Rok po RODO – podsumowanie i życzenia na przyszłość

25 maja mija rok od rozpoczęcia obowiązywania RODO. Przyjęcie ustawy, która dostosowała do RODO setki innych, definitywnie zamyka okres przejściowy i wszelkie dyskusje o wdrażaniu zmian wywołanych przez rozporządzenie. Choć przez ostatni rok RODO przypominało raczej strzelbę, która załadowana czeka na użycie, to spełnione są już wszystkie warunki, żeby wystrzeliła z impetem. Jak oceniamy mijający rok? I jakie mamy życzenia na przyszłość? Zapraszamy do lektury naszego podsumowania.

Absurdy, które przyćmiły ważniejszą dyskusję

Przez ostatni rok mieliśmy więcej okazji słyszeć o absurdalnych interpretacjach nowego prawa niż o tym, jakie korzyści przyniosło ludziom, którzy do tej pory nie mieli realnej kontroli nad swoimi danymi, zwłaszcza wobec gigantów z Doliny Krzemowej. Jesteśmy rozczarowani brakiem porządnej kampanii informacyjnej w Polsce i w Unii Europejskiej, skierowanej zarówno do przedsiębiorców, jak i do zwykłych ludzi.

Brak porządnej kampanii informacyjnej przyczynił się do powstania RODO-absurdów i wypaczenia sensu regulacji.

RODO było owiane mgłą niezrozumienia do takiego stopnia, że w powszechnym odbiorze stało się przeciwieństwem tego, czym miało być. Przez dwa lata przestrzeń dyskusji zdominowana była przez konsultantów i kancelarie prawne, którzy mieli swój własny interes w przedstawianiu regulacji jako skomplikowanej, formalistycznej i niebezpiecznej (promując wizję kar finansowych, które mogą spaść na „niewinne firmy” niemalże bez ostrzeżenia). Obserwowaliśmy, jak mali i średni przedsiębiorcy, przestraszeni wizją horrendalnych kar, nadgorliwie interpretowali przepisy, które w podobnym kształcie funkcjonują już od ponad 20 lat. Efekt: masowe zbieranie zgód (znane też jako „zgodoza”), ogromne i niezrozumiałe klauzule informacyjne, które koniecznie trzeba podpisać, i zasłanianie się RODO w sytuacjach, które z RODO nie mają nic wspólnego.

Trochę zabawne, a trochę straszne dyskusje o smerfach w przychodniach i nieodczytywaniu listy obecności w szkołach przykryły dużo ważniejszą rozmowę, którą powinniśmy byli prowadzić przez ostatni rok: o praktykach internetowych gigantów, którzy oparli swój biznes na masowym zbieraniu i monetyzowaniu danych, oraz o tym, jaki wpływ na te praktyki i na sytuację użytkowników ma RODO. Ta dyskusja, choć spóźniona, nadal ma sens, biorąc choćby pod uwagę masę krytyczną, która wraz z rosnącą liczbą skarg tworzy się w różnych urzędach ochrony danych w całej Europie.

Giganci na celowniku

Na przestrzeni ostatnich 12 miesięcy do organów ochrony danych w wielu państwach członkowskich, w tym w Polsce, wpłynęło wiele strategicznych skarg przeciwko praktykom Facebooka, Google’a i innych firm, które bazują na daleko idącej eksploatacji danych użytkowników. Mieliśmy w tym swój udział: do Prezesa UODO złożyliśmy skargi przeciwko Google’owi i Interactive Advertising Bureau (IAB), nieformalnym regulatorom rynku reklamy behawioralnej w sieci, które Prezes niedawno przekazał organom w Belgii i w Irlandii.

Do tej pory największą karę – 50 mln euro – nałożył francuski organ nadzorczy na Google’a. To nadal relatywnie niska kwota, biorąc pod uwagę wysokość rocznych obrotów tej firmy (ponad 130 miliardów dolarów w 2018 r.). Maksymalna kara mogła więc wynieść nawet kilka miliardów euro. Kto wie, być może kilka takich kar pokazałoby Google’owi (i innym firmom śledzącym i profilującym nas w sieci), że w Europie poważnie podchodzimy do ochrony danych osobowych? Liczymy na to, że kolejny rok przyniesie przełomowe decyzje, które pozytywnie wpłyną na wolność i prywatność milionów użytkowników Internetu.

Aby skutecznie walczyć z praktykami cyfrowych gigantów, potrzebna jest sprawna współpraca urzędów ochrony danych w różnych państwach.

