Inga Stawicka: W maju minęło sześć lat, odkąd Polska wdrożyła w prawie krajowym przepisy unijnego rozporządzenia o ochronie danych osobowych (RODO). Jak zmieniły się od tego czasu problemy, z którymi się borykamy, w kontekście ochrony danych?

Dr Dominik Lubasz: W tym momencie czekamy właśnie na sprawozdanie Komisji Europejskiej, w którym zostanie ocenione, jak poszczególne państwa poradziły sobie z implementacją RODO. O opinie proszono nie tylko podmioty sektora publicznego, ale również prywatnego. Już teraz można jednak powiedzieć, że pomimo sześciu lat stosowania rozporządzenia nadal mamy z tym spore problemy, i to w różnych obszarach. Część z nich dotyczy specyficznego dla RODO podejścia opartego na ryzyku i rozumienia analizy ryzyka, a także jej prawidłowego przeprowadzenia, w konsekwencji – adekwatnych zabezpieczeń, które musieli wdrożyć administratorzy. To się bardzo istotnie zmieniło w porównaniu do przepisów, które obowiązywały przed rokiem 2018 – te nakładały na administratorów wystandaryzowane obowiązki, niezależnie od tego, o jakiego rodzaju administratorze i przetwarzanych przez niego danych mówiliśmy. Wszystko było po prostu do siebie zbliżone. Aby natomiast dobrze wdrożyć przepisy RODO, trzeba naprawdę rozumieć swoją organizację i wiedzieć, jaki jest kontekst przetwarzania danych osobowych, zidentyfikować zagrożenia, i na tej podstawie wdrożyć zabezpieczenia. To z kolei tworzy pewne bariery.

Jakiego rodzaju?

Po pierwsze merytoryczne, bo jest to skomplikowana materia, po drugie czasochłonne, wreszcie – kosztochłonne. Stąd w zeszłym roku Mazars i McCann FitzGerald przeprowadziły badania, wprawdzie w Irlandii, w obszarze odnoszącym się do małych i średnich przedsiębiorców. Wynika z nich, że ponad 57 proc. respondentów nadal uważa wdrożenie RODO jako istotny ciężar administracyjny dla organizacji, a nadal więcej niż 58 proc. respondentów obawia się niezgodności z RODO i ma problemy z tym, jak prawidłowo odczytywać rozporządzenie. Co więcej, wątpliwości nie rozwiązują wcale krajowe organy ochrony danych (tak 45 proc. respondentów). Wręcz przeciwnie, ich interpretacje często je mnożą. Stąd wziął się pomysł, który ma aktualny prezes Urzędu Ochrony Danych Osobowych. Zaproponował on, by społeczni eksperci stworzyli listę ryzyk, które mogłyby być brane pod uwagę przy analizie ryzyka przez podmioty stosujące rozporządzenie. Chodzi o to, by podpowiedzieć, jak powinna wyglądać, co należy w niej uwzględniać. Proceduralne podejście do przepisów RODO jest po prostu nadal bardzo problematyczne i powoduje, że część podmiotów zbywa je na zasadzie: „miejmy coś, jakąś dokumentację, aby nie nałożono na nas kary”.

A w jaki sposób zmienia się problematyka ochrony danych w kontekście rozwoju nowych technologii, na przykład sztucznej inteligencji?

Tutaj oczywiście musimy brać pod uwagę to, jak dużo jest nowych aktów prawnych dotyczących tych zagadnień. Nie mówimy przecież tylko o Akcie w sprawie sztucznej inteligencji (AI Act), ale też DSA (Akt o usługach cyfrowych), DMA (Akt o rynkach cyfrowych), DGA (Akt o zarządzania danymi) czy DA (Akt o danych). To wszystko tworzy eksosystem wzajemnie oddziałujących na siebie przepisów, z którymi podmioty działające na rynku muszą się zmierzyć. Niekiedy te obszary regulacyjne zachodzą na siebie i wówczas wyzwaniem jest skoordynowanie wszystkich zagadnień. Świetnie będzie to teraz zresztą widać na przykładzie AI Act i procedury badania wpływu sztucznej inteligencji na prawa podstawowe. Jest ona logicznie zbliżona do procedury wpływu na podmioty danych z art. 35 RODO. Wzajemne związki między aktami na pewno będą wyzwaniem dla podmiotów stosujących przepisy.

