Dwa dni wcześniej prokurator Tomasz Szafrański, podwładny ministra sprawiedliwości i prokuratora generalnego Zbigniewa Ziobry - w jego obecności - ujawnił na konferencji prasowej imię i nazwisko ofiary homofobicznej napaści ze strony Mariki M. (skazanej na trzy lata za rozbój).

W lipcu policja ujawniła nagrania w sprawie pani Joanny z Krakowa, która zadzwoniła do lekarza po pomoc po zażyciu tabletki poronnej. W rozmowie lekarki z dyspozytorem nie słychać nazwiska kobiety, jej wieku, tego, że dokonała aborcji, wreszcie danych prowadzącego rozmowę. Ale informacji, że kobieta "ma zaburzenia" czy "zaraz zażyje leki i się zabije", policja przed opinią publiczną nie uchroniła.

Na początku roku funkcjonariusze Centralnego Biura Antykorupcyjnego weszli też do gabinetu szczecińskiej ginekolog dr Marii Kubisy i bezpodstawnie zabrali dokumentację medyczną kilku tysięcy pacjentek. Części nie oddali do dziś, choć minęło już siedem miesięcy.

Przedstawiciele rządu Zjednoczonej Prawicy coraz częściej sięgają po wrażliwe dane obywateli i arbitralnie je ujawniają - często w celu dementowania rzekomych "fejków", do politycznych narracji w mediach społecznościowych czy na konferencjach prasowych. Gdzie w tym czasie jest Prezes Urzędu Ochrony Danych Osobowych, czyli - w teorii - kluczowa, niezależna i apolityczna instytucja, która powinna stać na straży naszych danych w Polsce?

Jan Nowak, pełniący obowiązki Prezesa UODO, raczej unika kamer. Dba o prywatność. 

UODO jak yeti

23 maja 2023 r., posiedzenie sejmowej Komisji Sprawiedliwości i Praw Człowieka. - Cieszę się, że pana widzę, panie prezesie - mówiła przewodnicząca komisji Kamila Gasiuk-Pihowicz, posłanka Platformy Obywatelskiej. - Czy zdaje pan sobie sprawę, że to jeden z głównych zarzutów formułowanych do pana: że wszyscy o panu słyszeli, ale nikt pana na oczy nie widział? Że nie zabiera pan aktywnego udziału w debacie publicznej, co niewątpliwe, przy wydawaniu tak wielu kontrowersyjnych decyzji, nie buduje autorytetu tego urzędu? - pytała.

- Przez cztery lata nie widziałem żadnej publicznej wypowiedzi prezesa UODO nagranej kamerą, w formie wideo. Mogły się pojawiać jakieś cytaty w prasie, przygotowane przez Departament Komunikacji urzędu. Ale nie widziałem żadnej wypowiedzi publicznej na jakikolwiek ważny temat związany z przetwarzaniem danych osobowych - mówi tvn24.pl dr Maciej Kawecki, prorektor ds. innowacji w Wyższej Szkoły Bankowej w Warszawie i Cyfrowy Ambasador Unii Europejskiej. W latach 2017-2019 jako urzędnik Ministerstwa Cyfryzacji odpowiadał za wdrożenie w Polsce unijnego rozporządzenia o ochronie danych osobowych, znanego powszechnie jako RODO.

Prezes Jan Nowak, były radny PiS

Właśnie na podstawie RODO w 2018 roku powstał Urząd Ochrony Danych Osobowych - w miejsce Biura Generalnego Inspektora Ochrony Danych Osobowych. - Prezes UODO miał być organem na miarę Rzecznika Praw Obywatelskich, mogącym wszczynać postępowanie administracyjne i [w jego efekcie - red.] nakładać wielomilionowe kary finansowe - mówi dr Kawecki.

