1 miesiąc temu
Wersja publikowana w formacie PDF
- Komisja Sprawiedliwości i Praw Człowieka /nr 100/
- Poseł Anna Milczanowska /PiS/
- Przewodniczący poseł Paweł Śliz /Polska2050/
- Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski
- Poseł Tomasz Zimoch /niez./
– rozpatrzenie Sprawozdania z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2024 (druk nr 1660).
W posiedzeniu udział wzięli: Mirosław Wróblewski prezes Urzędu Ochrony Danych Osobowych wraz ze współpracownikami.
W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Paulina Gabor, Szymon Dziaduła i Daniel Kędzierski – z sekretariatu Komisji w Biurze Komisji Sejmowych.
Przewodniczący poseł Paweł Śliz (Polska2050):
Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka.Witam państwa posłów oraz zaproszonych gości. Witam prezesa Urzędu Ochrony Danych Osobowych, pana Mirosława Wróblewskiego. Witam panią Ilonę Bogusławską, główną księgową dyrektora Departamentu Finansów i Kadr. Witam panią Annę Dutkowską, dyrektora Departamentu Inicjatyw Edukacyjnych. Witam panią Monikę Krasińską, dyrektora Departamentu Prawa i Nowych Technologii.
Na podstawie listy obecności stwierdzam kworum. Porządek dzienny dzisiejszego posiedzenia obejmuje rozpatrzenie sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych za 2024 r., druk nr 1660. Przechodzimy do realizacji porządku dziennego. Udzielam głosu panu prezesowi Urzędu Ochrony Danych Osobowych, panu Mirosławowi Wróblewskiemu, w celu przedstawienia sprawozdania za okres działalności za 2024 r.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski:
Bardzo dziękuję. Panie przewodniczący, Wysoka Komisjo, szanowni państwo, mam dzisiaj zaszczyt przedstawić sprawozdanie z działalności prezesa Urzędu Ochrony Danych Osobowych za 2024 r. Stanowi ono wykonanie art. 59 rozporządzenia 2016/679 o ochronie danych, czyli RODO oraz art. 50 ustawy o ochronie danych osobowych. Prezes UODO wykonuje zadania wynikające nie tylko z tych aktów prawnych, ale także między innymi z wdrażającej dyrektywę dotyczącą ochrony danych osobowych w zwalczaniu i przeciwdziałaniu przestępczości ustawy z grudnia 2018 roku i wielu innych aktów prawnych. Sprawozdanie dotyczy całego 2024 r., jednak stanowisko prezesa objąłem w dniu 26 stycznia ubiegłego roku, więc chciałem zauważyć, iż będę sprawozdawać oczywiście cały rok, ale w części tego miesiąca wykonaną również to przez mojego szanownego poprzednika.Jeżeli chodzi o zadania organu nadzorczego, to zgodnie z art. 57 RODO, do urzędu należy rozpatrywanie skarg, podejmowanie czynności w sprawach dotyczących naruszeń, między innymi opiniowanie projektów aktów prawnych, wydawanie innych opinii, a także upowszechnianie i podnoszenie w społeczeństwie wiedzy z zakresu ochrony danych osobowych. Prezes UODO prowadzi także działania kontrolne w zakresie przestrzegania przepisów ochrony danych osobowych i w razie stwierdzenia uchybień prowadzenia postępowań administracyjnych. W przypadku stwierdzenia naruszenia przepisów, podejmowanie odpowiednich działań, włącznie z nakładaniem administracyjnej kary pieniężnej. Jednak niezwykle ważnym obszarem, o czym też będę chciał później bardziej szczegółowo powiedzieć, jest edukacja i budowanie świadomości praw, podmiotów, danych. Te wszystkie działania przyczyniają się do budowy bezpieczeństwa i odporności państwa, zapewnienia wysokiego poziomu ochrony praw podstawowych. Staramy się, aby te działania były zrównoważone i przede wszystkim dotyczą one dzisiaj w praktyce sfery cyfrowej i nowych technologii.
W 2024 r. zintensyfikowaliśmy nasze działania, o ile chodzi o kwestie opiniowania przepisów prawa, tak aby w jak najwyższym stopniu uwzględniały standardy ochrony danych osobowych, w tym prawo do prywatności, prawo do autonomii informacyjnej obywateli, zapewniając adekwatne funkcjonowanie Inspektora Ochrony Danych w organizacjach, zachęcanie do tworzenia kodeksów postępowania, uspójnianie wykładni przepisów prawa dotyczących ochrony danych osobowych, a także adekwatnego wdrażania wyroków Trybunału Sprawiedliwości do prawa krajowego, bo coraz więcej ich dotyczy właśnie prawa ochrony danych osobowych, a także przekazywanie administratorom jasnych wskazówek, jak w praktyce stosować RODO bez podejmowania działań nadmiernie ich obciążających, w szczególności w kontekście nowych technologii i nowych aktów cyfrowych Unii Europejskiej. W tej strukturze postaram się krótko przedstawić działania urzędu.
