Bycie bliżej obywatela nie może być pustym sloganem

Z Konradem Komornickim, Zastępcą Prezesa UODO rozmawiał Karol Witowski, Zastępca Rzecznika Prasowego UODO

Pomimo, że był Pan kontrkandydatem Mirosława Wróblewskiego na stanowisko PUODO zdają się Panowie mieć ze sobą wiele wspólnego, jeśli chodzi o wizję działania Urzędu. Zbliżony stosunek do dyrektywy policyjnej, podkreślenie prymatu człowieka i przestrzegania Konstytucji, sprzeciw wobec bezrefleksyjnego stosowania RODO, wprowadzenie prostego języka w komunikacji… Jakie jeszcze wspólne poglądy na funkcjonowanie UODO łączą Pana z obecnym prezesem, a co jest przedmiotem Państwa dyskusji, jeśli może Pan zdradzić?

Przypomnę, że nie pierwszy raz w historii organu właściwego do spraw ochrony danych osobowych wcześniejsi kontrkandydaci później ze sobą współpracowali. W 2006 roku, Śp. Pan Michał Serzycki, późniejszy GIODO konkurował z Panem Andrzejem Lewińskim, który później został jego zastępcą. Z Panem Prezesem Wróblewskim łączy nas wiele, chociaż mamy odmienne doświadczenia zawodowe i wykształcenie.

Co do dyrektywy policyjnej nigdy nie ukrywałem, że podzielam tutaj pogląd wyrażony przez Rzecznika Praw Obywatelskich. Krótko wspomnę tu o art. 17 dyrektywy, gdzie ustawa daje wprawdzie możliwość złożenia skargi do PUODO, ale ma ona przysługiwać wtedy, kiedy dane osobowe są przetwarzane niezgodnie z prawem. Skąd jednak mamy wiedzieć, że są niewłaściwie przetwarzane?

Poza tym jestem zwolennikiem stworzenia organu nadzorującego służby specjalne. Służby mogą, a raczej mają obowiązek inwigilować przestępców, terrorystów itp., natomiast nie mają prawa robić tego nadmiarowo i bez jakichkolwiek obwarowań prawnych. Instytucje nadzorujące służby pod kątem przetwarzania danych osobowych funkcjonują w innych państwach, jak Niemcy czy Francja.

Prawo do prywatności mamy zapisane w Konstytucji, ale za rzadko o nim rozmawiamy. Bardzo podoba mi się włączenie UODO w akcję edukacyjną Tour de Konstytucja – spotkania organizowane w całym kraju szerzące wiedzę o prawach i wolnościach konstytucyjnych to dobry krok, by upowszechniać w społeczeństwie ideę poszanowania dla praw obywatelskich, w tym ochrony danych osobowych.

Podzielam zdanie Prezesa, że RODO ma nam pomagać, a nie przeszkadzać. Prezes Wróblewski podąża mocno w tę stronę od pierwszego dnia przejęcia sterów w UODO. Jest w tym konsekwentny, co bardzo sobie cenię. To „proste RODO” łączy się ze sposobem w jaki się komunikujemy. Bycie bliżej obywatela nie może być pustym sloganem. Mówmy do ludzi tak, by nas zrozumieli. Muszą nas rozumieć, żeby wiedzieli jakie mają prawa i jak mają o nie walczyć. Taka specjalistyczna komunikacja, czasami rozbudowana, choć pozornie precyzyjna nie jest zrozumiała dla większości ludzi. Trochę to porównam
z tzw. umowami frankowymi. Oczywiście dotyczy to innego obszaru, ale w coś tym jest. Dlatego bardzo mi zależy na tym, żeby nasze komunikaty były zrozumiałe i proste, tak aby skutecznie przekazywać najważniejsze informacje. Czy coś nas dzieli z Prezesem Wróblewskim? Dyskutujemy ze sobą cały czas. Zarówno z Prezesem Wróblewskim, jak i z prof. Grzelak szukamy rozwiązań. Docieramy się ze sobą, wsłuchując się nie tylko w swoje poglądy, ale również głosy z zewnątrz – chociażby Konfederacji Lewiatan, Stowarzyszenia Inspektorów Ochrony Danych Osobowych czy Krajowej Rady Radców Prawnych.

