O ochronie prywatności i ważnych zmianach w polskim prawie rozmawiamy z GIODO

Z okazji Dnia Ochrony Danych Osobowych publikujemy pierwszą część wywiadu z Generalnym Inspektorem Ochrony Danych Osobowych. Z Wojciechem Wiewiórowskim rozmawiamy o koncepcji „privacy by design” oraz o kluczowych z punktu widzenia prywatności zmianach prawa: o tym czy polski System Informacji Medycznej został zaprojektowany z myślą o prywatności pacjentów; o tym jakie informacje trafią do Systemu Informacji Oświatowej oraz o tym, dlaczego GIODO chce jak najszybciej zmienić ustawę o ochronie danych osobowych.

Wypowiadając się na temat współczesnych wyzwań związanych z prywatnością bardzo często przywołuje Pan pojęcie „privacy by design”. Czy mógłby pan je krótko przybliżyć?

Idea privacy by design zrodziła się jako sposób spojrzenia na budowanie systemów teleinformatycznych. Chodziło o to, by od samego początku tworzenia jakiegoś systemu, na każdym etapie, rozważać wpływ tworzonych rozwiązań na sferę prywatności. Do tej pory bardzo często robiono tak, że najpierw tworzono system informatyczny, a dopiero potem nakładano na niego dodatkowe rozwiązania techniczne, które miały chronić prywatność. Było to rozwiązanie sztuczne, a przez to nieskuteczne. W przypadku „privacy by design” chodzi o to, by nie tyle odpowiadać na pojawiające problemy, co już wcześniej przewidywać najważniejsze z nich i im przeciwdziałać.

Ale ideę privacy by design można realizować także poza systemami informatycznymi…

Tak, koncepcja ta wyewoluowała ze swego pierwotnego, bardzo technicznego znaczenia. W tej chwili stanowi zestaw postulatów, które można wysuwać pod kątem każdego projektu, niezależnie od tego, czy jest to system informatyczny, akt prawny, czy też procedura działania jakiejś instytucji. Idea „privacy by design” jest w tej chwili najbardziej rozwijana przez kanadyjskie instytucje zajmujące się ochroną prywatności, w tym przez Ann Cavoukian (Information & Privacy Commissioner w prowincji Ontario – przyp. MSz&DG), która na stronie privacybydesign.ca umieszcza dużo ciekawych materiałów dotyczących zastosowania tego rozwiązania w różnych praktycznych działaniach.

Na tej stronie internetowej  znaleźć można omówienie siedmiu podstawowych zasad „privacy by design” oraz przeczytać, że ich wdrażanie ma szczególne znaczenie tam, gdzie przetwarzane są najbardziej wrażliwe informacje np. dotyczące naszego zdrowia. Obecnie w naszym parlamencie trwają prace nad ustawą o systemie informacji w ochronie zdrowia. Z pewnością ustawa ta będzie miała duży wpływ na to, w jaki sposób przetwarzane będę informacje o naszych chorobach, zażywanych lekach, wizytach u lekarzy czy udzielanych świadczeniach medycznych. Jak pan ocenia ten projekt pod kątem realizacji zasady „privacy by design”?

Zasadniczo nie oceniam tego projektu specjalnie dobrze. Wiem, że specjaliści z Centrum Systemów Informatycznych Ochrony Zdrowia dysponują dużą wiedzą na temat ochrony prywatności, a ponadto konsultują się z różnymi instytucjami naukowymi, jednak w przekazanym do Sejmu projekcie zupełnie tego nie widać. Nie mówi on prawie nic na temat ochrony prywatności, a przynajmniej nie mówi tego, co chciałbym – jako GIODO – usłyszeć.

Co konkretnie Pana niepokoi?

Powodów do krytyki jest kilka. Przede wszystkim wygląda na to, że część danych trafi do systemu nie na podstawie ustaw, ale aktów niższego rzędu – rozporządzeń. Mogłoby się wydawać, że to takie „ot prawnicze rozważanie”, czy ustawa, czy rozporządzenie, ale ta różnica jest naprawdę znacząca. W przypadku ustawy decyzję o zakresie danych przetwarzanych w rejestrze podejmuje parlament, który jest reprezentantem społeczeństwa. O przyjęciu rozporządzenia decyduje natomiast minister, który w dużej mierze kieruje się po prostu interesem resortu. Co więcej do systemu mają być wciągane również te rejestry, które istnieją w Polsce w ogóle bez podstawy prawnej. Takim właśnie rejestrem – na który GIODO zwraca uwagę Ministra Zdrowia od lat – jest rejestr nowotworów. W pełni rozumiem potrzebę istnienia tego rejestru. Dlatego właśnie do tej pory nie został on zlikwidowany decyzją GIODO, mimo że przepisy o ochronie danych osobowych dawały ku temu podstawy. Nie wątpię też w dobre chęci Ministerstwa Zdrowia, ale w tym przypadku powiedzenie, że dobrymi chęciami piekło wybrukowano, jest bardzo na miejscu.

