Przewlekłe procedury i powolny obieg dokumentów sprawiają, że duże spółki mogą ignorować przepisy RODO.

Podczas gdy w całej Europie skargę na naruszenie danych osobowych można przesłać e-mailem, polski urząd odpowiedzialny za ich ochronę wymaga rejestracji w ePUAP lub przesłania dokumentów pocztą. Pozwala także na wgląd w papierowe dokumenty sprawy, ale na miejscu, czyli w Warszawie – wynika z raportu przygotowanego przez austriacką organizację NOYB („Non of your business” – nie twój interes). W piątą rocznicę wdrożenia RODO, czyli unijnego Ogólnego rozporządzenia o ochronie danych, oceniła, jak poszczególne kraje członkowskie radzą sobie z jego wdrożeniem.

Zdaniem aktywistów polski UODO nie wypada najlepiej. Poza papierowym obiegiem dokumentów mają zastrzeżenia także do niezależności urzędu. W publikacji dotyczącej Polski, do której dotarł DGP, przypominają, że prezes UODO dopiero gdy obejmował urząd zrezygnował z członkostwa w Prawie i Sprawiedliwości. A w trakcie kadencji podejmował kontrowersyjne politycznie decyzje – nie widział problemu np. z udostępnieniem Poczcie Polskiej spisów wyborców przez Ministerstwo Cyfryzacji przed wyborami prezydenckimi w 2020 r. Ten punkt widzenia podważył Wojewódzki Sąd Administracyjny w Warszawie.

NOYB zarzuca także polskim urzędnikom nieudolność w prowadzeniu spraw. UODO w marcu przegrał przed Naczelnym Sądem Administracyjnym w sprawie kary nałożonej za wyciek danych na spółkę Morele.net. NSA uchylił tę decyzję. W odpowiedzi prezes UODO wysłał do sądu pismo, przekonując, że ten podważa niezależność urzędu i kompetencje jego pracowników.

Aktywiści NOYB zwracają uwagę także na przedłużające się postępowania. Sami złożyli w UODO 50 skarg, w większości dotyczących przetwarzania danych osobowych związanych z korzystaniem z plików cookies. Żadna nie została rozstrzygnięta do tej pory, a procedowanie 45 z nich trwa ponad dwa lata.

– Skargi zostały złożone do wielu organów nadzorczych w ramach szerokiej akcji NOYB mającej na celu zwalczanie tzw. dark patterns (manipulacyjne techniki, które mają skłonić użytkowników do niepożądanych działań – red.). Europejska Rada Ochrony Danych uznała za stosowne utworzenie grupy zadaniowej, której celem było opracowanie wspólnego stanowiska wobec przedmiotu skarg – wyjaśnia Adam Sanocki, rzecznik urzędu, i dodaje, że UODO jest aktywnym członkiem tej grupy. – Ponadto, ze względu na obszerną dokumentację załączoną do skarg, zarówno prezes UODO, jak i podmioty, których dotyczą skargi, potrzebują więcej czasu na właściwą analizę całości materiału dowodowego – dodaje. Przypomina też, że urząd jest zasypany skargami. W latach 2018–2021 przyjęto ich 20 tys. Każdą z nich trzeba rozpatrzyć indywidualnie. – Celem postępowania administracyjnego nie jest załatwienie sprawy szybko, lecz załatwienie jej poprawnie – podsumowuje rzecznik UODO.

Obciążenie urzędów to zresztą ogólnoeuropejski problem. Jak ocenia organizacja strażnicza Irish Council for Civil Liberties (ICCL), są one wąskim gardłem całego systemu ochrony danych osobowych. Także jej członkowie podsumowali w raporcie pięciolecie wdrożenia unijnych przepisów. – Ponosimy porażkę w egzekwowaniu RODO, szczególnie wobec big tech. Niepowodzenie to naraża wszystkich na poważne zagrożenia cyfrowe: dyskryminację, manipulację, zniekształcanie informacji i inwazyjną sztuczną inteligencję – ocenia Johnny Ryan z ICCL.

Członkowie organizacji najgorzej oceniają działania irlandzkiej Data Protection Commission (DPC). Przyjmuje ona skargi, także obywateli innych krajów UE, na naruszenia popełniane przez największe spółki technologiczne na świecie, które mają tam swoje europejskie siedziby. Większość transgranicznych spraw dotyczyła ledwie garstki spółek – wątpliwości budziły głównie Meta, Google, Airbnb, Yahoo!, Twitter, Microsoft, Apple i Tinder. Problem w tym, że przez całe lata nie udało się pociągnąć ich do odpowiedzialności. „Silne uprawnienia śledcze i egzekucyjne nie zostały wykorzystane” – czytamy w raporcie.

Do końca 2022 r. DPC wydała zaledwie 49 nakazów dostosowania się do przepisów i 28 grzywien. Jak wynika z wewnętrznych zestawień, zamiast przeprowadzać pełne dochodzenie, organ wykorzystuje polubowne rozwiązanie. W ten sposób zakończyło się 83 proc. transgranicznych skarg. Choć to rozwiązanie zgodne z irlandzkimi przepisami, ICCL uważa, że korzystanie z tego rozwiązywania w przypadku recydywistów lub w sprawach, które mogą mieć wpływ na wiele osób, narusza europejskie wytyczne.

Co więcej, słabość DPC widzą też jej odpowiednicy w reszcie Europy. 75 proc. decyzji irlandzkiego urzędu, dotyczących międzynarodowych spraw, zostało uchylonych większością głosów w Europejskiej Radzie Ochrony Danych, w której skład wchodzą przedstawiciele wszystkich analogicznych urzędów w UE. W wyniku takiego głosowania DPC nałożyła np. rekordową karę na Meta. W styczniu organ zdecydował, że big tech musi zapłacić 390 mln euro za nielegalne profilowanie reklam wyświetlanych Europejczykom.

Przyspieszenia chce także Komisja Europejska. W lutym wydała decyzję nakazującą, by organy ochrony danych co dwa miesiące raportowały postępy w sprawach dotyczących wszystkich Europejczyków. ©℗