Jednak aby to było możliwe, konieczna jest większa współpraca organów z różnych państw i większe zaangażowanie Europejskiej Rady Ochrony Danych – organu powołanego do zapewniania spójnego stosowania RODO w całej Unii. Najwyższy czas, aby EROD przejęła narrację od komercyjnych graczy i zaczęła wyjaśniać, jak RODO powinno być stosowane, w tym poprzez wydawanie opinii w kluczowych, dotyczących wszystkich Europejczyków sprawach. Jeśli wytyczne i opinie EROD będą promować elastyczność, rozsądne zasady, podejście oparte na ryzyku i strategiczne myślenie o zarządzaniu danymi, podążą za nimi dobre praktyki rynkowe.

Wzrost świadomości

RODO nie kręci się jednak wyłącznie wokół dużych firm internetowych. Dużo większa niż przed wejściem w życie RODO liczba skarg i zgłoszonych naruszeń oznacza wzrost świadomości potrzeby ochrony danych również w codziennym życiu.

Według raportu IAB Polska 94% internautów deklaruje, że słyszeli o RODO. Z kolei z danych, które otrzymaliśmy od Urzędu Ochrony Danych Osobowych, wynika, że wpływa do niego średnio 25 skarg dziennie (na dzień 15 maja Urząd zarejestrował 9246 skarg). W końcu temat ochrony danych osobowych regularnie pojawia się w mediach, nie tylko tych o specjalistycznym profilu, co jeszcze kilka lat temu było niewyobrażalne.

Sama świadomość istnienia ochrony danych osobowych to za mało, zwłaszcza że nie wiąże się ona ze zrozumieniem sensu RODO, ale z poczuciem frustracji wynikającym z absurdalnych interpretacji i nadgorliwości. Nadal potrzebujemy kampanii informacyjnej, która skupi się na pokazywaniu, kiedy RODO może się okazać się pomocne i jak z niego korzystać.

Strzelba gotowa do wystrzału

Przez ostatni rok funkcjonowaliśmy w poczuciu, że potencjał RODO nie jest w pełni wykorzystywany, zwłaszcza wobec tych, którzy monetyzują dane na masową skalę. Wszyscy byli zajęci: rząd przeprowadzał reformę (pracował nad przepisami dostosowawczymi), UODO patrzył mu na ręce, a przy okazji sam przechodził poważną reorganizację związaną z ogromnym wzrostem kadrowym, prawnicy szkolili i kończyli wdrażanie w firmach, opinia publiczna koncentrowała się na RODO-absurdach, a ci, którzy zarabiali na danych – zarabiali dalej. Przysłowiowa strzelba, teoretycznie gotowa do wystrzału, wisiała nieużywana.

Jednak wraz z pierwszą karą za naruszenie przepisów nałożoną pod koniec marca oraz wejściem w życie ustawy wdrażającej na początku maja zakończyliśmy w końcu nieformalny okres przejściowy. Wszystko jest już gotowe do tego, by rozporządzenie zaczęło działać tak, jak powinno.

Potrzebujemy sprawnego i odważnego organu

W ten okres wkraczamy z nowym Prezesem Urzędu Ochrony Danych Osobowych. 16 maja Jan Nowak złożył ślubowanie i rozpoczął swoją czteroletnią kadencję. Jego kandydatura budziła wątpliwości – zarówno pod kątem posiadania niezbędnych kwalifikacji, jak i zapewnienia niezależności politycznej. Odpowiedzią na nie powinna być większa przejrzystość organu i grono niezależnych ekspertów wspierających merytorycznie nowego Prezesa.

Nowy Prezes UODO będzie musiał zmierzyć się z trudnymi wyzwaniami cyfrowego świata.

Jednak dyskusje na temat osoby nowego Prezesa są już za nami, a przed Janem Nowakiem i całym Urzędem stoi szereg trudnych wyzwań. Wykorzystywanie politycznego mikrotargetowania, dostęp do usług w zamian za śledzenie i profilowanie, decyzje podejmowane przez algorytmy i sztuczną inteligencję to tylko niektóre z problemów, którym Prezes w trakcie kadencji prędzej czy później będzie musiał stawić czoło.

Nowemu Prezesowi życzymy odwagi w podejmowaniu trudnych tematów i sprawności w działaniu.

***

A Wy jakie macie wrażenia po roku obowiązywania RODO? Czego życzylibyście sobie (i nam) w kolejnych miesiącach? Podzielcie się spostrzeżeniami w komentarzach.

Karolina Iwańska, Wojciech Klicki

Polecamy również:

Artykuł Katarzyny Szymielewicz (w jęz. angielskim): Will the GDPR serve its purpose? Three difficult lessons after its first year

Podcast Panoptykon 4.0: Rok po RODO. Rozmowa z Wojciechem Wiewiórowskim

Od 10 lat walczymy o prawo chroniące wolność i prywatność oraz dobre praktyki firm. Wesprzyj nas w tej walce! Wpłać darowiznę na konto Fundacji Panoptykon