Właśnie problem polega na tym, że ograniczenie ze względu na prywatność nie dotyczy tych osób. Dodatkowo praktyka orzecznicza to potwierdza. Ile jest historii medialnych, gdzie ujawnione są sprawy prywatne niezwiązane ze sprawowaniem funkcji publicznej?
Jest też wiele takich, w których sąd stwierdzał, że ujawnienie informacji nie było uzasadnione, bo nie miały związku z pełnieniem funkcji publicznej.
Różnie z tym bywa, dlatego chciałbym, żeby ustawa o dostępnie do informacji publicznej była dostosowana do RODO, tak jak wiele innych ustaw. I to jest właśnie to, czego się nie udało zrobić. Ale myślę, że kiedyś ktoś w końcu ten akt ucywilizuje. RODO jasno mówi, że wartością jest ochrona osób, których dane dotyczą, a to fragment ochrony prywatności, która należy się każdej osobie. Jeżeli osoba pełni funkcję publiczną z wyboru, to jej się też ona należy. Oczywiście społeczeństwo ma prawo wiedzieć, jak ktoś tę funkcję pełni, na co wydaje pieniądze itd. I to jest informacja publiczna. Zastanówmy się też z punktu widzenia moralnego. Do czego potrzebne były te dane osób popierających kandydatów do KRS?
Choćby do tego, żeby wiedzieć, że ktoś naprawdę poparł tych kandydatów i że faktycznie byli to sędziowie, a nie przypadkowe osoby. Jeśli załączniki nie są ujawnione, to równie dobrze mogą być puste.
To można było komisyjnie sprawdzić, różne były możliwości. W mediach było dokładnie ogłoszone przez panią Gasiuk-Pihowicz i przez innych, że to miało służyć pewnej nagonce na tych sędziów. Którzy też są ludźmi, też mają prawo do prywatności, tym bardziej, kiedy zapewnia im to prawo ustawa o KRS, która stanowi, że załączników się nie publikuje. I oni w takich warunkach udzielili poparcia.
Przywołał pan artykuł 86 RODO „Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonywania realizowanego w interesie publicznym zadania mogą zostać przez ten organ lub podmiot ujawnione.” Więc gdzie pana zdaniem RODO tego zabrania? Jest to w celu pogodzenia prawa do ochrony danych i prawa dostępu do informacji publicznej. RODO samo przewiduje, że można takie dokumenty ujawnić.
No to niech pan przeczyta cały artykuł. Mogą być ujawnione „zgodnie z prawem Unii lub prawem państwa członkowskiego któremu podlega ten organ lub podmiot, dla pogodzenia dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”. Czyli zgodnie z prawem Unii, ale na gruncie RODO. A po co dostosowywaliśmy 160 ustaw, a tej ustawy nie skoro wolno? To jest nieporozumienie totalne. Chodzi o to, że ta ustawa w ogóle nie została dostosowana do RODO. Wyłączając całkowicie prawo do prywatności dla tych osób nie zagwarantowano im jednocześnie, ani prawa strony w postepowaniu przed sądem administracyjnym ani prawa do zgłoszenia sprzeciwu co do ujawnienia danych, ani prawa do informacji ze ich dane zostały udostępnione. Misją prezesa jest to, żeby pochylić się nad tym. Żeby ta ustawa została dostosowana do RODO. A jak zostanie dostosowana, to już ustawodawca zdecyduje. I warto tu przypomnieć że UODO nie ma inicjatywy ustawodawczej a wiele podmiotów, które miesiącami podnosiło ta kwestię ma, a nadal temat nie jest nieuregulowany. Pytanie dlaczego?
Ale to jest sprawa dla Trybunału Sprawiedliwości UE, żeby sprawdzić, czy ten artykuł jest zgodny z RODO. Bo RODO mówi, że musi on zapewnić pogodzenie tych dwóch wartości. No i TSUE może ocenić, czy to zostało uregulowane zgodnie z prawem Unii. Możecie państwo w postępowaniu przed sądem, w którym jesteście stroną, złożyć wniosek o skierowanie pytania do TSUE.
