EN

Od organizacji

Sami nie poradzicie. I nie musicie.

Siedemnaście lat Fundacji Panoptykon. Co robi organizacja praw cyfrowych, kiedy po drugiej stronie stoi firma z 87 tysiącami pracowników i rocznym przychodem Polski.

14 minut czytania

17 kwietnia 2009 roku w Warszawie rozpoczęła działalność Fundacja Panoptykon. Statut — sporządzony aktem notarialnym kilka tygodni wcześniej, 5 marca 2009 — podpisała czwórka osób po studiach prawniczych i humanistycznych: Piotr Drobek, Krystian Legierski, Małgorzata Szumańska i Katarzyna Szymielewicz. Pomysł zasugerował im kilka miesięcy wcześniej Adam Bodnar, wtedy jeszcze ekspert Helsińskiej Fundacji Praw Człowieka, później rzecznik praw obywatelskich (2015–2021), a w latach 2023–2025 minister sprawiedliwości. Nazwa — zapożyczona od Jeremy'ego Benthama i spopularyzowana przez Michela Foucault — brzmiała wówczas jak intelektualny żart. „Panoptykon" w języku polskim oznaczał okrągłą wieżę w środku XVIII-wiecznego więzienia. W 2009 roku nikt z zakładających nie przewidywał, że ta metafora za dekadę stanie się dosłowna, a za dwie — łagodna.

Pierwsze tematy, którymi zajęła się Fundacja Panoptykon, były prowincjonalne w skali dzisiejszej debaty: warszawska karta miejska, która zbiera dane o przejazdach pasażerów; monitoring wizyjny w centrach polskich miast. Za siedemnaście lat Panoptykon będzie prowadził precedensową sprawę przeciwko IAB Europe w TSUE, koordynował list otwarty 126 europejskich organizacji przeciwko Digital Omnibus, kwestionował weto prezydenta Karola Nawrockiego dla polskiej ustawy wdrażającej DSA, i składał wnioski o usunięcie billingów telekomunikacyjnych, które mają doprowadzić do podważenia polskiej retencji danych w Trybunale Sprawiedliwości UE. Ta sama organizacja. Ten sam telefon pod numerem na ul. Orzechowskiej 4/4 w Warszawie.

Ten esej jest o tym, co dzieje się między „polską kartą miejską" a „Digital Omnibus". O tym, dlaczego 33 sprawy w tej bazie nie załatwią się same — i dlaczego wy, czytający, nawet najbardziej uważni, nie załatwicie ich w pojedynkę. Jest też o tym, co konkretnie robi organizacja praw cyfrowych, dlaczego akurat ten gatunek organizacji pozarządowej jest potrzebny, i co w tej architekturze jest waszą rolą — a co nią nie jest.

Dlaczego fundacja, a nie masowy ruch

Pierwsze pytanie, jakie zadaje sobie każdy, kto czyta o Panoptykonie, EDRi, NOYB, EFF albo Access Now, brzmi: dlaczego w tym polu nie ma masowego ruchu społecznego? Ekologowie mają miliony członków. Obrońcy zwierząt mają miliony członków. Prawa cyfrowe — nawet w kraju, w którym niemal każdy mieszkaniec ma konto na platformie Big Techu, nawet po Cambridge Analytica, po Pegasusie, po Facebook Files — mają kilkadziesiąt tysięcy aktywnych sympatyków w Polsce i kilkaset tysięcy w całej Europie. To nie jest porażka organizatorska. To jest konsekwencja struktury problemu.

Inwigilacja korporacyjna ma jedną cechę, której nie ma żaden klasyczny temat praw człowieka: jest niewidoczna w chwili, w której zachodzi. Policjant bije manifestanta na ulicy — widzisz. Zakład chemiczny zrzuca ścieki do rzeki — widzisz. Algorytm Facebooka kategoryzuje cię jako osobę podatną na reklamy antydepresantów, bo przez trzy tygodnie klikałaś w treści o niepokoju — nie widzisz. Żeby zobaczyć, musisz mieć zaplecze techniczne, prawne, językowe i badawcze, którego przeciętna osoba nie ma i nie musi mieć. Masowy ruch potrzebuje wroga, którego widać. Panoptykon spędził siedemnaście lat na tym, żeby tego wroga widocznym uczynić.

