Artykuł 21.05.2019 7 min. czytania Tekst Image 25 maja mija rok od rozpoczęcia obowiązywania RODO. Przyjęcie ustawy, która dostosowała do RODO setki innych, definitywnie zamyka okres przejściowy i wszelkie dyskusje o wdrażaniu zmian wywołanych przez rozporządzenie. Choć przez ostatni rok RODO przypominało raczej strzelbę, która załadowana czeka na użycie, to spełnione są już wszystkie warunki, żeby wystrzeliła z impetem. Jak oceniamy mijający rok? I jakie mamy życzenia na przyszłość? Zapraszamy do lektury naszego podsumowania. Absurdy, które przyćmiły ważniejszą dyskusję Przez ostatni rok mieliśmy więcej okazji słyszeć o absurdalnych interpretacjach nowego prawa niż o tym, jakie korzyści przyniosło ludziom, którzy do tej pory nie mieli realnej kontroli nad swoimi danymi, zwłaszcza wobec gigantów z Doliny Krzemowej. Jesteśmy rozczarowani brakiem porządnej kampanii informacyjnej w Polsce i w Unii Europejskiej, skierowanej zarówno do przedsiębiorców, jak i do zwykłych ludzi. Brak porządnej kampanii informacyjnej przyczynił się do powstania RODO-absurdów i wypaczenia sensu regulacji. RODO było owiane mgłą niezrozumienia do takiego stopnia, że w powszechnym odbiorze stało się przeciwieństwem tego, czym miało być. Przez dwa lata przestrzeń dyskusji zdominowana była przez konsultantów i kancelarie prawne, którzy mieli swój własny interes w przedstawianiu regulacji jako skomplikowanej, formalistycznej i niebezpiecznej (promując wizję kar finansowych, które mogą spaść na „niewinne firmy” niemalże bez ostrzeżenia). Obserwowaliśmy, jak mali i średni przedsiębiorcy, przestraszeni wizją horrendalnych kar, nadgorliwie interpretowali przepisy, które w podobnym kształcie funkcjonują już od ponad 20 lat. Efekt: masowe zbieranie zgód (znane też jako „zgodoza”), ogromne i niezrozumiałe klauzule informacyjne, które koniecznie trzeba podpisać, i zasłanianie się RODO w sytuacjach, które z RODO nie mają nic wspólnego. Trochę zabawne, a trochę straszne dyskusje o smerfach w przychodniach i nieodczytywaniu listy obecności w szkołach przykryły dużo ważniejszą rozmowę, którą powinniśmy byli prowadzić przez ostatni rok: o praktykach internetowych gigantów, którzy oparli swój biznes na masowym zbieraniu i monetyzowaniu danych, oraz o tym, jaki wpływ na te praktyki i na sytuację użytkowników ma RODO. Ta dyskusja, choć spóźniona, nadal ma sens, biorąc choćby pod uwagę masę krytyczną, która wraz z rosnącą liczbą skarg tworzy się w różnych urzędach ochrony danych w całej Europie. Giganci na celowniku Na przestrzeni ostatnich 12 miesięcy do organów ochrony danych w wielu państwach członkowskich, w tym w Polsce, wpłynęło wiele strategicznych skarg przeciwko praktykom Facebooka, Google’a i innych firm, które bazują na daleko idącej eksploatacji danych użytkowników. Mieliśmy w tym swój udział: do Prezesa UODO złożyliśmy skargi przeciwko Google’owi i Interactive Advertising Bureau (IAB), nieformalnym regulatorom rynku reklamy behawioralnej w sieci, które Prezes niedawno przekazał organom w Belgii i w Irlandii. Do tej pory największą karę – 50 mln euro – nałożył francuski organ nadzorczy na Google’a. To nadal relatywnie niska kwota, biorąc pod uwagę wysokość rocznych obrotów tej firmy (ponad 130 miliardów dolarów w 2018 r.). Maksymalna kara mogła więc wynieść nawet kilka miliardów euro. Kto wie, być może kilka takich kar pokazałoby Google’owi (i innym firmom śledzącym i profilującym nas w sieci), że w Europie poważnie podchodzimy do ochrony danych osobowych? Liczymy na to, że kolejny rok przyniesie przełomowe decyzje, które pozytywnie wpłyną na wolność i prywatność milionów użytkowników Internetu. Aby skutecznie walczyć z praktykami cyfrowych gigantów, potrzebna jest sprawna współpraca urzędów ochrony danych w różnych państwach. Jednak aby to było możliwe, konieczna jest większa współpraca organów z różnych państw i większe zaangażowanie Europejskiej Rady Ochrony Danych – organu powołanego do zapewniania spójnego stosowania RODO w całej Unii. Najwyższy czas, aby EROD przejęła narrację od komercyjnych graczy i zaczęła wyjaśniać, jak RODO powinno być stosowane, w tym poprzez wydawanie opinii w kluczowych, dotyczących wszystkich Europejczyków sprawach. Jeśli wytyczne i opinie EROD będą promować elastyczność, rozsądne zasady, podejście oparte na ryzyku i strategiczne myślenie o zarządzaniu danymi, podążą za nimi dobre praktyki rynkowe. Wzrost świadomości RODO nie kręci się jednak wyłącznie wokół dużych firm internetowych. Dużo większa niż przed wejściem w życie RODO liczba