Kolejne zastrzeżenie dotyczy przyjętych w projekcie założeń terminologicznych, które moim zdanie są bardzo niebezpieczne. Założono, że istnieje grupa danych przetwarzanych w systemie, które są danymi osobowymi (imię, nazwisko itd.), ale wyróżniono jednocześnie grupę tzw. jednostkowych danych medycznych, które mają być czymś odrębnym od danych osobowych. To bardzo dziwne rozwiązanie i nawet jeśli z punktu widzenia technicznego dałoby się je wytłumaczyć tym, że dane o stanie zdrowia mogą być zupełnie niepołączalne z danymi określającymi konkretną osobę, o tyle z punktu widzenia prawnego jest to ingerencja w ustawę o ochronie danych osobowych. Przyjęte rozwiązanie sugeruje, że dane medyczne nie podlegają reżimowi z ustawy o ochronie danych osobowych (choć ta wyróżnia je wyraźnie jako dane wrażliwe w art. 27). Takie wyłączenie jest możliwe, ale tylko wtedy, gdy dane mają być chronione w bardziej restrykcyjny sposób, a w tym wypadku na pewno nie mamy do czynienia z taką sytuacją.

GIODO przedstawił swoje uwagi do projektu ustawy w ramach konsultacji społecznych, ale z informacji zamieszczonych na stronie internetowej Ministerstwa Zdrowia wynika, że te uwagi zostały zgłoszone po terminie i dlatego nie zostały uwzględnione przez ministerstwo. Czy może Pan wyjaśnić, dlaczego tak się stało?

GIODO zgłosił cały szereg swoich uwag już wcześniej, w trakcie konsultacji międzyresortowych. Na konferencję uzgodnieniową nie zostaliśmy jednak zaproszeni, co jest o tyle zrozumiałe, że GIODO jest podmiotem zewnętrznym. Mniej zrozumiałe jest to, że nasze uwagi – włączone do tzw. tabeli uzgodnieniowej - nie zostały wtedy w ogóle rozpatrzone. Później, kiedy projekt trafił do Komitetu Stałego Rady Ministrów, pojawiło się pytanie: „co z opinią GIODO?”. W związku z tym Minister Zdrowia wystąpił raz jeszcze o naszą opinię. Stało się to już po terminie zakończenia trwających w tym czasie konsultacji społecznych, więc nasza ponowna odpowiedź, siłą rzeczy, również została wysłana po tym terminie.

Czy ma pan poczucie, że uwagi GIODO zostały uwzględnione w pracach nad ustawą?

Nie, szczerze mówiąc, nie mam. Choć muszę przyznać, że urzędnicy włożyli sporo wysiłku w przygotowanie odpowiedzi na nasz pierwszy zestaw uwag i dzięki temu rozwiali część wątpliwości. Jednak grupa istotnych zastrzeżeń pozostała i na nie zwracaliśmy uwagę w drugim piśmie.

Czy w takim razie nie powinniśmy zrezygnować z proponowanej przez MZ ustawy?

Nie szedłbym aż tak daleko. Jestem przekonany, że potrzebujemy prawa, które umożliwi kontrolę na tym, w jaki sposób funkcjonują finanse w ochronie zdrowia. To jest właśnie główny cel projektu, o którym rozmawiamy, i to jest – w mojej opinii – cel jak najbardziej uzasadniony. Dlatego nie kwestionuję potrzeby uchwalenia tego typu ustawy. Natomiast projekt w obecnym kształcie nie zapewnia odpowiedniego poziomu ochrony prywatności pacjentów.

Czyli, pana zdaniem, można w treści dokonać takich zmian, by tę ochronę zapewnić?

Oczywiście.

Ale czy w obecnej sytuacji istnieje realna szansa na wprowadzenie tych zmian? Ani w Sejmie, ani w mediach nie słychać dyskusji na temat tej ustawy. Temat jest bardzo hermetyczny i nie wzbudza chyba specjalnych kontrowersji.