Druga sprawa: asymetria kompetencji. RODO ma 99 artykułów, DSA ma 93 artykuły, DMA ma 54 artykuły, AI Act ma 113 artykułów. Każdy z tych aktów jest napisany w języku, który rozumieją ludzie po specjalistycznych studiach z prawa UE, a nie osoba, która o swoich prawach dowiaduje się, bo przyszedł e-mail „zaktualizowaliśmy regulamin". Kiedy Meta pisze odpowiedź na skargę złożoną przez pojedynczego użytkownika, pracuje nad nią zespół prawników, których godzinowa stawka przekracza miesięczną emeryturę tego użytkownika. Obywatel pozostawiony sam ze swoimi prawami podstawowymi w ekosystemie, w którym ma po drugiej stronie korporację o budżecie większym niż PKB średniego państwa europejskiego, nie ma szans. I nie powinien mieć szans — nie od tego są prawa podstawowe, żeby każdy sam ich bronił.

Dlatego fundacja, a nie masowy ruch. Fundacja w tym modelu nie zastępuje obywateli. Wykonuje pracę, której nie da się zlecić w crowdsourcingu: czyta projekty ustaw akapit po akapicie, pisze opinie dla ministerstwa cyfryzacji, udziela się w grupach roboczych przy Komisji Europejskiej, składa skargi formalne, prowadzi postępowania sądowe, które ciągną się po siedem lat. Kampania, manifestacja, petycja — to są narzędzia, które mogą fundację wzmocnić, ale nie mogą jej zastąpić. Bez tej powolnej, niewidocznej, rzemieślniczej pracy, 33 karty w tej bazie pozostają jedynie świadectwem — nie stają się podstawą zmiany.

Trzy narzędzia: monitoring, sądy, rzecznictwo

Organizacja praw cyfrowych, żeby być skuteczna, musi robić jednocześnie trzy różne rzeczy, z trzech różnych logik operacyjnych, za pomocą trzech różnych kompetencji. Żadna z nich samodzielnie nie wystarczy. Brak jednej z nich okalecza pozostałe dwie.

Pierwsza noga to monitoring i badania. W Panoptykonie prowadzi ją dzisiaj głównie Anna Obem, dyrektorka zarządzająca, która od 2018 roku opublikowała na stronie panoptykon.org ponad pięćset tekstów — średnio jeden co tydzień, przez dekadę. Obem pisze newsletter „PanOptyka", który trafia co miesiąc do kilku tysięcy skrzynek z uwagą, której nie znajdziecie w żadnej komercyjnej rozsyłce: „Wysyłamy co miesiąc i nie spamujemy. Nie śledzimy kliknięć. Tylko walka o prywatność, zero ściemy. W wysyłce jesteśmy niezależni od Google i platform e-mail marketingowych." To nie jest deklaracja marketingowa. Jest to techniczny opis tego, czym Panoptykon różni się od dziesięciu tysięcy innych organizacji, które też twierdzą, że „szanują prywatność".

Do monitoringu należą też raporty flagowe, które w środowisku akademickim traktowane są jako źródła pierwszego rzędu: Profiling the Unemployed in Poland (2015) — pierwsze polskie studium algorytmicznej dyskryminacji, badające profil, który urzędy pracy budowały o osobach bezrobotnych, żeby decydować o ich wsparciu; Who (really) targets you? Facebook in Polish election campaigns (2019); Algorytmy traumy (2022), eksperyment z Piotrem Sapieżyńskim z University of Northwestern, który pokazał, że użytkownik nawet przy pełnym miesiącu wysiłku nie ma realnego wpływu na to, co Facebook mu pokazuje; Fixing Recommender Systems (2023), przygotowany z Irish Council for Civil Liberties i People vs Big Tech. To są dokumenty, które potem cytuje Komisja Europejska, Parlament Europejski, sądy państwowe. Organizacja, która nie produkuje własnych faktów, jest skazana na komentowanie cudzych.

