17 kwietnia były prezes UODO zeznawał przed komisją śledczą ds. wyborów kopertowych. Podczas przesłuchania stwierdził, że tylko "przeglądał" wyroki sądów administracyjnych, które kwestionowały jego decyzje - a raczej bezczynność - w sprawie przekazania danych 30 mln Polek i Polaków Poczcie Polskiej w 2020 r. bez podstawy prawnej i na płycie DVD. Nie potrafił odpowiedzieć na pytanie, jakie dane Ministerstwo Cyfryzacji wtedy przekazało (imię i nazwisko, numer PESEL, wiek, płeć, adres zameldowania na pobyt stały lub czasowy).

Jan Nowak, zeznając przed komisją śledczą, nie wiedział też, jaką najwyższą karę finansową organ, którym kierował, może nałożyć na podstawie ogólnego rozporządzenia o ochronie danych (RODO). Naciskany przez członków komisji, strzelił: "jakieś 13 mln euro" (prawidłowa odpowiedź to 20 mln euro), mimo że jako prezes UODO powinien "wyróżniać się wiedzą z zakresu ochrony danych". Nie pamiętał też, ile zarabiał jako strażnik naszych danych. Poprosiliśmy o te informacje w UODO. Wynika z nich, że Jan Nowak jako prezes UODO w 2023 r. zarobił brutto 304 tys. zł, a w 2022 r. - 362 tys. zł (to zarówno wynagrodzenia, jak i dodatki stażowy, i funkcyjny oraz nagrody - w 2022 r. nagroda jubileuszowa to ponad 54 tys. zł; wszystkie kwoty brutto).

Zeznania byłego prezesa UODO przed komisją ds. wyborów kopertowych jej przewodniczący poseł Dariusz Joński podsumował krótko: - Przejdzie pan do historii. Nie ma pan elementarnej wiedzy. Gdyby nie dzisiejsza komisja, nikt by nie wiedział, że przez 5 lat nasze dane nie były bezpieczne.

O wyzwaniach, jakie stoją dzisiaj przed UODO, i sprawach, w których poprzednia władza arbitralnie sięgała po dane kobiet po aborcji, lekarzy czy ofiar przestępstw, ujawniając je w mediach społecznościowych i na konferencjach prasowych do doraźnych celów politycznych, rozmawiamy z nowym prezesem urzędu Mirosławem Wróblewskim.

Piotr Szostak: Od kilku miesięcy jest Pan nowym strażnikiem naszej prywatności. Czy UODO po ostatnich latach musi powalczyć o odzyskanie zaufania w społeczeństwie, także PR-owo?

Mirosław Wróblewski, prezes UODO: Dane osobowe są coraz większą wartością w nowoczesnych społeczeństwach i paliwem gospodarki XXI wieku. Zadaniem UODO jest nie tylko stać na ich straży, ale też wspierać wszystkich w tym, jak właściwie je przetwarzać - w tym ministerstwa i inne instytucje publiczne. Ważne jest, by UODO był blisko obywateli, stąd różne zmiany w funkcjonowaniu urzędu, które wprowadzamy, na przykład w zakresie pracy naszej infolinii. Zależy mi, by UODO był bardziej otwarty dla obywateli, organizacji społecznych czy środowisk biznesowych. 

Stąd większa obecność w mediach tradycyjnych i społecznościowych? Pana poprzednik raczej unikał bezpośrednich kontaktów z dziennikarzami. Teraz UODO ma profil nawet na Mastodonie, alternatywnym Twitterze dla osób szczególnie dbających o bezpieczeństwo danych.

Zamierzam działać przejrzyście, ale uważam, że zaufanie odbudowuje się przez działania, dlatego to one będą kształtować wizerunek UODO. Będziemy starali się o nich regularnie informować - tak, żeby wiadomo było, co urząd robi, co planuje, z kim się spotyka.

O relacje UODO z innymi instytucjami publicznymi chciałem zapytać w kontekście wyborów kopertowych. Były prezes Jan Nowak stał na stanowisku, że przekazanie Poczcie Polskiej danych wszystkich pełnoletnich obywateli w 2020 r. odbyło się legalnie i dlatego nie reagował. Na komisji śledczej zeznał, że z nikim z rządu się w tej sprawie nie spotykał i nikt na niego nie naciskał. Pan brał udział w zaskarżeniu jego decyzji.

