Czego się boimy? RODO się boimy

W ciągu 20 lat obowiązywania starej ustawy o ochronie danych osobowych nie zapadł ani jeden wyrok skazujący na karę pozbawienia bezwzględnego wolności za naruszenie prawa ochrony danych. To były czasami przypadki bardzo poważne, na przykład wycieki danych pacjentów szpitali. Problemem epoki „przed RODO” było restrykcyjne prawo przewidujące sankcje karne i właściwie kompletny brak jego skutecznej egzekucji. Wbrew powszechnym sądom nie można powiedzieć, że wprowadzenie RODO to jednoznaczne zaostrzenie prawa. Część obowiązków pozostała niezmieniona, część złagodzono, a jedynie niewielką – proporcjonalnie najmniejszą – ich część zaostrzono. Większość obostrzeń znane było już wcześniej w polskim ustawodawstwie. Zmieniło się za to podejście. Zasada „masz tu listę, zrób tak i tak, a wszystko będzie dobrze” została zastąpiona mechanizmem „zrób tak, żeby było dobrze, a jak to zrobisz, to jest twój problem”. Z adwokatem dr. Pawłem Litwińskim rozmawia Bartosz Brzyski.

Czy europejskie rozporządzenie o ochronie danych osobowych, czyli wywołujące przez kilka miesięcy panikę i siejące strach RODO, w ogóle było potrzebne?

Oczywiście. Prawo, które do tej pory mieliśmy w zakresie danych osobowych, czyli dyrektywa i ustawy krajowe, pochodzą z połowy lat 90. Myśl prawnicza, która za nimi stała, sięga przełomu lat 80. i 90., bo przecież parę lat trwało, zanim te przepisy przyjęto. Jeżeli pytamy o to, czy potrzebna była zmiana starego prawa na nowe, to odpowiedź brzmi, że oczywiście tak, bo dotychczasowe się zwyczajnie zestarzało.

Nie wszyscy są do tego w 100% przekonani.

Rzeczywiście, jeżeli pytamy o to, czy w ogóle potrzebne jest nam prawo o ochronie danych osobowych. To jest fundamentalne pytanie. Istotnie, zdarzają się opinie, które negują potrzebę istnienia tej regulacji. Ja należę do osób, które uważają, że takie przepisy są potrzebne. Pokazują to choćby kolejne przypadki ujawnionych przez media skandali związanych z wykorzystaniem danych osobowych. Okazuje się nagle, że na przykład składki ubezpieczeniowe zwiększane są w oparciu o dane, które są na nasz temat zbierane zupełnie bez naszej wiedzy. Dostawca usług pocztowych analizuje treść maili, by wykorzystać ją w dobieraniu reklam. Takich przykładów jest cała masa. Ale zagrożenia to nie tylko sektor prywatny – są też sytuacje, w których władze publiczne zbierają informacje o obywatelach kompletnie poza tym, co niezbędne.

Były zastępca Głównego Inspektora Ochrony Danych Osobowych Andrzej Lewiński zauważył, że duża część społeczeństwa była przestraszona, że RODO przyniesie radykalne zmiany, które utrudnią im życie. Tymczasem, jak twierdził, duża część z tych „nowych” przepisów obowiązywała w poprzednich regulacjach, tylko była pozbawiona możliwości wyciągania konsekwencji z ich łamania.

Podzielam to zdanie. Takich bardzo fundamentalnych zmian w RODO jest niewiele. Jest cała masa drobnych modyfikacji, które składają się na tę całościową rewolucję w ochronie danych osobowych, natomiast w perspektywie małego przedsiębiorcy nie zmienia się wiele. Tyle tylko, że nagle pojawia się sankcja. Polska była jednym z niewielu państw w UE, w których jedyną sankcją za naruszenie prawa o ochronie danych osobowych były konsekwencje karne. Nie było możliwości nakładania kar finansowych. Problem w tym, że sankcje karne w Polsce nie działały, bo w ciągu roku mieliśmy jakieś 10 przypadków skazań ze wszystkich przestępstw ze starej ustawy, a decyzje wydawane przez GIODO liczyło się w tysiącach. Czyli skala skazań w odniesieniu do skali nieprawidłowości była jak 1 do 100, co najmniej. Same przepisy częściowo lekceważono, zbyt często się o nich nie mówiło, a generalnie nie były egzekwowane. Uważam, że na przykład prokuratura mogła robić więcej. Zawsze niepokoi, gdy przestępstwa opisane w prawie są realnie popełniane, a brakuje egzekucji przepisów, czyli ścigania. Dlatego u nas ta rewolucja RODO będzie tak mocno odczuwalna. Wydaje się, że zmieniło się dużo, bo nagle zaczęliśmy o tym mówić. Stało się to głównie z powodu pojawienia się kar finansowych i możliwości ich nakładania.

