Rozmowa z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych (GIODO)

- W ciągu 20 lat funkcjonowania ustawy o ochronie danych osobowych były sukcesy, ale też porażki. Więcej osiągnęliśmy w dziedzinie świadomości społecznej - potrzeby ochrony danych osobowych niż w sferze prawnej. Ustawa po prostu nie zawsze była skuteczna?

- Żeby mówić o pełnym zadowoleniu, trzeba by stwierdzić, że wszyscy przestrzegają przepisów o ochronie danych osobowych. Tak oczywiście nie jest. Warto jednak podkreślić, że przez 20 lat obowiązywania w Polsce ustawy o ochronie danych osobowych udało się podnieść świadomość potrzeby i wagi ochrony prywatności zarówno wśród przedsiębiorców, jak i osób fizycznych. Wiele firm i instytucji dostosowało przetwarzanie danych osobowych do wymaganych polskim prawem standardów obowiązujących w Unii Europejskiej. Nie możemy jednak spocząć na laurach, zwłaszcza w przededniu istotnych zmian w systemie ochrony danych osobowych, związanych m.in. z rozpoczęciem stosowania od 25 maja 2018 r. ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Co zaś do skuteczności egzekwowania prawa, to zaznaczyć należy, że wprawdzie obowiązująca obecnie ustawa o ochronie danych osobowych zawiera przepisy karne, które za bezprawne wykorzystywanie danych osobowych lub niewłaściwe ich zabezpieczenie, przewidują zarówno kary grzywny, jak i kary ograniczenia lub pozbawienia wolności, to jednak fakt, że o ich wymierzeniu nie decyduje bezpośrednio GIODO, powoduje, że firmy i instytucje często czują się bezkarne. Tym bardziej że postępowania w sprawie przestępstw związanych z ochroną danych osobowych są zbyt często umarzane, a niekiedy prokuratorzy odmawiają jego wszczęcia. Najprawdopodobniej wynika to z niewłaściwej interpretacji przepisów prawa.

- Sytuacja diametralnie zmieni się pod rządami RODO?
- Tak, rozporządzenie unijne przewiduje możliwość nakładania kar finansowych za naruszenie zasad przetwarzania danych osobowych bezpośrednio przez organy ds. ochrony danych osobowych. I nie chodzi o to, aby straszyć sankcjami, jednak na pewno muszą być one odczuwalne ze względu na interes i dobro ludzi, których prywatność zostanie naruszona oraz pełnić funkcję prewencyjną. Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara. To powinno przyczynić się do zachowania większej dbałości o dane, by były przetwarzane zgodnie z prawem.

- Czego Pani się najbardziej obawia w związku z tą zmianą, że rozporządzenie nie zostanie zrozumiane lub zlekceważone?
- Chciałabym patrzeć na to rozporządzenie jako - z jednej strony - wyzwanie dla nas wszystkich, z drugiej zaś – jako na szanse na poprawę całego systemu ochrony danych osobowych. Na pewno część podmiotów przetwarzających dane będzie zaskoczona wprowadzanymi zmianami, będą niedoinformowani. Tymczasem do reformy trzeba podejść w sposób bardzo świadomy i odpowiedzialny.
Bardzo zależy mi też na tym, aby administratorzy danych uświadomili sobie, że rozporządzenie nie tylko nakłada na nich nowe obowiązki i zwiększa ich odpowiedzialność za przetwarzanie danych osobowych zgodnie z prawem, ale również zapewnia im większą elastyczność działania. Przykładowo, jeśli ktoś tradycyjnymi metodami przetwarza niewielki zakres danych osobowych, to nie będzie zobowiązany do stosowania skomplikowanych i kosztownych zabezpieczeń.

- Polski projekt ustawy o ochronie danych osobowych przygotowany przez Ministerstwo Cyfryzacji nie jest wystarczająco dobry? Co Pani by do niego wniosła?
- Przygotowany przez Ministerstwo Cyfryzacji projekt ustawy o ochronie danych osobowych oraz projekt przepisów wprowadzających w bardzo wielu aspektach nie spełniają moich oczekiwań. Przede wszystkim musimy sobie uświadomić, że obowiązki administratorów danych i prawa osób wynikają z RODO, a nie z polskich przepisów. Ustawa ma ułatwić nam stosowanie unijnego rozporządzenia, ale to, co jest istotą systemu ochrony danych osobowych jest zapisane w rozporządzeniu unijnym. W mojej ocenie, projekt ustawy o ochronie danych osobowych nie spełnia warunku wysokiego poziomu niezależności, którym cieszyć się ma organ nadzorczy. Jestem przekonana, że aby system ochrony danych osobowych w danym państwie funkcjonował jak najlepiej, to na jego straży stać powinien niezależny i silny organ. I w tym zakresie projekt moich oczekiwań nie spełnia.

- Twórcy projektu twierdzą, że pozycja Inspektora jest wzmocniona.
- Jeśli chodzi o niezależność, to obecnie GIODO powoływany jest przez Sejm na wniosek marszałka lub grupy 35 posłów. W projekcie proponuje się, by Inspektora powoływał Sejm, lecz na wniosek premiera. Natomiast zastępcy mają być powoływani przez premiera na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji.

- To nie jest dobre rozwiązanie?
- Obecny system powoływania i gwarancje niezależności organu, spełniały bardzo wysokie standardy europejskie, na co wskazywała również doktryna. Nie widzę powodu, dla którego miałoby się to zmieniać, na pewno nie wymaga tego rozporządzenie. Najważniejsze jest to, żeby urząd mógł się cieszyć niezależnością, bo tylko wtedy będzie mógł właściwie wykonywać swoje zadania, w tym kontrolne wobec administracji rządowej. Nie może też być poddany żadnym politycznym wpływom. Nie wydaje mi się, żeby trzeba było obniżać standardy, które są bardzo wysokie – powoływanie przez Sejm, samodzielne decydowanie przez GIODO o składzie personelu. Na pewno nie ma potrzeby ani uzasadnienia, aby zastępców prezesa urzędu powoływał premier, na wniosek dwóch ministrów. Moim zdaniem, to całkowite upolitycznienie urzędu, który dotąd był postrzegany jako instytucja niezależna i fachowa. Rozwiązanie proponowane przez resort cyfryzacji bardzo mnie niepokoi, gdyż może stanowić naruszenie unijnego rozporządzenia oraz art. 16 traktatu o funkcjonowaniu Unii Europejskiej. Żeby system ochrony danych osobowych funkcjonował prawidłowo organ musi być silny, niezależny i dysponować odpowiednimi środkami finansowymi.

Rozmawiała: Katarzyna Żaczkiewicz-Zborska