Człowiek od RODO odchodzi z administracji

Monika Krześniak-Sajewicz, Interia: Przeprowadził pan skomplikowany proces wdrażania w Polsce RODO, chyba jednej z najbardziej obszernych i kontrowersyjnych regulacji unijnych. Jest pan "twarzą" oswajania Polaków z RODO i z ochroną danych osobowych. Misja została wypełniona? Dlaczego odchodzi pan z Ministerstwa Cyfryzacji? 

Maciej Kawecki, dyrektor departamentu zarządzania danymi i koordynator prac nad reformą ochrony danych w Ministerstwie Cyfryzacji: - Tak, mogę powiedzieć, że misja została wypełniona, choć nie oznacza to, że nie mogłem zrobić jeszcze więcej. Gdybym mógł cofnąć czas, to kilka rzeczy zrobiłbym inaczej. Jeszcze większy nacisk położyłbym na edukację, bo okazało się, że ten słynny 25 maja 2018 r., kiedy RODO zaczęło obowiązywać, trochę nas przerósł. Nie spodziewałem się, że reforma spotka się z taką ilością absurdów i nadinterpretacji.

- Natomiast dwie ważne rzeczy na pewno się udały. Pierwsza, to wyraźne podniesienie świadomości oraz szybkie wyeliminowanie absurdów związanych z RODO. Udało się zrobić to dość skutecznie poprzez tłumaczenie "ludzkim językiem", jak to ma działać w praktyce. Po drugie, chyba udało mi się pokazać, że można, nie będąc ministrem ani politykiem, prowadzić tak ważny proces i przy okazji zdystansować się od wizerunku urzędnika zamkniętego w swoim gabinecie, niedostępnego dla ludzi i mówiącego niezrozumiałą nowomową. Wyszedłem do ludzi z tą reformą, wyszedłem do mediów, bo wiedziałem, że kluczowa będzie budowa świadomości. Były momenty, gdzie moja obecność w mediach tradycyjnych i aktywne działanie w mediach społecznościowych niektórym przeszkadzała, czasami cierpiało na tym nawet moje życie rodzinne, ale uważałem, że tak trzeba było, by wyeliminować absurdy w interpretacji RODO, które mogły się skończyć bardzo źle. Dzisiaj z trochę podobną sytuacją mamy do czynienia w obszarze mitów dotyczących sieci 5G.

- To jest moja osobista satysfakcja, bo odchodzę z funkcji, którą pełniłem, w poczuciu, że zburzyłem pewien mit, że nie tylko minister czy wiceminister może koordynować tak ważną reformę. Dyrektor departamentu też może to robić. Cieszę się też, że RODO nigdy w Polsce nie stało się tematem dyskursu politycznego, co zawsze przenosi dyskusje merytoryczną na dalszy plan. Miałem to szczęście, że zarówno minister Streżyńska jak i minister Zagórski obdarzyli mnie zaufaniem i dostałem przyzwolenie i dużą samodzielność w komunikowaniu tak ważnych zmian. Formalnie reformę prowadził najpierw jako wiceminister, potem jako minister konstytucyjny Marek Zagórski. Dzięki jego pomocy i zaufaniu jakoś to RODO udało się oswoić, a mogło być różnie. I to muszę podkreślić.

Żałuje pan, że nie został prezesem Urzędu Ochrony Danych Osobowych?

- Przyjmuję to, co daje mi los i wychodzę z założenia, że jak coś się nie wydarzyło, to tak miało być i w związku z tym może wydarzyć się coś innego, równie fajnego. Decyzja parlamentu była taka, a nie inna, a ja nigdy nie ukrywałem, że gdybym taką propozycję dostał, to bym ją przyjął, bo z mojej perspektywy byłaby to ciągłość działań, które rozpoczęliśmy w Ministerstwie Cyfryzacji. Prezes UODO może zrobić na tym polu teraz dużo dobrego i na pewno obecnie ma więcej narzędzi do tego, niż dyrektor departamentu, nawet w Ministerstwie Cyfryzacji. Mam jednak przekonanie, że wiele się udało, a zarówno prezes UODO, jak i Minister Cyfryzacji zawszę mogą liczyć na moją chęć współpracy i pomocy, jeśli tylko będzie ona potrzebna.

Teraz tylko na barkach UODO jest pilnowanie RODO i ochrona danych osobowych?

- Przepisy zostały wdrożone, więc tak, choć Ministerstwo Cyfryzacji również działa na tym polu. Kilka dni temu skończyliśmy ostatnie posiedzenie rady ds. współpracy z Kościołami i związkami wyznaniowymi i jednogłośnie przyjęta została opinia, która proponuje w tym obszarze zmiany prawne. Kościoły jednogłośnie - co nie wiem, czy nastąpiło kiedykolwiek wcześniej - zgodziły się, że w przepisach powinien być przewidziany maksymalny okres przechowywania danych w archiwach kościelnych.

To co będzie pan robił po odejściu z ministerstwa?