Problem polega na tym że sądy nie maja żadnych wątpliwości że przepis ten jest zgodny z RODO i nie widzą powodu aby zadać pytanie prejudycjalne TSUE. Choć sygnalizujemy ten problem od lat. Intencją RODO było, żeby ustawy krajowe mogły funkcjonować, tylko jeżeli będą dostosowane do RODO. Stosowanie art. 5 ust 2 wspomnianej ustawy, jest moim zdaniem całkowicie sprzeczne z prawem europejskim. Jako organ jestem powołany do tego by wyjaśniać i interpretować te przepisy. Jako urząd uczestniczymy w Europejskiej Radzie Ochrony Danych. I wiemy, jak należy RODO stosować. Oczywiście, nasze decyzje podlegają kontroli sądowej. Ale o ile w sądach wojewódzkich spotyka się znakomitych sędziów, którzy świetnie znają prawo ochrony danych osobowych, o tyle w NSA stan tej wiedzy budzi czasem głębokie zdumienie.
Chodzi panu o wyrok ws. Morele.net?
Przytoczę mniej znany przykład, pierwszej nałożonej kary przez UODO ws. Bisnode, która wyniosła niecały milion złotych. WSA uchylił tę decyzję. Ale uzasadnienie było takie, że kapelusze z głów! Nieprawdopodobna znajomość rzeczy, piękne uzasadnienie, książkowe. Postanowiliśmy wykonać ten wyrok, a strona teoretycznie wygrana wniosła kasację. Firma bowiem formalnie wygrała, bo sąd uchylił naszą decyzję. Ale zgodnie wyrokiem, powinniśmy wydać drugą – i gdybyśmy to zrobili, to kara byłaby pewnie 2 razy większa gdyż sąd uznał, że powinniśmy szerzej zbadać tę sprawę. Trafiła więc ona do NSA - 4 lata minęły od wydania decyzji, a wyroku nie ma. W Polsce po 5 latach funkcjonowania RODO, przeprowadzania różnych szkoleń, mamy najgorszy poziom interpretacji ich przez sądy w całej Europie. Może gorzej jest tylko w Bułgarii i na Węgrzech.
Przecież sądy są od interpretowania i stosowania prawa w konkretnych sytuacjach. Więc jak one orzekną, to tak należy to prawo rozumieć i stosować…
Oczywiście wyrok jest prawomocny, ale to nie jest tak, że nie podlega komentarzom. Prawo jest pisane i jeśli ktoś mówi, że rozumie je odwrotnie, to jest problem tego prawa czy jego wykładni? Czy źle to prawo jest napisane, czy ktoś źle je interpretuje? A RODO jest świetnym aktem prawnym, na tle naszych ustaw krajowych. Daje jasne wytyczne w jakim kierunku należy kształtować procesy przetwarzania danych osobowych.
A jakie pan widzi nowe wyzwania dla ochrony danych, które się mogą pojawić w nowej kadencji?
W tej chwili mamy do czynienia z niebywałym rozwojem technologii. I to jest wyzwanie nie tylko dla mnie, ale też całego społeczeństwa i całego świata, bo rodzi dużo zagrożeń. Ponadto jeżeli dojdzie do szerokiego zastosowania komputerów kwantowych - a zakładam, że dojdzie, bo tu Polska ma bardzo czynny udział - to moce obliczeniowe na świecie wzrosną w sposób niewyobrażalny. To spowoduje, że będą mogły powstawać aplikacje bardzo skomplikowane i wspomagane czymś, co nazywamy ostatnio sztuczną inteligencją. Już w tej chwili wiemy do czego jest zdolna przy dużych mocach obliczeniowych sztuczna inteligencja np. w działaniach Cambridge Analytica, która może manipulować wyborami w mniejszych krajach, a nawet Stanach Zjednoczonych. Wyobraźmy sobie, co będzie dalej, kiedy te platformy analityczne będą miały jeszcze większe – dwu - albo i trzykrotnie moce obliczeniowe. I stokroć bardziej ludzie będą dostrzegać ubezwłasnowolnienie w sieci i to, jak cenna jest prywatność, wolność. Taką mam nadzieję. Na razie mamy raczej instynkt stadny, ulegamy temu, zachwytowi sztuczną inteligencją nie widząc, jakie zagrożenia to niesie. Dlatego ochrona prywatności, danych osobowych, tym bardziej będzie ważna. Ona coraz częściej zaczyna w pewnych przedsięwzięciach przeszkadzać. Ale myślę że rośnie również świadomość tego jak bardzo jesteśmy w sieci manipulowani i profilowani. Rozwój technologii nie jest najwyższą wartością. Jest ważny, o ile służy człowiekowi. Jeszcze raz przypominam, że RODO jest o ochronie osób fizycznych.
