W debacie towarzyszącej wyborowi wielokrotnie pan wskazywał, iż autorytet urzędu jest nierozerwalnie związany z jego niezależnością. Został pan jednak zgłoszony przez konkretną partię i wybrany przez konkretną większość. Jak mimo to zachować tę niezależność, by nie budziła wątpliwości?
Niezależności krajowego organu nadzoru w RODO poświęcono wiele miejsca. Przyjęta konstrukcja ma na celu wzmocnienie jego pozycji, ma również chronić przed ingerencją pozostałych organów, które mogłyby zostać uznane za ograniczające jego niezależność. Przepisy, które dotyczą wyboru organów niezależnych, w większości przypadków zakładają wybór przez parlament krajowy. Uznaje się, iż jest to najwyższa gwarancja niezależności – nie zaś nominacja przez władzę wykonawczą, np. premiera, ministra czy choćby prezydenta – i jest to forma stosowana w większości współczesnych państw demokratycznych.
Niezależność gwarantowana jest również innymi środkami – prawodawca krajowy nie może bowiem z jednej strony przyjmować rozwiązań, które uniemożliwią organowi nadzorczemu wykonywanie zadań wynikających z obowiązujących rozwiązań prawnych, z drugiej natomiast arbitralnie osłabiać gwarancji niezależności tego organu. Inną istotną gwarancją niezależności jest m.in. kadencyjność, brak możliwości otrzymywania od kogokolwiek poleceń czy instrukcji, wreszcie samodzielność organu nadzorczego w doborze zatrudnianych osób i współpracowników.
Wreszcie niezależność finansowa, która zawsze jest praktycznym wyzwaniem, bo co prawda propozycje budżetu składają takie organy samodzielnie, ale na końcu decyzję polityczną podejmuje parlament. Istotne jest zatem, by parlamentarzyści zdawali sobie sprawę, jak istotną funkcję pełni organ ochrony danych i jakie zadania spełnia.
Takie same gwarancje niezależności miał poprzedni prezes, a jednak jego niezależność była kwestionowana, co choćby pan sam podnosił w czasie debaty w parlamencie. Teoretyczne więc gwarancje to jedno, a praktyka to drugie.
Oczywiście, z tą różnicą, iż przy wyborze pana prezesa Jana Nowaka nie było innych kandydatów. Niezależność w procedurze nominacyjnej może być istotnie wzmocniona poprzez jej transparentny przebieg. Obecny proces zakończony moim wyborem był zaś wyjątkowo otwarty. Ilość współkandydatów, otwarte dyskusje, w szczególności konferencja grudniowa jest też na pewno nowym, lepszym standardem w polskim parlamencie.
Wiele osób, w tym ja, ma nadzieję, iż ten standard się utrwali, a takie deklaracje padają też ze strony Sejmu. Zawsze jednak ostatecznie niezależność jest i będzie sprawdzana po czynach, decyzjach i sposobie funkcjonowania urzędu. Deklaruję również otwartość urzędu i liczę na współpracę wszystkich osób zainteresowanych ochroną danych osobowych. Chcę, żeby podczas mojej kadencji było oczywistością, iż organizacje pozarządowe czy eksperci, którzy chcą się wypowiedzieć, mają taką możliwość. Chcę zaprosić do współpracy w tej czy innej formie moich współkandydatów, jeżeli wyrażą na to zgodę.
A co zrobić, by budować ten autorytet urzędu?
Autorytet buduje się latami, m.in. poprzez dialog z zainteresowanymi stronami. W ostatnich latach wielu brakowało takiego dialogu i konsultacji – to musimy poprawić. Po drugie – informacje o działalności urzędu, o przedstawionych stanowiskach, przygotowywanych opracowaniach, wytycznych, poradnikach – muszą być znacznie łatwiej dostępne.
To nie stanie się z dnia na dzień, ale obiecuję, iż tę pracę podejmę już w pierwszych dniach urzędowania i będę chciał, żeby pod względem informacyjnym urząd zmienił się jakościowo. Po trzecie – przewidywalność działań prezesa i całego urzędu poprzez przyjmowanie dokumentów, które będą wskazywać kierunki ochrony danych osobowych. Istotne jest informowanie, jak UODO postrzega różne kwestie, czy też jak interpretuje przepisy – uwzględniając wymogi wynikające z systemu prawa UE. RODO jest aktem prawa Unii Europejskiej. Spójność stosowania tych przepisów w skali całej Unii jest niezwykle istotna. Dane osobowe są wymieniane między podmiotami, polscy obywatele podróżują, polscy przedsiębiorcy prowadzą działalność gospodarczą w innych krajach UE. Konieczne jest zatem uwzględnianie stanowisk wypracowywanych w Unii, np. wytycznych Europejskiej Rady Ochrony Danych Osobowych czy wyroków Trybunału Sprawiedliwości UE. Powinny być przez urząd upowszechniane, gdy trzeba, tłumaczone i ewentualnie wyjaśniane prostym, zrozumiałym językiem.
