Mirosław Wróblewski, Prezes UODO: Ludzie się skarżą bo ich świadomość jest większa

W niedawnym sprawozdaniu Prezesa UODO za rok 2024 r. widać spory wzrost liczby skarg w porównaniu z rokiem 2023. Z czego to wynika?

Składa się na to kilka elementów. Na pewno wraz z kolejnymi latami stosowania RODO rośnie świadomość praw u obywateli. Zarówno UODO, jak i media mówią o ochronie danych osobowych w kontekście np. różnych działań w sferze cyfrowej, często o charakterze przestępczym, np. o potrzebie zastrzegania numeru PESEL. Takie informacje docierają do większej liczby osób i dlatego liczba skarg rośnie. Ten wzrost w ubiegłym roku wyniósł 15 proc., ale wydaje się, że w tym roku będzie on jeszcze wyższy. Poziom 8000 skarg (tyle było w 2024 r.) osiągnęliśmy już na koniec sierpnia 2025 roku.

Ale czy to wskazuje na większą liczbę naruszeń?

Trudno mi powiedzieć. U administratorów, z uwagi na rozwój technologii zachodzą zmiany, jeżeli chodzi o techniki przetwarzania danych. Np. wiemy, że coraz więcej przedsiębiorstw wykorzystuje sztuczną inteligencję albo zamierza to robić. To rodzi pewne skutki dla ochrony danych. Rozwój gospodarczy niesie ze sobą także wzrost wykorzystywania danych osobowych, co też przekłada się na większą liczbę skarg. Dla mnie to jest ból głowy o tyle, że generuje potrzebę zwiększenia zasobów urzędu.

Więcej będziemy w stanie powiedzieć, gdy będziemy znać statystyki za cały 2025 rok. Natomiast przy tej skali wzrostu skarg, utrzymanie co najmniej tego samego tempa ich rozpatrywania, nie będzie możliwe bez zwiększenia zasobów kadrowych urzędu.

Czytaj więcej

Dane osobowe

Prezes UODO o wzroście kar, wyborach kopertowych i zbieraniu przez PiS PESEL

W zeszłym roku dziesięciokrotnie wzrosła suma kwot nałożonych kar. Chciałbym, aby do przestrzegan...

Która sprawa z 2024 r. dotyczyła największej liczby obywateli i jaki miała wpływ na funkcjonowanie ich oraz administratorów danych?

Jedną z największych tego typu spraw w 2024 roku była ponowna decyzja o nałożeniu kary na spółkę Morele.net. Sprawą tą organ nadzorczy zajmował się po raz kolejny z uwagi na wyrok NSA. W sprawie tej skala osób dotkniętych naruszeniem, do którego doszło w wyniku poważnych zaniedbań administratora była bardzo duża – 2,2 mln osób.

W 2024 roku zajmowaliśmy się inną bardzo poważną sprawą, która swój finał miała jednak w pierwszym kwartale 2025 roku. Jeśli chodzi o skalę, to największa dotyczy decyzji w sprawie nałożenia administracyjnej kary pieniężnej, chodzi o karę dla Poczty Polskiej. Sprawa ta dotyczyła danych osobowych około 30 mln polskich obywateli i była też najwyższą jak dotąd karą – 27 mln zł. Ostatnią dużą i ważną decyzją było nałożenie kary na ING Bank, gdzie kara sięgnęła 18 mln zł.

A ile dziś średnio dni trwa rozpoznanie jednej skargi i jak to wygląda w porównaniu z ubiegłymi latami?

Średnia moim zdaniem nic nie powie, ponieważ są sprawy bardzo proste, które polegają na tym, że nie są spełnione pewne formalne wymagania z RODO lub k.p.a. Jeżeli skarga taka, pomimo naszego kontaktu ze skarżącym, nie zostanie uzupełniona, to postępowanie się umarza.

Z drugiej strony są sprawy bardzo skomplikowane, dotyczące wielu administratorów, nowych technologii (np. sztucznej inteligencji), których rozpatrywanie niestety może trwać kilka lat. Jest taka sprawa, która już trwa ponad dwa lata, a wynika to z tego, że kiedy chcemy wydać decyzję i administrator jest o tym informowany, to dostajemy kilka paczek dokumentów i sprawa wymaga ponownego przeanalizowania z uwzględnieniem nowych informacji i dowodów. Terminy określa RODO – działania muszą być podjęte w ciągu trzech miesięcy. I to jest coś, co nas wiąże i tego urząd stara się dotrzymywać.

