Rozmowa z prezesem Urzędu Ochrony Danych Osobowych,
radcą prawnym Mirosławem Wróblewskim.
Mirosław Wróblewski
Absolwent studiów prawniczych oraz politologicznych (specjalizacja – stosunki międzynarodowe), radca prawny. Jest autorem blisko 100 artykułów i publikacji naukowych z zakresu prawa konstytucyjnego, międzynarodowego, europejskiego oraz ochrony praw człowieka.
W latach 2007–2024 był pracownikiem Biura Rzecznika Praw Obywatelskich, gdzie pełnił funkcję dyrektora Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego. Były przewodniczący Komisji Praw Człowieka Krajowej Rady Radców Prawnych.
Był członkiem zarządu Agencji Praw Podstawowych Unii Europejskiej (EU Fundamental Rights Agency) na kadencję w latach 2012–2017. W 2012 r. wybrany na przewodniczącego Komisji Budżetowej Agencji, a w 2014 r. wybrany przez zarząd do czteroosobowego Executive Committee w Agencji.
W latach 2009–2010 był koordynatorem zainicjowanego przez RPO Programu Współpracy Ombudsmanów Państw Partnerstwa Wschodniego UE. Wielokrotnie brał udział w przygotowaniu stanowisk oraz reprezentował RPO w postępowaniach sądowych przed Trybunałem Konstytucyjnym, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Trybunałem Praw Człowieka.
Od marca 2019 do 25 stycznia 2024 r. był członkiem zarządu Europejskiej Sieci Krajowych Instytucji Ochrony Praw Człowieka (ENNHRI). Członek Polskiego Stowarzyszenia Prawa Europejskiego, Polskiego Towarzystwa Konstytucyjnego oraz Stowarzyszenia im. prof. Zbigniewa Hołdy.
n 28 stycznia 2025 r. Naczelny Sąd Administracyjny wydał ciekawy wyrok, w którym stwierdził, że numery ksiąg wieczystych są danymi osobowymi. To kończy dyskusję na ten temat. Wyrok skutkuje też tym, że kara pieniężna w wysokości 100 tys. zł, jaką Prezes UODO nałożył w 2020 r. na Głównego Geodetę Kraju za ujawnianie w serwisie Geoportal 2 numerów ksiąg wieczystych, jest zasadna. Jakie jeszcze skutki będzie miał ten wyrok?
Naczelny Sąd Administracyjny potwierdził wszystkie argumenty przedstawione przez Prezesa UODO. To faktycznie kończy dyskusję na temat numerów ksiąg wieczystych i nikt nie powinien mieć już wątpliwości co do tego, że są one danymi osobowymi w rozumieniu art. 4 RODO. To ważny wyrok dla ochrony danych osobowych, gdyż dysponując numerem księgi wieczystej, można w bardzo łatwy sposób zapoznać się ze wszystkimi danymi, jakie widnieją w elektronicznym systemie ksiąg wieczystych. A zakres danych ujawnianych w księdze wieczystej osób fizycznych obejmuje m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości, informacje o hipotece. To naraża bardzo dużą liczbę osób (których dane dotyczą) choćby na ryzyko kradzieży ich tożsamości.
Skutek wywołała już sama decyzja Prezesa UODO, w której wyniku numery ksiąg wieczystych przestały być ujawnianie w serwisie Geoportal 2, prowadzonym przez Głównego Geodetę Kraju. A wyroki, najpierw WSA w Warszawie i niedawny wyrok NSA, przesądzają, że decyzja ta była słuszna i nie powinna już się zdarzyć sytuacja, w której te numery będą ujawniane.
Jednocześnie, wiedząc, że istnieją oczekiwania społeczne związane z elektronicznym przeszukiwaniem ksiąg wieczystych, oczekuję na przedstawienie przez rząd projektu ustawy wprowadzającej zmiany w dostępie do elektronicznych ksiąg wieczystych. Uniemożliwienie anonimowego dostępu do elektronicznych ksiąg wieczystych będzie krokiem w dobrym kierunku i zablokuje pobieranie danych z tych ksiąg w sposób masowy, choćby przez zautomatyzowane narzędzia. Będę wspierał Ministerstwo Sprawiedliwości w opracowaniu możliwie najlepszych przepisów w tym zakresie, gdy tylko pojawi się taki projekt.
n UODO zaktualizował właśnie poradnik[1] dotyczący naruszeń ochrony danych osobowych. Jakie nowości zawiera ta publikacja i do kogo jest skierowana?
