Artykuł 21.05.2019 7 min. czytania Tekst Image 25 maja mija rok od rozpoczęcia obowiązywania RODO. Przyjęcie ustawy, która dostosowała do RODO setki innych, definitywnie zamyka okres przejściowy i wszelkie dyskusje o wdrażaniu zmian wywołanych przez rozporządzenie. Choć przez ostatni rok RODO przypominało raczej strzelbę, która załadowana czeka na użycie, to spełnione są już wszystkie warunki, żeby wystrzeliła z impetem. Jak oceniamy mijający rok? I jakie mamy życzenia na przyszłość? Zapraszamy do lektury naszego podsumowania. Absurdy, które przyćmiły ważniejszą dyskusję Przez ostatni rok mieliśmy więcej okazji słyszeć o absurdalnych interpretacjach nowego prawa niż o tym, jakie korzyści przyniosło ludziom, którzy do tej pory nie mieli realnej kontroli nad swoimi danymi, zwłaszcza wobec gigantów z Doliny Krzemowej. Jesteśmy rozczarowani brakiem porządnej kampanii informacyjnej w Polsce i w Unii Europejskiej, skierowanej zarówno do przedsiębiorców, jak i do zwykłych ludzi. Brak porządnej kampanii informacyjnej przyczynił się do powstania RODO-absurdów i wypaczenia sensu regulacji. RODO było owiane mgłą niezrozumienia do takiego stopnia, że w powszechnym odbiorze stało się przeciwieństwem tego, czym miało być. Przez dwa lata przestrzeń dyskusji zdominowana była przez konsultantów i kancelarie prawne, którzy mieli swój własny interes w przedstawianiu regulacji jako skomplikowanej, formalistycznej i niebezpiecznej (promując wizję kar finansowych, które mogą spaść na „niewinne firmy” niemalże bez ostrzeżenia). Obserwowaliśmy, jak mali i średni przedsiębiorcy, przestraszeni wizją horrendalnych kar, nadgorliwie interpretowali przepisy, które w podobnym kształcie funkcjonują już od ponad 20 lat. Efekt: masowe zbieranie zgód (znane też jako „zgodoza”), ogromne i niezrozumiałe klauzule informacyjne, które koniecznie trzeba podpisać, i zasłanianie się RODO w sytuacjach, które z RODO nie mają nic wspólnego. Trochę zabawne, a trochę straszne dyskusje o smerfach w przychodniach i nieodczytywaniu listy obecności w szkołach przykryły dużo ważniejszą rozmowę, którą powinniśmy byli prowadzić przez ostatni rok: o praktykach internetowych gigantów, którzy oparli swój biznes na masowym zbieraniu i monetyzowaniu danych, oraz o tym, jaki wpływ na te praktyki i na sytuację użytkowników ma RODO. Ta dyskusja, choć spóźniona, nadal ma sens, biorąc choćby pod uwagę masę krytyczną, która wraz z rosnącą liczbą skarg tworzy się w różnych urzędach ochrony danych w całej Europie. Giganci na celowniku Na przestrzeni ostatnich 12 miesięcy do organów ochrony danych w wielu państwach członkowskich, w tym w Polsce, wpłynęło wiele strategicznych skarg przeciwko praktykom Facebooka, Google’a i innych firm, które bazują na daleko idącej eksploatacji danych użytkowników. Mieliśmy w tym swój udział: do Prezesa UODO złożyliśmy skargi przeciwko Google’owi i Interactive Advertising Bureau (IAB), nieformalnym regulatorom rynku reklamy behawioralnej w sieci, które Prezes niedawno przekazał organom w Belgii i w Irlandii. Do tej pory największą karę – 50 mln euro – nałożył francuski organ nadzorczy na Google’a. To nadal relatywnie niska kwota, biorąc pod uwagę wysokość rocznych obrotów tej firmy (ponad 130 miliardów dolarów w 2018 r.). Maksymalna kara mogła więc wynieść nawet kilka miliardów euro. Kto wie, być może kilka takich kar pokazałoby Google’owi (i innym firmom śledzącym i profilującym nas w sieci), że w Europie poważnie podchodzimy do ochrony danych osobowych? Liczymy na to, że kolejny rok przyniesie przełomowe decyzje, które pozytywnie wpłyną na wolność i prywatność milionów użytkowników Internetu. Aby skutecznie walczyć z praktykami cyfrowych gigantów, potrzebna jest sprawna współpraca urzędów ochrony danych w różnych państwach. Jednak aby to było możliwe, konieczna jest większa współpraca organów z różnych państw i większe zaangażowanie Europejskiej Rady Ochrony Danych – organu powołanego do zapewniania spójnego stosowania RODO w całej Unii. Najwyższy czas, aby EROD przejęła narrację od komercyjnych graczy i zaczęła wyjaśniać, jak RODO powinno być stosowane, w tym poprzez wydawanie opinii w kluczowych, dotyczących wszystkich Europejczyków sprawach. Jeśli wytyczne i opinie EROD będą promować elastyczność, rozsądne zasady, podejście oparte na ryzyku i strategiczne myślenie o zarządzaniu danymi, podążą za nimi dobre praktyki rynkowe. Wzrost świadomości RODO nie kręci się jednak wyłącznie wokół dużych firm internetowych. Dużo większa niż przed wejściem w życie RODO liczba skarg i zgłoszonych naruszeń oznacza wzrost świadomości