Nowy prezes UODO: Autorytet buduje się poprzez dialog

Sztuczna inteligencja daje fantastyczne rezultaty w wielu obszarach. Jednocześnie to zagrożenie, jeżeli chodzi o prywatność, ochronę danych osobowych, ale też potencjał algorytmicznej dyskryminacji przy przetwarzaniu danych jest bardzo duży – mówi Mirosław Wróblewski, nowo wybrany prezes Urzędu Ochrony Danych Osobowych.

Publikacja: 22.01.2024 03:00

Mirosław Wróblewski

Foto: PAP/Piotr Nowak

Szymon Cydzik

W debacie towarzyszącej wyborowi wielokrotnie pan wskazywał, że autorytet urzędu jest nierozerwalnie związany z jego niezależnością. Został pan jednak zgłoszony przez konkretną partię i wybrany przez konkretną większość. Jak mimo to zachować tę niezależność, by nie budziła wątpliwości?

Niezależności krajowego organu nadzoru w RODO poświęcono wiele miejsca. Przyjęta konstrukcja ma na celu wzmocnienie jego pozycji, ma również chronić przed ingerencją pozostałych organów, które mogłyby zostać uznane za ograniczające jego niezależność. Przepisy, które dotyczą wyboru organów niezależnych, w większości przypadków zakładają wybór przez parlament krajowy. Uznaje się, że jest to najwyższa gwarancja niezależności – nie zaś nominacja przez władzę wykonawczą, np. premiera, ministra czy nawet prezydenta – i jest to forma stosowana w większości współczesnych państw demokratycznych.

Niezależność gwarantowana jest również innymi środkami – prawodawca krajowy nie może bowiem z jednej strony przyjmować rozwiązań, które uniemożliwią organowi nadzorczemu wykonywanie zadań wynikających z obowiązujących rozwiązań prawnych, z drugiej natomiast arbitralnie osłabiać gwarancji niezależności tego organu. Inną ważną gwarancją niezależności jest m.in. kadencyjność, brak możliwości otrzymywania od kogokolwiek poleceń czy instrukcji, wreszcie samodzielność organu nadzorczego w doborze zatrudnianych osób i współpracowników.

Wreszcie niezależność finansowa, która zawsze jest praktycznym wyzwaniem, bo co prawda propozycje budżetu składają takie organy samodzielnie, ale na końcu decyzję polityczną podejmuje parlament. Istotne jest zatem, by parlamentarzyści zdawali sobie sprawę, jak istotną funkcję pełni organ ochrony danych i jakie zadania spełnia.

Takie same gwarancje niezależności miał poprzedni prezes, a jednak jego niezależność była kwestionowana, co nawet pan sam podnosił w czasie debaty w parlamencie. Teoretyczne więc gwarancje to jedno, a praktyka to drugie.

Oczywiście, z tą różnicą, że przy wyborze pana prezesa Jana Nowaka nie było innych kandydatów. Niezależność w procedurze nominacyjnej może być istotnie wzmocniona poprzez jej transparentny przebieg. Obecny proces zakończony moim wyborem był zaś wyjątkowo otwarty. Ilość współkandydatów, otwarte dyskusje, w szczególności konferencja grudniowa jest też na pewno nowym, lepszym standardem w polskim parlamencie.

Wiele osób, w tym ja, ma nadzieję, że ten standard się utrwali, a takie deklaracje padają też ze strony Sejmu. Zawsze jednak ostatecznie niezależność jest i będzie sprawdzana po czynach, decyzjach i sposobie funkcjonowania urzędu. Deklaruję również otwartość urzędu i liczę na współpracę wszystkich osób zainteresowanych ochroną danych osobowych. Chcę, żeby podczas mojej kadencji było oczywistością, że organizacje pozarządowe czy eksperci, którzy chcą się wypowiedzieć, mają taką możliwość. Chcę zaprosić do współpracy w tej czy innej formie moich współkandydatów, jeśli wyrażą na to zgodę.

A co zrobić, by budować ten autorytet urzędu?

Autorytet buduje się latami, m.in. poprzez dialog z zainteresowanymi stronami. W ostatnich latach wielu brakowało takiego dialogu i konsultacji – to musimy poprawić. Po drugie – informacje o działalności urzędu, o przedstawionych stanowiskach, przygotowywanych opracowaniach, wytycznych, poradnikach – muszą być znacznie łatwiej dostępne.