Jednym z głównych zadań Urzędu Ochrony Danych Osobowych jest rozpatrywanie skarg od osób fizycznych, od obywateli. Liczba tych skarg z roku na rok bardzo mocno wzrasta. Świadczy to z pewnością o wzroście świadomości wśród obywateli i wadze ochrony danych osobowych. W 2024 r. do urzędu wpłynęło w sumie 8056 skarg, o ponad 1000 więcej niż w 2023 r., a także 184 skargi o charakterze transgranicznym. Te sprawy są coraz bardziej skomplikowane, nie tylko pod względem prawnym, ale także technicznym, wielowątkowe, często dotyczą właśnie zagadnień związanych z nowymi technologiami, także z funkcjonowaniem relacji między różnymi krajami członkowskimi. W podziale na sektory to ponad 1500 skarg na podmioty sektora publicznego, ponad 3000 skarg na podmioty sektora prywatnego, ponad 1600 skarg na podmioty sektora zdrowia, zatrudnienia i szkolnictwa oraz ponad 1500 skarg na podmioty sektora finansowego, ubezpieczeń i telekomunikacji. Tylko hasłowo i przykładowo pozwolę sobie wymienić skargi i zagadnienia. o ile chodzi o sektor publiczny to na przykład udostępnianie danych osobowych na stronach internetowych BIP i platformach społecznościowych w sposób naruszający przepisy prawa, niespełnianie obowiązków informacyjnych, udostępnianie tych danych w korespondencji, które są wysyłane do osób trzecich. Te sprawy można byłoby wymieniać dalej. Ja jestem oczywiście do tego gotowy i w sprawozdaniu to bardzo szeroko i dokładnie opisaliśmy.
Jeżeli chodzi o sektor prywatny, to przede wszystkim kwestie systemowe. W sektorze finansowym i ubezpieczeniowym najwięcej skarg dotyczyło umów zawieranych z bankami i instytucjami kredytowymi. To także problemy związane z przekazywaniem i powierzaniem danych osobowych firmom windykacyjnym i do Biura Informacji Kredytowej bez podstawy prawnej, w sposób nieprzejrzysty dla osób, których te dane dotyczą. Tu jest największa liczba skarg wnoszonych do Urzędu Ochrony Danych Osobowych. W sektorze telekomunikacyjnym to między innymi kwestia spisywania danych z dowodu osobistego w celu zawarcia umowy z operatorem i sporządzanie kopii tych dokumentów, udostępnianie danych podmiotom nieuprawnionym, nieuwzględnianie wniosków o usunięcie danych czy odmowy wydania kopii nagrań rozmów telefonicznych, to bardzo częste skargi w tym zakresie. W sektorze zdrowia to wystawianie recept przez lekarzy z wykorzystaniem danych osób, które z usług tych lekarzy nie korzystały, także skierowań na badania dla osób trzecich przez nieznanych lekarzy, nieuprawniony dostęp do danych za pośrednictwem platformy PUE ZUS, także pozyskiwanie przez lekarzy nieuprawnionego dostępu do danych osobowych przetwarzanych w systemach ZUS w celach innych niż świadczenia medyczne, a także takie sprawy jak przetwarzanie starego numeru PESEL dziecka przez podmiot medyczny pomimo posiadania nowego numeru wydanego w wyniku adopcji, co ujawniło fakt adopcji, a więc kwestie bardzo wrażliwe społecznie. Bardzo częste skargi to również skargi dotyczące monitoringu wizyjnego. W sektorze zatrudnienia to udostępnianie przez pracodawcę danych na przykład o stanie zdrowia współpracowników czy przetwarzanie przez pracodawcę danych biometrycznych. W sektorze szkolnictwa to udostępnianie przez szkołę danych osobowych uczniów rodzicom innych uczniów, odmowy udostępniania kopii monitoringu, kwestie udostępniania wizerunku, niestety czasem także udostępnianie danych dotyczących korzystania z opieki psychologicznej czy też w jednej sprawie okoliczności dokonanej próby samookaleczenia dziecka na rzecz lokalnej prasy, a więc też sprawy bardzo wrażliwe. Bardzo często osoby, które się do nas zwracają wskazują, i te fakty często się potwierdzają, na przetwarzanie danych bez podstawy prawnej, upublicznianie wizerunku osób fizycznych bez zgody tych osób, nieuprawnione działania marketingowe, niespełnianie obowiązków informacyjnych, nieprawidłową realizację praw podmiotów danych, ale także deepfake, czyli zjawisko związane dzisiaj ze stosowaniem sztucznej inteligencji.
