Krzysztof Grzesiowski: Dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych, w studiu Sygnałów dnia. Dzień dobry, panie doktorze.
Rafał Wiewiórowski: Dzień dobry, panie redaktorze, witam państwa bardzo serdecznie.
Dzisiejsza informacja z Gazety Wyborczej rozpoczyna się co najmniej intrygująco: „Generalny inspektor ochrony danych osobowych może już wchodzić do kościołów”.
Jako...
„By sprawdzić skargi osób, które z nich wystąpiły. Umożliwiają to wyroki Naczelnego Sądu Administracyjnego”. O co chodzi?
Chodzi o to, że istniała przez długi czas, delikatnie mówiąc, niejasność, jeżeli chodzi o to, co napisane jest w ustawie o ochronie danych osobowych, która wyklucza możliwość podejmowania decyzji czy rozpoczynania inspekcji przez generalnego inspektora ochrony danych osobowych, tam, gdzie chodzi o zbiory, w których gromadzone są dane członków kościołów i związków wyznaniowych. Od kilku lat mamy sporo skarg, które trafiają do biura generalnego inspektora ochrony danych osobowych, jeżeli chodzi o sposób przetwarzania danych przez kościoły i związki wyznaniowe. W związku z tymi przepisami, które cały czas obowiązują, ja umarzałem postępowania w tych sprawach, uznając, że po uzyskaniu wyjaśnień ze strony kościoła, nie mam możliwości dokonywania kolejnego kroku, te sprawy zostały zaskarżone, trafiły do wojewódzkiego sądu administracyjnego, potem do Naczelnego Sądu Administracyjnego, no i ostatecznie Naczelny Sąd Administracyjny zaczął budować rzeczywiście pewnego rodzaju wykładnię tego, co napisane jest w tej chwili w ustawie i jak należy to rozumieć w kontekście całości systemu prawa w Polsce, uznając, że tam, gdzie miałyby decyzje dotyczyć osób, które nie należą już do kościoła lub związku wyznaniowego, jak najbardziej generalny inspektor danych osobowych ma możliwość działania, czyli ma możliwość wydawania decyzji, ma możliwość przeprowadzania inspekcji, nawet jeżeli z literalnego brzmienia ustawy o ochronie danych osobowych by to nie wynikało. Problemem, który pozostaje i który pozostaje w ocenie, którą będzie musiał podejmować generalny inspektor ochrony danych osobowych, jest to, kiedy osoba występuje z kościoła lub związku wyznaniowego.
Ale jakiś przykład konkretny podajmy.
Najprostsza sytuacja to sytuacja, w której osoba, która została ochrzczona w dzieciństwie, być może nawet nie miała świadomości tego, że staje się członkiem jakiegoś kościoła czy związku wyznaniowego, po wielu latach nie czuje się związana w żaden sposób z tymże kościołem, a jej dane są cały czas zgromadzone, są cały czas przetwarzane, informacja cały czas trafia do albo ksiąg parafialnych, albo do systemów teleinformatycznych, które obsługują parafie. No i ta osoba żąda tego, żeby w księdze chrztu czy w innej księdze, która jakby statuuje to wstąpienie do kościoła lub związku wyznaniowego, żeby tam zostało wyraźnie odnotowane, że ta osoba nie ma już nic wspólnego z tą (...)
Czyli z kościoła wystąpiła.
Wystąpiła albo że nigdy nie czuła się wręcz z nim związana, taka przynajmniej żeby wpisano, że od którejś daty nie można przetwarzać jej danych. No i tutaj kościoły i związki wyznaniowe postępują różnie, nawet w ramach jednego kościoła. Oczywiście najwięcej tego typu skarg, które trafiają do nas, dotyczy Kościoła Katolickiego choćby ze względu na jego wielkość, ale ze względu na zasoby archiwalne, które przetwarza. Zachowują się różnie, niekiedy po prostu rzeczywiście wpisują taką adnotację, można powiedzieć, że tym samym realizują prawo do aktualizacji danych, które wynika z ustawy o ochronie danych osobowych, a czasem odmawiają, mówiąc: nie, pan/pani nie przeprowadziła formalnego procesu apostazji, który spowodowałby, że rzeczywiście możemy uznać taką osobę za osobę nie należącą do kościoła. I nadal przetwarzają dane, które są gromadzone przez kościoły lub związki wyznaniowe. Jak mówię, większość z tych spraw dotyczy Kościoła Katolickiego, ale nie wszystkie.