Jakie jeszcze działania są planowane w ramach tej otwartości?
Im mniejsze jest zrozumienie przepisów o ochronie danych osobowych, głównie wśród administratorów i procesorów (podmiotów przetwarzających dane), tym więcej pojawia się problemów, nieprawidłowości i skarg, tym bardziej potrzebne są kontrole. Wyjaśnienie tych wątpliwości, wzmocnienie pewności prawidłowego stosowania przepisów może istotnie obniżyć ryzyko powstawania problemów. Dzięki temu zmaleje nieco liczba skarg, które tysiącami docierają do urzędu, i będzie można zająć się sprawami bardziej strategicznymi. To nie tylko moje spostrzeżenie, słucham także specjalistów i środowisk w dziedzinie ochrony danych. Oczywiście, to podejście na pewno zweryfikuje praktyka. Trzeba mieć bowiem na uwadze jeszcze inne zjawisko: im bardziej rośnie świadomość prawna wśród podmiotów danych, tym bardziej wydaje się wzrastać ilość skarg.
W dyskusji senackiej poruszana była kwestia formalizmu, choćby przy spełnianiu obowiązku informacyjnego, co generuje duże koszty. Czy pana zdaniem to też nie wynika właśnie z niezrozumienia do końca tych przepisów i bezpiecznego zasłaniania się tymi formułkami?
Tak, myślę, iż jest w tym dużo, dużo prawdy. Często postrzegamy RODO jako nadmiernie formalistyczny i obciążający akt. Byłoby założeniem idealistycznym oczekiwać, iż nagle zmieni się nastawienie do tych przepisów. EROD i inne instytucje UE dokonały przeglądu po pięciu latach stosowania RODO i planowane zmiany na razie są kosmetyczne, dotyczą głównie transgranicznych przepływów danych i ulepszenia współpracy organów nadzorczych.
W praktyce stanowiska i wytyczne organu nadzorczego mogą pomóc we adekwatnym przestrzeganiu przepisów o ochronie danych. o ile chodzi o obowiązek informacyjny, jestem zwolennikiem podejścia dwuwarstwowego, które dopuszcza również EROD. Zakłada ono zawarcie w klauzuli informacyjnej nie wszystkich drobiazgowych, często wielostronicowych informacji o ochronie danych osobowych, ale tych najważniejszych.
I to rzeczywiście podanych prostym, jasnym i przejrzystym językiem. Jednocześnie administrator powinien umożliwić zapoznanie się z pełną klauzulą informacyjną np. na stronie internetowej, czy też poprzez kliknięcie na odpowiedni przycisk. Chcę upowszechniać stosowanie prostego języka w ochronie danych. Mam w tym doświadczenie, związane m.in. z organizacją Kongresu Języka Urzędowego przez Senat RP, RPO i Radę Języka Polskiego. To nie jest błahe zagadnienie, bo takie są dokładnie założenia RODO, które ma pokazywać istotę ochrony danych osobowych.
Mówił pan też, iż bliska jest panu tematyka sztucznej inteligencji (AI). Jakie zagrożenia niesie rozwój tej technologii dla danych osobowych i jak sobie z nimi radzić? UODO może to robić sam czy musi czekać na interwencję ustawodawcy?
Wyzwań technologicznych jest więcej. Jest to jednak jeden z najpoważniejszych tematów, ponieważ AI rzeczywiście ma największy potencjał negatywnych skutków dla podmiotów danych. Sztuczna inteligencja daje fantastyczne rezultaty w wielu obszarach, np. w medycynie, choćby w diagnostyce. Jednocześnie to zagrożenie, o ile chodzi o prywatność, ochronę danych osobowych, ale też potencjał algorytmicznej dyskryminacji przy przetwarzaniu danych jest bardzo duży. Sztuczna inteligencja stała się taka potężna nie tylko z powodu swoich matematyczno-statystycznych adekwatności i mocy obliczeniowej komputerów, ale też z powodu przetwarzania danych – w dużej mierze danych osobowych, chociażby do celów „uczenia się” algorytmów.