Było dla mnie jasne od samego początku, że przetwarzanie danych 30 mln dorosłych obywateli z bazy PESEL - czyli w szczególności czynność ówczesnego ministra cyfryzacji polegająca na przekazaniu tych danych na płycie DVD Poczcie Polskiej - nastąpiło bez podstawy prawnej. Nie jest tajemnicą, że wraz ze współpracownikami w Biurze Rzecznika Praw Obywatelskich przygotowaliśmy dla ówczesnego RPO prof. Adama Bodnara skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie w tej sprawie. 

WSA przyznał Wam wtedy rację, ale prezes UODO tego nie uznał. 

Sąd stwierdził bezskuteczność czynności ministra podjętej z rażącym naruszeniem prawa, co - jak już dziś wiemy - niedawno potwierdził Naczelny Sąd Administracyjny. Z punktu widzenia przepisów o ochronie danych osobowych stało się wtedy coś bardzo niedobrego.

To znaczy?

RODO wyraźnie wskazuje, że samo powołanie się na przepis prawa nie wystarcza. Trzeba dokonać analizy, czy przetwarzanie danych jest w tym konkretnym przypadku uzasadnione. A jeśli tak - to czy procedury ochronne oraz gwarancje ochrony danych są adekwatne do ryzyka, jakiemu przetwarzanie takich danych podlega. Tutaj już cel przetwarzania danych w ogóle nie istniał - nie było ustawy o wyborach kopertowych. Nikt nie zadał też sobie pytania, czy do szacowania, ile przekazać pakietów wyborczych do punktów WER (Węzłów Ekspedycyjnych Rejonowych), należy rzeczywiście używać takich danych, jak imiona, nazwiska, wiek, płeć i ostatni zapisany w bazie adres zamieszkania.

Poprzedni prezes podczas przesłuchania nie potrafił odpowiedzieć, jakie dane Polek i Polaków były wtedy przetwarzane. Jakie konsekwencje miały jego decyzje? 

Komisja śledcza ds. wyborów kopertowych pokazuje, na jakie ryzyka naraziło Polskę nieprzestrzeganie procedur i prawa ochrony danych. W tej sprawie ponad 230 osób złożyło skargę do UODO na to, że ich dane były przetwarzane bez podstawy prawnej. Mój poprzednik część z tych skarg pozostawił bez rozpoznania z powodu braków formalnych, a resztę uznał za niezasadną. 13 osób złożyło na te decyzje skargi do sądów administracyjnych, ośmiu WSA przyznał rację. Sprawy te - po skardze kasacyjnej mojego poprzednika - czekają na rozpoznanie w NSA.

Można coś zrobić dzisiaj w tych sprawach?

Pierwsze, co mogę zrobić, to wycofać te skargi kasacyjne. Jedną z nich już wycofałem, co uznał NSA, umarzając postępowanie. Poprosiłem też pracowników urzędu o przygotowanie pism procesowych cofających pozostałe skargi kasacyjne prezesa Nowaka. Trzeba zakończyć ten chocholi taniec i spojrzeć prawdzie w oczy - organ ochrony danych osobowych nie stanął wtedy na straży naszych danych. Sytuacja wymaga od nas teraz przyznania, jak poważnym problemem jest naruszenie prawa do prywatności. Również w sytuacji, gdy uczyniły to instytucje publiczne.

A skargi uznane za niezasadne?

Dalsze kroki będą polegały na porządnym przeprowadzeniu postępowań administracyjnych zgodnie z orzecznictwem sądów administracyjnych we wszystkich sprawach, w których skargi spełniły wymagania formalne. UODO powinien nie tylko być urzędem administracji - chciałbym, aby stawał się także instytucją rzecznikowską obywateli. Prawo do ochrony danych osobowych to podstawowe prawo człowieka - gwarantowane polską Konstytucją, prawem UE i prawem międzynarodowym. Stojąc na straży tego prawa wzmacniamy nasze państwo.

Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

art. 51 ust. 1 i 2 Konstytucji RP

W państwie PiS minister zdrowia Adam Niedzielski potrafił ujawnić w mediach społecznościowych dane lekarza wraz z informacją o wystawionej przez niego recepcie. Było to tak rażące, że nawet prezes Nowak musiał interweniować i nałożył karę finansową na ministra. Karę jednak ma zapłacić instytucja, a nie osoba odpowiedzialna za naruszenie danych. Jak Pan ocenia obecne stanowisko Ministerstwa Zdrowia, które nie chce płacić za Niedzielskiego i odwołało się do sądu?

Popularne rozumienie RODO sprowadza się do wysokich kar, ale to nie jest nasze główne zadanie. Ważna jest świadomość, czego robić nie wolno, a jakie postępowanie jest właściwe. Prezes UODO musi interweniować i komunikować to w sposób przejrzysty i zrozumiały. 

To wystarczy?

W dłuższej perspektywie - mam nadzieję - poprawi to sytuację. W końcu intencjonalne naruszenie czyjejś prywatności stanie się tak poważną sprawą, że uniemożliwi udział w życiu publicznym. Chcemy, żeby prawo do prywatności nie było naruszane, a dane osobowe były przetwarzane w sposób właściwy i bezpieczny. Wszyscy musimy się tego nauczyć, bo są to rozwiązania nowoczesne, wspierające gospodarkę i prawa obywatelskie.

To, że kara została nałożona na Ministra, a więc organ, a nie osobę ministra, wynika przede wszystkim z tego, że administratorem danych był minister zdrowia jako organ: tak stanowią przepisy ustawowe oraz faktyczna ocena sytuacji - tylko organ miał dostęp do bazy danych. Również kontrola, która zainicjowała późniejsze postępowanie administracyjne w tej sprawie, była prowadzona u administratora danych, którym jest Minister Zdrowia.

CZYTAJ TEŻ: GDZIE JEST UODO, GDY RZĄD SIĘGA PO DANE OBYWATELI? MIAŁ BYĆ POSTRACHEM BIG TECHÓW, JEST "BEZZĘBNY" >>>

Nie jest w pewnym sensie niesprawiedliwe, że konsekwencje finansowe ponosi publiczna instytucja, a nie osobiście minister Niedzielski, który ujawnił dane wrażliwe i przetwarzał je za pośrednictwem aplikacji WhatsApp? Czy cel takiej kary, a więc przeciwdziałanie podobnym naruszeniom prywatności w przyszłości, jest w ten sposób zrealizowany? Bez odpowiedzialności osobistej to raczej sygnał do polityków: możecie podobne rzeczy robić w przyszłości, niewiele wam grozi.

Tak po ludzku rozumiem nową minister, że nie ma ochoty płacić za błędy poprzednika. Decyzja administracyjna została jednak wydana, a sprawę rozstrzygnie niezależny sąd. Pragnę jednocześnie podkreślić, że administrator, na którego nałożono karę pieniężną, dysponuje środkami prawnymi, które pozwalają mu na odzyskanie zapłaconej kary od swojego pracownika, w tym osoby zatrudnionej w ministerstwie na stanowisku ministra, zgodnie z przepisami prawa pracy.

Czyli maksymalnie do wysokości trzech miesięcznych pensji. Do 100 tys. zł kary, jaką nałożył UODO, trochę brakuje. 

Przy czym art. 122 Kodeksu pracy stwierdza, że jeśli pracownik umyślnie wyrządził szkodę, jest obowiązany do jej naprawienia w pełnej wysokości. Co więcej, osoba fizyczna, która bezpośrednio przyczyniła się do powstania naruszenia u administratora, może też odpowiadać karnie za przestępstwo na podstawie art. 107 Ustawy o ochronie danych.

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

art. 107 Ustawy o ochronie danych

Dodam jeszcze tylko, że w ostatnich dniach podjąłem decyzję o wszczęciu postępowania administracyjnego w innej sprawie, w której ujawniono dane dotyczące stanu zdrowia; tym razem chodziło o kobietę po aborcji.

