Dopiero po wyborach do europarlamentu pojawi się szansa na zakończenie prac nad przepisami, które ułatwią jednoczesne prowadzenie postępowań z RODO w kilku państwach.

Tego samego dnia, gdy w Unii Europejskiej zaczęły obowiązywać przepisy RODO – 24 maja 2016 r. – założona przez Maxa Schremsa austriacka organizacja obrońców prywatności NOYB złożyła skargę na Facebooka, że przetwarza dane swoich użytkowników niezgodnie z unijną regulacją.

Decyzji krajowego organu ochrony danych – Facebook ma siedzibę w Irlandii, więc sprawą zajmowała się tamtejsza komisja ochrony danych (DPC) – skarżący doczekali się dopiero po pięciu latach: w maju 2023 r. platforma mediów społecznościowych dostała 1,2 mld euro kary.

To i tak szybko, bo np. złożona w tym samym roku skarga kilku europejskich grup prokonsumenckich – w tym polskiej Federacji Konsumentów – na przetwarzanie danych osobowych przez innego cyfrowego giganta, Google, do dziś nie doczekała się finału.

– Nie tego się spodziewaliśmy, gdy wprowadzano RODO, nie tak nieefektywnych czasowo postępowań – mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.

Takich spraw jest dużo więcej. Ciągną się latami przede wszystkim dlatego, że dotyczą większej liczby państw członkowskich, a więc zajmuje się nimi kilka krajowych organów ochrony danych. – Mamy spójne europejskie przepisy (RODO – red.), ale są one stosowane przez organy krajowe, z których każdy działa według własnej procedury i we własnym rytmie – wyjaśnia Paweł Litwiński.

Krajowi regulatorzy potrafią prowadzić sprawy latami. – A gdy decyzja zostanie w końcu wydana, to co najmniej dwa lata trzeba potem czekać na wyrok TSUE. To dramatycznie nieefektywna procedura. Zwycięstwo osiągnięte po pięciu latach lub jeszcze później przestaje smakować. A w międzyczasie, co ma znaczenie szczególnie w odniesieniu do spraw dotyczących big techów, zmienia się technologia – dodaje Paweł Litwiński.

Dziewięć miesięcy na decyzję

Temu problemowi ma zaradzić rozporządzenie proceduralne dotyczące egzekwowania przepisów RODO. Jego projekt Parlament Europejski przyjął na posiedzeniu plenarnym w kwietniu. Ostateczną treść przepisów w trialogu z Radą UE i Komisją Europejską będą już negocjować eurodeputowani nowej kadencji.

W celu przyspieszenia procedur regulacja wprowadza m.in. termin dziewięciu miesięcy od otrzymania skargi na przedstawienie projektu decyzji przez organ wiodący.

Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, uważa, że deadline zadziała mobilizująco. – Moim zdaniem są to wymagające ramy, gdy weźmie się pod uwagę dotychczasowe doświadczenia przy wydawaniu takich decyzji – podkreśla.

Projekt przewiduje też, że organ wiodący ma umożliwić zajmującym się sprawą organom z innych krajów zdalny dostęp do wspólnych akt sprawy. – Widać wyraźnie, że zarówno Komisja Europejska, jak i Parlament Europejski dostrzegają problem komunikacyjny między organami biorącymi udział w mechanizmie spójności – komentuje Piotr Liwszic, dodając, że to rozwiązanie przyśpieszy też działanie na poziomie Europejskiej Rady Ochrony Danych (EROD), która skupia wszystkie organy krajowe i m.in. wydaje decyzje wiążące, gdy propozycja organu wiodącego nie znajduje aprobaty innych państw.

– Nie jest łatwo osiągnąć porozumienie wśród krajów UE co do przedstawionego przez organ wiodący projektu decyzji – stwierdza prawnik.

Gwarancje dla skarżących

– Celem rozporządzenia nie jest jedynie przeciwdziałanie przewlekłości postępowań transgranicznych, chociaż to najbardziej publicznie dyskutowana przyczyna tego aktu – zaznacza z kolei prof. Instytutu Nauk Prawnych PAN dr hab. Grzegorz Sibiga, adwokat i partner w kancelarii Traple Konarski Podrecki i Wspólnicy.

Regulacja ma też usprawnić i ujednolicić takie postępowania. Grzegorz Sibiga wskazuje tu na trzy aspekty. – Po pierwsze, dotyczy to sytuacji prawnej skarżącego (osoby, której dane dotyczą, lub organizacji), w tym jego praw w postępowaniu i warunków samej skargi. Po drugie, sytuacji będącego stroną administratora lub podmiotu przetwarzającego, który może zostać ukarany w wyniku postępowania, a zatem powinien mieć określone prawa procesowe (np. prawo do wypowiedzenia się). Wreszcie po trzecie, zasad współdziałania organów w postępowaniu transgranicznym, czyli organów nadzorczych między sobą oraz również z EROD – stwierdza.

Zwraca przy tym uwagę na wagę przepisów przewidujących gwarancje dla skarżącego oraz uczestniczącego w postępowaniu administratora lub podmiotu przetwarzającego – np. prawo wysłuchania, dostęp do akt czy środki zaskarżenia.

Półśrodek, nie remedium

Eksperci uważają, że nowa regulacja w pewnym stopniu przyspieszy postępowania transgraniczne, ale nie będzie to duża zmiana.

– To rozporządzenie to półśrodek. Metoda drobnych kroczków zamiast radykalnej reformy systemu – podkreśla Paweł Litwiński.

Rozporządzenie wprawdzie ma ujednolicić procedurę, ale dopiero na etapie uspójniania rozstrzygnięć organów krajowych. – Natomiast prowadzące do tych rozstrzygnięć postępowania nadal będą się toczyły w poszczególnych krajach w oparciu o krajowe procedury, często diametralnie różne – stwierdza dr Litwiński.

Jego zdaniem skuteczniejszym rozwiązaniem byłoby utworzenie centralnego regulatora na poziomie europejskim. – Takie rozwiązanie funkcjonuje na gruncie prawa konkurencji, gdzie tę rolę pełni Komisja Europejska. Jednak w zakresie RODO w wielu krajach europejskich widać ogromny opór przeciwko większej centralizacji – dodaje.

Postępowania transgraniczne można by np. zastrzec do kompetencji EROD. – Obecnie nie ma ona dostatecznych uprawnień. Sprawnie rozstrzyga nieporozumienia między regulatorami krajowymi, ale problem w tym, że aby sprawa trafiła do EROD, najpierw musi dojść do rozstrzygnięcia na szczeblu krajowym – mówi Paweł Litwiński. ©℗

ikona lupy />
Liczby spraw transgranicznych zarejestrowanych przez EROD / Dziennik Gazeta Prawna - wydanie cyfrowe