Problem był bagatelizowany.

Właśnie tak. Jako adwokat specjalizujący się w tym zakresie spraw mógłbym podać wiele przykładów. Choćby kradzież danych osobowych akcjonariuszy pewnej dużej spółki akcyjnej po to, żeby tym akcjonariuszom zaoferować usługi prawne w sporze z ubezpieczycielem, oczywiście po to, żeby zarobić na obsłudze tych osób. Przepis karny zabrania takiego działania pod groźbą kary. Niestety, mieliśmy najpierw jedno umorzenie, potem drugie umorzenie, a prokurator nie dał się przekonać do wniesienia aktu oskarżenia. W ciągu 20-lecia obowiązywania starej ustawy nie zapadł ani jeden wyrok skazujący na karę pozbawienia wolności bez zawieszenia! To są czasami przypadki wycieku setek tysięcy danych, na przykład ze szpitali. Tu dostrzegam problem, z którym mieliśmy do czynienia przez ostatnie 20 lat. Brak skutecznej egzekucji.

Zastąpienie poprzednich, martwych przepisów nastąpiło jednak metodą terapii szokowej.

Nie powiedziałbym, bo często te przepisy już były w systemie. W rzeczywistości jest tak, że przez wejście w życie RODO część obowiązków została bez zmian, część została złagodzona, a proporcjonalnie znacznie mniejsza ich część została zaostrzona. Duża część z nich była już wcześniej w systemie prawa. Zmieniło się za to podejście: z takiego na zasadzie „masz tu listę, zrób tak i tak, a wszystko będzie dobrze” na „zrób tak, żeby było dobrze, a jak to zrobisz, to jest twój problem”.

„Rzeczpospolita” pisała niedawno o tym, że ze względu na RODO możemy mieć problem ze zbieraniem podpisów pod listami do wyborów samorządowych. Czy to jest często nasza polska nadgorliwość z egzekwowaniem tych przepisów, czy w innych krajach problem jest podobny?

Mechanizm jest bardzo prosty. Są nowe przepisy, których w zasadzie nikt nie zna. Są długie. RODO ma 100 artykułów merytorycznych, stara ustawa miała 47. Dodać trzeba 170 motywów preambuły, czego w starej ustawie nie było. Czyli ilość tekstu zwiększyła się kilkukrotnie.

Po drugie, RODO jest pisane niezrozumiałym dla przeciętnego odbiorcy językiem. To jest język prawa wspólnotowego, który jest inny niż język prawa krajowego. Poza tym jeżeli chodzi o technikę legislacyjną, RODO jest pisane w sposób, do jakiego my nie jesteśmy przyzwyczajeni. Tam bardzo trudno jest znaleźć obowiązek typu: „hasło ma mieć 8 znaków i masz zmieniać je co 30 dni”. Jest raczej przesłanie: „masz zrobić tak, żeby było dobrze, wyważając sprzeczne interesy”.

Dlaczego to tak trudne do zrozumienia i interpretacji w Polsce?

Podejście regulacyjne na zasadzie ważenia sprzecznych interesów to w Polsce nowość, której chyba nikt nie uczył. To są konstrukcje właściwe dla prawa brytyjskiego. Żartuję sobie, że Anglicy zrobili nam psikus, bo dali nam RODO, a później zrobili Brexit. Technika legislacyjna jest tam inna niż ta, do której jesteśmy przyzwyczajeni.

