Słynne RODO czyli unijne zasady ochrony prywatności działa od niemal roku, ale wielkie firmy technologiczne niewiele się nim przejmują

Irlandia mnóstwem ulg zwabiła Facebooka i Google'a, by na jej terytorium tworzyli swoje centrale – trudno więc oczekiwać, by teraz miała utrudniać im życie nowymi unijnymi regulacjami

Firmy z USA chętnie operują z Irlandii, bo pozwala im to docierać do milionów europejskich konsumentów bez konieczności płacenia wysokich podatków we Francji, Niemczech czy Holandii

RODO, efekt wieloletnich zmagań z firmami technologicznymi, osłabia jeden przepis – wymuszony przez te firmy – w wyniku którego funkcję głównego regulatora ma pełnić właśnie Irlandia

Pomiędzy majem 2018 r., kiedy weszło w życie RODO, a styczniem 2019 r. złożono w Irlandii 1928 skarg dotyczących naruszenia prywatności danych osobowych – liczba podjętych działań wyniosła ZERO

W maju ubiegłego roku Europa wprowadziła nowe zasady ochrony danych osobowych – znane u nas jako RODO. Zasady te są dla setek milionów ludzi na świecie – także w Stanach Zjednoczonych – nadzieją na powstrzymanie nadużyć ze strony wielkich firm technologicznych.

Niemal rok później wydaje się już oczywistym, że w nowych przepisach znajduje się istotna luka: kraj, który został wyznaczony na ich głównego strażnika – niewielka Irlandia – musi podjąć działania wymierzone w wielkie firmy z sektora Big Tech. I na razie tego nie robi.

Trudno się temu dziwić. Mimo deklaracji wzmocnienia swojego niezbyt potężnego aparatu regulacyjnego, Irlandia ma długą historię zaspokajania potrzeb tych samych przedsiębiorstw, które teraz ma nadzorować: od lat zachęcała przecież największe firmy z Doliny Krzemowej do inwestycji na swoim terenie, obiecując im niskie podatki, dostęp do najwyższych władz i pomoc w zdobywaniu funduszy na budowę lśniących, nowych biurowców.

Dziś eksperci w dziedzinie ochrony danych osobowych i urzędnicy zajmujący się ich ochroną w innych krajach podają w wątpliwość zaangażowanie Irlandii w problemy związane z prywatnością, takie jak ponowne wprowadzenie rozpoznawania twarzy przez Facebooka czy wymiana danych z niedawno kupioną spółką zależną, czyli WhatsApp, a także wymiana danych między wciąż rosnącą liczbą różnych platform należących do firmy Google.

Polecamy: POLITICO w oryginale - wydarzenia tygodnia oczami światowych karykaturzystów

POLITICO ujawnia: o nadużyciach Facebooka Irlandia wiedziała już w 2011 r.

Prowadzone w ciągu ostatnich 10 miesięcy rozmowy z licznymi specjalistami w dziedzinie ochrony danych, organizacjami, naukowcami i urzędnikami z innych krajów ujawniają rosnące obawy, że działanie przełomowego Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), będącego efektem wieloletnich zmagań z firmami technologicznymi, jest osłabione przez jeden przepis. Jego dodanie wymogły te właśnie firmy i w efekcie funkcję głównego regulatora ma pełnić ten kraj, w którym dana firma ma swojego "administratora danych". Czyli, w większości przypadków, właśnie Irlandia.

To, czy Irlandia jest gotowa występować przeciwko firmom, które napędzają jej gospodarkę, od dawna było podawane w wątpliwość – dotyczy to nawet sytuacji, w których irlandzcy urzędnicy zajmujący się ochroną danych osobowych zauważają potencjalne naruszenie przepisów. Taka sytuacja miała miejsce w 2011 r. – chodziło o Facebooka.

Szczegóły tych wydarzeń ujawniamy tu po raz pierwszy.

