Nowa jakość ochrony danych osobowych - wywiad z Wojciechem Wiewiórowskim

Rz: Czy w Brukseli wciąż dzwonią do pana telemarketerzy?

Wojciech Wiewiórowski: Chyba jeszcze do mnie nie trafili. Podejrzewam, że jest to raczej spowodowane zmianą mojego numeru telefonu w związku z objęciem nowego stanowiska, a nie brakiem belgijskich telemarketerów. Wbrew pozorom w Belgii nie jest pod tym względem lepiej niż w Polsce – tam także prowadzi się intensywny marketing telefoniczny.

Jak bardzo różni się praca w unijnym organie ochrony danych osobowych od pełnienia funkcji generalnego inspektora ochrony danych osobowych?

Urzędy są bardzo podobnie skonstruowane pod względem organizacyjnym. Obejmując funkcję w Brukseli, byłem bardzo zaskoczony, jak wiele jest podobieństw do tego, z czym miałem do czynienia w biurze GIODO, choć oczywiście kompetencje polskiego i europejskiego organu są inne.

W całej Unii Europejskiej urzędy zajmujące się danymi obywateli są zorganizowane tak jak GIODO?

Poszczególne kraje mają różne modele. Zawsze jest to niezależny organ kontrolny, lecz sama jego konstrukcja bywa inna niż w Polsce, np. we Francji organ zajmujący się danymi osobowymi nie ma charakteru jednoosobowego, a zamiast niego tymi zagadnieniami zajmuje się cała komisja. Za to na Węgrzech tamtejszy organ oprócz danych osobowych zajmuje się także nadzorem nad służbami specjalnymi, a w Wielkiej Brytanii połączono ochronę danych osobowych z kontrolą udzielania obywatelom informacji publicznej.

Jak więc przedstawiają się z perspektywy ogólnoeuropejskiej nasze regulacje dotyczące ochrony danych osobowych? Czy jakieś państwo jest pod tym względem prymusem i powinno być dla nas wzorem?

Polskie przepisy są skonstruowane bardzo podobnie do europejskiego standardu. Jednocześnie trudno mówić o modelach idealnych, choć w związku z dążeniem do harmonizacji przepisów o ochronie danych osobowych na poziomie europejskim dyskusja o najlepszych rozwiązaniach jest jak najbardziej zasadna. Wracając do Polski, to proszę pamiętać, że ustawa o ochronie danych osobowych została uchwalona jeszcze przed wejściem do Unii Europejskiej. Mimo to regulacje w niej zawarte są zgodne z prawem europejskim i nie różnią się radykalnie od innych rozwiązań przyjętych w państwach UE.

Jak to wygląda w praktyce?

Dobrym przykładem są kary finansowe za naruszenie przepisów o ochronie danych osobowych. W Finlandii ich stosowanie jest nie do pomyślenia, za to w Hiszpanii to podstawowy środek oddziaływania na podmioty postępujące niezgodnie z przepisami. W Polsce kary pieniężne są nakładane przez GIODO jedynie jako jeden ze środków egzekucji administracyjnej wobec tych, którzy nie chcą dostosować się do wcześniej wydanej decyzji GIODO. Oznacza to, że pod kątem represyjności polski model jest pomiędzy regulacjami obowiązującymi w innych państwach Unii.

Jakie są więc największe bolączki i wady polskiego prawa?

Na pewno problemem jest rozproszenie przepisów o ochronie danych osobowych po różnych ustawach dotyczących zasadniczo różnych zagadnień, np. uprawnień służb mundurowych, ochrony tajemnicy bankowej czy też dostępu do informacji publicznej. Wciąż także nie jest jednolicie uregulowana kwestia wykorzystania monitoringu wizyjnego.

W Polsce nie ma w ogóle organu zajmującego się kontrolą dostępu obywateli do informacji publicznej. Czy wspomniane rozwiązanie z Wielkiej Brytanii byłoby korzystne także w Polsce?

