Przypadająca na 25.05.2023 r. piąta rocznica rozpoczęcia obowiązywania przepisów RODO to dobra okazja, aby zastanowić się, czy rewolucja tego obszaru regulacji przyniosła więcej szkód czy pożytku. Jak wygląda spojrzenie w przeszłość i jak wyglądają widoki na przyszłość także w kontekście spodziewanej rewolucji związanej ze sztuczną inteligencją?
Medialny szum i optyka społeczna
Jednym z niewątpliwych sukcesów RODO było zwrócenie uwagi społeczeństwa na ochronę prywatności i praw jednostki związane z przetwarzaniem danych osobowych. Prawo do zapomnienia, czyli usunięcia danych, zajęło wiodące miejsce w tej debacie. Ogromne kary, takie jak kara dla META w wysokości 1,3 mld euro, przyciągnęły również dużą uwagę mediów i społeczeństwa. Wiele instytucji zobowiązanych do przestrzegania przepisów dot. ochrony danych osobowych, podjęło próby dostosowania się do nich. Ochrona danych osobowych stała się ważnym tematem zarówno dla sektora publicznego, jak i prywatnego. Jest to bez wątpienia sukces, ponieważ wcześniej te kwestie były często pomijane.
Ujednolicenie zasad
Jedną z najważniejszych zmian w RODO było zastąpienie dyrektywy rozporządzeniem. Dyrektywa wymaga implementacji przez państwa członkowskie, co może prowadzić do różnic w przepisach na poziomie krajowym. Natomiast rozporządzenie Parlamentu Europejskiego jest stosowane bezpośrednio. Ta zmiana była odpowiednia w dobie cyfryzacji i przetwarzania danych głównie w systemach informatycznych. Jednak jednolity akt prawny wymagał wielu kompromisów, uwzględniając stanowiska poszczególnych państw członkowskich. Według ekspertów, stosowanie RODO stało się trudne ze względu na jego ogólnikowe zapisy i wprowadzenie obcych uregulowań do krajowych systemów prawnych.
W opinii wielu ekspertów stosujących przepisy RODO okazało się prawnym koszmarem z punktu widzenia techniki legislacyjnej. Z jednej strony zawiera dużo norm o charakterze blankietowym (czyli takich, w których obowiązek prawny konkretyzowany jest dopiero w odniesieniu do studium danego przypadku). Z drugiej strony wprowadza obce uregulowania do systemów prawnych poszczególnych państw. Jako przykład można tu wskazać na test równowagi, podejście oparte na analizie ryzyka itp. Instytucje te wywodzące się z kultury anglosaskiej są zupełnie obce dla polskiej kultury prawnej, a obserwacja rynku prowadzi do wniosku, że nawet duże podmioty dysponujące ogromnymi budżetami na dostosowanie się do regulacji, mają problemy z osiągnięciem stanu pełnej zgodności.
Przykład kary nałożonej na META oraz innych podobnych spraw, w których ukaranym była duża firma z sektora BigTech (np. Alphabet – operator wyszukiwarki Google, Meta – operator serwisu Facebook) pokazuje, że ujednolicenie zasad ochrony okazało się mrzonką. Spółka Alphabet została ukarana przez francuski organ nadzory CNIL za niespełnienie obowiązku informacyjnego w sposób prosty i czytelny. Była to zresztą pierwsza w Europie kara za naruszenie przepisów Rozporządzenia. Powstaje zasadnicze pytanie, czy taka kara nie powinna być nałożona przez wszystkie organy nadzorcze lub też czy postępowanie w tej sprawie nie powinno dotyczyć wszystkich krajów UE?
Relacje z organem nadzorczym
Istnieje przekonanie, że organy nadzorcze, takie jak Urząd Ochrony Danych Osobowych (UODO) w Polsce, skupiają się głównie na nakładaniu kar, a nie na sensownej polityce informacyjnej. W opiniach takich znajduje się oczywiście sporo słuszności, jakkolwiek nie oddają one całości obrazu. Całkiem nieźle należy oceniać funkcjonowanie infolinii dla Inspektorów Ochrony Danych. Z drugiej stron wciąż brak jest jasnych wytycznych dla wielu istotnych i aktualnych kwestii. W tym obszarze UODO nie dał jasnych wskazówek jak postępować np. w kwestii transgranicznych transferów danych, plików cookies. Zmienność stanowiska organu nadzorczego w kwestii kontroli trzeźwości również nie buduje zaufania.
Pozytywnie z kolei należy ocenić inicjatywę z 2023 r., która polegała na utworzeniu Instytutu Prawa Ochrony Danych Osobowych (IPODO) na Akademii Humanistyczno-Ekonomicznej w Warszawie. Powstaje oczywiście pytanie, dlaczego zajęło to aż 5 lat i dlaczego Instytut taki powstaje na uczelni niepublicznej. Czas pokaże także, czy do jego tworzenia zostaną zaproszeni czołowi polscy przedstawiciele nauki i praktyki tej dziedziny prawa.
Patrząc przez pryzmat mniej przyjemnych okoliczności należy wskazać, że urząd nałożył aż 45 kar finansowych. Najgłośniejsza z nich skończyła się jednak spektakularną porażką urzędu i uchyleniem decyzji na etapie rozpoznawania skargi kasacyjnej przed NSA. Następująca po wyroku w tej sprawie wymiana nieuprzejmości ze strony urzędu kwestionującego prawomocny wyrok sądu z pewnością nie buduje pozytywnego wizerunku tej instytucji. Porażki na sali sądowej są nieodłącznym elementem sporów rozstrzyganych w ten sposób i należy się z nimi pogodzić.
Robert Gruz
adwokat – senior associate
ekspert ds. ochrony danych osobowych i compliance