Czyli rozumiem, że ktoś, kto jest w takiej sytuacji, o której pan mówi, ma teraz możliwość zwrócenia się do pana urzędu, by sprawdzić, co się dzieje z jego danymi.
Tak. I ewentualnie zażądać ich aktualizacji. Ta aktualizacja polega...
I pana urzędnicy mogą teraz te księgi sprawdzić.
Tak, mogą sprawdzić wtedy, jeżeli miałyby one zawierać dane osób, które nie należą już do kościoła lub związku wyznaniowego, co oczywiście nakazuje najpierw ocenę tego, czy ta osoba wystąpiła, czy nie wystąpiła z kościoła lub związku wyznaniowego. Trudna konstrukcja z tego powodu, że część z tego typu rozwiązań może regulować prawo wewnętrzne kościołów. Pytanie brzmi: w przypadku każdego ze 160 zarejestrowanych w Polsce kościołów i związków wyznaniowych i w przypadku każdego z kilkunastu kościołów i związków wyznaniowych, które mają ustawę o stosunku państwa do kościoła, kiedy następuje ten moment, kiedy to się dzieje i jakie ewentualnie prawo wewnętrzne kościelne te sprawy reguluje, bo może regulować.
A czy może zdarzyć się tak, że któryś z kościołów lub któryś ze związków wyznaniowych odmówi wpuszczenia pana ludzi, by sprawdzić dokumenty?
Mam nadzieję, że nie. Mam nadzieję, że nie, bo oczywiście byłoby to sprzeczne z tym, co wprost napisane jest w ustawie o ochronie danych osobowych. Być może będą kwestionować, być może będą pojawiały się skargi na działanie generalnego inspektora ochrony danych osobowych. To jest też dopuszczalne, każdy, kto podlega kontroli, ma prawo również skarżyć się na to, w jaki sposób i czy słusznie kontrola jest przeprowadzana. Natomiast mam nadzieję, że nie będziemy mieli tutaj do czynienia z jakąś obstrukcją, bo ona oczywiście byłaby sprzeczna z prawem.
Panie doktorze, ukazał się taki raport dotyczący postrzegania zagadnień związanych z ochroną danych i prywatności przez dzieci i młodzież. Starsi uczniowie, młodsi uczniowie, bo to jest poziom szkoły podstawowej, także poziom szkół gimnazjalnych, w jakim wieku chętniej ujawniamy swoje dane osobowe? Czy to rośnie wraz z wiekiem ta chęć, czy maleje?
Trudno jest określić, czy mówimy o tych deklaracjach, które osoby składają, czyli tego, co osoby mówią o samym sobie, czy też o rzeczywistych działaniach, bo one się po pierwsze różnią, to jest pierwsza z rzeczy, które wychodzi nam z tego raportu, że deklaratywnie, czyli patrząc na to, co deklarują młodzi ludzie, to nie wygląda źle, wygląda na to, że młodzi ludzie dbają o swoje dane, dbają również o to, w jaki sposób one są przetwarzane, czytają polityki bezpieczeństwa. Patrząc na praktykę działania, wcale niekoniecznie musi to tak wyglądać.
Natomiast co jest bardzo istotne i charakterystyczne i co pojawiło się nam w tych badaniach, że różnica pomiędzy tymi dziećmi 11-12-letnimi i młodzieżą już można byłoby powiedzieć 15-16-letnią jest ogromna, to jest różnica pokolenia tak naprawdę pomiędzy osobami, które różnią się zaledwie o 3-4 lata. Przede wszystkim ta różnica zaczyna się pojawiać w momencie, kiedy pojawiają się kłopoty. To znaczy dopóki wszystko idzie prosto, to okazuje się, że reakcje młodych ludzi wyglądają mniej więcej tak samo i są możliwe do oceny. Natomiast w przypadku tych 11-12-latków, a to jest dzisiaj właściwie wiek inicjacji internetowej, takiej pełnej inicjacji, czyli używania wszelkich serwisów internetowych, to jest 11-12 lat, tam pierwszymi autorytetami są rodzice, 80% dzieci przede wszystkim zwróciłoby się do rodzica o pomoc. Pytanie: na ile ten rodzic jest przygotowany do tego, żeby tego typu pomoc świadczyć? Podczas kiedy...