Nowy regulator dzięki RODO został wyposażony w szereg nowych uprawnień i miał być potężną instytucją, której obawiać mieli się giganci technologiczni, tacy jak Google, Facebook czy Amazon. Dostał do ręki przede wszystkim kary pieniężne za naruszenia danych - do 10 i 20 mln euro oraz do 2 lub 4 proc. całkowitego rocznego obrotu firmy z poprzedniego roku.

Niektórzy europejscy odpowiednicy UODO potrafili w ostatnich latach podejmować odważne decyzje - np. francuski urząd ochrony danych nałożył na Google karę 50 mln euro za naruszenie RODO. W maju 2023 r. irlandzki regulator ukarał spółkę Meta (właściciela Facebooka i Instagrama) gigantyczną grzywną 1,2 mld euro. Z kolei włoski organ ochrony danych w tym roku odważył się tymczasowo zablokować popularny Chat GPT, oparty na sztucznej inteligencji. Powód - obawa o prywatność tamtejszych użytkowników. 

Wiosną 2019 r. Sejm za zgodą Senatu (w obu izbach większość miało wtedy Prawo i Sprawiedliwość) wybrał na prezesa UODO Jana Nowaka, byłego warszawskiego radnego PiS w dzielnicy Wola (przez pięć kadencji, w latach 2002-2019). W partii Nowak od 2011 r. był członkiem Koleżeńskiego Sądu Dyscyplinarnego (zasiadał w nim, kiedy kilka lat temu wobec Zbigniewa Ziobry, Jacka Kurskiego i Tadeusza Cymańskiego prowadzone było postępowanie dyscyplinarne za publiczne wypowiedzi, zakończone wyrzuceniem ich z PiS-u). Tuż przed powołaniem na stanowisko prezesa UODO Nowak zrezygnował z partyjnej legitymacji - apolityczności wymaga od prezesa ustawa o ochronie danych osobowych.

Przed głosowaniem w parlamencie Fundacja Panoptykon publicznie pytała Jana Nowaka o jego kwalifikacje. Prezesem urzędu może być tylko osoba, która - jak czytamy w ustawie -

"wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych".

Art. 34, ust. 4, pkt 3 Ustawy o ochronie danych osobowych

Nowak to absolwent mechaniki precyzyjnej na Politechnice Warszawskiej i studiów MBA. Od 2008 roku pracował jako dyrektor biura GIODO. Mimo że dyrektor kieruje pracą całego urzędu i może być uczestnikiem ważnych narad, to jednak przede wszystkim funkcja administracyjna - Nowak odpowiadał za opłacanie rachunków, czynsz za biuro, zakup żarówek, służbowych samochodów, umowy z pracownikami czy przekazywanie dokumentów do archiwum.

- Sprawdzał się na tym stanowisku. Do kwestii merytorycznych się nie wtrącał - mówi osoba niegdyś związana z urzędem. 

Po powołaniu na stanowisko prezesa UODO Jan Nowak miał się zajmować bardziej merytorycznymi zadaniami. Np. masowymi wyciekami danych użytkowników po atakach hakerskich, nielegalnym zbieraniem danych i monetyzowaniem ich przez platformy cyfrowe, technologiami do inwigilacji, śledzącymi reklamami czy uczącymi się algorytmami.

I pilnowaniem, czy władza nie nadużywa danych swoich obywateli.

Eksperci: bez precedensu

Piątek, 4 sierpnia. Lekarze w różnych miejscach Polski zgłaszają, że nie mogą od kilku dni wypisywać recept na leki przeciwbólowe i psychiatryczne. Problem dotyczy m.in. neurologów, onkologów, lekarzy w hospicjach. Ma związek z dostosowaniem Internetowego Konta Pacjenta oraz systemu e-Recepty do nowego rozporządzenia, które powinno ukrócić działalność portali pośredniczących w sprzedaży recept. Przez ostatnie lata praktycznie dowolne leki - w tym opioidowe i psychotropowe - można było na nich kupować zdalnie, bez faktycznego badania.