W lutym wszczął Pan też postępowanie w sprawie ujawnienia danych osobowych syna posłanki Magdaleny Filiks przez TVP Info i Radio Szczecin. Dlaczego organ wcześniej odmawiał podjęcia tej sprawy i czy w tym wypadku brana pod uwagę jest odpowiedzialność karna?

Dotychczas Prezes UODO stał na stanowisku, że sprawą tą nie może się zająć, ponieważ RODO nie chroni praw osób zmarłych; dlatego odmówił jej podjęcia, mimo wniosku Rzecznika Praw Obywatelskich. Uważam, że była to wykładnia błędna z prawnego punktu widzenia - w momencie, kiedy doszło do ujawnienia danych nastolatka, on oczywiście żył, a zatem przepisy o ochronie danych miały zastosowanie do tej sytuacji. To ten moment powinien być istotny dla organu nadzorczego. 

Ale nie był.

Staram się unikać oceniania mojego poprzednika - w tej jednak sprawie decyzja odmowna była bezduszna i biurokratyczna. To przecież z powodu ujawnienia danych, informacji o sobie, nastolatek targnął się na swoje życie. Dlatego ta sprawa musi być bezwzględnie wyjaśniona, a konsekwencje, jeśli tylko będzie to możliwe, wyciągnięte. Wynika to nie tylko z prawa, ale i z potrzeby uniknięcia podobnych sytuacji w przyszłości. W tej chwili UODO ustala, skąd poszczególne media miały dane, które zostały przez nie ujawnione. Gdy to się uda, będzie można podjąć dalsze działania wobec podmiotu, który zamiast chronić dane przekazał je dziennikarzom.

Czy bierze Pan pod uwagę podjęcie innych spraw, w których wcześniej UODO nie interweniował? Na przykład w ub. roku prokurator w obecności ministra sprawiedliwości ujawnił dane ofiary homofobicznej napaści ze strony Mariki M.

Sprawa ujawnienia danych przez prokuratora już jest przedmiotem toczącego się postępowania. Mogę tylko powiedzieć, że zmierza ono ku finałowi i wkrótce podejmę w tej sprawie decyzję.  

Pragnę jednocześnie podkreślić, że spraw, których do tej pory nie zbadano, nie podjęto odpowiednich decyzji, bądź które należy wznowić, by zgodnie z wyrokami sądów przywrócić stan zgodny z prawem, jest znacznie więcej. Pomimo jednak, że pracy jest bardzo dużo, mam poczucie, że w tych staraniach jestem wspierany zarówno przez moich zastępców, pracowników UODO, jak i ekspertów oraz obserwatorów spoza Urzędu. Widzę często, że nasza praca już jest doceniana, co dodaje energii do przywracania praworządności w obszarze ochrony danych.

Dotychczas władza prezesa UODO kończyła się tam, gdzie zaczynała się szeroko rozumiana kategoria "bezpieczeństwa narodowego" i to, co z naszymi danymi robią służby. Afera Pegasusa pokazała, że to właśnie w tej, najmniej przejrzystej sferze, może dochodzić do największych patologii w przetwarzaniu danych. To tam państwo najbardziej zawiodło. Czy w tym obszarze coś się może zmienić?

Zmiany są konieczne. Zapowiedział je w Sejmie 24 kwietnia 2024 r. minister sprawiedliwości-prokurator generalny Adam Bodnar i jestem przekonany, że zrobi w tej sprawie, co w jego mocy.

Ze swojej strony mogę zapewnić, że będę o to zabiegał na kilku płaszczyznach. Przede wszystkim obecne regulacje Ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, które wdrożyły tzw. unijną dyrektywę policyjną, w części nieprawidłowo ją wdrażają i są niewystarczające. Pisaliśmy o tych problemach z moją zastępczynią prof. Agnieszką Grzelak w redagowanym przez nią komentarzu do tej ustawy.