Regulacje prawne dotyczące AI są wciąż szczątkowe, np. art. 22 RODO daje pewne gwarancje praw w przypadku zautomatyzowanego przetwarzania danych osobowych. Są jednak niewystarczające. Do tego wniosku doszła też Komisja Europejska, która przygotowała w 2021 r. projekt rozporządzenia o sztucznej inteligencji, który, jak się wydaje, ma szansę być sfinalizowany do końca kadencji PE.
Przygotowano także dyrektywę regulującą kwestię odpowiedzialności za szkody wyrządzone przez sztuczną inteligencję. Z jednej strony ma dać przedsiębiorcom gwarancje rozwoju innowacji, a z drugiej szansę na uzyskanie realnej ochrony prawnej przez osoby poszkodowane działaniem algorytmów. o ile te akty, w szczególności akt o sztucznej inteligencji, zostaną przyjęte, to państwa członkowskie będą musiały te przepisy wdrożyć – w tym wskazać niezależny organ nadzorczy w odniesieniu do AI. UODO będzie musiał w tych pracach uczestniczyć i nie będę się uchylał od odpowiedzialności, o ile nasza wiedza i nasz potencjał będą potrzebne, a budżet urzędu na to pozwoli.
W zeszłej kadencji zostało wszczęte postępowanie w sprawie Chat GPT i przetwarzania przez niego danych. Czy polski urząd mógłby zakazywać pewnych technologii, tak jak włoski zakazał czasowo tego Chatu?
Tak. I to nie tylko i wyłącznie chodzi o czat GPT, ale przeróżne aplikacje. Śledzę aktywność krajowych organów nadzorczych, które podejmują tego typu interwencje i będę chciał szczegółowo zapoznać się z tym postępowaniem. Pamiętajmy jednak, iż te aplikacje stosowane są powszechnie we wszystkich krajach europejskich, a zatem potrzebna jest kooperacja z krajowymi organami nadzorczymi i EROD.
W Senacie mówiłem o kwestiach dotyczących np. obowiązków informacyjnych, które powinny być wykonywane. Trzeba dokonać oceny, czy te aplikacje szanują te wymagania, a w szczególności, czy są przeznaczone dla osób niepełnoletnich.
Przepisy RODO nakazują bowiem organom nadzorczym zwracanie szczególnej uwagi na prawa dzieci. Zapewniam, iż prezes UODO będzie zajmował się wszystkimi zagadnieniami, które wynikną z codziennych wyzwań i konkretnych problemów w trakcie urzędowania.
W Senacie poruszył pan też temat ochrony dzieci, np. w kontekście cyberbullingu. Jakie są jeszcze zagrożenia związane z ochroną danych małoletnich i jak mi przeciwdziałać?
Wskazałbym m.in. na kwestię kradzieży tożsamości. Są to także różne zagadnienia związane po prostu z życiem nastolatków, niejednokrotnie z życiem towarzyskim czy emocjonalnym. Jak mantra wraca kwestia edukacji, czyli wzmacniania świadomości cyfrowych zagrożeń wśród młodzieży i wiedzy prawnej. Tak jak uczy się młodzież wiedzy o społeczeństwie, o życiu rodzinie, tak samo powinno się dzisiaj uczyć o cyberbezpieczeństwie.
Będę chciał współpracować z ministrami cyfryzacji i edukacji, z rzeczniczką praw dziecka. Będę namawiać i pomagać, by kwestie te docelowo znalazły systemowo swoje miejsce w programach szkolnych. Już dzisiaj podejmuje się różne inicjatywy, ale uważam, iż młodzi ludzie powinni zostać jak najszybciej wyposażeni systemowo w taką wiedzę, by byli w stanie ocenić zagrożenia, które ich spotykają w sieci. Pamiętajmy, iż to życie cyfrowe, o ile chodzi o ilość spędzanych w nim godzin, często odpowiada życiu w świecie realnym.
W związku z tym, tak jak my przygotowujemy młodzież do życia w świecie realnym, tak samo powinniśmy wspierać i przygotowywać ją do życia w przestrzeni wirtualnej, czy wręcz w swoistych metaświatach.
Mirosław Wróblewski jest od wielu lat dyrektorem Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego Biura Rzecznika Praw Obywatelskich. Obejmie urząd przezesa UODO po złożeniu ślubowania.