W ubiegłym roku prezes Urzędu Ochrony Danych Osobowych wydał 1719 decyzji administracyjnych, na które złożyło się, mówiłem tutaj o skargach, 1670 decyzji w sprawach skargowych, ale także 20 decyzji dotyczących naruszeń, 7 decyzji dotyczących kontroli. Te decyzje odgrywają kluczową rolę w kształtowaniu i wzmacnianiu ochrony danych osobowych, a pozytywny wpływ, co widzimy, można dostrzec w wielu aspektach. To między innymi rosnąca dbałość o bezpieczeństwo przetwarzania i świadomość wśród administratorów co do skuteczności dobieranych środków bezpieczeństwa. Decyzje służą także lepszemu zrozumieniu ciążących na administratorach obowiązków i dostosowywaniu przyjętych rozwiązań technicznych do dynamicznie rozwijających się technologii. Służą zmniejszeniu ryzyka wycieków danych, nieuprawnionego dostępu do systemów przetwarzających dane osobowe.
Urząd Ochrony Danych Osobowych prowadził także kontrole. Te kontrole są kontrolami sektorowymi, bądź też kontrolami doraźnymi. W 2024 r. te kontrole zostały przeprowadzone w 50 podmiotach. 33 na podstawie planu kontroli sektorowych, 2 w związku ze zgłoszonymi naruszeniami, 3 w związku z udziałem Polski w systemie Schengen, 12 kontroli doraźnych. Ponadto zostało przeprowadzone 20 sprawdzeń stosowania przepisów o ochronie danych osobowych na podstawie art. 11 ust. 1 ustawy dotyczącej przetwarzania danych w związku ze zwalczaniem przestępczości, 23 kontrole w podmiotach prywatnych, 7 kontroli dotyczących webowych aplikacji internetowych, czy kontrole w sektorze Schengen. Oprócz obszarów o których już wspominałem, nieprawidłowości najczęściej dotyczyły niezawierania umów powierzenia przetwarzania danych z podmiotami, którym przekazano dane osobowe, braku źródła pozyskania danych osobowych przez podmioty prowadzące działalność telemarketingową, upublicznianie nagrań z monitoringu wizyjnego osobom nieupoważnionym czy wprowadzanie nadmiernie skomplikowanej procedury wycofywania zgody na przetwarzanie danych osobowych czy niewdrożenie odpowiednich środków technicznych zabezpieczających bezpieczeństwo danych. Częstym problemem był niestety brak analizy ryzyka.
Jeżeli chodzi o administracyjne kary pieniężne to w 2024 r. zostały one nałożone w 22 sprawach na 27 podmiotów, w łącznej kwocie 13 907 740 zł. Dla porównania w 2023 r. zostało orzeczonych 31 administracyjnych kar pieniężnych, ale na kwotę blisko 10 razy mniejszą, bo 1230 tys. zł. Spośród 27 ukaranych podmiotów 5 należało do sektora finansów publicznych, pozostałe 22 to podmioty prywatne, w tym 10 spółek prawa handlowego, 9 osób prowadzących działalność gospodarczą, 3 komitety inicjatywy ustawodawczej i 2 stowarzyszenia. Oczywiście kary są dostosowane i ściśle uzależnione od wielkości podmiotu oraz od skali incydentu. Wiele naruszeń stanowiły przypadki spowodowane umyślnym działaniem, bądź zaniechaniem ze strony administratora. Oczywiście każda kara jest nakładana w zależności od okoliczności każdego indywidualnego przypadku. Najwyższa nałożona w 2024 r. kara wyniosła ponad 4 mln zł, najniższa na stowarzyszenie sportowe 916 zł.
Jeżeli chodzi o legislację, to legislacja i kooperacja z rządem, z obiema izbami parlamentu, jest dla nas niezwykle istotna, bo tutaj kształtowana jest podstawa prawna przetwarzania danych osobowych. Staramy się pełnić ekspercką rolę i brać aktywny udział w procesie legislacyjnym. To nie tylko opiniowanie projektów aktów prawnych, ale także opiniowanie projektów informatycznych w ramach współpracy z Ministerstwem Cyfryzacji w Komitecie ds. Cyfryzacji. Projekty informatyczne projektowane w sektorze publicznym podlegają ocenie także pod względem odpowiednich podstaw prawnych oprzyrządowania prawnego, ale to także opiniowanie aktów o silnym oddziaływaniu w sferze publicznej o charakterze strategicznym, takich jak na przykład polityka AI czy strategia cyberbezpieczeństwa.