Przede wszystkim istnieją wątpliwości związane choćby z interpretacją pojęcia "bezpieczeństwo narodowe", ale też kompetencjami poszczególnych instytucji i ich zakresem w sytuacji, gdy dochodzi do naruszenia ochrony danych osobowych. Konieczna jest zatem bliższa współpraca m.in. z Ministerstwem Spraw Wewnętrznych i Administracji, ale i poszczególnymi służbami - policją czy prokuraturą - w zakresie wypracowania spójnej praktyki w podejściu do rozumienia niektórych pojęć. Tak, by ta ochrona danych w praktyce mogła być skuteczna.

Niedawno interweniował Pan też u Prezesa Poczty Polskiej w związku z gubieniem przesyłek pocztowych. Jaka jest skala tych naruszeń, o ilu przypadkach rocznie mówimy? Jakie zagrożenia dla obywateli mogą wiązać się z tego typu naruszeniami ochrony danych i jak tłumaczyła to dotychczas PP?

Nie prowadzimy szczegółowych statystyk, ale analiza pokazuje, że spory odsetek zgłaszanych Prezesowi UODO naruszeń nie jest związany z przełamywaniem zabezpieczeń, dostępem do danych przez osoby nieupoważnione czy kradzieżą danych.

W przypadku administratorów danych, którzy z racji profilu swojej działalności wysyłają dane zawarte w korespondencji pocztowej, naruszenia często polegają na tym, że korespondencja zaginęła w trakcie jej dostarczania do odbiorcy lub trafiła do niewłaściwego adresata. Tak jest w przypadku niektórych instytucji publicznych, ale i prywatnych, jak towarzystwa ubezpieczeniowe, operatorzy telekomunikacyjni czy banki. Podmioty te niekiedy są zobowiązane, żeby wysłać dane dokumenty pocztą. A w tego typu dokumentacji znajduje się często szereg danych, jak adres, imię, nazwisko, nr PESEL, niekiedy numer i seria dowodu osobistego. W przypadku np. firm ubezpieczeniowych mogą to być również dane o stanie zdrowia, a więc dane szczególnej kategorii.

Ryzyka więc mogą być bardzo różne.

Od kradzieży tożsamości po np. wykorzystanie danych o zdrowiu przez innego ubezpieczyciela do zmiany warunków ubezpieczenia. Mniej niebezpiecznym, ale za to uciążliwym jest wykorzystywanie tych danych do niechcianego telemarketingu lub wysyłania reklam drogą elektroniczną. 

Nie możemy zapominać, że takie zagubione dane mogą służyć również do gromadzenia coraz dokładniejszych informacji o osobie i późniejszego jej profilowania wbrew jej woli.

Oprócz kradzieży tożsamości przestępcy mogą wykorzystywać dane także do phishingu (oszustwo polegające na podszywaniu się np. pod zaufaną instytucję w celu wyłudzenia poufnych danych, takich jak hasło czy numer karty kredytowej) czy tworzenia deep fake'ów - jak UODO widzi swoją rolę wobec tego typu współczesnych wyzwań?

Rola UODO w takich sprawach często jest mylona z kompetencjami organów ścigania. Przede wszystkim przestępstwa popełniane z wykorzystaniem danych osobowych są ścigane na podstawie przepisów prawa karnego i właściwe są tu policja i prokuratura, a następnie sądy. Prezes UODO nie ma kompetencji śledczych i dochodzeniowych. Gdy dochodzi np. do kradzieży tożsamości, czyli wykorzystania czyichś danych w celach przestępczych, to ustalenie i ściganie sprawców jest rolą policji i prokuratury. Choć zawiadomienie o możliwości popełnienia przestępstwa mogę złożyć jak każdy organ państwowy - zrobiłem to ostatnio w związku z niedopuszczalnym przetwarzaniem danych osobowych co najmniej kilkudziesięciu tysięcy obywateli polskich przez zagraniczne platformy sprzedażowe.

