Kiedy pięć lat temu zaczęło obowiązywać RODO, mieliśmy nadzieję, iż nowe przepisy położą kres najbardziej jaskrawym naruszeniom prywatności i iż odzyskamy kontrolę nad tym, co się dzieje z informacjami na nasz temat. Dzisiaj wiemy, co trzeba poprawić w egzekwowaniu RODO, żeby zaszła realna zmiana, a hasło „twoje dane – twoje decyzje” nie było pustym sloganem.
RODO: między nadziejami a rzeczywistością
Między przyjęciem RODO w 2016 r. a jego wejściem w życie minęły dwa lata. Ten okres był potrzebny na to, żeby państwa członkowskie dostosowały do RODO swoją legislację, a administratorzy danych dostosowali się do nowych obowiązków.
W Panoptykonie poświęciliśmy ten czas na apelowanie do firm, żeby potraktowały nasze prawa poważnie. Przygotowaliśmy też serię materiałów, w których wyjaśnialiśmy, jak ludzie będą mogli z tych praw korzystać, a od maja 2018 r. pisaliśmy, jakiego standardu ochrony danych mogą oczekiwać.
Zderzenie z rzeczywistością było dość bolesne. Nasze główne wrażenia po pięciu latach stosowania RODO? Oto one:
- wielkie firmy technologiczne wprawdzie przeredagowały swoje polityki prywatności, ale dalej łamią nasze prawa, bo wielomilionowe kary nakładane przez organy wliczają sobie w koszty prowadzenia biznesu;
- krajowe organy stosują RODO na 27 różnych sposobów, a transgraniczne postępowania realizowane są latami;
- w Polsce zaś choćby wybór Prezesa UODO to polityka pozbawiona merytorycznej dyskusji.
Czy potrzebna jest reforma stosowania RODO?
Problemy (różnice w stosowaniu przepisów w różnych krajach i ciągnące się latami postępowania) dostrzega Komisja Europejska. Organizacje społeczne postulują np. wprowadzenie wiążących terminów na realizację postępowań. Dotychczasowe „bez zbędnej zwłoki” to za mało – nie można akceptować tego, iż firma latami łamie prawo, bo jej się to opłaca! A tak się dzieje zwłaszcza przy postępowaniach transgranicznych, które są i najtrudniejsze, i najważniejsze, ponieważ – jak w przypadku Meta, Google czy IAB Europe – dotyczą realizacji praw milionów osób w całej Europie.
O opieszałości organów sporo może powiedzieć organizacja NOYB, która na gruncie RODO złożyła ponad 800 skarg. Dopiero ostatnio doczekała się decyzji w sprawie dotyczącej transferów danych do USA przez firmę Meta (wtedy Facebooka), którą wytoczyła ponad 10 lat temu, czyli jeszcze przed wejściem w życie RODO.
Decyzja w tej sprawie (od której Meta może jeszcze się odwołać) zapadła adekwatnie tylko dzięki presji ze strony Europejskiej Rady Ochrony Danych (EROD, EDPB, European Data Protection Board). Organ w Irlandii, przed którym toczyło się postępowanie, od lat staje na rzęsach, żeby nie karać najgorszych (z punktu widzenia ochrony prywatności) łobuzów na rynku technologicznym. A wszyscy oni – jak się składa – mają siedziby w tym właśnie kraju.
W Polsce najważniejsza w ochronie danych jest… polityka
Polski Urząd Ochrony Danych Osobowych z trudem radzi sobie coraz większym napływem spraw. W 2021 r. do UODO wpłynęło 8318 skarg, czyli o 1876 więcej niż rok wcześniej. Rośnie jednak nie tylko liczba skarg, ale także decyzji sądów administracyjnych ws. bezczynności tego organu: w 2019 r. wydano 50 takich orzeczeń , a w 2022 r. już 86.
Pięciolecie RODO zbiega się z wyborami nowego Prezesa Urzędu Ochrony Danych Osobowych w Polsce. Niestety nie wiemy, jak jedyny kandydat na to stanowisko, urzędujący prezes Jan Nowak, poradzi sobie z takimi wyzwaniami dla naszej prywatności, jak śledząca reklama czy rozwój sztucznej inteligencji. Nie udało nam się uzyskać od niego odpowiedzi na pytania o pomysł na nową kadencję, za to próbuje bronić swojego wizerunku jako osoby niezależnej, tłumacząc się – niezbyt przekonująco – ze swoich kontrowersyjnych decyzji.
Jan Nowak mówi też, iż urząd ma doskonały zespół wykwalifikowanych pracowników. Potwierdzamy – z wieloma osobami pracujemy od lat i wysoko cenimy ich pracę. Tym niemniej, w dwóch głośnych sprawach, w których UODO nałożył najwyższe dotychczas kary finansowe, sądy uchyliły decyzje urzędu, wskazując na błędy w postępowaniach.