Staramy się także współpracować z legislatorami i w tej mierze budować strategiczne partnerstwa. Podpisałem w ubiegłym roku 2 porozumienia o współpracy z Rządowym Centrum Legislacji i Polskim Towarzystwem Legislacji, współpracując w zakresie podnoszenia poziomu technik tworzenia prawa, oceny skutków regulacji dla ochrony danych i pogłębiania wiedzy i świadomości osób zaangażowanych w proces legislacyjny, tak aby tworzone prawo było precyzyjne i w jak największym stopniu zapewnione zostało poszanowanie prawa do ochrony danych osobowych. Niestety nie wszystkie organy publiczne i nie wszyscy projektodawcy pamiętają o wynikającym z ustawy o ochronie danych osobowych wymaganiu przekazywania do Urzędu Ochrony Danych Osobowych i jego prezesa projektów aktów prawnych, tak aby w jak najwcześniejszym etapie móc zauważyć ewentualne problemy i odnieść się do ochrony danych osobowych i ochrony prywatności.
W wielu przypadkach staramy się robić to w ramach monitoringu. Niestety wiele projektów trafia do nas późno, często dopiero z Sejmu, za co zresztą Sejmowi bardzo dziękuję. W 2024 r. zaopiniowaliśmy 779 projektów aktów prawnych. Najczęstsze kwestie, na które chciałbym zwrócić uwagę, to niedokonywanie oceny wpływu planowanych rozwiązań na ochronę danych, niestosowanie podstawowych zasad ochrony danych osobowych określonych w prawie ochrony danych, zwłaszcza chodzi o zasadę zgodności z prawem, minimalizacji danych, nieokreślenie albo nieprawidłowe określenie ról podmiotów biorących udział w procesach danych, regulacja, stworzenie podstaw mocą aktów wykonawczych, nie zaś ustawy, tak jak wymaga tego polska konstytucja, która jest w tym względzie bardzo klarowna. Pozwólcie państwo, iż nie będę podawał przykładów, bo jest ich bardzo dużo. Blisko 800 opinii to jednak ogrom pracy i obszaru.
Przejdę do zgłaszania naruszeń, które jest obowiązkiem wynikającym z rozporządzenia o ochronie danych osobowych. Organ nadzorczy przyjmuje te zgłoszenia, analizuje i podejmuje odpowiednie działania mające na celu wspieranie administratorów, ale także egzekwowanie tych przepisów w najpoważniejszych przypadkach. W 2024 r. organ nadzorczy otrzymał 14 842 zgłoszenia naruszeń ochrony danych. Najczęściej dotyczyły one nieprawidłowego adresowania korespondencji, ujawnienia danych osobie nieuprawnionej, nieprawidłowej anonimizacji danych, nieuprawnionego dostępu do baz danych, zgubienia, kradzieży lub pozostawienia w niezabezpieczonej lokalizacji dokumentacji papierowej czy nośników elektronicznych, działania złośliwego oprogramowania. To bardzo często ataki ransomware, naruszenia spowodowane błędami w aplikacjach. Często te incydenty wiążą się z naruszeniem także kwestii cyberbezpieczeństwa, więc ten aspekt bezpieczeństwa danych jest rzeczywiście najważniejszy i na te aspekty nakładamy bardzo dużą wagę, prowadząc następnie na podstawie zgłoszonych naruszeń postępowania administracyjne.
Chciałbym też krótko odnieść się do kwestii kodeksów postępowania. To jest takie narzędzie, które administratorom, w szczególności z konkretnych branż, ma służyć bardziej szczegółową pomocą w kształtowaniu adekwatnego przetwarzania danych osobowych. Co prawda w ubiegłym roku Urząd Ochrony Danych Osobowych nie zatwierdził żadnego kodeksu postępowania, ale przygotowanych jest kilka projektów kodeksów i są one na końcowym etapie oceny merytorycznej. To oczywiście zależy przede wszystkim od podmiotów, które chcą się tymi kodeksami związać. Jest to między innymi kodeks postępowania dla Polskiej Rady Centrów Handlowych, dla Organizacji Firm Badania Opinii i Rynku, dla Krajowej Izby Doradców Podatkowych, a także wniosek dla branży hotelarskiej, złożony przez Izbę Gospodarczą Hotelarstwa Polskiego. To także wnioski w zakresie kodeksu, które zostały już w tym roku złożone przez organizację fotografów w zakresie przede wszystkim przetwarzania wizerunku dzieci, osób i młodzieży w szkołach i przedszkolach.
