Prowadzimy 40 postępowań przeciwko big techom, z czego 13 wobec samej Mety – mówi Graham Doyle z irlandzkiej Data Protection Commission, która odpowiada za dyscyplinowanie największych firm technologicznych operujących w Europie.
Niewielka Irlandia jest europejską siedzibą największych spółek technologicznych w Europie. Ze względów podatkowych wybrały ją między innymi: Apple, eBay, Meta, Alphabet (dawniej Google), Microsoft, Oracle, TikTok czy Twitter. Zgodnie z unijnym prawodawstwem to Irlandia odpowiada za to, by spółki postępowały zgodnie ze wspólnotowymi przepisami w dziedzinie ochrony danych. A to niełatwe, bo praktyki biznesowe części z tych korporacji wykluczają stosowanie RODO - obowiązującego w Unii Europejskiej rozporządzenia o ochronie danych.
Firmy kontroluje niewielka instytucja - Data Protection Commission. To odpowiednik polskiego Urzędu Ochrony Danych Osobowych. Komisja może nakładać wielkie kary, ale jeśli będzie dla big techów pobłażliwa, może też skutecznie zablokować wdrażanie unijnego prawa. Jej działalność wywołuje kontrowersje w samej Irlandii. Graham Doyle, wicekomisarz organizacji, próbuje opowiedzieć nam, jak działa komisja, czy naciska na nią rząd, jak radzi sobie z presją big techów i dlaczego przygląda się jej komisja sprawiedliwości irlandzkiego parlamentu. ©℗
Amerykańskie firmy, zwłaszcza giganci technologiczni, są motorem napędowym irlandzkiej gospodarki. Wydaje się, że utrudnianie im życia nie leży w interesie kraju.
To duże uproszczenie. Te firmy wybrały Irlandię nie bez powodu. Oczywiście istotną zachętą są dla nich niskie stawki podatku CIT. Ale w grę wchodzą też inne czynniki: młodzi, dobrze wykształceni pracownicy mówiący po angielsku - a Irlandia jest już jedynym anglojęzycznym państwem Unii Europejskiej - oraz położenie geograficzne na zachodzie Europy. Z badań wynika, że przemawia za nami również klimat. W pierwszej chwili brzmi to dziwnie, bo kto by chciał irlandzkiej pogody. Chodzi jednak o to, że umieszczając u nas centra danych, firmy sporo oszczędzają na chłodzeniu. Wydaje mi się, że to pytanie sugeruje, iż mielibyśmy traktować big techy łagodnie, mając na uwadze korzyści gospodarcze płynące z ich obecności w Irlandii.
My tylko pytamy.
A ja szczerze odpowiadam. Takie zarzuty już zresztą padały pod adresem DPC.
W zeszłym roku demaskatorka Facebooka, Frances Haugen, mówiła, że w kwestii kontrolowania platform Irlandia stoi w obliczu „konfliktu interesów”.
Najlepszą odpowiedzią będą tu fakty. W ciągu ostatnich 14 miesięcy wydaliśmy wobec spółki Meta decyzje z karami opiewającymi łącznie na przeszło 900 mln euro. To największa kumulacja kar za łamanie przepisów RODO (unijne rozporządzenia o ochronie danych - red.). Nasze decyzje obejmują też środki naprawcze, jakie platformy muszą wprowadzać. I prowadzimy kolejne postępowania. W toku jest 40 śledztw dotyczących wielkich firm technologicznych, w tym 13 wobec serwisów Mety. Nie można więc powiedzieć, że na big techy patrzymy przez palce.
Irlandzki rząd wpływa na wasze decyzje? Nie sugeruje, żebyście wobec tej czy innej firmy zastosowali taryfę ulgową?
Absolutnie nie. Jesteśmy całkiem niezależni od rządu. Co więcej, on też podlega naszej jurysdykcji w dziedzinie RODO - i część postępowań DPC dotyczy właśnie rządu.
Kto wskazuje komisarza ochrony danych? Jak wygląda jego wybór?
Komisarz ds. ochrony danych osobowych jest wybierany przez rząd Irlandii i jest niezależny w wykonywaniu swoich funkcji. Komisarz Helen Dixon została mianowana we wrześniu 2014 r. w wyniku otwartego międzynarodowego konkursu zorganizowanego przez Public Appointments Service (PAS) w Irlandii. W 2019 r., po uzyskaniu zgody rządu, została wybrana na drugą pięcioletnią kadencję. Jej druga i ostatnia kadencja kończy się w 2024 r.