Poradnik to źródło wiedzy dla administratorów oraz inspektorów ochrony danych. Najnowsza wersja publikacji uwzględnia aktualne przepisy, orzecznictwo sądowe, doświadczenia wynikające z dotychczasowej praktyki stosowania RODO oraz efekty konsultacji społecznych, które w dużym stopniu pozwoliły doprecyzować treść naszego dokumentu. W poradniku można znaleźć w bardziej przystępny sposób omówione procedury reagowania na naruszenia, praktyczne przykłady i studia przypadków, wskazówki dotyczące współpracy z Prezesem UODO, a także kluczowe rekomendacje dotyczące oceny ryzyka i zapobiegania naruszeniom.
Nowością jest przede wszystkim to, że poradnik został opracowany w bardziej przystępny sposób, z uwzględnieniem zasad prostego języka. Dzięki temu administratorzy mogą lepiej zrozumieć swoje obowiązki związane z naruszeniami ochrony danych osobowych. I chyba to się udało, gdyż niektórzy uważają, że Prezes UODO ma do tego tematu nowe nastawienie. Jednak podejście organu nadzorczego do problematyki zgłaszania naruszeń ochrony danych osobowych zasadniczo się nie zmieniło i jest konsekwentne od samego początku. A to, że niektórzy dopiero teraz dostrzegają, jak należy prawidłowo podejść do problematyki naruszeń ochrony danych osobowych, utwierdza mnie w tym, że poradnik o naruszeniach wymagał przygotowania go w bardziej zrozumiałej dla odbiorców formie. I jestem pewien, że przełoży się to na praktykę administratorów w zakresie obsługi naruszeń ochrony danych. Dodam, że oczywiście będziemy nadal podejmować działania w celu upowszechniania wiedzy w tym zakresie i wyjaśniania jakichkolwiek wątpliwości.
n Czym jest naruszenie ochrony danych osobowych i czym różni się od naruszenia przepisów RODO?
W nowym poradniku bardzo dokładnie jest wyjaśniona różnica między naruszeniem ochrony danych osobowych a naruszeniem przepisów RODO. Wiele osób ciągle ma problem z tym rozróżnieniem i mam nadzieję, że poradnik rozwieje te wątpliwości.
Naruszenie przepisów RODO wynika z postępowania niezgodnego z określonymi wymogami przewidzianymi w tym akcie prawnym, które może – ale nie musi – wpływać na powstawanie incydentów bezpieczeństwa.
Naruszeniem przepisów jest m.in. nieinformowanie osób o tym, jak są przetwarzane ich dane, nierealizowanie praw podmiotów danych, ale także kwestie bardziej systemowe – jak zaniechanie bądź zaniedbania związane z odpowiednim zabezpieczeniem przetwarzania danych itd. Natomiast naruszeniem ochrony danych jest np. brak dostępu do danych, ich utracenie, ujawnienie – a więc sytuacja, w której ktoś nieuprawniony mógł wejść w posiadanie tych danych, co może rodzić dodatkowe ryzyka dla praw osób, których dotyczy takie zdarzenie.
Dobry przykład takiej sytuacji związanej z naruszeniem przepisów: firma gromadziła dane osobowe klientów, mimo że nie miała na to ich zgody oraz nie informowała ich o celach przetwarzania danych. Jednak stosowała zaawansowane środki bezpieczeństwa i do wycieku danych (a więc naruszenia ochrony danych) nie doszło. W tym przypadku doszło do naruszenia przepisów RODO, ale nie doszło do naruszenia ochrony danych osobowych. I odmienna sytuacja: szpital wdrożył wszelkie możliwe środki bezpieczeństwa przetwarzania danych i stosował przy tym przepisy RODO, ale w wyniku pomyłki pracownika doszło do udostępnienia dokumentacji medycznej niewłaściwej osobie, np. o tym samym nazwisku, lecz o innym imieniu. W placówce doszło zatem do naruszenia ochrony danych, ale nie nastąpiło naruszenie przepisów RODO, o ile administrator przed tym zdarzeniem zrobił wszystko, co mógł, by chronić dane.
n Jak zapobiegać naruszeniom ochrony danych osobowych?
Niestety nie ma na to jednej recepty. Dodatkowo technologia nieustannie się zmienia, a wraz z nią powstają nowe zagrożenia. Dlatego RODO wymaga nieustannego mierzenia i testowania zastosowanych zabezpieczeń technicznych, ale i organizacyjnych. Administrator musi dobierać takie rozwiązania, jakie będą odpowiednie do zapewnienia ochrony danych z uwzględnieniem ryzyk, na które narażone są przetwarzane przez niego dane.