Co do zasady jednak mogę podejmować działania wobec administratorów danych, a więc podmiotów, które na co dzień przetwarzają dane, a w wyniku nieprawidłowości dochodzi u nich np. do tzw. wycieków danych lub innych naruszeń przepisów o ochronie danych osobowych. Rolą Prezesa UODO nie jest tu nakładanie kar, choć te czasem są konieczne, ale zapewnienie prawidłowej ochrony danych, czyli przeanalizowanie tego, co u administratora nie zadziałało. I jeżeli sam tego nie ustalił, to wskazanie mu obszarów wymagających z jego strony poprawy w kwestii zabezpieczeń, szkoleń czy nawet wdrożenia odpowiednich procedur. Z tym, że organ nadzorczy może wskazywać kierunki pewnych działań, a administrator samodzielnie musi o nie zadbać, uwzględniając specyfikę swojej działalności i ryzyka, z jakimi wiąże się u niego przetwarzanie danych osobowych.

Troska o jak najlepszą ochronę danych sprawi, że przestępcy będą mieli mniej materiału w postaci naszych danych do działalności przestępczej. Jednak sami, jako osoby, których dane dotyczą, również musimy podejmować wysiłki, by przestępcom nie ułatwiać życia. Dlatego tak ważne są wspominane przeze mnie działania edukacyjne. Zdobycie podstawowej wiedzy o tym, jak chronić swoje dane i nie paść ofiarą cyfrowego oszustwa, staje się wyzwaniem współczesnych społeczeństw. Prezes UODO chce w tym uczestniczyć.  

Europejscy odpowiednicy UODO coraz częściej też - w trosce o prywatność użytkowników - "stawiają się" wielkim korporacjom internetowym, np. Francuzi ukarali Google'a, Włosi tymczasowo zablokowali ChatGPT. Na ile polski organ ma możliwości kontrolować to, jak tego typu firmy przetwarzają nasze dane i podejmować decyzje o takiej wadze? 

Formalnie możemy interweniować, jeśli sprawca naruszenia ma siedzibę w Polsce. Możemy współpracować z innymi organami, jeśli sprawca ma siedzibę na terenie Unii. 

W wielu sprawach Prezes UODO współpracuje z innymi organami ochrony danych w UE.

Na przykład?

Weźmy słynną sprawę IAB Europe. Chodzi w niej o istotę nowoczesnej gospodarki: kiedy użytkownik przegląda stronę internetową lub korzysta z aplikacji z przestrzenią reklamową, reprezentujące tysiące reklamodawców przedsiębiorstwa, brokerzy i platformy reklamowe mogą w czasie rzeczywistym licytować, zza kulis, w celu pozyskania tej przestrzeni, aby zostały na niej wyświetlone reklamy dopasowane do profilu użytkownika (tzw. Real Time Bidding). 

Przed wyświetleniem takich ukierunkowanych reklam konieczne jest jednak uzyskanie uprzedniej zgody użytkownika na zbieranie i przetwarzanie jego danych (dotyczących m.in. jego lokalizacji, wieku, historii wyszukiwania i ostatnich zakupów) do celów, takich jak marketing lub reklama, lub na udostępnianie tych danych pewnym dostawcom. Użytkownik może również wyrazić w tym zakresie sprzeciw. 

IAB Europe, stowarzyszenie z siedzibą w Belgii, które reprezentuje przedsiębiorstwa z sektora reklamy cyfrowej i marketingu cyfrowego na szczeblu europejskim, opracowało rozwiązanie, które prezentuje jako mogące zapewnić zgodność systemu aukcyjnego z RODO. Informacje o preferencjach użytkowników są kodowane i przechowywane w ciągu składającym się z kombinacji liter i znaków, znanym pod nazwą Transparency and Consent String (TC String). Jest on udostępniany brokerom danych osobowych i platformom reklamowym, aby wiedzieli oni, na co użytkownik wyraził zgodę, a wobec czego wyraził sprzeciw. Na urządzeniu użytkownika umieszczony zostaje również plik cookie. TC String i wspomniany plik cookie, w powiązaniu, można połączyć z adresem IP tego użytkownika. 

Organizacje zajmujące się ochroną danych osobowych i prywatności złożyły na to rozwiązanie skargi. Uznały, że IAB Europe w istocie administruje danymi osobowymi, a nie wykonuje wynikających z tego obowiązków. Te skargi trafiły także do UODO. I my w całym procesie - który trwa - współpracujemy z naszym belgijskim odpowiednikiem. 