Gdy zbliżają się wybory i mamy RODO, którego nie znamy i którego się boimy ze względu na kary, to naturalną tendencją człowieka jest zastanawianie się „jak zrobić”, żeby to było zgodne z RODO. W 99% przypadków to są strachy na Lachy. Można znaleźć interpretację GIODO jeszcze sprzed wielu lat mówiącą o tym, że podpisy trzeba zbierać tak, aby osoby, które się podpisują pod listami poparcia, nie widziały danych tych, które się podpisały wcześniej. Trzeba na tej liście podpisów umieścić też informację kto zbiera, jaki komitet, pod czym i po co. To się nie zmieniło! RODO wyzwoliło za to pewien mechanizm myślenia, którego dotychczas w Polsce nie było. To się czasem określa mianem strachu przed nieznanym. Stąd internetowe dowcipy: „Jak w korporacji wstrzymać dowolny projekt? Zapytać, czy jest zgodny z RODO!”.

Można powiedzieć, że RODO pokazało, że prawnicy w Polsce nie są do końca kompetentni, żeby interpretować implementowane prawo europejskie?

Na pewno brakuje nam znajomości prawa wspólnotowego, które teraz, dzięki RODO, musimy stosować wprost, bez spolszczenia przez implementację. Widać też, jak bardzo tkwimy w tradycyjnym podejściu do prawa, zwłaszcza do prawa administracyjnego: „obowiązek, decyzja administracyjna, egzekwowanie tego obowiązku”. Trudno nam jest mentalnie zastosować konstrukcję, w której w jednym zdaniu mamy kilka zwrotów niedookreślonych i klauzul generalnych: „duża skala”, „duże ryzyko”, „duże prawdopodobieństwo”, „niskie ryzyko”. To są typowe sformułowania użyte w RODO, które musimy wypełnić treścią i zastosować. W dodatku, jeśli się pomylimy, to na horyzoncie mamy karę.

Czyli bariera jest w sposobie myślenia, a nie języku prawniczym?

Język jako taki też jest specyficzny. Językiem roboczym Unii jest język angielski. Wszystkie prace nad RODO były prowadzone po angielsku. Następnie przepisy były tłumaczone na języki urzędowe poszczególnych krajów. W konkretnym dniu zostały opublikowane w dzienniku ustawowym we wszystkich językach naraz. Niestety, wersja polska ma błędy: czasem zdanie były sformułowane niegramatycznie, część zdań była zupełnie bez sensu, brakowało ich fragmentów. Dużo pomogło sprostowanie, które Komisja opublikowała w maju tego roku, ale nadal są problemy, co pokazuje historia z korektą komentarza do polskiej Ustawy o ochronie danych osobowych. Załącznikiem do książki jest tekst RODO. Skontaktował się ze mną mocno zirytowany wydawca, bo okazało się, że w tekście RODO jest tyle błędów gramatycznych, językowych i ortograficznych, że zdaniem korektora nie nadawało się to do wydrukowania. Zaproponowałem, żeby dać taką gwiazdkę, którą czasami daje się w prasie: „pisownia oryginalna”.

Nie uwidacznia się tu też nasz problem, który nieustannie podnoszą polscy przedsiębiorcy: że nie mają zaufania do podmiotu, który egzekwuje prawo? Jeżeli mamy coś wyważyć, jak Pan Mecenas wspomniał, a jedna strona jest ewidentnie słabsza, to może dojść do wypaczeń. Być może z tego właśnie biorą się te absurdy strachu przed RODO, panika, paranoiczne zabezpieczenia.

Rzeczywiście uwidacznia się tu inna kultura prawna. W systemie common law jest wyższy poziom zaufania pomiędzy władzą a obywatelem i między przedsiębiorcą a regulatorem. Sam regulator też inaczej funkcjonuje. Regulator uczy, edukuje, a na końcu dopiero karze. Gdy już karze, to karze skutecznie i odstraszająco. Gdyby porównać te kary, które są nakładane przez regulatorów krajowych, to brytyjski Information Commissioner’s Office nakłada największe kary w Europie. Najpierw spróbuje nauczyć, a dopiero jak się nie uda, to nałoży karę. W Polsce mamy inną kulturę administracyjną. Nasza administracja mniej pomaga uczyć się, ale też mniej efektywnie karze. To się niestety mści. Przedsiębiorcy wiedzą o ochronie danych osobowych mało, ponieważ przez te 20 lat byli słabo motywowani, żeby wiedzieć więcej.

