Przewlekłe procedury i konflikty między regulatorami sprawiają, że ochrona danych w serwisach społecznościowych pozostaje fikcją.

5,5 mln euro – taką karę za bezprawne przetwarzanie danych użytkowników Whats Appa wymierzyła spółce Meta irlandzka Komisja Ochrony Danych (DPC). To kolejna sankcja dla internetowego giganta – w ubiegłym roku produkty koncernu Marka Zuckerberga budziły wątpliwości cztery razy. Łączna wartość nałożonych kar to ponad 800 mln euro. Aby jednak Irlandia sięgnęła po środki dyscyplinujące korporację, sama musiała dostać po głowie od europejskich instytucji. Teraz zapowiada sądową walkę o suwerenność.

Ostrzejszy kurs

Decyzja wydana przez irlandzkiego regulatora w ubiegłym tygodniu dotyczy skargi złożonej w maju 2018 r., a więc gdy tylko weszły w życie przepisy RODO. Szykując się na bardziej restrykcyjne regulacje unijne dotyczące prywatności użytkowników, WhatsApp zmienił swój regulamin. Kto chciał nadal korzystać z aplikacji, musiał go zaakceptować. Należący do Mety komunikator uznał, że w ten sposób zawarł umowę z użytkownikami – zgodnie z RODO. A ponieważ jego zdaniem przetwarzanie danych internautów było niezbędne do używania WhatsAppa, to uważał, że może bez ograniczeń śledzić użytkowników.

Irlandzki urząd ochrony danych początkowo zgodził się z większością argumentów big techu. Uznał jedynie, że platforma nie zachowuje się w tej sprawie dość przejrzyście. Dopiero nacisk odpowiedników DPC w innych krajach unijnych sprawił, że przyjęto ostrzejszy kurs wobec spółki Marka Zuckerberga. Europejska Rada Ochrony Danych (EROD), która jest unijnym organem odpowiedzialnym za stosowanie RODO, swoją decyzją zmusiła irlandzką komisję do większej presji na spółkę Meta.

Podobnie było w dwóch innych przypadkach. Na początku br. opisywaliśmy w DGP decyzje w sprawie Facebooka i Instagrama, które przez 4,5 roku nielegalnie zbierały dane użytkowników i na ich podstawie wyświetlały reklamy. Początkowo DPC chciała nałożyć na nie kary wynoszące nieco ponad 50 mln euro. Po interwencji wzrosły one do 390 mln euro.

Środki nacisku

Wśród europejskich odpowiedników DPC słychać głosy, że Irlandczycy wciąż robią zbyt mało, by zmusić wielkie korporacje do przestrzegania europejskich przepisów. EROD domaga się od DPC, by ta wszczęła kolejne postępowanie wobec produktów Meta. Irlandzki organ miałby prześledzić, czy Instagram, Facebook i WhatsApp wykorzystują dane użytkowników dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych czy przekonań religijnych w celach zastosowania reklamy behawioralnej, a także czy dzielą się nimi z innymi podmiotami. Zabrania tego art. 9 RODO.

Irlandzki regulator uważa jednak, że wydając takie zalecenia, EROD zdecydowanie przekracza swoje uprawnienia. – Europejska Rada nie może wydawać poleceń niezależnemu organowi krajowemu ani nim kierować – stwierdzają w korespondencji z DGP urzędnicy z Zielonej Wyspy. Dodają, że zalecone przez EROD dochodzenie byłoby „oparte na spekulacjach”. Swoich racji Irlandczycy zamierzają dochodzić przed Trybunałem Sprawiedliwości Unii Europejskiej. Jak informuje nas DPC, dokumenty dla TSUE są obecnie przygotowywane. – Muszą zostać złożone w sądzie do połowy lutego – stwierdzają urzędnicy.

– Jesteśmy zdumieni, jak DPC ignoruje wiążącą decyzję EROD – przyznaje Max Schrems, prawnik z austriackiej organizacji NOYB. To jego skarga rozpoczęła postępowanie, w wyniku którego Meta otrzymała obecnie kary. – Wydaje się, że DPC ostatecznie odcina wszelkie więzi z organami partnerskimi UE oraz z wymogami prawa unijnego i irlandzkiego – mówi.

Ostra faza

Zapowiedź, że DPC pójdzie do TSUE, to wejście w ostrą fazę konfliktu, jaki od lat rozgrywa się za kulisami między europejskimi regulatorami. RODO oddało kompetencję egzekwowania przepisów w ręce organów ochrony danych działających na terytorium kraju, w którym spółka ma siedzibę. Ze względu na przepisy podatkowe Irlandia stała się domem dla największych firm technologicznych na świecie. Z zespołem liczącym 200 osób i budżetem 23 mln euro DPC zmaga się więc z firmami, których roczne przychody przekraczają PKB Irlandii, w tym amerykańskimi Metą, Apple’em, Google’em czy chińskim ByteDance. Powinna co prawda konsultować swoje decyzje z odpowiednikami w innych krajach, ale – jak zwraca uwagę Katarzyna Szymielewicz z Fundacji Panoptykon – procedura jest tak rozwlekła, że praktycznie paraliżuje ten mechanizm. Procedury zastępowane są więc przez zakulisowe rozmowy.

– Wszystko, co dzieje się między tymi organami, to kwestia polityczna. Ten mechanizm wymaga zmiany – mówi Szymielewicz. Wskazuje, że sama padła ofiarą opieszałości organów. Od prawie czterech lat trwa rozpatrywanie skargi, którą wniosła przed belgijski organ ochrony danych. – Każde prawo jest tyle warte, ile pomysł na jego egzekwowanie. Praktyka pokazuje, że wielkie platformy mogą ignorować RODO – dodaje rozmówczyni DGP.

W przyszłości może się to jednak zmienić. Jak się dowiadujemy, jednym z priorytetów polskiej prezydencji w Radzie UE ma być rewizja RODO, m.in. w zakresie egzekwowania tego prawa. Stanie się to jednak dopiero w 2025 r. ©℗

Rewizja RODO ma być za dwa lata celem polskiej prezydencji w Radzie UE