No i - w tej sieci - jesteśmy też w stałym kontakcie z Europejskim Inspektorem Ochrony Danych. Funkcję tę pełni obecnie Wojciech Wiewiórowski, który wcześniej pełnił funkcję poprzednika UODO - Generalnego Inspektora Ochrony Danych Osobowych. 

Kontrola przez polski organ nadzorczy podmiotów mających siedzibę poza naszym krajem jest skomplikowana pod względem prawnym i porównywanie z organami innych państw nie jest możliwe.

Przede wszystkim we wspomnianej karze dla Google'a, nałożonej przez francuski organ nadzorczy, zastosowanie miały francuskie przepisy szczególne, a nie ogólne rozporządzenie o ochronie danych osobowych (RODO). W Polsce krajowe regulacje są inne.

CZYTAJ TAKŻE: AI ACT PRZEGŁOSOWANY. "ROZWODNIONO" UNIJNE PRAWO O SZTUCZNEJ INTELIGENCJI? >>>

To znaczy?

Zgodnie z RODO sprawy dotyczące przetwarzania danych przez administratora mającego siedzibę w Belgii podlegają jurysdykcji tamtejszego organu ochrony danych osobowych. Jako prezes UODO mam obowiązek przestrzegania właściwości miejscowej. Moja decyzja wydana w sprawie np. IAB Europe może być uznana za nieważną. Mam zatem obowiązek przekazania takiej sprawy.

W przypadku np. Google'a czy Facebooka, które mają swoje przedstawicielstwo w Irlandii, organem właściwym jest tamtejszy organ nadzorczy. UODO uczestniczy w kilkudziesięciu postępowaniach dotyczących wspomnianych podmiotów, które prowadzi irlandzki organ.

A ChatGPT?

UODO prowadzi aktualnie postępowanie w związku ze skargą. Na finał tej sprawy będzie trzeba jednak jeszcze poczekać z uwagi na to, że zakres samej skargi jest obszerny i dotyka zupełnie nowych rzeczy, które dopiero poznajemy nie tylko jako UODO, ale jako ludzkość, bo mechanizmy sztucznej inteligencji i to, jak przetwarza ona dane osobowe, są nowym i skomplikowanym zagadnieniem. 

Dodam też, że przygotowujemy się aktywnie do nowych wyzwań. 9 maja br. - dzięki współpracy z przewodniczącym podkomisji ds. sztucznej inteligencji i przejrzystości algorytmów posłem Grzegorzem Napieralskim - przedstawimy w Sejmie prezentację dotyczącą tej problematyki.

Prezes Urzędu Ochrony Danych Osobowych (UODO) prowadzi postępowania w sprawach ujawnienia przez organy ścigania danych ofiary homofobicznej napaści Mariki M. oraz informacji o stanie zdrowia kobiety, która dokonała farmakologicznej aborcji.

Bada również ujawnienie przez TVP Info i Radio Szczecin danych syna posłanki Magdaleny Filiks. Były prezes Jan Nowak stał na stanowisku, że nie może się zająć tą sprawą, bo RODO (Rozporządzenie o ochronie danych osobowych) nie chroni praw osób zmarłych.

Nowy prezes UODO zajmuje się też tym, co działo się z danymi Polaków przed wyborami kopertowymi. Jan Nowak, poprzedni prezes urzędu, stał na stanowisku, że Poczta Polska przetwarzała dane wyborców legalnie. Mirosław Wróblewski planuje jednak wycofać skargi kasacyjne, które do NSA złożył w tej sprawie jego poprzednik.

Jan Nowak dał się bliżej poznać podczas posiedzenia komisji ds. wyborów kopertowych - poprzedni prezes UODO kilka razy zasłaniał się niepamięcią. Mówił, że nie pamięta nawet, ile zarabiał. Znamy odpowiedź.

Nowy szef UODO w rozmowie z tvn24.pl komentuje także stanowisko Ministerstwa Zdrowia, które nie chce płacić kary finansowej za byłego ministra Adama Niedzielskiego, który w mediach społecznościowych ujawnił dane lekarza.