Ewa Kulesza: Chcemy czuć się bezpieczni

Jak w ciągu ośmiu lat funkcjonowania GIODO zmieniała się świadomość obywateli oraz instytucji w zakresie ochrony danych osobowych?

W wyniku wejścia w życie ustawy o ochronie danych osobowych polscy obywatele w ogóle dowiedzieli się, że tego typu instytucje i regulacje funkcjonują w Europie. W Polsce nie było żadnej tradycji jeśli chodzi o ochronę danych osobowych, ale sfera prywatności od dawna chroniona była przepisami art. 23 i 24 Kodeksu cywilnego, obudowanymi świetnym orzecznictwem i literaturą, stanowiącymi podstawę do dochodzenia ochrony dóbr osobistych. Ustawa o ochronie danych inaczej ukształtowała prawa obywateli w zakresie ochrony danych osobowych, bo inny jest zakres tej ochrony. Ustawa wyposażyła obywateli w możliwość kontroli wykorzystania dotyczących ich danych osobowych, prawo żądania udzielania informacji, a także nałożyła określone obowiązki na organy państwa i na podmioty sektora prywatnego.

Jednak ustawa o ochronie danych osobowych została uchwalona o kilka lat za późno. Przez kilka lat swobody gospodarczej podmioty sektora prywatnego nauczyły się korzystać z niej bez żadnych ograniczeń, w tym także korzystać z danych osobowych czy informacji zawartych w rejestrach publicznych. Natomiast w przypadku sektora publicznego, w instytucjach publicznych utrwalone zostały stare nawyki z poprzedniej epoki, a w efekcie w wielu instytucjach publicznych ciągle nie została przyswojona filozofia państwa demokratycznego.

Czyli w tej chwili ta świadomość społeczeństwa jest inna, ale ciągle trzeba ją jeszcze zmieniać...

Tak, ale musimy pamiętać, że ochrona danych osobowych jest ciągle nową instytucją prawną. Wprawdzie w tej chwili mamy o wiele lepszą sytuację niż po wejściu w życie ustawy o ochronie danych, gdyż posiadamy klarowne przepisy, dużo nauczyliśmy się od kolegów z Europy Zachodniej, jest też orzecznictwo Sądu Administracyjnego czy nawet Sądu Najwyższego oraz komentarze do ustawy, ale z drugiej strony, ciągle jest to nowa instytucja. Na Zachodzie Europy podobne rozwiązania prawne funkcjonują ponad 30 lat, tam był więc czas, żeby obywatele i administratorzy danych nauczyli się, co oznacza prawo do ochrony danych.

Prawo jest ciągle zmieniane, zatem jakie są obecnie najbardziej aktualne zagadnienia związane z ochroną danych?

Problemem jest nadużywanie przepisów ustawy, zasłanianie się ustawą, żeby uniknąć odpowiedzi na pytania, na które często odpowiadają wprost przepisy regulujące działalność instytucji reprezentowanej przez urzędników czy pracowników. Ale oni swoich przepisów nie znają, za to słyszeli o ustawie o ochronie danych osobowych. I odpowiadają, że ochrona danych na coś tam im nie pozwala.

Ciągle powstają także wątpliwości dotyczące wzajemnej relacji ustawy o ochronie danych osobowych do innych przepisów. Ciągle też spotykamy się z pytaniami, czy można udostępnić dane czy też nie, a prawo nie daje klarownych odpowiedzi.

Przykładem może być powtarzające się pytanie o udostępnianie dokumentów samorządowym komisjom rewizyjnym. W przepisach regulujących działalność samorządu terytorialnego kompetencje tych komisji są określone bardzo ogólnie. Wydaje się zatem, że należałoby wystąpić do Parlamentu, żeby wreszcie te kompetencje zostały ustawowo dookreślone. Podobna jest sytuacja z wykonywaniem przez samorząd przepisów prawa nakazujących jawność informacji dotyczących finansów publicznych. W efekcie samorządy nie bardzo wiedzą, czy publikowanie informacji o umorzeniu podatku konkretnej, wskazanej z imienia , nazwiska i adresu osoby jest dopuszczalne, czy nie.