Druga noga to sprawy sądowe. Tutaj w Panoptykonie pracuje Wojciech Klicki, prawnik i kampanier, z Dorotą Głowacką, Karoliną Iwańską, Dominiką Chachułą, wspólnie z Pawłem Litwińskim (prawnik zewnętrzny). Kluczowe sprawy, które ciągną się latami:

  • Panoptykon v. IAB Europe (od 2019) — skarga na Transparency and Consent Framework, protokół używany przez tysiące stron internetowych do zbierania zgód na cookies. Sprawa trafiła do TSUE i w 2023 roku Trybunał orzekł, że TCF łamie RODO w podstawowym sensie. Po siedmiu latach pracy, protokół, który obsługiwał reklamę behawioralną w całej Unii, został uznany za niezgodny z prawem. Jeden z najważniejszych precedensów RODO w historii.
  • SIN v. Facebook (od 2018) — sprawa o przywrócenie konta Społecznej Inicjatywy Narkopolityki, które Facebook zablokował bez procedury odwoławczej. Polski precedens: prawo do kwestionowania arbitralnych blokad. Argumenty tej sprawy zostały potem wpisane do DSA jako artykuł 20.
  • Panoptykon v. BIK (2019) — wygrana w Polsce, która zobowiązała banki do wyjaśniania decyzji kredytowych opartych na profilowaniu. Pierwsze zastosowanie artykułu 22 RODO w polskim kontekście.
  • Kampania antyretencji (od 2025) — Klicki, Chachuła, Szymielewicz i Artur Kula składają wnioski do telekomów o usunięcie własnych danych bilingowych. Skargi do UODO, docelowo TSUE. Tło: polskie służby, według ujawnień Panoptykonu, sięgają po dane telekomunikacyjne około dwóch milionów razy rocznie, bez efektywnej kontroli sądowej.

Sprawa sądowa w prawie cyfrowym jest narzędziem specyficznym. Nie rozstrzyga konfliktu między dwiema stronami — rozstrzyga, czy firma w ogóle może robić to, co robi. Wyrok TSUE w sprawie Schrems II (2020) unieważnił ramy transferu danych między UE a USA nie dlatego, że Max Schrems, austriacki prawnik, miał jakiś szczególnie ważny interes osobisty — ale dlatego, że po jego skardze trybunał musiał się wypowiedzieć systemowo. Każdy wyrok w takiej sprawie wiąże miliony dalszych decyzji. Dlatego organizacje praw cyfrowych mówią o tym jako o legal mobilisation — prawo jako forma działania politycznego, nie obrony osobistej.

Trzecia noga to rzecznictwo polityczne. W Panoptykonie prowadzi ją głównie Katarzyna Szymielewicz, współzałożycielka i prezeska, wcześniej wiceprzewodnicząca European Digital Rights (2012–2020). Jej rola została udokumentowana w filmie Davida Berneta Democracy (2015), który pokazuje proces negocjacji RODO w Brukseli: z jednej strony lobbyści amerykańskich platform i europejskich branż, z drugiej strony kilkanaście osób z organizacji pozarządowych. Przez trzy lata. Tekst RODO, który dziś ma status konstytucyjny w prawie europejskim, jest wynikiem tamtej walki — z setkami akapitów, które poszły jedną drogą, a nie drugą, bo ktoś w pokoju Europejskiej Komisji na trzecim piętrze miał argument, którego nie mieli lobbyści.

Rzecznictwo polityczne nie jest protestem. Jest chodzeniem na spotkania, których nikt nie relacjonuje, z ludźmi, których nikt nie zna, i mówieniem im rzeczy, które są im technicznie potrzebne do podjęcia decyzji. Kiedy Szymielewicz w 2026 roku opisuje w LinkedIn poprawkę do DSA, o którą Panoptykon walczył w 2021 — obowiązek udostępnienia alternatywnego, nieopartego na profilowaniu systemu rekomendacyjnego na Very Large Online Platforms — dodaje zdanie: „We got it in the commissions but lost in plenary vote." Wygrali w komisjach. Przegrali na sesji plenarnej. Rzecznictwo polityczne polega na tym, że takie „przegrane" nie są końcem sprawy, tylko zapisem dla następnego razu. Pięć lat później Szymielewicz wraca do tej samej idei pod nazwą mandatory client-to-service interoperability.