Na kilka lat przed tym, jak gigant mediów społecznościowych niechcący udostępnił dane osobowe 87 mln użytkowników – dane te trafiły do firmy Cambridge Analytica i były wykorzystywane w czasie kampanii wyborczej Donalda Trumpa w 2016 r. – irlandzki urząd ochrony danych osobowych stwierdził, że Facebook nie jest w stanie monitorować aplikacji tak, aby zapobiec tego typu przeciekom.

Ówczesny szef irlandzkiej Data Protection Commission (DPC) zawarł swoje uwagi w raporcie z audytu z 2011 r., zwracając uwagę na to, że Facebook zezwala zewnętrznym twórcom aplikacji na dostęp do ogromnych ilości danych "znajomych" osób, które z tych aplikacji korzystają.

Według informacji agencji przedstawiciele Facebooka odrzucili te zarzuty, a irlandzki urząd ochrony danych wycofał się z nich, w kolejnym roku ostatecznie przyznając firmie niemal doskonałą ocenę dotyczącą praktyk ochrony prywatności. Beztroskie udostępnianie danych zostało skorygowane dopiero po latach – za późno, aby zapobiec nadużyciom ze strony Cambridge Analytica.

Pod rządami RODO dalej nic się nie dzieje

Niezdolność Irlandii do ochrony dużych ilości danych osobowych jest jeszcze większa dziś, kiedy kraj ten jest głównym regulatorem odpowiedzialnym za ochronę informacji zdrowotnych, adresów e-mail, danych finansowych, statusów relacji i list "znajomych" milionów Amerykanów, Europejczyków i innych użytkowników z całego świata.

Już teraz urzędy ochrony danych z innych krajów wyrażają zaniepokojenie faktem, że w tym roku Irlandia nie poradziła sobie z problemem udostępniania danych z Facebooka aplikacji WhatsApp, którą firma Marka Zuckerberga kupiła w 2014 r.

Według UE Facebook wprowadził w błąd europejskich urzędników, którzy uwierzyli, że sieci nie będą wymieniać się informacjami – i tym samym wyzbyli się obaw, że po fuzji użytkownicy WhatsApp zostaną wciągnięci w sieć Facebooka.

Jednak w 2016 r. niemiecki sąd ustalił, że Facebook i WhatsApp wymieniają się danymi i zabronił takiej aktywności w stosunku do niemieckich użytkowników. Tymczasem kiedy zaczęło obowiązywać RODO, a jego głównym organem nadzorczym w stosunku do Facebooka została Irlandia, okazało się, że niemiecki zakaz jest niewykonalny.

Dziś władze Niemiec twierdzą, że znowu dochodzi do wymiany danych i że Irlandia musi coś z tym zrobić. Irlandzcy urzędnicy oświadczyli jednak, że wierzą w to, iż Facebook i WhatsApp nie dzielą się informacjami w celu "sugerowania nowych 'znajomych' i wzmacniania skuteczności reklam".

Tymczasem Facebook skorzystał z tego, że w maju ubiegłego roku Irlandia przejęła rolę głównego regulatora spraw związanych z ochroną danych, aby ponownie wprowadzić narzędzie do rozpoznawania twarzy, które wcześniej zostało w UE zakazane z obawy, że zdjęcia będą wykorzystywane do śledzenia ludzi bez zgody z ich strony.

Facebook twierdzi wprawdzie, że nie wykorzysta danych ze zdjęć, jeśli nie dostanie świadomej zgody konkretnej osoby – jednak urzędy ochrony danych innych państw UE i prawnicy zajmujący się kwestiami prywatności uważają, że samo przechowywanie takich zdjęć zgodnie z zasadami RODO oznacza nieuprawnione gromadzenie danych. Choć władze Irlandii twierdzą, że podzielają te obawy i że zaczęły już "wstępne analizy", nie uruchomiły jak dotąd formalnego dochodzenia w tej sprawie.

