Roman Czejarek: Generalny inspektor ochrony danych osobowych w naszym studiu, dr Wojciech Rafał Wiewiórowski. Dzień dobry.
Dr Wojciech Wiewiórowski: Witam serdecznie, witam państwa.
Krzysztof Grzesiowski: Panie doktorze, czy interesuje pana kwestia kradzieży danych dziennikarzy z Elektronicznego Biura Prasowego stołecznej Legii? 1200 osób, imiona, nazwiska, adresy, numery telefonów, adresy mailowe...
W.W.: Każda sytuacja tego typu musi być interesująca w cudzysłowie dla generalnego inspektora ochrony danych osobowych. Ja przyznam, że w tej chwili wiem tyle, ile pojawiło się w informacjach wczorajszych czy przedwczorajszych dotyczących tego zdarzenia. Tutaj powiedziałbym przy okazji jedną dość charakterystyczną rzecz, otóż w Polsce cały czas nie istnieje żaden obowiązek zgłaszania tego typu naruszeń i jeżeli ktoś o tym informuje, to albo z tego powodu, że wyciekła również informacja o wycieku, albo z tego powodu, że chce po prostu pokazać swoim klientom, że dba o ich dane. Tutaj mieliśmy do czynienia z sytuacją, w której to z jednej strony sami poszkodowani zostali poinformowani bezpośrednio przez administratora tej bazy danych o tym, że taki wyciek nastąpił, z drugiej strony ta informacja przeciekła również do serwisów internetowych zajmujących się bezpieczeństwem. Taki obowiązek zgłaszania tego typu incydentów również do organów zajmujących się ochroną i bezpieczeństwem informacji ma się pojawić w nowych ramach ochrony danych osobowych w Unii Europejskiej, których projekt w tej chwili jest przedstawiany przez Komisję Europejską.
K.G.: O tym za chwilę. Kończąc ten wątek, stołeczny klub powiadomił prokuraturę o tym przestępstwie, bo to jest przestępstwo, no ale z drugiej strony wniosek jest jeden: strona nie była zabezpieczona, dane nie były zabezpieczone.
W.W.: Tak, oczywiście...
K.G.: Właściwie zabezpieczone.
W.W.: Jest mi bardzo trudno określać, co zdarzyło się w tej konkretnej sytuacji, na czym polegał atak czy też utrata danych, bo nawet nie wiem, szczerze mówiąc, czy mamy do czynienia z atakiem i wykradzeniem, czy z utratą danych po prostu, natomiast tu trzeba ostrożnie też do tej sprawy podchodzić, bo to nie jest tak, że administrator danych osobowych jest w stanie w stu procentach zabezpieczyć się przeciwko wszelkim niebezpieczeństwom. My oczywiście zdajemy sobie sprawę z tego, że te dane powinny być zabezpieczone i powinny być zabezpieczone dobrze, ale to jest takie spojrzenie jak spojrzenie na drzwi naszego domu, czyli pytanie: co zrobić, aby całkowicie bezpiecznie zamknąć drzwi swojego mieszkania i pozostawić w nich wszystkie cenne dla nas rzeczy dla nas i nie tylko dla nas, które tam zostały? Od pewnego momentu włamanie zawsze może się zdarzyć, zawsze może zostać ono dokonane przy pomocy jakiegoś urządzenia czy rozwiązania, którego do tej pory nie znaliśmy. Natomiast nie znam tego konkretnego przypadku i nie wiem, czy to jest zaniedbanie zdecydowane ze strony administratora danych osobowych, czy też trafił na superinteligentnego włamywacza, który wykorzystał metodę, która do tej pory była nieznana. Ta druga sytuacja jest dla mnie oczywiście znacznie mniej prawdopodobna, ale też możliwa.
K.G.: Kto wie. I druga sprawa przy okazji której występuje pana urząd. Wczoraj dziennik Gazeta Prawna publikuje artykuł pod tytułem „Ucz się kłamać od przedszkola”. Chodzi o fałszowanie danych o miejscu zamieszkania, zatrudnienia, rozwodzie, krótko mówiąc rodzice robią wszystko, by dziecko dostało się do publicznego przedszkola. Samorządy przy tej okazji żądają różnych dziwnych zaświadczeń, których prawdopodobnie żądać nie powinni, no ale taka jest rzeczywistość. I mało tego, rodzicom, którzy podają dane nieprawdziwe, nic nie grozi.
