Wiele osób w wejściu w życie RODO upatrywało szansy na okiełznanie największych korporacji. Okazało się jednak, że wystarczy, by wszyscy giganci założyli swoje europejskie siedziby w jednym kraju, żeby sparaliżować prowadzone wobec nich postępowania.
Po ponad dwóch latach od wejścia RODO w życie można dojść do smutnej refleksji, że giganci technologiczni są w stanie pokonać państwa członkowskie ich własną bronią, czyli biurokracją. Są w stanie przez 10, a być może nawet 15 lat przewlekać prowadzone wobec nich postępowania – zauważa radca prawny Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych w latach 2006–2016, a teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej. I nie jest w tej opinii odosobniony. O tym, jak źle funkcjonuje unijny system, coraz chętniej mówią sami szefowie organów nadzoru z państw członkowskich UE. Część z nich winę widzi nie tyle w działalności przedsiębiorców, ile przede wszystkim w jednym konkretnym państwie – Irlandii.
Kochać jak Irlandię
Dziwnym trafem to właśnie w Irlandii swe europejskie siedziby mają Facebook (wraz z powiązanymi z nim Instagramem i WhatsAppem), Google, Twitter, Apple, Huawei oraz wiele innych znanych, choć może nie tak wielkich korporacji. Zainteresowanie zieloną wyspą pojawiło się wraz z zapowiedzią ze strony unijnych decydentów, że najwyższy czas zadbać o kontrolę przestrzegania prawa ochrony danych osobowych. Jeszcze kilka lat temu irlandzki organ ds. ochrony danych mieścił się w domu bliźniaku. Drugą część zajmował sklepik wielobranżowy sieci SPAR. Teraz siedziba jest już bardziej okazała. Budżet też na papierze wygląda nie najgorzej – niespełna 17 mln euro. To więcej niż ma do dyspozycji prezes polskiego Urzędu Ochrony Danych Osobowych. Z drugiej strony mniej więcej takimi samymi pieniędzmi dysponuje w Irlandii tamtejszy związek wyścigów chartów.
System ochrony danych osobowych jest tak silny, jak jego najsłabszy element. Tym zaś jest irlandzki organ, który nie nałożył dotychczas żadnej grzywny na prywatny podmiot, mimo że w samym 2019 r. trafiło do niego ponad 7 tys. skarg
Wielu ekspertów mówi, że przypadkiem nie jest ani to, że technologiczni giganci zjechali do Irlandii, ani to, że system ochrony danych osobowych w wyspiarskim państwie wygląda tak, jak wygląda, czyli kiepsko. Irlandia bowiem od kilku lat intensywnie zachęca duże korporacje do ulokowania europejskich central na jej terenie. Robi to na tyle intensywnie, że nawet Komisja Europejska uznała ją za jedno z sześciu państw wspólnoty, których system podatkowy umożliwia sztuczne zaniżanie należnych podatków, co z kolei może stanowić nieuczciwą konkurencję w walce o inwestorów. Niektórzy uważają stworzenie niewydolnego organu ds. danych osobowych – w świetle tego, że w ostatnich latach na przestrzeganie zasad ich ochrony kładzie się coraz większy nacisk – za dodatkową, choć cichą, zachętę.
– Obecność gigantów w Irlandii to niewątpliwie znakomity biznes dla tego kraju. A fakt, że budżet tamtejszego organu nadzorczego jest szczątkowy jak na skalę niezbędnych działań, budzi wątpliwości, czy irlandzkiemu rządowi faktycznie zależy na rozwikłaniu tych niezwykle skomplikowanych spraw z zakresu ochrony danych osobowych – potwierdza mec. Andrzej Lewiński.
Strażnicy Europy?
