A ja szczerze odpowiadam. Takie zarzuty już zresztą padały pod adresem DPC.
W zeszłym roku demaskatorka Facebooka, Frances Haugen, mówiła, że w kwestii kontrolowania platform Irlandia stoi w obliczu „konfliktu interesów”.
Najlepszą odpowiedzią będą tu fakty. W ciągu ostatnich 14 miesięcy wydaliśmy wobec spółki Meta decyzje z karami opiewającymi łącznie na przeszło 900 mln euro. To największa kumulacja kar za łamanie przepisów
RODO (unijne rozporządzenia o ochronie danych - red.). Nasze decyzje obejmują też środki naprawcze, jakie platformy muszą wprowadzać. I prowadzimy kolejne postępowania. W toku jest 40 śledztw dotyczących wielkich firm technologicznych, w tym 13 wobec serwisów Mety. Nie można więc powiedzieć, że na big techy patrzymy przez palce.
Irlandzki rząd wpływa na wasze decyzje? Nie sugeruje, żebyście wobec tej czy innej firmy zastosowali taryfę ulgową?
Absolutnie nie. Jesteśmy całkiem niezależni od rządu. Co więcej, on też podlega naszej jurysdykcji w dziedzinie RODO - i część postępowań DPC dotyczy właśnie rządu.
Kto wskazuje komisarza ochrony danych? Jak wygląda jego wybór?
Komisarz ds. ochrony danych osobowych jest wybierany przez rząd Irlandii i jest niezależny w wykonywaniu swoich funkcji. Komisarz Helen Dixon została mianowana we wrześniu 2014 r. w wyniku otwartego międzynarodowego konkursu zorganizowanego przez Public Appointments Service (PAS) w Irlandii. W 2019 r., po uzyskaniu zgody rządu, została wybrana na drugą pięcioletnią kadencję. Jej druga i ostatnia kadencja kończy się w 2024 r.
A kto was kontroluje? Kiedy był ostatni audyt DPC i jakie dał rezultaty?
Jesteśmy nadzorowani przez rząd Irlandii, przez sądy, jesteśmy również częścią Europejskiej Rady Ochrony Danych. Jeśli chodzi o zarządzanie, odpowiadamy przed Urzędem Kontrolera i Audytora Generalnego w Irlandii, który sprawdza nasze konta finansowe i procesy zarządzania. Mamy audytorów wewnętrznych - a więc duża odpowiedzialność.
Ile osób w DPC zajmuje się Facebookiem, Google’em i innymi big techami?
Śledztwami, zarówno dotyczącymi firm technologicznych, jak i krajowych problemów, zajmuje się 70-75 proc. pracowników urzędu. Obecnie mamy ich 200, a do końca przyszłego roku chcemy zwiększyć zatrudnienie do ok. 250 osób. Z tym że w ciągu ostatniego roku zmodyfikowaliśmy trochę sposób działania i w postępowania wymagające znajomości najnowszych technologii angażujemy wyspecjalizowane w tej branży firmy zewnętrzne.
I to wystarczy, żeby skutecznie patrzeć na ręce Mecie, Apple’owi i innym globalnym gigantom mającym w Irlandii swoje europejskie siedziby?
Nie wystarczy. Dlatego właśnie zamierzamy zatrudnić więcej osób. W przyszłym roku wzrośnie też nasz budżet. I sądzimy, że także w kolejnych latach zespół i zasoby DPC będą musiały się powiększać.
Nałożone ostatnio kary wyglądają imponująco. Ale nie zawsze tak było. Pierwszą grzywnę na amerykańską firmę technologiczną DPC nałożyła dopiero w grudniu 2021 r., czyli ponad dwa i pół roku po wejściu w życie przepisów RODO. Chodziło wtedy o Twittera, a kara wyniosła 450 tys. euro. Co się zmieniło, że ostatnio DPC przyspieszyła?
Nie chciałbym się wykręcać od odpowiedzi, ale to pytanie równie dobrze można zadać odpowiednikom DPC w innych państwach UE. Przez pierwsze parę lat obowiązywania RODO w całej Unii kar wymierzano niewiele i nie były one wysokie. Przyczyną jest wysoki poziom skomplikowania przepisów o ochronie danych i charakter całego procesu. Najpierw trzeba było bowiem dokładnie zbadać sytuację, przeanalizować przypadki potencjalnego łamania przepisów, sformułować wnioski, wyciągnąć konsekwencje. RODO wymaga ponadto współpracy regulatorów w różnych krajach, a ponieważ robiliśmy to po raz pierwszy - potrzeba było czasu. Szczególnie że nie wszyscy we wszystkim się zgadzają i należało rozstrzygać spory między regulatorami - co zajmuje średnio dziewięć miesięcy. Razem z trwającą około półtora roku pracą nad dochodzeniem i sformułowaniem projektu decyzji w danej sprawie - mamy prawie dwa i pół roku.
Wiele się w naszej pracy uczymy. Całe postępowanie dotyczące Instagrama, w wyniku którego nałożyliśmy karę 405 mln euro, a także zaleciliśmy działania naprawcze, zamknęło się w półtora roku. Pierwsze lata obowiązywania RODO scharakteryzowałbym więc jako czas nauki dla wszystkich europejskich regulatorów. Przechodziliśmy przez te procesy pierwszy raz, a nasze sprawy przeciwko big techom były pionierskie.