Konieczne jest zatem wdrożenie procedur przetwarzania danych, procedur reagowania na incydenty, analizowanie ruchu w Internecie, przyjęcie zasad tworzenia i korzystania z haseł, zasad kontroli dostępu. A to wszystko powinno być poprzedzone analizą ryzyka, która uwidoczni słabe punkty w danej organizacji. Ponadto te rozwiązania muszą być aktualizowane z uwagi na nowe zagrożenia. Pracownicy również muszą być regularnie szkoleni nie tylko po to, by ich wiedza się utrwalała, lecz i zmieniała, gdyż nie tylko technologia się zmienia, ale i metody działania cyberprzestępców. Jest to zatem nieustanny proces, a nie postępowanie jednorazowe.
n Jak zgłaszać naruszenia ochrony danych osobowych?
Zgłoszenia można dokonać elektronicznie przez wypełnienie formularza elektronicznego na stronie UODO. Można też skorzystać z poczty tradycyjnej przez wysłanie wypełnionego formularza na adres UODO. Formularz jest do wypełnienia także na stronie biznes.gov.pl, jak również na epuap.gov.pl. Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. Wówczas zgłoszenia należy dokonać we właściwym organie kraju UE.
n Co z tego zakresu przydałoby się, aby wiedzieli radcowie prawni?
RODO jest jedno i dotyczy wszystkich. Zatem radcowie prawni powinni wiedzieć to samo, co każdy administrator danych. Bardzo często, prowadząc własną praktykę, sami są przecież administratorami danych. A przy obsłudze innych administratorów niezbędna jest nie tylko wiedza z zakresu ochrony danych osobowych, ale i przepisów szczególnych, związanych z obszarem działalności ich klienta. Zachęcam także radców do śledzenia aktywności UODO i udziału w konferencjach i warsztatach przez nas organizowanych, które dają dostęp do aktualnej wiedzy, nie tylko prawnej, ale i technologicznej. Dzięki porozumieniu podpisanemu z Krajową Radą Radców Prawnych niektóre wydarzenia organizujemy wspólnie – zainteresowanie najnowszymi technologiami i prawem ochrony danych jest czymś, co wyróżnia samorząd radcowski.
n Już 19. raz świętowali państwo Dzień Ochrony Danych Osobowych. Jak w tym roku to się odbywało i przez kogo został ustanowiony?
Dzień Ochrony Danych Osobowych (DODO) został ustanowiony przez Komitet Ministrów Rady Europy w rocznicę przyjęcia konwencji Rady Europy z 1981 r. – pierwszego aktu prawnego regulującego kwestie ochrony danych osobowych.
Główne obchody XIX Dnia Ochrony Danych Osobowych zainaugurowała konferencja „Ocena ryzyka a ochrona danych osobowych”, poświęcona omówieniu pojęcia ryzyka w ujęciu prawnym, zarządzania ryzykiem w cyberbezpieczeństwie oraz ryzyka w obszarze ochrony danych osobowych.
Dzień Ochrony Danych Osobowych uświetniła również ceremonia wręczenia nagród im. Michała Serzyckiego – wyróżnień dla osób oraz organizacji za działania na rzecz ochrony danych osobowych i prawa do prywatności – które w tym roku jako urząd przyznaliśmy po raz ósmy.
W tym roku Nagrodę im. Michała Serzyckiego otrzymali Katarzyna Szymielewicz wraz z Fundacją Panoptykon, dr Konrad Ciesiołkiewicz, a także Helsińska Fundacja Praw Człowieka.
Katarzyna Szymielewicz i Panoptykon zostali wyróżnieni za działania na rzecz ochrony prywatności i wolności w erze cyfrowej, podnoszenie świadomości społecznej na temat zagrożeń związanych z nadzorem technologicznym, jak również za budowanie silnej, niezależnej organizacji broniącej praw człowieka w Polsce i Europie.
Doktor Konrad Ciesiołkiewicz otrzymał nagrodę za swoją działalność w obszarze promowania praw dziecka, a także za aktywność jako wykładowca oraz inicjator społecznych projektów, które przyczyniły się do realnych zmian w obszarze edukacji i dialogu społecznego.