Prezes Wróblewski kilkukrotnie mówił, że UODO powinien być bardziej Urzędem Ochrony Danych niż Urzędem Ochrony Danych Osobowych. Jak Pan się zapatruje na takie spojrzenie i jakie jest Pana zdanie na ten temat?

Precyzując UODO powinno być Urzędem Ochrony Danych ze szczególnym uwzględnieniem ochrony danych osobowych. Rzeczą oczywistą jest to, że coraz więcej danych osobowych przenika się z innymi danymi w tzw. świecie cyfrowym. Dlatego nie sposób nie zgodzić się z takim spojrzeniem, które ma sprostać wyzwaniom. Prace trwają szczególnie co do harmonizacji przepisów w kontekście implementacji unijnych rozwiązań.

Podkreśla Pan, że społeczeństwo nie może być elitarne, a język którym posługuje się Urząd powinien być zrozumiały, prosty i inkluzywny. Popularyzacja tzw. prostego języka, odpowiadającego zasadom dostępności i komunikacji publicznej w Urzędzie,
w którym dotychczas prym wiódł trudny, precyzyjny język prawniczy jest dużym wyzwaniem. Na jaki efekt tych zmian Pan liczy?

Urząd Ochrony Danych Osobowych ma wybitnych specjalistów, którzy niewątpliwie znają się doskonale na swojej pracy. Od strony merytorycznej oceniam ich bardzo wysoko. Czasem jednak ogrom wiedzy, kompetencje nie do podważenia i ciągłe przebywanie w otoczeniu osób o wykształceniu prawniczym może być pewną rutyną. Trudno, posługując się specjalistycznym językiem dotrzeć do osób, które z tym dyskursem nie mają styczności na co dzień. Przepisy RODO i stanowiska Urzędu powinny być przekazywane w taki sposób, by każdy obywatel mógł je zrozumieć. Posługując się językiem prostym
i zrozumiałym dla każdego, jesteśmy w stanie rzetelnie przekazać informacje. Nie chcę więcej sytuacji, w których społeczeństwo zastanawia się, co UODO miał na myśli publikując takie, a nie inne stanowisko. Wszyscy jesteśmy różni, z uwagi na status społeczny, wykształcenie, wiek, płeć itd.,
ale mamy takie samo prawo do uzyskania zrozumiałych informacji. Oczywiście temat jest bardziej skomplikowany, ponieważ dokumenty muszą precyzyjnie określać stan prawny, a tę precyzję
i jednoznaczność gwarantuje właśnie język prawniczy. Pogodzenie tych dwóch światów to wyzwanie, które już podjęliśmy i zamierzamy konsekwentnie realizować. Takie wnioski też płyną ze spotkań
ze środowiskami inspektorów ochrony danych osobowych.

Pana doświadczenie pod kątem systemów teleinformatycznych jest imponujące. Przez 25 lat nadzorował Pan piony teleinformatyczne poważnych instytucji. Jakie usprawnienia w tym zakresie chciałby Pan wprowadzić w UODO?

Rzeczywiście przez 25 lat w nadzorowałem szeroko pojęty system zarządzania bezpieczeństwem informacji, zarówno w największych państwowych podmiotach, jak i prywatnych z różnego rodzaju sektorów gospodarki. Bezspornie znacząca część tych zadań polegała na zapewnieniu ochrony  systemów teleinformatycznych, w których m.in. dane osobowe były przetwarzane na masową skalę. Jakie usprawnienia chciałbym wprowadzić? To pewne usprawnienia z wykorzystaniem technologii teleinformatycznych w komunikacji wewnętrznej, a przede wszystkim zewnętrznej. Nie zapeszając powiem, że już uruchomiliśmy projekty, które temu służą. Szczegóły niebawem. 