potrzeby ochrony danych również w codziennym życiu. Według raportu IAB Polska 94% internautów deklaruje, że słyszeli o RODO. Z kolei z danych, które otrzymaliśmy od Urzędu Ochrony Danych Osobowych, wynika, że wpływa do niego średnio 25 skarg dziennie (na dzień 15 maja Urząd zarejestrował 9246 skarg). W końcu temat ochrony danych osobowych regularnie pojawia się w mediach, nie tylko tych o specjalistycznym profilu, co jeszcze kilka lat temu było niewyobrażalne. Sama świadomość istnienia ochrony danych osobowych to za mało, zwłaszcza że nie wiąże się ona ze zrozumieniem sensu RODO, ale z poczuciem frustracji wynikającym z absurdalnych interpretacji i nadgorliwości. Nadal potrzebujemy kampanii informacyjnej, która skupi się na pokazywaniu, kiedy RODO może się okazać się pomocne i jak z niego korzystać. Strzelba gotowa do wystrzału Przez ostatni rok funkcjonowaliśmy w poczuciu, że potencjał RODO nie jest w pełni wykorzystywany, zwłaszcza wobec tych, którzy monetyzują dane na masową skalę. Wszyscy byli zajęci: rząd przeprowadzał reformę (pracował nad przepisami dostosowawczymi), UODO patrzył mu na ręce, a przy okazji sam przechodził poważną reorganizację związaną z ogromnym wzrostem kadrowym, prawnicy szkolili i kończyli wdrażanie w firmach, opinia publiczna koncentrowała się na RODO-absurdach, a ci, którzy zarabiali na danych – zarabiali dalej. Przysłowiowa strzelba, teoretycznie gotowa do wystrzału, wisiała nieużywana. Jednak wraz z pierwszą karą za naruszenie przepisów nałożoną pod koniec marca oraz wejściem w życie ustawy wdrażającej na początku maja zakończyliśmy w końcu nieformalny okres przejściowy. Wszystko jest już gotowe do tego, by rozporządzenie zaczęło działać tak, jak powinno. Potrzebujemy sprawnego i odważnego organu W ten okres wkraczamy z nowym Prezesem Urzędu Ochrony Danych Osobowych. 16 maja Jan Nowak złożył ślubowanie i rozpoczął swoją czteroletnią kadencję. Jego kandydatura budziła wątpliwości – zarówno pod kątem posiadania niezbędnych kwalifikacji, jak i zapewnienia niezależności politycznej. Odpowiedzią na nie powinna być większa przejrzystość organu i grono niezależnych ekspertów wspierających merytorycznie nowego Prezesa. Nowy Prezes UODO będzie musiał zmierzyć się z trudnymi wyzwaniami cyfrowego świata. Jednak dyskusje na temat osoby nowego Prezesa są już za nami, a przed Janem Nowakiem i całym Urzędem stoi szereg trudnych wyzwań. Wykorzystywanie politycznego mikrotargetowania, dostęp do usług w zamian za śledzenie i profilowanie, decyzje podejmowane przez algorytmy i sztuczną inteligencję to tylko niektóre z problemów, którym Prezes w trakcie kadencji prędzej czy później będzie musiał stawić czoło. Nowemu Prezesowi życzymy odwagi w podejmowaniu trudnych tematów i sprawności w działaniu. *** A Wy jakie macie wrażenia po roku obowiązywania RODO? Czego życzylibyście sobie (i nam) w kolejnych miesiącach? Podzielcie się spostrzeżeniami w komentarzach. Karolina Iwańska, Wojciech Klicki Polecamy również: Artykuł Katarzyny Szymielewicz (w jęz. angielskim): Will the GDPR serve its purpose? Three difficult lessons after its first year Podcast Panoptykon 4.0: Rok po RODO. Rozmowa z Wojciechem Wiewiórowskim Od 10 lat walczymy o prawo chroniące wolność i prywatność oraz dobre praktyki firm. Wesprzyj nas w tej walce! Wpłać darowiznę na konto Fundacji Panoptykon Fundacja Panoptykon Autor Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Pozytywna opinia dla pierwszych kodeksów postępowania RODO. Czekamy na kolejne! Kodeksy postępowania to pewnego rodzaju „przepisy wykonawcze” do RODO, tworzone przez organizacje branżowe, by pomóc firmom lub instytucjom z konkretnego sektora w interpretacji i stosowaniu przepisów. Prezes UODO właśnie zatwierdził pierwsze dwa takie kodeksy, oba z obszaru ochrony zdrowia: kodeks… 04.03.2021 Tekst Artykuł Zagłosuj na najcięższy grzech administratora danych Już za kilka dni w pełni obowiązywać zacznie ogólne rozporządzenie o ochronie danych osobowych (RODO), które (miejmy nadzieję) skutecznie zmieni dotychczasowe praktyki administratorów. Oto subiektywna lista ich „grzechów”, na które natknęliśmy się w ostatnim czasie. 22.05.2018 Tekst Podcast Wybory, których nie było. Rozmowa z Katarzyną Batko-Tołuć i mec. Witoldem Chomiczewskim Właśnie mija rok od przekazania Poczcie Polskiej danych 30 milionów Polek i Polaków w celu organizacji korespondencyjnych wyborów prezydenckich. Wyborów, które jak wiemy, odbyły się w innym terminie i w innym trybie niż zapowiadany. Działanie premiera, Poczty, Ministerstwa Cyfryzacji i samorządów,… 22.04.2021 Dźwięk