Wielu właścicieli firm oraz użytkowników sieci zadaje sobie to samo pytanie: czy kiedykolwiek doczekamy się momentu, w którym biurokracja związana z ochroną danych osobowych ustąpi miejsca zdrowemu rozsądkowi? Obecny model funkcjonowania RODO (Ogólnego Rozporządzenia o Ochronie Danych) często bywa postrzegany jako uciążliwy, a wszechobecne banery cookies i wielostronicowe polityki prywatności wywołują u internautów tzw. „zmęczenie zgodami”. Choć postulat powrotu do klasycznej zasady volenti non fit injuria (chcącemu nie dzieje się krzywda) brzmi kusząco, rzeczywistość prawna w Unii Europejskiej zmierza obecnie w nieco innym kierunku.

Dlaczego RODO wydaje się protekcjonalne?

Obecna filozofia unijnego prawa opiera się na założeniu, że między przedsiębiorcą a konsumentem występuje ogromna asymetria informacji. Ustawodawca wychodzi z założenia, że przeciętny użytkownik nie jest w stanie w pełni zrozumieć skomplikowanych procesów przetwarzania danych, profilowania czy handlu informacjami w ekosystemie reklamowym. Dlatego też samo „podpisanie klauzuli” nie jest uznawane za wystarczające – zgoda musi być świadoma, dobrowolna i konkretna.

Wprowadzenie zasady, o którą pytasz – czyli uznanie, że podpis pod regulaminem zamyka temat odpowiedzialności firmy – byłoby powrotem do stanu sprzed 2018 roku, co z perspektywy obecnych organów nadzorczych (takich jak polski UODO czy europejski EROD) stanowiłoby regres w ochronie praw podstawowych.

Czy nadchodzą zmiany ułatwiające życie?

Choć nie zanosi się na to, by zasada „chcącemu nie dzieje się krzywda” stała się fundamentem prawa ochrony danych, trwają prace nad przepisami, które mają zmniejszyć uciążliwość obecnych rozwiązań. Kluczowym aktem prawnym, na który czekamy od lat, jest Rozporządzenie ePrivacy.

Ma ono na celu m.in.:

• Uproszczenie zarządzania plikami cookies: Zamiast klikać „zgadzam się” na każdej stronie z osobna, użytkownik mógłby zdefiniować swoje preferencje bezpośrednio w ustawieniach przeglądarki.
• Zmniejszenie liczby banerów: Jeśli strona używa tylko ciasteczek statystycznych lub technicznych, które nie śledzą użytkownika w sposób inwazyjny, dodatkowe zgody mogą stać się zbędne.

Niestety, prace nad ePrivacy Regulation wielokrotnie się opóźniały ze względu na silny lobbing branży reklamowej oraz spory między państwami członkowskimi co do zakresu ochrony prywatności. Na ten moment nie można wskazać konkretnej daty wejścia tych przepisów w życie, która definitywnie zakończyłaby „erę banerów”.

Dlaczego proste podpisanie klauzuli to za mało?

Z punktu widzenia prawa, dane osobowe nie są traktowane jak zwykły towar, którym można swobodnie handlować na podstawie prostej umowy. Są one uznawane za element godności i prywatności człowieka. Europejskie trybunały wielokrotnie podkreślały, że użytkownik często akceptuje regulaminy bez ich czytania (tzw. „ślepa akceptacja”), co w relacji z wielkimi korporacjami technologicznymi stawia go na straconej pozycji.

Gdyby wprowadzono zasadę, że podpis jest ostateczny, dopóki nie wykaże się przymusu, ciężar dowodu zostałby przerzucony na konsumenta. W starciu z armią prawników dużej firmy, wykazanie przymusu ekonomicznego czy psychologicznego byłoby dla zwykłego człowieka niemal niemożliwe.

Ciekawostka: Dark Patterns pod lupą

Warto wiedzieć, że zamiast poluzowania przepisów, Unia Europejska wprowadza kolejne obostrzenia dotyczące tzw. dark patterns (zwodniczych interfejsów). Są to techniki projektowania stron, które mają „podstępem” skłonić nas do kliknięcia zgody (np. jaskrawy przycisk „Akceptuję wszystko” i ukryty, szary przycisk „Odrzuć”). Nowe unijne akty, jak Akt o usługach cyfrowych (DSA), wprost zakazują takich praktyk, co pokazuje, że kierunek zmian jest raczej pro-konsumencki niż pro-przedsiębiorczy.

Kiedy przepisy staną się bardziej „przyjazne”?

Jeśli przez „przyjazność” rozumiemy mniejszą liczbę formalności dla właścicieli stron, to realna szansa na poprawę pojawi się dopiero wraz z popularyzacją standardów takich jak Global Privacy Control (GPC). Jest to mechanizm, w którym przeglądarka automatycznie wysyła do stron sygnał o preferencjach prywatności użytkownika. Jeśli takie rozwiązanie zostanie uznane prawnie za wiążące w całej UE, przedsiębiorcy będą mogli zrezygnować z agresywnych wyskakujących okienek na rzecz automatycznej komunikacji między systemami.

Podsumowując obecną sytuację:

1. Brak planów na rewolucję: Nie ma obecnie żadnych projektów legislacyjnych, które wprowadzałyby zasadę „chcącemu nie dzieje się krzywda” w czystej postaci do RODO.
2. Ewolucja, nie rewolucja: Zmiany będą szły w stronę technicznego uproszczenia wyrażania zgód (przez przeglądarki), a nie zniesienia obowiązku informacyjnego.
3. Ciężar dowodu: Pozostanie on po stronie przedsiębiorcy, który musi być w stanie wykazać, że przetwarza dane zgodnie z prawem.

Dla przedsiębiorców najlepszą strategią na ten moment pozostaje dążenie do maksymalnej przejrzystości i stosowanie narzędzi typu Consent Management Platform (CMP), które automatyzują proces zbierania zgód, minimalizując ryzyko prawne przy jednoczesnym zachowaniu możliwie najlepszego UX (User Experience) strony.