Mimo deklaracji unijnego prawodawcy nowe regulacje mogą nie tylko być niespójne z RODO, ale wręcz kolizyjne wobec niego
Dynamiczny rozwój gospodarki cyfrowej znajduje odzwierciedlenie także w legislacji. W Unii Europejskiej w ostatnim czasie powstało kilka regulacji dotyczących tej dziedziny, w tym: rozporządzenie 2022/1925 – Akt o rynkach cyfrowych (DMA), rozporządzenie 2022/868 – Akt w sprawie zarządzania danymi (DGA) i rozporządzenie 2023/2854 – Akt w sprawie danych (DA). Wkrótce dołączy do nich jeszcze rozporządzenie – Akt o sztucznej inteligencji (AI Act).
O związkach tych regulacji z RODO (rozporządzeniem ogólnym o ochronie danych 2016/679) dyskutowali eksperci uczestniczący w konferencji naukowej „Ochrona danych osobowych w świetle aktu o sztucznej inteligencji i innych aktów wdrażających europejską strategię danych”. Konferencja, zorganizowana przez UODO z Wydziałem Prawa i Administracji Uniwersytetu Warszawskiego, odbyła się 27 czerwca.
Możliwe kolizje
– Wszystkie te nowe akty zawierają określenie, że pozostają bez uszczerbku dla prawa Unii i prawa krajowego w zakresie ochrony danych osobowych. Mam jednak bardzo poważną wątpliwość, czy da się jedno z drugim pogodzić – stwierdził prof. dr hab. Paweł Fajgielski z Katolickiego Uniwersytetu Lubelskiego, omawiając DA.
Zaznaczył, że przy stosowaniu aktu w sprawie danych w praktyce będą się pojawiały sytuacje problematyczne w odniesieniu do danych osobowych.
Celem DA jest usunięcie barier w dostępie do danych generowanych przez przedmioty podłączone do internetu – np. sprzęt gospodarstwa domowego czy nowoczesne samochody. Rozporządzenie weszło w życie w styczniu i będzie stosowane od września 2025 r. Ma się m.in. przyczynić do rozwoju nowych usług z zastosowaniem sztucznej inteligencji. Dotyczy zarówno danych osobowych, jak i nieosobowych.
DA stanowi, że w razie jego kolizji z prawem UE dotyczącym ochrony danych osobowych lub prywatności (lub przyjętym na ich podstawie prawem krajowym) pierwszeństwo mają przepisy dotyczące ochrony danych osobowych lub prywatności.
– DA jednoznacznie wskazuje, że nie jest podstawą dla przetwarzania danych i taką podstawę musimy znaleźć w RODO – podkreślił prof. Fajgielski.
Wyraził jednak obawę, że w praktyce – zwłaszcza z perspektywy biznesowej – nad ochroną danych może przeważać argument użyteczności i funkcjonalności.
Także prof. dr hab. Grzegorz Sibiga z Instytutu Nauk Prawnych Polskiej Akademii Nauk nie był przekonany o spełnieniu zasady niekolizyjności z RODO przez akty wdrażające europejską strategię danych – w tym akt w sprawie zarządzania danymi.
Jest on stosowany od września 2023 r., ale w Polsce nadal brakuje krajowych przepisów tworzących ramy potrzebne do korzystania z DGA. Unijne rozporządzenie ma ułatwić ponowne wykorzystanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego. Chodzi o informacje, które – np. ze względu na ochronę danych osobowych czy ochronę praw własności intelektualnej – wykraczają poza zakres dyrektywy w sprawie otwartych danych. Reguluje też działanie usług pośrednictwa danych oraz gromadzenie i udostępnianie danych z pobudek altruistycznych (bez wynagrodzenia).
Jak stwierdził prof. Sibiga, DGA posługuje się własną siatką terminologiczną, która nie przystaje do RODO.
– I to my musimy odszyfrować, gdzie np. mamy do czynienia z administratorem. To spore wyzwanie dla osób zajmujących się ochroną danych osobowych – ocenił.
Władcy danych
Wymogów aktu o rynkach cyfrowych pierwsze objęte nim podmioty muszą przestrzegać od marca br. Chodzi o sześciu gigantów cyfrowych uznanych przez Komisję Europejską za strażników dostępu: Alphabet, Amazon, Apple, ByteDance, Meta i Microsoft. W maju Komisja dodała do tego grona platformę Booking.com, która od tego czasu ma sześć miesięcy na dostosowanie się do DMA.
Unijna regulacja ma powstrzymać strażników dostępu przed faworyzowaniem swojej oferty, zapewnić konsumentom swobodę wyboru, a firmom – sprawiedliwe zasady konkurowania lub współpracy z największymi graczami.
Jak zauważyła podczas konferencji dr Iga Małobęcka-Szwast z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, kluczowym zasobem i źródłem przewagi konkurencyjnej na rynkach cyfrowych są właśnie dane – głównie dane osobowe.
Władza nad danymi oznacza władzę nad rynkami – i znajduje się w rękach strażników dostępu, tj. kilku dużych platform technologicznych o znacznej sile rynkowej.
