Dyskusja wokół unijnego rozporządzenia o ochronie danych osobowych (RODO) już dawno przestała dotyczyć tego, czy dane należy chronić. W tej kwestii panuje niemal pełna zgoda – prywatność to fundament bezpiecznego, cyfrowego świata. Jednak diabeł tkwi w szczegółach, a konkretnie w tym, jak organy nadzorcze interpretują pojęcie „dobrowolnej zgody”. Wśród ekspertów zajmujących się prawem nowych technologii, biznesem oraz legal tech coraz wyraźniej słychać głos, że obecny model egzekwowania przepisów stał się skrajnie rygorystyczny, oderwany od rynkowych realiów i uciążliwy dla samych użytkowników.

Pojawia się zarzut, że urzędnicy zaczęli traktować zgodę w sposób skrajnie paternalistyczny, kwestionując decyzje dorosłych ludzi nawet wtedy, gdy sami zainteresowani nie mają do procesu żadnych zastrzeżeń. Czy rzeczywiście mamy do czynienia z nadinterpretacją przepisów i czy istnieje szansa, że ten trend ulegnie zmianie?

Paternalizm organów nadzorczych i problem "Pay or Consent"

Zgodnie z RODO zgoda na przetwarzanie danych musi być dobrowolna, konkretna, świadoma i jednoznaczna. Największe kontrowersje budzi jednak pierwszy z tych warunków. Eksperci wskazują, że Europejska Rada Ochrony Danych (EROD) oraz krajowe organy nadzorcze zaczęły stawiać poprzeczkę dobrowolności tak wysoko, że jej realne udowodnienie w środowisku cyfrowym graniczy z cudem.

Doskonałym tego przykładem jest model „Pay or Consent” (zapłać lub wyraź zgodę), wdrożony m.in. przez koncern Meta, ale też powszechnie stosowany przez wydawców prasy i portale internetowe w całej Europie. Użytkownik ma prosty wybór: albo zgadza się na profilowanie reklam (dzięki czemu korzysta z serwisu za darmo), albo płaci subskrypcję za wersję bez śledzenia.

Organy nadzorcze, w tym EROD w swojej głośnej opinii 08/2024, podeszły do tego modelu niezwykle sceptycznie. Uznały one, że taka zgoda często nie jest „dobrowolna”, ponieważ użytkownik staje przed dylematem ekonomicznym i może czuć się zmuszony do oddania swoich danych, by nie płacić.

Krytycy takiego podejścia – w tym wielu prawników i przedstawicieli biznesu – zarzucają regulatorom oderwanie od realiów rynkowych. Ich zdaniem urzędnicy wychodzą z założenia, że przeciętny internauta nie jest w stanie podjąć racjonalnej decyzji i potrzebuje ochrony przed samym sobą – nawet jeśli w pełni świadomie woli „płacić” swoimi danymi i oglądaniem spersonalizowanych reklam niż realnymi pieniędzmi. Co więcej, organy nadzorcze coraz częściej kwestionują te zgody z urzędu, podczas kontroli, ignorując fakt, że sami użytkownicy nie zgłaszają w tej kwestii żadnych skarg.

Warto jednak zauważyć, że środowisko eksperckie nie jest w tej kwestii całkowicie monolityczne. Podczas gdy prawnicy biznesowi i przedstawiciele sektora tech alarmują o przeregulowaniu, organizacje zrzeszające aktywistów działających na rzecz prywatności (takie jak NOYB) stoją na stanowisku, że rygorystyczne podejście organów jest jedyną barierą chroniącą użytkowników przed agresywnym śledzeniem i monetyzacją ich życia prywatnego. Niemniej jednak, w dyskusji o kosztach operacyjnych i barierach rozwoju biznesu w UE, krytyka obecnego modelu zgód jest dominująca.

