Dublin musi spowiadać się Komisji Europejskiej ze szczegółów każdej sprawy prowadzonej wobec wielkich firm technologicznych zarejestrowanych w tym kraju.
Europejska rzecznik praw obywatelskich dr Emily O’Reilly po rocznym dochodzeniu zaleciła, aby Komisja Europejska monitorowała postępy każdej sprawy, jaką wobec firm technologicznych prowadzi Komisja Ochrony Danych (Data Protection Commission – DPC), czyli irlandzki regulator zajmujący się danymi osobowymi.
W pewnym stopniu władze Unii Europejskiej już mogą kontrolować działania DPC, ale rzeczniczka chce usprawnić ten proces i rozszerzyć zakres płynących z Irlandii informacji. Decyzja Emily O’Reilly, podjęta w grudniu, jest odpowiedzią na skargę, którą do urzędu ombudsmana złożyła Irish Council for Civil Liberties (ICCL). Organizacja ta zarzuca DPC opieszałość i przekonuje, że w praktyce irlandzka komisja sprawia, że europejskie prawo nie jest respektowane wobec big techów.
„Irlandia odgrywa szczególną rolę we wdrażaniu Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), ponieważ jest siedzibą większości dużych firm technologicznych w Unii Europejskiej. Organy nadzorcze innych państw członkowskich często polegają na pracy irlandzkiej Komisji Ochrony Danych, aby w pełni zająć się kwestiami dotyczącymi danych osobowych, które dotyczą obywateli ich własnego kraju” – stwierdza unijna rzeczniczka praw obywatelskich.
Ten niewielki kraj jest europejską siedzibą m.in. firm Meta (Facebook), Apple, TikTok i Twitter. Przyciągnął je głównie korzystnymi warunkami finansowymi – przez lata Zielona Wyspa była nazywana wręcz europejskim rajem podatkowym. Ale big techy to nie tylko profity – to także obowiązek zadbania, aby giganci przestrzegali unijnych norm, takich jak RODO.
Działania Irlandii w tym zakresie budzą jednak wiele kontrowersji – zarówno przedstawiciele Parlamentu Europejskiego, jak i organizacji pozarządowych skupionych na sferze ochrony danych podnoszą, że kraj niedostatecznie egzekwuje prawo unijne. Dlatego ICCL w lutym ub.r. złożyła skargę, argumentując, że Komisja Europejska nie monitorowała należycie stosowania RODO przez Irlandię.
W rozmowie z DGP w połowie grudnia ub.r. Graham Doyle, zastępca irlandzkiej komisarz ochrony danych, podkreślał, że w ciągu poprzednich 14 miesięcy regulator nałożył na spółki Mety kary opiewające łącznie na więcej niż 900 mln euro – co stanowi największą kumulację kar za łamanie przepisów RODO. Obecnie komisja prowadzi 40 śledztw dotyczących big techów, w tym 13 w sprawie serwisów firmy Marka Zuckerberga.
Krytycy irlandzkiego regulatora zarzucają mu brak skuteczności w pierwszych latach obowiązywania RODO. Pierwszą grzywnę na amerykańską firmę technologiczną DPC nałożyła bowiem dopiero w grudniu 2021 r., tzn. przeszło dwa i pół roku po wejściu w życie unijnych przepisów o ochronie danych osobowych. Nie była imponująca: wyniosła 450 tys. euro i dotyczyła Twittera. Doyle w rozmowie z nami tłumaczył, że przyczyną był wysoki poziom skomplikowania przepisów RODO i procesu ich egzekwowania. „Przez pierwszych parę lat obowiązywania RODO w całej Unii kar wymierzano niewiele i nie były one wysokie” – stwierdził wiceszef DPC.
W odpowiedzi na skargę ICCL Emily O’Reilly napisała do przewodniczącej Komisji Europejskiej Ursuli von der Leyen, prosząc o „szczegółowe i wyczerpujące sprawozdanie” z monitorowania stosowania RODO przez Irlandię. Korespondencja między instytucjami trwała prawie rok – Komisja Europejska nie była bowiem w stanie przekonać rzecznika, że wywiązuje się ze swoich nadzorczych obowiązków. Chodziło o niedostateczne źródła danych: Komisja argumentowała, że opiera się na wiadomościach z rocznych sprawozdań DPC oraz informacjach Europejskiej Rady Ochrony Danych, czyli organu, który składa się z przedstawicieli urzędów ochrony danych z całej Unii.
Sęk w tym, że pierwsze źródło – zdaniem ICCL i ombudsmana – było niekompletne. Drugie natomiast nie miało interesujących rzecznika informacji na temat prowadzonych przez swoich członków spraw.
Satysfakcjonujący raport Komisja dostarczyła do rzecznik praw obywatelskich dopiero w ostatnich dniach sierpnia.
– Rzecznik praw obywatelskich UE stwierdziła w swojej decyzji, że istniejąca praktyka uzyskiwania przez Komisję Europejską co dwa miesiące przeglądu spraw DPC związanych z big techami jest odpowiednia i zgodna z zasadami dobrej administracji – podkreśla Caoimhe McGuire z biura prasowego DPC. Dodaje, że raporty zaczęto wysyłać jesienią 2021 r., czyli przed rozpoczęciem postępowania przez urząd ombudsmana.
Unijna RPO zastrzegła jednak, że sytuację można poprawić – i przedstawiła Komisji Europejskiej sugestie ulepszeń. Obejmują m.in. minimalny zakres informacji, jakich powinna udzielać DPC na temat prowadzonych spraw. Proponuje też, aby KE upubliczniała jak najwięcej szczegółów otrzymywanych z Dublina raportów, gdyż obecnie ich treść nie jest ujawniana. ©℗