To nie stanie się z dnia na dzień, ale obiecuję, że tę pracę podejmę już w pierwszych dniach urzędowania i będę chciał, żeby pod względem informacyjnym urząd zmienił się jakościowo. Po trzecie – przewidywalność działań prezesa i całego urzędu poprzez przyjmowanie dokumentów, które będą wskazywać kierunki ochrony danych osobowych. Istotne jest informowanie, jak UODO postrzega różne kwestie, czy też jak interpretuje przepisy – uwzględniając wymogi wynikające z systemu prawa UE. RODO jest aktem prawa Unii Europejskiej. Spójność stosowania tych przepisów w skali całej Unii jest niezwykle istotna. Dane osobowe są wymieniane między podmiotami, polscy obywatele podróżują, polscy przedsiębiorcy prowadzą działalność gospodarczą w innych krajach UE. Konieczne jest zatem uwzględnianie stanowisk wypracowywanych w Unii, np. wytycznych Europejskiej Rady Ochrony Danych Osobowych czy wyroków Trybunału Sprawiedliwości UE. Powinny być przez urząd upowszechniane, gdy trzeba, tłumaczone i ewentualnie wyjaśniane prostym, zrozumiałym językiem.

Czytaj więcej

Samorząd i administracja

Mirosław Wróblewski nowym Prezesem Urzędu Ochrony Danych Osobowych

Senat zatwierdził wczorajszy wybór Sejmu na stanowisko Prezesa UODO. Mirosław Wróblewski jako swoje priorytety wskazał - niezależność urzędu, współpracę z innymi organami państwa, odpowiedź na wyzwania związane z rozwojem technologicznym i edukację.

Jakie jeszcze działania są planowane w ramach tej otwartości?

Im mniejsze jest zrozumienie przepisów o ochronie danych osobowych, głównie wśród administratorów i procesorów (podmiotów przetwarzających dane), tym więcej pojawia się problemów, nieprawidłowości i skarg, tym bardziej potrzebne są kontrole. Wyjaśnienie tych wątpliwości, wzmocnienie pewności prawidłowego stosowania przepisów może istotnie obniżyć ryzyko powstawania problemów. Dzięki temu zmaleje nieco liczba skarg, które tysiącami docierają do urzędu, i będzie można zająć się sprawami bardziej strategicznymi. To nie tylko moje spostrzeżenie, słucham także specjalistów i środowisk w dziedzinie ochrony danych. Oczywiście, to podejście na pewno zweryfikuje praktyka. Trzeba mieć bowiem na uwadze jeszcze inne zjawisko: im bardziej rośnie świadomość prawna wśród podmiotów danych, tym bardziej wydaje się wzrastać ilość skarg.

W dyskusji senackiej poruszana była kwestia formalizmu, choćby przy spełnianiu obowiązku informacyjnego, co generuje duże koszty. Czy pana zdaniem to też nie wynika właśnie z niezrozumienia do końca tych przepisów i bezpiecznego zasłaniania się tymi formułkami?

Tak, myślę, że jest w tym dużo, dużo prawdy. Często postrzegamy RODO jako nadmiernie formalistyczny i obciążający akt. Byłoby założeniem idealistycznym oczekiwać, że nagle zmieni się nastawienie do tych przepisów. EROD i inne instytucje UE dokonały przeglądu po pięciu latach stosowania RODO i planowane zmiany na razie są kosmetyczne, dotyczą głównie transgranicznych przepływów danych i usprawnienia współpracy organów nadzorczych.

W praktyce stanowiska i wytyczne organu nadzorczego mogą pomóc we właściwym przestrzeganiu przepisów o ochronie danych. Jeżeli chodzi o obowiązek informacyjny, jestem zwolennikiem podejścia dwuwarstwowego, które dopuszcza również EROD. Zakłada ono zawarcie w klauzuli informacyjnej nie wszystkich drobiazgowych, często wielostronicowych informacji o ochronie danych osobowych, ale tych najważniejszych.