Nie mnie przewidywać, co wydarzy się w parlamencie. Jednak muszę przyznać, że niektóre opinie o tym projekcie rzeczywiście poważnie mnie niepokoją. W jednej z gazet przeczytałem, że ten projekt jest zupełnie niekontrowersyjny (w porównaniu do innych ustaw wchodzących w skład tzw. pakietu zdrowotnego) i prawdopodobnie zostanie szybko przyjęty. Nie mam nic przeciwko temu, ale w żadnym razie nie powinno się to odbywać kosztem ochrony prywatności pacjentów.

A jak pod względem ochrony prywatności ocenia pan inny projekt, nad którym również pracuje Sejm, dotyczący utworzenia nowego Systemu Informacji Oświatowej (SIO)?

Mieliśmy całą serię uwag do tego projektu, jednak muszę przyznać, że Ministerstwu Edukacji Narodowej udało się rozwiać wiele zgłaszanych przez nas wątpliwości. Jedna poważna kwestia pozostała nierozwiązana: chodzi o zapewnienie realnych gwarancji, że dane, które mają służyć celom statystycznym będą odizolowane od danych osobowych nauczycieli i uczniów.

Ale czy możemy uznać, że rozwiązanie proponowane przez MEN, czyli tworzenie ogromnej bazy danych, zawierającej szeroki zakres informacji o uczniach i nauczycielach, jest rzeczywiście celowe i adekwatne?

SIO jest w dużej mierze nastawiony na rozliczanie środków finansowych przeznaczonych na oświatę i to jest – w mojej ocenie – uzasadniony cel. Do jego realizacji niezbędna jest identyfikacja osoby na etapie wejścia danych do systemu. Musimy wiedzieć, czy dany uczeń występuje w systemie raz, czy jest w nim uwzględniony dwanaście razy i czy dany nauczyciel występuje raz, czy jest ujęty pięciokrotnie ze względu na to, że pracuje jednocześnie w kilku miejscach.

Ale czy do tego konieczne jest zbieranie i przechowywanie w jednym systemie kilkudziesięciu kategorii danych o poszczególnych uczniach, np. wynikach egzaminów i innych „osiągnięciach” edukacyjnych, wypadkach, korzystaniu z pomocy materialnej i psychologiczno-pedagogicznej oraz wielu innych? Czy taki system nie będzie zbyt głęboko ingerować w ich prywatność?

Nie musi tak być, ale tylko pod warunkiem, że te dane wprowadzone do systemu zostaną zanonimizowane przed dalszym przetwarzaniem. Z pewnością byłoby czymś bardzo złym, gdyby w systemie pozostawały dane, które można by połączyć z konkretnymi uczniami. Kilka lat temu w Szwecji wyszło na jaw, że profile psychologiczne dzieci są przechowywane w jednym systemie. Możemy uznać, że przygotowanie takiego profilu dla kolejnej osoby mającej zajmować się danym dzieckiem jest usprawiedliwione, jednak zestawienie tych wszystkich profili psychologicznych z całego okresu kształcenia jest już bardzo daleko idącą ingerencją w prywatność. Dlatego właśnie konieczna jest anonimizacja. Choć i tu pojawia się poważny problem: nawet zanonimizowane dane zestawione z całego okresu kształcenia mogą stać się de facto danymi osobowymi dlatego, że pojedyncza osoba ma pewien konkretny profil nauczania, który będzie można z nią powiązać. Zwłaszcza, że z czasem profil ten może być wzbogacany o nowe elementy.

Sądzi pan, że system będzie rozbudowywany o kolejne informacje? Pojawiają na przykład pomysły, by do SIO włączyć elektroniczne dzienniki ocen…

Zbieranie w jednym miejscu informacji o ocenach wszystkich uczniów nie wydaje mi się celowe, ale niewykluczone, że rozwój możliwości technologicznych poprowadzi nas właśnie w tym kierunku. Warto w tym kontekście wspomnieć o planach – jeszcze mało znanych – Ministerstwa Nauki i Szkolnictwa Wyższego, które zakładają stworzenie systemu wzorowanego na SIO, a dotyczącego szkolnictwa wyższego i nauki (studentów, naukowców i pracowników uczelni). Łączenie danych pozwoli na sprawne śledzenie ścieżek kariery uczniów, co – z punktu widzenia systemu oświaty – da bardzo cenne informacje, jednak z punktu widzenia ochrony prywatności może generować nowe, poważne zagrożenia.

Pod koniec zeszłego roku parlament przyjął nowelizację ustawy o ochronie danych osobowych. W marcu tego roku wchodzi ona w życie. Ustawa ta wychodzi naprzeciw pewnym oczekiwaniom, ale ogólnie rzecz biorąc zmiany mają charakter dość kosmetyczny i – wobec nowych wyzwań związanych chociażby z rozwojem technologii – trudno uznać je za satysfakcjonujące.