Czytaj też: Ochrona danych to o wiele więcej niż tylko sztuczna inteligencja 

Czy z Pana obserwacji wynika, że są branże lub sektory, które mają większy problem ze stosowaniem RODO?

Powiedziałbym raczej, że są to wyzwania, a w tym kontekście są to na pewno małe i średnie przedsiębiorstwa. W tych podmiotach szczególnie widzimy bariery kompetencyjno- kosztowe, luka braku zgodności jest największa. Przyczyna jest prosta: mali i średni przedsiębiorcy są ograniczeni budżetem. Za wielkimi graczami rynkowymi stoją rozbudowane działy compliance, sztaby prawników i pieniądze przeznaczane na te cele. Natomiast wśród małych i średnich przedsiębiorców takich możliwości nie ma. Myślę, że sektorem, który z perspektywy zgodności z RODO jest również wrażliwy, to sektor publiczny. Wprawdzie wydaje się, że w tym obszarze działalność zgodna z prawem powinna być oczywista, bo organy publiczne muszą działać na podstawie i w granicach prawa. Jednak tegoroczny raport Najwyższej Izby Kontroli obnażył wiele problemów w samorządzie terytorialnym, właśnie w kontekście ochrony danych. Jako przykłady wskazywano wybór kontrahentów, którzy mają być podmiotami przetwarzającymi, analizę ryzyka, używanie prywatnych maili do celów służbowych.

Prezes UODO zadecydował ostatnio o utworzeniu społecznego zespołu ekspertów, w którym również się Pan znalazł. Czy wiadomo już, jakie są plany działań zespołu na najbliższe miesiące?

Tak, jednym z obszarów, który dotyka ochrony danych, jest na pewno podpisana ostatnio przez prezydenta RP ustawa o ochronie sygnalistów. Elementy dotyczące relacji tej ustawy i RODO będą w najbliższym czasie przedmiotem prac zespołu, założenia w tym zakresie zostały już sformułowane.

Czy, Pana zdaniem, czeka nas w przyszłości diametralna zmiana przepisów dotyczących ochrony danych? Zwłaszcza, biorąc pod uwagę błyskawiczny rozwój nowych technologii.

Nie jestem co do tego przekonany. RODO, jakkolwiek jest trudne w stosowaniu, to jednak jest bardzo elastyczne, jeśli chodzi o postęp technologiczny. Regulacja jest zresztą neutralna technologicznie, co powoduje, że bieżące zmiany bezpośrednio na nią nie wpływają. Wygląda też na to, że przepisy RODO, mimo że zostały opracowane przed erą wzmożonego wykorzystywania sztucznej inteligencji, nadal utrzymują swoją aktualność. Dlatego nie oczekiwałbym raczej legislacyjnych rewolucji. Oczywiście w ścieżce legislacyjnej jest rozporządzenie harmonizujące przepisy proceduralne odnoszące się do transgranicznej egzekucji RODO, bo to wciąż jest problematyczne. Sporo dyskutuje się o tym, dlaczego RODO nie wywołuje odpowiedniego wpływu rynkowego, dlaczego duzi gracze są w stanie w taki sposób stosować przepisy, że nie spełniają one swojej funkcji. To, co moim zdaniem nadal będzie wyzwaniem dla organów nadzorczych, jest spójność interpretacji, wsparcie sektorowe, w tym sektora MŚP. Istotne jest także unarzędziowienie ochrony danych osobowych, stworzenie wsparcia dla narzędzi, które pozwalają na łatwiejsze i bardziej transparentne zastosowanie rozporządzenia, prowadzą użytkownika krok po kroku. Aby łatwiej było mu zidentyfikować obszary wymagające zagospodarowania. To są moim zdaniem najistotniejsze kwestie, którymi musimy się zająć, by RODO faktycznie realizowało swoje cele.

Dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz&Wspólnicy