DI: Spytam Pana teraz o pomysł, o którym donosiła prasa. RMF sugerował, że ministerstwo transportu chciałoby zrobić serwis, w którym można by było sobie sprawdzić swoje zdjęcia z fotoradaru.

GIODO: To jest informacja typu „Radio Erewań podaje”, tzn. coś jest na rzeczy, ale chyba nie do końca takie rozwiązanie proponowało Ministerstwo Transportu. O ile wiem, intencją tego resortu jest umożliwienie nam dostępu online do zdjęcia z fotoradaru w związku z konkretną sprawą, która się przeciwko nam toczy. Chodzi zatem o inne zarządzanie tą informacją, którą do tej pory dostawaliśmy w kopercie do skrzynki. Propozycja ministerstwa jest taka, że o ile informacja, że zdjęcie zostało zrobione, będzie nam dostarczona listownie, o tyle samo zdjęcie będziemy mogli zobaczyć jedynie online.

DI: Pan dostrzega jakieś szczególne problemy związane z takim pomysłem?

GIODO: Tak, lecz tak naprawdę dotyczą one jedynie szczegółów. Między innymi tego, w jaki sposób przekazywana będzie informacja do konkretnego adresata, by zapewnić, że tą osobą, która otrzyma informacje o zdjęciu, będzie akurat ta, której sprawa dotyczy, czy przynajmniej ta, która jest właścicielem samochodu, a także tego, jakie będą jej uprawnienia związane z ewentualnym udostępnianiem tej informacji dalej.

Natomiast rozwiązania polegającego na umieszczaniu zdjęć z fotoradarów w bazie internetowej nie postrzegam jako bardziej ingerującego w prywatność niż stosowane dotąd przesyłanie informacji przez straże miejskie za pośrednictwem Poczty Polskiej, choć oczywiście rodzi ono pewne zagrożenia związane z bezpieczeństwem, jak choćby możliwość ataku ze strony hakerów.

DI: Oprócz zbierania danych przez firmy i przez instytucje jest jeszcze coś takiego, jak zbieranie danych przez firmy jakby na zlecenie władz, czyli np. zatrzymywanie danych o połączeniach telekomunikacyjnych. Ostatnio w Parlamencie Europejskim wróciła kwestia przekazywania danych pasażerów linii lotniczych. Czy Pan spodziewa się nasilenia takich zjawisk w przyszłości?

GIODO: Z pewnością tak. W tej chwili jest to jeden z najtrudniejszych i najważniejszych problemów, które są rozważane przez unijnych rzeczników ochrony danych osobowych. Ująłbym go jednak nieco inaczej niż Pan. Pan wspomniał bowiem o pozyskiwaniu danych „na zlecenie” służb państwowych, a tak naprawdę problemem jest to, przez jaki okres podmioty prywatne będą zobowiązane do przetrzymywania danych, które same gromadzą dla własnych potrzeb, oraz w jakim zakresie będą musiały je udostępniać uprawnionym organom.

Pan podał przykład danych telekomunikacyjnych – przecież te dane są przechowywane przez operatorów dla ich własnych celów, choćby związanych z reklamacjami. Podobnie jest z danymi dotyczącymi pasażerów linii lotniczych. Problemem, który odnosi się do wszystkich sektorów gospodarki i służb specjalnych wszystkich państw, jest natomiast to, jak szeroki będzie dostęp służb specjalnych czy policji do danych, które posiadają firmy, i w jakich celach będą one mogły być wykorzystywane. Mamy bowiem do czynienia ze stałą tendencją do przyznawania organom państwa prawa dostępu do danych, które gromadzą podmioty rynkowe.

Natomiast GIODO jako organ ochrony danych osobowych twardo stoi na stanowisku, że tego typu dostęp jest możliwy w konkretnych sprawach, wtedy kiedy toczy się konkretne postępowanie. Natomiast przekazywanie administracji publicznej wszystkich danych, którymi dysponuje konkretny przedsiębiorca, jest absolutnie niedopuszczalne.

DI: W chwili obecnej w Parlamencie Europejskim trwają prace nad unijnymi przepisami w zakresie ochrony danych. Jak ich zmiana może wpłynąć na pracę administracji publicznej czy przetwarzanie danych w administracji publicznej?

GIODO: Przede wszystkim warto powiedzieć, że unijne rozporządzenie dotyczące ochrony danych osobowych w takim samym stopniu ma się odnosić i do przedsiębiorców, i do administracji publicznej.

Przez pewien czas istniało niebezpieczeństwo, że kilka krajów europejskich będzie dążyło do tego, by spod jego działania wyłączyć instytucje publiczne. Natomiast na szczęście tak się nie stało. Jedyne wyłączenia, które się pojawiają, będą dotyczyły organów ścigania oraz policji, czyli podmiotów, które zajmują się zapobieganiem i zwalczaniem przestępstw oraz wykonywaniem kar w postępowaniach karnych. Ich działalność będzie regulował inny akt prawny, jakim jest dyrektywa, która ma być przyjęta wspólnie z rozporządzeniem.

Nie jestem optymistą co do tego, czy rzeczywiście tak się stanie, w związku z czym wciąż mogą istnieć różnice, jeżeli chodzi o gromadzenie danych na potrzeby postępowań karnych i sądzenia oraz wykonywania kar w postępowaniu karnym. Aczkolwiek traktowałbym to jako swoisty wyjątek, który zresztą zawsze istniał w prawie europejskim, w polskim także.

Natomiast jeżeli chodzi o instytucje administracji publicznej, to generalnie podlegają one takim samym zasadom, jak wszystkie inne podmioty, które rozporządzenie obejmuje. A jeżeli pojawiają się odstępstwa, to na rzecz większej ochrony danych osobowych, jak np. obowiązek powoływania w instytucjach publicznych inspektorów zajmujących się ochroną danych osobowych, takich jak obecnie w polskim prawie administratorzy bezpieczeństwa informacji.