Z pewnością, ale proszę zwrócić uwagę, że przyjęty projekt został złożony przez Prezydenta RP w grudniu 2007 roku. Oddaje on więc problemy, o których myślano wtedy. Te kwestie, które zaczęto rozważać później, nie są w ogóle ujęte w tym projekcie. Z pewnością jednak w nadchodzącym czasie czekają nas dalej idące zmiany.

Oficjalnie ogłosił pan rozpoczęcie dyskusji nad nową ustawą o ochronie danych osobowych, tymczasem nową strategię ochrony danych ogłosiła również Komisja Europejska. Rozpoczęto prace nad nową dyrektywą, która też będzie wymagała implementacji do polskiego systemu prawa.

Zgadza się. Oczywiście uczestniczymy w pracach nad dyrektywą, jednak nie możemy na nią czekać. Mimo determinacji pań Viviene Reding i Neelie Kroes (Komisarz ds. Sprawiedliwości i Komisarz ds. Konkurencji - przyp. MSz&DG) przyjęcie dyrektywy musi zająć dwa-trzy lata, kolejne dwa są potrzebne na jej implementację do polskiego prawa. Nie mamy tyle czasu. Musimy działać już teraz, jeśli nie chcemy w 2016 roku być tam, gdzie jesteśmy na początku 2011. Dlatego jestem przekonany, że warto dokonać zmian w miarę szybko – myślę o 2012 roku – a potem ewentualnie coś dodać przy okazji implementacji dyrektywy.

Obowiązująca ustawa o ochronie danych osobowych przewiduje daleko idące wyłączenia kompetencji GIODO w zakresie kontroli przetwarzania danych osobowych przez służby specjalne. Z punktu widzenia ochrony praw obywateli taki stan rzeczy może budzić zastrzeżenia. Czy widzi pan potrzebę i szansę, by to zmienić?

Polska nie jest jedynym krajem, który zdecydował się na takie wyłączenie (podobne wyłączenia istnieją choćby w Holandii), ale trzeba przyznać, że w porównaniu z innymi poszliśmy tu bardzo daleko. Jestem przekonany, że ten temat wróci w trakcie dyskusji nad zmianą ustawy i rzeczywiście warto zastanowić się nad przyjęciem takiego rozwiązania. Trzeba jednak zdawać sobie sprawę z tego, jakie skutki finansowe i organizacyjne będzie to ze sobą niosło. Dla GIODO oznacza to konieczność stworzenia odrębnej jednostki organizacyjnej, składającej się z pracowników, którzy mają dostęp do informacji niejawnych i w sposób odizolowany od reszty biura będą w stanie przeprowadzać kontrole w służbach specjalnych.

Wróćmy jeszcze do komunikatu Komisji Europejskiej dotyczącego nowej strategii ochrony danych osobowych w Unii Europejskiej. Wśród postulatów przedstawianych przez Komisję pojawia się idea wprowadzenia „prawa do bycia zapomnianym” np. w serwisach społecznościowych. Jak pan ocenia ten pomysł?

To bardzo słuszna idea i jestem zdecydowanym jej zwolennikiem. Nie wiem natomiast, na ile jest to idea wykonalna: niewątpliwie spotkamy się z problemem egzekwowania tego prawa i pociągnięcia do odpowiedzialności osób, które dopuszczą się naruszeń. Bo jeżeli ja zamieszczę dzisiaj zdjęcia w Internecie, a w przyszłym tygodniu postanowię, że jednak chciałbym z sieci zniknąć, to moje zdjęcia mogły być w tym czasie skopiowane przez inną osobę i umieszczone w innym miejscu. Jak mogę wymagać od tej osoby, żeby ona je usunęła? Co więcej, jak mogę wymagać od osoby, która zapisała je na twardym dysku swojego komputera, a ujawniła je dopiero trzy lata po tym, kiedy ja postanowiłem być zapomnianym? Czy ja mam roszczenie w stosunku do tej osoby? Pojawia się tu mnóstwo pytań, na które musimy wciąż szukać odpowiedzi.

Co pan w takim razie odpowie na zarzut, że nie ma sensu wprowadzać prawa, które nie da się wyegzekwować?

Odpowiem, że jest wiele norm prawnych, które z założenie nie są możliwe w stu procentach do zrealizowania, od kodeksu drogowego poczynając, na przepisach celnych kończąc. Nie oznacza to jednak, że powinniśmy z nich rezygnować. Sygnalizuję jedynie możliwe problemy, o których należy pomyśleć już na etapie tworzenia „prawa do zapomnienia”.

Rozmawiały: Małgorzata Szumańska i Dorota Głowacka