Co można zrobić z tą sztuczną inteligencją z punktu widzenia urzędu?
Już na etapie projektowania systemów należy uwzględniać ochronę danych. Jeżeli tworzy się gigantyczne aplikacje i dopiero potem się zastanawia, jak w nich chronić dane osobowe, to jest to wielkie zaniedbanie. To jest jasno w przepisach i jasno określone tzw. „projektowanie prywatności”. Do końca będę bronił tego, że ochrona danych, poszanowanie ich poufności muszą być spełnione. Pod władzą poprzedniej ustawy firmy mogły przyjść i spytać, jak dany problem rozwiązać, albo czy ich działanie jest właściwe. Ale RODO mówi, że administrator ma zrobić tak, żeby było dobrze, a organ jest uprawniony do tego, żeby to sprawdzić. To po stronie administratora jest to ryzyko i on musi je ocenić.
Czy urząd ma jakieś możliwości kontrolowania i karania już za te same złe projekty?
Każdy administrator ponosi odpowiedzialność za kształtowanie i wdrażanie nowych rozwiązań z udziałem danych osobowych. Urząd ocenia je chociażby na etapie uprzednich konsultacji, udzielając wsparcia inspektorom ochrony danych, czy ten kontrolując projektowane i wprowadzane technologie. W przypadku podmiotów publicznych wszelkie nowe pomysły muszą mieć podstawę prawną, i często ministerstwa przesyłają nam projekty ustaw, rozporządzeń, czy umów międzynarodowych do oceny i konsultacji. Często nasze opinie są bardzo obszerne rocznie wydajemy ich ok. 750. Niektóre pomysły, mimo naszych uwag, są dalej forsowane, ale w niektórych przypadkach przychodzi refleksja i są wycofywane albo bardzo mocno modyfikowane. Niekiedy mamy bardzo krytyczne stanowiska do również pomysłów rządowych.
Jakiś przykład takiej negatywnej opinii o projekcie?
Jest kwestia zintegrowanej bazy analitycznej do której mieliśmy bardzo dużo zastrzeżeń. I cieszy nas, że tego projektu dotąd nie zrealizowano, jeśli miałoby to być niezgodne z bezpieczeństwem przetwarzania danych. Jeżeli chodzi o nowe technologie, to na forum Instytutu o którym wspomniałem, będziemy zapraszać wszystkich możliwych specjalistów z kraju, którzy pracują w wielkich firmach. Jednocześnie są wybitnymi prawnikami, często pełnomocnikami, naukowcami. My jesteśmy w urzędzie głównie praktykami i musimy się opierać na opiniach naukowców czy ekspertów.
A w przypadku AI wprowadzanej przez firmy prywatne, urząd może podjąć działanie dopiero po ewentualnym naruszeniu bezpieczeństwa danych? Ale nie można na etapie projektowania jakoś wpływać na firmy, żeby uwzględniały ochronę prywatności? Włochy zakazały stosowania u nich czatu GPT, czy Polski urząd może zrobić tak samo?
W Europejskiej Radzie Ochrony Danych, gdzie jesteśmy mocno obecni jako urząd, powstała specjalna komórka ds. sztucznej inteligencji. Żadna skarga jeszcze nie wpłynęła, więc ciężko nam się nawet wypowiedzieć czy należy zakazać tej technologii. Mamy nadzieję, że właśnie praca w tej grupie roboczej przysporzy nam szybko jakichś wniosków i będziemy mogli być mądrzejsi. Możemy jedynie zalecać, np. aby pracownicy administracji publicznej nie korzystali np. z Tik-Toka, ale nie całkiem go zakazać. Takiego zakazu nie wydała nawet Rada ds. cyfryzacji, choć w wielu krajach takie zakazy się pojawiły. U nas w Polsce na tym poziomie są tylko rekomendacje.
Kadencja obecnego prezesa UODO formalnie upłynęła 16 maja, w piątek Sejm ponownie wybrał Jana Nowaka na to stanowisko, teraz czas na decyzję Senatu