Urząd Ochrony Danych Osobowych udziela także na bieżąco odpowiedzi na pytania prawne. W istocie to blisko 2000 opinii prawnych, które zostały przygotowane i na skutek których administratorzy, inspektorzy ochrony danych osobowych, ale także w ponad 60 przypadkach organy nadzorcze z innych państw uzyskały pomoc z takimi właśnie opiniami prawnymi z naszego urzędu. To między innymi stosowanie monitoringu wizyjnego – bardzo często skomplikowane działanie, przetwarzanie danych biometrycznych, przetwarzanie danych w dokumentacji medycznej, działalności gospodarczej, w związku z ochroną małoletnich w systemach teleinformatycznych. Pytania pochodzące od inspektorów ochrony danych osobowych traktujemy bardzo poważnie, bo są to rzeczywiście nasi partnerzy, o ile mogę ich tak nazwać, którzy oczywiście wspierają administratorów, ale kooperacja z organizacjami inspektorów ochrony danych osobowych i wspieranie w udzielaniu indywidualnych interpretacji prawa jest dużą częścią działalności urzędu.
Wspomniałem o zapytaniach z innych organów nadzorczych. One się odbywają w ramach tak zwanego systemu IMI Internal Market Information System. Te pytania dotyczyły bardzo wielu kwestii szczegółowych, na przykład badań naukowych dotyczących zdrowia, danych lokalizacyjnych pojazdów, przetwarzania danych do celów dowodowych czy przez przedstawicieli wolnych zawodów.
Na podstawie art. 52 prezes Urzędu Ochrony Danych Osobowych może występować o podjęcie stosownych działań w celu zapewnienia skutecznej ochrony danych osobowych. Nie ukrywam, iż na skutek rozmowy z państwem na posiedzeniu plenarnym Sejmu i w ubiegłym roku w Komisji otrzymałem od państwa sygnały, iż takie wystąpienia są potrzebne, iż jest chęć zapoznawania się z tymi wystąpieniami, więc jest ich więcej niż w latach poprzednich. To 14 bardzo głęboko przemyślanych wystąpień. Myślę, iż w tym roku będzie ich jeszcze więcej. To między innymi wystąpienia do ministra cyfryzacji, dotyczące prac legislacyjnych, o ile chodzi o usługę zaufania i identyfikacji elektronicznej w związku z rozporządzeniem eIDAS 2.0, dotyczące uprawnień Krajowej Administracji Skarbowej, ustawy o doręczeniach elektronicznych czy też w wielu przypadkach dotyczące praw małoletnich i przetwarzania ich danych osobowych. To także systemowe wystąpienia na przykład do ministra do spraw Unii Europejskiej, dotyczące wyroków Trybunału Sprawiedliwości dotyczących ochrony danych osobowych. Niektóre z tych wystąpień są przygotowywane w związku z inicjatywami inspektorów ochrony danych, takie jak na przykład w obszarze oświaty, zdrowia czy, za co chciałbym podziękować szefowi służby cywilnej, w sprawie braku stanowiska inspektora ochrony danych osobowych w wykazie stanowisk służby cywilnej, co utrudnia zatrudnienie na odrębnym stanowisku inspektora danych osobowych, powoduje przypisywanie obowiązków inspektora już zatrudnionym pracownikom, co może powodować konflikt interesów.
Do obowiązków prezesa urzędu należy także składanie zawiadomień o podejrzeniu popełnienia przestępstwa wtedy, gdy jest to konieczne. To na przykład sprawa dotycząca danych osobowych ponad 1 mln klientów chińskiej platformy sprzedażowej Pandabuy, gdzie prokuratora początkowo odmówiła wszczęcia postępowania, jednak na skutek złożonego zażalenia sąd uchylił postanowienie prokuratury. Sprawa jest przekazana do ponownego przeprowadzenia i monitorujemy to postępowanie.