W "Faktach" TVN lekarz Piotr Pisula z Poznania informuje, że 2 i 3 sierpnia nie mógł wypisać leków przeciwbólowych pacjentom po operacji kręgosłupa. - Żadnemu pacjentowi nie dało się wystawić takiej recepty - mówi.

Krótko potem minister zdrowia Adam Niedzielski zleca swoim podwładnym, żeby zajrzeli do systemu resortu - czyli do państwowego rejestru - i zweryfikowali słowa lekarza. Odpowiedzi od nich otrzymuje komunikatorem Whatsapp. I zarzuca na Twitterze lekarzowi wypowiadającemu się w "Faktach" kłamstwo.

"Moja reakcja była tylko i wyłącznie odpowiedzią na upublicznianą przez lekarza nieprawdę" - tłumaczy się później Adam Niedzielski, już niedługo eksminister.

Okazuje się, że awaria systemu nie dotyczyła recept pro auctore, czyli wystawianych przez lekarzy na samych siebie. Lekarze mieli problemy techniczne tylko z wypisywaniem leków dla pacjentów.

Eksperci od ochrony danych nie mają wątpliwości: wpis ministra zdrowia jest ewidentnym złamaniem prawa. Narusza tajemnicę lekarską. Jest bez precedensu.

Sobota, 5 sierpnia. Naczelna Izba Lekarska zapowiada, że złoży zawiadomienie do prokuratury i żąda dymisji Niedzielskiego. Członkowie Naczelnej Rady Lekarskiej w oświadczeniu piszą, że "nie wyobrażają sobie dalszej współpracy" z ministrem.

Minister Niedzielski z kolei wydaje oświadczenie, w którym przekonuje, że działał w granicach przepisów ustawy o systemie informacji w ochronie zdrowia, zgodnie z którymi "minister zdrowia jest uprawniony do informacji dotyczącej wystawienia przez daną osobę recepty pro auctore". 

Poniedziałek, 7 sierpnia. Rząd nadal nie zajął stanowiska w sprawie ujawnienia danych wrażliwych obywatela przez swojego ministra. Dziennikarka technologiczna Sylwia Czubkowska pisze na Twitterze/X: "jest 10. w poniedziałek: i nie widać ani komunikatów ani nie słychać o żadnych krokach podjętych przez @UODOgov_pl [Urząd Ochrony Danych Osobowych], @jciesz [minister cyfryzacji Janusz Cieszyński] @CYFRA_gov_pl [Ministerstwo Cyfryzacji] w sprawie (...) łamania bezpieczeństwa wrażliwych danych medycznych".

Minister Cieszyński - kilka lat wcześniej, jeszcze jako wiceminister zdrowia, odpowiedzialny za wdrożenie systemu e-Recepty - sprawę Niedzielskiego zupełnie przemilcza. Wtorek, 8 sierpnia. Głos zabiera Urząd Ochrony Danych Osobowych, ale ogranicza się do podstawowych informacji. W mediach społecznościowych UODO informuje, że "wpłynęły 2 pisma, w tym od Naczelnej Izby Lekarskiej [drugie miał złożyć senator KO Krzysztof Brejza - red.], ws. ujawnienia szczególnej kategorii danych osobowych jednego z lekarzy". Przy czym przedstawiciele UODO "do tej pory" nie odnotowali "żadnej skargi w rozumieniu RODO", "ani nie zgłoszono naruszenia ochrony danych osobowych" - czytamy we wpisie na Twitterze.

Tego samego dnia po południu minister Adam Niedzielski zostaje odwołany ze stanowiska.

Sprawa jest analizowana

W środę, 9 sierpnia, zwróciliśmy się z pytaniami do rzecznika prasowego UODO Adama Sanockiego. Pytaliśmy:

• czy w urzędzie odnotowano już zgłoszenie naruszenia danych przez byłego ministra zdrowia,
• czy przepisy, które wskazał minister Niedzielski w oświadczeniu z 5 sierpnia z ustawy o systemie informacji w ochronie zdrowia, mogły być podstawą prawną do ujawnienia tego typu danych na platformie Twitter/X?

