Odkąd RODO (Ogólne Rozporządzenie o Ochronie Danych) weszło w życie w 2018 r., obywatele Unii Europejskiej mają większą ochronę prywatności i danych. Jednak prawo jest dalekie od doskonałości - a duże firmy technologiczne, prawnicy branżowi i lobbyści wykorzystali wszystkie narzędzia w swoim arsenale, aby obejść przepisy RODO (poprzez błędną interpretację) lub wpłynąć na opinię publiczną na temat prawa, aby konsumenci nie obwiniali ich za naruszenia, ale samo RODO. W ciągu ostatnich kilku lat doprowadziło to do wielu nieporozumień dotyczących ochrony danych, a w szczególności RODO. Dlatego na cześć tegorocznego Dnia Ochrony Danych Osobowych, noyb wyjaśnia 5 najczęstszych nieporozumień.
1. RODO zmusza firmy do korzystania z banerów cookie
To stwierdzenie jest nieprawidłowe. RODO nie zmusza stron internetowych do korzystania z banerów cookie. Zamiast tego firmy są zobowiązane do uzyskania wyraźnej zgody użytkownika, jeśli chcą śledzić jego ruchy online. Zazwyczaj ma to na celu wyświetlanie spersonalizowanych reklam opartych na zainteresowaniach użytkownika. Firmy zdecydowały się poprosić o zgodę za pomocą banerów cookie i często obwiniają za to RODO.
Ale to nie wszystko: Aby zmaksymalizować wskaźniki zgody - a tym samym zyski - wiele witryn internetowych korzysta z celowo wprowadzających w błąd i zwodniczych banerów cookie, które (prawie) uniemożliwiają odmowę lub wycofanie zgody.
Tak więc, następnym razem, gdy zobaczysz baner z plikami cookie, pamiętaj, że nie istnieją one z powodu RODO, ale dlatego, że firma chce czerpać zyski z twoich danych osobowych.
2. Firmy muszą obawiać się sankcji ze strony organów ochrony danych
Niestety, organy ochrony danych (OOD) uciekają się do surowych środków egzekwowania prawa tylko w wyjątkowych przypadkach. Analiza Noyb dotycząca działalności organów ochrony danych w latach 2018-2023 wykazała, że tylko 1,3% przypadków skutkuje nałożeniem grzywny. Irlandzki DPC, który jest odpowiedzialny za większość głównych firm technologicznych (Meta, Google, Apple, OpenAI, Microsoft i wiele innych), nakłada grzywny nawet w zaledwie 0,26% spraw, którymi się zajmuje. A nawet jeśli irlandzki DPC nakłada grzywnę, to prawie nie zbiera pieniędzy, jak donoszą media.
Z naszych prawie 900 spraw wiemy, że postępowania są często przeciągane przez kilka lat, a firma otrzymuje jedynie ostrzeżenie. W niektórych przypadkach organ ochrony danych zamienił się nawet rolami, aby konsultować się z firmą, która naruszyła prawo ochrony danych. Na przykład: W 2024 r. noyb pozwał hamburski organ ochrony danych do sądu z powodu rozbieżności w sprawie Pay or Okay przeciwko niemieckiemu magazynowi informacyjnemu SPIEGEL. Podczas postępowania przed organem, hamburski organ ochrony danych był w bliskim kontakcie z SPIEGEL. Zamiast bezstronnie zbadać sprawę i podjąć decyzję, organ kilkakrotnie spotkał się z przedstawicielami spółki, zaprosił ich do swojej siedziby i przekazał informacje zwrotne na temat proponowanych zmian w zakresie wdrożenia Pay or Okay. Za koszty administracyjne postępowania władze Hamburga obciążyły SPIEGEL kwotą 6 140 euro. Taniej niż praktycznie każdy prawnik.
Podsumowując, jest to - niestety - błędne przekonanie, że firmy muszą obawiać się poważnych konsekwencji ze strony organów ochrony danych za naruszenie podstawowego prawa do ochrony danych.
3. Reklama musi być spersonalizowana, w przeciwnym razie nikt by jej nie kupił, a branża reklamowa zbankrutowałaby!
Twierdzenie branży reklamowej, że MUSI śledzić użytkownika w Internecie i nękać go wprowadzającymi w błąd banerami cookie, aby utrzymać się na rynku, jest więcej niż kontrowersyjne. W rzeczywistości istnieje wiele alternatywnych sposobów zarabiania na stronie internetowej, takich jak reklama kontekstowa, lokowanie produktu, płatne treści lub modele freemium, w których niektóre treści są dostępne tylko za opłatą.