W.W.: To jest ciekawe sprzężenie zwrotne pomiędzy zdarzeniami. Ja już w ogóle nie chcę dyskutować na temat problemu liczby miejsc w przedszkolach, bo to jest problem, który zupełnie wymyka się mojej ocenie jako generalnemu inspektorowi, natomiast proszę zauważyć, z czym tu mamy do czynienia. Mamy do czynienia z sytuacją, w której gminy stawiają w jakimś stopniu absurdalne wymagania, jeżeli chodzi o przedstawianie dokumentów, które miałyby zaświadczać, że temu dziecku bardziej potrzebne jest przedszkole niż innemu dziecku, które też o przedszkole występuje, czyli rodzicom, którzy o to przedszkole występowali. Z drugiej strony rodzice przedstawiają informacje, które są informacjami potwierdzającymi to, co gmina chciałaby usłyszeć. Z trzeciej strony gmina żąda zaświadczenia na potwierdzenie tych oświadczeń, które złożyli rodzice. Znowu żeby zdobyć te zaświadczenia, trzeba pozbywać się części swojej prywatności.
Ja oczywiście zdaję sobie sprawę z tego, że to jest bardzo skomplikowana, wielowarstwowa układanka, natomiast wychodzę z jednego podstawowego założenia – jeżeli ona ma być zgodna z prawem i jeżeli ona ma chronić naszą prywatność, to powinniśmy mieć tutaj jasne przepisy prawne, które zostałyby poprawnie omówione i zadecydowane zostało, że takie i takie kryteria mogą bądź muszą być spełnione, aby dziecko zostało przyjęte do przedszkola, i takie, i takie dane mogą być w trakcie takiej procedury zebrane. Skąd, to jest kolejna kwestia. Dziś...
K.G.: No i do tego namawia pan Ministerstwo Edukacji Narodowej zdaje się już od pewnego czasu, z tym, że bez efektów.
W.W.: Zdecydowanie, od półtora roku ponad namawiamy Ministerstwo Edukacji Narodowej do uporządkowania sytuacji, bo sytuacja, w której gmina wymaga przedstawienia PIT-u na przykład przez rodziców celem sprawdzenia, czy dziecko spełnia kryteria przyjęcia do przedszkola, jest moim zdaniem absurdalną ingerencją w prywatność osoby.
R.Cz.: Ale moment, dlaczego to jest absurdalna ingerencja w prywatność osoby?
W.W.: Dlatego że PIT wymagany jest po to, aby stwierdzić, czy osoba płaci podatki w tej gminie, w której chce być...
R.Cz.: To z punktu widzenia gminy to jest jak najbardziej uzasadnione. Gmina wydaje pieniądze, no to chciałaby, żeby były w tych przedszkolach te dzieci, których rodzice płacą podatki na terenie tej gminy, a nie na drugim końcu Polski.
W.W.: To jest tak samo uzasadnione jak to, że idziemy do wyborów lokalnych i przed urną pokazujemy PIT, żeby potwierdzić, że płacimy podatki w tej gminie, bo jeżeli nie pokażemy tego PIT-u, to nie mamy prawa głosować w wyborach samorządowych. Wyobraża pan sobie taką sytuację?
R.Cz.: Tam pokazujemy dokument tożsamości, ale tam jest ważne nasze zameldowanie.
W.W.: A tutaj też jest ważne nasze zameldowanie. Proszę zobaczyć, że w przypadku udzielania takich działań publicznych, jak dostęp do przedszkola, też ważny jest meldunek, ważne jest to, jakiej gminy jesteśmy częścią.
R.Cz.: Tylko za wybory płaci państwo, a w przypadku tego przedszkola ta gmina musi te pieniądze wyłożyć. Oni po prostu patrzą na swoje fundusze, to jest normalne zachowanie z ich punktu widzenia.