Podobnie jak w żadnej innej powiązanej sprawie: pomiędzy majem 2018 r., kiedy weszło w życie RODO, a styczniem 2019 r. złożono w Irlandii 1928 skarg dotyczących naruszenia prywatności danych osobowych. W tym czasie liczba działań podjętych przez Irlandię przeciwko firmom sektora Big Tech wyniosła ZERO.

Google z kolei wywołał gniew regulatorów w innych krajach Wspólnoty, nie prosząc o zgodę na wzajemne udostępnianie danych pomiędzy szybko rozwijającą się linią jego produktów, takich jak YouTube, Google Photos, Gmail i inne.

Irlandzki regulator tłumaczy się

Irlandzki urząd ochrony danych odmówił wszczęcia postępowania przeciwko firmie, która większość swoich działań w Europie, na Bliskim Wschodzie i w Afryce prowadzi właśnie z Irlandii. Urzędnicy argumentowali, że Google nie zakończyło jeszcze formalności, które dałyby irlandzkim organom nadzoru możliwość "sprawowania nadzoru". Formalności ostatecznie zamknięto w styczniu bieżącego roku, ale jak dotąd Irlandczycy nie ogłosili wszczęcia postępowania.

Krytycy, między innymi władze Niemiec, twierdzą, że irlandzka Data Protection Commission miała jednak uprawnienia do wszczęcia takiego postępowania bez zgody Google – i że powinna była to zrobić. A w międzyczasie Francja nałożyła na firmę pierwszą grzywnę w ramach przepisów RODO – wyniosła ona 50 milionów dolarów.

Helen Dixon, szefowa irlandzkiej Data Protection Commission (DPC), odmówiła udzielenia nam wywiadu. Jej rzecznik, Graham Doyle, w odpowiedzi na nasze pytania napisał, że komisja traktuje swoje zadania bardzo poważnie i prowadzi obecnie 16 dochodzeń w sprawach skarg na firmy takie jak Twitter, WhatsApp, Instagram, LinkedIn i Apple, a także siedem dotyczących Facebooka.

Z e-maila dowiedzieliśmy się również, że DPC to "jeden z najlepiej finansowanych urzędów ochrony danych w Europie", zawsze gotowy "nakładać grzywny i stosować zdecydowane środki tam, gdzie jest to niezbędne".

Doyle napisał także, że komisja – która wcześniej była tak mało znana, że miała siedzibę w małym biurze nad sklepem w wiosce Portarlington – przyjmuje obecnie do pracy najlepszych ekspertów w branży, aby dołączyli do ok. 140 osób pracujących w jej tymczasowym biurze w Dublinie. Docelowo liczba pracowników na wzrosnąć do 180.

Rzecznik zauważył także, że agencja ma do dyspozycji twarde środki, takie jak grzywny w wysokości do 4 proc. rocznych przychodów firmy na całym świecie i zapewnił, że nie zabraknie jej woli do egzekwowania zasad ochrony danych osobowych, jako przykład podając sprawę jeszcze sprzed wprowadzenia RODO, kiedy zmuszono portal LinkedIn do usunięcia danych osób nie będących członkami.

Doyle zdecydowanie odrzucił jakiekolwiek sugestie, że jego urząd jest nadmiernie przyjazny wobec firm, które ma nadzorować, dodając jednak, że "strony zainteresowane kwestiami ochrony danych nie zawsze we wszystkim się zgadzają, a my to szanujemy".

Nie zmienia to faktu, że regulatorzy z innych krajów UE – zwłaszcza z Niemiec – pozostają sceptyczni, utrzymując, iż Irlandia zaniedbuje poważne skargi i stwarza ryzyko powstania w Europie strefy "wolnej od regulacji". Podobnego zdania są niezależni eksperci, znający działania DPC.

Max Schrems, austriacki działacz na rzecz ochrony prywatności, stojący za wieloma poważnymi pozwami przeciwko wielkim firmom technologicznym, uważa, że irlandzkie podejście do tych spraw w zasadzie nie zmieniło się od 2012 r.