A kto was kontroluje? Kiedy był ostatni audyt DPC i jakie dał rezultaty?
Jesteśmy nadzorowani przez rząd Irlandii, przez sądy, jesteśmy również częścią Europejskiej Rady Ochrony Danych. Jeśli chodzi o zarządzanie, odpowiadamy przed Urzędem Kontrolera i Audytora Generalnego w Irlandii, który sprawdza nasze konta finansowe i procesy zarządzania. Mamy audytorów wewnętrznych - a więc duża odpowiedzialność.
Ile osób w DPC zajmuje się Facebookiem, Google’em i innymi big techami?
Śledztwami, zarówno dotyczącymi firm technologicznych, jak i krajowych problemów, zajmuje się 70-75 proc. pracowników urzędu. Obecnie mamy ich 200, a do końca przyszłego roku chcemy zwiększyć zatrudnienie do ok. 250 osób. Z tym że w ciągu ostatniego roku zmodyfikowaliśmy trochę sposób działania i w postępowania wymagające znajomości najnowszych technologii angażujemy wyspecjalizowane w tej branży firmy zewnętrzne.
I to wystarczy, żeby skutecznie patrzeć na ręce Mecie, Apple’owi i innym globalnym gigantom mającym w Irlandii swoje europejskie siedziby?
Nie wystarczy. Dlatego właśnie zamierzamy zatrudnić więcej osób. W przyszłym roku wzrośnie też nasz budżet. I sądzimy, że także w kolejnych latach zespół i zasoby DPC będą musiały się powiększać.
Nałożone ostatnio kary wyglądają imponująco. Ale nie zawsze tak było. Pierwszą grzywnę na amerykańską firmę technologiczną DPC nałożyła dopiero w grudniu 2021 r., czyli ponad dwa i pół roku po wejściu w życie przepisów RODO. Chodziło wtedy o Twittera, a kara wyniosła 450 tys. euro. Co się zmieniło, że ostatnio DPC przyspieszyła?
Nie chciałbym się wykręcać od odpowiedzi, ale to pytanie równie dobrze można zadać odpowiednikom DPC w innych państwach UE. Przez pierwsze parę lat obowiązywania RODO w całej Unii kar wymierzano niewiele i nie były one wysokie. Przyczyną jest wysoki poziom skomplikowania przepisów o ochronie danych i charakter całego procesu. Najpierw trzeba było bowiem dokładnie zbadać sytuację, przeanalizować przypadki potencjalnego łamania przepisów, sformułować wnioski, wyciągnąć konsekwencje. RODO wymaga ponadto współpracy regulatorów w różnych krajach, a ponieważ robiliśmy to po raz pierwszy - potrzeba było czasu. Szczególnie że nie wszyscy we wszystkim się zgadzają i należało rozstrzygać spory między regulatorami - co zajmuje średnio dziewięć miesięcy. Razem z trwającą około półtora roku pracą nad dochodzeniem i sformułowaniem projektu decyzji w danej sprawie - mamy prawie dwa i pół roku.
Wiele się w naszej pracy uczymy. Całe postępowanie dotyczące Instagrama, w wyniku którego nałożyliśmy karę 405 mln euro, a także zaleciliśmy działania naprawcze, zamknęło się w półtora roku. Pierwsze lata obowiązywania RODO scharakteryzowałbym więc jako czas nauki dla wszystkich europejskich regulatorów. Przechodziliśmy przez te procesy pierwszy raz, a nasze sprawy przeciwko big techom były pionierskie.
Czy jakaś kara została już zapłacona?
Tak, w przypadku spraw, które prowadziliśmy wobec irlandzkich firm, było już dużo takich wpłat. Spośród big techów Twitter zapłacił 450 tys. euro (pierwsza kara nałożona przez DPC na platformę - red.), a sądy potwierdziły, że Facebook musi zapłacić 70 mln - mają na to 28 dni. Wydaliśmy też decyzje dotyczące WhatsAppa i Instagrama, odwołali się od nich, więc czekamy, aż sąd się do tego odniesie. Pod koniec listopada nałożyliśmy kolejną karę na Metę, tym razem za nielegalne praktyki dotyczące zbierania danych przez Facebooka. Muszą zapłacić 265 mln euro, czekamy teraz, czy złożą apelację. Jeśli nie, pójdziemy do sądu, by wydał nakaz zapłaty.
