Zależało nam na przygotowaniu poradnika kompleksowego, przystępnego i przejrzystego
Z Jackiem Młotkiewiczem, dyrektorem Departamentu Kontroli i Naruszeń oraz z zastępcą dyrektora, Katarzyną Hildebrandt, rozmawiał Karol Witowski, Rzecznik Prasowy UODO.
28 marca 2025 r. odbyło się webinarium na temat zaktualizowanego poradnika UODO dotyczącego naruszeń ochrony danych osobowych. Webinarium wysłuchało 1500 osób, kilkaset pytań zostało zadanych na czacie. W marcowym numerze „Biuletynu UODO” pojawił się również materiał DKN odnoszący się do zagadnień, które zostały podjęte w przestrzeni publicznej. Oczekiwania wobec Urzędu osób zainteresowanych kontynuacją tematów poruszonych w poradniku są ogromne.
Jacek Młotkiewicz: Temat naruszeń ochrony danych osobowych jest na tyle szeroki, że – jak widać – nie sposób go tak łatwo wyczerpać, nawet poświęcając mu 100-stronicowy poradnik i ponad trzygodzinne webinarium. Ta sytuacja jasno pokazuje, że zarówno teoria, jak i praktyka stosowania przepisów RODO w tym zakresie wciąż rodzi dylematy i sprawia administratorom realne trudności.
Między innymi dlatego zależało nam na przygotowaniu poradnika, który obejmie te zagadnienia
w sposób kompleksowy, a zarazem przystępny i przejrzysty. Nasza aktywność wokół kwestii zawartych w poradniku to dowód na to, że staramy się wychodzić naprzeciw tym ogromnym oczekiwaniom, stawiając jednocześnie na otwartą komunikację i dialog.
W mediach pojawiło się wiele komentarzy dot. poradnika. Czy są tam informacje, które wymagają sprostowania, nadinterpretacje, które mogą być szkodliwe?
Katarzyna Hildebrandt: RODO nie jest aktem zero-jedynkowym. Mimo że UODO od początku prezentuje w miarę jednoznaczne stanowisko w sprawie stosowania przepisów dotyczących naruszeń ochrony danych osobowych, na przestrzeni lat narosło wokół nich wiele alternatywnych
interpretacji, a nawet przeinaczeń. Poradnik odegrał tu już ważną rolę w kierunku wyjaśnienia ewentualnych niejasności.
J.M.: Dzięki tak dużemu zainteresowaniu przekaz organu nadzorczego ostatecznie dotarł do bardzo szerokiego grona odbiorców. W niektórych środowiskach branżowych spotkał się jednak z niezrozumieniem, a może nawet z oporem, w którego przyczyny nie chciałbym w tej chwili wnikać. Choć uważnie analizujemy i wyciągamy wnioski z krytycznych uwag, niektóre wypowiedzi wykraczały poza granice konstruktywnej krytyki, zahaczając wręcz o dezinformację. Za potencjalnie szkodliwe z pewnością można uznać te komentarze, które – poprzez daleko idącą nadinterpretację – mogły wzbudzić w administratorach nieuzasadnione obawy, a nawet pewnego rodzaju panikę. Z największymi „mitami” na temat poradnika zmierzyliśmy się podczas ostatniego webinarium, do obejrzenia którego wszystkich serdecznie zapraszam.
Jak przebiegała praca nad poradnikiem? Ile trwała redakcja i jak bardzo różni się wersja zaktualizowana od poprzedniej?
J.M.: Wstępne prace rozpoczęły się już na przełomie lipca i sierpnia ubiegłego roku, zaraz po zakończeniu otwartych konsultacji społecznych. Przygotowaniem poradnika zajął się zespół pracowników DKN, którego prace koordynował Bartłomiej Kowalski – odpowiedzialny za opracowanie finalnej wersji tekstu.
