Rok prywatności? Jubileuszowe wydanie GDPR Today

Artykuł

Mieliśmy nadzieję, że unijne rozporządzenie o ochronie danych osobowych (RODO) będzie prawdziwie transgraniczną regulacją. Nie tylko jednym tekstem prawnym, stosowanym na całym kontynencie, ale przede wszystkim spójną doktryną i jednolitym systemem egzekwowania tego, co na papierze. Widząc, jakie emocje i obawy na rynku uruchamia groźba wysokich kar finansowych, mieliśmy nadzieję, że zarówno duże jak i małe firmy naprawdę dostosują się do nowych reguł gry. W jakim stopniu te obietnice się spełniły?

W ostatnim wydaniu nieregularnika „GDPR Today” piszemy o przeszkodach, które powodują, że ta reforma jeszcze nie rozwinęła pełnej prędkości, ale też doceniamy pozytywne zmiany, które widać z perspektywy 12 miesięcy stosowania RODO. Niektóre z nich widać w liczbach. W maju Europejska Rada Ochrony Danych (EROD) opublikowała oficjalne statystyki, z których wynika, że transgraniczne stosowanie RODO to już rzeczywistość. Być może ta zmiana zachodzi wolno, ale wydaje się nieuchronna.

To prawda, że do dziś Europejska Rada Ochrony Danych nie wydała ani jednej opinii na temat jednolitego stosowania RODO ponad granicami ani spraw, które mają skutek w więcej niż jednym państwie członkowskim. Pierwsza „duża” sprawa przeciwko Google została rozstrzygnięta przez francuski organ CNIL bez żadnych konsultacji z innymi organami nadzorczymi. Z drugiej strony w systemie, który prowadzi EROD, pojawiło się już 446 spraw o charakterze transgranicznym. 205 z nich jest rozstrzygane zgodnie z procedurą One Stop Shop, a wiec przez tzw. organ wiodący, często znajdujący się w innym kraju niż osoba skarżąca (np. wszystkie sprawy przeciw Facebookowi i od niedawna także przeciw Google trafiają do Irlandii). 19 spraw o takim charakterze już udało się rozstrzygnąć.  

Wszystko wskazuje na to, że organy nadzorcze z różnych państw UE są bardziej skłonne do nieformalnej współpracy I szukania kompromisu niż do testowania bardziej sformalizowanych procedur, takich jak tzw. wspólne operacje czy domaganie się wiążących decyzji od samej EROD. To podejście na pewno sprzyja szybszym rozstrzygnięciom, ale jeszcze nie wiemy, czy będzie sprzyjało wypracowaniu spójnej i odważnej interpretacji RODO. Za chwilę się o tym przekonamy, bo w samej Irlandii na rozstrzygnięcie czeka nie mniej niż 11 różnych skarg przeciwko Facebookowi i aż 15 niemal identycznych skarg na Google w związku z rolą tej firmy w ekosystemie reklamy behawioralnej. Czy organy nadzorcze wykorzystają te okazje, żeby zaangażować EROD i uzyskać oficjalne stanowisko Rady w sprawach, które wyznaczą standard stosowania RODO ponad granicami? Na to liczymy.

Jeśli RODO ma się stać rzeczywistością, potrzebujemy spójnej i odważnej interpretacji tych przepisów w sądach i organach nadzorczych. Po pierwszym roku stosowania tych przepisów widać, że zarówno małe, jak i wielkie firmy będą unikać swoich obowiązków w obszarze ochrony danych tak długo, jak długo mają podstawę sądzić, że ujdzie im to na sucho. Bez względu na to, jak jasne są w RODO wymaganie dotyczące pozyskiwania zgody na przetwarzanie danych, irytujące pop-upy –  których zamknięcie „oznacza zgodę” – i długie listy firm o tajemniczych nazwach, którym „zgadzamy się udostępnić dane”, same nie znikną z sieci.

RODO jest oparte na szacunku dla ludzkiej godności i autonomii, ale kapitalizm napędzany danymi tych założeń nie uznaje. Po ponad 20 latach obserwowania, jak ten system się rozpędza, nie możemy oczekiwać, że modele biznesowe, których założeniem jest komercjalizacja danych osobowych, po prostu przestaną istnieć tylko dlatego, że jakaś europejska regulacja uznała je za nielegalne. Ta batalia będzie wymagać nowych narracji, nowych instytucji (takich jak EROD) i nowych koalicji. Będzie też wymagać większego zaangażowania samych użytkowników, których decyzje kształtują popyt na danożerne technologie. Ci ostatni już się budzą: tylko jedno narzędzie wspierające zapytania o dane osobowe, stworzone przez Bits of Freedom, przyciągnęło w 7 miesięcy 17 000 aktywnych użytkowników.

Ta zmiana nie nastąpi w rok, ani nawet za pięć lat. W rok po tym, jak RODO zaczęło być w pełni stosowane możemy jednak – a nawet powinniśmy – wciągnąć pierwsze lekcje i głośno nazwać to, co musi się zmienić w świecie ochrony danych, jeśli pewnego dnia mamy tę batalię wygrać. Po te przemyślenia i wskazówki, przykłady precedensowych spraw i zestawienia ciekawych danych zapraszamy na stronę GDPRToday.org.

Katarzyna Szymielewicz

Od 10 lat walczymy o wolność i prywatność. Zobacz, co udało nam się osiągnąć przez 10 lat i wesprzyj nasze działania!

Dodaj komentarz