Pozwólcie państwo teraz na kilka słów o współpracy międzynarodowej i edukacji. Urząd Ochrony Danych Osobowych na podstawie przepisów RODO uczestniczy w pracach Europejskiej Rady Ochrony Danych i jej innych ciał grup roboczych. Jesteśmy także członkiem grupy do spraw edukacji cyfrowej. Bardzo liczne obowiązki i działania w zakresie edukacji, mógłbym tu rzeczywiście bardzo dużo mówić, bo to między innymi działania edukacyjne, informacyjne w ramach prowadzonego od 15 lat programu „Twoje dane – Twoja sprawa”, ale także poszukiwanie nowych platform i płaszczyzn współpracy w ramach podpisanego porozumienia z rzeczniczką praw dziecka, ostatnio zorganizowana konferencja o przetwarzaniu danych osobowych dzieci w szkołach oraz związkach i klubach sportowych, z uwagi na problemy, które widzieliśmy i dostrzegamy. Także porozumienie z Ogólnopolską Federacją Stowarzyszeń Uniwersytetów Trzeciego Wieku, z uwagi na to, iż widzimy wiele problemów i podejmujemy działania w zakresie ochrony danych osobowych osób w wieku podeszłym, gdzie także dostrzegamy wiele specyficznych problemów w tym zakresie. To także inicjatywy edukacyjne w ramach programu, który roboczo nazwaliśmy „UODO rusza w kraj”, spotkania w regionach z samorządem terytorialnym z uwagi na raport Najwyższej Izby Kontroli, z inspektorami ochrony danych osobowych, z przedsiębiorcami, organizacjami pozarządowymi. Jutro i pojutrze będziemy właśnie obecni w województwie warmińsko-mazurskim z serią takich spotkań edukacyjnych. Jednocześnie przyjmujemy na miejscu skargi i udzielamy porad prawnych z zakresu ochrony danych osobowych. W ramach działań edukacyjnych opublikowaliśmy także poradnik o ochronie wizerunku dziecka w internecie, wspierając placówki i organizacje edukacyjne w tym obszarze.
Nie chciałbym zajmować więcej czasu, bo tych działań edukacyjnych jest wiele. Uważam bowiem i mam nadzieję, iż to widać w aktywności urzędu, iż z jednej strony skuteczna egzekucja przepisów o ochronie danych osobowych, wyciąganie konsekwencji w przypadku naruszeń w najpoważniejszych sprawach, efektywne rozpatrywanie skarg obywateli, które wpływają do urzędu, ale także właśnie egzekucja, budowanie świadomości wśród administratorów oraz wśród obywateli, pozwalają na odnalezienie się w tym skomplikowanym ekosystemie, nie tylko i wyłącznie przepisów o ochronie danych osobowych, ale wielu nowych aktów cyfrowych, przyjętych głównie na poziomie Unii Europejskiej. Dlatego wytyczne, nad którymi pracujemy i wskazania w zakresie nowych technologii dotyczących między innymi sztucznej inteligencji, zarządzania danymi są naszym priorytetem nie tylko w roku 2024, w obecnym, ale i także na przyszłość. Szanowna Komisjo, szanowni państwo, bardzo dziękuję.
Przewodniczący poseł Paweł Śliz (Polska2050):
Dziękuję bardzo panie prezesie. Otwieram dyskusję. Czy ktoś z pań i panów posłów chciał zabrać głos? Nie widzę. Pan poseł Zimoch, proszę. Czy ktoś jeszcze z państwa posłów? Dobrze, to w takim razie zamykam listę. Tylko pan poseł Zimoch, proszę.Poseł Tomasz Zimoch (niez.):
Bardzo dziękuję. Panie prezesie, lektura tej informacji, tego sprawozdania, jest bardzo ciekawa. Rok temu mówił pan, iż występuje adekwatnie w imieniu poprzedniego prezesa. Rok 2024, ja zapomniałem, ale przed posiedzeniem Komisji przypomniał pan, iż to też jeszcze niepełny rok, bo to tylko 11 miesięcy, więc taka pełnia, niemal jak pełnia księżyca, będzie dopiero w przyszłym roku. Mam do pana prezesa pytanie. Jaka była pana najciekawsza, nazwijmy to, interwencja czy działanie, może niekoniecznie w 2024 r., ale ostatnio? Z czym to było związane i jak ewentualnie ta sprawa wygląda dalej? To jest coś, co chciałbym, żeby pan wybrał.Interesuje mnie także taka sprawa, bo nałożył pan karę pieniężną, to było chyba niespełna 100 000 zł, na Prokuraturę Krajową w związku z ujawnieniem danych, jeżeli ja dobrze pamiętam, przez prokuratora Tomasza Szafrańskiego oraz Zbigniewa Ziobrę na konferencji prasowej. Jak ta sprawa się zakończyła i gdyby pan przypomniał, dlaczego ta kara została nałożona? Czy widzi pan poprawę w działalności nie tylko Prokuratury Krajowej, ale także ewentualnie innych prokuratur? Bo w przeszłości chyba zdarzało się, iż prezes urzędu chyba nałożył już karę na którąś z prokuratur?
Trzeba przyznać, iż to dopiero 11 miesięcy, ale finansowo to jest rekordowy rok dla urzędu, prawda? Nałożone przez pana kary biją rekordy. Ale co to dopiero będzie w tym roku?