Podczas konferencji „Przyszłość ochrony danych osobowych w Polsce – w przededniu wyboru nowego Prezesa Urzędu Ochrony Danych Osobowych” w Sejmie zastanawiał się Pan, dlaczego nie ma kodeksu postępowania dla samorządu terytorialnego. Prace nad kodeksami trwają. Jakie są plany powstania takiego kodeksu?

Jak wiemy, samorządy terytorialne każdego szczebla od gminy po województwo i jego jednostki organizacyjne przetwarzają najwięcej naszych danych osobowych zarówno w formie tradycyjnej, jak i cyfrowej. Pracowałem na kierowniczych stanowiskach w warszawskim samorządzie i z doświadczenia wiem, że taki kodeks może być pomocnym narzędziem dla administratorów i podmiotów przetwarzających w jednostkach samorządu terytorialnego. Kodeks pokazałby nie tylko zgodności z RODO, ale także praktyczną ścieżkę w dążeniu do zachowania jak najwyższego poziomu w stosowaniu przepisów dotyczących ochrony danych osobowych. Unaoczniłby czytelną relację pomiędzy administratorami danych osobowych w kontaktach wewnątrz samorządu (np. prezydent miasta a szef podległej mu jednostki organizacyjnej). Już nie mówiąc o kwestiach bezpieczeństwa teleinformatycznego.

Mamy na to doskonały moment. Jesteśmy świeżo po wyborach samorządowych, gdzie kształtują się nowe władze i ich organizacje np.: Unia Metropolii Polskich, Związek Powiatów Polskich itp.

Jeszcze przed wakacjami będziemy chcieli usiąść do stołu i opracować model działania i współpracy na rzecz bezpieczeństwa ochrony danych osobowych w samorządzie terytorialnym. 

Wielokrotnie podkreślał Pan jak ważne jest stanowisko IOD w organizacji. Jak Urząd chce wzmocnić pozycję Inspektora Ochrony Danych?

Powiem krótko. Wystarczy prześledzić stronę www.uodo.gov.pl i zobaczyć ostatnią aktywność PUODO w tym zakresie. Spotykamy się ze wszystkimi organizacjami i stowarzyszeniami zrzeszającymi IOD-ów. Otwartość i współpraca. To nas cechuje. Co do wzmocnienia pozycji inspektora była o tym mowa m.in. 9 kwietnia br. na konferencji zorganizowanej przez UODO. Poświęcona ona była m.in. wzmocnieniu roli IOD poprzez podkreślenie jego niezależności. Przywołaliśmy sprawozdanie EROD podsumowujące działania i rekomendacje organów nadzorczych w ramach CEF DPO. Oczywiście kolejnym adresatem wzmocnienia roli IOD są administratorzy danych osobowych. Nie ukrywam, że i tu będziemy prowadzili lobbing na rzecz wzmocnienia roli IOD. M.in. wspomniana przeze mnie kwestia rozmów
z jednostkami samorządu terytorialnego i ich organizacjami ma temu służyć. Takim działaniem są też spotkania z samorządami gospodarczymi zrzeszającymi największych pracodawców w naszym kraju. A wiem, że zdarzają się sytuacje, gdzie w podmiocie przetwarzającym dane na masową skalę IOD znany jest przez Administratora jedynie z tzw. pieczątki i nie wie nawet jak ona/on wygląda. To jest niedopuszczalne.

Jak umożliwić obywatelowi skonsultowanie skargi, zanim trafi ona do UODO? Czy pomoc infolinii, która jest niezwykle zaangażowana w rozwiązywanie problemów dzwoniących, wystarczy?