W 2023 r. urząd zaopiniował też niemal 800 aktów prawnych. Wielokrotnie w tym sprawozdaniu zwrócono jednak uwagę, że ochrona danych nie jest należycie uwzględniana w prawodawstwie. Przy niektórych aktach nie dostrzega się nawet, że mogą mieć wpływ na ochronę danych i nie są konsultowane z UODO. Na ile jest to poważny problem?

Widzimy poprawę w stosunku do lat ubiegłych. To są efekty systemowej działalności, współpracy z parlamentem i z Rządowym Centrum Legislacji, z którym zawarłem porozumienie i przeprowadziliśmy szkolenia legislatorów. Współpracujemy też z Polskim Towarzystwem Legislacji. Dlatego coraz częściej mamy do czynienia z refleksją dotyczącą ochrony danych osobowych już na etapie projektowania przepisów. Natomiast jest też bardzo dużo przykładów negatywnych, gdzie tej analizy w ogóle nie dokonano.

Jakich na przykład?

W wielu sprawach były to projekty, w których dane były jednym z kluczowych elementów, np. ustawa o ochronie zwierząt, gdzie o ochronie danych zapomniano. Być może ten tytuł zmylił autorów, że to bardzo dalekie od ochrony danych, ale przecież zwierzęta domowe (psy i koty) mają swoich właścicieli i w istocie to ich dane są przetwarzane. Dlatego też wykonywaliśmy pracę, która ciąży na projektodawcach, co przedłuża proces legislacyjny. Od lat powtarzają się też te same problemy, tzn. brakuje przede wszystkim wstępnej oceny skutków dla ochrony danych i tzw. testu prywatności.

Wiele aktów prawnych w ostatnim czasie przewiduje nowe kompetencje, a więc i obowiązki, dla UODO. W jakich dziedzinach możemy się tego jeszcze spodziewać?

Przede wszystkim wdrożenie aktu o zarządzaniu danymi. Co prawda samo rozporządzenie już obowiązuje, ale w nowej ustawie wdrażającej Prezes Urzędu otrzymał kilka istotnych kompetencji, np. jeżeli chodzi o rejestrację instytucji altruizmu danych, czy rejestrację i weryfikację instytucji pośrednictwa danych, sprawowanie nadzoru nad rynkiem oraz wymierzanie kar. Należy się spodziewać, że ta ustawa trafi pod obrady parlamentu jesienią i jest szansa, że wejdzie w życie w pierwszej połowie przyszłego roku.

Czytaj więcej:

Biznes

To administrator musi monitorować ryzyka związane z przetwarzaniem danych

Wojewódzki Sąd Administracyjny w Wars...

Pro

Wiele obowiązków dla Prezesa UODO wynika też z innych aktów „cyfrowych”, które zostały przyjęte w ostatnich latach przez Unię Europejską – zarówno bezpośrednio, jak i w ramach implementacji. Tak jest np. w przypadku AI Aktu. Z kolei obszarem, który jest może trochę mniej poruszany w debacie publicznej, to kwestie wjazdu i wyjazdu obywateli z terenu UE. Prezes UODO od października będzie pełnił rolę organu nadzoru w ramach systemu ETIAS (unijny system informacji o podróży oraz zezwoleń na podróż). Jest też wiele innych regulacji, więc tych obowiązków przybywa, głównie z powodu aktywności UE. Kiedy poprosiłem Departament Prawa Nowych Technologii o wypisanie ich, to wyszło 25 stron tytułów aktów prawnych określających te nowe kompetencje.

Rośnie także, w porównaniu z poprzednimi latami, liczba zapytań kierowanych do urzędu. Czy ludzie więcej wiedzą i dlatego więcej dopytują, czy odwrotnie – coraz mniej odnajdują się w kwestiach ochrony danych?

Myślę, że obie odpowiedzi są poprawne. Po pierwsze, jest dużo nowych przepisów dotykających ochrony danych, w których nie ma jeszcze ukształtowanej praktyki ich stosowania i wykładni. Często dotyczy to stosowania nowych technologii, co też wiąże się z nowym orzecznictwem czy opiniami Europejskiej Rady Ochrony Danych. Ale z drugiej strony mam nadzieję, że rosnąca liczba pytań, jak i skarg, jest dowodem na zaufanie do Prezesa UODO, którego opinie są traktowane jako wspierające w interpretacji przepisów.

