Nadmierność regulacji
Z perspektywy 5 lat obowiązywania RODO z pewnością można pokusić się o stwierdzenie, że dziedzina ta jest przeregulowana. Klauzule informacyjne są nadmiernie rozbudowane i powtarzają zbędne i nudne informacje. Z pewnością duża część tych informacji mogłaby być przekazywana na żądanie osoby, której dane dotyczą. Obowiązek prowadzenia analizy ryzyka sprawdza się nieźle w warunkach dużych korporacji. Małe i średnie przedsiębiorstwa nie posiadają i nie będą posiadać ani kompetencji, ani zasobów do przeprowadzenia tego procesu w sposób, w jaki opisują ją organy nadzorcze oraz Europejska Rada Ochrony Danych. Z drugiej strony brak jest jasnych wytycznych jak poradzić sobie z tym obowiązkiem w organizacjach o mniejszej skali działania.
Sytuację w tym zakresie komplikują także takie orzeczenia TSUE, jak w sprawie tzw. Schrems II. To bodaj najsłynniejsze orzeczenie TSUE, które w środowisku praktyków ochrony danych wzbudziło niemały popłoch. Literalnie odczytywane orzeczenie w praktyce blokuje możliwość przekazywania danych do Stanów Zjednoczonych z uwagi na przepisy dotyczące przeciwdziałania przestępczości. Dane obywateli UE mogą być przekazywane służbom wywiadowczym bez należytej kontroli sądu. Skutkiem tego wyroku było zniesienie możliwości transferów danych w oparciu o zasady w programie Tarczy Prywatności (Privacy Shield). Wyrok z 16 lipca 2020 r. w sprawie C-311/18 wprowadził cały szereg nowych obowiązków, jakie spoczywają na organizacjach zamierzających transferować dane. Należą do nich m.in. obowiązek uprzedniej analizy prawodawstwa kraju, do którego organizacja zamierza przekazywać dane. Mamy sporo wątpliwości, czy taki obowiązek może w ogóle wynikać z orzeczenia, jeśli nie jest on zawarty w treści przepisów. Stanowiska różnych instytucji nie są tutaj jednoznaczne. W tym zakresie należy docenić zdroworozsądkowe podejście bawarskiego organu nadzorczego, który dopuścił transfer danych bez dokonywania uprzedniej analizy. Jest to jednak stanowisko dość odosobnione.
Przyszłość – RODO i AI
Pomimo wielu głosów krytycznych nie widać u prawodawcy sygnałów, które wskazywałaby na jakąś nowelizacje i korektę rozwiązań przyjętych w RODO zgodnie z oczekiwaniami podmiotów zobowiązanych. Przed RODO zaś nieuniknione kolejne zderzenie tym razem z AI. Przedsmak tego zderzenia mieliśmy okazję obserwować tuż przed piątymi „urodzinami” RODO. Oto bowiem we Włoszech tamtejszy organ nadzorczy wydał decyzję tymczasowo blokującą dostęp do najciekawszej usługi ostatnich miesięcy (a może i lat) – ChatGPT. W swojej decyzji wskazał na potencjalny brak podstawy prawnej przetwarzania danych na tak dużą skalę przez algorytmy uczenia maszynowego. Dodatkowo pojawiła się kwestia umożliwienia sprzeciwu osobom, które nie chcą aby ich dane były używane do uczenia maszynowego.
Choć wiele osób oczekiwało, że decyzja ta będzie próbą zablokowania amerykańskich korporacji z sektora BigTech, to okazało się, że blokada szybko została zdjęta. Przesądzono jednocześnie, że prawnie uzasadniony interes może być podstawą przetwarzania danych w uczeniu maszynowym. Obowiązek informacyjny spełniono zaś w ten sposób, że OpenAI – operator ChatGPT – został zobowiązany do przeprowadzenia kampanii w mediach włoskich. W narzędziu ChatGPT uruchomiono także funkcjonalność sprzeciwu wobec przetwarzania. Można mieć sporo wątpliwości, czy działa ona w sposób należyty, ale póki co nie zostało to skutecznie zakwestionowane.
Przykład decyzji organu włoskiego pokazuje jednak jak na dłoni problemy wynikające z RODO w obecnej formie. Po pierwsze może ono zablokować rozwój najbardziej doniosłej technologii ostatnich lat, jaką jest sztuczna inteligencja. Byłoby fatalnym sygnałem dla przedsiębiorstw, że technologa ta może rozwijać się w Stanach Zjednoczonych i Chinach, a nie w Europie. Skazywałoby to nasz region na ogromne opóźnienie w rozwoju technologii i spowodowałoby zapewne odpływ dużej części firm zajmujących się tym zagadnieniem. Inne przedsiębiorstwa nie mogłyby z kolei korzystać z narzędzi AI, co stawiałoby je w gorszej sytuacji niż te, które takich ograniczeń by nie miały.
Po drugie decyzja organu włoskiego dotyczy tylko i wyłącznie obszaru terytorium tego kraju. Problemy wynikające z AI wydają się zaś mieć zdecydowanie ponadpaństwowy charakter. Konieczność regulacji tej kwestii wydaje się mieć zresztą charakter światowy a nie tylko europejski. Ujednolicenie przepisów i koszty z tym związane nie przyniosło zaś korzyści w postaci spodziewanego jednolitego podejścia do ich stosowania.
Po trzecie pomimo tego, że od czasu pojawienia się ChatGPT jest z pewnością jednym z najbardziej doniosłych tematów w dyskusjach, a oprócz włoskiego organu nadzorczego odrębne postępowanie prowadzone jest w Austrii, to wciąż nie wiadomo, jak do tej kwestii podchodzi UODO. Poza medialną informacją, że w tej sprawie zwrócił się do Garante – włoskiego odpowiednika – urząd tylko pobieżnie zasygnaliował zagadnienie w ostatnim biuletynie z maja 2023 r. Stało się to zatem ponad pół roku po udostępnieniu tego narzędzia. W tym czasie we Włoszech zostało ono zablokowane i odblokowane mocą decyzji administracyjnych.
Wnioski
W ciągu pięciu lat od wejścia w życie RODO osiągnięto wiele w dziedzinie ochrony danych osobowych. Wzrosła społeczna świadomość i zainteresowanie tematem, a przepisy RODO stały się podstawą do budowania nowoczesnej ochrony danych w Europie. Jednak pojawiły się również wyzwania, takie jak trudności w interpretacji przepisów, koszty dostosowania się dla małych firm i zagrożenia związane z rosnącym wykorzystaniem sztucznej inteligencji.
Przyszłość ochrony danych będzie wymagała dalszych działań, takich jak ulepszanie przepisów, edukacja i świadomość społeczna oraz rozwój odpowiednich środków technicznych. Ochrona prywatności i bezpieczeństwo danych są kluczowe dla zaufania społecznego w erze cyfrowej, dlatego ważne jest, aby podejmować odpowiednie kroki w celu zapewnienia skutecznej ochrony danych osobowych.
Wydaje się, że koszty wynikające z ujednolicenia regulacji (m.in. blankietowość norm, przewaga uznania administracyjnego) nie przewyższają korzyści, jakie niesie ona ze sobą. Nadmierność regulacji jest z kolei powodem oceny, że RODO jest najmniej przestrzeganym aktem prawnym z obszaru Compliance w Europie.
Robert Gruz
adwokat – senior associate
ekspert ds. ochrony danych osobowych i compliance