Nawet badania naukowe budzą wątpliwości co do opłacalności - a tym samym konieczności - śledzenia reklam, jak twierdzi branża reklamowa. Amerykańskie badanie z 2019 r. pokazuje na przykład, że wykorzystanie danych osobowych zwiększa przychody strony internetowej tylko o około 4%. "Odpowiada to średniemu wzrostowi o 0,00008 USD na reklamę", podsumowuje badanie.
Istnieją jednak jeszcze bardziej ekstremalne przykłady: Holenderski nadawca publiczny NPO odnotował nawet wzrost przychodów po rezygnacji z reklam ukierunkowanych.
Wynika z tego jasno, że istnieją alternatywne rozwiązania dla firm śledzących użytkowników w Internecie.
4. RODO ingeruje w swobodę prowadzenia działalności gospodarczej
Nie, nie narusza. Swoboda prowadzenia działalności gospodarczej określona w Karcie praw podstawowych UE wyraźnie stanowi, że użytkownik ma "swobodę prowadzenia działalności gospodarczej zgodnie z prawem Unii oraz ustawodawstwami i praktykami krajowymi".
Oznacza to, że firmy muszą przestrzegać prawa, bez względu na to, czy dotyczy ono podatków, ochrony środowiska, czy ochrony danych i prywatności. Nie istnieje żadne podstawowe prawo do prowadzenia działalności gospodarczej, które byłoby nadrzędne w stosunku do zobowiązań prawnych firmy, choć wiele korporacji bardzo by sobie tego życzyło.
Ponadto wolność prowadzenia działalności gospodarczej oznacza w rzeczywistości, że możesz prowadzić działalność gospodarczą. Możesz na przykład zostać farmaceutą i nie jest konieczne, aby jedno z Twoich rodziców było farmaceutą. Oczywiście również farmaceuta musi przestrzegać prawa. Tosamo dotyczy dużych firm technologicznych i innych.
5. Ludzie nadużywają swojego prawa dostępu i zasypują firmy wnioskami o udostępnienie danych
Pomimo tego, że prawo dostępu na mocy art. 15 RODO jest niezbędne do zachowania przynajmniej niewielkiej kontroli nad danymi osobowymi w erze cyfrowej, niektóre firmy są przeciwko niemu, twierdząc, że wymagałoby to "nieproporcjonalnego wysiłku". Takie twierdzenia lobby znalazły się nawet w niemieckim dokumencie przedstawiającym stanowisko, w którym wnioski o dostęp zostały opisane jako coraz częściej "nadużywane".
Jednak rzeczywistość nie potwierdza nawet tego twierdzenia. Prawo zawiera już zabezpieczenia zapobiegające nadużyciom: Zgodnie z art. 12 ust. 5 RODO firmy mogą pobierać rozsądną opłatę lub nawet odrzucać wnioski, jeśli "są one ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzalny charakter".
Co więcej, zdecydowana większość firm działających w UE nie pracuje w sposób tak intensywnie wykorzystujący dane, aby otrzymywać wiele wniosków o dostęp. W ramach (wkrótce opublikowanej) ankiety noyb, 73,3% inspektorów ochrony danych (DPO) stwierdziło, że prawo dostępu nie stwarza wiele pracy. Wręcz przeciwnie, większe firmy często po prostu ignorują prośby konsumentów o dostęp lub wstrzymują część informacji, do których ludzie są uprawnieni na mocy prawa. Na przykład broker reklamowy Xandr (spółka zależna Microsoftu) zgłosił zdumiewający wskaźnik 0% odpowiedzi na wnioski o dostęp i usunięcie danych w 2022 roku.
Ponadto większość dużych firm technologicznych wdrożyła już jakieś narzędzie do automatyzacji, które pozwala im masowo realizować wnioski o dostęp do RODO, zwykle za pomocą narzędzia "pobierz swoje informacje" - ale nadal nie udostępnia wszystkich danych.
Innymi słowy: firmy mają środki, aby poradzić sobie z żądaniami dostępu bez znacznego nakładu pracy. Po prostu nie chcą dać ci dostępu do przetworzonych informacji.
6. Bonusowe nieporozumienie: z nałożonymi grzywnami w wysokości miliardów euro, noyb musi być bogaty!
Oczywiście Noyb nie otrzymuje żadnych grzywien nałożonych przez organy ochrony danych. Kiedy organ ochrony danych pobiera grzywny, pieniądze trafiają do budżetu państwa, w którym organ ma siedzibę (lub w Hiszpanii bezpośrednio do organu ochrony danych).
praca noyb na rzecz bardziej przyjaznej dla prywatności przyszłości jest możliwa tylko dzięki naszym 5 400 członkom wspierającym. Jeśli również chcesz przyczynić się do naszej sprawy, możesz dowiedzieć się więcej o naszych członkostwach tutaj. Możesz również skontaktować się z nami pod adresem info@noyb.eu w razie pytań.
