Brak transparentności ze strony urzędu sprawia, że to, czego nie wiemy, możemy sobie sami – może nietrafnie – dopowiedzieć - mówi dr Ewa Kulesza, pierwszy generalny inspektor ochrony danych osobowych (w latach 1998–2006).
Czy po zablokowaniu przez prezesa Urzędu Ochrony Danych Osobowych publikacji list poparcia do KRS oraz ukaraniu firm ochroniarskich za wyciek wizerunku Jarosława Kaczyńskiego odwiedzającego Julię Przyłębską możemy jeszcze ufać niezależności tego organu?
Nie rozumiem działań prezesa UODO i osobiście nie podjęłabym takich decyzji. W sprawie list poparcia do KRS organ wydał postanowienie uniemożliwiające wgląd do informacji, mimo iż chodziło o dane funkcjonariuszy publicznych, które są jawne w świetle przepisów o dostępie do informacji publicznej. To działanie zaprzeczyło idei ochrony danych osobowych, która skierowana jest na ochronę prywatności. Prezes UODO zignorował też prawomocny wyrok sądu administracyjnego. Ktoś może powiedzieć, że nie mamy wiedzy na temat tego, dlaczego dokładnie postanowienie o zabezpieczeniu zostało wydane. Ale brak transparentności ze strony urzędu sprawia, że to, czego nie wiemy, to możemy sobie sami – może nietrafnie – dopowiedzieć.
Listy zostały ostatecznie ujawnione, ale prezes UODO zapowiada, że będzie badał wcześniejszy wyciek list do mediów.
To też budzi moje zdziwienie i nie widzę w tym żadnego sensu. Wolałabym, aby urząd – w trudnym okresie dla administratorów wdrażających nowe przepisy – skupił się na wspomaganiu administratorów, bo oni nie do końca to wsparcie czują.
Jakich działań brakuje?
Przede wszystkim właściwych interpretacji trudnych, nieprecyzyjnych przepisów RODO. Pracuję dziś jako inspektor ochrony danych i przeglądając dedykowany, urzędowy newsletter, nie znajduję w nim odpowiedzi na wiele z nurtujących mnie pytań. Tymczasem niektóre interpretacje organu nadzorczego wydają się zaskakujące w świetle interpretacji dokonywanych na podstawie przepisów RODO, a nawet orzeczeń sądów administracyjnych. Wystarczy spojrzeć na karę nałożoną przez prezesa UODO na Bisnode za stworzenie zbioru danych podmiotów gospodarczych z jawnego rejestru w kontekście dopełniania obowiązku informacyjnego i złagodzenia tego obowiązku w art. 14 ust. 5 pkt b RODO, kiedy udzielenie informacji „wymagałoby niewspółmiernie dużego wysiłku”.
Dlaczego właściwie RODO stało się tak wielkim kłopotem dla polskich firm?
Nie ukrywam, że od początku byłam wielką przeciwniczką RODO. Ubolewam nad tym, że Komisja Europejska odrzuciła koncepcję nowelizacji dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wprowadzono zupełnie nowy twór – RODO – w którym czytamy, że jednym z celów rozporządzenia miało być odbiurokratyzowanie ochrony danych osobowych. Tymczasem już dziś widzimy, że RODO wymaga ogromnej biurokratyzacji, o wiele większej, niż na gruncie uchylonej dyrektywy i wdrażającej ją w Polsce ustawy o ochronie danych z 1997 r.
W obowiązujących wcześniej przepisach administratorzy mieli jasno wskazane obowiązki i podpowiedzi, jak je spełnić, w przepisach wykonawczych do ustawy 1997 r. W RODO mamy zaś nowe, nieostre pojęcia. Do dziś do końca nie wiadomo, jak rozumieć pojęcie przetwarzania danych na dużą skalę jak wykonać analizę ryzyka albo jaki ma być stopień szczegółowości rejestru czynności przetwarzania. RODO jest przykładem wyjątkowo źle przygotowanego aktu prawnego i przyznam, że wcześniejsze jego projekty były klarowniejsze. A tymczasem zawarte w nim wysokie kary budzą postrach.
Najwyższe kary miały być zarezerwowane dla największych naruszycieli. Organ nadzorczy zapowiadał, że nie będzie bał się stawać w szranki z gigantami technologicznymi naruszającymi RODO. Co jakiś czas słyszymy o wyciekach z Facebooka, Google’a czy Ubera, a tymczasem postępowań organu nadzorczego nadal nie ma.
Mam duże obawy, czy urząd rozrósł się i wzmocnił na tyle, aby być w stanie pozywać tego typu firmy. Ponadto mam wątpliwości, czy organy nadzorcze, również z innych państw członkowskich, będą w stanie prawidłowo określić wysokość kary finansowej dla światowych korporacji – a chodzi przecież także o powstrzymanie naruszeń dokonywanych przez takich administratorów – według zasady określonej w art. 83 ust. 4 RODO, czyli kary w wysokości 2 proc. całkowitego światowego obrotu z poprzedniego roku obrotowego. Tutaj nie wystarczy zwykła wiedza z zakresu księgowości, ale wiedza specjalistyczna, która jest kosztowna. Zatem jeśli korporacje będą łamać przepisy RODO, trudno będzie je powstrzymać, grożąc karami finansowymi. Zapewne także pracownicy UODO, mimo ich wiedzy fachowej, mieliby nikłe szanse na zwycięstwo z najlepszymi kancelariami opłacanymi przez gigantów.
Czy RODO to nie są jednak pobożne życzenia Komisji Europejskiej? Bo wydaje się, że i tak najwięcej danych Europejczyków przetwarzają podmioty spoza UE. Trudno zaś oczekiwać, żeby organy nadzorcze państw członkowskich miały nad nimi realną kontrolę.
To prawda. W praktyce ukaranie takich podmiotów czy przeprowadzenie u nich kontroli byłoby niezwykle trudne. Co nie jest zresztą nowym problemem. Już blisko 20 lat temu prowadziłam sprawę prawnika z Warszawy, który za pieniądze umieszczał w sieci, na specjalnie utworzonej stronie internetowej, zniesławiające informacje o znanych osobach. Wystarczyło, aby przeniósł stronę na serwery USA i już był poza naszym zasięgiem. Analogicznie nie widzę możliwości, aby prezes UODO mógł faktycznie kontrolować algorytmy sztucznej inteligencji czy operacje wykonywane na serwerach w Chinach, Rosji czy USA.