Rzecznik mailowo poinformował, że do UODO wpłynęło zgłoszenie naruszenia od Ministerstwa Zdrowia. Dlaczego resort sam na siebie doniósł? Miał obowiązek poinformować prezesa urzędu o podejrzeniu rażącego naruszenia przepisów. Dokonał notyfikacji na podstawie art. 33 RODO. Wymaga on, aby bez zbędnej zwłoki, nie później niż w terminie 72 godzin, powiadomić regulatora (a więc UODO) o naruszeniu danych. Gdyby ministerstwo tego nie zrobiło - narażałoby się na jeszcze większą odpowiedzialność, i wyższą karę finansową.

"Sprawa jest obecnie analizowana, a ewentualne dalsze działania organu będą podejmowane po zbadaniu wszelkich okoliczności, w tym po otrzymaniu odpowiedzi na szczegółowo zadane pytania w skierowanych do administratorów pismach" - czytamy w mailowej odpowiedzi rzecznika UODO.

Tłumacząc z urzędniczego na polski - chodzi o to, że dalsze działania UODO będą podejmowane po tym, jak ministerstwo i prokuratura udzielą urzędowi wyjaśnień.

Sanocki dodał też, że:

"ogólne rozporządzenie o ochronie danych (RODO) ma na celu ochronę praw obywateli, wszystkich osób fizycznych. Niezależnie od tego jaką funkcję pełnią, gdzie pracują. I właśnie tych praw gwarantowanych, praw w zakresie ochrony danych osobowych, a zatem i praw człowieka, broni Prezes Urzędu Ochrony Danych Osobowych. Pragnę podkreślić, że Prezes UODO jest niezależnym i apolitycznym organem ds. ochrony danych osobowych. W swoich działaniach kieruje się obowiązującymi przepisami prawa".

Adam Sanocki, rzecznik prasowy UODO

Do niezależności i apolityczności prezesa UODO Jana Nowaka jeszcze wrócimy.

Dane wrażliwe "użyte do politycznej narracji"

- Sytuacja, w której urzędnik wyciąga wrażliwe dane z publicznego rejestru i używa ich do politycznej narracji w trakcie okresu przedwyborczego, nie mieści się w głowie - komentuje działanie ministra Niedzielskiego prawnik dr Kawecki.

Jego zdaniem nie ulega wątpliwości, że doszło do naruszenia przepisów nie tylko RODO, ale też krajowej ustawy o ochronie danych osobowych, bo ujawnione zostały dane szczególnej kategorii, dane medyczne, bez podstawy prawnej.

- Przepis, który minister przywołał w swoim oświadczeniu z 5 sierpnia, nie jest absolutnie podstawą prawną do ujawnienia danych tego typu - mówi dr Kawecki.

Minister Niedzielski mógł więc powziąć wiedzę o recepcie pro auctore, ale nie mógł podać tej informacji do publicznej wiadomości. - Wywołało to ogromne szkody w zaufaniu społeczeństwa do państwa, usług cyfrowych i bezpieczeństwa danych przetwarzanych przez administrację publiczną - dodaje z kolei prawnik i aktywista Wojciech Klicki z Fundacji "Panoptykon".

Zbigniew Ziobro: "Każę je przywrócić"

Podobnie szkodliwe, zdaniem ekspertów, z którymi rozmawiamy, było ujawnienie, w obecności ministra sprawiedliwości, imienia i nazwiska pokrzywdzonej przez Marikę M.

2 sierpnia prokurator Tomasz Szafrański, podwładny ministra sprawiedliwości i prokuratora generalnego Zbigniewa Ziobry - w jego obecności - ujawnił na konferencji prasowej imię i nazwisko ofiary homofobicznej napaści ze strony Mariki M. (skazanej na trzy lata za rozbój). Wideo z konferencji na profilu w mediach społecznościowych resortu można było oglądać przez prawie 20 godzin. Później zostało usunięte.

