Minęły cztery miesiące stosowania RODO. Dużo skarg wpłynęło na podstawie nowych unijnych przepisów?
Liczba skarg wpływających do Urzędu Ochrony Danych Osobowych rzeczywiście jest ogromna. W pierwszych trzech miesiącach stosowania rozporządzenia otrzymaliśmy ich ponad 2400. Dla porównania – w całym ubiegłym roku było ich 3000. Spodziewam się, że pod koniec roku skarg może być jeszcze więcej. Po pierwsze dlatego, że rośnie świadomość Polaków na temat samych przepisów RODO i praw, jakie im ono daje. Po drugie, sądzę, że część z nich najpierw kieruje sprawy do administratorów, a dopiero jeśli nie uzyskają satysfakcjonującej ich reakcji, to mogą decydować się na wniesienie skargi do UODO.
Wszystkie te skargi są rozpoznawane?
Bardzo duża ich część zawiera błędy formalne, takie jak choćby brak podpisu czy też adresu osoby skarżącej. Zdarza się również, że w skardze nie jest formułowane żądanie. Tego typu braki ma bardzo wiele skarg. Uniemożliwia nam to szybkie działanie, bo musimy wzywać do ich uzupełnienia.
Jakie naruszenia najczęściej są wskazywane?
Duża część skarg dotyczy kwestii związanych z dopełnianiem obowiązku informacyjnego. Często powtarza się zarzut, że administrator na żądanie nie usunął czyichś danych. Sporo skarżących twierdzi, że wymuszono na nich zgodę na przetwarzanie danych osobowych w celach marketingowych. Nadmiarowe pozyskiwanie danych to kolejny częsty zarzut. Wciąż wiele skarg, co zresztą miało też miejsce przed rozpoczęciem stosowania RODO, dotyczy przesyłania niechcianej korespondencji e-mailem. Powtarzają się też żądania nakazania udostępnienia danych, a z drugiej strony zarzuty udostępniania danych medycznych niewłaściwym osobom. Zdarzają się również skargi dotyczące monitoringu pracowników i przetwarzania danych przez pracodawców.
Na kogo najczęściej skarżą się Polacy? Na administrację publiczną czy raczej na prywatny biznes?
Nie prowadzimy dokładnych statystyk, ale więcej skarg dotyczy jednak działalności prowadzonej przez przedsiębiorców.
Z tych 2400 skarg ile zakończyło się wszczęciem właściwego postępowania? Jakieś z nich zostały zakończone? Bo kar chyba żadnych jeszcze pani nie nałożyła?
Żadna kara jeszcze nie została nałożona, choć nie mam złudzeń, że kiedyś i ten moment nadejdzie. Co do skarg, to każda z nich jest dokładnie analizowana i podejmowane są odpowiednie działania – albo zwracamy się o uzupełnienie braków, albo występujemy o wyjaśnienia do podmiotów, których skargi dotyczą. Na tym drugim etapie jest obecnie około 500 spraw. Na razie jedynie trzy z nich zakończyły się wydaniem decyzji, ale są one o tyle szczególne, że dotyczą działań podmiotów z sektora organów ścigania, które - ze względu na brak implementacji dyrektywy 2016/680 - są prowadzone według odmiennego trybu, bo jeszcze na podstawie „starych” przepisów. Pozostałe sprawy są jeszcze w toku. Nie zebrano w nich bowiem pełnego materiału dowodowego. Każdą staramy się zbadać rzetelnie, a to - gdy sprawy są złożone - wymaga czasu. Sukcesywnie wydajemy natomiast decyzje w sprawach, w których skargi zostały złożone przed 25 maja 2018 r. Warto wspomnieć, że choć są prowadzone według „starych” procedur, to rozstrzygnięcia merytoryczne uwzględniają już przepisy RODO.
Jeszcze przed RODO przedsiębiorcy dużo mówili o obawach przed „pieniactwem”, czyli skargami, które nie tyle dotyczą rzeczywistych naruszeń, co mają firmom po prostu uprzykrzyć życie. Zdarzają się takie?
Oczywiście, że tak, choć nie jest ich znowu aż tak dużo. Część osób nie rozumie jednak, dlaczego coś musi zrobić albo dlaczego nie może czegoś uzyskać lub uważa, że to UODO powinien ich w dochodzeniu ich praw wyręczyć. Myślę, że to zjawisko, które dotyczy całej administracji publicznej i my nie jesteśmy tu wyjątkiem. Jeszcze raz zaznaczam jednak, że skala tego zjawiska nie jest zbyt duża.
Nowym obowiązkiem przedsiębiorców jest konieczność zgłaszania naruszeń ochrony danych osobowych, choćby ich wycieków. Dużo ich napływa?
W pierwszych trzech miesiącach było ich 1120. Zdecydowana ich część odnosi się do danych pojedynczych osób lub niewielkiej ich liczby, choć zdarzają się też przypadki związane z naruszeniem dotyczącym naprawdę dużych grup. Jednym z najczęstszych naruszeń jest przypadkowe ujawnienie adresów e-mail osobom nieuprawnionym na skutek masowej wysyłki jednobrzmiącej korespondencji. Inne dotyczyły chociażby zagubienia przez pracownika dokumentów zawierających dane klientów, utraty urządzeń takich jak pendrive czy przenośny komputer z czyimiś danymi czy przekazania niewłaściwej osobie dokumentacji medycznej.
