Wielu przedsiębiorców i użytkowników zadaje sobie to samo pytanie: czy kiedykolwiek doczekamy się czasów, w których biurokracja związana z ochroną danych osobowych zostanie uproszczona do minimum? Obecny system, oparty na unijnym rozporządzeniu RODO (GDPR), często bywa postrzegany jako nadopiekuńczy, a momentami wręcz utrudniający sprawne zawieranie umów. Idea, by dorosły człowiek mógł po prostu podpisać zgodę i wziąć na siebie odpowiedzialność za swoje dane, brzmi kusząco, ale rzeczywistość prawna w Europie zmierza obecnie w nieco innym kierunku.

Dlaczego zasada „chcącemu nie dzieje się krzywda” nie działa w RODO?

Zasada volenti non fit iniuria to jeden z fundamentów klasycznego prawa cywilnego. Zakłada ona, że jeśli ktoś świadomie podejmuje ryzyko lub wyraża na coś zgodę, nie może później rościć pretensji o skutki tej decyzji. Jednak w świecie danych osobowych europejscy ustawodawcy przyjęli zupełnie inną filozofię. Uznali oni, że w relacji przedsiębiorca–konsument (lub pracodawca–pracownik) występuje ogromna dysproporcja sił i wiedzy, nazywana asymetrią informacyjną.

Z punktu widzenia twórców RODO, przeciętny użytkownik nie jest w stanie w pełni ocenić ryzyka związanego z przekazaniem swoich danych, ponieważ nie wie, jak działają algorytmy, systemy profilowania czy handel bazami danych. Dlatego prawo „chroni nas przed nami samymi”, nakładając na firmy obowiązek wykazania, że zgoda była nie tylko dobrowolna, ale też świadoma i konkretna. Wprowadzenie prostej zasady „podpisałeś, więc się zgadzasz” wymagałoby całkowitej zmiany paradygmatu ochrony praw człowieka w Unii Europejskiej, na co obecnie się nie zanosi.

Czy planowane są zmiany łagodzące przepisy?

Na ten moment nie ma oficjalnych projektów legislacyjnych na poziomie unijnym, które miałyby wprowadzić zasadę pełnej swobody kontraktowej w zakresie danych osobowych. Wręcz przeciwnie – nowe regulacje, takie jak Akt o Usługach Cyfrowych (DSA) czy Akt o Rynkach Cyfrowych (DMA), jeszcze mocniej dokręcają śrubę w kwestii przejrzystości i ochrony użytkownika.

Można jednak zauważyć pewne trendy, które mogą w przyszłości uczynić RODO bardziej „zjadliwym”:

• Standaryzacja ikon i klauzul: Unia Europejska pracuje nad tym, by informacje o danych były przekazywane za pomocą prostych piktogramów, co mogłoby zastąpić wielostronicowe prawnicze wywody.
• Zarządzanie zgodami przez przeglądarki: Istnieją pomysły, by użytkownik mógł raz ustawić swoje preferencje prywatności w przeglądarce, co eliminowałoby konieczność klikania w każdy baner cookies osobno.
• Podejście oparte na ryzyku: Organy nadzorcze (w Polsce UODO) coraz częściej podkreślają, że małe firmy nie muszą stosować tak rygorystycznych zabezpieczeń jak wielkie korporacje technologiczne.

Problem „wymuszonej” zgody i domniemania przymusu

W pytaniu poruszono istotną kwestię: udowadnianie działania pod przymusem. Obecnie RODO konstruuje to odwrotnie – to na przedsiębiorcy spoczywa ciężar dowodu (zasada rozliczalności). To firma musi udowodnić, że nie wymusiła zgody, np. poprzez uzależnienie wykonania usługi od przekazania danych, które nie są do tej usługi niezbędne.

Gdybyśmy przeszli na model, w którym to konsument musi udowodnić przymus, procesy sądowe stałyby się dla obywateli niemal niemożliwe do wygrania. W relacjach cyfrowych „przymus” rzadko ma formę fizyczną; częściej jest to tzw. „dark pattern” – czyli tak zaprojektowany interfejs strony, który manipuluje użytkownikiem, by ten kliknął „zgadzam się”, nawet jeśli tego nie chce.

Ciekawostka: Dane osobowe jako „nowa ropa”

W debacie o RODO często zapomina się, dlaczego te przepisy są tak surowe. Dane osobowe są obecnie nazywane „walutą XXI wieku” lub „nową ropą”. W przeciwieństwie do tradycyjnej umowy kupna-sprzedaży, gdzie oddajemy pieniądze za towar, w internecie często płacimy informacjami o sobie. Europejski ustawodawca uznał, że dane są tak ściśle powiązane z godnością i prywatnością człowieka, że nie mogą być przedmiotem nieograniczonego handlu, nawet jeśli obie strony teoretycznie wyrażają na to zgodę.

Kiedy przepisy staną się bardziej przyjazne?

Realna szansa na uproszczenie relacji przedsiębiorca–konsument leży nie w zmianie samej treści RODO, ale w technologii i orzecznictwie. Im więcej będzie jasnych wytycznych od sądów i urzędów, tym mniej „asekuracyjnych” klauzul będą musieli tworzyć prawnicy.

Obecnie prawo ochrony danych osobowych znajduje się w fazie „dojrzewania”. Pierwsze lata obowiązywania RODO to czas paniki i nadinterpretacji przepisów (często nazywany „RODO-absurdem”). Z czasem praktyka rynkowa wypracuje złoty środek, w którym ochrona danych nie będzie kojarzona z protekcjonalizmem, a z realnym bezpieczeństwem, przy jednoczesnym zachowaniu płynności obrotu gospodarczego. Na radykalne odejście od ochrony konsumenta na rzecz zasady „chcącemu nie dzieje się krzywda” w najbliższej dekadzie raczej nie należy jednak liczyć.