W czwartek Senat zatwierdził wybór dr. Wojciecha Wiewiórowskiego na stanowisko generalnego inspektora ochrony danych osobowych na drugą, czteroletnią, kadencję. Do jej rozpoczęcia brakuje zaprzysiężenia, które nastąpi zapewne na pierwszym po wakacjach posiedzeniu Sejmu.
Co uważa pan za największe zagrożenia dla prywatności obywateli? Na jakie zagadnienia zwróci pan szczególną uwagę podczas kolejnej kadencji szefa GIODO?
Wojciech Wiewiórowski: Są trzy poważne zagrożenia, na które zwróciłbym uwagę. Pierwsze - technologiczne - związane jest z tzw. internetem przedmiotów, czyli zjawiskiem, gdy rozmaite rzeczy wyposażone np. w chipy komunikują się między sobą przez sieć bez udziału człowieka. To mogą być ubrania, które wysyłają dane o stopniu swojego zużycia, albo butelka mleka, która "wie", w towarzystwie jakich produktów stoi w lodówce. Dla zobrazowania tej sytuacji w jednym z opracowań Komisji Europejskiej napisano, że "jogurty rozmawiają za naszymi plecami". Nie chodzi mi jednak o sam internet przedmiotów, lecz o zagrożenia na styku tego zjawiska i e-medycyny oraz tzw. medycyny mobilnej. Mam tu na myśli różnego rodzaju mierniki, które przekazują na zewnątrz informacje o stanie naszego zdrowia. Przykładem są soczewki kontaktowe, które na bieżąco mierzą poziom cukru we krwi. To rewelacyjne rozwiązanie, dzięki któremu można na bieżąco wyświetlać sobie poziom cukru na smartfonie. Jeżeli taka soczewka przesyła dane tylko do pacjenta, to w porządku. Jeśli także do lekarza, a pacjent się na to godzi, to też dobrze. Ale jeśli w niedalekiej przyszłości okaże się, że przesyłania takich danych będą wymagali pracodawcy lub ubezpieczyciele, to już się robi nieciekawie.
Drugi punkt to konwergencja usług, często na pierwszy rzut oka bardzo odległych od siebie, ale świadczonych przez tę samą firmę lub grupę firm. Na co dzień nawet nie do końca się orientujemy, że przy takim połączeniu usług gromadzi się wiele naszych danych. Przykład obecny już w Polsce to firmy telekomunikacyjne, zajmujące się płatnościami bankowymi. Z jednej strony mają dostęp do danych telekomunikacyjnych, z drugiej - do danych bankowych.
W czym problem?
W.W.: Te instytucje mogą łączyć informacje o tym, w jakich miejscach bywamy, skąd i z kim się komunikujemy, w jaki sposób wydajemy pieniądze i gdzie płacimy. Potencjał tak połączonych danych jest ogromny, choć teoretycznie po jednej stronie mamy tajemnicę bankową, a po drugiej - telekomunikacyjną.
Inny przykład to tzw. telematyka w motoryzacji. Dziś jednym z podstawowych urządzeń mobilnych jest samochód i jego komputer pokładowy. Do niego podłączamy nasz telefon komórkowy, laptop, tablet itp. Ten komputer pokładowy posiada sensory, które - jak się niedawno przyznał Ford - wysyłają do Stanów Zjednoczonych informacje o tym, jak się poruszamy. W przyszłości pewnie będzie to połączone z informacją przekazywaną ubezpieczycielowi z czarnej skrzynki zamontowanej - oczywiście "dobrowolnie" - w samochodzie tylko po to, żeby obniżyć składkę ubezpieczenia OC.
Jakie jest trzecie zagrożenie?
W.W.: Dotyczy państwowego "wielkiego brata". Chodzi o łączenie danych z różnych rejestrów publicznych. Oczywiście deklarowanym celem jest ułatwienie nam życia. Brzmi to bardzo fajnie, natomiast z reguły chodzi o znalezienie powodu, żeby tej pomocy nie realizować. Na przykład, żebym nie mógł skorzystać z publicznego przedszkola, jeżeli w innym miejscu wykazałem zbyt duże dochody. To wszystko dla dobra państwa i reszty społeczeństwa.
Jakie wyzwania stoją przed panem podczas drugiej kadencji?
W.W.: Podzieliłbym je na cztery podstawowe części - prawną, organizacyjną, związaną ze świadomością społeczną oraz technologiczną.
O niektórych wyzwaniach technologicznych już wspomniałem. Istotne jest jednak, w jaki sposób technologie te będziemy wykorzystywać w rolach, jakie pełnimy w społeczeństwie. Różnie zagrożenia te będą realizować się, gdy np. ktoś będzie szefem trójki klasowej, który wie więcej o dzieciach, nauczycielem, który wie bardzo dużo o uczniach, wychowawcą w przedszkolu, lekarzem, pielęgniarką, adwokatem itd.