Nasz ustawodawca nakłada zarówno na podmioty publiczne, jak i prywatne różne obowiązki, nie troszcząc się o to jak powinny być wykonane, nawet wówczas, gdy istnieje obawa powstania kolizji pomiędzy obowiązującymi przepisami.

Jak na tle innych państw UE wypada Polska pod względem znajomości i przestrzegania przepisów o ochronie danych osobowych?

Oceniam, że ustawa jest dobra, zwłaszcza po nowelizacjach, w trakcie których usunięte zostały przepisy złe, a inne poprawione. Bardzo dobrze polskie przepisy ocenia Komisja Europejska. Wzorcem do oceny jest dyrektywa 95/46/WE Parlamentu Europejskiego i jej postanowienia zostały dobrze wprowadzone do polskiego porządku prawnego.

Pozytywnie oceniany jest także sposób wykonywania ustawy. Przypomnę, że w końcu stycznia przebywała w Polsce komisja UE, oceniająca przygotowanie naszego kraju do wejścia do "systemu Schengen", dokonująca oceny także z punktu widzenia wykonywania przepisów o ochronie danych osobowych. Uzyskaliśmy bardzo pozytywny protokół i wyniki tej kontroli były przedstawiane na forum Parlamentu Europejskiego. W dodatku - co jest przedmiotem mojej szczególnej dumy - polskie przepisy i działanie polskiego GIODO jest wskazywane jako przykład do naśladowania dla państw kandydackich. Dlatego też ja i moi współpracownicy wielokrotnie byliśmy, i jesteśmy, proszeni przez przedstawicieli innych państw, które wdrażają dopiero ustawodawstwo z zakresu ochrony, o możliwość spotkania żeby poznać działanie polskiej instytucji i przedyskutować problemy związane z wdrażaniem ustawodawstwa w "nowej" demokracji. W związku z tym gościliśmy w Biurze kolegów z Bułgarii, a ostatnio z Rumunii.

A jak wygląda samo przestrzeganie przepisów przez polskie instytucje?

Ponieważ Polacy mają specyficzny stosunek do przepisów prawa i hołdują zasadzie, że jeżeli obowiązują jakieś przepisy, to należy je omijać, to z przestrzeganiem jest różnie. Pragnę jednak podkreślić, że podmioty sektora prywatnego często wykonywanie ustawy o ochronie danych osobowych traktują jako wyraz wiarygodności firmy wobec klientów i partnerów zagranicznych. I dlatego np. w bankach zabezpieczenie danych jest znakomite. Spory z bankami dotyczą najczęściej kwestii adekwatności danych zbieranych od klientów.

Oczywiście sporo kłopotów zawsze stwarzały firmy marketingowe, ale to jest specyficzna grupa także dlatego, że często są to podmioty, które pojawiają się i znikają, stanowiąc zaprzeczenie narzekań na problemy z tworzeniem firm. Od nich trudno jest wyegzekwować przestrzeganie prawa i np. zmusić do aktualizacji baz danych, a w efekcie skargi, które potem przychodzą do nas wskazują, że oferty marketingowe są kierowane nawet do zmarłych.

Czy sektor publiczny też stara się omijać prawo?

W tym przypadku jest inaczej. Dużą staranność przestrzegania przepisów prawa widać w działaniach jednostek samorządowych, zwłaszcza najniższego szczebla. Gminy zasypują nas pytaniami i widać, że starają się przestrzegać przepisów. Do niedawna dobrze pod tym względem funkcjonowały służby mundurowe, choć teraz współpraca na przykład z policją nieco się rozluźniła. Ale problemy podmiotów sektora publicznego swoje źródło mają w złym prawie. Ustawa o ochronie danych osobowych jest często lekceważona, bądź demonstracyjnie wyłączana z przepisów przez ustawodawcę. Przykładem mogą być ustawy o Centralnym Biurze Antykorupcyjnym, czy też nowelizacja ustawy o IPN. Jeśli ustawodawca w sposób demonstracyjny wskazuje, że można bez żadnego uzasadnienia ograniczać konstytucyjne prawo do ochrony danych osobowych, to prawo to jest także lekceważone przez funkcjonariuszy naszego państwa. Ale taka sytuacja może sprawić, że Polska będzie negatywnie postrzegana na arenie międzynarodowej, bo w Europie prawo do ochrony danych jest traktowane jako jedno z praw podstawowych.