- Obejmuję funkcję dziekana w Wyższej Szkole Bankowej w Warszawie. Szkoła obejmuje jeden wydział, więc będę współkierował cała uczelnią. Proces wyboru trwał bardzo długo i był najbardziej skomplikowanym, w jakim kiedykolwiek uczestniczyłem. To bardzo duże przedsięwzięcie. Będę współkierował uczelnią, która powstała w 2019 r., ale należy do największej grupy niepublicznych szkół wyższych w Polsce, które edukują od 25 lat. Poza sprawowaniem funkcji dziekana będę również opiekunem merytorycznym kierunków związanych z nowymi technologiami i ochroną danych osobowych. Chciałbym na uczelni stworzyć luźne, innowacyjne i otwarte dla wszystkich miejsce, w którym będzie organizowanych dużo merytorycznych i niekomercyjnych debat.

- Zresztą wybór dość młodego jak na takie stanowisko dziekana, w Polsce, też wpisuje się w wizję uczelni, która ma być partnerem dla studentów. Nie brałem pod uwagę przejścia do czystego "biznesu", natomiast chciałbym też wrócić trochę do praktyki prawniczej. Moja ewentualna współpraca z biznesem i kancelarią będzie miała jednak wymiar doradczy i skupiony głównie na obszarze edukacyjnym. Mogę też zapowiedzieć, że pracuję od dość dawna nad jeszcze jednym poważnym projektem.

A coś więcej?

- Jeszcze za wcześnie na to, by mówić o szczegółach. Mogę tylko wskazać, że z kilkoma osobami pracujemy nad absolutnie niekomercyjną inicjatywą, która w sposób inny niż dotychczas i dość silnym głosem będzie miała promować Polski rozwój technologiczny. Promować tak, by dowiedzieli się o tym wszyscy. Wielkie wyzwanie, bo skala jest duża zarówno, jeżeli chodzi o cele, jak również osoby i autorytety zaangażowane w prace. A jak zawsze, życie nasze plany zweryfikuje.

Planuje pan wrócić kiedyś do administracji publicznej?

- Przez jakiś czas będę jeszcze swoim doradczym głosem wspierał Ministra Cyfryzacji. Będzie to dla mnie ogromny zaszczyt. Obiecałem sobie też, że kiedyś wrócę. I znów mogę powiedzieć, że życie zweryfikuje te plany. Odchodzę z przeświadczeniem, że administracja publiczna to miejsce, gdzie robi się projekty na nieporównywalną nigdzie indziej skalę. Co do awansu, to, niestety, nie jest on możliwy. Zajmowałem w zasadzie najwyższe z możliwych stanowisk urzędniczych w administracji. Wszystkie pozostałe stanowiska wybierane są z uwzględnieniem również czynnika decyzji politycznych, który jest trudny do przewidzenia, więc i ja przewidywać go nie będę.

Na ile zmienił się ogólny stan wiedzy o konieczności ochrony danych osobowych? Czego się nauczyliśmy?

- Zmiana jest ogromna. Widać to nawet po komentarzach, jakie są umieszczane w sieci pod tekstami, w których się wypowiadam. Jeszcze niedawno były tam pytania, co to są dane osobowe, a teraz widać, że ludzie wiedzą, co to jest kradzież tożsamości, łączą to ze skanowaniem dowodów osobistych, wiedzą, że to jest niebezpieczne. Świadomość jest dużo wyższa.

Nadal jednak gros użytkowników smartfonów zupełnie bezrefleksyjnie ściąga różne aplikacje i daje im dostęp do swoich danych kontaktowych, zdjęć itd.

- To jest obszar, w którym jest dużo do zrobienia. Warto zastanowić się, czy chcemy swoimi danymi osobowymi płacić za możliwość korzystania z takich "darmowych" aplikacji. Wystarczy zajrzeć do mediów społecznościowych, gdzie mnóstwo osób, jadących na wakacje, chwali się np. na Facebooku zdjęciami swoimi kart pokładowych, na których znajdują się ich dane. Jeden z moich ostatnich wpisów na Facebooku, który dotarł zresztą do prawie miliona osób, dotyczył problemu bezrozumnego korzystania z aplikacji mobilnych. Dla porównania, jeśli pojedziemy do Estonii, Szwecji czy Norwegii, to okazuje się, że tam podchodzi się do udostępniania danych dużo ostrożniej, choć są to kraje bardzo zaawansowane cyfrowo.

- Nikt nie oczekuje, że będziemy rezygnować z użyteczności, jaką dają przeróżne aplikacje, ale wybierajmy je mądrze. Na tym rynku jest duża konkurencja, o czym świadczą choćby kolejne aplikacje oferujące przewozy, które są konkurencją dla popularnego Ubera. Czytajmy podstawowe dokumenty i informacje. Jeśli wchodzimy w daną aplikacje, to zróbmy przynajmniej jedną podstawową rzecz, otwórzmy dokument, który się nazywa "polityka prywatności" i sprawdźmy, jaka jest data aktualizacji polityki prywatności, czy firma przynajmniej raz w roku ją aktualizuje, bo jeśli nie robiła tego przez kilka lat i widzimy starą datę, to lepiej z takiego produktu nie korzystać. Nie jestem naiwny i nie spodziewam się, że użytkownicy będą czytać cały ten dokumenty, co obrazuje wpis, jaki niedawno widziałem w sieci: "Jakie jest największe kłamstwo internetu? Tak, przeczytałem politykę prywatności aplikacji".