skarg i zgłoszonych naruszeń oznacza wzrost świadomości potrzeby ochrony danych również w codziennym życiu. Według raportu IAB Polska 94% internautów deklaruje, że słyszeli o RODO. Z kolei z danych, które otrzymaliśmy od Urzędu Ochrony Danych Osobowych, wynika, że wpływa do niego średnio 25 skarg dziennie (na dzień 15 maja Urząd zarejestrował 9246 skarg). W końcu temat ochrony danych osobowych regularnie pojawia się w mediach, nie tylko tych o specjalistycznym profilu, co jeszcze kilka lat temu było niewyobrażalne. Sama świadomość istnienia ochrony danych osobowych to za mało, zwłaszcza że nie wiąże się ona ze zrozumieniem sensu RODO, ale z poczuciem frustracji wynikającym z absurdalnych interpretacji i nadgorliwości. Nadal potrzebujemy kampanii informacyjnej, która skupi się na pokazywaniu, kiedy RODO może się okazać się pomocne i jak z niego korzystać. Strzelba gotowa do wystrzału Przez ostatni rok funkcjonowaliśmy w poczuciu, że potencjał RODO nie jest w pełni wykorzystywany, zwłaszcza wobec tych, którzy monetyzują dane na masową skalę. Wszyscy byli zajęci: rząd przeprowadzał reformę (pracował nad przepisami dostosowawczymi), UODO patrzył mu na ręce, a przy okazji sam przechodził poważną reorganizację związaną z ogromnym wzrostem kadrowym, prawnicy szkolili i kończyli wdrażanie w firmach, opinia publiczna koncentrowała się na RODO-absurdach, a ci, którzy zarabiali na danych – zarabiali dalej. Przysłowiowa strzelba, teoretycznie gotowa do wystrzału, wisiała nieużywana. Jednak wraz z pierwszą karą za naruszenie przepisów nałożoną pod koniec marca oraz wejściem w życie ustawy wdrażającej na początku maja zakończyliśmy w końcu nieformalny okres przejściowy. Wszystko jest już gotowe do tego, by rozporządzenie zaczęło działać tak, jak powinno. Potrzebujemy sprawnego i odważnego organu W ten okres wkraczamy z nowym Prezesem Urzędu Ochrony Danych Osobowych. 16 maja Jan Nowak złożył ślubowanie i rozpoczął swoją czteroletnią kadencję. Jego kandydatura budziła wątpliwości – zarówno pod kątem posiadania niezbędnych kwalifikacji, jak i zapewnienia niezależności politycznej. Odpowiedzią na nie powinna być większa przejrzystość organu i grono niezależnych ekspertów wspierających merytorycznie nowego Prezesa. Nowy Prezes UODO będzie musiał zmierzyć się z trudnymi wyzwaniami cyfrowego świata. Jednak dyskusje na temat osoby nowego Prezesa są już za nami, a przed Janem Nowakiem i całym Urzędem stoi szereg trudnych wyzwań. Wykorzystywanie politycznego mikrotargetowania, dostęp do usług w zamian za śledzenie i profilowanie, decyzje podejmowane przez algorytmy i sztuczną inteligencję to tylko niektóre z problemów, którym Prezes w trakcie kadencji prędzej czy później będzie musiał stawić czoło. Nowemu Prezesowi życzymy odwagi w podejmowaniu trudnych tematów i sprawności w działaniu. *** A Wy jakie macie wrażenia po roku obowiązywania RODO? Czego życzylibyście sobie (i nam) w kolejnych miesiącach? Podzielcie się spostrzeżeniami w komentarzach. Karolina Iwańska, Wojciech Klicki Polecamy również: Artykuł Katarzyny Szymielewicz (w jęz. angielskim): Will the GDPR serve its purpose? Three difficult lessons after its first year Podcast Panoptykon 4.0: Rok po RODO. Rozmowa z Wojciechem Wiewiórowskim Od 10 lat walczymy o prawo chroniące wolność i prywatność oraz dobre praktyki firm. Wesprzyj nas w tej walce! Wpłać darowiznę na konto Fundacji Panoptykon Fundacja Panoptykon Autor Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast (Nie)bezpieczne dane. Rozmowa z Piotrem Koniecznym Kto może czuć się bezpieczny w Internecie? Jak firmy dbają o dane swoich klientów? Komu zdarzają się wycieki i jak sobie z nimi radzić? – opowiadał Piotr Konieczny, założyciel portalu Niebezpiecznik.pl, szkoleniowiec i praktyk z dziedziny cyberbezpieczeństwa. 21.03.2019 Dźwięk Artykuł Dwa lata RODO: „Testy zderzeniowe” na dwie gwiazdki Dwa lata temu cieszyliśmy się, że po trzech dekadach obowiązywania starych, niedostosowanych do globalnej cyfrowej rzeczywistości przepisów o ochronie danych osobowych nastało RODO. Nowe, wspólne dla całej Unii Europejskiej standardy miały chronić mieszkańców Europy przed… 25.05.2020 Tekst Poradnik Pracownik pod nadzorem. Co zmieniło RODO? W ubiegłym roku media donosiły, że w 20 sklepach popularnej sieci handlowej pracownicy przez cały dzień nosili czujniki rejestrujące, jak pracują. Z kolei w szwedzkim biurze podróży pracownikom wszczepiono pod skórę chipy służące m.in. logowaniu do komputera i otwieraniu biurowych drzwi. Ale nie… 02.01.2019 Tekst