Jeżeli przeciętny użytkownik internetu korzysta z chmurowej skrzynki pocztowej, to nie powinien się specjalnie przejmować, że programy komputerowe przeszukują mu pocztę, by ustalić, jaka reklama może go zainteresować. Ale jeśli decyduje się na to lekarz, adwokat czy radca prawny, to powinien wziąć pod uwagę tajemnicę zawodową. Nie jestem w stanie zrozumieć np. radcy prawnego, który korzysta z takiej skrzynki do kontaktu z klientami, nie informując go jednocześnie, że cała korespondencja będzie przeglądana przez firmę dostarczającą pocztę elektroniczną.
Najpoważniejsze wyzwania są chyba w obszarze prawa, bo trwają prace nad nowymi europejskimi przepisami dotyczącymi ochrony prywatności.
W.W.: W ciągu najbliższych czterech lat zapewne powstaną nowe europejskie ramy ochrony danych osobowych. Przypuszczam, że nowe unijne rozporządzenie zostanie uchwalone na początku 2015 r. i wejdzie w życie w 2017 r. Polska będzie musiała się do tego przygotować, m.in. uchwalając nową ustawę o ochronie danych osobowych. Choć rozporządzenie stosuje się bezpośrednio, ustawa będzie musiała określić kształt organu ochrony danych osobowych oraz kształt kontroli sądowej, szczególnie nad sankcjami administracyjnymi, których do tej pory nie było. Poza tym rozporządzenie w kilku miejscach pozostawia możliwość zgłoszenia przez państwa członkowskie odrębnych przepisów, które regulują kwestie dotyczące ochrony prywatności.
O jakich sektorach mówimy?
W.W.: To jest np. prawo pracy oraz związki zawodowe. Polskie przepisy mówią, jakie dane pracodawca może posiadać o pracowniku i kandydacie do pracy, a związkom zawodowym dają prawo do zachowywania w tajemnicy przed pracodawcą listy członków związku. Możemy te przepisy zgłosić jako wyjątek, ale może to jest moment, żeby przedyskutować, czy one na pewno powinny wyglądać tak, jak wyglądają.
Jest też pytanie, czy ocaleją wyjątki dotyczące Kościołów i związków wyznaniowych, które dziś nie podlegają wszystkim wymaganiom ustawy o ochronie danych osobowych. Żeby utrzymać ten stan rzeczy, musiałby powstać kompleksowy system ochrony danych osobowych w tym sektorze.
Projekt rozporządzenia przewiduje też wyjątek dotyczący wolności słowa. Tymczasem mam wątpliwości, czy Polska będzie w stanie go zgłosić.
W czym jest problem?
W.W.: Przede wszystkim o tzw. wyjątek dziennikarski. Polskie prawo prasowe pochodzi sprzed 30 lat i nastawione jest na ochronę dziennikarzy pracujących w redakcjach. A co z freelancerami? Przygotowując materiały, zwłaszcza śledcze, w oczywisty sposób gromadzą oni dane osobowe. Jeśli Komisja Europejska uzna, że polskie prawo prasowe nie nadaje się na wyjątek od europejskich przepisów o ochronie prywatności, dziennikarze przed rozpoczęciem pracy będą musieli występować o zezwolenie GIODO na zbieranie danych wrażliwych. Oczywiście zdaję sobie sprawę z absurdalności tego, co mówię, ale pokazuję problem prawny. Innym problemem jest tu oddzielenie prasy od różnego rodzaju profesjonalnych i hobbystycznych serwisów internetowych albo blogów. Czy mają się one cieszyć tymi samymi względami, z jakich dotychczas korzystali dziennikarze, których pozycję opisano w prawie prasowym?
Jakie są inne problemy prawne?
W.W.: Będziemy musieli prawnie "ogarnąć" kwestię danych biometrycznych i genetycznych. Ani w polskim prawie, ani w projekcie rozporządzenia UE nie ma to wystarczającej regulacji, choć w prawie europejskim pojawiają się już definicje tych rodzajów danych.
Wyzwaniem jest też kwestia nadzoru nad służbami specjalnymi. Do uregulowania zostają takie sprawy jak monitoring wizyjny, rejestry w zakresie pracy i ubezpieczeń społecznych oraz rejestry zdrowotne. Tu po części są projekty założeń przepisów, ale nie sądzę, aby udało się je uchwalić przed końcem kadencji Sejmu. Ogromnym wyzwaniem cały czas jest kwestia styku prywatności i transparentności, czyli z jednej strony ochrony danych osobowych i prywatności, z drugiej strony - otwartego państwa i swobodnego dostępu do informacji publicznej i jej ponownego przetwarzania.
Rozmawiał Rafał Lesiecki