Czy w kontekście powołania CBA rola GIODO powinna zostać wzmocniona? Czy CBA może być zagrożeniem dla niektórych danych?

W opinii do ustawy o CBA jako Generalny Inspektor wskazywałam, że nie jest zadaniem GIODO przeszukiwanie baz danych i weryfikowanie, kogo to właśnie CBA kontroluje, ale kontrola zabezpieczeń systemów informatyczne, kontrola prawidłowości dostępu do zbiorów danych, np. czy prawo to mają tylko upoważnieniu pracownicy i komu udostępnia się dane, kontrola prawidłowości weryfikacji danych pod kątem ich przydatności po zakończeniu postępowań prowadzonych. W tej chwili nikt nie ma prawa kontrolować CBA, co tworzy sytuację żywcem wyjętą z przeszłości. Efekt może być bardzo różny. Przykładem może być choćby sytuacja w IPN: nie przestrzeganie przepisów własnych i ustawy o ochronie danych osobowych, brak kontroli sprawia, że faktycznie niekontrolowany jest dostęp do materiałów i ich wykorzystanie. No, chyba, że to jest cel zamierzony.

Obecnie dąży się do ujawniania danych zgromadzonych przez tę instytucję, które dotyczą byłych agentów SB. Czy każdy powinien mieć wgląd do teczek?

Ustawa o IPN, która obowiązuje w tej chwili jest bardzo dobra. Mówię oczywiście o przepisach, które świetnie sprawdziły się w innych państwach, a nie o praktyce. Zgodnie z przepisami dostęp do materiałów powinny mieć przede wszystkim osoby pokrzywdzone i powinny zdecydować o tym, jak materiały o nich mogą być wykorzystane. Po wyroku Trybunału Konstytucyjnego wgląd do teczek, ale tylko własnych, nie cudzych, mają także pracownicy byłych Służb Bezpieczeństwa. O pozwoleniu na prawo wglądu do materiałów przez badaczy w Polsce decyduje prezes IPN. Pragnę zaznaczyć, że w innych państwach o tym decydują kolegia lub komisje, które oceniają także w jakim zakresie i do jakich danych taki badacz może mieć dostęp. W każdej tego typu instytucji w państwach cywilizowanych materiały do określonego tematu wyszukuje archiwista i przekazuje badaczowi, który - oczywiście- zawsze może wnioskować o rozszerzenie zakresu materiałów. Jeszcze raz podkreślam, w innych państwach materiały wyszukiwane są przez archiwistów, ale wtedy nie ma tak zwanych "przypadkowych" odkryć jakichś informacji, jak to bywa w Polsce.

W zbiorach są także dane dotyczące sfery prywatnej, nawet intymnej ofiar reżimu komunistycznego, dlatego te właśnie osoby powinny decydować o sobie, o dotyczących ich dokumentach. Tym państwo demokratyczne różni się od państwa totalitarnego. Dlatego jestem zdecydowanie przeciwko zmianie ustawy i przeciwko udostępnianiu dokumentów z mocy ustawy wszystkim, bez uwzględnienia woli samych pokrzywdzonych.

Co zmienia wyrok WSA w Warszawie z dotyczący stosowania przez IPN ustawy o ochronie danych osobowych?

WSA potwierdził sprawę oczywistą dla każdego prawnika, że także w działalności IPN musi być stosowana ustawa o ochronie danych osobowych. Ponieważ decyzja GIODO została - według zapewnień IPN - wykonana, więc mimo jej uchylenia ze względów proceduralnych, IPN musi respektować ustawę o ochronie danych osobowych, ze wszystkimi tego konsekwencjami.

Mówimy dużo o uprawnieniach obywateli, a gdzie leży granica do zbierania informacji o obywatelach przez państwo dla zagwarantowania ich bezpieczeństwa?

Ta granica się przesuwa. Jeszcze jakiś czas temu było nie do pomyślenia wykorzystywanie przez inne instytucje, niż policja, danych biometrycznych. Teraz jest prawie powszechna akceptacja dla takich działań, także ze strony obywateli, jeśli mogłoby to przyczynić się do zwiększenia bezpieczeństwa publicznego. Przykładem mogą być europejskie przepisy, statuujące podstawę do zamieszczenia odcisków palców w wizach europejskich. Natomiast, jeżeli jakieś szczególne dane biometryczne, choćby wspomniane odciski palców, miałyby być wykorzystane w innych celach, np. przez pracodawcę w celu kontroli pracownika, to trzeba byłoby się poważnie nad tym zastanowić, zwłaszcza co do celowości, możliwości i podstaw prawnych takiego działania.