Część ekspertów mówi wprost: nie zależy. Irlandczycy są bowiem teraz niejako w roli strażników Europy. Ich decyzje mogą ochronić ogół unijnych obywateli, a brak decyzji bądź ich odwlekanie może przynieść wymierne korzyści samym Irlandczykom – poprzez dodatkowe miejsca pracy, większe wpływy budżetowe, tworzenie wizji bycia europejską Doliną Krzemową. Coraz chętniej o zakładaniu działalności w Dublinie myślą twórcy europejskich start-upów. Uważają, że koszty związane z prowadzeniem działalności na wyspie, a nie w kraju pochodzenia, są mniejsze niż możliwe korzyści wynikające z dobrego dla biznesu systemu podatkowego oraz zmniejszonego ryzyka wszczęcia postępowania dotyczącego ochrony danych osobowych.
Kilka miesięcy temu Ulrich Kelber, niemiecki komisarz federalny ds. ochrony danych osobowych, wprost skrytykował działanie Irlandczyków. Stwierdził, że praktyka tamtejszego nadzoru jest „nie do zniesienia”. Kelber w swej wypowiedzi, która odbiła się szerokim echem w mediach zajmujących się nowoczesnymi technologiami w wielu państwach, stwierdził, że najwyższy czas odciążyć nieradzącą sobie z postępowaniami przeciwko gigantom Irlandię i przekazać znaczną część kompetencji na szczebel ogólnounijny. Irlandzki nadzór, odnosząc się do tej wypowiedzi, wskazał, że krytyka jest niesprawiedliwa. Nie jest bowiem tak, że irlandzcy urzędnicy nie chcą działać, lecz po prostu mają bardzo dużo pracy przy niezmiernie skomplikowanych sprawach. A istotą jest to, by ostatecznie wydana decyzja była możliwie najlepsza, a nie możliwie najszybciej ogłoszona.
Nadzorcy rynku w wielu państwach jednak czekać nie chcą. Francuzi ukarali Google grzywną w wysokości 50 mln euro za niewłaściwe zbieranie zgód pozwalających na wyświetlanie spersonalizowanych reklam oraz ukrywanie przed użytkownikami informacji o sposobie wykorzystywania ich danych osobowych (kilkanaście dni temu Francuska Rada Stanu, odpowiednik Naczelnego Sądu Administracyjnego, podtrzymała karę nałożoną przez organ; Google zaś zapowiedział zmianę swoich praktyk). Niemcy karzą Facebooka choćby za niewyznaczenie inspektora ochrony danych w lokalnym oddziale. Zniecierpliwienie widać też u polskich urzędników oraz ekspertów. Presję wywierają media, które chętnie sugerują, że najwyższy czas, ażeby i nad Wisłą zająć się nielegalnymi – także zdaniem użytkowników – praktykami poszczególnych korporacji. Jan Nowak, prezes Urzędu Ochrony Danych Osobowych, wyjaśnia jednak, że możliwości działania rodzimego urzędu są ograniczone. Zapytany w wywiadzie dla DGP o stawanie w szranki z gigantami technologicznymi, w tym głównie Facebookiem, odpowiedział: „Musiałby to zrobić organ irlandzki na nasz wniosek, ponieważ Facebook Ireland Ltd ma siedzibę w Irlandii”.
– Poza właściwością prezesa UODO znajduje się prowadzenie spraw, dla których jako właściwe zostały wskazane na podstawie art. 55 lub art. 56 RODO organy nadzorcze pozostałych państw członkowskich. Prezes UODO ma obowiązek przestrzegania właściwości, gdyż wydanie decyzji przez organ niewłaściwy może być podstawą do stwierdzenia jej nieważności – argumentował Jan Nowak.
Podobnie jak szef polskiego UODO argumentuje zresztą Max Schrems, austriacki działacz, który zasłynął z kampanii przeciwko Facebookowi, a dziś prowadzi organizację My Privacy is None of Your Business. W swej niedawnej odezwie do unijnych decydentów wskazał, że system ochrony danych osobowych jest tak silny, jak jego najsłabszy element. Tym zaś jest irlandzki organ, który nie nałożył dotychczas żadnej grzywny na prywatny podmiot, mimo że w samym 2019 r. trafiło do niego ponad 7 tys. skarg. Prowadzone są 23 duże postępowania przeciwko technologicznym gigantom. By wymienić tylko te najistotniejsze, osiem z nich dotyczy Facebooka, trzy Twittera, dwa Apple, tyle samo WhatsAppa i Google'a, zaś jedna ze spraw dotyczy Instagrama.