Dyskusja o uregulowaniu tego zagadnienia toczy się od lat. Rozwiązanie brytyjskie ma zarówno plusy, jak i minusy. Oprócz wprowadzenia nadzoru nad niewątpliwie ważnym uprawnieniem obywateli, jakim jest dostęp do informacji publicznej, do zalet można zaliczyć także uniknięcie sporów kompetencyjnych, do których by dochodziło, gdyby powołano dwa niezależne od siebie urzędy. Jednocześnie nie dałoby się uniknąć swoistej schizofrenii w działaniu tak dużego urzędu, gdyż w wielu sprawach granica między tym, czy mamy do czynienia z ochroną danych osobowych czy z dostępem do informacji publicznej, jest bardzo płynna.

Na ostatniej prostej są prace nad unijnym rozporządzeniem o ochronie danych osobowych, które w dużej mierze zastąpi krajowe regulacje. Jak ten akt wpłynie na sytuację zwykłych obywateli?

Nowe przepisy unijne wprowadzą jeden wspólny standard ochrony danych osobowych we wszystkich państwach UE. Obecnie mamy bowiem 28 krajowych regulacji, które w wielu aspektach różnią się od siebie. Po wprowadzeniu przez rozporządzenie jednolitego standardu ogromną korzyścią dla każdej osoby będzie swobodne dochodzenie roszczeń. Teraz, gdy korzystamy np. z francuskiego sklepu internetowego, to w razie niezgodnego z prawem gromadzenia lub przetwarzania naszych danych osobowych przez ten sklep całość procedury dochodzenia naszych praw musimy prowadzić przed francuskim organem. To oczywiście olbrzymi kłopot związany z odległością czy też barierą językową. W nowym rozporządzeniu sprawę nadal będzie prowadził francuski organ, jednak naruszenie danych osobowych będzie można zgłosić do polskiego organu, czyli do GIODO.

A jakie zmiany czekają przedsiębiorców?

Co do zasady zniknie konieczność dostosowywania się do przepisów o ochronie danych osobowych obowiązujących w każdym kraju UE. Podstawową regulacją stanie się unijne rozporządzenie. Wielu firmom otworzy to nowe możliwości związane szczególnie z oferowaniem swoich usług w innych państwach. Polscy przedsiębiorcy często się zastanawiają nad rozszerzeniem swojej działalności na inne kraje, np. poprzez założenie swojego sklepu internetowego. W obecnym stanie prawnym niejednokrotnie barierą nie do pokonania są odmienne regulacje dotyczące przetwarzania danych osobowych klientów. Nowe regulacje zlikwidują te przeszkody, wprowadzając jasne zasady dla wszystkich 28 państw.

Unijne rozporządzenie pozostawi jednak możliwość wprowadzenia przez każdy kraj UE wyjątków. Czego będą one dotyczyły?

Najważniejsze wyłączenie, które będzie można wprowadzić, to niewątpliwie odrębna regulacja wykorzystywania danych osobowych na potrzeby realizacji przepisów prawa pracy. Już teraz w Polsce obowiązują rygorystyczne regulacje dotyczące przetwarzania i wykorzystywania danych pracownika. Często nie odpowiada to pracodawcom, którzy chcą wiedzieć więcej o osobie zatrudnionej, np. o jej wcześniejszej karalności. Niemniej sądzę, że wyjątek przewidziany dla danych pracowników zostanie najprawdopodobniej zachowany. Innymi słowy, kadry wciąż będą rządzić się swoimi regulacjami.

W tym miejscu pojawia się również kwestia danych gromadzonych przez ZUS i prywatne instytucje związane z sektorem emerytalnym, jak np. OFE.

Rzeczywiście, olbrzymia ilość danych gromadzonych przez państwowego ubezpieczyciela jest bardzo ciekawa dla każdej instytucji czy firmy. W bazie ZUS mamy bowiem informacje o miejscach zatrudnienia pracownika, w pewnym zakresie także dane o jego wynagrodzeniu czy też o wysokości wypłacanych na jego rzecz świadczeń. Gdy pełniłem jeszcze funkcję GIODO, to głośną sprawą było wykorzystywanie przez uczelnie wyższe danych z ZUS do monitorowania losów absolwentów, jednak bez zgody tych ostatnich. Było to niedopuszczalne, dlatego konieczna była zmiana postępowania szkół wyższych lub wprowadzenie zmian w regulacjach prawnych. To świadczy o tym, że nasze dane gromadzone w celach emerytalnych powinny być pod szczególną ochroną.