Wróćmy do tego jak wyglądał w Polsce proces wprowadzania RODO. Wydaje się, że pierwszym błędem było to, że skupiono się przede wszystkim na widmie kar. Zamiast tego powinniśmy rozmawiać o sensie zmian, jakie zachodziły.  

To nie władze publiczne skupiły się na karach. Polska jest dosyć specyficznym krajem, w którym chciano sprzedać Kolumnę Zygmunta i most Kierbedzia, więc i RODO dosyć łatwo wyzwoliło brutalne instynkty kapitalistyczne. Na zasadzie: „im bardziej zastraszę, tym więcej sprzedam szkoleń”. To się mści, bo ten przekaz „ucz się, żeby uniknąć kary” dwa lata funkcjonował w przestrzeni publicznej. Ze strony władz publicznych takiego komunikatu nie było, to raczej narracja firm szkoleniowych. Stworzono potrzebę gospodarczą wykreowaną na strachu.

Ale popełniono grzech zaniechania. Dopiero teraz Ministerstwo Cyfryzacji pracuje nad podręcznikami, jak RODO powinno funkcjonować w szpitalach, w szkołach itd. Takie rzeczy powinny być opublikowane dawno temu, a nie wtedy, kiedy wszystkich już zdążyła ogarnąć zbiorowa psychoza.

Każdy z organów władzy publicznej powinien wykonywać takie obowiązki, jakie dla niego prawo przewiduje. Z ustaw wynika, że to GIODO miało obowiązek edukowania. Generalny Inspektor Ochrony Danych Osobowych, dzisiejszy Urząd Ochrony Danych Osobowych, wybrał formę edukowania przez konferencje. Organizował darmowe konferencje na 200–300 osób, na których częściowo urzędnicy GIODO, a częściowo prawnicy uczyli o RODO.

Co poszło nie tak?

Po pierwsze, była to wiedza bardzo ulotna. Po drugie, zawsze szkolono pewien ułamek populacji. GIODO szczycił się tym, że przeszkolono Administratorów Bezpieczeństwa Informacji (ABI) ze szkół – jak można przeczytać na stronie, w szkoleniu uczestniczyło 200 ABI. Tymczasem w Polsce mamy ponad 13 000 szkół podstawowych i to szkoły były jednym z tych sektorów, w których pojawiły się największe problemy! Wyczytywanie uczniów po numerach, likwidowanie tablic absolwentów ze ścian – czysty absurd. Metoda edukacji przez konferencje nie zadziałała. RODO moim zdaniem wymaga pewnych schematów, podręczników, prostych instrukcji postępowania. To przez dwa lata w Polsce nie powstawało. Ja osobiście napisałem podręcznik dla małych i średnich przedsiębiorstw, które Ministerstwo Rozwoju udostępniło, można go ściągnąć ze stron rządowych. To jakieś 20 stron pisanych prostym, jasnym, zrozumiałym mam nadzieję językiem. W tym momencie Ministerstwo Cyfryzacji nadrabia zaległości i na ukończeniu są materiały edukacyjne. Obserwuje się też aktywność ze strony UODO, który przygotował taki materiał edukacyjny dla szkół.

Bez pomocy dyrektorzy szkół czy szpitali nadziewają się nie tylko na RODO, ale także na jego kolizję z innymi przepisami. Mamy przykład szpitalnego odczytywania „po numerze”, co chyba urąga godności pacjentów. Zapomnieliśmy o zdrowym rozsądku, wartościach i prawach, które nam przysługują.

Dzień przed naszą rozmową jedna z ogólnopolskich sieci radiowych wyemitowała dowcip na zasadzie „wkręcenia słuchaczy”. Bierzesz ślub, ale urzędniczka stanu cywilnego nie przeszła jeszcze szkolenia z RODO. Co robi? Nadaje ci numer. „Czy ty numerze 315 bierzesz z żonę numer 318?”. Ma pan rację. Do tego powolutku zaczynamy zmierzać.

Gdzie przestrzeń do kolizji jest największa?

