Zawsze jestem otwarty, żeby podsunąć rozwiązanie, które uważam za najlepsze w danej sprawie

Z Robertem Miętkowskim, zatrudnionym na samodzielnym stanowisku Inspektora Ochrony Danych w UODO rozmawiał Karol Witowski, p.o. Rzecznika Prasowego UODO

Od 1 września br. zaczynamy od podstaw proces gromadzenia nowych adresów mailowych subskrybentów „Biuletynu UODO”. Skąd taka decyzja?

Jedną z zasad ogólnych przetwarzania danych osobowych jest zasada prawidłowości. Przepisy rozporządzenia 2016/679 wymagają, by dane osobowe były prawidłowe i w razie potrzeby uaktualniane. Baza danych subskrybentów „Biuletynu UODO” to kilka tysięcy adresów poczty elektronicznej. Wiele z nich zawiera imię, nazwisko, a domena wskazuje na nazwę organizacji. Musimy sprawdzić, czy wszystkie adresy mailowe, do których dociera biuletyn są aktualne. Nie chcemy przetwarzać nieaktualnych adresów e-mail, więc prosimy czytelników o ponowne zapisanie się do subskrypcji.

IOD w UODO zajmuje się sprawami dotyczącymi przetwarzania danych obywateli przez UODO, w tym sprawami dotyczącymi realizacji ich praw w zakresie dostępu do sprostowania, usuwania, ograniczenia przetwarzania czy sprzeciwu na przetwarzanie danych. Czego najczęściej dotyczą sprawy, które do Pana wpływają?

Większość spraw dotyczy przetwarzania danych osobowych w toku postępowań administracyjnych. Wielu obywatelom nie podobają się decyzje administracyjne i liczą, że jako IOD mam wpływ na ich treść. Oczywiście tak nie jest. Zdarzają się przypadki, w których klienci instytucji publicznych chcą przepisy Kodeksu postępowania administracyjnego obchodzić przepisami o ochronie danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych oraz jednocześnie administratorem. Do Prezesa UODO jako administratora wpływają również wnioski dotyczące realizacji praw osób, których dane dotyczą. Prezes UODO, jako organ właściwy w sprawie ochrony danych, działa na podstawie i w granicach przepisów prawa, tymczasem wiele osób kieruje do administratora informację o wycofaniu zgody na przetwarzanie ich danych osobowych oraz żądanie ich usunięcia po zakończonym postępowaniu administracyjnym.

Przetwarzanie danych osobowych, w toku prowadzonych przez Prezesa UODO postępowań, jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Dodatkowo po zakończeniu czynności w sprawie, wszelaka dokumentacja wytworzona w czasie
jej trwania musi zostać zarchiwizowana zgodnie z przepisami ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach oraz obowiązującym w Urzędzie Ochrony Danych Osobowych Jednolitym Rzeczowym Wykazem Akt. Dlatego też żądanie usunięcia danych osobowych nie może być zrealizowane.

Do Prezesa UODO jako administratora wpływają również wnioski na podstawie art. 16 rozporządzenia 2016/679, od stron postępowania administracyjnego, o sprostowanie danych osobowych, w toku trwających postępowań, zawartych w treści zgromadzonego w sprawie materiału dowodowego. Na postawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, Prezes UODO w zakresie prowadzonych postępowań może nakazać administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora
lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań oraz ma prawo uzyskać od administratora lub podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań.

Natomiast zgodnie z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
w postępowaniach w sprawie naruszeń przepisów o ochronie danych, prowadzonych przez Prezesa UODO, stosuje się ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego. Zgodnie z przepisami kpa organ prowadzący postępowanie zobowiązany jest do podejmowania wszelakich czynności niezbędnych do ustalenia stanu faktycznego sprawy zgodnego z rzeczywistością, w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, a także ocenić na podstawie całokształtu zebranego materiału dowodowego, czy dana okoliczność została udowodniona. Nie jest więc możliwe sprostowanie danych osobowych, które stanowią materiał dowodowy zawarty w aktach postępowania administracyjnego.

