Minął pierwszy rok Mirosława Wróblewskiego jako Prezesa Urzędu Ochrony Danych Osobowych

Szanowni Państwo,

współczesny świat nie jest w stanie funkcjonować bez danych osobowych. Na nich opierają się nie tylko usługi państwa dla obywateli, ale i rozwój kolejnych usług i technologii, w tym sztucznej inteligencji. Dlatego tak ważne jest, by każdy administrator chronił dane, które przetwarza w taki sposób, w jaki chciałby chronić informacje na swój temat. I do zbudowania takiej świadomości dążę od początku mojej kadencji Prezesa UODO wraz ze współpracownikami w Urzędzie. Pragnę, by działania UODO przyczyniały się skutecznie do uświadamiania całemu społeczeństwu znaczenia ochrony danych osobowych we współczesnym świecie.

To cel, jaki postawiłem składając przed rokiem (26 stycznia 2024 r.)  ślubowanie w Sejmie RP. 

Moją kadencję rozpocząłem m.in. serią spotkań z szefami instytucji konstytucyjnych oraz urzędów państwowych. Wziąłem udział w konferencjach i licznych spotkaniach, starając się przekazywać wiedzę o danych osobowych.

Nie jest ona działaniem pobocznym, sprawą informatyków i inspektorów ochrony danych, jak przywykliśmy myśleć, ale istotnym zadaniem zarządczym. Wymaga ona podejścia opartego na analizie ryzyka. Takie analizy są podstawą do szukania lepszych zabezpieczeń i unikania zagrożeń, które w innym przypadku stają się nieuniknione – przypominałem praktycznie przy każdej sposobności.

W ciągu 2024 r. nie zabrakło też spotkań z przedstawicielami biznesu, w tym branży IT, w trakcie których omawialiśmy m.in. problemy dotyczące wykorzystywania danych osobowych do trenowania modeli sztucznej inteligencji, co stanowi obecnie jeden z najważniejszych tematów w domenie bezpieczeństwa cyfrowego.

Sztuczna inteligencja i ochrona danych w tej sferze pozostawała zresztą jednym z podstawowych przedmiotów mojego zainteresowania w 2024., także ze względu na Akt o sztucznej inteligencji, czyli rozporządzenie, które zostało przyjęte w Unii Europejskiej. Stanowi ono pierwszą w skali świata tak kompleksową regulację prawną dla systemów i modeli sztucznej inteligencji. Tak zwany Al Act z pewnością na długo pozostanie jednym z najczęściej dyskutowanych zagadnień dotyczących ochrony danych, również w kontekście aktywności UODO w 2025 r.

Jednym z kluczowych tematów jest ochrona danych osobowych w służbie zdrowia, gdyż to z tego sektora pochodzi ogromna liczba naruszeń czy głośnych wycieków danych.

Moja i współpracowników aktywność przejawiała się więc także w szkoleniach i uczestnictwie w konferencjach organizowanych m.in. przez środowisko medyczne. Zorganizowaliśmy także we współpracy ze Społecznym Zespołem Ekspertów przy Prezesie UODO niezwykle ciekawą konferencję na temat robotyki medycznej i wykorzystania danych w nowoczesnych technologiach medycznych. Wydarzenia te były okazją  do precyzyjnego przekazywania wiedzy o danych osobowych z uwzględnieniem specyfiki tego sektora.

Kolejnym obszarem mojego szczególnego zainteresowania w 2024 r. była ochrona danych osobowych nieletnich. W czasie konferencji „Wyzwania dla ochrony danych osobowych dzieci”, zorganizowanej 26 kwietnia 2024 r. w Urzędzie Ochrony Danych Osobowych podpisałem porozumienie o współpracy Rzeczniczką Praw Dziecka Moniką Horną-Cieślak w zakresie inicjatyw edukacyjnych i badawczych dotyczących danych osobowych dzieci i młodzieży. Konferencja, jak i porozumienie dało impuls do współpracy na rzecz lepszej ochrony wizerunku nieletnich w erze cyfrowej, zwłaszcza w mediach społecznościowych. Działania te zaowocowały również wydaniem przez UODO wraz z Fundacją Orange poradnika „Wizerunek dziecka w internecie. Publikować czy nie?”.