Zapytany w czwartek, 10 sierpnia, w radiu RMF FM o nagranie minister Ziobro stwierdził, że nie wiedział o jego usunięciu. - W takim razie każę je przywrócić - dodał. Do chwili publikacji tego artykułu, w mediach społecznościowych (Facebook, Twitter/X) Ministerstwa Sprawiedliwości fragment nagrania, w którym ujawniono dane ofiary, nie pojawił się powtórnie.

Tymczasem Prokuratura Krajowa, jak poinformował UODO, również notyfikowała o naruszeniu danych (a więc doniosła do UODO sama na siebie). A prezes urzędu poprosił o wyjaśnienia w sprawie.

UODO zresztą karał już prokuraturę w mniej rażących przypadkach naruszeń, np. w maju 2023 roku karę 20 tys. zł otrzymała Prokuratura Rejonowa "z siedzibą w G." - jak czytamy w zanonimizowanej decyzji prezesa.

Za co? Prokuratura przekazała lokalnemu dziennikarzowi, na wniosek w trybie dostępu do informacji publicznej, "niezanonimizowaną dokumentację z zakończonego postępowania". Dziennikarz zachował więcej czujności niż prokuratorzy - opisując później historię w lokalnym portalu, informacje te zanonimizował.

Ministerstwu Zdrowia i Prokuraturze Krajowej grożą teraz - przynajmniej w teorii - kary pieniężne ze strony Prezesa UODO, maksimum 100 tys. zł. 

Po co władzy dane kobiet?

W czwartek, 10 sierpnia, zapytaliśmy też UODO o sprawę pani Joanny z Krakowa. Czy UODO zbada zachowanie policji na konferencji prasowej po nagłośnieniu nagrań zawierających informacje o jej stanie zdrowia? Policja - jak twierdzi - ujawniła je za zgodą prokuratury.

Wcześniej "policjanci naruszyli (...) intymność pani Joanny, kazali się jej rozbierać i kucać, przeszukali jej osobiste rzeczy, bo dowiedzieli się od lekarza, że pacjentka jest po aborcji" - pisała Agnieszka Jędrzejczyk w Oko.press.

Zdaniem dr. Kaweckiego Prezes UODO może - w sprawie nagrań zawierających informacje o stanie zdrowia - podjąć działania, również z urzędu. Z kolei pełnomocniczka pani Joanny adwokat Kamila Ferenc zapowiedziała, że złoży do UODO skargę o naruszenie ochrony danych osobowych.

Rzecznik UODO w piątek, 11 sierpnia, poinformował nas, że w sprawie ujawnienia danych pani Joanny z Krakowa przez Komendę Policji prowadzi działania wyjaśniające i skierował w tej sprawie pismo z prośbą o złożenie szczegółowych wyjaśnień. Dodał też, że:

"Urząd Ochrony Danych Osobowych z niepokojem obserwuje narastające przypadki udostępniania danych osobowych w debacie publicznej".

Adam Sanocki, rzecznik UODO

Na początku roku funkcjonariusze Centralnego Biura Antykorupcyjnego weszli też do gabinetu szczecińskiej ginekolog dr Marii Kubisy i - jak później stwierdził sąd - bezpodstawnie zabrali dokumentację medyczną kilku tysięcy pacjentek. Części dokumentacji nie oddali do dziś, choć od nalotu minęło już siedem miesięcy.

Czy UODO bada tę sprawę?

Departament Komunikacji poinformował nas, że UODO w tej sprawie nie jest właściwy: - Ustawodawca określił warunki zasady ochrony danych związane z przetwarzaniem ich przez organy właściwe dla zapobiegania i wykrywania przestępstw w ustawie policyjnej. W tym wypadku wyłączone jest stosowanie ogólnego rozporządzenia danych osobowych - tłumaczy tvn24.pl zastępczyni rzecznika UODO w rozmowie telefonicznej.

