Nowe przepisy mają przyspieszyć i usprawnić postępowania w sprawie ochrony danych osobowych, w które zaangażowane są organy nadzorcze z co najmniej dwóch państw członkowskich Unii Europejskiej. Problem jest poważny, bo do dziś czekają na rozstrzygnięcie sprawy transgraniczne zainicjowane zaraz po wejściu w życie RODO w 2018 r.

Kiedy postępowanie dotyczące RODO jest transgraniczne?

Sprawa dotycząca naruszenia RODO staje się transgraniczna, gdy będące jej przedmiotem przetwarzanie danych osobowych odbywa się w więcej niż jednym państwie członkowskim lub gdy przetwarzanie danych w jednym państwie ma znaczący wpływ na mieszkańców innych państw UE. Typowym przykładem jest sytuacja, gdy osoba, która złożyła skargę na naruszenie RODO, mieszka w jednym państwie członkowskim, a objęte postępowaniem przedsiębiorstwo (administrator danych) ma siedzibę w innym państwie.

Zgodnie z RODO jeden z zaangażowanych w sprawę krajowych organów ochrony danych zostaje w postępowaniu transgranicznym organem wiodącym i przygotowuje projekt decyzji. Przedstawia go następnie do oceny swoim odpowiednikom w pozostałych zainteresowanych krajach i przyjmuje ich uwagi. Jeśli organy nie mogą między sobą dojść do porozumienia, to o ostatecznej treści decyzji rozstrzyga Europejska Rada Ochrony Danych (EROD).

Jak nowe przepisy usprawnią egzekwowanie RODO?

Uzgodniona przez Europarlament i Radę wersja rozporządzenia proceduralnego przewiduje, że transgraniczne postępowanie zasadniczo powinno się zakończyć w ciągu 15 miesięcy. Termin ten można przedłużyć o 12 miesięcy, jeżeli sprawa jest szczególnie złożona. Natomiast w przypadku prostej procedury współpracy między krajowymi organami postępowanie należy zamknąć w ciągu 12 miesięcy.

Regulacja obejmuje też mechanizm szybkiego rozstrzygania skarg. Umożliwia on organowi rozstrzygnięcie sprawy przed wszczęciem standardowych procedur rozpatrywania skarg transgranicznych – tj. przed zaangażowaniem innych organów krajowych. Ten mechanizm będzie można stosować, gdy administrator usunie naruszenie, a osoba skarżąca nie sprzeciwi się szybkiemu rozstrzygnięciu skargi.

Aby zapobiec przedłużającym się dyskusjom między organami, nowy akt prawny wprowadza środki ułatwiające osiąganie porozumienia. Jest to m.in. zobowiązanie organu wiodącego do przesłania pozostałym organom streszczenia kluczowych kwestii danej sprawy. Dzięki temu organy w innych krajach już na wczesnym etapie będą dysponowały wszystkimi informacjami niezbędnymi do wyrażenia opinii.

Regulacja zapewni również prawo do otrzymania wstępnych ustaleń – zanim zapadnie ostateczna decyzja – osobie skarżącej i firmie lub organizacji objętej postępowaniem. Wstępne porozumienie Rady i PE musi teraz zostać potwierdzone przez obie te instytucje unijne.

Sprawy o ochronę danych osobowych ciągną się latami

- Porozumienie oznacza pewien postęp dla tych, którzy są sfrustrowani tym, że egzekwowanie przepisów okazało się piętą achillesową RODO. Big techy były w stanie kontynuować swoje szkodliwe praktyki, mimo że RODO obowiązuje od lat – komentuje dyrektor generalny Europejskiej Organizacji Konsumentów (BEUC) Agustín Reyna.

Zrzeszone w BEUC organizacje krajowe – w tym polska Federacja Konsumentów – jeszcze w 2018 roku złożyły w swoich państwach skargi na naruszenie RODO, jakiego ich zdaniem dopuścił się Google, śledząc lokalizację użytkowników. Skargi opierały się na badaniach norweskiej organizacji Forbrukerrådet, wskazujących na stosowanie przez big techa wprowadzających w błąd informacji i manipulacji skłaniających użytkowników Androida do zgody na śledzenie ich położenia. Raport dowodził też, że Google zbierał dane o lokalizacji za pośrednictwem funkcji „historia lokalizacji” oraz „aktywność w sieci i aplikacjach”. Nie udzielał też jasnych informacji o tym, co w rzeczywistości oznacza włączenie tych funkcji.

Ponieważ europejska siedziba Google’a mieści się w Irlandii, organem wiodącym w tej sprawie została tamtejsza Komisja Ochrony Danych (DPC). W sierpniu 2023 roku przedstawiła ona swoim odpowiednikom w pozostałych krajach projekt decyzji. Wywołał on dyskusję i sprawa do dziś nie znalazła finału.

Nie jest to jedyny taki przypadek. Także w 2018 roku dr Johnny Ryan z Irlandzkiej Rady Swobód Obywatelskich (ICCL) złożył do DPC skargę na naruszenia RODO przez Google’a w internetowym systemie aukcji profili użytkowników na potrzeby handlu reklamami (Real-Time Bidding, RTB). Na początku 2019 r. do irlandzkiego organu trafiły takie same skargi na Google’a z innych państw, w tym z Polski (złożona przez Panoptykon). DPC wszczął dochodzenie i sprawa utknęła. Po trzyipółrocznym oczekiwaniu na efekty działań organu ICCL złożył w sądzie skargę na bezczynność DPC.

Nowe przepisy można by jeszcze poprawić

Odnosząc się do wypracowanego przez PE i Radę kształtu nowych przepisów, BEUC stwierdza m.in., że stracono szansę na zapewnienie spójnego prawa skarżących do bycia wysłuchanymi w kluczowych momentach dochodzenia. Organizacja wskazuje, że są kraje – jak Francja – które w ogóle nie zezwalają skarżącym na bycie wysłuchanymi. Zaznacza ponadto, że przewidziana możliwość przesunięcia terminu zakończenia sprawy oznacza, iż szybkość podjęcia decyzji będzie zależała od dobrej woli organu wiodącego i procedur krajowych.