Wywiad z Andrzejem Lewińskim – pełniącym obowiązki Generalnego Inspektora Ochrony Danych Osobowych

Artykuł
09.02.2015
7 min. czytania
Tekst
Image

Niestety, jeśli chodzi o niezgodne z prawem przetwarzanie danych osobowych, administratorzy danych często czują się bezkarni. Słyszałem o przypadkach, w których szefowie firm wzywali administratora bezpieczeństwa informacji, pytając, ile razy w danych sprawach GIODO zgłaszał do organów ścigania zawiadomienie o popełnieniu przestępstwa. Gdy słyszeli, że takich zgłoszeń jest niewiele, automatycznie ich poczucie odpowiedzialności malało, bo konsekwencje wydawały się odległe. Dlatego od kierujących firmami można w takich przypadkach usłyszeć: „Mnie to nie dotyczy”. Tyle tylko, że de facto dotyczy to każdego – mówi Andrzej Lewiński, pełniący obowiązki Generalnego Inspektora Ochrony Danych Osobowych.

Jędrzej Niklas: W 2013 r. Generalny Inspektor Ochrony Danych Osobowych otrzymał prawie 5 tys. pytań w sprawie interpretacji przepisów, ponad 1,8 tys. skarg od obywateli i wydał 1,3 tys. decyzji administracyjnych. To ogrom pracy, biorąc pod uwagę skromny budżet instytucji.

Andrzej Lewiński: Pełniąc przez krótki okres obowiązki Generalnego Inspektora Ochrony Danych Osobowych, ale przez 9 lat będąc zastępcą GIODO i obserwując wzrastającą liczbę spraw, którymi musimy się zajmować, dochodzę do wniosku, że bez pewnych zmian systemowych coraz trudniej będzie nam sprostać wszystkim wyzwaniom. Jednym z nich jest rozpatrywanie skarg i wydawanie decyzji administracyjnych. Każde nasze zaniedbanie czy niewywiązanie się z zawartych w kodeksie postępowania administracyjnego obowiązków, dotyczących np. terminów, skutkuje karami za przewlekłość lub bezczynność – i takie też płacimy. Drugą sprawą jest obowiązek rejestrowania zbiorów danych „zwykłych” i danych wrażliwych. Te pierwsze rejestrujemy szybko, z tymi drugimi mamy kłopoty. Po prostu nie jesteśmy w stanie wykonywać takiej pracy z obecną liczbą pracowników. Inna sprawa to pytania prawne, których w ostatnich latach otrzymujemy co roku po kilka tysięcy. Problemy te wymusiły niejako zmiany w przepisach prawa. Dzięki nim dużo więcej kompetencji zyskali administratorzy bezpieczeństwa informacji (ABI). To oni powinni pełnić funkcję pomocnika administratora danych i wspierać go we właściwym stosowaniu prawa, np. poprzez wydawanie opinii na temat zgodności danego rozwiązania z przepisami dotyczącymi ochrony danych osobowych. Jednak żeby ABI mogli dobrze wywiązać się ze swoich nowych zadań, nałożonych na nich przepisami znowelizowanej ustawy o ochronie danych osobowych, muszą być fachowcami w tej dziedzinie. Oczywiście, będziemy starać się pomóc w edukowaniu osób wykonujących tę funkcję – poprzez kursy, studia podyplomowe czy zajęcia na uniwersytetach. To jest wielka akcja edukacja, którą będziemy wspierać.

GIODO jest przede wszystkim organem administracyjnym wydającym decyzje. Obecnie jednak przepisy pozbawione są swoistego bata – czyli kar finansowych. Zdarza się, że podmioty, które decyzje mają wykonać, nie zawsze są jednak do tego skore.

Niestety, jeśli chodzi o niezgodne z prawem przetwarzanie danych osobowych, administratorzy danych często czują się bezkarni. Słyszałem o przypadkach, w których szefowie firm wzywali administratora bezpieczeństwa informacji, pytając, ile razy w danych sprawach GIODO zgłaszał do organów ścigania zawiadomienie o popełnieniu przestępstwa. Gdy słyszeli, że takich zgłoszeń jest niewiele, automatycznie ich poczucie odpowiedzialności malało, bo konsekwencje wydawały się odległe. Dlatego od kierujących firmami można w takich przypadkach usłyszeć: „Mnie to nie dotyczy”. Tyle tylko, że de facto dotyczy to każdego.