Mapa europejska: kto co robi

Panoptykon nie działa sam, i gdyby działał sam, nie byłby skuteczny. Architektura egzekwowania praw cyfrowych w Europie opiera się na sieci organizacji, które dzielą pracę według kompetencji, jurysdykcji i specjalizacji. Bez tego podziału każda z nich musiałaby robić wszystko, co oznacza, że nie robiłaby niczego dobrze.

EDRi (European Digital Rights) — umbrella organisation z siedzibą w Brukseli, zrzeszająca dziś ponad pięćdziesiąt europejskich organizacji praw cyfrowych. Jej funkcja to nie prowadzenie własnych spraw, ale koordynacja pozycji w Brukseli: wspólne stanowiska w konsultacjach KE, wspólne listy otwarte, wspólne kampanie. Szymielewicz była wiceprzewodniczącą EDRi przez osiem lat — nie przez przypadek. Bez EDRi każda krajowa organizacja musiałaby indywidualnie pukać do drzwi tysiąca brukselskich urzędników. Z EDRi — dzieli się robotę i głos.

NOYB (None of Your Business) — organizacja Maxa Schremsa, założona w Wiedniu w 2017 roku, wyspecjalizowana w jednym: precedensowych sprawach RODO. NOYB tnie się przez Dublin, gdzie swoją europejską siedzibę mają Meta, Google, Apple, Microsoft, i gdzie dzięki mechanizmowi „jednego okienka" z artykułu 56 RODO trafiają praktycznie wszystkie skargi na te firmy. Bez NOYB — nie byłoby wyroków Schrems I (2015) i Schrems II (2020), które unieważniły kolejne ramy transferu danych do USA. To jest model „precision strike": mało spraw, ale każda z nich ma zmienić system.

Helsińska Fundacja Praw Człowieka — polski partner Panoptykonu w sprawach, w których styk praw cyfrowych i praw obywatelskich jest najostrzejszy. Pegasus: ujawnienie Citizen Lab z 2021 roku o inwigilacji polskich polityków opozycji, adwokatów, dziennikarzy, zostało w Polsce podjęte w koalicji HFPC, Panoptykon, Amnesty Polska. HFPC ma warsztat klasyczny (procesy przed ETPCz, strategiczne postępowania sądowe), który uzupełnia cyfrowy know-how Panoptykonu.

EFF (Electronic Frontier Foundation) — amerykański pierwowzór, założony w 1990 roku, o budżecie kilkudziesięciokrotnie większym niż budżet Panoptykonu. EFF prowadzi sprawy przed amerykańskimi sądami, w których precedensy (pierwsza poprawka, Fourth Amendment) są inne niż europejskie, ale w których firmy są te same. Dzięki EFF istnieje techniczna infrastruktura obrony prywatności, która jest open source i z której korzysta cały świat: Privacy Badger, HTTPS Everywhere, Let's Encrypt (we współpracy z Internet Society).

Access Now — międzynarodowa koalicja z biurami w Brukseli, Waszyngtonie, Kostaryce, Manili, Tunisie i Nairobi. Jej specjalizacja to obrona osób, których prawa cyfrowe są zagrożone konkretnie i natychmiast — dziennikarzy, aktywistów, sygnalistów, którzy padają ofiarą inwigilacji państwowej. Dostarcza też ekspertyzy w procesach legislacyjnych ONZ.

AlgorithmWatch (Berlin), AI Now Institute (Nowy Jork), La Quadrature du Net (Paryż), Big Brother Watch (Londyn), DSA Observatory (Amsterdam), Forbrukerrådet (Oslo, Norweska Rada Konsumentów, której raporty Deceived by Design z 2018 roku i Out of Control z 2020 roku stały się podstawą wielu europejskich postępowań) — każda z tych organizacji robi kawałek większej roboty. Raport Fixing Recommender Systems, który Panoptykon współtworzył w 2023 roku, jest wspólnym dziełem trzech organizacji z trzech krajów. Bez tej sieci żadna z nich sama nie zrobiłaby takiego raportu.