– W gruncie rzeczy można powiedzieć, że dziś sprytniej nic nie robią – komentuje, przypominając, że jego skarga na transatlantyckie udostępnianie danych została odrzucona przez irlandzki urząd ochrony danych w 2013 r., choć później europejskie sądy przyznały mu rację, co ostatecznie doprowadziło opracowania porozumienia znanego jako "Safe Harbor".

Tymczasem Irlandia nadal stosuje podejście do przepisów bardziej przyjazne dla korporacji niż ma to miejsce w przypadku innych krajów UE: wybiera raczej negocjacje niż sankcje, częściej wystosowuje listy pytań niż przeprowadza kontrole na miejscu.

Do października ubiegłego roku na przykład Data Protection Commission nie wysłała swoich agentów do centrali Facebooka w Dublinie, mimo wielu trwających dochodzeń – tak twierdzi nasz informator, który zastrzegł sobie anonimowość.

Zamiast bardziej zdecydowanie szukać odpowiedzi, urząd zadowolił się "aktualizacjami" z centrali firmy – informacjami, które często nie zawierają w zasadzie żadnych informacji i które nie znalazły się w publicznych oświadczeniach. Zarówno Facebook jak DPC odmówiły odpowiedzi na pytanie, czy od 2011 r. miały miejsce jakiekolwiek wizyty przedstawicieli urzędu w centrali firmy.

Słabości irlandzkich regulatorów

Mniej więcej w tym samym czasie Francja umieściła w biurach Facebooka własnych urzędników, aby monitorować wysiłki firmy na rzecz zwalczania mowy nienawiści i treści terrorystycznych, co stanowiło podstawowy problem w wielu krajach, gdzie terroryści komunikowali się za pośrednictwem mediów społecznościowych, a szerzenie mowy nienawiści prowadziło do aktów przemocy na tle rasowym czy religijnym.

Jednak Francja nie ma żadnych uprawnień do egzekwowania tych standardów poza własnymi granicami.

Organizacje monitorujące kwestie związane z ochroną prywatności także wyrażają obawy związane z faktem, że w 2014 r. Helen Dixon – irlandzka pracowniczka służby cywilnej, bez doświadczenia w dziedzinie egzekwowania prawa – zastąpiła Billy’ego Hawkesa, który nadzorował audyt Facebooka i wykazał, że portal udostępnia dane użytkowników zewnętrznym twórcom aplikacji.

Część prawników uważa, że gdyby Irlandia poważnie podchodziła do łamania zasad ochrony prywatności, poszłaby za przykładem Wielkiej Brytanii, wyznaczając zewnętrznego specjalistę z doświadczeniem w zakresie egzekwowania prawa lub dochodzeń regulacyjnych.

Co więcej, budżet urzędu kierowanego przez Helen Dixon nadzorowany jest przez irlandzkie ministerstwo sprawiedliwości – podczas gdy w innych krajach, na przykład w Wielkiej Brytanii, finansuje się je z opłat pobieranych od firm, które mają być nadzorowane. To zaś może sprawić, że Dixon – lub jakikolwiek przyszły szef tego urzędu – może być bardziej podatna na ingerencję urzędników rządowych, którzy od dawna pozostają w bliskich relacjach z dyrektorami firm z sektora Big Tech.

Korespondencja mailowa, ujawniona przez dziennikarzy "Irish Independent", wskazuje na to, że w 2014 r. dyrektor operacyjna Facebooka, Sheryl Sandberg, osobiście lobbowała u ówczesnego premiera Irlandii, Endy Kenny’ego, w sprawie wyboru szefa urzędu ochrony danych.

Teraz, kiedy niektóre dochodzenia powinny się już kończyć – w styczniu Dixon powiedziała dziennikarzom Bloomberga, że jej urząd ogłosi decyzje w połowie roku – DPC uruchamia "międzynarodowe konsultacje w sprawie strategii regulacyjnej", które zdaniem niektórych krytyków mogą być formą zachęcenia korporacji do krytyki działań urzędu.