Generalnie, nie jest łatwo odpowiedzieć na pytanie o granice zbierania informacji. Zmienia się bowiem i technika, i okoliczności, które sprawiają, że nagle zbieranie takich czy innych danych staje się niezbędne. Natomiast zawsze konieczne jest zagwarantowanie obywatelom prawa do kontroli przetwarzania ich danych, także za pośrednictwem organu państwa, niezależnego w swoim działaniu od instytucji rządowych.

Czy w związku z tym co Pani powiedziała i zwiększone zagrożenie terroryzmem sprawi, że będziemy żyć w Orwellowskim świecie, pozbawionym prywatności?

Już w nim żyjemy. Przy pomocy telefonu komórkowego jesteśmy w każdej chwili do zlokalizowania. Kamery przemysłowe są standardem w miejscach publicznych. Jest to wynikiem i rozwoju techniki, ale i efektem zmieniającego się świata, także akceptacji obywateli dla zastosowania takich środków ochrony. Ta nowa sytuacja stawia przed organami ochrony danych osobowych nowe zadania w zakresie oceny prawidłowości i celowości zastosowania nowych środków technicznych Organy ochrony danych muszą przede wszystkim jednak zagwarantować obywatelom instrumenty kontroli, w tym dać wiedzę o przysługujących im prawach, żeby obywatele mieli świadomość posiadanych uprawnień i umieli z nich korzystać, bo to jest droga do zachowania tożsamości i prywatności.

A instrumenty obrony przed nadmierną ingerencją w życie prywatne? Przede wszystkim bycie poinformowanym jest jednym takich instrumentów. Bo żeby się bronić , trzeba wiedzieć kto zbiera dane, w jakim celu, komu te dane będzie przekazywał, jaka jest podstawa zbierania, czy można się temu sprzeciwić. I musi mieć wsparcie w niezależnym od instytucji rządowych organie ochrony danych osobowych.

Rozwój technologii powoduje, że dane osobowe mogą łatwo trafić w tzw. niepowołane ręce. Jakie zatem zadania czekają GIODO w przyszłości?

Nowy Generalny Inspektor powinien dążyć wzmocnienia prawnych instrumentów przysługujących mu, żeby ustawa o ochronie danych osobowych była rzeczywiście wykonywana. Mnie nie udało się np. wprowadzić do ustawy, zamiast obowiązku zawiadamiania organów ścigania, kar pieniężnych nakładanych w trybie administracyjnym na administratorów danych naruszających przepisy ustawy. Byłby to niewątpliwie straszak dla podmiotów nierespektujących przepisy. Bo teraz postanowienia prokuratorskie umarzające postępowania w sprawach o naruszenie ustawy o ochronie danych osobowych ze względu na znikomość społecznej szkodliwości czynu, utwierdzają tylko sprawców w ich bezkarności. Jestem zażenowana, kiedy czytam postanowienia o umorzeniu, albo o odmowie wszczęcia postępowania, bowiem retoryka tych dokumentów przypomina mowy obrończe i skłania do refleksji, że prawo do prywatności, prawo do ochrony danych osobowych, w istocie stanowiące gwarancje prawa do godności, jakkolwiek formalnie zapisane w Konstytucji, nie są wartościami uznawanymi przez polskie organy ścigania.

Dlatego też, zwłaszcza wobec zagrożeń wynikających z możliwości, jakie dają nowe technologie, przepisy muszą dawać organowi ochrony danych możliwość ich skuteczniejszej egzekucji. W mojej ocenie, to jest właśnie wyzwanie dla przyszłego Generalnego Inspektora Ochrony Danych Osobowych.

Ewa Kulesza
Od 1998 r. pełniła funkcję Generalnego Inspektora Ochrony Danych Osobowych. Doktor
na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Specjalizuje się w prawie socjalnym i polityce społecznej.

Agnieszka Starewicz-Jaworska
Łukasz Kuligowski