Prezes UODO Mirosław Wróblewski wziął udział w dyskusji na temat współpracy europejskich regulatorów

17 marca w Brukseli odbyła się konferencja pt. „Międzyregulacyjne oddziaływanie i współpraca w UE: perspektywa ochrony danych osobowych” (ang. „cross-regulatory cooperation in the EU”), zorganizowana przez Europejską Radę Ochrony Danych. Prezes UODO Mirosław Wróblewski zabrał głos w panelu poświęconym praktycznym interakcjom między RODO a Aktem w usługach cyfrowych (DSA).

Wystąpienie otwierające wygłosiła Anu Talus, przewodnicząca EROD. Wskazała w nim, że przepisy RODO w wielu aspektach przeplatają się z DSA, DMA (Akt o rynkach cyfrowych) oraz wieloma innymi regulacjami. Dlatego niezbędna jest współpraca pomiędzy organami regulacyjnymi, egzekwującymi te przepisy – która zresztą już trwa i w wielu kwestiach okazała się pomocna. Ułatwia to dostosowanie do przepisów, jak i ich egzekwowanie, oraz zapewnia większą pewność prawa.

„Ekonomia cyfrowa nie działa w systemie silosowym, i my też nie powinniśmy. Te same przypadki mogą podlegać pod prawo ochrony danych, prawo konsumenckie, ochronę konkurencji czy przepisy dotyczące platform. Wymiana doświadczeń między organami działającymi na różnych polach jest niezbędna. Trzy zasady, którymi powinniśmy się kierować to: spójność, spójność i jeszcze raz spójność. Powinniśmy budować kulturę współpracy i dobrego zarządzania, a także wzmacniać zaufanie. Organy władzy muszą jednak zachować swoje kompetencje – poprzez współpracę i wymianę wiedzy – będą lepiej przygotowane do zachowania konkurencyjności gospodarki przy jednoczesnej ochronie praw obywateli.” – powiedziała przewodnicząca EROD Anu Talus.

Mirosław Wróblewski, prezes UODO, był uczestnikiem trzeciego panelu, pt. “DSA I RODO: jak oddziałują na siebie w praktyce?” (ang „DSA and GDPR: how they interact in practice”). W otwierającym go wystąpieniu, Prezes UODO wskazał, że oba te akty mają równą moc prawną i choć chronią różne prawa, to w dużej mierze nakładają się na siebie. Kolizje są więc nieuniknione.

„Jak wskazała Anu Talus, bardzo potrzebujemy spójnego i proporcjonalnego podejścia. Najważniejsze miejsca, w których akty te zachodzą na siebie wynikają z podstaw prawnych zarówno DSA, jak i RODO.” – mówił prezes UODO Mirosław Wróblewski.

Przykładowo, obowiązek aktywnego identyfikowania nielegalnych treści może stać w sprzeczności z zasadami legalnego przetwarzania danych osobowych. Prezes UODO zwrócił jednak uwagę, że przetwarzanie danych w celu wykonywania obowiązków z DSA nie musi się koniecznie opierać na zgodzie, a platformy powinny unikać nadmiernego zbierania danych przy ich wypełnianiu.

Mirosław Wróblewski dodał, że RODO i DSA odmiennie definiują też transparentność. Zwrócił uwagę na dwa aspekty: implementacja eIDAS i przepisów o ochronie nieletnich, pozwoli zarówno zapewnić im właściwą ochronę, jak i zagwarantować minimalizację przetwarzania danych osobowych. Możliwe jest więc pogodzenie prawa do wolności słowa z możliwością identyfikacji osoby.

Niezbędna jest współpraca różnych organów nadzorczych na gruncie DSA i RODO. Implementacja tych przepisów oddzielnie w każdym państwie może prowadzić do nieścisłości w interpretacji i rozstrzygnięciach. Dlatego na organach krajowych spoczywa duża odpowiedzialność za wypracowanie mechanizmów współpracy, także krajowych procedur. Współpraca taka jest też niezbędna do skutecznego egzekwowania prawa zwłaszcza wobec międzynarodowych firm.