No bo z punktu widzenia Internetu to jest różnica kilku pokoleń między dzieckiem a rodzicami.
To jest różnica kilku pokoleń i co więcej, ona nigdy nie będzie znikała, nawet jeżeli dzisiejsi rodzice młodych ludzi im wydaje się, że już też wyrośli w czasach Internetu, to to był inny Internet, to był Internet, który inaczej wyglądał, nawet jeżeli uczyliśmy się go 10 czy 8 lat temu, to to były zupełnie inne technologie, zupełnie inne sposoby komunikacji.
Drugą ciekawą rzeczą, która pojawiła nam się w wynikach tych badań, która jest bardzo interesująca i trudno powiedzieć, czy niepokojąca, czy nakazująca inne spojrzenie na to, co dzieje się w prawie i w praktyce, to to, że 11-12-latkowie handlują przez Internet, kupują i sprzedają towary, kupują usługi w Internecie. Pamiętajmy, że w kodeksie cywilnym ten wiek, od którego można w ogóle uczestniczyć w rozsądnym obrocie gospodarczym, to jest 13 lat. Poniżej wieku 13 lat osoba oczywiście może kupować, ale w drobnych sprawach życia codziennego i wtedy, jeżeli nie będzie podlegała oszustwu. Natomiast tutaj mamy do czynienia z 11-12-latkami, z których ponad jedna czwarta stale kupuje towary w Internecie. Drodzy rodzice, bądźmy przygotowani do tego, że nasza młodzież kupuje i sprzedaje w Internecie. Co więcej...
Ale nie wierzę, żeby rodzice o tym nie wiedzieli.
O, to się tak wydaje na pierwszy rzut oka...
Tak?
...ponieważ oczywiście wszyscy myślą: no, jak on kupuje i sprzedaje w Internecie, to znaczy, że przecież musi korzystać z naszej karty kredytowej albo z naszego rachunku bankowego. No więc wydaje się, że rodzice nad tym panują. Po pierwsze różnie to bywa z tym panowaniem nad drobnymi zakupami, które dzieci wykonują, ale pamiętajmy, że kupowanie i sprzedawanie w Internecie to nie tylko złotówki, euro i dolary, ale również bitcoiny. I teraz pytanie: ile rodzice wiedzą o walutach internetowych? O tych walutach, które istnieją tylko w świecie wirtualnym, natomiast są poza światem wirtualnym wymieniane na całkiem, całkiem rozsądne pieniądze. Czyli może się okazać, że można dokonywać tego typu transakcji poza Internetem i zdobywać wirtualną walutę, która potem jest w obrocie w Internecie. Jak mówię, problemem jest tutaj to, że to starsze pokolenie, które patrząc na kodeks cywilny, powinno mądrością swoją prowadzić młodego człowieka przez życie, to starsze pokolenie nie ma tej mądrości, nie ma szansy mieć tej mądrości...
Albo mówiąc inaczej, mamy młodzież, która szybko się uczy.
Szybko się uczy, ale też żyje w świecie, który operuje, jak mówię, innymi wartościami, innymi sposobami komunikacji, a okazuje się, że również inną walutą.
Jeszcze jeden temat, jeśli pan pozwoli, panie doktorze, to wrześniowe wydarzenie, 23-26 września, 35. Międzynarodowa Konferencja Rzeczników Ochrony Danych i Prywatności, pod takim hasłem „Prywatność, przewodnik po zagmatwanym świecie”. Aż tak bardzo zagmatwanym?
Zdecydowanie zagmatwanym, zagmatwanym ze względu na to, w jaki sposób korzystamy z informacji, w jaki sposób ją przetwarzamy, ale zagmatwanym również od strony prawnej, zagmatwanym również od strony organizacyjnej, gdzie tak naprawdę musimy w jednym serwisie internetowym często, w jednym miejscu w sieci łączyć ze sobą porządki prawne kilku krajów, systemy polityczne i systemy podejścia do ochrony praw człowieka z różnych stron świata, czasem w nieoczywisty sposób się od siebie różniące. Ja myślę, że choćby ostatnie skandale związane z projektem PRISM prowadzonym w Stanach Zjednoczonych czy projektem TEMPORA, pokazują, że tam, gdzie spodziewalibyśmy się działań demokratycznych instytucji, te demokratyczne działania zaczynają jako żywo przypominać działania, które kiedyś uważaliśmy za skrajną inwigilację prowadzoną przez reżimy totalitarne.