Tych konfliktów jest bardzo wiele. Weźmy taki temat, jak jawność życia publicznego a RODO. Został on sztucznie stworzony. RODO nie zmienia zasad dostępu do informacji publicznej, w ogóle w ten obszar nie ingeruje. Przez ostatnie tygodnie widzieliśmy, że próbuje się ograniczać jawność, powołując się na RODO. Problem pojawił się na przykład przy okazji wypadku na zakopiance kilkanaście tygodni temu. Doszło do konfliktu pomiędzy prawem do leczenia i do informacji o stanie zdrowia dziecka a RODO. Pracownicy szpitala mówili wówczas: „nie powiemy, gdzie jest Pana syn lub córka, »bo RODO«”. Mamy syndrom czarnej wołgi z opowieści naszych rodziców i dziadków. Czego się boimy? RODO się boimy.

Jak odróżnić, kiedy jesteśmy w przestrzeni prywatnej, a kiedy w publicznej? Szkoła czy kolonie to przestrzeń publiczna. A szpital, posterunek policji?

Pierwsza definicja prawa do prywatności, jaką stworzyli prawnicy, jest banalnie prosta. Prawo do prywatności to prawo do bycia pozostawionym w spokoju. Czyli każdy z nas sam określa, co chce ujawnić, a czego nie chce ujawnić. Tak to mogło funkcjonować w XIX wieku w Stanach Zjednoczonych, jednak w naszych europejskich realiach wraz z upływem czasu w coraz większym zakresie państwo lub inne podmioty ingerują w tę naszą prywatność. Przykład? Muszę zaszczepić dziecko. Muszę zgłosić nowo narodzone dziecko do urzędu stanu cywilnego i potrzebuję do tego dowodu osobistego. Muszę płacić podatki. Styk prywatności i jawności w coraz większym stopniu będzie nas dotykać i irytować. Prawdopodobnie gdy pan jechał dzisiaj tramwajem, to przez cały czas był pan nagrywany. Gdyby szedł pan pieszo, byłoby zresztą tak samo. Nie możemy wrócić do tego, co funkcjonowało w XIX wieku w Stanach Zjednoczonych i samodzielnie określać granic prywatności. Jest to bardzo przykre, ale musimy przystać na to, że ta prywatność jest coraz bardziej ograniczana. Jeżeli na przykład nie zgłoszę noworodka do urzędu, to będę za to odpowiadał jako ojciec. Jeżeli nie podam policjantowi dowodu osobistego przy kontroli drogowej, to będę za to odpowiadał jako kierowca. Państwo na mnie to wymusi w imię innych wartości, którym dano pierwszeństwo przed prywatnością.

To przecież nie jest problem jedynie państw.

Oczywiście, robią to też firmy prywatne. Jeżeli chcę korzystać z internetu, to muszę się w domyśle godzić na to, że ktoś z tego mojego korzystania będzie czerpał zyski, np. mnie w tym internecie nieustająco inwigilując. Przecież internet jest prywatny, to nie jest dobro należące do wszystkich! I właśnie RODO ma nam pomóc w tym, żeby się w tej rzeczywistości łatwiej odnaleźć. Mamy mieć po prostu wiedzę i możliwość ustalenia, kto nasze dane zbiera. RODO daje nam także pewne prawa, żeby się przeciwstawić niechcianym przez nas działaniom innych, choćby prawo do bycia zapomnianym. Mamy prawo do przeniesienia danych, czyli możemy zabrać nasze dane od jednego dostawcy usług i przenieść je do innego. Mamy dostęp na naszych danych osobowych i możemy sprawdzić, jakie dane osobowe ktoś o nas zbiera.

Czy nie stało się tak, że RODO utrudniło pracę różnym podmiotom władzy publicznej i części przedsiębiorców, ale te firmy, które uważamy za niepożądane, jak np. call center poradziły sobie dobrze?

Trzeba sobie uświadomić, że RODO nie miało obronić nas przed telemarketerami. To całkowicie inna regulacja: rozporządzenie ePrivacy, nad którym Komisja Europejska pracuje i raczej na pewno nie skończy prac w tej kadencji. Dopiero ta regulacja, jeżeli kiedykolwiek wejdzie w życie, ma na celu ograniczenie takich niechcianych telefonów i SMS-ów. Trzeba też pamiętać, że efektywne wdrożenie RODO wymagało pracy i nakładów finansowych. Jeżeli ktoś tego nie zrobił, to bardzo możliwe, że będzie ponosił negatywne konsekwencje. Źle zaprojektowana ochrona danych osobowych może się zemścić.