W związku z napływającymi do UODO pytaniami w zakresie przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich wskazałem również, na jakie aspekty należy uważać przy stosowaniu tzw. ustawy Kamilka (czyli ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich, która weszła w życie 15 lutego 2024 r.) w zgodzie ze standardami ochrony danych osobowych. Podjęliśmy w Urzędzie próbę wyznaczenia w tej sprawie podstawowych standardów postępowania i na tej podstawie zwróciłem się do ministra sprawiedliwości prof. Adama Bodnara o zainicjowanie zmian przepisów tzw. ustawy Kamilka pod kątem dostosowania ich do zasad ochrony danych.

Systematycznie zabiegam o to, by myślenie o ochronie danych stało się nieodzownym elementem każdego procesu legislacyjnego. UODO uczestniczy więc w opiniowaniu projektów na etapie rządowym, a także przygotowuje ekspertyzy dla Sejmu, stale wskazując, że dobra ocena skutków regulacji powinna być uzupełniona o analizę ryzyka dotyczącą wprowadzania przepisów związanych z przetwarzaniem  danych.

Coraz więcej rozwiązań legislacyjnych zakłada przetwarzanie danych – czy to w przypadku ochrony zwierząt, bonu senioralnego czy opłat za odbiór odpadów. Dbać jednak trzeba o to, by regulacje nie prowadziły do nadmiernego przetwarzania danych przez administratorów, i by nie powstawało nieprecyzyjne prawo dotyczącego przetwarzania danych osobowych. Żeby powstające prawo było coraz lepsze i właściwie uwzględniało ochronę danych nawiązałem współpracę z ekspertami z zakresu legislacji – w styczniu tego roku podpisałem porozumienie o współpracy z Polskim Towarzystwem Legislacji, a podobne porozumienie planujemy podpisać dzisiaj (27 stycznia 2025 r.) z Prezes Rządowego Centrum Legislacji.

W ubiegłym roku wskazywałem również na konieczność wprowadzenia zmian ustawie o ochronie osób zgłaszających naruszenia prawa (tzw. ustawa o sygnalistach, która weszła w życie 15 września 2024 r.). Uwagi dotyczyły przede wszystkim niekonsekwencji w przepisach dotykających kwestii anonimowości przetwarzania danych osób zgłaszających naruszenia. Wątpliwości dotycząc tej materii zostały szczegółowo omówione podczas zorganizowanego w sierpniu 2024 r. w UODO seminarium „Praktyczne problemy w stosowaniu przepisów ustawy o ochronie sygnalistów z perspektywy RODO”.

W ubiegłym roku zgłosiłem też liczne uwagi do inicjatyw ustawodawczych oraz już istniejącego prawa, m.in. do projektu ustawy o Krajowej Administracji Skarbowej, do Kodeksu karnego oraz Kodeksu postępowania karnego, do projektu ustawy Prawo komunikacji elektronicznej, czy ustawy o Krajowym Rejestrze Osób Pełniących Niektóre Funkcje Publiczne.

W tym kontekście za niezwykle istotne należy uznać uwagi zgłoszone do „Strategii Cyfryzacji Polski do 2035 r.”, wśród których podniesiono m.in. kwestie niedostatecznego zabezpieczenia danych biometrycznych i danych behawioralnych w regulacjach prawnych, wykonywania usług informatycznych dotyczących obiegu danych osobowych przez podmioty nienależące do Europejskiego Obszaru Gospodarczego, przyspieszonego w ostatnich latach rozszerzania się tzw. Internetu Rzeczy, czy wykorzystywania przez sektor prywatny danych osobowych administrowanych przez sektor publiczny. W ostatnim czasie zgłosiłem uwagi również do „Strategii Cyberbezpieczeństwa RP”, z nadzieją, że ich uwzględnienie pozwoli na udoskonalenie tego dokumentu.