„Rozstrzelony" enforcement

Strategia prawna organizacji praw cyfrowych różni się od strategii pozwu zbiorowego amerykańskiego typu. W USA kancelarie, które prowadzą pozwy zbiorowe, koncentrują swoją pracę na jednym masowym postępowaniu — z oczekiwanym wynikiem w postaci ugody liczonej w miliardach dolarów. W Europie, ze względu na brak równoważnego mechanizmu (dyrektywa 2020/1828 o powództwach przedstawicielskich istnieje dopiero od 2023 roku i jest wdrażana nierówno), organizacje praw cyfrowych robią coś, co Szymielewicz nazywa „rozstrzelonym enforcement". Kilka spraw jednocześnie, w kilku krajach, pod kilkoma podstawami prawnymi, tak żeby nawet jeśli jedna utknie na lata w Dublinie, druga pójdzie przez Berlin, trzecia przez Paryż, czwarta wprost do Komisji Europejskiej.

Przykład: skarga IAB TCF. Panoptykon w 2019 roku złożył skargę wspólnie z Irlandzkim Council for Civil Liberties, belgijską LDH i Niemieckim Vereinem VZBV. Cztery organizacje, cztery jurysdykcje, jedna sprawa. Belgijski organ APD wydał pierwszą decyzję w 2022 roku. TSUE potwierdził w 2023 roku. Mechanizm TCF, który obsługiwał do 80 procent reklamy behawioralnej w Europie, musiał zostać przepisany. Ani jedna pojedyncza organizacja nie utrzymałaby takiej sprawy przez siedem lat w czterech jurysdykcjach. Razem — utrzymały.

Drugi przykład: Clearview AI (karta E05 w tej bazie). Clearview — amerykańska firma, która zbudowała bazę 30 miliardów zdjęć twarzy, zebranych bez zgody z publicznych zasobów internetu, i sprzedawała rozpoznawanie twarzy policjantom i firmom prywatnym — została ukarana przez CNIL (Francja, 20 mln euro), Garante (Włochy, 20 mln euro), HDPA (Grecja, 20 mln euro), ICO (Wielka Brytania, 7,5 mln funtów), AP (Holandia, 30,5 mln euro). Pięć postępowań, pięć jurysdykcji, w sumie ponad 100 milionów euro kar. Żadne z tych postępowań nie rozwiązało sprawy (Clearview nie płaci, odmawia uznania jurysdykcji, kontynuuje działalność w USA), ale każde z nich jest precedensem, który utrudnia jej dalsze rozszerzanie. Koordynacja między europejskimi regulatorami w tej sprawie została przygotowana przez EDRi i organizacje członkowskie.

Rozstrzelony enforcement ma jedną zaletę: jest odporny na przechwytywanie. Jeżeli Meta skutecznie blokuje postępowanie w Dublinie (jak to robi od lat), sprawa wraca do Niemiec, gdzie BfDI ma większą autonomię. Jeżeli francuska CNIL jest naciskana politycznie, skarga idzie do Włoch. Jeden front da się przegrać. Piętnaście frontów jednocześnie — znacznie trudniej.

Asymetria zasobów

Nie ma sensu udawać, że ta architektura działa dobrze. Działa najlepiej, jak umie, w warunkach systemowej asymetrii, której nie da się rozwiązać wolontariatem. Fundacja Panoptykon zatrudnia dziś około trzydziestu osób. Meta Platforms, Inc. zatrudnia około 87 tysięcy pracowników. Roczny budżet Panoptykonu to kilka milionów złotych — mniej niż miesięczny koszt jednego zespołu lobbystów Mety w Brukseli. Łączny budżet dziesięciu największych europejskich organizacji praw cyfrowych wynosi około 10 milionów euro rocznie. Sam Big Tech wydaje, według raportu Transparency International EU z 2023 roku, ponad 100 milionów euro rocznie na lobbing w Brukseli.

Ta asymetria nie jest przypadkiem. Jest strukturą. Firma, która zarabia na reklamach behawioralnych, może oddać procent przychodu na lobbing i nadal mieć marżę, której nie ma żaden inny sektor gospodarki. Organizacja pozarządowa, która walczy o prawa podstawowe, jest zależna od grantów, składek, czasem od indywidualnych darczyńców. Jeżeli grant wygasa — znika pięciu pracowników. Jeżeli pięciu pracowników znika — spada jedna z trzech nóg, i dwie pozostałe tracą stabilność.

