Dopiero po wyborach do europarlamentu pojawi się szansa na zakończenie prac nad przepisami, które ułatwią jednoczesne prowadzenie postępowań z RODO w kilku państwach.
Tego samego dnia, gdy w Unii Europejskiej zaczęły obowiązywać przepisy RODO – 24 maja 2016 r. – założona przez Maxa Schremsa austriacka organizacja obrońców prywatności NOYB złożyła skargę na Facebooka, że przetwarza dane swoich użytkowników niezgodnie z unijną regulacją.
Decyzji krajowego organu ochrony danych – Facebook ma siedzibę w Irlandii, więc sprawą zajmowała się tamtejsza komisja ochrony danych (DPC) – skarżący doczekali się dopiero po pięciu latach: w maju 2023 r. platforma mediów społecznościowych dostała 1,2 mld euro kary.
To i tak szybko, bo np. złożona w tym samym roku skarga kilku europejskich grup prokonsumenckich – w tym polskiej Federacji Konsumentów – na przetwarzanie danych osobowych przez innego cyfrowego giganta, Google, do dziś nie doczekała się finału.
– Nie tego się spodziewaliśmy, gdy wprowadzano RODO, nie tak nieefektywnych czasowo postępowań – mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.
Takich spraw jest dużo więcej. Ciągną się latami przede wszystkim dlatego, że dotyczą większej liczby państw członkowskich, a więc zajmuje się nimi kilka krajowych organów ochrony danych. – Mamy spójne europejskie przepisy (RODO – red.), ale są one stosowane przez organy krajowe, z których każdy działa według własnej procedury i we własnym rytmie – wyjaśnia Paweł Litwiński.
Krajowi regulatorzy potrafią prowadzić sprawy latami. – A gdy decyzja zostanie w końcu wydana, to co najmniej dwa lata trzeba potem czekać na wyrok TSUE. To dramatycznie nieefektywna procedura. Zwycięstwo osiągnięte po pięciu latach lub jeszcze później przestaje smakować. A w międzyczasie, co ma znaczenie szczególnie w odniesieniu do spraw dotyczących big techów, zmienia się technologia – dodaje Paweł Litwiński.
Dziewięć miesięcy na decyzję
Temu problemowi ma zaradzić rozporządzenie proceduralne dotyczące egzekwowania przepisów RODO. Jego projekt Parlament Europejski przyjął na posiedzeniu plenarnym w kwietniu. Ostateczną treść przepisów w trialogu z Radą UE i Komisją Europejską będą już negocjować eurodeputowani nowej kadencji.
W celu przyspieszenia procedur regulacja wprowadza m.in. termin dziewięciu miesięcy od otrzymania skargi na przedstawienie projektu decyzji przez organ wiodący.
Piotr Liwszic, prawnik i autor serwisu Judykatura.pl, uważa, że deadline zadziała mobilizująco. – Moim zdaniem są to wymagające ramy, gdy weźmie się pod uwagę dotychczasowe doświadczenia przy wydawaniu takich decyzji – podkreśla.
Projekt przewiduje też, że organ wiodący ma umożliwić zajmującym się sprawą organom z innych krajów zdalny dostęp do wspólnych akt sprawy. – Widać wyraźnie, że zarówno Komisja Europejska, jak i Parlament Europejski dostrzegają problem komunikacyjny między organami biorącymi udział w mechanizmie spójności – komentuje Piotr Liwszic, dodając, że to rozwiązanie przyśpieszy też działanie na poziomie Europejskiej Rady Ochrony Danych (EROD), która skupia wszystkie organy krajowe i m.in. wydaje decyzje wiążące, gdy propozycja organu wiodącego nie znajduje aprobaty innych państw.
– Nie jest łatwo osiągnąć porozumienie wśród krajów UE co do przedstawionego przez organ wiodący projektu decyzji – stwierdza prawnik.
Gwarancje dla skarżących
– Celem rozporządzenia nie jest jedynie przeciwdziałanie przewlekłości postępowań transgranicznych, chociaż to najbardziej publicznie dyskutowana przyczyna tego aktu – zaznacza z kolei prof. Instytutu Nauk Prawnych PAN dr hab. Grzegorz Sibiga, adwokat i partner w kancelarii Traple Konarski Podrecki i Wspólnicy.
Regulacja ma też usprawnić i ujednolicić takie postępowania. Grzegorz Sibiga wskazuje tu na trzy aspekty. – Po pierwsze, dotyczy to sytuacji prawnej skarżącego (osoby, której dane dotyczą, lub organizacji), w tym jego praw w postępowaniu i warunków samej skargi. Po drugie, sytuacji będącego stroną administratora lub podmiotu przetwarzającego, który może zostać ukarany w wyniku postępowania, a zatem powinien mieć określone prawa procesowe (np. prawo do wypowiedzenia się). Wreszcie po trzecie, zasad współdziałania organów w postępowaniu transgranicznym, czyli organów nadzorczych między sobą oraz również z EROD – stwierdza.
Zwraca przy tym uwagę na wagę przepisów przewidujących gwarancje dla skarżącego oraz uczestniczącego w postępowaniu administratora lub podmiotu przetwarzającego – np. prawo wysłuchania, dostęp do akt czy środki zaskarżenia.
Półśrodek, nie remedium
Eksperci uważają, że nowa regulacja w pewnym stopniu przyspieszy postępowania transgraniczne, ale nie będzie to duża zmiana.
– To rozporządzenie to półśrodek. Metoda drobnych kroczków zamiast radykalnej reformy systemu – podkreśla Paweł Litwiński.
Rozporządzenie wprawdzie ma ujednolicić procedurę, ale dopiero na etapie uspójniania rozstrzygnięć organów krajowych. – Natomiast prowadzące do tych rozstrzygnięć postępowania nadal będą się toczyły w poszczególnych krajach w oparciu o krajowe procedury, często diametralnie różne – stwierdza dr Litwiński.
Jego zdaniem skuteczniejszym rozwiązaniem byłoby utworzenie centralnego regulatora na poziomie europejskim. – Takie rozwiązanie funkcjonuje na gruncie prawa konkurencji, gdzie tę rolę pełni Komisja Europejska. Jednak w zakresie RODO w wielu krajach europejskich widać ogromny opór przeciwko większej centralizacji – dodaje.
Postępowania transgraniczne można by np. zastrzec do kompetencji EROD. – Obecnie nie ma ona dostatecznych uprawnień. Sprawnie rozstrzyga nieporozumienia między regulatorami krajowymi, ale problem w tym, że aby sprawa trafiła do EROD, najpierw musi dojść do rozstrzygnięcia na szczeblu krajowym – mówi Paweł Litwiński. ©℗