Czyli nie da się zamknąć w prawie swojego kraju, nie da się zamknąć w systemie swojego kraju. Co więcej, nawet w regionie czy na kontynencie zamknąć je pod tym względem nie da. Stąd też rzecznicy ochrony danych osobowych z kilkudziesięciu krajów świata spotykają się regularnie, po raz drugi spotkają się w Polsce, w 2004 roku spotykali się we Wrocławiu, ale to były też troszkę inne czasy, wtedy było 30-40 takich rzeczników na świecie, dziś jest ich prawie stu. Spotkamy się i spróbujemy się zastanowić, na ile po pierwsze współpraca codzienna może być prowadzona pomiędzy Kanadą, Nową Zelandią, Australią, Urugwajem, Maroko i Polską, bo przecież każdy z tych krajów uczestniczy w rozwiązywaniu czasem pojedynczej skargi, która dotyczy właśnie komunikacji internetowej, i czy da się stworzyć jakieś ramy wspólne prawne, które obejmowałyby tak różne kraje, jak Polska (...)
Wspólna konwencja o ochronie danych osobowych, taka światowa?
Taka koncepcja pojawiła się już jakiś czas temu. Rada Europy próbuje promować swoją konwencję, konwencję 108 Rady Europy istniejącą już od kilkudziesięciu lat jako taki standard, który powinien być przyjmowany nie tylko w Europie, ale i też poza Europą, i mamy już pierwsze dwa kraje pozaeuropejskie, które do niej przystąpiły, nie jakieś dramatycznie ważne w obrocie gospodarczym, bo to jest Urugwaj w tej chwili, decydowane są sprawy, jeżeli chodzi o Maroko. Ale mamy też tradycje niektórych krajów spoza Europy, które przyjmują konwencję Rady Europy.
No i ciekawa informacja z ostatnich dni dosłownie, czyli to, że kwestia takiej międzynarodowej, globalnej konwencji czy też protokołu dotyczącego ochrony danych osobowych, ochrony informacji trafia na agendę polityków niemieckich. Pani Angela Merkel zapowiedziała w piątek, że prace nad tego typu rozwiązaniem, które obejmowałoby i Europę, ale też Stany Zjednoczone, Australię czy Kanadę, powinny się toczyć.
Zresztą widzimy tutaj, jeżeli chodzi o rzeczników, takie działania zorganizowane ogólnoświatowe, jak choćby wspólny list do Google w sprawie Google Glass, czyli tego nowego gadżetu, który ma się pojawić, który ma zostać podpisany przez rzeczników z Kanady, Urugwaju, Meksyku, Szwajcarii, Izraela i wszystkich krajów Unii Europejskiej, Australii, Nowej Zelandii, czyli widać to takie globalne podejście do problemów, które są globalne.
Pytanie tylko: kto jest silniejszy – Google czy rzecznicy?
Ja myślę, że to nie należy tego traktować jako walkę, która się toczy pomiędzy dwoma siłami, bo ani jedna, ani druga nie jest siłą zła czy siłą dobra, to jest raczej regulowanie, próbę regulacji czy cywilizowania, to jest chyba lepsze określenie, cywilizowania pewnego rynku, który z natury rzeczy jest szybko rozwijającym się. Tak się działo, jeżeli chodzi o bezpieczeństwo ruchu drogowego, przecież do dzisiaj naśmiewa się, że kiedyś trzeba było chodzić z latarnią przed samochodem, a okazało się, że można ustalić zasady ruchu drogowego, które przy wszystkich różnicach, które mogą istnieć pomiędzy kulturami, są rozpoznawalne, czyli jeżeli wsiądziemy za kółko w Stanach Zjednoczonych, to mimo tego, że znaki się mogą nieco różnić, to będziemy w stanie się poruszać, a w mniejszych obszarach typu Europa jesteśmy w stanie doprowadzić do zharmonizowanego systemu ruchu drogowego.
Panie doktorze, dziękujemy za spotkanie i za rozmowę. Dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych, był gościem Sygnałów dnia.
Dziękuję bardzo.
(J.M.)