Dlatego organizacje praw cyfrowych nie mogą działać w oderwaniu od regulatora. Rola regulatora — UODO w Polsce, DPC w Irlandii, CNIL we Francji, Komisji Europejskiej na poziomie DSA i DMA — polega właśnie na wyrównaniu tej asymetrii. Kiedy regulator jest słaby (polityczny, niedoinwestowany, rotacyjny, zależny od branży), to asymetria wzrasta. Kiedy jest silny (z autonomią instytucjonalną, budżetem, narzędziami egzekucyjnymi), to organizacja praw cyfrowych ma punkt oparcia. W Polsce UODO przez lata był tym pierwszym. W latach 2024–2025, za prezesa Mirosława Wróblewskiego, zaczyna być tym drugim. To nie jest drobiazg proceduralny. To jest różnica między „prawo istnieje w Dzienniku Ustaw" a „prawo obowiązuje".

Dziś, czyli w 2026: pięć otwartych frontów

Kiedy czytacie ten tekst, na biurkach w Panoptykonie leży pięć spraw, które w ciągu najbliższych dwunastu miesięcy rozstrzygnie się w tak lub w taki sposób. Każda z nich jest testem tego, czy architektura opisana wyżej rzeczywiście działa.

1. Polska retencja danych telekomunikacyjnych. Od 2016 roku polskie prawo wymaga od operatorów przechowywania bilingów wszystkich abonentów przez dwanaście miesięcy (obniżone w 2025 z 24 miesięcy po częściowej wygranej Panoptykonu). Służby sięgają po te dane około dwóch milionów razy rocznie, bez kontroli sądowej ex ante. Panoptykon złożył w kwietniu 2025 roku cztery pozwy o usunięcie danych — Klicki, Chachuła, Szymielewicz, Kula — które po odmowach operatorów i skargach do UODO mają trafić do TSUE. Trybunał już w sprawach Tele2 (2016), La Quadrature du Net (2020) i SpaceNet (2022) uznał ogólną retencję za niezgodną z prawem UE. Polska jest jednym z ostatnich państw, w których ten system jeszcze funkcjonuje.

2. Digital Omnibus. W listopadzie 2025 roku Komisja Europejska ogłosiła pakiet deregulacyjny, który pod szyldem „uproszczenia" proponuje zmianę definicji danych osobowych, ograniczenie obowiązków z AI Act, osłabienie egzekucji DSA. Panoptykon koordynuje list otwarty 126 europejskich organizacji, który określa tę propozycję jako cofnięcie o pięć lat. Cytat z listu: „Unia Europejska musi utrzymać z trudem wywalczone gwarancje ochrony cyfrowych praw człowieka." Proces legislacyjny w 2026 roku rozstrzygnie, czy dziesięć lat pracy nad europejskim modelem danych osobowych zostanie podtrzymane, czy rozmyte.

3. Weto prezydenta dla polskiej ustawy DSA. W listopadzie 2025 roku prezydent Karol Nawrocki zawetował ustawę wdrażającą Digital Services Act w Polsce, pod argumentem, że „zagraża wolności słowa". W kwietniu 2026 roku odbywa się trilog w Kancelarii Prezydenta z udziałem Panoptykonu (reprezentowanego przez Dorotę Głowacką), ministra Adama Andruszkiewicza i posła Bartłomieja Pejo. Na stole: procedura odwoławcza od blokad kont i treści — dokładnie ta, o którą SIN walczyło z Facebookiem od 2018 roku. Bez niej DSA w Polsce nie ma egzekucji, i obywatel polski pozostaje bez prawnej drogi do odzyskania konta.

4. AI Act — implementacja. W 2024 roku Parlament Europejski przyjął akt o sztucznej inteligencji, który wprowadza zakazy (biometryczne rozpoznawanie w miejscach publicznych, social scoring), obowiązki transparentności dla systemów wysokiego ryzyka, ograniczenia dla AI generatywnej. Do 2026 roku państwa członkowskie mają wdrożyć przepisy. Panoptykon pilnuje, żeby polska implementacja utrzymała pierwotne zakazy — nie przeszła w „lidera deregulacji", jak sugerowała w 2025 roku lobbystka Mety na panelu Forum Ekonomicznego w Karpaczu.