– DMA ma uwolnić dane spod ich kontroli. Ten cel można osiągnąć tylko w zgodzie z RODO – zaznaczyła Iga Małobęcka-Szwast.
Jak wyliczyła, akt o rynkach cyfrowych w ponad 150 fragmentach mówi o danych, a ponad 30 razy o danych osobowych.
– Wiele przepisów DMA odnosi się do RODO albo będzie miało wpływ na jego stosowanie – dodała.
Wśród wyzwań związanych z nakładaniem się obu regulacji wskazała potencjalne problemy jurysdykcyjne między Komisją Europejską, która jest jedynym organem egzekwującym DMA, oraz organami ochrony danych osobowych – jeśli np. jeden z nich dojdzie do innego wniosku niż Komisja w kwestii naruszenia przepisów o ochronie danych.
Pierwsze problemy
Przenikanie się DMA i RODO możemy już obserwować w praktyce w sprawie modelu „pay or okay” Mety. Właściciel Facebooka i Instagrama w listopadzie 2023 r. zmienił zasady korzystania z tych mediów społecznościowych, stawiając użytkowników przed wyborem: albo zgodzą się na wykorzystanie swoich danych osobowych do celów reklamowych, albo opłacą subskrypcję.
Sprawą zajęły się organy ochrony danych w kilku państwach EOG. W kwietniu Europejska Rada Ochrony Danych (EROD) stwierdziła, że Meta powinna zapewniać prawdziwy wybór. Zaznaczyła, że duże platformy internetowe w większości przypadków nie będą w stanie spełnić wymogów RODO, jeśli postawią użytkowników jedynie wobec alternatywy: przetwarzanie danych osobowych albo opłata.
Gdy w marcu 2024 r. Metę zaczęły obowiązywać przepisy DMA, dochodzenie w sprawie „pay or okay” wszczęła Komisja Europejska. 1 lipca poinformowała, że według jej wstępnych ustaleń ten model narusza DMA. Artykuł 5 ust. 2. aktu zakazuje bowiem m.in. wykorzystywania danych osobowych z podstawowej usługi platformowej (są nimi Facebook i Instagram) w ramach innych usług świadczonych oddzielnie przez strażnika dostępu (np. usług reklamowych) – chyba że użytkownikowi końcowemu zapewniono możliwość dokonania konkretnego wyboru i wyraził on zgodę w rozumieniu RODO.
Komisja zarzuciła big techowi, że użytkownikom, którzy nie przystali na wykorzystanie ich danych do celów reklamowych, nie zapewnił dostępu do mniej spersonalizowanej, ale równoważnej alternatywy.
Konfliktu między urzędami w tej sprawie na razie nie obserwujemy. Prowadząc dochodzenie, KE współpracowała z organami ochrony danych.
– Również EROD w opinii dotyczącej tego modelu wskazał na konieczność współpracy i zrozumienia relacji RODO z DMA i DSA (akt o usługach cyfrowych – red.) – podkreśliła dr Małobęcka-Szwast.
Paleta europejskich regulacji zostanie uzupełniona o akt o sztucznej inteligencji, którego publikacji można się spodziewać w najbliższych dniach.
– Po rozpoczęciu stosowania AI Act będziemy obie regulacje stosowali równo legle – stwierdził Piotr Drobek, radca w UODO. – Z perspektywy organu ochrony danych osobowych zrobimy wszystko, aby kwestie prawa podstawowego, jakim jest prawo do ochrony danych osobowych, wciąż były istotne wtedy, kiedy będziemy mówili o wykorzystywaniu sztucznej inteligencji – zadeklarował.
Podaż danych
Zazębianie się przepisów przekłada się na wyzwania dla organów nadzorczych nie tylko w odniesieniu do DMA.
– Praktycznie we wszystkich aktach cyfrowych role organów będą się przenikać – przyznał Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych.
Ramy współpracy organów nie zostały dotychczas dokładnie określone. – Prawo dawca unijny pozostawił dosyć dużą swobodę, jeżeli chodzi o sposób uregulowania i praktycznego funkcjonowania współpracy organów na poziomie krajowym. Niewiele jest w tym momencie konkretnych wskazówek, więc w zasadzie jesteśmy na polu eksperymentalnym – stwierdził prezes UODO.
Jak podkreślił, niezależnie od pozostałych aktów prawnych, ochrona danych osobowych jest prawem podstawowym, gwarantowanym Kartą praw podstawowych Unii Europejskiej. Ponadto na rynku unijnym musi istnieć podaż danych, służąca rozwojowi gospodarki i innowacji.
– Jest ona potrzebna do wzrostu dobrobytu całej Unii Europejskiej i jej obywateli. W globalnym wymiarze chodzi o to, żeby nie zostać daleko w tyle za Stanami Zjednoczonymi, Chinami czy resztą świata. Gospodarka cyfrowa tych danych potrzebuje, a w szczególności potrzebuje ich sztuczna inteligencja – podsumował Mirosław Wróblewski. ©℗