Schrems obawia się, że mogą być one prowadzone bez końca. Jego zdaniem to może trwać nawet przez dekadę. A istotą działania administracji powinno być przecież nie tylko to, by ostatecznie ukarać podmiot łamiący prawo, lecz także by wysłać jednoznaczny sygnał do całego rynku: tak robić nie wolno.
Austriacki aktywista mówi o samym postępowaniu – do czasu wydania decyzji. Zakładać zaś należy, że jeżeli będą one niekorzystne dla korporacji, to sprawy trafią najpierw do irlandzkich sądów, a w końcu aż do Trybunału Sprawiedliwości UE. W założeniu, że od czasu rozstrzygnięcia sprawy przez wyspiarski organ ds. ochrony danych osobowych do czasu poznania ostatecznej, prawomocnej decyzji, minie pięć lat, nie ma przesadnej brawury. Rysuje się więc perspektywa naprawdę długotrwała.
Część prawników stara się tłumaczyć Irlandczyków.
– Sprawy, jakie spadły na głowę irlandzkiemu organowi nadzorczemu, są niezwykle skomplikowane. Ba, to nawet nie są postępowania, tylko śledztwa. Takie, w których giganci technologiczni wcale nie pomagają i nie podają prostych odpowiedzi na tacy. Dwa lata na prowadzenie takich spraw to wcale nie jest dużo i trudno jest za ten fakt krytykować irlandzki organ – twierdzi Piotr Liwszic, ekspert ds. ochrony danych w ODO 24 i autor bloga JawnePrzezPoufne.pl. Wskazuje on, że nie jest możliwe wydanie jakiejkolwiek decyzji merytorycznej bez dokładnego prześledzenia przepływu danych osobowych, który w tak dużych, nowoczesnych rozwiązaniach technologicznych może być nad wyraz skomplikowany. Takie działanie wymaga nie tylko czasu, lecz przede wszystkim odpowiednich specjalistów po stronie organu nadzorczego. Liwszica zasmuciło więc stwierdzenie szefowej irlandzkiego organu, że nie zawsze dysponuje pracownikami, którzy potrafią właściwie zrozumieć, w jaki sposób giganci przetwarzają dane osobowe.
Pieniądze się liczą
– A co będzie, gdy giganci zaczną, jeszcze bardziej niż do tej pory, wykorzystywać sztuczną inteligencję do tworzenia predykcji na nasz temat albo wyciągania wniosków z dużych zbiorów danych? Wygląda na to, że te kwestie są tak złożone, że do ich zrozumienia potrzebni są topowi specjaliści, a takich może nie być w jakimkolwiek organie nadzorczym – mówi Liwszic. I dodaje, że na pewno nie pomaga także to, iż irlandzki organ jest niedofinansowany, a z doniesień medialnych wiemy, że średnia zarobków w urzędzie jest absolutnie niekonkurencyjna (83 tys. euro rocznie), jeśli chodzi o wyspecjalizowanych prawników na tamtejszym rynku usług prawniczych. – Taki poziom wynagrodzenia odstrasza wyspecjalizowanych prawników, a bez nich bardzo trudno skutecznie egzekwować przepisy – wskazuje Liwszic.
Na to samo uwagę zresztą zwracała szefowa irlandzkiego organu Helen Dixon. W 2019 r. poprosiła ona rząd o przekazanie nadzorowi dodatkowych funduszy, które pozwolą na przyśpieszenie działalności. Rządzący co prawda środki przekazali, ale w niespełna jednej trzeciej oczekiwanej kwoty. Dixon nie kryła rozczarowania i publicznie oświadczyła, iż niezbędne będzie „ponowne przeliczenie szykowanych wydatków na 2020 rok”. Innymi słowy, szefowa irlandzkiego urzędu postanowiła zrzucić winę za przedłużające się postępowania na tamtejszych polityków. Co zresztą wzmogło dyskusje o tym, że nie najlepsza kondycja irlandzkiego nadzoru nad prywatnością to efekt nie nieudolności, lecz przyjętej przez rządzących taktyki.