5. Chat Control. Inicjatywa KE zmierzająca do wprowadzenia obowiązku skanowania wszystkich wiadomości w komunikatorach (WhatsApp, Signal, Telegram) w celu wykrywania materiałów CSAM. Panoptykon, EDRi i koalicja kilkudziesięciu organizacji argumentują od 2022 roku, że propozycja w praktyce znosi szyfrowanie end-to-end i otwiera drogę do inwigilacji masowej. W 2026 roku propozycja wraca po kolejnej reformulacji.

Pięć spraw. Nie jest to przypadkowa lista. Każda z nich łączy którąś z 33 kart tej bazy z realnym procesem decyzyjnym, który w tym roku będzie rozstrzygnięty. Każda z nich potrzebuje: (a) monitoringu, żeby wiedzieć, co się dzieje; (b) postępowania sądowego, żeby wymusić interpretację; (c) rzecznictwa, żeby politycy nie cofnęli się pod presją lobbingu. Jeżeli któryś z tych trzech elementów zawiedzie — sprawa idzie nie tak, jak powinna.

Co może obywatel

Po tym wszystkim pozostaje pytanie, na które ten esej jest odpowiedzią najkrótszą: co z tego wszystkiego wynika dla was. Odpowiedź jest w trzech warstwach, od najmniej do najbardziej wymagającej.

Poziom pierwszy: samopomoc. RODO daje każdemu obywatelowi europejskiemu cztery uprawnienia, z których większość nigdy nie korzysta, bo nie wie, że je ma. Artykuł 15 — prawo dostępu, czyli żądania kopii wszystkich danych, które firma o was przetwarza. Artykuł 17 — prawo do usunięcia. Artykuł 21 — prawo sprzeciwu wobec profilowania marketingowego. Artykuł 22 — prawo do wyjaśnienia zautomatyzowanej decyzji (m.in. kredytowej, ubezpieczeniowej, rekrutacyjnej). Wzory wniosków są publicznie dostępne na stronach Panoptykonu, NOYB i UODO. Wysłanie jednego takiego wniosku zajmuje piętnaście minut. Firma ma miesiąc na odpowiedź. To jest poziom, na którym obywatel może działać sam i w którym efekt jest realny.

Poziom drugi: skarga. Jeżeli firma nie odpowiada, odpowiada źle, albo odpowiada, że „nie ma takich danych" (co często jest nieprawdą), obywatel ma prawo złożyć skargę do Urzędu Ochrony Danych Osobowych. W Polsce: druk online, bez opłat, bez adwokata. UODO ma obowiązek rozpatrzenia. Praktycznie: rozpatrzenie trwa wiele miesięcy, czasem lat, i często kończy się decyzją o braku naruszenia. Ale każda skarga jest elementem statystyki, na której oparte są późniejsze postępowania systemowe. Max Schrems, kiedy składał swoją pierwszą skargę na Facebook w 2013 roku, był studentem prawa w Wiedniu, działającym prywatnie. Z jego skargi powstało noyb. Z noyb powstały wyroki Schrems I i II.

Poziom trzeci: wsparcie organizacji. Od tego momentu obywatel przestaje być indywidualnym adresatem i staje się współfinansującym system egzekwowania. Składki dla Panoptykonu, HFPC, NOYB, EDRi są w sensie technicznym wymiennalne z podatkiem — z tą różnicą, że trafiają do organizacji, która w imieniu obywatela prowadzi walki, na które on sam nie miałby czasu, zasobów ani kompetencji. W Polsce 1,5 procenta podatku można przekazać na organizację pożytku publicznego — Panoptykon jest nią od wielu lat. Darowizny można odliczyć. W 2025 roku, po wygranej kampanii przeciwko przedłużeniu retencji, Panoptykon opublikował krótkie podsumowanie: kampania została wygrana, bo kilkaset osób zapłaciło po 50 złotych miesięcznie przez rok. Nie zwycięstwo potężnych sił. Zwycięstwo rozproszonej, cierpliwej koalicji zwykłych ludzi.