Takie działania są typowe dla Helen Dixon, która – jak twierdzą jej krytycy – woli załatwiać sprawy polubownie niż podejmować publiczne działania, które jej zdaniem mogą prowadzić do niezwykle kosztownych procesów.

To zresztą uzasadniona obawa w sytuacji, w której wielkie firmy technologiczne dysponują znacznie większymi zasobami, niż rząd. Wartość giełdowa samego tylko Google jest ponad dwukrotnie większa (843 mld dol.), niż cały produkt krajowy brutto Irlandii (334 mld dol.) w 2017 r. Wartość giełdowa Facebooka z kolei wynosi 502 mld dol.

– Tego typu regulacje są szczególnie trudne dla kraju takiego jak Irlandia, bo jego wpływ na wielkie firmy jest mniejszy, niż w przypadku większych krajów – mówi Josephine Wolff, wykładowczyni polityki publicznej na Rochester Institute of Technology. – Gdyby Facebook ogłosił jutro, że wyprowadza się z Irlandii i zamyka swoją siedzibę w Irlandii, to miałoby ogromne konsekwencje polityczne i ekonomiczne dla całego kraju.

Europejska Dolina Krzemowa

Historia tego, jak kraj znany głownie z poezji i ciemnego piwa stał się globalnym żandarmem technologicznym, sięga czasów II wojny światowej.

Jako państwo neutralne Irlandia po wojnie nie była zniszczona, ale jej gospodarka była w fatalnym stanie, a perspektywy na przyszłość – żadne. Dostęp do środków z planu Marshalla miała niewielki, nie posiadała także niemal żadnej bazy przemysłowej – głównie dlatego, że Wielkiej Brytanii zależało na utrzymywaniu katolickiego południa Irlandii jako kraju głównie rolniczego (Irlandia uzyskała niepodległość od Wielkiej Brytanii dopiero w 1919 r.).

Szanse na budowę od zera własnego przemysłu w 250 lat po rozpoczęciu europejskiej rewolucji przemysłowej były niewielkie, więc władze Irlandii postawiły na pielęgnowanie kontaktów z krajami wysoko uprzemysłowionymi.

Pod koniec lat 50. XX w. zaczęła się tu transformacja gospodarcza: odejście od protekcjonizmu na rzecz wolnego handlu i zachęcania zagranicznych inwestorów. Najważniejszym partnerem były Stany Zjednoczone, do których emigrowały całe pokolenia Irlandczyków (w USA mieszkało ich więcej, niż w samej Irlandii).

Tak zaczęła się obecność amerykańskich korporacji w Irlandii. Irlandzka Agencja Rozwoju (IDA) wysyłała do USA dziesiątki agentów, których zadaniem było zapraszanie do Irlandii amerykańskich firm – od Nowego Jorku po San Francisco.

Jednym z tych "misjonarzy" był Larry Mone, były księgowy, który wybrał pracę w Agencji Rozwoju, bo – jak sam mówił – był "bardzo kiepskim księgowym".

Po krótkim okresie spędzonym w Chicago Mone trafił do biura IDA w Dolinie Krzemowej. On i jego koledzy starali się "łowić" przedstawicieli rosnących w siłę firm komputerowych – między innymi szefa Microsoftu – i zapraszać ich do Irlandii.

– Kierował nami niemal mesjański zapał, aby ściągać do Irlandii firmy, które stworzą tu nowe miejsca pracy – opowiada Mone, który dziś jest już na emeryturze i mieszka w Palo Alto.

Lista firm była ułożona alfabetycznie – Mone kontaktował się z firmami od G do O, a więc między innymi z takimi gigantami jak Microsoft czy Intel, które ostatecznie rzeczywiście zainwestowały w Irlandii. Apple zbudował swoją pierwszą fabrykę w Cork w 1980 r., a po nim pojawiały się tu kolejne marki.