Czy w ramach wizyt UODO w różnych województwach udało się poznać jakieś potrzeby obywateli, których nie widać z Warszawy?

Ostatnio w Rzeszowie byliśmy dwa dni i zainteresowanie było bardzo duże. Jesienią planujemy pojawić się tam ponownie, żeby otworzyć tam działający cyklicznie punkt konsultacyjny umożliwiający obywatelom składanie skarg. Widzimy bardzo dużą potrzebę powstania takich miejsc i chcemy regularnie pojawiać się w terenie, dając obywatelom możliwość bezpośredniego kontaktu i przy okazji edukacji. Urząd może utworzyć zgodnie z ustawą oddział terenowy albo ośrodek zamiejscowy, ale to są bardzo duże koszty związane z biurem, natomiast taki tymczasowy punkt konsultacyjny opierać się ma na porozumieniu z urzędem gminy albo samorządem prawniczym, o użyczenie nam lokalu, w którym pracownik z laptopem mógłby przez cały dzień pracować, przyjmując skargi i udzielając porad. To by się mieściło w ramach środków na delegacje krajowe.

Czy jest planowane utworzenie takich punktów w innych miastach?

Na razie takie rozwiązanie będziemy testować, docelowo chcielibyśmy regularnie pojawiać się w różnych miejscach kraju z takim punktem. Mam nadzieję, że Rzeszów będzie pierwszym krokiem i takim trochę pilotażem, który, jeżeli się sprawdzi, będzie powtarzany w innych miejscach. W takich punktach będzie można złożyć skargę do protokołu, ale też uzyskać poradę z zakresu ochrony danych osobowych. Już teraz w ramach odwiedzin w poszczególnych województwach pracownicy urzędu takich porad udzielają i przeważnie jest to w urzędach miast, podczas gdy my uczestniczymy w spotkaniach z inspektorami, a oni przyjmują skargi. W Rzeszowie zgłosiło się kilkadziesiąt osób, które chciały uzyskać poradę albo złożyć skargę, więc widać, że to zapotrzebowanie jest. Także inspektorzy ochrony danych osobowych przychodzili po porady – często bezpośrednia rozmowa jest dla niektórych bardziej atrakcyjna niż telefon na infolinię.

Czytaj więcej

Dane osobowe

Wybory kopertowe. UODO nakłada najwyższą w historii karę

Prezes Urzędu Ochrony Danych Osobowych nałożył największą w historii karę w wysokości ponad 27 ml...

W sprawozdaniu duży nacisk położono też na kwestie kodeksów dobrych praktyk. Co się udało osiągnąć w tej kwestii w zeszłym roku?

Taki kodeks pozwala na dostosowanie wymagań i standardów ochrony danych osobowych do konkretnej branży. I ten proces jest niestety bardzo czasochłonny, gdyż wymaga przede wszystkim dużej ilości pracy ze strony projektodawców. A potem współpracy z urzędem, bo na końcu taki kodeks jest akceptowany decyzją administracyjną.

W ubiegłym roku ta praca miała przede wszystkim charakter inicjatywny, tzn. starałem się porozmawiać z tymi, którzy wcześniej złożyli wnioski w zakresie kodeksów, a także zaprosić nowe środowiska, więc prace się rozpoczęły. Między innymi w ubiegłym roku wpłynął wniosek o zatwierdzenie kodeksu postępowania w zakresie przetwarzania danych osobowych w branży reklamowej.

W tym roku wpłynął wniosek dotyczący branży fotograficznej, natomiast te prace się jeszcze toczą.

Są także inne formy dobrych praktyk. One nie idą „drogą kodeksową”, ale mają postać zbioru pewnych dobrych praktyk i standardów. Przykładem jest przygotowany przez Instytut Sportu poradnik właśnie dla branży sportowej. Wspomnę, że dla mnie jest to bardzo ważny obszar w kontekście praw dziecka i młodzieży, gdyż widzimy, że więcej problemów niż w szkołach pojawia się w różnego rodzaju klubach, ośrodkach sportowych i tej wiedzy tam po prostu brakuje. A mamy do czynienia z przetwarzaniem danych osobowych też w ogromnych ilościach. Mamy też trochę postępowań, także naruszeniowych, więc uznałem, że trzeba w tym kierunku podjąć bardzo aktywne działania.