Z kolei HFPC wyróżniliśmy za jej wieloletnie, szeroko już przecież znane i tak liczne dokonania na rzecz ochrony praw człowieka, demokracji i praworządności w Polsce oraz Europie Środkowo-Wschodniej, ze szczególnym uwzględnieniem oczywiście obrony prawa do prywatności.
W tym roku z okazji tego dnia wystosowałem także list, w którym przypomniałem o programie „Twoje dane – Twoja sprawa”, niezwykle ważnej inicjatywie edukacyjnej, prowadzonej przez Urząd Ochrony Danych Osobowych, której celem jest inspirowanie uczniów, ale też całych społeczności szkolnych i lokalnych do działań na rzecz ochrony prywatności przez realizację inicjatyw, w których młodzież aktywnie uczestniczy, zdobywając przydatną wiedzę i kształtując dobre praktyki w tej dziedzinie.
Jak co roku odbyły się też liczne wydarzenia towarzyszące Dniu Ochrony Danych Osobowych: wykłady, konferencje naukowe, webinaria organizowane przez UODO we współpracy z innymi podmiotami. W cykl obchodów Dnia Ochrony Danych Osobowych wpisała się także konferencja „Europejska przestrzeń danych dotyczących zdrowia – wyzwanie dla Europy. Wdrażanie rozwiązań w dobie AI, Big Data i medycyny spersonalizowanej”, która odbyła się 26 marca na Wydziale Medycznym Uniwersytetu Warszawskiego.
n Stwierdził pan, że Urząd Ochrony Danych Osobowych zawsze będzie stał po stronie praw człowieka. W czym się to wyraża, w jakich działaniach i stanowiskach?
Absolutnie tak, bo to nie decyzje administracyjne czy kary są istotą działania UODO, lecz przekonanie o tym, że dzisiaj – i realnie z każdym miesiącem staje się to dla nas coraz bardziej zauważalne – szeroko pojęte dane osobowe są kluczowym zagadnieniem w nowoczesnym świecie, a ich ochrona zadaniem nawet istotniejszym niż ochrona najcenniejszych dóbr. Ochrona danych w kontekście cyberbezpieczeństwa (wspomnijmy tu o tak podstawowych zagadnieniach, jak ochrona wizerunku najmłodszych) to dziś obrona wartości, wolności i godności będących fundamentem demokratycznego państwa prawa. Ta sprawa dotyczy każdego, bez wyjątku. Przykłady ostatnich działań, które w wymiarze praktycznym zaświadczają o tym, o czym mówię, to choćby moje uwagi do projektu ustawy o systemach sztucznej inteligencji, uwagi do Strategii Cyfryzacji Polski do 2035 r. czy porady dotyczące korzystania z aplikacji DeepSeek. W roku ubiegłym podpisałem również porozumienie o współpracy z Rzeczniczką Praw Dziecka, a także zacieśniłem współpracę z Rzecznikiem Praw Obywatelskich. Ochrona danych osobowych to tak naprawdę przede wszystkim ochrona praw człowieka.
n Jakie są najnowsze wytyczne Europejskiej Rady Ochrony Danych? Czy są tu jakieś rewolucyjne zmiany? Czy czekają nas jakieś nowości w zakresie przepisów i obowiązków związanych z ochroną danych osobowych?
Jednymi z najnowszych działań EROD jest np. powołanie grupy zadaniowej ds. egzekwowania prawa AI (Artificial Intelligence), a także przyjęcie oświadczenia w sprawie zapewnienia skutecznej weryfikacji wieku, które ma na celu zagwarantowanie spójnego europejskiego podejścia do zapewnienia weryfikacji wieku, aby chronić małoletnich przy jednoczesnym przestrzeganiu zasad ochrony danych. Ostatnio też w swoich wytycznych EROD wyjaśnia definicję i zastosowanie pseudonimizacji oraz danych pseudonimowych, a także korzyści wynikające z pseudonimizacji. Mogę natomiast powiedzieć, że EROD w najbliższym czasie w swoich opiniach czy rekomendacjach z pewnością skupi się na takich tematach jak ochrona danych w kontekście pojawiających się coraz doskonalszych modułów sztucznej inteligencji – w tym zakresie rzeczywistość zaskakuje nas niezwykle, zatem precyzyjne wskazania będą jeszcze bardziej potrzebne. Rola EROD w moim przekonaniu jeszcze bardziej zyska na znaczeniu.
Rozmawiała Wiesława Moczydłowska
[1]Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, https://uodo.gov.pl/pl/138/3561 [dostęp: 12 marca 2025 r.].