Zdarzają się również wnioski, skierowane do administratora na podstawie art. 15 ust. 3 rozporządzenia 2016/679, o dostarczenie kopii akt lub dokumentów zawartych w aktach postępowania administracyjnego.

Tymczasem prawa do otrzymania kopii danych osobowych na podstawie art. 15 ust. 3 rozporządzenia 2016/679 nie należy utożsamiać z uregulowanym w art. 73 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, prawem strony postępowania administracyjnego dotyczącym wglądu w akta sprawy i sporządzania z nich notatek, kopii lub odpisów, żądania uwierzytelnienia odpisów lub kopii akt sprawy lub wydania z akt sprawy uwierzytelnionych odpisów, o ile jest to uzasadnione ważnym interesem strony. Są to bowiem dwa różne prawa i służą różnym celom. Prawo dostępu do akt postępowania nie może być dochodzone na mocy rozporządzenia 2016/679,
w trybie realizacji prawa do otrzymania kopii danych osobowych.

Chciałbym też obalić mit zgody jako jedynej podstawy przetwarzania danych. Wciąż wielu obywateli powołuje się na przesłankę zgody, niezależnie od przedmiotu, jakiego dotyczy sprawa. Często muszę tłumaczyć, że przetwarzanie danych osobowych w celu realizacji kompetencji władczych Prezesa UODO nie wymaga zgody osoby, której dane dotyczą.

Jakie są najtrudniejsze sprawy, którymi zajmuje się IOD w krajowym organie nadzorczym do spraw ochrony danych osobowych?

Wbrew pozorom najtrudniejsze wcale nie są sprawy zgłaszane przez obywateli. Dla mnie największe wyzwanie stanowi docieranie się stanowisk w danej sprawie przez departamenty wewnątrz Urzędu. Sami potrafimy patrzeć z różnych punktów widzenia na daną kwestię. Inne problemy wychodzą na pierwszy plan, gdy analizuje je IOD, a inne, gdy przedstawiciel Departamentu Kontroli i Naruszeń czy Departamentu Orzecznictwa i Legislacji.

Dlatego poddajemy propozycje rozwiązań pod dyskusję, by razem wypracować takie, które wspólnie uznajemy za najbardziej adekwatne. Droga ku temu nie należy do najłatwiejszych, ale warto się docierać, bo wtedy powstają najlepsze rozwiązania. W rezultacie chcemy przedstawić takie, które są spójne z opiniami wydanymi przez poszczególne departamenty.

Pracownicy Infolinii UODO codziennie odbierają dziesiątki, a nawet setki telefonów od obywateli. Czy eksperci infolinii konsultują z Panem problemy, z jakimi borykają się nasi klienci, którzy często spodziewają się wydania jasnego stanowiska Urzędu w danej sprawie?

Zdarzają się takie konsultacje. Zawsze jestem otwarty, żeby podsunąć rozwiązanie, które uważam za najlepsze w danej sprawie. Szczególnie, że chodzi tu o konkretną osobę, której chcemy pomóc. Zagadnienia poruszane przez infolinię na pewno są dużym motorem do zmian, przyczyniają się do wydawania konkretnych stanowisk, jednak moja opinia, podobnie jak pomoc udzielona przez infolinię nie ma mocy wiążącej.

Osoby ze wszystkich departamentów są u mnie zawsze mile widziane. Lubię słuchać opinii innych
i dzielić się własnym zdaniem. Choć podkreślę, że na pytania z niektórych sektorów np. zdrowia, pewnie niewiele mam do powiedzenia, z innych – np. z sektora publicznego – dużo więcej.

RODO wymaga systematycznych działań zwiększających świadomość kadry samego Urzędu. Nową inicjatywą w tym zakresie ma być stworzenie wygaszacza ekranu ze slajdami – prostymi komunikatami, przypominającymi o tym jak pracownicy Urzędu powinni dbać o bezpieczeństwo danych.

