Komisja Europejska zaproponowała wprowadzenie chirurgicznych zmian w przełomowych przepisach UE dotyczących prywatności danych.
Ustawa, znana jako Ogólne rozporządzenie o ochronie danych (RODO), na nowo zdefiniowała pojęcie prywatności w XXI wieku i dała Europejczykom prawo do decydowania, kto ma dostęp do ich danych osobowych, żądania korekty i składania skarg prawnych.
Zapisał również w prawie słynne „prawo do bycia zapomnianym”, na które obywatele mogą się powoływać, aby trwale usunąć swoje dane z rejestru firm.
Ale pięć lat po jego wejściu w życie dziedzictwo RODO jest dalekie od nieskazitelnego.
Organy rządowe, sektor prywatny, obrońcy prywatności i organizacje społeczeństwa obywatelskiego – wszyscy wyrazili obawy dotyczące sposobu egzekwowania przepisów, w tym wysokich opłat wymaganych do wniesienia sprawy, rozbieżnych procedur w poszczególnych państwach członkowskich i przedłużającego się czasu oczekiwania na rozwiązanie.
Innym od dawna kontrowersyjnym punktem są relacje między organami ochrony danych (DPA) każdego państwa członkowskiego.
„W ciągu pięciu lat możemy naliczyć ponad 711 ostatecznych decyzji, które zostały podjęte przez organy ochrony danych. To jasno pokazuje, że RODO jest dobrze egzekwowane. Ale stać nas na więcej” – powiedział we wtorek komisarz ds. sprawiedliwości Didier Reynders.
Zgodnie z RODO egzekwowanie spoczywa na organie kraju, w którym firma ma swoją europejską siedzibę. Zdecydowana większość spraw RODO ma wymiar ogólnokrajowy i dotyczy tylko jednego DPA.
Jednak w niektórych przypadkach naruszenie ma charakter transgraniczny i wzywa się kilka organów do rozważenia. Współpraca ta często okazała się napięta i zawiła, co prowadziło do opóźnień i postępowań sądowych na niekorzyść powodów.
Szczególną uwagę zwrócono na irlandzki organ ochrony danych, który musi zajmować się najgłośniejszymi sprawami, biorąc pod uwagę dużą liczbę firm Big Tech obecnych w Irlandii.
Na początku tego roku spór między irlandzkim organem ochrony danych a innymi organami krajowymi wymusił interwencję Europejskiej Rady Ochrony Danych (EROD) w sprawie przeciwko Meta, która doprowadziła do rekordowa kara wart 1,2 mld euro.
Aby zaradzić tym utrzymującym się napięciom, Komisja Europejska przedstawiła rozporządzenie wprowadzające ukierunkowaną reformę przepisów RODO, ze szczególnym uwzględnieniem transgranicznych procesów sądowych.
Proponowane obowiązki zmuszą wiodący organ ochrony danych do zaangażowania organów z innych zainteresowanych krajów na wczesnych etapach procesu, aby wspólnie przedyskutować istotę sprawy, w tym jej zakres prawny, potencjalne naruszenia, gromadzenie dowodów i ocena technologiczna.
Komisja twierdzi, że ta linia komunikacyjna ułatwi osiągnięcie konsensusu i pomoże rozwiązać spory, zanim wymkną się one spod kontroli. Nowe przepisy ujednolicą wymogi dopuszczalności spraw transgranicznych i zagwarantują równe traktowanie obywateli we wszystkich państwach członkowskich, niezależnie od ich narodowości.
Innymi słowy, pracuj bliżej, aby pracować lepiej.
„Staramy się tutaj lepiej egzekwować RODO za pomocą wspólnych przepisów w sprawach transgranicznych, harmonizować różne przepisy na szczeblu krajowym i zapewnić możliwość reagowania wcześniej niż teraz, ponieważ teraz czasami (trwa) bardzo długo, aby zorganizować proces aż do ostatecznej decyzji” – powiedział Reynders.
Komisarz odrzuciła wezwania do pełnej nowelizacji prawa, argumentując, że to nie jest odpowiedni czas na taką rozmowę między unijnymi współprawodawcami i broniła zasady kraju pochodzenia, która pozwala obywatelom bezpośrednio kontaktować się z organy ochrony danych w ich języku ojczystym.
RODO to „bardzo małe dziecko” – powiedział Reynders. „Minęło pięć lat i musimy nadal widzieć, jak można coraz lepiej egzekwować RODO”.
„Na razie nie chcemy ponownie otwierać puszki Pandory” – dodał.
Ale może być kwestią czasu, zanim Bruksela zda sobie sprawę, że RODO wymaga scentralizowanego podmiotu nad krajowymi organami ochrony danych, aby skutecznie pociągnąć Big Tech do odpowiedzialności, mówi Alexandre de Streel, dyrektor programu badań cyfrowych w Centre on Regulation in Europe (CERRE).
„Ta reforma jest krokiem we właściwym kierunku, ale prawdopodobnie nie wystarczy” – powiedział de Streel w wywiadzie dla Euronews. „Dla Big Tech – tych firm, które są obecne na całym świecie – potrzebny jest europejski regulator. Nie może to być tylko kraj pochodzenia wykonujący zadanie za wszystkich Europejczyków”.
De Streel powiedział, że niepowodzenia w egzekwowaniu RODO miały oczywisty wpływ na regulacje, które pojawiły się po 2018 r., takie jak ustawa o usługach cyfrowych (DSA) i ustawa o rynkach cyfrowych (DMA), które dają Komisji Europejskiej ostateczną rola przełożonego.
Pojawienie się chatbotów opartych na sztucznej inteligencji, które są szkolone na podstawie ogromnych zasobów danych w celu samodzielnego uczenia się nowych zadań, dodatkowo wzmacnia potrzebę kompleksowego przeglądu, dodał naukowiec.
„Zasada kraju pochodzenia została stworzona dla małych firm, które chciały zwiększyć skalę na rynku międzynarodowym, a nie dla firm, które już się rozwinęły. To wielkie nieporozumienie” – powiedział de Streel, odnosząc się do gigantów takich jak Meta, Apple, Amazon, Google i TikTok, których wartość rynkowa znacznie przekracza PKB Irlandii.
„Nie można polegać na Irlandii jako sędziego całej Europy”.