Nasza Infolinia to zespół dobrze przeszkolonych specjalistów, którzy mają bardzo dużą wiedzę prawniczą z zakresu ochrony danych osobowych. Każdego dnia, od poniedziałku do piątku, w godzinach 10-14 udzielają porad, konsultacji z zakresu danych osobowych. Mamy pewne plany związane ze zmianą godzin pracy Infolinii, zależy nam na uelastycznieniu modelu funkcjonowania tej formy kontaktu ze społeczeństwem, aby Infolinia była bardziej dostępna. Jeśli chodzi o przyjmowanie interesantów to nie posiadamy oddziałów terenowych, nasze biuro mieści się w Warszawie. Chciałbym, żeby obywatel miał możliwość umówienia się na kontakt telefoniczny z ekspertem z Urzędu w celu omówienia swojej sprawy. Teoretycznie jest to układ idealny dla obydwu stron, bo pozwala na szybką, efektywną komunikację klienta ze specjalistą z Urzędu, a czasem i ekspresowe rozwiązanie problemu osoby, która zwraca się do nas o pomoc. W praktyce jednak mamy ograniczony budżet, a co za tym idzie limit w postaci personelu, miejsca i czasu, którego wciąż nam brakuje. Do tego dochodzi problem z uwierzytelnianiem rozmówców. Sukcesywnie staramy się przezwyciężyć wszystkie te trudności.

Gościł Pan ostatnio na konferencji podsumowującej „Projekt innowacyjno-wdrożeniowy w zakresie oceny funkcjonalnej” zorganizowanej przez Ministerstwo Edukacji Narodowej w Katowicach, gdzie stwierdził Pan, że tematyka ta jest Panu bliska również z osobistych względów – jest Pan tatą 5,5 latka. Czy to sprawia, że jest Pan bardziej zaangażowany w sprawy dot. ochrony danych osobowych dzieci? Bezpieczeństwo danych osób niepełnoletnich to też przestrzeń, w której dostrzegamy szczególną aktywność Prezesa. 

Jest to przedmiot zainteresowania Prezesa, który patrzy na najmłodszych z troską i wie, że w dzieci trzeba inwestować, musimy je wspierać, szczególnie, że nierozwiązane problemy wrócą do nas ze zdwojoną siłą. Jeśli chodzi o mnie, to jak każdy człowiek występuję w wielu rolach. Aktywność zawodowa jest dla mnie niezwykle ważna, ale jednocześnie również rola taty to nieodłączny fundament, na którym stoję i nic nie jest w stanie tego zmienić. Z tego względu dodatkowo zainteresował mnie projekt innowacyjno-wdrożeniowy przedstawiony przez MEN i to, że mogę przyjrzeć się mu z dwóch stron – specjalisty bezpieczeństwa danych oraz rodzica. Utworzenie platformy, bazy, w której dla rodzica i osoby, która ma udzielić pomoc dziecku, dostępne są informacje z różnych organizacji: szpitali, przychodni, poradni psychologiczno-pedagogicznej itp. to wspaniały pomysł i rozwiązanie systemowe, którego bardzo nam brakuje. To wsparcie dla rodzin, szybka i efektywna pomoc specjalistów, ograniczenie kosztów (chociażby przez to, że specjaliści nie dyblują badań, bo mają dostęp to wyników badań już zrealizowanych). Korzyści mógłbym długo wymieniać.

I nie zapominajmy, że jesteśmy systemem naczyń połączonych. Problemy dziecka są nie tylko problemem jego i rodziny, w której dorasta, ale także całych społeczności. Na konferencji mowa była chociażby o samobójstwach dzieci, których można uniknąć, gdy dostęp do informacji jest szybki, a pomoc jest udzielona natychmiast. Takie wydarzenie jak samobójstwo zostawia ślad nie tylko wśród najbliższych ofiary, ale w znacząco szerszym gronie. O wyzwaniach i dobrych praktykach w zakresie ochrony prywatności dzieci i młodzieży będziemy też rozmawiać 26 kwietnia 2024 r. podczas konferencji zorganizowanej przez Prezesa UODO we współpracy z Rzeczniczką Praw Dziecka. Myślę, że temat ten musi nieustająco wybrzmiewać w naszej komunikacji. Mówmy głośno o najważniejszych problemach oraz dobrych praktykach w zakresie ochrony prywatności i danych osobowych dzieci i młodzieży. Podkreślajmy kwestie dotyczące podmiotowości dzieci i potrzeby respektowania ich zdania. Musimy być szczególnie uważni na ich prawa w dobie dynamicznego rozwoju technologicznego i wyzwań, jakie rodzi dla ochrony danych osobowych powszechne wykorzystanie sztucznej inteligencji. Bądźmy też otwarci na wszelkie pomysły i rozwiązania innych państw członkowskich UE do skutecznej ochrony danych osobowych najmłodszych.