W.W.: Oczywiście, proszę jednak pamiętać, że w jednym jak i w drugim przypadku mamy współudział gminy w opłacaniu pewnego zadania publicznego. Zadanie publiczne jest zadaniem publicznym, to jest zadanie publiczne skierowane do członków gminy. Jeżeli chcemy przejść na system, że o naszym miejscu w społeczeństwie decyduje Ministerstwo Finansów i rejestry znajdujące się w Ministerstwie Finansów, to proszę bardzo, ale takiej decyzji w naszym kraju nie podjęliśmy. Cały czas jest tak, że gminą jest wspólnota mieszkańców zamieszkujących na jakimś obszarze. I ta wspólnota mieszkańców ma prawo z jednej strony decydować o pewnych kwestiach, z drugiej strony uczestniczyć w życiu tej gminy, korzystać z dobrodziejstw, które one wnoszą.
Ale nawet załóżmy, że poszlibyśmy tą drogą myślenia, którą pan tutaj proponował, czyli że rzeczywiście ten czynnik ekonomiczny jest bardzo ważny. Nie ma dzisiaj żadnej podstawy prawnej do tego, żeby w przedszkolu albo nawet w urzędzie gminy gromadzić tego typu informacje, one są przekazane dla zupełnie innych celów, dla celów administracji skarbowej, dla celów rozliczeń podatkowych. Wykorzystywanie ich do innego działania publicznego może nastąpić tylko wtedy, kiedy jest do tego wyraźna podstawa prawna. Takiej podstawy prawnej nie ma. Ja wyobrażam sobie, że to spojrzenie bardzo ekonomiczne mogłoby wygrać. Tylko niech ono wygra w parlamencie, czyli niech ono wygra tam, gdzie można decydować o przymusowej ingerencji w sytuację obywatela. Oczywiście ktoś może powiedzieć: to nie jest przymusowa ingerencja z tego powodu, że to jest rynek konkurencyjny, można iść nie do przedszkola publicznego, tylko do przedszkola prywatnego.
R.Cz.: Albo wynająć opiekunkę, jak kogoś stać.
W.W.: To oczywiście nie jest rynek konkurencyjny, rynek konkurencyjny jest wtedy, kiedy mamy dokładnie taką samą... kiedy mamy zbliżoną i porównywalną sytuację ekonomiczną, którą możemy rozwiązać. Tutaj tak nie jest. Wiadomo, że przedszkola publiczne są przedszkolami subwencjonowanymi, czyli takimi, które są w oczywisty sposób tańsze. Natomiast gminy nie konkurują pomiędzy sobą. Jeżeli gminy nie konkurują pomiędzy sobą, bo to nie jest tak, że jeżeli nie puszczę dziecka do przedszkola w gminie A, to pójdę sobie do gminy B i wybiorę jej ofertę, tak po prostu nie jest, to w ten sposób nie działa. Nie mamy do czynienia z rynkiem konkurencyjnym. Gdyby to był rynek konkurencyjny, zawsze moglibyśmy mówić, że tu się pozbędziemy prywatności, tu się nie pozbędziemy prywatności, wybieramy lepszego przedsiębiorcę.
K.G.: Zostawmy przedszkola, na chwilę przynajmniej. Panie doktorze, tak czas nas goni, ale spróbujmy – nowe przepisy, nowe regulacje unijne, gwarancje, nowe prawa związane z ochroną danych osobowych. Co na czeka krótko mówiąc?