O co chodzi? Wyjaśnia to nieco posiedzenie Senatu 22 czerwca 2023 r. Przedstawiciele opozycji pytali na nim, dlaczego prezes UODO nie reagował na wykorzystywanie Pegasusa przez CBA do inwigilacji m.in. Krzysztofa Brejzy. Wykradzione izraelskim oprogramowaniem SMS-y z telefonu senatora Brejzy zostały zmanipulowane i opublikowane w TVP w środku kampanii wyborczej w 2019 roku.

Prezes UODO odpowiedział wtedy - zgodnie z obowiązującymi przepisami - że nie ma kompetencji do kontroli służb specjalnych. 

Było to prawdą, ale zdaniem prawników Fundacji "Panoptykon" sytuacja mogłaby wyglądać inaczej, gdyby "polskie władze prawidłowo wdrożyły tzw. dyrektywę policyjną, czyli unijną regulację ochrony danych osobowych w sektorze bezpieczeństwa" - jak pisali w kwietniu tego roku. Ich zdaniem CBA nie powinno zostać uznane za "służbę zajmującą się bezpieczeństwem narodowym" i pozostawać poza nadzorem UODO. 

Gdyby tak się stało, prezes urzędu mógłby - przynajmniej w teorii - działać też, kiedy funkcjonariusze na początku tego roku zabezpieczyli dokumentację medyczną kobiet w Szczecinie.

"Sprzeniewierzył się ślubowaniu"

Pod koniec maja kadencja Jana Nowaka na stanowisku Prezesa UODO wygasła. 23 maja PiS ponownie zgłosił jego kandydaturę. Posłanka Kamila Gasiuk-Pihowicz na posiedzeniu Komisji Sprawiedliwości i Praw Człowieka mówiła wtedy: 

- Nie powinien pan zostać powołany na kolejną kadencję. Co więcej, powinien pan zostać z obecnie pełnionego stanowiska odwołany jeszcze przed upływem kadencji. Dlaczego? Dlatego, że art. 34 ust. 9 pkt 3 ustawy o ochronie danych osobowych stwierdza, że prezes urzędu może zostać odwołany, jeżeli sprzeniewierzył się ślubowaniu, i pan temu ślubowaniu się sprzeniewierzył, o czym jednoznacznie stwierdził Naczelny Sąd Administracyjny.

Chodzi o sprawę jawności list poparcia kandydatów do Krajowej Rady Sądownictwa. Prezes Nowak od 2019 r. blokował - wydanym Kancelarii Sejmu zakazem - ujawnienie, którzy sędziowie poparli w 2018 r. kandydatów do nowej KRS. Po dwóch wyrokach Wojewódzkiego Sądu Administracyjnego w tej sprawie ze stycznia 2020 r. listy poznała opinia publiczna.

"To, co robi prezes Urzędu Ochrony Danych Osobowych, jest naruszeniem jego podstawowych obowiązków" >>>

Wtedy prezes Nowak zwrócił się do Naczelnego Sądu Administracyjnego, żeby stwierdził nieważność wyroków lub nakazał ponowne zbadanie całej sprawy. "Mimo prawomocnych rozstrzygnięć sądowych Prezes UODO podjął działania zmierzające do zablokowania udostępnienia opinii publicznej informacji o tym, kto popierał kandydatury sędziów do KRS" - pisali prawnicy Panoptykonu w kwietniu 2023 r.

Naczelny Sąd Administracyjny nie zostawił na Nowaku suchej nitki, pisząc w wyroku z kwietnia 2023 r., że:

"Prezes UODO sprzeniewierzył się określonemu w art. 35 ust. 1 ustawy o ochronie danych osobowych ślubowaniu, w którego rocie wprost zapisano, iż zobowiązuje się on do dochowania wierności Konstytucji RP oraz strzeżenia prawa ochrony danych osobowych".

I swoimi działaniami postawił się "ponad polskie sądy i wydane przez nie prawomocne orzeczenia".