Wspominaliśmy o systemie common law i różnicach prawnych. Skąd przedsiębiorca ma mieć pewność, że faktycznie jest bezpieczny?

To jest największy problem, z jakim zmagamy się dziś w Polsce, wdrażając RODO. Mamy przedsiębiorcę, który czyta RODO: na przykład artykuł 32. Mam tam napisane w uproszczeniu: „Masz zabezpieczyć dane osobowe odpowiednio do zagrożeń dla tych danych”. On to sobie przeanalizuje i zastosuje jakieś środki zabezpieczenia, które jego zdaniem są odpowiednie. Jeżeli ktoś mu wykradnie te dane, to może zdarzyć się tak, że inspektor UODO powie: „O nie, naszym zdaniem »odpowiednie środki« były znacznie większe niż twoim zdaniem!” Oczywiście to będzie na końcu oceniał sąd, ale przedsiębiorcy najbardziej boją się tej niekonkretności przepisów.

W rozporządzeniu pomyślano jednak o tym i wprowadzono możliwość certyfikacji: można zwrócić się do zewnętrznego podmiotu, żeby przeprowadził w naszej firmie audyt i sprawdził nasze środki zabezpieczenia. Jeżeli mam certyfikat, to mamy domniemanie, że stosujemy właściwe środki zabezpieczenia danych. Niestety procedura w Polsce jeszcze nie ruszyła, bo wciąż nie przygotowano kryteriów certyfikacji. Trzecia sprawa to kodeksy postępowania. RODO wprowadza taką możliwość, że pewne grupy przedsiębiorców mogą przyjąć kodeks postępowania. Jeżeli taki kodeks zostałby wdrożony, to powstałoby domniemanie, że ci przedsiębiorcy działają zgodnie z RODO. Ale znów problemem jest czas: żaden kodeks nie został jeszcze zatwierdzony. Nie wiemy przy tym, czy przedsiębiorcy nie składają wniosków o zatwierdzenie kodeksów do UODO, czy też zostały złożone, ale nie są rozpatrywane.

Pojawiała się informacja, że mimo braków wytycznych, kontrole ruszają. Biorąc pod uwagę to, ile rzeczy nie zostało jeszcze wykonanych, to obawy kontrolowanych są jak najbardziej uzasadnione.

Tak, można mieć pewien żal, że odwrócono kolejność i kontrole wyprzedzą materiały edukacyjne. Z drugiej strony, z egzekwowaniem RODO nie można czekać w nieskończoność i akurat ja osobiście w pełni rozumiem rozpoczęcie kontroli.

UODO ma teraz większe kompetencje.

Może nakładać kary finansowe. Może też korzystać ze wsparcia policji, czego wcześniej nie mogło, jeżeli ktoś uniemożliwia lub utrudnia przeprowadzenie kontroli. Mnie osobiście cieszy ten kierunek. Jak takie uprawnienia są potrzebne, pokazała na przykład sprawa Cambridge Analytica. Brytyjskie służby odpowiadające za ochronę danych osobowych weszły z policją do biur tej firmy i po prostu zgromadziły odpowiednie dowody. W Polsce jeszcze niedawno byłoby to niemożliwe.

Jak się ma RODO do obowiązującej polskiej ustawy?

Trzeba to rozpatrywać na dwóch płaszczyznach. RODO to w ogromnej większości tzw. prawo materialne, regulujące stosunki między nami a podmiotami, które przetwarzają nasze dane. Polska ustawa to są kwestie ustrojowe i proceduralne: kim jest PUODO, skąd się bierze, kto go powołuje, jak wygląda postępowanie przed tym urzędem. W tym sensie jedno uzupełnia drugie. Nie da się RODO stosować bez tych polskich przepisów. Natomiast polskie przepisy same nie znaczą nic, bo prawa i obowiązki uregulowane zostały w RODO.