I to rzeczywiście podanych prostym, jasnym i przejrzystym językiem. Jednocześnie administrator powinien umożliwić zapoznanie się z pełną klauzulą informacyjną np. na stronie internetowej, czy też poprzez kliknięcie na odpowiedni przycisk. Chcę upowszechniać stosowanie prostego języka w ochronie danych. Mam w tym doświadczenie, związane m.in. z organizacją Kongresu Języka Urzędowego przez Senat RP, RPO i Radę Języka Polskiego. To nie jest błahe zagadnienie, bo takie są dokładnie założenia RODO, które ma pokazywać istotę ochrony danych osobowych.

Mówił pan też, że bliska jest panu tematyka sztucznej inteligencji (AI). Jakie zagrożenia niesie rozwój tej technologii dla danych osobowych i jak sobie z nimi radzić? UODO może to robić sam czy musi czekać na interwencję ustawodawcy?

Wyzwań technologicznych jest więcej. Jest to jednak jeden z najpoważniejszych tematów, ponieważ AI rzeczywiście ma największy potencjał negatywnych skutków dla podmiotów danych. Sztuczna inteligencja daje fantastyczne rezultaty w wielu obszarach, np. w medycynie, choćby w diagnostyce. Jednocześnie to zagrożenie, jeżeli chodzi o prywatność, ochronę danych osobowych, ale też potencjał algorytmicznej dyskryminacji przy przetwarzaniu danych jest bardzo duży. Sztuczna inteligencja stała się taka potężna nie tylko z powodu swoich matematyczno-statystycznych właściwości i mocy obliczeniowej komputerów, ale też z powodu przetwarzania danych – w dużej mierze danych osobowych, chociażby do celów „uczenia się” algorytmów.

Regulacje prawne dotyczące AI są wciąż szczątkowe, np. art. 22 RODO daje pewne gwarancje praw w przypadku zautomatyzowanego przetwarzania danych osobowych. Są jednak niewystarczające. Do tego wniosku doszła też Komisja Europejska, która przygotowała w 2021 r. projekt rozporządzenia o sztucznej inteligencji, który, jak się wydaje, ma szansę być sfinalizowany do końca kadencji PE.

Przygotowano także dyrektywę regulującą kwestię odpowiedzialności za szkody wyrządzone przez sztuczną inteligencję. Z jednej strony ma dać przedsiębiorcom gwarancje rozwoju innowacji, a z drugiej szansę na uzyskanie realnej ochrony prawnej przez osoby poszkodowane działaniem algorytmów. Jeżeli te akty, w szczególności akt o sztucznej inteligencji, zostaną przyjęte, to państwa członkowskie będą musiały te przepisy wdrożyć – w tym wskazać niezależny organ nadzorczy w odniesieniu do AI. UODO będzie musiał w tych pracach uczestniczyć i nie będę się uchylał od odpowiedzialności, jeżeli nasza wiedza i nasz potencjał będą potrzebne, a budżet urzędu na to pozwoli.

W zeszłej kadencji zostało wszczęte postępowanie w sprawie Chat GPT i przetwarzania przez niego danych. Czy polski urząd mógłby zakazywać pewnych technologii, tak jak włoski zakazał czasowo tego Chatu?

Tak. I to nie tylko i wyłącznie chodzi o czat GPT, ale przeróżne aplikacje. Śledzę aktywność krajowych organów nadzorczych, które podejmują tego typu interwencje i będę chciał szczegółowo zapoznać się z tym postępowaniem. Pamiętajmy jednak, że te aplikacje stosowane są powszechnie we wszystkich krajach europejskich, a zatem potrzebna jest współpraca z krajowymi organami nadzorczymi i EROD.

W Senacie mówiłem o kwestiach dotyczących np. obowiązków informacyjnych, które powinny być wykonywane. Trzeba dokonać oceny, czy te aplikacje szanują te wymagania, a w szczególności, czy są przeznaczone dla osób niepełnoletnich.

Przepisy RODO nakazują bowiem organom nadzorczym zwracanie szczególnej uwagi na prawa dzieci. Zapewniam, że prezes UODO będzie zajmował się wszystkimi zagadnieniami, które wynikną z codziennych wyzwań i konkretnych problemów w trakcie urzędowania.