Poseł Anna Milczanowska (PiS):
Z czego się cieszysz? No takie coś.Poseł Tomasz Zimoch (niez.):
No ale przecież...Przewodniczący poseł Paweł Śliz (Polska2050):
Ale kochana pani poseł, dziękuję. Proszę kontynuować panie pośle, nie wchodzimy w dyskusję. Bardzo proszę.Poseł Tomasz Zimoch (niez.):
Chyba rozumiemy, o co chodzi. Ten rok zapowiada się jeszcze zdecydowanie intensywniejszy pod względem nakładania kar. Interesuje mnie to, bo dotychczas nałożone w 2025 r. kary znacznie przewyższają wysokość...Przewodniczący poseł Paweł Śliz (Polska2050):
Panie pośle, proszę zmierzać do końca pytania. Bardzo proszę.Poseł Tomasz Zimoch (niez.):
No jestem zdumiony, iż przewodniczący, jedno pytanie do prezesa i mówi...Przewodniczący poseł Paweł Śliz (Polska2050):
Panie pośle, bardzo proszę. Mam prośbę – bez komentowania, tylko bardzo bym prosił, żeby pan poseł zmierzał do końca. Prośba.Poseł Tomasz Zimoch (niez.):
To ja gwałtownie zakończę. Dlaczego tak wysokie kary nałożył pan w tym roku między innymi na bank ING, na McDonald’s i na Pocztę Polską? To są kwoty, które łącznie przewyższają kwoty z 2024 r. i to kilka razy. Dziękuję bardzo.Przewodniczący poseł Paweł Śliz (Polska2050):
Panie pośle, dziękuję bardzo. Ta uszczypliwość nie była konieczna, skoro i tak zmierzał pan do końca. Panie prezesie, bardzo proszę o udzielenie odpowiedzi na to pytanie.Poseł Tomasz Zimoch (niez.):
Nie ma tu żadnej uszczypliwości.Prezes UODO Mirosław Wróblewski:
Panie pośle, panie przewodniczący, bardzo dziękuję za pytanie. o ile chodzi o sprawę to oczywiście każdy wybór byłby subiektywny. Powiem, iż to, co wydaje mi się, iż jest istotne, to wyzwania współczesności, które dotyczą nas wszystkich. Dotyczą także osób, które pełnią funkcję publiczną, dotyczą dzieci i młodzieży. To jest kwestia deepfake’ów, czyli wykorzystania, w szczególności wizerunku, ale czasem także głosu, do manipulowania i tworzenia fałszywych treści, które powodują dezinformację, manipulacje, ale które także coraz częściej mogą prowadzić do czyjejś krzywdy. To jest zagadnienie, które było przedmiotem postanowień wydawanych przeze mnie w 2024 r., wstrzymujących przetwarzanie danych osobowych w takiej sprawie. Tu z uwagi na to, iż podmiot ma siedzibę w Irlandii, to irlandzka komisja przejęła adekwatne postępowanie. Możliwe były tylko środki tymczasowe, ale to także zakres, który w moim przekonaniu powinien wymagać rozwagi, o ile chodzi o ustanowienie krajowych przepisów w tym zakresie. Wiemy, iż takie przepisy zostały przyjęte np. w Danii czy we Włoszech. Tam już choćby bardzo daleko parlament zdecydował się uchwalić przepisy karne, ale wydaje mi się, iż rozwaga w tym zakresie jest potrzebna, ponieważ jest to bardzo szkodliwe zjawisko, także w kontekście dzieci i młodzieży, bo niestety to także przypadki przetwarzania i wykorzystywania realnych wizerunków do tworzenia treści, które mogą być szokujące, czy naruszające czyjeś dobra osobiste.W wielu krajach, w Wielkiej Brytanii czy w Korei Południowej jest to uznawane wręcz za szkodliwe zjawisko społeczne, które prowadzi do samobójstw wśród nastolatków, o ile chodzi na przykład o swoistego rodzaju szantaże takimi materiałami. Tworzenie takich treści musi być i jest pod moim szczególnym nadzorem, o ile chodzi oczywiście o interwencje legislacyjne, a także możliwe interwencje administracyjne. Myślę, iż wielką rolę może tutaj odegrać także akt o usługach cyfrowych, który wprowadza pewne obowiązki, które już będą ściśle poza kompetencjami Urzędu Ochrony Danych Osobowych, bo urzędem adekwatnym, który ma być wyznaczony, będzie Urząd Komunikacji Elektronicznej. Mamy dobrą współpracę z tym regulatorem i zakładam, iż będzie tak dalej.