Zasady były proste: każdy produkt eksportowany z Irlandii miał być nieopodatkowany. Później, kiedy zmieniło się to pod naciskiem UE, 10-procentowy podatek liniowy był równoważony przez inne ulgi i ustępstwa.

Jeśli do tego dodać tanią (i mówiącą po angielsku) siłę roboczą i tanią ziemię, trudno się dziwić, że amerykańskie firmy chętnie operowały z Irlandii, bo pozwalało im to docierać do milionów europejskich konsumentów bez konieczności płacenia wysokich podatków korporacyjnych we Francji, Niemczech czy Holandii.

IDA stosowała także inne metody, takie jak zapraszanie szefów wielkich firm technologicznych na wycieczki po Irlandii, w czasie których świetnie się bawili, pili irlandzką whiskey i – jak mówi Mone – wracali do domów pijani i zakochani w Zielonej Wyspie. Nie bez znaczenia było także to, że Irlandia i Stany Zjednoczone mają ten sam system prawny.

Ale podstawowy argument od lat pozostaje niezmienny: brak przymusu dzielenia się znaczącą częścią dochodów z irlandzkim urzędem skarbowym. – Bądź co bądź to są firmy, których celem jest zarabianie – komentuje Mone.

W czasach, kiedy w Irlandii pojawiały się kolejne firmy technologiczne, kwestie ochrony danych nie były brane pod uwagę – wiadomo jednak, że Irlandczycy robili wszystko, co w ich mocy, aby stworzyć atmosferę przyjazną dla tej branży. W efekcie, jak mówi Mone, w ciągu kolejnych 30 lat Irlandia stała się 51. stanem USA.

Google i Facebook pojawiły się w Irlandii w pierwszej dekadzie XXI w. Dopiero kiedy korzystne rozwiązania podatkowe zaczęły być kwestionowane przez Komisję Europejską (Apple zmuszone było zapłacić rządowi irlandzkiemu 13 mld dol. zaległych podatków), regulacje zaczęły budzić obawy.

Irlandia wciąż jest pobłażliwa

W irlandzkiej ustawie o ochronie danych z 1995 r. brakowało istotnych mechanizmów egzekwowania przepisów – do tego stopnia, że przed aferą Cambridge Analytica Billy Hawkes, ówczesny szef DPC, nie miał żadnych prawnych możliwości stosowania jakichkolwiek sankcji czy kar wobec firm, które miał nadzorować. Jego następczyni, Helen Dixon, w 2015 r. nadal była zwolenniczką pobłażliwej polityki.

W przypadku pojawienia się jakichkolwiek problemów – jak miało to miejsce podczas audytu Facebooka z 2011 r., kiedy zwrócono uwagę na udostępnianie danych zewnętrznym twórcom aplikacji – amerykańskie firmy miały potężną polisę ubezpieczeniową: łatwy dostęp do czołowych irlandzkich polityków.

Robią to albo bezpośrednio, albo poprzez Amerykańską Izbę Handlową w Dublinie, która nadal odgrywa ogromną rolę w kształtowaniu kierunku irlandzkiej polityki. Dyrektorzy firm technologicznych mieli numer telefonu komórkowego Hawkesa i zawsze mogli do niego zadzwonić.

Zdaniem Sandy’ego Parakilasa, byłego dyrektora operacyjnego Facebooka, który opuścił firmę w 2012 roku, ta przyjazna atmosfera wyjaśnia, dlaczego na przykład Facebook podwoił swoją obecność w Irlandii w pierwszej dekadzie XXI w. – To był po prostu kraj o najmniejszej ilości kontroli i regulacji – mówi Parakilas, obecnie pracujący dla Apple.

Pierwszy wielki audyt Facebooka – 2011 r.