Poszczególne fragmenty były na bieżąco konsultowane z członkami Społecznego Zespołu Ekspertów przy Prezesie UODO. Powstawaniu poradnika towarzyszyły wielogodzinne, bardzo interesujące i merytoryczne dyskusje, podczas których mieliśmy okazję zderzyć różnorodne punkty widzenia. Z końcem roku materiał był w zasadzie gotowy. Oczywiście wymagał pewnego dopracowania,
w związku z czym oficjalna publikacja miała miejsce 20 lutego. Biorąc pod uwagę ostateczny rozmiar publikacji, tempo było naprawdę przyzwoite.
Choć zdecydowaliśmy się sformułować tekst poradnika na nowo, jego podstawowe założenia pozostały zasadniczo niezmienne. Dokument z 2019 r. stanowił dla nas ważny punkt wyjścia, jednak chcieliśmy nieco rozszerzyć jego formułę i dostosować treść do zmieniających się okoliczności – takich jak rozwój technologii czy nowe wytyczne EROD. Istotny był również aspekt językowy: zależało nam na uproszczeniu przekazu oraz na przedstawieniu omawianych zagadnień w sposób zbliżony do komunikacji innych europejskich organów nadzorczych. Przyznam, że liczba głosów o „zmianie” czy wręcz „zaostrzeniu podejścia Prezesa UODO” była dla nas zaskoczeniem. Kwestie, które finalnie wzbudziły największe kontrowersje, były bowiem podnoszone przez organ nadzorczy od wielu lat – także w materiale z 2019 r.
Podczas webinarium anonim napisał: „Jednym z wniosków po webinarium jest chyba konieczność poprawy polityk ochrony danych osobowych oraz dokumentów do analizy ryzyka celem przeprowadzenia nowej analizy ryzyka dla czynności przetwarzania w organizacji. A przynajmniej uaktualnienia ww. dokumentów”. Co Państwo o tym myślą?
J.M.: Jako dyrektor DKN muszę przede wszystkim wyraźnie podkreślić, że systematyczny przegląd i doskonalenie przyjętych rozwiązań w celu ochrony danych oraz regularna ocena ryzyka to podstawowe obowiązki związane z przetwarzaniem danych osobowych. Jeżeli po webinarium ktoś dostrzegł potrzebę weryfikacji metod stosowania RODO, oznacza to, że nasze działania przynoszą pozytywne efekty, a świadomość administratorów rośnie. Przypominam jednak, że tego rodzaju czynności powinny być realizowane cyklicznie – niezależnie od aktywności UODO w tym zakresie.
Przejdźmy do tematu kontroli sektorowych. Jak mogą Państwo w tym kontekście podsumować 2024 rok? Przypomnijmy: kontrolom podlegali przetwarzający dane przy użyciu internetowych (webowych) aplikacji, organy przetwarzające dane osobowe w systemach SIS i VIS oraz prawidłowości spełnienia obowiązku informacyjnego przez podmioty prywatne.
K.H.: Co do zasady podmioty, które przetwarzają dane przy użyciu aplikacji, stosowały niezbędne zabezpieczenia konieczne do zapewnienia dokonywania operacji na danych w sposób pozwalający zapobiec niepożądanym incydentom. Trzeba jednak mieć na względzie specyfikę takiej działalności i zazwyczaj profesjonalne możliwości i podejście takich podmiotów do tworzonych aplikacji.
Jeśli chodzi o kontrole obejmujące swoim zakresem sposób realizacji obowiązku informacyjnego, organ przyjrzał się klauzulom stosowanym przez biura podróży, hotele, biura pośrednictwa pracy, biura pośrednictwa nieruchomości, placówki medyczne. Trzeba przyznać, że w większości przypadków był on realizowany w sposób prawidłowy, jednakże poprawie powinny ulec drobne elementy,
jak np. przejrzystość, zrozumiałość. Jak co roku kontrolowane były organy publiczne przetwarzające dane w SIS oraz VIS, w tym polskie konsulaty działające za granicą. Każda kontrola przynosi kolejne spostrzeżenia co do funkcjonowania tych systemów zarówno w kontekście przepisów unijnych, które mają do nich zastosowanie, jak i praktycznych aspektów ich wykorzystania.