Mam nadzieję, że już niedługo pracownicy UODO zobaczą na wygaszaczach ekranów swoich komputerów slajdy przypominające im o podstawowych zasadach bezpieczeństwa przetwarzania danych osobowych, podstawach cyberbezpieczeństwa oraz bezpieczeństwa fizycznego. Ma to na celu podniesienie świadomości pracowników, ponieważ przyczyną wielu incydentów bezpieczeństwa, mimo wdrożonych zabezpieczeń technicznych jest błąd ludzki.

Na razie powstało 25 slajdów, jest to baza otwarta, być może będzie ich więcej. Uznaję to za pewną dodatkową formę szkolenia kadry UODO. Przykładowe treści slajdów to: „Nie zapisuj haseł w przeglądarkach internetowych, nie zapisuj haseł na kartkach, nie używaj tych samych haseł w różnych systemach informatycznych oraz nie udostępniaj swojego loginu i hasła innym osobom.” Albo: „Przewozisz dokumenty papierowe między piętrami budynku, włóż je w teczkę”, „Odchodząc od komputera zablokuj urządzenie (klawisze „WIN” + „L” albo „ÿ” + „L” albo „CTRL” + „ALT” + „DEL” na klawiaturze komputera)”.

Te slajdy tworzą vademecum pracownika UODO. Oczywiście haseł możemy utworzyć bardzo wiele, a podane przeze mnie tutaj treści mogą ulec małym modyfikacjom.

Dla kadry Urzędu treść haseł ze slajdów jest oczywista, jednak również o oczywistościach warto przypominać, by teoria mogła się zamienić w praktyczne działania.

Stoi Pan – podobnie jak nasi prezesi – na stanowisku, że język należy upraszczać. Co może zrobić IOD w tym zakresie?

Z uwagi na fakt, że Pan Mirosław Wróblewski, prezes UODO zwraca szczególną uwagę na prosty i zrozumiały język, to, czym możemy się pochwalić, to że napisaliśmy informację o przetwarzaniu danych osobowych skierowaną dla dzieci. Bardzo staraliśmy się, by była ona dla naszych odbiorców zrozumiała. By wyjaśnić dzieciom czym są dane osobowe informowaliśmy, że dane osobowe to nie tylko imię i nazwisko, ale również nazwa szkoły i klasa do której chodzą.

Zastanawialiśmy się również jak wytłumaczyć dzieciom, kim jest administrator danych. Dziś nawet wielu dorosłym osobom, administrator kojarzy się przede wszystkim ze spółdzielnią mieszkaniową, użytkownikiem forum internetowego lub gry posiadającym najwyższe uprawnienia.

Ponieważ pisany przez nas obowiązek informacyjny dotyczył udziału w konkursie, zaczynał się od zdania: „Cieszymy się, że bierzesz udział w konkursie. Zanim przekażesz nam swoją pracę, która będzie zawierać między innymi Twoje dane osobowe, czyli imię, nazwisko, klasę i nazwę szkoły, mamy dla Ciebie parę informacji, o tym jak je wykorzystamy. Twoje dane osobowe są nam potrzebne, abyśmy mieli pewność, że to Ty jesteś autorem/ką pracy. Chcemy nagrodzić autorów/ki najlepszych prac,
a także jeżeli się na to zgodzisz opublikujemy listę laureatów/ek konkursu na stronie internetowej Urzędu Ochrony Danych Osobowych. Po zakończeniu konkursu dane, które nam przekazałeś/łaś zostaną zarchiwizowane. Gdybyś miał/miała więcej pytań, o to jak Organizator wykorzysta Twoje dane osobowe, w pierwszej kolejności zapytaj swoich rodziców. Dla nich przygotowaliśmy szczegółowe informacje.”