W Senacie poruszył pan też temat ochrony dzieci, np. w kontekście cyberbullingu. Jakie są jeszcze zagrożenia związane z ochroną danych małoletnich i jak mi przeciwdziałać?

Wskazałbym m.in. na kwestię kradzieży tożsamości. Są to także różne zagadnienia związane po prostu z życiem nastolatków, niejednokrotnie z życiem towarzyskim czy emocjonalnym. Jak mantra wraca kwestia edukacji, czyli wzmacniania świadomości cyfrowych zagrożeń wśród młodzieży i wiedzy prawnej. Tak jak uczy się młodzież wiedzy o społeczeństwie, o życiu rodzinie, tak samo powinno się dzisiaj uczyć o cyberbezpieczeństwie.

Będę chciał współpracować z ministrami cyfryzacji i edukacji, z rzeczniczką praw dziecka. Będę namawiać i pomagać, by kwestie te docelowo znalazły systemowo swoje miejsce w programach szkolnych. Już dzisiaj podejmuje się różne inicjatywy, ale uważam, że młodzi ludzie powinni zostać jak najszybciej wyposażeni systemowo w taką wiedzę, by byli w stanie ocenić zagrożenia, które ich spotykają w sieci. Pamiętajmy, że to życie cyfrowe, jeżeli chodzi o ilość spędzanych w nim godzin, często odpowiada życiu w świecie realnym.

W związku z tym, tak jak my przygotowujemy młodzież do życia w świecie realnym, tak samo powinniśmy wspierać i przygotowywać ją do życia w przestrzeni wirtualnej, czy wręcz w swoistych metaświatach.

Mirosław Wróblewski jest od wielu lat dyrektorem Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego Biura Rzecznika Praw Obywatelskich. Obejmie urząd prezesa UODO po złożeniu ślubowania

Dane Osobowe Urząd Ochrony Danych Osobowych (UODO)

Pozostało 92% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Rzecz o prawie

Przemysław Sotowski: Nie sprowadzajmy AI do danych osobowych

Czasy się zmieniają, a prawnicy specjalizujący się w ochronie danych osobowych nadal twierdzą, że to Urząd Ochrony Danych Osobowych powinien kontrolować dane i sztuczną inteligencję.

Zmiany w dostępie do Elektronicznych Ksiąg Wieczystych. Co planuje Ministerstwo Sprawiedliwości?

W sądzie i w urzędzie

Zmiany w Elektronicznych Księgach Wieczystych. Dane osobowe będą lepiej chronione

Ministerstwo Sprawiedliwości planuje wprowadzić zmiany w dostępie do Elektronicznych Ksiąg Wieczystych. Znajdujące się w nich dane osobowe mają być lepiej chronione. Pojawić ma się system uwierzytelniania dostępu do bazy danych.

Rzecz o prawie

Anna Nowacka-Isaksson: Jak łatwo uśmiercić obywatela

Jonathan R. wnosi skargę przeciwko państwu za uznanie go za zmarłego.

Wicepremier, minister cyfryzacji Krzysztof Gawkowski (C) przed posiedzeniem rządu w KPRM w Warszawie

Opinie Prawne

Maciej Gawroński: Nie mnóżmy strażników sztucznej inteligencji

„Czasy się zmieniają, ale Pan zawsze jest w komisjach”. Czyli dlaczego to Urząd Ochrony Danych Osobowych powinien kontrolować dane i sztuczną inteligencję, a nie ministerstwo cyfryzacji powoływać sobie własnego nadzorcę.

Dane osobowe

Sąd nakazał prokuraturze zająć się wyciekiem z Pandabuy

Sąd Rejonowy dla Warszawy-Śródmieścia uznał, że prokuratura musi zająć się sprawą zawiadomienia Prezesa UODO dotyczącego podejrzenia popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com.

Kamery zainstalowane na prywatnym terenie nie mogą nagrywać sąsiednich posesji

Dobra osobiste

Monitoring u sąsiada: Co może rejestrować kamera? Przepisy są jasne

Instalacja systemu monitoringu na posesji to jeden ze sposobów na zwiększenie bezpieczeństwa domowników. Choć montaż kamer jest legalny, istnieją pewne ograniczenia dotyczące tego, co urządzenia mogą rejestrować.