Ta sytuacja została poddana próbie w czasie audytu firmy w Irlandii w 2011 r. Zastępca Hawkesa, Gary Davis, w związku ze wzrostem ilości skarg na Facebooka, podjął się najprawdopodobniej najbardziej dokładnej analizy praktyk prywatności tej firmy. Szczegółowa kontrola trwała trzy miesiące, urzędnicy odwiedzali między innymi dublińską centralę Facebooka, aby badać sprawę na miejscu.

Pierwszy raport, opublikowany w grudniu 2011 r., wzywał do wprowadzenia kilkudziesięciu zmian i poprawy praktyki ochrony prywatności, wspomniano w nim między innymi o kwestii udostępniania danych aplikacjom firm zewnętrznych.

"Nie sądzimy, żeby przestrzeganie przez deweloperów najlepszych praktyk lub deklarowanych zasad było wystarczające, aby zapewnić bezpieczeństwo danych użytkowników", napisali autorzy raportu. "Oczekujemy, że FB-I [Facebook Ireland] podejmie dodatkowe kroki, aby uniemożliwić aplikacjom dostęp do informacji o użytkowniku – innych niż te, w przypadku których użytkownik udzielił odpowiedniego zezwolenia."

Parakilas, który był wówczas w Facebooku osobą odpowiedzialną za kwestie dotyczące polityki prywatności, mówi, że ta krytyka nie zrobiła na firmie dużego wrażenia. Facebook odpowiedział na raport z audytu "w sposób profesjonalny", ale nie czuł się zmuszany do dokonywania zasadniczych zmian. Kiedy Parakilas próbował zwracać uwagę na problemy wynikające z kluczowych ustaleń raportu, został zlekceważony przez kadrę kierowniczą wyższego szczebla w Facebooku.

Zgodnie z tym co później zeznała Helen Dixon przed komisja rządową, w tym czasie Facebook rozmawiał o wynikach audytu z irlandzkimi urzędnikami. W efekcie DPC zeszła firmie z drogi i wystawiła jej pozytywna ocenę.

– Nawet nie zbliżyli się do tego, czego byście chcieli – mówi Parakilas, mając na myśli Komisję. On sam odszedł z Facebooka w 2012 r., a dziś nie ma wątpliwości, że podejście Irlandii do tych regulacji zdecydowanie się zmieniło. – Nie ulega wątpliwości, że w tym związku to Facebook ma więcej do powiedzenia – komentuje.

Graham Doyle, zapytany o to, czy Irlandia zrobiła wystarczająco dużo, by powstrzymać skandal z Cambridge Analytica, odpowiada, że komisja zrobiła tyle, ile mogła, w ramach swoich uprawnień, po prostu odnotowując problem z aplikacjami firm zewnętrznych i żądając zmian zmian w polityce prywatności Facebooka.

W komentarzu dla POLITICO rzecznik Faceboka powiedział, że firma "zastosowała się w pełni" do wszystkich żądań i podkreślił, że irlandzki urząd ochrony danych osobowych nigdy nie zażądał żadnych zmian, które mogłyby zapobiec skandalowi Cambridge Analytica.

Facebook pręży muskuły

W latach, które nastąpiły po audycie Davisa, zażyłość między Facebookiem a Irlandią wzniosła się na nowy poziom.

Kiedy w 2018 r. wybuchł skandal Cambridge Analytica, Wielka Brytania wszczęła dochodzenie i ukarała firmę grzywną – podczas gdy Irlandia jedynie wydała zalecenia. Kilka miesięcy po tym, jak Mark Zuckerberg, dyrektor generalny Facebooka, składał zeznania przed Kongresem USA i Parlamentem Europejskim, firma ogłosiła budowę nowego 14-akrowego kampusu w Dublinie, a także otwarcie kilku nowych centrów danych w hrabstwie Meath na północ od stolicy Irlandii.

Kwestia tego, w jaki sposób Irlandia będzie stosować nowe zasady ochrony prywatności w ramach RODO, zaprzątała głowy szefów Facebooka już w 2014 r. Tak się akurat złożyło, że Irlandia była w trakcie wyboru zastępcy Hawkesa – nowego głównego inspektora danych osobowych.