Czy jakaś kara została już zapłacona?
Tak, w przypadku spraw, które prowadziliśmy wobec irlandzkich firm, było już dużo takich wpłat. Spośród big techów Twitter zapłacił 450 tys. euro (pierwsza kara nałożona przez DPC na platformę - red.), a sądy potwierdziły, że Facebook musi zapłacić 70 mln - mają na to 28 dni. Wydaliśmy też decyzje dotyczące WhatsAppa i Instagrama, odwołali się od nich, więc czekamy, aż sąd się do tego odniesie. Pod koniec listopada nałożyliśmy kolejną karę na Metę, tym razem za nielegalne praktyki dotyczące zbierania danych przez Facebooka. Muszą zapłacić 265 mln euro, czekamy teraz, czy złożą apelację. Jeśli nie, pójdziemy do sądu, by wydał nakaz zapłaty.
Co się dzieje z tymi pieniędzmi?
Są przekazywane na konta irlandzkiego skarbu państwa.
Nie są więc to pieniądze przeznaczone na żaden specjalny cel?
Nie, rząd rozporządza nimi dalej, nie wracają do nas.
Jaki jest wasz roczny budżet?
Właśnie wzrósł z 23 mln euro w tym roku do 26 mln na 2023 r. To całość pieniędzy, jaką mamy na funkcjonowanie instytucji, pracowników, opłaty.
To była wystarczająca kwota do tej pory. Nie musieliśmy iść do rządu, by prosić o więcej pieniędzy. Kiedy obecna komisarz ochrony danych, Helen Dixon, objęła urząd osiem lat temu, było tu wówczas 27 osób, a budżet DPC wynosił poniżej 2 mln euro. Od tego czasu spotkaliśmy się z dużym wsparciem i zrozumieniem rządu.
Jak bronicie się przed naciskiem ze strony wielkich firm technologicznych? Od europosłów często słyszymy, że ich lobbyści są bardzo agresywni.
Myślę, że jesteśmy w innej sytuacji. Przedstawiciele wielkich firm lobbują w Brukseli, kiedy przychodzi do ustalania nowych regulacji. Natomiast nie mają po co tego robić w DPC, bo my nie jesteśmy decydentami. Naszą rolą jest egzekwowanie gotowych regulacji, więc mamy z firmami inne relacje. W pewnych okolicznościach odrzucamy naszą rolę nadzorcy i angażujemy się, kiedy firmy pracują nad nowymi produktami, by się upewnić, że będą zaprojektowane zgodnie z RODO. Ale jeśli firmy nie stosują się do przepisów, to włączamy twarde środki nacisku. Mamy w tej chwili 40 otwartych dochodzeń przeciwko big techom.
Trudno uwierzyć, że nie wywierają na DPC żadnych nacisków.
Naciski, z którymi się spotykamy, wyglądają inaczej. Kiedy prowadzimy dochodzenie wobec firm, one wykorzystują wobec nas możliwe środki prawne - na przykład składają skargi albo zadają pytania. Czasem na kilkaset stron. I nie mamy wyjścia: aby zapewnić firmie prawo do bycia wysłuchanym, musimy przez nie przebrnąć. To nawiązuje zresztą do poprzedniego pytania o długość postępowania - tak, to zabiera czas. Ale trzeba to zrobić, bo to część irlandzkiego systemu prawnego.
Jak wasza praca zmieni się pod wpływem DSA i DMA?
Te akty nie dotyczą bezpośrednio naszej działalności, naszą domeną jest ochrona danych. Są inni regulatorzy w Irlandii, którzy będą się tym zajmować. Zapewne będziemy mierzyć się z oskarżeniami o to, że nic nie robimy w kwestii np. moderacji treści w serwisach społecznościowych, ale to nie nasza rola.
Czy czujecie satysfakcję, prowadząc postępowania wobec internetowych gigantów?
Nie powiedziałbym, że odczuwam satysfakcję, kiedy wymierzamy karę finansową jakiejś spółce. W idealnym świecie niezgodności z prawem w ogóle by nie występowały - i to dawałoby mi satysfakcję. Jednak badanie nieprawidłowości jest częścią naszej roli i jak widać, skutecznie egzekwujemy RODO.
W ubiegłym roku komitet sprawiedliwości irlandzkiego parlamentu opublikował raport, z którego wynika, że DPC powinna natychmiast zacząć egzekwować przepisy RODO, a rząd rozpocząć niezależne prace nad umocnieniem i reformą komisji. Czy taka reforma, pańskim zdaniem, jest konieczna? Jak powinna wyglądać?
Od czasu wysłuchania zorganizowanego przez Specjalny Komitet Oireachtasu minęły prawie dwa lata. Od tego czasu zrobiliśmy znaczne postępy. Irlandzka DPC jest obecnie liderem w Unii, jeśli chodzi o kary i środki naprawcze nałożone zgodnie z RODO. Mamy też dużo dochodzeń na bardzo zaawansowanym etapie, które znajdą swój finał w 2023 r. Myślę, że te fakty mówią same za siebie. ©℗
Rozmawiały Elżbieta Rutkowska i Anna Wittenberg