Z kolei w tym roku w dużej mierze koncentrujecie się Państwo na bezpieczeństwie danych medycznych i przetwarzaniu danych dzieci. To jedne z głównych obszarów, na których skupiła się uwaga kontrolerów UODO w 2025 roku. Co możecie Pastwo powiedzieć o tegorocznych kontrolach?
K.H.: Jeśli chodzi o dane dzieci, skupiliśmy się na wizerunku pozyskiwanym i publikowanym w internecie przez szkoły, do których uczęszczają uczniowie. Podstawę przetwarzania takich danych stanowi zgoda rodzica bądź opiekuna prawnego. Dlatego też kontrolujący dokładnie sprawdzali sposób wyrażenia takiej zgody. W skontrolowanych placówkach wymagana zgoda na wykorzystanie wizerunku była pozyskiwana. Zgromadzony w toku kontroli materiał dowodowy jest obecnie analizowany w podniesieniu do poszczególnych aspektów dotyczących prawidłowości tej zgody.
W bieżącym miesiącu rozpoczynamy kontrole w placówkach medycznych, podczas których będziemy się skupiać głównie na sposobie przyznawania dostępu do danych osobowych (procedur w zakresie przyznawanych uprawnień), sposobie tworzenia kopii zapasowych i innych zagadnieniach dotyczących zapewnienia bezpieczeństwa danych pacjentów poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.
Dużą część działań departamentu stanowią kontrole, których przedmiotem są zagadnienia o charakterze międzynarodowym. Na czym one polegają?
K.H.: Rzeczywiście, nasze kontrole dotyczą również takich kwestii. Obowiązek dokonywania kontroli w tym zakresie wynika z przepisów aktów prawa europejskiego. Wskazują one na konieczność sprawdzania sposobu realizacji wymogów, które powinny spełniać systemy informatyczne, służące do przetwarzania danych wprowadzanych przez służby i organy administracji poszczególnych krajów UE (m.in. w celu zapewnienia wysokiego poziomu bezpieczeństwa strefy Schengen, wspierania realizacji wspólnej polityki wizowej UE), do których należy przede wszystkim System Informacyjny Schengen (SIS) oraz Wizowy System Informacyjny (VIS). Kontrolom poddawana jest Policja, Straż Graniczna, placówki dyplomatyczne i inne organy korzystające z systemów służących do wymiany danych między europejskimi państwami.
Czy współpracujecie z innymi organami?
K.H.: Tak, w ramach mechanizmu skoordynowanego nadzoru współpracujemy z Europejskim Inspektorem Ochrony Danych (EIOD) oraz innymi krajowymi organami. Przykładem może być nasz udział we wspólnej kontroli dotyczącej wpisów w SIS dokonywanych na potrzeby kontroli niejawnych. Wnioski z tej kontroli posłużyły do opracowania zaleceń w zakresie jakości i przechowywania danych.
Jeden z pracowników brał udział w kontroli Europolu.
K.H.: Zgadza się. Osoba pracująca w naszym departamencie uczestniczyła w kontroli prowadzonej przez EIOD w siedzibie Europolu. Taka współpraca umożliwia lepsze zrozumienie wyzwań w zakresie ochrony danych osobowych występujących na styku naszych krajowych wyzwań oraz tych na poziomie unijnym.
A co z Ewaluacjami Schengen?
K.H.: To kolejny ważny obszar naszej działalności. Eksperci DKN są regularnie powoływani do udziału w ewaluacjach, co pozwala im również na doskonalenie swoich kompetencji. Udział w misjach ewaluacyjnych przyczynia się do skuteczniejszego nadzoru nad przestrzeganiem regulacji w zakresie ochrony danych w strefie Schengen. Co istotne, ewaluacje pozwalają w krótkim czasie zidentyfikować nieprawidłowości i wspólnie wypracować środki zaradcze, które wzmacniają zaufanie między państwami członkowskimi i zapewniają spójne stosowanie dorobku Schengen.
Dziękuję za rozmowę.
