– Gdy uchwalaliśmy te przepisy, była panika: niektórzy wieszczyli koniec świata i koniec innowacji. Stało się coś wręcz przeciwnego. RODO zostało znakiem firmowym Unii – mówiła Vera Jourova, wiceprzewodnicząca Komisji Europejskiej, przedstawiając w środę przegląd funkcjonowania unijnego rozporządzenia o ochronie danych osobowych (RODO).

Po dwóch latach blisko 70 proc. mieszkańców UE wie, co to RODO – nie ma chyba drugiego tak dobrze znanego aktu prawnego Unii. Przepisy zostały stworzone po to, by ochrona danych była dopasowana do wyzwań ery cyfrowej i była identyczna na całym jednolitym rynku. Filozofia, która przyświecała prawodawcom, polegała na umieszczeniu w centrum praw jednostki, czego najbardziej spektakularnym przykładem miało być prawo do bycia zapomnianym w sieci, ostatecznie zmienione na prawo do zażądania wymazania wyników wyszukiwania w sieci.

Czytaj także: Eldorado w gąszczu wątpliwości

Polska wypada dobrze

W czasie prac nad rozporządzeniem pojawiały się obawy przed zbyt dużym obciążeniem administracyjnym dla biznesu i instytucji obecnych w sieci, jeśli chodzi o obowiązki administracyjne, ochrony danych itp. Zdaniem KE firmy też korzystają, bo mają jeden zestaw przepisów na jednolitym rynku obejmującym ciągle 28 państw (od 2 stycznia 2021 r. po faktycznym brexicie będzie to 27 państw). Dla firmy działającej w więcej niż w jednym kraju zawsze interlokutorem jest organ nadzorczy kraju siedziby, co znacznie ułatwia prowadzenie biznesu. Unijne przepisy o ochronie danych osobowych okazały się też przydatne w czasie epidemii koronawirusa. Państwa chcą wprowadzać aplikacje śledzące, które mają ułatwiać znajdowanie kontaktów osób zarażonych. Muszą jednak przestrzegać jednolitych unijnych przepisów.

Przepisy są wspólne, ale nad ich przestrzeganiem czuwają krajowe organy nadzorcze. W Polsce jest to prezes Urzędu Ochrony Danych Osobowych (PUODO). Państwa członkowskie wyposażyły swoje organy ochrony danych osobowych w znacznie większe budżety, co pozwoliło zwiększyć zatrudnienie, żeby poradzić sobie z monitorowaniem wykonywania nowych przepisów. Polska na tym tle wypada nieźle. Należymy do krajów z jednym z najwyższych wskaźników zatrudnienia, jesteśmy też w grupie tych, którzy w miarę często korzystają z możliwości współpracy międzynarodowej – 12 razy do końca 2019 r. To ciągle nie jest wysoki wskaźnik, zdaniem KE więcej powinno być wniosków o pomoc między krajowymi organami nadzorczymi.

Międzynarodowe echo

RODO odniosło też sukces międzynarodowy. Już kilka krajów na świecie chce powielić unijne rozporządzenie, a wszystkie inne, które mają jakiekolwiek przepisy o ochronie danych osobowych, odnoszą się w swoje doktrynie do RODO. I nawet jeśli się z nim nie zgadzają, to tłumaczą swoim obywatelom, dlaczego nie wprowadzają rozwiązań na wzór europejski. Drogą europejską chcą iść m.in. Chile, Korea Południowa, Brazylia, Japonia, Kenia, Indie, Tunezja, Indonezja, Tajwan czy stan Kalifornia.

Dwa lata to zbyt mało, żeby proponować zmiany w funkcjonującym rozporządzeniu. Ale wystarczając dużo, żeby wiedzieć, gdzie można poprawić jego funkcjonowanie.

–Jak często zdarza nam się klikać bezmyślnie w okienko zgody na wykorzystanie naszych danych w internecie? – pytał Didier Reynders, komisarz UE ds. sprawiedliwości. Według niego ludzie wiedzą, co to RODO, ale nie zawsze wiedzą, jak z niego korzystać. W szczególności nie wiedzą np. o swoim prawie do przenoszenia danych. Ponadto ciągle małe i średnie firmy narzekają na obciążenia administracyjne, co oznacza, że potrzebują więcej wiedzy, jak działa RODO.

Procedury do poprawy

Zdaniem ekspertów problemem może być brak unijnej procedury administracyjnej. Krajowe organy współpracują ze sobą. Co z tego, skoro różne są procedury sądowe. Problemy pojawiają się też tam, gdzie RODO zostawiło dowolność decyzji państwom członkowskim. Wiek zgody na przetwarzanie danych osobowych wynosi np. od 13 do 16 lat, Polska ustaliła go na poziomie 13 lat. Dochodzi do sytuacji paradoksalnych, gdy kraje sąsiadujące ze sobą i bardzo powiązane kulturowo i gospodarczo wybrały skrajności w tej kategorii, np. Belgia i Holandia, Czechy i Słowacja, Litwa i Łotwa. To utrudnia funkcjonowanie systemów ochrony danych osobowych.

Wojciech Wiewiórowski europejski inspektor ochrony danych

Kryzys związany z Covid-19 pokazał, że RODO jest potrzebne. Na przykład w USA trwa dyskusja o informatycznych sposobach śledzenia, przy braku przepisów o ochronie prywatności. Panuje bowiem przekonanie, że państwo powinno zrobić więcej, żeby zwalczyć zagrożenie, ale nie ma zapewnionego bezpieczeństwa danych osobowych. Na pewno aplikacje śledzące mogą pomóc zrozumieć sytuację epidemiologiczną. Ale to nie jest złoty środek, który spowoduje, że zniknie wirus. Bez szeroko przeprowadzanych testów, bez normalnego śledzenia kontaktów, bez świadomości kwarantanny nic się nie osiągnie. Samo rozwiązanie techniczne w wielu krajach UE, także w Polsce, nie stwarza zagrożeń dla prywatności. Pytanie, czy na pewno chcemy z tego skorzystać. Norweski rzecznik danych osobowych to rozwiązanie zatrzymał, ale nie z powodu zagrożenia prywatności, ale dlatego, że rząd nie był w stanie udowodnić, że go sensownie używa.