Trzeci poziom jest ważny z jeszcze jednego powodu. Fundacja, która jest zależna od grantów zagranicznych (Open Society Foundations, Luminate, Ford Foundation, European Commission), jest w pozycji strukturalnej, w której jej przyszłość zależy od decyzji instytucji, których nie wybierała. W momencie, w którym administracja Trumpa w 2025 roku cofnęła finansowanie wielu amerykańskich fundacji filantropijnych, kilka dużych organizacji praw cyfrowych w Europie musiało zredukować budżety. Organizacja utrzymywana przez obywateli kraju, w którym działa, jest organizacją, którą trudniej wyłączyć. Dlatego każdy miesięczny przelew po 20, 50, 100 złotych ma znaczenie, którego nie można przeliczyć na zasięg w mediach społecznościowych.

Argument za organizacjami

33 karty w tej bazie dokumentują to, czego pojedynczy obywatel nie zobaczy, nawet jeśli będzie bardzo uważny. Dlatego, że żeby to zobaczyć, trzeba mieć infrastrukturę: prawną, badawczą, techniczną, dziennikarską, polityczną. Organizacje praw cyfrowych — Panoptykon, EDRi, NOYB, EFF, HFPC, Access Now, AlgorithmWatch, Forbrukerrådet, La Quadrature, DSA Observatory — są tą infrastrukturą. Nie są zbawcami. Nie są samorządem. Nie są polityczną partią. Są wyspecjalizowanym, cierpliwym, słabo finansowanym aparatem, bez którego prawo napisane w Brukseli nie przekłada się na rzeczywistość.

Metafora, którą Katarzyna Szymielewicz rozwinęła w 2018 roku po Cambridge Analytica i do której wraca konsekwentnie od tamtej pory, brzmi: „W mediach społecznościowych naprawdę funkcjonujemy jak ludzka biomasa — przetwarzana w celach, które wyznacza ktoś inny — a nie jak klienci i odbiorcy informacji." Cyfrowa biomasa to nie określenie agresywne ani pesymistyczne. Jest techniczne: opisuje ontologiczny status człowieka w ekosystemie reklamy behawioralnej. Żeby z cyfrowej biomasy stać się z powrotem obywatelem-użytkownikiem (termin Szymielewicz z manifestu A New Deal for Data z 2019 roku), potrzebna jest zmiana struktury — nie jednostkowej postawy.

Tę zmianę struktury prowadzą organizacje. Ta zmiana jest realna: RODO istnieje, DSA istnieje, DMA istnieje, AI Act istnieje, wyroki TSUE w sprawach Schrems I, Schrems II, Tele2, La Quadrature, IAB TCF — wszystkie te rzeczy nie spadły z nieba. Są wynikiem piętnastu, siedemnastu, dwudziestu pięciu lat pracy kilkuset osób w kilkudziesięciu organizacjach, którzy robili jedną rzecz: pilnowali, żeby prawo napisane w jednym roku było jeszcze egzekwowalne w kolejnym.

W 2009 roku, kiedy Panoptykon zaczynał, świat cyfrowy wyglądał zupełnie inaczej niż dzisiaj, i kiedy ten tekst dotrze do was, w 2026 roku, będzie wyglądał inaczej niż w roku 2025. Jest jedna rzecz, której w tym ruchu nie będzie — nie będzie dnia, w którym powiedzą wam, że sprawa jest załatwiona. Nie będzie. Prawo cyfrowe jest placem budowy, który nigdy nie zostanie oddany do użytku. Organizacje praw człowieka są w tym ruchu osobami, które ten plac budowy pilnują. Samo pilnowanie nie wystarczy. Ale bez pilnowania nie byłoby niczego.

Ostatnie zdanie w tym eseju brzmi tak jak pierwsze w manifeście Szymielewicz z 2019 roku — jedyna różnica jest taka, że wtedy było w trybie rozkazującym, a dziś w trybie opisowym: „We need to reclaim the story that is told by our data." Odzyskać historię, którą opowiadają nasze dane. Nie przez to, że każdy z osobna ją odzyska. Przez to, że będziemy mieli organizacje, które ją odzyskują w naszym imieniu. Dlatego, że sami nie poradzimy. I — to jest dobra wiadomość — nie musimy.