, pacjenci i petenci o ochronie ich danych osobowych?
Zalecam, aby znali prawa, jakie im przysługują na gruncie RODO. Warto, by wiedzieli też, jak z nich skorzystać, np. że prawo do bycia zapomnianym nie zawsze ma zastosowanie. Tak jest, gdy np. administrator musi przetwarzać czyjeś dane z uwagi na ciążący na nim obowiązek prawny.
Biorąc pod uwagę liczbę błędów formalnych w skargach, byłbym bardzo szczęśliwy, gdyby obywatele dokładnie zapoznawali się z informacjami na naszej stronie, jak należy złożyć skargę do prezesa UODO. To jest w ich interesie, by zrobili to poprawnie. Pracownikom urzędu również ułatwi to zadanie.
Dobrze też, by wszyscy wiedzieli, że nie zawsze musimy wszystko i wszystkim o sobie mówić. Nie ujawniajmy więc naszych danych bez potrzeby. A gdy ktoś tego od nas wymaga, to upewnijmy się, że jest do tego uprawniony. Należy mieć też na uwadze, że pracodawca potrzebuje niekiedy o nas więcej danych. Choćby wtedy, gdy chcemy korzystać z zakładowego funduszu świadczeń socjalnych.
Również placówki medyczne często są uprawnione do przetwarzania. Bywa, że pacjent ma wątpliwości, czy może ujawnić w przychodni swój numer PESEL. Jest to jednak wymagane, by sprawdzić, czy jest ubezpieczony w ZUS.
Ostatnio głośno jest o kolejnych karach nakładanych przez Urząd. Kiedy możemy spodziewać się następnych? Padną rekordy?
Kary niewątpliwie będą, jednak o szczegółach postępowań nie mogę mówić do czasu ich zakończenia. Decyzja o nałożeniu kary jest ostatecznością. Celem ich nakładania nie jest wyścig czy licytacja, lecz działanie odstraszające i prewencyjne.
Każda decyzja o nałożeniu kary jest poprzedzona dokładną analizą. Bardzo często podczas tej analizy bierze się pod uwagę okoliczności łagodzące, jak np. dobra współpraca z Urzędem. One wpływają na obniżenie kary.
Podejmując decyzje o nałożeniu kary, prezes UODO bierze pod uwagę kilkanaście czynników. Są to m.in.: charakter, waga i czas trwania naruszenia. Brane pod uwagę jest również to, czy naruszenie miało charakter umyślny oraz to, czy w toku postępowania administrator podjął działania zmierzające do naprawy sytuacji. Proszę też zwrócić uwagę, że prezes UODO długo nie nakładał kar. Administratorzy dostali dodatkowy czas na to, by dostosować się do wymogów RODO, mimo że system ochrony danych funkcjonuje w Polsce ponad 20 lat.
Faktycznie obecnie pojawia się nieco więcej kar. Niemniej zawsze nakładamy je w szczególnych przypadkach i w ostateczności. Bardzo często stosowane są inne środki naprawcze, jak upomnienia czy nakazy. Kary niewątpliwie będą. Wciąż jest wielu administratorów, którzy przetwarzają dane osobowe bez jakiegokolwiek poszanowania zasad ochrony danych osobowych. Wiele podmiotów ma też silną pokusę, by coraz bardziej ingerować w naszą prywatność i to wbrew naszej woli.
Kary oraz inne środki naprawcze mają być niejako hamulcem dla takich zapędów. Robimy to dla dobra wszystkich obywateli, którzy nie tylko ze względu na rosnącą świadomość w tym zakresie, mam wrażenie, coraz bardziej doceniają i rozumieją naszą rolę.
Chcielibyśmy być postrzegani jako urząd przyjazny obywatelom, wspierający ich w ochronie ich danych i wielu praw, jakie im przysługują. Liczę, że będziemy w tym procesie partnerami, a nasze działania edukacyjne będą dodatkowo wspierać obywateli w zapobieganiu czy minimalizowaniu ryzyka związanego z utratą swoich danych, co, jak wiemy, może czasem doprowadzić do poważnych i przykrych konsekwencji.