Co się dzieje z tymi pieniędzmi?
Są przekazywane na konta irlandzkiego skarbu państwa.
Nie są więc to pieniądze przeznaczone na żaden specjalny cel?
Nie, rząd rozporządza nimi dalej, nie wracają do nas.
Jaki jest wasz roczny budżet?
Właśnie wzrósł z 23 mln euro w tym roku do 26 mln na 2023 r. To całość pieniędzy, jaką mamy na funkcjonowanie instytucji, pracowników, opłaty.
To wystarczy?
To była wystarczająca kwota do tej pory. Nie musieliśmy iść do rządu, by prosić o więcej pieniędzy. Kiedy obecna komisarz ochrony danych, Helen Dixon, objęła urząd osiem lat temu, było tu wówczas 27 osób, a budżet DPC wynosił poniżej 2 mln euro. Od tego czasu spotkaliśmy się z dużym wsparciem i zrozumieniem rządu.
Jak bronicie się przed naciskiem ze strony wielkich firm technologicznych? Od europosłów często słyszymy, że ich lobbyści są bardzo agresywni.
Myślę, że jesteśmy w innej sytuacji. Przedstawiciele wielkich firm lobbują w Brukseli, kiedy przychodzi do ustalania nowych regulacji. Natomiast nie mają po co tego robić w DPC, bo my nie jesteśmy decydentami. Naszą rolą jest egzekwowanie gotowych regulacji, więc mamy z firmami inne relacje. W pewnych okolicznościach odrzucamy naszą rolę nadzorcy i angażujemy się, kiedy firmy pracują nad nowymi produktami, by się upewnić, że będą zaprojektowane zgodnie z RODO. Ale jeśli firmy nie stosują się do przepisów, to włączamy twarde środki nacisku. Mamy w tej chwili 40 otwartych dochodzeń przeciwko big techom.
Trudno uwierzyć, że nie wywierają na DPC żadnych nacisków.
Naciski, z którymi się spotykamy, wyglądają inaczej. Kiedy prowadzimy dochodzenie wobec firm, one wykorzystują wobec nas możliwe środki prawne - na przykład składają skargi albo zadają pytania. Czasem na kilkaset stron. I nie mamy wyjścia: aby zapewnić firmie prawo do bycia wysłuchanym, musimy przez nie przebrnąć. To nawiązuje zresztą do poprzedniego pytania o długość postępowania - tak, to zabiera czas. Ale trzeba to zrobić, bo to część irlandzkiego systemu prawnego.
Jak wasza praca zmieni się pod wpływem DSA i DMA?
Te akty nie dotyczą bezpośrednio naszej działalności, naszą domeną jest ochrona danych. Są inni regulatorzy w Irlandii, którzy będą się tym zajmować. Zapewne będziemy mierzyć się z oskarżeniami o to, że nic nie robimy w kwestii np. moderacji treści w serwisach społecznościowych, ale to nie nasza rola.
Czy czujecie satysfakcję, prowadząc postępowania wobec internetowych gigantów?
Nie powiedziałbym, że odczuwam satysfakcję, kiedy wymierzamy karę finansową jakiejś spółce. W idealnym świecie niezgodności z prawem w ogóle by nie występowały - i to dawałoby mi satysfakcję. Jednak badanie nieprawidłowości jest częścią naszej roli i jak widać, skutecznie egzekwujemy RODO.
W ubiegłym roku komitet sprawiedliwości irlandzkiego parlamentu opublikował raport, z którego wynika, że DPC powinna natychmiast zacząć egzekwować przepisy RODO, a rząd rozpocząć niezależne prace nad umocnieniem i reformą komisji. Czy taka reforma, pańskim zdaniem, jest konieczna? Jak powinna wyglądać?
Od czasu wysłuchania zorganizowanego przez Specjalny Komitet Oireachtasu minęły prawie dwa lata. Od tego czasu zrobiliśmy znaczne postępy. Irlandzka DPC jest obecnie liderem w Unii, jeśli chodzi o kary i środki naprawcze nałożone zgodnie z RODO. Mamy też dużo dochodzeń na bardzo zaawansowanym etapie, które znajdą swój finał w 2023 r. Myślę, że te fakty mówią same za siebie. ©℗
Rozmawiały Elżbieta Rutkowska i Anna Wittenberg