– Przed 25 maja 2018 r. wiele osób oczekiwało, że RODO doprowadzi do tego, że wszystkie duże sprawy z udziałem gigantów technologicznych będą rozstrzygane relatywnie szybko oraz skutecznie. I mimo że przepisy są dość skomplikowane, nie będzie problemów z ich egzekwowaniem. Tymczasem praktyka okazała się zgoła odmienna – przyznaje radca prawny Marcin Lewoszewski, wspólnik w kancelarii Kobylańska Lewoszewski Mednis. Uważa on, że większość organów nadzorczych nie jest odpowiednio dofinansowana, w szczególności ten irlandzki, który jednocześnie zajmuje się najbardziej skomplikowanymi sprawami. Prawnik dodaje, że trudno zarazem mówić, że irlandzki organ jest słaby merytorycznie, bo taki zarzut byłby nieuzasadniony i krzywdzący.
– Z irlandzkich doniesień prasowych wynika, że koszt obsługi prawnej organu nadzorczego w sprawie skargi Maksa Schremsa przeciwko Facebookowi wyniósł już niemal 3 mln euro. To sytuacja bez precedensu. Organ ochrony danych w żadnym innym państwie europejskim nie jest tak obłożony skomplikowanymi sprawami jak ten irlandzki i nic nie wskazuje na to, że poradziłby sobie lepiej w sytuacji, w której znaleźli się Irlandczycy – zauważa mec. Lewoszewski. Jego zdaniem na efekty działań po prostu trzeba jeszcze poczekać, a oceny pracy Irlandczyków muszą być dokonywane przez pryzmat poziomu złożoności spraw, którymi się zajmują. Bądź co bądź minęły dopiero dwa lata, odkąd stosujemy RODO. A przy bardzo skomplikowanych postępowaniach administracyjnych, w których strona aktywnie broni swoich racji przy znacznym zaangażowaniu wiodących kancelarii prawnych w zakresie ochrony prywatności, nie jest to czas, który można by uznać za rażąco długi.
Po co jest RODO
Inna rzecz – na co też zwraca uwagę Lewoszewski – to, że samo rozumienie idei i celu RODO w Irlandii wydaje się odmienne niż np. w Niemczech. Wyspiarze nie ukrywają, że ich zdaniem należy przede wszystkim prowadzić dialog z technologicznymi gigantami i wypracowywać rozwiązania korzystne zarówno dla biznesu, jak i dla prywatności obywateli. Dopiero w razie braku możliwości porozumienia się, powinno się karać i zmuszać do określonych działań. Zdaniem Lewoszewskiego takie podejście wydaje się zresztą słuszne, bo trudno uznać, że ideą RODO było karanie przedsiębiorców. Zupełnie inaczej do sprawy wydają się podchodzić Niemcy, którzy zresztą wprost mówią, że ich irlandzcy koledzy działają nieefektywnie. W odróżnieniu od Irlandczyków lista podmiotów ukaranych z tytułu nieprzestrzegania przepisów RODO w Niemczech jest długa i ciągle rośnie.
– Takie podejście na pewno też ma znaczenie dla korporacji podejmujących decyzję o ulokowaniu swojego biznesu w kraju unijnym. Z moich analiz wynika, że 70 proc. dużych przedsiębiorstw technologicznych przy podejmowaniu takiej decyzji bierze pod uwagę fakt, że w danym kraju są luźniejsze reguły stosowania RODO. Nie chodzi więc tylko o podatki czy dostęp do wykwalifikowanych pracowników. Bo przecież kary finansowe z RODO mogą być bardzo dotkliwe i wynieść dziesiątki milionów euro, a niezależnie od tego mają negatywny wpływ na PR korporacji, a to równie ważne, a czasem nawet ważniejsze – spostrzega Marcin Lewoszewski.