Nie da się tego ułatwić regulacyjnie i systemowo tak, aby było to weryfikowane zanim zostanie udostępnione użytkownikom?

- Facebook, Twitter, Microsoft to są światowi giganci i regulacje na poziomie krajowym w mojej ocenie nic nie dadzą. Takie zabiegi powinny być prowadzone na poziomie Unii Europejskiej. Nie wyklucza to jednak możliwości prowadzenia pewnych działań na poziomie krajowym. Ministerstwo Cyfryzacji ogłosiło niedawno, przy okazji zamieszania wywołanego aplikacją FaceApp, tworzenie punktu konsultacyjnego w NASK, który właśnie temu ma służyć. Pod lupę trafiło 10 najbardziej popularnych aplikacji kierowanych do dzieci i młodzieży.

RODO działa od ponad roku. Czy pana zdaniem powinno się posypać więcej kar i czy też trzeba wyjść z założenia, że mamy jeszcze okres oswajania się z nowymi regulacjami i wystarczą bardziej "miękkie" działania?

- Nie uważam, że powinno posypać się więcej kar, bo one nie są skutecznym instrumentem i celem samym w sobie. Natomiast powinno być przeprowadzanych jak najwięcej postępowań kontrolnych. Kary powinny być nakładane w sytuacjach ostatecznych. Tym bardziej, że pierwsza kara nałożona w Polsce przez Urząd Ochrony Danych Osobowych jest dla mnie bardzo kontrowersyjna.

Przypomnijmy, że dotyczyło to wywiadowni gospodarczej Bisnode, która zdaniem UODO nie dopełniła obowiązku poinformowania przedsiębiorców prowadzących działalność gospodarczą jako osoby fizyczne, że przetwarza ich dane. Kara kontrowersyjna, dlatego że dotyczyła przetwarzania danych dostępnych w publicznych rejestrach czy z innych powodów?

- Też, ale RODO mówi wyraźnie, że obowiązek informacyjny poprzez klauzule może być nierealizowany, jeśli wymagałoby to niewspółmiernie dużych środków. W tym przypadku spółka wykazała, że ten koszt byłby wysoki i wyniósłby blisko 30 mln zł, jednak urząd zdecydował się nałożyć karę.

Wydaje się, że w wyniku zainteresowania RODO mocno ograniczony został proceder nieuprawnionego zatrzymywania dowodów osobistych, ale zjawisko kopiowania dokumentów jeszcze nie zostało wyeliminowane. Jak to wygląda dziś?

- Mamy wciąż duży problem ze zjawiskiem kradzieży tożsamości. Z danych CRIF średnio około 8 proc. wniosków o kredyt czy pożyczkę składanych w instytucjach finansowych w całym kraju to próby wyłudzenia. W 2018 r. było w sprawie zjawiska kradzieży tożsamości ponad 2,5 tys. postępowań prokuratorskich. A to kropla w ocenie. To zjawisko masowe.

- Ja sam padłem ofiarą kradzieży tożsamości. Ktoś, wykorzystując moje dane, podszywając się pode mnie, podpisał umowę z jednym z najlepszych w Polsce uniwersytetów na poprowadzenie wykładu i przyszedł na uczelnię, podając się za mnie. Dopiero wówczas uczestnicy wykładu zorientowali się, że to nie ja, a zupełnie inna osoba.

- Przy okazji chciałbym udzielić przestrogi. Zmieniłem numer telefonu komórkowego i potem mój poprzedni przypadł komuś innemu. Oczywiście, nie ma możliwości poinformowania absolutnie wszystkich o takiej zmianie i późniejszy posiadacz tego numeru dowiedział się, że numer należał wcześniej do mnie. Ludzie dzwonili i pytali, czy mogą rozmawiać z Maćkiem Kaweckim. W związku z tym, że łatwo sprawdzić w internecie, kim jestem i czym się zajmuję, podszył się pode mnie, gdy uniwersytet zadzwonił na mój stary numer z propozycją poprowadzenia wykładu. Jestem bardzo ostrożny, a na punkcie ochrony prywatności mam wręcz "fiksację". Jeśli taka sytuacja spotkała mnie, to może też spotkać każdego i z tym zjawiskiem trzeba walczyć. Dlatego w Ministerstwie Cyfryzacji powołano w tym celu specjalną grupę, która przygotuje propozycje zmian prawnych i którą mogłem kierować.

Rozmawiała Monika Krześniak-Sajewicz