Największym problemem nie jest jednak to, czego dotyczą naruszenia, tylko to, że niektórzy administratorzy mają trudności z określeniem związanego z nimi poziomu ryzyka naruszenia praw i wolności osób. To zaś powoduje, że nie zawsze powiadamiają zainteresowanych, uniemożliwiając im szybką reakcję. W przypadku wycieku numerów PESEL jest dla mnie oczywiste, że osoby, których dane wyciekły, powinny być o tym natychmiast poinformowane.
A jeśli nie są?
Wówczas UODO kieruje wystąpienie wskazujące na konieczność takiego powiadomienia i co do zasady adresaci takiej korespondencji to robią. Jeżeli ktoś nie zastosuje się do tego zalecenia, to wtedy możemy wydać decyzję nakazującą poinformowanie wszystkich zainteresowanych. Co więcej, taka decyzja może zostać upubliczniona w BIP-ie naszego urzędu. Dotychczas jeszcze tego nie uczyniliśmy, ale nie wykluczam, że niebawem zostaniemy do tego zmuszeni.
Gdy rozmawiałem z panią przed trzema miesiącami, rozpoczynaliście nabór nowych pracowników do UODO. Udało się ich znaleźć?
Tak, zatrudniliśmy 100 nowych pracowników i mamy już praktycznie pełną obsadę 245 etatów, którymi dysponuje Urząd. Oczywiście to nie znaczy, że nie chcielibyśmy, aby było ich więcej, ale na tyle przyznano nam środki.
Jestem bardzo zadowolona z kadry, którą udało nam się w tak krótkim czasie skompletować. Przyszli do pracy ludzie młodzi, merytorycznie przygotowani, a jednocześnie bardzo zaangażowani w to, co robią.
Przyznaję, że to dla mnie spore zaskoczenie. W czasie gdy każdy specjalista od RODO jest na wagę złota, a na rynku komercyjnym trwa podkupywanie ekspertów, UODO udaje się bez trudu znaleźć pracowników.
Okazuje się, że jesteśmy urzędem, w którym praca jest postrzegana jako bardzo interesująca. Prawdą jest, że sama miałam obawy, czy do końca roku uda nam się znaleźć wystarczającą liczbę osób kompetentnych. Okazało się, że były to obawy na wyrost - większość nowych pracowników zrekrutowaliśmy w ciągu jednego i to wakacyjnego miesiąca. Wielu minął już okres próbny i zatrudniamy ich już na umowach na czas nieokreślony. Jak to się udało? Sądzę, że spory wpływ na zainteresowanie pracą w urzędzie ma duża jego wiarygodność.
Chyba żadne przepisy nie były tak obśmiewane jak RODO. Było coś, co panią rozśmieszyło?
Chyba nie. Wręcz przeciwnie, większość tego, co obserwowałam i wciąż obserwuję, wprawia mnie w zasmucenie. Niektórzy zachowują się tak, jakbyśmy od 25 maja zaczęliśmy żyć w jakiejś zupełnie nowej rzeczywistości, tak jakby przez 20 wcześniejszych lat nie obowiązywała w Polsce jakakolwiek ochrona danych osobowych. Spotykam się z zarzutami, że wymyśliliśmy sobie przepisy, które nie tylko powodują zamęt, ale i wymagają olbrzymich nakładów finansowych. Gdy jednak pytam, co zmieniło RODO, to już nie słyszę odpowiedzi. Wszyscy wiedzą, że są olbrzymie kary, przy czym większość mówi o 20 mln euro, choć w rzeczywistości mogą one być większe, ale mało kto wie, za co mogą one zostać nałożone. Smutne jest dla mnie, że ochrona danych przebija się do świadomości wyłącznie z powodu groźby kar. A mamy przecież do czynienia z podstawowymi prawami człowieka.
Efekt – powszechna wiara w absurdy wynikające jakoby z RODO, jak choćby zakaz wywoływania uczniów do tablicy po nazwisku. Ktoś to sobie wymyślił, ktoś inny powtórzył, choć z RODO to w żaden sposób nie wynika.
Jak nie wiadomo na co zrzucić winę, to zawsze można na RODO. Zupełnie zapomina się o istnieniu przepisów branżowych, szukając odpowiedzi na wszystko w rozporządzeniu. Jego niewłaściwe rozumienie może się skończyć tragedią. Mam sygnały o receptach wydanych niewłaściwym osobom, bo w szpitalu zakazano zwracania się do pacjentów po nazwisku, a po odbiór dokumentów zgłosiły się dwie Agnieszki. Omal nie skończyło się to tragedią, bo zażycie niewłaściwych leków mogłoby mieć poważne konsekwencje zdrowotne.
Mimo wszystko mam jednak nadzieję, że ostatecznie to szaleństwo obróci się w coś dobrego. Gdy już opadnie kurz, to wahadło wróci do poziomu, w którym przepisy o ochronie danych osobowych zajmą należne im miejsce, będą przestrzegane, ale przestaną być wyolbrzymiane. Plus tego całego zamieszania jest taki, że nie ma chyba w Polsce osoby, która nie wiedziałaby o RODO. To fundament, na którym można zacząć budować kulturę ochrony danych osobowych.