Znaczenie ma też polityczny wymiar wydawanych decyzji. Z pewnością każde z rozstrzygnięć w 23 dużych sprawach natychmiast obiegnie cały świat. Informacja o ewentualnej wielomilionowej karze nałożonej na Facebooka, Twittera bądź Apple będzie przekazywana w amerykańskich telewizjach, egipskich portalach internetowych, a polscy internauci będą o niej dyskutować na Facebooku i Twitterze. Jednocześnie to właśnie wtedy najlepsi na świecie prawnicy zaczną analizować zdanie po zdaniu wydaną decyzję. Pewne w zasadzie jest to, że korporacje będą się od każdego niekorzystnego dla siebie rozstrzygnięcia odwoływać. I bynajmniej nie będzie chodziło o pieniądze, lecz o fakt, że żadna globalna korporacja cyfrowa nie będzie chciała przyznać się do tego, że naruszała prywatność swych użytkowników.
– Nie chcę nawet myśleć, jak ogromna presja musi ciążyć na tych, o których decyzjach będzie się mówiło na całym świecie – mówi pracownik Urzędu Ochrony Konkurencji i Konsumentów.
Sądowe sprawy pomiędzy irlandzkim urzędem a ukaranymi korporacjami byłyby niezwykle prestiżowe. A ewentualna porażka, choćby nawet z błahego powodu, jak niedopuszczenie kolejnych dokumentów przedłożonych przez prawników giganta do materiału dowodowego, byłaby wyolbrzymiana i wyśmiewana w wielu państwach. Kierownictwo irlandzkiego organu musiałoby zapewne zapłacić za to stanowiskami. Efekt? Urzędnicy działają wolniej, starając się uniknąć jakiejkolwiek pomyłki. A przedłużanie postępowania przez prawników koncernów, którym jest to na rękę, jest akceptowane, gdyż organ obawia się, że mógłby polec w sądzie nie z przyczyn merytorycznych, lecz stricte proceduralnych.
Większe kompetencje wyżej?
Skoro wiemy już, że system nie działa tak, jak powinien, pojawia się oczywiście pytanie: co dalej? Niezależnie od wolniejszych niż oczekiwano działań Irlandczyków trudno oczekiwać rewolucyjnych zmian w systemie prowadzenia postępowań przeciwko technologicznym gigantom. Na pewno ich nie będzie do czasu uporania się przez wyspiarzy z wszczętymi już postępowaniami. Odebranie ich Irlandczykom, np. poprzez uchwalenie procedury przekazania ich ogólnounijnemu organowi, raz, że byłoby źle odebrane, a dwa – oznaczałoby, iż wykonane już czynności trzeba powtórzyć, a zatem całą sprawę zacząć od nowa. Natomiast zdaniem ekspertów warto byłoby się zastanowić nad przyszłością.
– Na pewno warto przyjrzeć się bliżej kompetencjom Europejskiej Rady Ochrony Danych (EROD) w świetle możliwości prowadzenia spraw dużego kalibru i wyręczania w tym organów poszczególnych krajów. Być może potrzebne są tu zmiany po to, by z jednej strony, odciążyć kraje, które stały się mekką dla gigantów technologicznych jak Irlandia. Z drugiej strony, decyzje np. o nałożeniu kary byłyby oderwane od konkretnego kraju, co daje większą niezależność i elastyczność – uważa Marcin Lewoszewski.
Podobnie twierdzi Andrzej Lewiński. Jego zdaniem EROD jest doskonale zorientowana w sprawie koncernów technologicznych i posiada znakomitych specjalistów. W efekcie mogłaby bez trudu poprowadzić sprawy dużego kalibru bądź blisko koordynować współpracę organów nadzorczych z różnych krajów. Bez wątpienia też – mając na względzie, że unijni decydenci ostatnio kładą nacisk na ochronę prywatności użytkowników internetu – prościej byłoby zadbać o odpowiednie fundusze na prowadzenie skomplikowanych postępowań.
– Wszak sprawa koncernów takich jak Facebook interesuje wszystkich Europejczyków, a nie tylko Irlandczyków. Nie można zatem zezwalać na istnienie bezpiecznych przystani dla gigantów technologicznych – podsumowuje mec. Lewiński. ©℗
fot. photoschmidt/Shutterstock