Wkrótce minie pierwszy rok obowiązywania GDPR. Po początkowej histerii informacyjnej nastroje uległy znacznej poprawie i uspokojeniu. Jednak trudno nie dostrzec, że RODO przedostało się do świadomości opinii publicznej, a nawet do szerokich kręgów i to w całej Europie. Gdy 26 maja 2018 przy zamawianiu cappuccino w jednej z sieciowych kawiarni w odpowiedzi na pytanie o imię przedstawiłem się jako “GDPR”, kubek otrzymałem bez żadnej adnotacji. Wcale nie byłem porażony. Dziś zainteresowanie tematem w społeczeństwie wciąż jest silne. Można nawet powiedzieć, że w Polsce powoli zapada pewnego rodzaju letarg, a zainteresowanie tematem maleje nawet w firmach i instytucjach, które są zobowiązane do interesowania się ochroną danych. Wydaje się, że zachodzi proces wyczekiwania tego wielkiego świątecznego dnia gdy UODO obwieści pierwsze nałożone kary RODO, bez znaczenia czy będą na poziomie milionowym, czy jeszcze nie.

Kary to nie wszystko

Tymczasem poza popularnymi “grzywnami”, GDPR posiada znacznie więcej, być może nawet ciekawszych instrumentów. Do urzędów ochrony danych spływają dwa podstawowe rodzaje zgłoszeń. Są to skargi na podmioty, oraz informacje o naruszeniu ochrony danych, otrzymywane od podmiotów. Dane te są jednymi z fundamentalnych miar świadczących o działaniu GDPR w kraju. Świadczą one o wydajności a także wydolności jego organów - a zatem adekwatności środków w stosunku do zadań. Dostęp do tych danych niestety jest ograniczony. Szczęśliwie, można to bardzo łatwo zmienić.

Skargi mówią o społeczeństwie

Skargi mają dużą wartość informacyjną. Świadczą one o względnej świadomości i wrażliwości społecznej na kwestie ochrony prywatności. To bogate źródło informacji nie tylko dla szerokiej rzeszy prawników, ekspertów, specjalistów, doradców, urzędników, ale także socjologów. W Polsce co jakiś czas w mniej lub bardziej otwarty sposób podawane są informacji o ilości złożonych skarg. Już na samym początku obowiązywania RODO łatwo dostrzec, że ten nieprzejrzysty sposób przedstawiania informacji nie jest zbyt fortunny. Nieregularność podawania takich danych do wiadomości publicznej uniemożliwia też wyciągnięcie jakichkolwiek konstruktywnych wniosków. Co więcej, już wkrótce informacja o zbiorczej liczbie skarg wpłyniętych “od początku obowiązywania RODO” straci rację bytu. Ta liczba zbiorcza nigdy zresztą nie stanowiła głębokiej wartości informacyjnej, nie umożliwiała choćby dokonywania sensownych porównań. By to usprawnić, informacje powinny być publikowane regularnie, niemal na bieżąco.

Naruszenia ochrony danych

Drugą ważną wartością mierzalną GDPR stanowią zgłoszenia o naruszeniach ochrony danych. Pierwszy raz w historii systemu ochrony danych w Polsce, UODO jest w posiadaniu bardzo bogatego zasobu wiedzy o ilości naruszeń i ich skali na miarę całego kraju. Osobiście traktuję dane tego rodzaju jak papierek lakmusowy jakości działania GDPR w poszczególnym kraju, jakości implementacji, egzekwowania, a także świadomości obowiązku w organizacjach objętych obowiązkiem. W tym sensie zgłoszenia to znacznie ciekawsze dane od suchej liczby złożonych skarg lub nawet informacji o nałożonych grzywnach. Dane te są też chyba jedyną metodą by dostrzec jakość wdrożenia RODO szerzej w skali kraju, choćby kierując się dynamiką zgłoszeń. Uważam, że obecnie w Polsce może występować problem zaniżonej skali zgłoszeń, co z punktu widzenia krajowego wdrożenia i egzekwowania RODO stanowiłoby problem strategiczny. Same dane o naruszeniach mogą świadczyć nie tylko o UODO (i w jaki sposób reaguje), lecz również o podmiotach w Polsce, ich uczciwości, choć może bardziej o świadomości obowiązków ochrony danych. Bez dostępu do precyzyjnych danych nie ma jednak możliwości weryfikacji. Ufajmy, że robi to UODO i będzie w stanie prawidłowo ocenić.

Także i w tym przypadku regularne przedstawiane do publicznej wiadomości bardziej precyzyjnych danych byłoby pożądane. Można nawet pójść nieco dalej, publikując nie tylko suche dane o liczbie zgłoszeń przypadających na konkretny miesiąc. Bo udostępnione informacje mogłyby zawierać datę zgłoszenia, z zaznaczeniem sektora podmiotu zgłaszającego. Umożliwiłoby to interesujące porównania, obrazujące też świadomość problemów w konkretnych sektorach. Niewątpliwie pomogłoby kancelariom, firmom, konsultantom, NGO-som, czy badaczom, jednocześnie umożliwiając polskiemu ekosystemowi ochrony danych działanie na równych i przejrzystych zasadach.

GDPR to odpowiedź na dostrzeżone problemy i wyzwania; powstało w wyniku debaty prowadzonej na Zachodzie. W ostatnim czasie w tamtych środowiskach zaczyna się mówić o - z dzisiejszej perspektywy - możliwościach o wiele bardziej radykalnych niż konserwatywne propozycje, wysunięte w tej analizie. Nie można przeciwstawić się zwiększeniu precyzji informacji kierując się tzw. imposybilizmem, bo lepsze standardy prywatności są możliwe do osiągnięcia.

Dziś brakuje podstawowych danych i metryk związanych z funkcjonowaniem GDPR w Polsce. Dane te istnieją, znajdują się w szafach UODO. Fakt że obecnie odpowiednik UODO w żadnym europejskim kraju nie podaje informacji z dokładnością porównywalną do tej w tym artykule nie może stanowić przesłanki za niepodejmowaniem zmian. Przeciwnie, dziś nie ma wręcz żadnego powodu by ta sytuacja nie miała ulec zmianie. W mojej ocenie europejskie urzędy ochrony danych pójdą właśnie w stronę większej precyzji. Dla Polski większa otwartość już na samym początku stanowi dziś jeszcze niewątpliwie szansę stania się niejako tym liderem, który uczyni to pierwszy by stanąć w awangardzie standardów GDPR. Zrobienie tego jest niezwykle łatwe. Wystarczy udostępnić surowe dane związane z funkcjonowaniem GDPR dla ogółu. Dostęp do informacji stanowiłoby wartość dla analiz eksperckich, badawczych i społecznych.

Masz wątpliwości? me@lukaszolejnik.com

Artykuł ukazał się w Dzienniku Gazecie Prawnej('Prawnik') 2.04.2019.