Wątpliwości co do niezależności prezesa Jana Nowaka budziła też sprawa wyborów kopertowych - w tym trybie miały odbyć się w pandemii COVID-19 wybory prezydenckie w 2020 roku. Poczta Polska zażądała wtedy od gmin przekazania jej danych ze spisu wyborców, mimo że nie miała do tego podstawy prawnej. Niektóre samorządy przekazały dane mieszkańców, inne stanowczo Poczcie Polskiej odmawiały. Sprawą zajęły się sądy.

Uznały, że udostępnienie danych było przestępstwem, a premier Mateusz Morawiecki wydał decyzję - będącą podstawą do przekazywania danych - z "rażącym naruszeniem prawa". Ale prezes UODO - jak informowali aktywiści sieci obywatelskiej Watchdog Polska - problemu nie widział i odmówił wszczęcia postępowania.

- Niezależność to subiektywne odczucie u obywateli, że decyzje podjęte przez urząd są oparte wyłącznie na przesłankach merytorycznych - podkreśla Klicki z Panoptykonu.

Organ ochrony danych - jak podnoszą eksperci, z którymi rozmawiamy - powinien cechować się przede wszystkim niezależnością polityczną. To pewne minimum, żeby później, kiedy dojdzie do naruszenia danych obywateli przez urzędników, apolityczny UODO mógł ich ścigać.

Podobnie argumentowali autorzy petycji "Nie pozwólmy PiS przejąć Urzędu Ochrony Danych Osobowych!", którzy już w 2019 r. pisali: "Jan Nowak nie posiada wybitnej wiedzy prawniczej ani doświadczenia w tworzeniu i stosowaniu prawa, jest natomiast lojalnym członkiem-założycielem Prawa i Sprawiedliwości, oraz zaufanym współpracownikiem Jarosława Kaczyńskiego".

Pełniący obowiązki. Tymczasowo

Pod koniec maja Sejm ponownie powołał Nowaka na stanowisko, ale 22 czerwca Senat odmówił zgody na nominację (50 głosów przeciw, 44 za). Od tego momentu Jan Nowak pełni tymczasowo obowiązki prezesa UODO - do czasu powołania swojego następcy. 

- Prezes w mojej ocenie nie dawał społecznej gwarancji niezależności. Formalnie spełniał kryteria, ale fakt związania kariery zawodowej z partią rządzącą powinien go dyskwalifikować - mówi prawnik, dr Kawecki.

- W tej sprawie dojmujące jest też to, że opozycja nie miała żadnego kontrkandydata. Kandydatura prezesa Nowaka została po prostu odrzucona i nic się nie stało. Marszałek Elżbieta Witek nie ogłosiła nawet kolejnej tury wyborów prezesa UODO [Regulamin Sejmu nie nakłada na nią terminu na rozpoczęcie procedury wyboru - red.]. To pokazuje, że zarówno opozycja, jak i rządzący nie przywiązują szczególnej wagi do tego urzędu. Pokazuje, jaką on rzeczywiście odgrywa rolę - ocenia Wojciech Klicki z Panoptykonu. 

Przewlekłe postępowania, sądy kwestionują kary

W 2021 roku UODO zatrudniał 267 pracowników i dysponował budżetem ponad 39 mln zł - czytamy w ostatnim sprawozdaniu z działalności, które przedłożył. W 2021 r. do urzędu wpłynęło ponad 8,3 tys. skarg - o ponad tysiąc więcej niż rok wcześniej.

W ciągu pięciu lat działalności, do stycznia 2023 r., Prezes UODO ukarał 45 podmiotów, łącznie na 16 mln zł. Nakładane przez niego kary, w tym niektóre z największych, były jednak kwestionowane przez sądy. Np. w lutym tego roku Naczelny Sąd Administracyjny uchylił karę 2,8 mln zł dla firmy Morele.net, którą otrzymała za ogromny wyciek danych w 2018 roku po włamaniu do jej sklepu internetowego. Jak pisał serwis Niebezpiecznik, dane z bazy Morele były później wykorzystywane "jako wielka książka telefoniczna Polaków, a pozyskiwane z niej numery" były "używane do prześladowań niewinnych osób".