W panelu głos zabrał również Marco Giorello, szef jednostki monitorowania i współpracy w kwestii DSA w Komisji Europejskiej. Wskazał on, że najważniejsze sfery wymagające kooperacji to zapewnienie dostępu do danych w celach badawczych oraz współpraca w ramach 8 grup roboczych w Europejskiej Radzie Usług Cyfrowych.

Z kolei Benoit Loutrel członek kolegium Arcom (francuskiego organu regulacyjnego w kwestii Komunikacji cyfrowej oraz usług audiowizualnych), zwrócił uwagę na różnice w strukturze RODO, które jest uniwersalną i szeroką regulacją oraz DSA, które przewiduje różne obowiązki dla zróżnicowanych grup podmiotów. Najważniejsze są przy tym regulacje dotyczące VLOPów (bardzo dużych platform). Historia pokazała zaś, że platformy te mogą wykorzystywać RODO, aby odmawiać dostępu do danych badaczom. W efekcie ci nie będą mogli sprawdzić, jak działają algorytmy i czy platformy właściwie wykonują swoje obowiązki.

Victoria de Posson, sekretarz generalna Europejskiego Sojuszu Technologicznego, zarysowała perspektywę biznesu. Wskazała, że firmy europejskie, by zachować konkurencyjność, muszą zatrudniać więcej inżynierów, niż prawników. Dlatego potrzebują jednolitej i spójnej egzekucji przepisów, a do tego jeszcze daleko.

Mirosław Wróblewski zwrócił również uwagę, że zgłoszenia i akcje monitorujące (ang. notice and action) nie mogą zamienić się w narzędzia inwigilacji. Wskazał na problem deep fake’ów, które są obecnie wykorzystywane zarówno do wpływania na kampanie wyborcze, jak i naciągania ludzi na zainwestowanie pieniędzy, czy kupno fałszywych leków. Platformy zaś zarabiają na reklamowaniu takich oszukańczych treści.

„Potrzebujemy skutecznych narzędzi, by zapewnić efektywną ochronę. Pokazują to niektóre działania platform – np. walka z tzw. celeb-baitami wymaga mechanizmów monitorowania przez organ nadzorczy. Mamy tutaj też przykłady dobrej współpracy z organami ochrony danych i operatorami platform społecznościowych. W tym wypadku DSA i RODO idą ręka w rękę w zapewnieniu ochrony przed nielegalnymi treściami i nadużywaniem danych osobowych do tworzenia deep-fake’ów.” – mówił Prezes UODO.

Mirosław Wróblewski podkreślił, że ochrona prywatności istnieje już na poziomie konstytucji, ale wymaga zachowania proporcjonalności i oceny przez sądy – zarówno krajowe, jak i europejskie. W tym kontekście przypomniał sprawę Russmedia (komunikat UODO w tej sprawie: https://uodo.gov.pl/pl/138/4021). TSUE wskazał w niej, że należy zrównoważyć obowiązek platform do aktywnego monitorowania treści oraz zapewnienia technicznych i organizacyjnych środków ochrony danych osobowych. Punkt ciężkości tej równowagi należy jednak przesunąć z nadmiernej inwigilacji do skutecznego przeciwdziałania deep-fake’om.

Pozostałe panele na konferencji dotyczyły synergii między prawem ochrony danych a prawem ochrony konkurencji, a także relacji komplementarnych między RODO a Aktem o rynkach cyfrowych. Krótkie wystąpienia wygłosili też Henna Virkkunen, unijna Komisarz ds. Suwerenności Technicznej, Bezpieczeństwa i Demokracji, oraz Javier Zarzalejos, europarlamentarzysta, przewodniczący Komisji Wolności Obywatelskich i Sprawiedliwości (LIBE). Przedstawili oni najważniejsze myśli przewodnie instytucji, które reprezentują.

Zdjęcia: European Data Protection Board.