Ciężar dowodu jako administracyjny koszmar

Zgodnie z art. 7 ust. 1 RODO to na administratorze danych spoczywa ciężar wykazania, że użytkownik wyraził ważną zgodę. W praktyce oznacza to, że firmy muszą nie tylko zbierać zgody, ale też projektować skomplikowane systemy rejestracji tych zdarzeń, unikać tzw. dark patterns (zwodniczych interfejsów) i dbać o skrajną granularność (osobny checkbox na każdy, nawet najmniejszy cel przetwarzania).

Dla biznesu to ogromne obciążenie biurokratyczne i finansowe. Eksperci alarmują, że prowadzi to do tzw. „zmęczenia zgodami” (consent fatigue). Użytkownicy, bombardowani setkami wyskakujących okienek (cookie banners), klikają „akceptuję wszystko” bez czytania, byle tylko jak najszybciej przejść do poszukiwanej treści. Paradoksalnie więc rygorystyczne podejście urzędników nie zwiększa realnej ochrony prywatności, a jedynie tworzy iluzję bezpieczeństwa i generuje gigantyczne koszty po stronie przedsiębiorstw.

Czy istnieje szansa na odwrócenie tego trendu?

Choć przez lata regulatorzy szli w stronę coraz większego dokręcania śruby, obecnie na horyzoncie pojawiają się wyraźne czynniki, które mogą wymusić zmianę tej tendencji i powrót do bardziej pragmatycznego podejścia.

Raport Draghiego i walka o konkurencyjność Europy

Kluczowym impulsem do zmiany myślenia stał się opublikowany raport Mario Draghiego dotyczący przyszłości europejskiej konkurencyjności. Draghi wprost wskazał w nim, że niespójne, nadmierne i skrajnie restrykcyjne egzekwowanie przepisów RODO hamuje innowacje w UE, utrudnia rozwój sztucznej inteligencji i stawia europejskie firmy w gorszej pozycji wobec konkurentów z USA czy Chin.

Raport ten wywołał ogromne poruszenie w Brukseli. Komisja Europejska uznała konkurencyjność i uproszczenie przepisów cyfrowych za jeden ze swoich głównych priorytetów.

Plany uproszczenia RODO

W odpowiedzi na te wyzwania, Komisja Europejska zaczęła głośno mówić o planach uproszczenia wymogów regulacyjnych RODO, szczególnie dla małych i średnich przedsiębiorstw (MŚP). Choć nikt nie planuje likwidacji samego rozporządzenia, celem jest zmniejszenie obciążeń administracyjnych i ujednolicenie interpretacji przepisów w różnych krajach członkowskich, co mogłoby ukrócić nadgorliwość niektórych lokalnych urzędów ochrony danych.

Rola sądów i TSUE

Ostateczny głos w tej sprawie będą miały jednak sądy krajowe oraz Trybunał Sprawiedliwości Unii Europejskiej (TSUE). To tam trafiają odwołania od decyzji organów nadzorczych. Jeśli sądy zaczną częściej stawać po stronie wolności prowadzenia działalności gospodarczej (zagwarantowanej w Karcie Praw Podstawowych UE) i uznają, że „Pay or Consent” lub inne elastyczne formy pozyskiwania zgody są dopuszczalne przy zachowaniu odpowiednich standardów informacyjnych, urzędnicy będą musieli złagodzić swoje restrykcyjne stanowisko.

Podsumowanie — w stronę zdrowego rozsądku?

W środowisku ekspertów biznesowych i prawnych panuje silny konsensus: obecny system udowadniania dobrowolności zgody poszedł za daleko i stał się dysfunkcyjny. Zamiast realnie chronić użytkowników, zmusza firmy do tworzenia skomplikowanych procedur, a samym internautom utrudnia codzienne korzystanie z sieci.

Szansa na zmianę tej tendencji jest dziś większa niż kiedykolwiek od momentu wejścia RODO w życie. Nacisk na innowacyjność, obawy przed cyfrowym zacofaniem Europy (nagłośnione przez raport Draghiego) oraz planowane reformy upraszczające przepisy dają nadzieję, że w podejściu organów nadzorczych zacznie dominować zdrowy rozsądek i pragmatyzm, a nie ślepy dogmatyzm.