W.W.: Czeka nas spora rewolucja i to tak od strony formalnej, jak od strony czysto merytorycznej. Po pierwsze Komisja Europejska zaproponowała nowe ramy ochrony danych osobowych, na które składają się dwa dokumenty: rozporządzenie unijne w sprawie ochrony danych oraz dyrektywa dotycząca policji i wymiaru sprawiedliwości. Oba te dokumenty są dla nas rewolucyjne z dwóch powodów: po pierwsze dlatego, że zamiast dzisiaj istniejącej dyrektywy i wdrażającej jej w krajach członkowskich ustawy o ochronie danych osobowych czy ustaw o ochronie danych osobowych, teraz pojawi się jedno wspólne rozwiązanie dla całej Europy, czyli będzie jeden akt prawny, który w ten sam sposób będzie chronił dane i chronił przede wszystkim interesy tych osób, których dane są przetwarzane we wszystkich krajach Europy. Będziemy więc mieli swoistą pewność, że to, co jest chronione w Polsce, jest chronione również w Estonii, w Wielkiej Brytanii i w Szwecji czy na Malcie. Z drugiej strony przedsiębiorca, który będzie chciał przetwarzać dane, może to robić w ten sposób, który zna ze swojego kraju. Co więcej, jego organ ochrony danych osobowych w jego kraju jest jedynym, z którym musi się kontaktować. Jeżeli chce przetwarzać dane, jeżeli jest to polski przedsiębiorca, a chce przetwarzać we Francji, Hiszpanii i Wielkiej Brytanii, Szwecji, nie musi dokonywać tam żadnych czynności administracyjnych, wszystkie może dokonać w Polsce. Poza tym zmienia się mnóstwo od strony merytorycznej, pojawiają się ułatwienia dla przedsiębiorców, jeżeli chodzi o znoszenie pewnych barier administracyjnych, np. kwestie związane z rejestracją zbiorów danych znikają właściwie, z drugiej strony pojawia się ochrona nowych typów danych albo nowych typów przetwarzania danych, które pojawiły się w związku z rozwojem technologicznym, pojawia się coś takiego, co jest jakimś takim powiedziałbym, sztandarem przewodnim, czyli prawo do bycia zapomnianym. Pojawiają się również dodatkowe uprawnienia dotyczące ochrony przed profilowaniem, czyli zdobywaniem zbyt dużej liczby informacji o nas i wymyślaniem dodatkowych danych na nasz temat.
K.G.: Strasznie tego dużo i strasznie to skomplikowane, apamiętam, że u podstaw działalności generalnego inspektora ochrony danych osobowych legły listy lokatorów na klatkach schodowych dawno, dawno temu. Pamięta pan te czasy jeszcze?
W.W.: Listy lokatorów są bardzo ciekawym przypadkiem. Ja zresztą zawsze się przyznaję do tego, że zmieniłem w ich sprawie zdanie. Kiedyś byłem zdecydowanie zwolennikiem stwierdzenia, że to jest przykład absurdalności ustawy o ochronie danych osobowych albo absurdalności niektórych rozwiązań, a dzisiaj patrzę na tę sprawę i po pierwsze widzę, że nie ma zakazu wywieszania list lokatorów, trzeba tylko zapytać ludzi o to, czy chcą, żeby ich dane były wywieszone, a to już wymaga dwóch rzeczy – po pierwsze trzeba w ogóle coś zrobić, co jest trudne...
K.G.: Zdecydowanie.
W.W.: A jak już się zdecydujemy, że chcemy to zrobić, to nagle się okazuje, że trzy czwarte lokatorów nie jest zainteresowanych tym, żeby informacje o nich wisiały na klatce schodowej. Proszę zauważyć, że tak jak w latach 70. czy 80., na każdych drzwiach prawie wisiała informacja o tym, jak nazywają się osoby, które mieszkają po drugiej stronie drzwi...
K.G.: Wizytówka na drzwiach, tak.
W.W.: Tak, jest, czyli wizytówka na drzwiach. Tak dzisiaj jak przejdzie się pan po blokach czy domach w Polsce, nie ma tego zwyczaju, ludzie zupełnie inaczej chronią swoją prywatność niż to było (...)
K.G.: Staliśmy się anonimowi bez mała. Dobrze. Panie doktorze, dziękujemy pięknie. Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych, był gościem Sygnałów dnia.
W.W.: Dziękuję bardzo.
R.Cz.: Chciałem zażartować, że zawsze można zajrzeć na Facebooka i tak sobie sprawdzić listę lokatorów i bywa, że jest to skuteczniejsze źródło niż lista, bo tam już ludzie mniej myślą.
(J.M.)