Jeżeli chodzi o sprawę Prokuratury Krajowej to rzeczywiście w tej sprawie została nałożona kara blisko 80 tys. zł. Chodzi oczywiście o ujawnienie danych o osobie, o jej zdrowiu, o jej seksualności na konferencji prasowej, gdzie te dane zostały udostępnione bez podstawy prawnej i w moim przekonaniu z naruszeniem przepisów prawa. W tej sprawie jednak wojewódzki sąd administracyjny stwierdził, iż sprawa pozostaje poza kompetencjami prezesa Urzędu Ochrony Danych Osobowych z uwagi na wyłączenie, na które powołała się prokuratura, dotyczące sprawowania wymiaru sprawiedliwości. Ja w tej sprawie złożyłem skargę kasacyjną, ale oczywiście problem jest znacznie szerszy. Dotyczy interpretacji tych przepisów, które mogą budzić poważne wątpliwości w kontekście tego, czy nie są to wyłączenia zbyt szerokie i czy funkcjonowanie nadzoru wewnątrz samej prokuratury daje efektywną ochronę danych osobowych. W tej sprawie na pewno takiej ochrony tej osobie nie dano. Natomiast taka generalna uwaga – niestety ilość tych spraw rośnie i dotyczy to wielu obszarów, w których udostępniamy swoje wizerunki, dane osobowe, publikując je na przykład w social mediach bez refleksji czy nie naruszamy czyichś danych osobowych. Tych przypadków jest coraz więcej. Mamy także coraz więcej skarg. Ja o tym mówiłem, bo to rzeczywiście miało miejsce w przeróżnych sektorach i tych postanowień i decyzji także w tych sprawach będzie pewnie jeszcze więcej.
Jeżeli chodzi o kary to wynikają one oczywiście z prowadzonych już dotychczas postępowań. Te kary bardzo znacząco, może w tym roku rzeczywiście były większe podmioty, ale fluktuowały choćby rocznie w latach wcześniejszych i do 8 mln zł rocznie i wynikają z prowadzonych postępowań, które są kończone. Ja nie ukrywam, iż mi zależy na tym, żeby te postępowania kończyć sprawnie i wydawać decyzje w sprawach, które były prowadzone przez lata, dlatego może troszkę w tych latach te kary się kumulują, ale są one odzwierciedleniem statusu gospodarczego, to znaczy wielkości gospodarczej i wielkości obrotów konkretnego administratora. Tutaj w tym zakresie są bardzo precyzyjne wskazania w samym rozporządzeniu ogólnym i w wytycznych Europejskiej Rady Ochrony Danych Osobowych. Ja choćby cieszę się z tego, iż margines uznania prezesa urzędu nie jest w tym zakresie taki szeroki i jest on precyzyjnie wskazany w przepisach prawa, co zresztą potwierdzają wyroki sądowo-administracyjne, które w większości takie wysokości akceptują. Te podstawowe wytyczne to kara proporcjonalna i adekwatna do konkretnego naruszenia, ale także kara odstraszająca. W tym zakresie, w moim przekonaniu, te kary muszą być realne, to znaczy muszą realnie wpływać i one wpływają na rynek i ja otrzymuję wiele sygnałów, iż one realnie wpływają na postawę administratorów, którzy zaczynają poważnie traktować ochronę danych osobowych. Zawsze konieczna jest indywidualna ocena. Ona uwzględnia na przykład, ile osób zostało pokrzywdzonych danym wyciekiem danych, jakie to były osoby, jakie dane zostały uwzględnione, na przykład dane o stanie zdrowia muszą być traktowane jako dane szczególne i o ile mamy do czynienia z dużymi instytucjami finansowymi takimi jak banki, pan poseł wymienił ten przykład, skanowały dowody tożsamości wszystkich swoich klientów, a tych klientów były miliony, to kara niestety już idzie w miliony złotych. Natomiast oczywiście ostatecznie to sądy administracyjne decydują, czy ta kara została nałożona w prawidłowej wysokości i w tym zakresie orzecznictwo niezależnych sądów jest w pełni niezbędne. To chyba tyle.
Przewodniczący poseł Paweł Śliz (Polska2050):
Dziękuję bardzo. Szanowni państwo, zamykam w tym momencie dyskusję. Pozostało nam tylko i wyłącznie przyjęcie sprawozdania Komisji. Czy możemy przyjąć tak en bloc? Czy ktoś z państwa jest przeciw, żeby przyjąć sprawozdanie en bloc? Brak sprzeciwu? Dobrze. W takim razie, skoro nie ma sprzeciwu odnośnie do przyjęcia sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych za 2024 rok, zawartego w druku nr 1660, stwierdzam, iż Komisja Sprawiedliwości i Praw Człowieka przyjęła sprawozdanie prezesa Urzędu Ochrony Danych Osobowych za 2024 rok, zawarte w druku nr 1660.Wybór sprawozdawcy Komisji. Pani poseł Karolewska, czy zechciałaby być sprawozdawcą? Bardzo serdecznie dziękuję. Zamykam posiedzenie Komisji. Zapraszam za 8 minut.
« Powrótdo poprzedniej strony