Dlatego też Unia Europejska proponuje rozwiązania mające przeciwdziałać takim zjawiskom. Jednym z nich jest uprawnienie organów ochrony danych osobowych do nakładania kar finansowych za naruszenie przepisów prawa. Innym – wzorowanym na dobrym niemieckim modelu – jest obowiązek powołania przez każdego administratora danych ze sfery publicznej oraz przez część firm – w zależności od ich wielkości oraz charakteru, zakresu i celu działań – inspektora ochrony danych. Projektowane unijne rozporządzenie nie przesądza, że ma to być prawnik albo informatyk, lecz wskazuje, że wyznaczanie osoby, która będzie pełnić tę funkcję, powinno odbywać się na podstawie kwalifikacji zawodowych oraz wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań. Innym ważnym elementem reformy jest koncepcja „privacy-by-design”, czyli „prywatność w fazie projektowania”. To bardzo ważne i potrzebne rozwiązanie, bo inspektorowi ochrony danych już w fazie projektowania nowych rozwiązań czy narzędzi umożliwi np. zakomunikowanie swojemu szefowi, że dane rozwiązanie grozi odpowiedzialnością karną. To powinno skłonić kierownictwo firm i instytucji, by niezgodnego z prawem rozwiązania nie wprowadzać.

Wracając jeszcze do liczb, GIODO opiniuje ponad 600 aktów prawnych rocznie. To ogromna liczba, która też systematycznie się zwiększa. Czy dostrzega Pan obszary, w których – na skutek działań GIODO – widać wyraźną poprawę jakości tworzonego prawa dotyczącego przetwarzania danych osobowych?

Minister Michał Boni podjął swego czasu bardzo ważną decyzję, dzięki której GIODO uczestniczy w pracach Komitetu Stałego ds. Cyfryzacji. Z jednej strony to dla nas dodatkowe obciążenie, z drugiej jednak każdy projektodawca wie, że na swojej drodze zetknie się z GIODO, który wskaże niezgodność projektowanych przepisów z zasadami ochrony danych osobowych. Gdy zgłaszamy zastrzeżenia, niestety wciąż słyszymy komentarze z różnych resortów, że „jak GIODO taki mądry, to niech sam napisze ustawę”. Tylko, że pisanie ustaw nie leży w kompetencjach GIODO. My tylko opiniujemy i oceniamy akty prawne pod kątem ich zgodności z przepisami o ochronie danych osobowych.

Ostatnio stoczyliśmy bardzo ciężki bój przy budowaniu „superzbioru” przez ministra sprawiedliwości. Dopiero w czasie obrad Komitetu Stałego Rady Ministrów zostaliśmy w pełni zrozumiani. Sprawa dotyczyła przetwarzania przez ministra sprawiedliwości danych sądowych, co było sprzeczne z wyrażoną w Konstytucji podstawową zasadą trójpodziału władzy. Niejednokrotnie można by uniknąć kierowania spraw do Trybunału Konstytucyjnego – jak ostatnio w przypadku rejestrów medycznych. Wystarczyłoby uwzględnienie uwag na wcześniejszym etapie prac legislacyjnych. Każdy ma obowiązek przestrzegać Konstytucji, która obowiązuje bezpośrednio. Nie powinno być tak, że wprowadzamy rozwiązanie, a potem o jego wykładnię pytamy Trybunał Konstytucyjny.

Statystyki pokazują, że liczba skarg kierowanych do GIODO lawinowo rośnie. Czy Pana zdaniem wynika to ze wzrostu świadomości obywateli, czy jednak z większej liczby problemów dotyczących ochrony danych osobowych we współczesnym świecie?

Wpływ mają oba czynniki. Z jednej strony upowszechnia się wykorzystywanie nowych technologii do przetwarzania danych osobowych, z drugiej zaś – zwiększa się świadomość społeczna, jeśli chodzi o ochronę danych. Ostatnia lawina skarg i pytań pochodzi od wielbicieli sportów zimowych i jest związana z powszechną praktyką pobierania dowodu osobistego jako zastawu za wypożyczany sprzęt sportowy. Analogiczna sytuacja pojawi się latem, tyle tylko, że łyżwy zamienimy na kajak czy rower. Z analizy przepisów szczególnych jasno wynika, że nie wolno żądać pozostawiania dowodu osobistego jako zastawu. To jest bardzo trudna sprawa, ale trzeba znaleźć rozwiązanie. W takich przypadkach należy np. spisać dane, które wystarczą do przygotowania pozwu do organów ścigania, w przypadku kradzieży wypożyczonego sprzętu. Firmy prowadzące taką działalność mogą narzekać, że to zbytni formalizm, ale przecież powinny zdawać sobie sprawę, że takie postępowanie jest niezgodne z prawem i rodzi zagrożenia, często bowiem dochodzi do zaginięć dowodów i kradzieży tożsamości. Z takim dowodem można zrobić wiele rzeczy – podpisać umowę czy wziąć kredyt na czyjeś konto. To oczywiście tylko jeden z bardzo wielu problemów, którymi zajmujemy się w Biurze GIODO.

Rozmawiał: Jędrzej Niklas

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.