Sprawą zajęła się sama Sheryl Sandberg, szefowa operacyjna Facebooka, lobbując u ówczesnego irlandzkiego premiera Kenny’ego przy okazji Światowego Forum Ekonomicznego w Davos, a później także w jej biurze w Menlo Park w Kalifornii.

Według e-maili, które zdobyli dziennikarze "Irish Independent" na podstawie prawa o dostępie do informacji, Sandberg chciała wiedzieć, czy następca Hawkesa będzie w tej roli "równie silny jak on". Sugerowała też, że gdyby dokonano niewłaściwego wyboru, mogłoby się to odbić na atrakcyjności Irlandii jako miejsca inwestycji branży technologicznej.

"Istnieje ryzyko, że firmy na nowo przeanalizują swoje strategie inwestycyjne na rynku UE" – pisała w czerwcu 2014 r. w e-mailu do Kenny’ego, dodając, że szefem irlandzkiego urzędu powinien być ktoś, kto "nawiązałaby solidną, roboczą współpracę z firmami takimi jak nasza".

Wybór Helen Dixon, byłej urzędniczki państwowej, prawniczki, nie posiadającej jednak doświadczenia w egzekwowaniu prawa, doskonale pasował do wizji Sandberg.

Przed objęciem stanowiska jednego z najważniejszych na świecie regulatorów polityki prywatności, Dixon pracowała cztery lata dla amerykańskiej firmy Citrix, producenta oprogramowania, a potem dla znanego z przyjaznego podejścia do korporacji irlandzkiego ministerstwa handlu, przemysłu i innowacji.

Europa się denerwuje

Pojednawcze podejście Irlandii powoduje tarcia z innymi urzędami ochrony danych w UE. Po tym, jak w styczniu francuski urząd nałożył na Google karę w wysokości 50 milionów dolarów za nieprzestrzeganie RODO, jego niemiecki odpowiednik z Hamburga stwierdził, że Irlandia powinna przeprowadzić w tej sprawie śledztwo.

W osobnym oświadczeniu dla POLITICO niemiecki urząd podkreślił "różnice" w sposobie, w jaki władze irlandzkie i niemieckie interpretują i egzekwują przepisy UE, zwracając uwagę szczególnie na technologię rozpoznawania twarzy przez Facebooka i wymianę danych między WhatsApp, a Facebookiem.

"Niestety, nie udało się na razie na poziomie UE ustanowić takiego poziomu ochrony danych, jaki egzekwowaliśmy w postępowaniach przed sądami narodowymi” – napisał profesor Johannes Caspar, szef hamburskiego urzędu. „Po zatrzymaniu wymiany danych użytkowników między WhatsApp a Facebookiem, ta ostatnia firma wykorzystała wprowadzenie w życie RODO jako okazję do powrotu do swojej poprzedniej praktyki”.

Zdaniem Caspara powodem do niepokoju są także ogłoszone przez Zuckerberga plany połączenia WhatsApp, Messengera i Instagrama. Niemieckie ministerstwo sprawiedliwości ostrzega, że doprowadzi to do monopolu i wzywa do zastosowania europejskiego prawa antymonopolowego.

Google, Facebook, Twitter i inne tego typu firmy, zarabiają pieniądze zbierając ogromne ilości danych na temat użytkowników – danych, które są później wykorzystywane do precyzyjnego kierowania do nich reklam.

Dzięki danym zebranym na Facebooku reklamodawca może wskazać niezwykle szczegółowe kategorie użytkowników – określić ich wiek, orientację seksualną, problemy zdrowotne czy przekonania polityczne. Technologia ta pozwoliła firmom technologicznym wkroczyć na rynek reklamy internetowej, sprawiając, że stały się gigantami wartymi miliardy dolarów.

Polecamy: Całość artykułu POLITICO w oryginale, wraz ze szczegółami sporu na temat technologii rozpoznawanie twarzy

Redakcja: Michał Broniatowski