NSA stwierdził wtedy, że uzasadnienie decyzji UODO było "zbyt lakoniczne". W efekcie spółka nie zapłaciła złotówki kary, a prezes urzędu musiał dodatkowo pokryć 65 tys. zł kosztów postępowania.

Z kolei w przypadku najwyższej kary (prawie 5 mln zł), jaką Prezes UODO nałożył w swojej historii, Wojewódzki Sąd Administracyjny w Warszawie uznał, że "nie zbadał wystarczająco okoliczności potencjalnego wycieku danych ze spółki Fortum Marketing and Sales. Nie ustalił nawet stanu faktycznego". Ukarana firma - dostawca prądu i gazu - sama zgłosiła wtedy wyciek danych i przejęcie ich przez nieuprawnione osoby podczas wprowadzania zmian w systemie informatycznym.

"UODO jest bezzębny. Wie o tym też biznes"

UODO krytykowano również za ciągnące się długo postępowania. Jan Nowak, obejmując urząd, zapowiadał, że skróci ich czas. Nie udało się - w 2019 r. zapadło 50 orzeczeń sądów w sprawach o bezczynność UODO, a więc w takich, w których prezes - mimo skargi o naruszenie danych - nie zareagował. W 2022 roku takich orzeczeń było już 86.

- Nasz organ ochrony danych tłumaczył to dotychczas w ten sposób, że jest zobowiązany do przestrzegania przepisów Kodeksu postępowania administracyjnego, który spowalnia pracę [daje m.in. możliwość kolejnych odwołań i przeciągania postępowania przez strony - red.]. To jednak pewna wymówka i ta instytucja po prostu od dawna nie nabrała rozpędu - uważa Klicki z Panoptykonu. 

I dodaje: - Ta instytucja jest bezzębna. I obawiam się, że dobrze wie o tym także biznes. Mając do czynienia z urzędem, który bardzo wolno prowadzi postępowania i którego kary są często uchylane, firmy mogą próbować podejmować bardziej ryzykowne działania z perspektywy ochrony danych, obliczone na większe zyski.

O jakie ryzykowne działania chodzi? Większe zyski zazwyczaj daje bardziej inwazyjne zbieranie i monetyzowanie naszych danych przez platformy cyfrowe, np. o naszych dzieciach lub bez naszej świadomej zgody. Firmy, jak mówi Klicki, mogą liczyć, że UODO tego nie zauważy lub - nawet jeśli zauważy i po kilku latach postępowania, odwołań przed sądami, spółka nawet otrzyma karę pieniężną - to dalej będzie się jej to opłacało. 

Przykłady inwazyjnych systemów wymieniał zresztą niedawno minister cyfryzacji Janusz Cieszyński, pisząc o "niebezpiecznych aplikacjach Barbieselfie.ai i Barbie.me", wykorzystujących sztuczną inteligencję i oferujących filtry do zdjęć, pozwalające przeobrazić się w Barbie albo Kena. To tak naprawdę operacja masowego zbierania danych internautów - ostrzegał resort cyfryzacji. - Służą one do przetwarzania zdjęć i mogą wyciągać od nas ważne dane, a w konsekwencji nam zaszkodzić - wyjaśniał minister Cieszyński 4 sierpnia na łamach "Gazety Wrocławskiej", czyli tego samego dnia, kiedy minister Niedzielski w mediach społecznościowych ujawnił wrażliwe dane lekarza z Poznania.

czy w urzędzie odnotowano już zgłoszenie naruszenia danych przez byłego ministra zdrowia,

czy przepisy, które wskazał minister Niedzielski w oświadczeniu z 5 sierpnia z ustawy o systemie informacji w ochronie zdrowia, mogły być podstawą prawną do ujawnienia tego typu danych na platformie Twitter/X?