Choć Europa ma najostrzejsze prawo w dziedzinie prywatności, nie umie skutecznie go egzekwować. Na razie. Komisja Europejska właśnie zmienia zasady gry.

Organy odpowiedzialne za dane osobowe będą musiały co dwa miesiące spowiadać się Komisji Europejskiej z tego, jak idzie im egzekwowanie RODO. To przełom – do tej pory postępowania wobec wielkich korporacji ciągnęły się latami, pozostawiając użytkowników prowadzonych przez nich serwisów praktycznie bez ochrony.
Najnowsza decyzja KE to odpowiedź na postępowanie Europejskiego Rzecznika Praw Obywatelskich, który badał, czy urzędnicy sprawują dostateczną pieczę nad przestrzeganiem RODO. Według najnowszych wytycznych każdy krajowy organ ochrony danych osobowych, który prowadzi działania w sprawie mającej wpływ także na resztę Europejczyków, będzie musiał raportować o tych postępowaniach komisarzom. W zestawieniach mają znaleźć się dokładne informacje o tym, kto był odpowiedzialny za kontrolę, jakie zastosowano w niej procedury i co o sprawie sądziły organy ochrony danych z innych krajów. Komisja zobowiązuje się do umieszczenia tych informacji w swoich raportach dotyczących zastosowania RODO. – Nie będzie więcej spraw, które utknęły w martwym punkcie – cieszy się Johnny Ryan z Irish Council for Civil Liberties (ICCL). Skarga na opieszałość KE złożona przez tę organizację do europejskiego ombudsmana uruchomiła łańcuch wydarzeń prowadzący do najnowszej decyzji organu.
ICCL od dawna przygląda się działaniom irlandzkiego urzędu odpowiedzialnego za dane osobowe (DPC). Ponieważ to właśnie w Irlandii mają siedzibę największe spółki technologiczne, DPC jest na mocy RODO odpowiedzialna za egzekwowanie tych przepisów. Jak jednak zauważają aktywiści praw człowieka, stawia to urząd w konflikcie interesów – z jednej strony od big techów zależy dobrobyt kraju, z drugiej ma on je ograniczać. Choć DPC nigdy nie udowodniono ani nawet nie oskarżono o korupcję, faktem jest, że przez lata prowadzone przez organ postępowania stały niemalże w martwym punkcie. Pierwszą grzywnę za nieprzestrzeganie RODO – ledwie 450 tys. euro – nałożono na Twittera po 2,5 roku obowiązywania regulacji. Jak tłumaczył w rozmowie z DGP przedstawiciel DPC, Graham Doyle, regulator przecierał szlaki.
Najwięcej postępowań prowadzono wobec koncernu Meta, właściciela Facebooka, Instagrama i WhatsAppa. Na przełomie grudnia i stycznia DPC wydała trzy decyzje, które nakazują zapłacić spółce niemal miliard dolarów odszkodowań za przetwarzanie danych użytkowników praktycznie bez podstawy prawnej. Sęk w tym, że początkowo kary miały być dziesięciokrotnie mniejsze. Dopiero opinie odpowiedników DPC z innych krajów i interwencja Europejskiej Rady Ochrony Danych (EROD), która jest unijnym organem odpowiedzialnym za stosowanie RODO, zmusiła irlandzką DPC do większej presji.
Działania DPC budziły wątpliwości także w Polsce. Urząd Ochrony Danych Osobowych w ciągu ostatnich dwóch lat siedem razy opiniował prowadzone przez irlandzki odpowiednik sprawy. Za każdym razem miał wątpliwości co do stanowiska Komisji, a treść jego opinii, do których dotarł DGP, pokazuje, że za każdym razem decyzje DPC były początkowo bardziej życzliwe dla spółki Marka Zuckerberga niż dla europejskich użytkowników, których miał chronić.
W opinii wydanej w 2022 r. UODO zwracał uwagę, że irlandzka komisja nałożyła na Facebooka zbyt małe kary w jednym z postępowań dotyczących przetwarzania danych osobowych. „Nie można uznać, że stosunkowo niska grzywna, w porównaniu z wielkością przedsiębiorstwa, skutecznie zniechęci je do popełniania podobnych naruszeń w przyszłości. Co więcej, tak niska grzywna będzie wyraźnym sygnałem dla innych podobnych podmiotów, że nie warto przywiązywać większej wagi do przestrzegania przepisów RODO, gdyż koszt wdrożenia odpowiednich środków technicznych i organizacyjnych może być wyższy niż ewentualna kara” – możemy przeczytać w polskiej opinii.
Innym razem, również odnosząc się do jednej ze spraw prowadzonych przeciwko Facebookowi, przyznał, że działania zastosowane przez DPC ograniczają osobom pokrzywdzonym możliwość dochodzenia swoich praw. Chodziło o techniczny szczegół: DPC uznała, że Facebook złamał RODO między czerwcem a grudniem 2018 r. i policzył to jako jedno przewinienie. Polski organ uznał, że była to seria naruszeń i jako taka powinna być traktowana.
W sprawie dotyczącej WhatsAppa poszło natomiast o zapisy regulaminu usługi. Kiedy przepisy RODO wchodziły w życie, komunikator zmienił kontrakt z użytkownikami. Wpisano w niego, że WhatsApp może gromadzić i przetwarzać ich dane w celu dostarczenia reklamy behawioralnej przez partnerów handlowych. Od zgody na taki stan rzeczy uzależniono możliwość korzystania z usługi. DPC początkowo uznała, że to postępowanie nie narusza prawa. UODO znów stanął jednak po stronie użytkowników. ©℗