Przypomnę, że to wszystko wpisuje się w art. 57 RODO, który mówi o zadaniach organu nadzorczego tj. m.in. o upowszechnianiu w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz o rozumieniu tych zjawisk. Szczególną uwagę poświęca właśnie działaniom skierowanym do dzieci.

Podczas konferencji w Katowicach mówił Pan o stworzeniu teleinformatycznego systemu centralnego, międzysektorowej bazy danych pod kątem pozyskiwania danych. Proszę powiedzieć, na co należy zwrócić szczególną uwagę podczas budowania takiej bazy.

Zadaniem Urzędu na pewno będzie wskazanie ryzyk i potencjalnych niebezpieczeństw zw. z przetwarzaniem danych przez ten system. Zadeklarowałem pełne wsparcie UODO w przeprowadzeniu tego procesu. Liczę na współpracę innych resortów i, po konstruktywnych konsultacjach, wypracowaniu wspólnego modelu. Pojawia się tu konieczność udzielenia odpowiedzi na kilka kluczowych pytań, między innymi o to kto jest administratorem danych osobowych, czyli podmiotem, który będzie ustalał cele i szczegóły przetwarzania danych. Czy bezpośrednio będzie przetwarzał te dane? Jaka jest rola koordynatora instytucjonalnego? Jaka będzie ocena skutków dla przetwarzania tych danych? Ministerstwa muszą wypracować model ogólnokrajowy, jednak pozostaje kwestia tego jak będzie to wyglądało w terenie. Idealny wydaje się model centralny, gdyż system rozproszony powoduje kłopoty w sytuacji zmiany miejsca zamieszkania. W takiej sytuacji dane za nim nie idą. Co więcej, system centralny jest bezpieczniejszy od wielu systemów lokalnych, z uwagi na jego pełną rozliczalność, legalność. Przypomnę jeszcze, że mówimy o przetwarzaniu danych wrażliwych, danych szczególnej kategorii. Pamiętajmy też, że do 16 roku życia przetwarzanie danych dzieci odbywa się za zgodą rodzica.

W grę wchodzi także kwestia wyboru wykonawcy systemu. Jeżeli postępowanie prowadzone byłoby na zasadzie, że każdy powiat jest zamawiającym, to w takim wypadku mielibyśmy 314 postępowań? 

Musimy uwzględnić również privacy by design i zastanowić się, kto będzie miał dostęp do tego systemu i w jakim zakresie. Nie możemy dopuścić do ich nadmiarowego przetwarzania. Przyjrzenia wymaga kwestia wymagań funkcjonalnych i niefunkcjonalnych tego systemu. Zagadnień jest wiele, ale przy woli i zaangażowaniu wszystkich stron, wierzę, że możliwe jest stworzenie systemu teleinformatycznego, w którym wszystkie wspomniane przeze mnie elementy zostaną uwzględnione na każdym etapie jego projektowania.

Przypomnę, że to wszystko wpisuje się w art. 57 RODO, który mówi o zadaniach organu nadzorczego tj. m.in. o  upowszechnianiu w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz o rozumieniu tych zjawisk. Szczególną uwagę poświęca właśnie działaniom skierowanym do dzieci.

Bardzo dziękuję za rozmowę.