- RODO w dużej mierze powstało jako odpowiedź na potrzebę ochrony danych przez największych administratorów - mówi Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka.
Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka fot. Materiały prasowe / DGP
Francuski organ ochrony danych osobowych (CNIL, Commission Nationale de l’Informatique et des Libertés) nałożył na Google’a karę w wysokości 50 mln euro za nieprzestrzeganie RODO. Szokuje pana ta kwota?
Niespecjalnie. Nie znamy szczegółów sprawy, wiemy tylko to, co napisały na ten temat gazety. Kara jest oczywiście wysoka, najwyższa, jaką dotąd wymierzono za nieprzestrzeganie przepisów RODO. Przekracza ponad dwukrotnie granicę finansową kary, czyli 20 mln euro. Francuski regulator wymierzył ją, odwołując się do procentu od obrotów firmy. Oceniając wysokość tej kary, trzeba pamiętać, że RODO w dużej mierze powstało jako odpowiedź na potrzebę ochrony danych przez największych administratorów, a do takich należy Google. Kara jest więc wysoka, ale nie szokująca. Wydaje się również, że może nie być ostatnią.
Odbiera pan ją jako próbę pokazania Google’owi i innym graczom, że francuski organ poważnie podchodzi do tematu ochrony danych?
Nie odbierałbym decyzji o nałożeniu kary jako chęci pokazania czy udowodnienia wielkim graczom czegokolwiek, na zasadzie „mamy smoka i nie zawahamy się go użyć”. Organy państwowe, w tym CNIL czy polski prezes Urzędu Ochrony Danych Osobowych, wykonują przepisy prawa i działają w jego granicach. Każda decyzja administracyjna może być zaskarżana i na końcu podlega kontroli sądowej. Google już zapowiedział skierowanie skargi na decyzję CNIL. W tak spektakularnej sprawie, z jaką mamy do czynienia, organ administracji nie narażałby się na uchylenie decyzji, gdyby nie miał silnych podstaw prawnych do jej wydania. Decyzja ta jednak pokazuje, że europejskie organy regulacyjne będą poważnie podchodzić do egzekucji obowiązujących przepisów.
Kara została nałożona m.in. za łączenie różnych zgód na przetwarzanie danych. Jak więc serwisy internetowe powinny uzyskiwać zgody, by robić to w zgodzie z prawem?
Z tego, co wiemy, kara faktycznie została nałożona za łączenie różnych zgód na przetwarzanie danych, ale także za to, że część okienek służących do wyrażania zgody jest z góry wypełniona. Żeby zgody nie wyrazić, trzeba te zgody odznaczyć. Skomplikowany był również system pytania o zgodę. Nie ma tu miejsca na wchodzenie w szczegóły, ale warto wskazać na kilka kwestii. Przede wszystkim, zanim poprosimy o zgodę na przetwarzanie danych osobowych, trzeba się zastanowić, czy faktycznie uzyskiwanie jej jest potrzebne, czy nie możemy przetwarzać danych na innej podstawie prawnej. Jeżeli dojdziemy do wniosku, że uzyskanie zgody podmiotu danych jest konieczne, to powinniśmy zadbać o to, aby odpowiednio udokumentować jej wyrażenie. Wyrażenie zgody może polegać m.in. na zaznaczeniu okienka wyboru na stronie internetowej lub w aplikacji, wybraniu lub akceptacji ustawień technicznych przeglądarki internetowej. Za zgodę nie może być uznane milczenie czy okienka domyślnie zaznaczone, a z takimi, zdaje się, mieliśmy do czynienia w sprawie Google’a.
W decyzji CNIL podkreślono też brak przejrzystości w informowaniu użytkowników o tym, co serwis robi z danymi, komu je przekazuje. Chodzi m.in. o to, że użytkownik musi klikać w różne linki. Jak powinny zatem być przedstawiane internautom takie informacje?
Przede wszystkim w jasnej i zrozumiałej formie. Według prasowych doniesień, aby uzyskać informację, trzeba było kliknąć pięć, a nawet sześć razy. Jak widać, CNIL uznał, że to za dużo. Czy to oznacza, że cztery kliknięcia byłyby OK? Trudno powiedzieć. Na pewno należy dążyć do tego, żeby te informacje były łatwo dostępne. Zazwyczaj wystarcza jedno, góra dwa kliknięcia. Odpowiednie informacje muszą też być łatwe do znalezienia na stronie internetowej. Niestety, nie zawsze to jest przestrzegane. Intuicyjnie szukamy takich informacji gdzieś na dole strony. Czasem jednak zdarza się (dotyczy to w szczególności portali horyzontalnych czy stron mediów), że stronę przewijamy i przewijamy, i końca jej nie widać. W efekcie dotarcie do informacji o przetwarzaniu danych jest wysoce utrudnione lub wręcz niemożliwe.
Ważna jest też oczywiście forma przekazania informacji. Można tu stosować odnoszenie się do dedykowanych stron WWW, filmów, nagrań, prezentacji czy też stosowanie symboli graficznych.
Kara została nałożona przez francuski organ. Google stosuje jednak te same zasady wobec użytkowników z innych państw UE. Czy to oznacza, że z tego samego powodu może być ukarany też przez polski czy niemiecki organ?
Nikt nie może być karany dwa razy za to samo, a RODO jest jedno dla całej UE. CNIL zadbał nie tylko o prawa Francuzów, lecz także Polaków, Niemców i innych Europejczyków. Trzeba jednak wskazać, że zgodnie z RODO, CNIL może współpracować z innymi organami regulacyjnymi w Europie w celu wymuszenia na Google’u stosowania odpowiednich praktyk uzyskiwania zgód i informowania o sposobie przetwarzania danych. Co ciekawe, jak doniosły media, organem właściwym niekoniecznie będzie organ ochrony danych osobowych z Irlandii, gdzie główną europejską siedzibę ma Google. Koncern nadal bowiem nie dopełnił wszystkich warunków, aby to irlandzki organ był organem wiodącym w sferze ochrony danych Europejczyków. Odpowiada więc Google z USA. Działać zatem może każdy z organów regulacyjnych w Europie, ale kary za to samo już nałożyć nie może.