To początek zmian. Bardzo nam zależy, by przekaz dla poszczególnych grup był łatwy do zrozumienia, a jednocześnie uwzględniający ich podmiotowość. Mam pomysły nowych rozwiązań, jednak by w praktyce je wprowadzić, potrzebne są większe konsultacje, rozmowy i nieustanne tłumaczenie, dlaczego te zmiany są tak ważne. 

Chciałbym aby klauzule informacyjne które wykorzystuje UODO, zaczynały się od zdania: „Administratorem Twoich danych jest…, Twoje dane będziemy przetwarzać…”, jednak póki co wciąż funkcjonuje poprzednia wersja: „Państwa dane osobowe będą przetwarzane…”. Chciałbym wprowadzić stronę czynną, a unikać biernej – bo jest trudniejsza do zrozumienia.

Wprowadzenie łatwego języka jest wbrew pozorom trudne. Przywykliśmy do niektórych sformułowań i ciężko je zamienić na inne. Jak np. innymi słowami powiadomić dzieci o archiwizacji danych?

Obecny prezes UODO bardzo dużo uwagi poświęca ochronie danych dzieci. W dużej mierze z Pana inicjatywy usunęliśmy ze strony internetowej Urzędu, dane osobowe dzieci oraz ich wizerunki. Mówimy o materiałach starszych niż 3 lata, które zostały umieszczone na stronie Urzędu
po wyrażeniu zgody przez rodziców.

Wielu administratorów zapomina o materiałach, które zamieścili na swojej stronie internetowej. Bardzo często materiały te zawierają dane osobowe. Od lat zabiegałem o wzmocnienie ochrony danych osobowych dzieci. Prezes UODO podjął decyzję, że materiały, które w swojej treści zawierają dane osobowe dzieci, opublikowane będą na stronie internetowej UODO maksymalnie przez 3 lata.

Jeśli chodzi o zdjęcia robione dzieciom, chciałem zwrócić uwagę na liczne zagrożenia dla dzieci, dziś nie trzeba znać obsługi skomplikowanych, zaawansowanych programów graficznych, by przerobić czyjeś zdjęcie, by np. stało się memem. Oczywiście najlepiej robić zdjęcia, na których nie ma wizerunku dzieci. Szczególnie że z dziećmi mamy często kontakt, chociażby z uwagi na prowadzony przez Urząd program skierowany do młodych uczestników – „Twoje dane – Twoja sprawa”.

Obserwuję też działania innych organów nadzorczych w zakresie rozpowszechniania wizerunku.

Bardzo trudno jest znaleźć na stronie francuskiego urzędu ds. danych CNIL (Commission Nationale de l’Informatique et des Libertés) zdjęcia innych osób, niż kierownictwo francuskiego organu nadzorczego. Królują tam starannie dobrane piktogramy i grafiki, ułatwiające przekaz informacji.

Z kolei brytyjski odpowiednik naszego Urzędu – ICO (Information Commissioner’s Office) – stworzył klauzulę informacyjną o przetwarzaniu danych w formie krótkiego rysunkowego filmu.

Chciałbym przenieść podobne rozwiązania na nasz krajowy grunt, jednak z uwagi na ograniczony budżet nie jest to łatwe. Podobne środki pokazują, że jest wiele możliwości, by ułatwić odbiorcom szybki odczyt wizualny. Są starannie projektowane, tak aby były na nich tylko elementy niosące informacje.

Mam nadzieję, że i nasz Urząd będzie mógł wcielić w życie zbliżone koncepcje. Widzę, że dla obecnego prezesa bardzo ważnym aspektem jest upowszechnianie wiedzy o ochronie danych osobowych oraz czerpanie ze wzorców i dobrych praktyk innych regulatorów, tak by rozporządzenie zaczęło być postrzegane jako realne narzędzie skutecznej ochrony danych osobowych, a nie – jak niestety często się dotychczas zdarzało – biurokratyczne obciążenie.

Dziękuję za rozmowę.