Społeczny wymiar zyskała sprawa nałożonego zakazu na Meta Platforms w związku ze skargą Pana Rafała Brzoski, prezesa InPost, wstrzymującego wyświetlanie na terenie RP – w serwisach Facebook i Instagram – reklam wykorzystujących prawdziwe dane Rafała Brzoski i jego małżonki, Omeny Mensah. Meta wkrótce zaskarżyła postanowienie do WSA, który jednak odmówił wstrzymania postanowień Prezesa UODO.

W ubiegłym roku nałożyłem również karę na mBank – ponad 4 mln zł – za niezawiadomienie osób poszkodowanych wyciekiem danych. Bank nie dopełnił obowiązków wynikających z RODO, po tym jak w 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy.

Istotne znaczenie społeczne miało także ukaranie Prokuratury Krajowej za ujawnienie danych osoby pokrzywdzonej przestępstwem (85 tys. zł). Sprawa dotyczyła konferencji prasowej, podczas której Tomasz Szafrański, prokurator Prokuratury Krajowej, oraz Zbigniew Ziobro, Prokurator Generalny – Minister Sprawiedliwości, omawiali sprawy jednej z prokuratur rejonowych. W trakcie konferencji ujawniono dane osobowe osoby posiadającej w postępowaniu karnym status osoby pokrzywdzonej oraz informacje dotyczące stanu faktycznego sprawy zawarte w wyroku sądu rejonowego.

W roku 2024 wraz ze współpracownikami przeprowadziliśmy szereg inicjatyw związanych z promocją tematyki ochrony danych osobowych oraz samego Urzędu Ochrony Danych Osobowych. Wśród nich jest m.in. nowe przedsięwzięcie „UODO rusza w kraj”, które ma na celu lepsze zrozumienie lokalnych problemów ochrony danych. W czasie tej akcji odbywamy ogólnopolskiespotkania z mieszkańcami oraz władzami wojewódzkimi i samorządowymi. To pozwala pracownikom UODO lepiej poznać problemy związane z ochroną danych osobowych, z jakimi mierzą się lokalne społeczności w różnych regionach Polski.

W czerwcu ubiegłego roku powołałem Społeczny Zespół Ekspertów, którego zadaniem jest wspieranie organu nadzorczego w realizacji jego zadań określonych przepisami prawa, w szczególności w zakresie doradztwa i wyrażania opinii w sprawach przedstawionych Zespołowi. To dzięki niemu porządkujemy i aktualizujemy branżowe poradniki dotyczące ochrony danych osobowych. Za działania podejmowane w ramach tego niezwykle ważnego zespołu pragnę wszystkim ekspertom bardzo serdecznie podziękować.

W 2024 r. wziąłem także udział w jedenastu posiedzeniach Europejskiej Rady Ochrony Danych – w tym w jej setnym, uroczystym zgromadzeniu. Udział w tych posiedzeniach pozwala zapewnić Polsce realny wpływ na rozwiązania i opinie tego europejskiego organu w obszarze dotyczącym ochrony danych osobowych.

Liczę, że kolejny rok mojej kadencji będzie równie owocny i interesujący. Nowy 2025 zaczęliśmy od przebudowy struktury Urzędu Ochrony Danych Osobowych, aby nasza praca była jeszcze bardziej efektywna. W tym roku czekają nas kolejne zmiany związane z wdrożeniem unijnego Aktu o zarządzaniu danymi – czekamy na przyjęcie polskiej ustawy o zarządzaniu danymi. Jej przyjęcie oznaczać będzie nowe zadania dla UODO, przede wszystkim dotyczące usług pośrednictwa danych oraz rejestracji instytucji altruizmu danych. Priorytetami będzie skuteczne egzekwowanie przepisów o ochronie danych i dalsze działania edukacyjne oraz wzmacniające świadomość praw podmiotów danych, zwłaszcza w kontekście nowych technologii. Wiedząc, że mamy coraz więcej sprzymierzeńców w tej ważnej misji, zarówno w sektorze publicznym, jak i prywatnym, otrzymując wsparcie ze strony ekspertów oraz pracowników UODO jutrzejszy Dzień Ochrony Danych Osobowych i cały 2025 rok zapowiada się nieźle.

Mirosław Wróblewski, prezes UODO