EN

Od prawnika

Prawo działa tam, gdzie ktoś pilnuje

Dwie dekady europejskiego prawa ochrony danych widziane oczami praktyka: RODO istnieje, ale jego egzekwowanie istnieje selektywnie, a różnicę między tymi dwoma zdaniami robią konkretni ludzie w konkretnych sprawach.

15 minut czytania

Piszę ten tekst po dwudziestu latach praktyki w sprawach, które dziś nazywamy ochroną danych, choć na początku nazywało się to kontrolą operacyjną, billingami albo po prostu aktami. Dwie dekady — z których pierwsza przypadła na okres przed RODO, a druga, od 25 maja 2018 roku, na okres po. W Matrycy mają państwo przed sobą trzydzieści trzy udokumentowane sprawy. W tym tekście chciałbym opisać, co dzieje się między aktami a ich egzekwowaniem, gdy prawo jest dobre, a mimo to nic się nie zmienia.

Punkt wyjścia: prawo europejskie ochrony danych jest napisane lepiej, niż wielu z nas się spodziewało. Problem nie jest w artykułach — problem jest w tym, kto i gdzie je egzekwuje, a także w tym, czy obywatel, któremu paragrafy są dedykowane, ma realny dostęp do narzędzi, którymi je można uruchomić. Różnica między prawem na papierze a prawem w praktyce jest w Europie dziś strukturalna i to jest diagnoza, nie felieton.

Prawo, które już jest

Ogólne rozporządzenie o ochronie danych (Rozporządzenie 2016/679, RODO) jest aktem, który każdy prawnik zna na pamięć w zakresie kilkunastu artykułów. Art. 4 pkt 11 definiuje zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli". Art. 5 — zasady przetwarzania (minimalizacja, celowość, ograniczenie czasowe, rozliczalność). Art. 6 — zamknięty katalog sześciu podstaw prawnych, wokół którego toczy się większość sporów. Art. 22 — zakaz decyzji „wyłącznie zautomatyzowanych" w sprawach „istotnie wpływających". Art. 25 — ochrona danych w fazie projektowania i domyślnie, z którego dziś wyrasta język sprzeciwu wobec dark patterns. Art. 44–50 — transfery poza EOG. Art. 56 i 60 — mechanizm „jednego okienka". Art. 83 — kary do 20 mln euro albo 4% globalnego rocznego obrotu.

Do RODO dołożyły się kolejne akty. Akt o usługach cyfrowych (DSA, Rozporządzenie 2022/2065) — zarządzanie ryzykiem systemowym na VLOP-ach (art. 34–35), obowiązek alternatywnych systemów rekomendacyjnych nieopartych na profilowaniu (art. 38), zakaz interfejsów mylących (art. 25). Akt o rynkach cyfrowych (DMA, Rozporządzenie 2022/1925) — ograniczenie łączenia danych z różnych usług bez odrębnej zgody (art. 5), obowiązkowa interoperacyjność (art. 7). Akt o sztucznej inteligencji (AI Act, Rozporządzenie 2024/1689) — zakazy z art. 5, w tym biometrycznego rozpoznawania w czasie rzeczywistym, z katalogiem wyjątków, który w toku negocjacji rozrósł się na tyle, że zyskał w branży etykietę „czterdziestu wyjątków". Do tego dyrektywy: ePrivacy (2002/58/WE), LED (2016/680), dyrektywa o powództwach przedstawicielskich (2020/1828). I akt traktatowy — Karta Praw Podstawowych, art. 7 i art. 8, do których TSUE odwołuje się regularnie w wyrokach.

To jest dużo, ale „dużo" nie znaczy „skutecznie".

Prawo, które się egzekwuje

Zacznę od tych obszarów, w których coś się dzieje. Bo dzieje się — po prostu bardzo nierównomiernie.

Pierwszy obszar to łańcuch orzeczeń TSUE w sprawie retencji danych telekomunikacyjnych. W 2006 roku Unia przyjęła dyrektywę 2006/24/WE nakazującą operatorom telekomunikacyjnym przechowywanie danych o połączeniach przez okres od sześciu miesięcy do dwóch lat. W 2014 roku TSUE stwierdził nieważność tej dyrektywy w połączonych sprawach Digital Rights Ireland i Seitlinger (C-293/12 i C-594/12), wskazując, że ingerencja w prawa z art. 7 i 8 Karty jest nieproporcjonalna. W 2016 roku Trybunał doprecyzował to stanowisko w sprawie Tele2 Sverige (C-203/15 i C-698/15): państwa członkowskie nie mogą nakładać na operatorów obowiązku ogólnego i niezróżnicowanego przechowywania danych. W 2020 roku w La Quadrature du Net (C-511/18, C-512/18 i C-520/18) Trybunał utrzymał tę linię, dopuszczając jedynie wąsko określone wyjątki w sprawach bezpieczeństwa narodowego i w formie punktowej. W 2022 roku w SpaceNet (C-793/19 i C-794/19) potwierdził ponownie: retencja ogólna jest sprzeczna z prawem UE.

Znakomita konstrukcja doktrynalna. Tyle że w Polsce retencja ogólna — dwanaście miesięcy, wcześniej dwadzieścia cztery — istnieje i działa, a służby sięgają po te dane około dwóch milionów razy rocznie. Jedenaście służb ma ustawowe uprawnienie do żądania danych telekomunikacyjnych: Policja, ABW, CBA, SKW, SWW, Straż Graniczna, Żandarmeria Wojskowa, Służba Więzienna, SOP, KAS, CBŚP. Kontrola sądowa jest następcza i w praktyce fasadowa — operator nie wie, kto o co pyta, wnioski nie są motywowane, a sąd dowiaduje się ex post, jeśli w ogóle. W kwietniu 2025 roku grupa obywateli złożyła do telekomów wnioski o usunięcie własnych danych, skargi trafiły do UODO, a ich docelowym adresatem jest TSUE. Wyrok Digital Rights Ireland zapadł w kwietniu 2014, a polski ustawodawca przez jedenaście lat nie raczył dostosować ustawy. Polityka gra na zmęczenie materiału. Prawnik kampanier — bo tak określamy tę specjalizację — gra na cierpliwość.

Drugi obszar, w którym egzekwowanie działa, to sprawy Maxa Schremsa przeciwko transferom danych do Stanów Zjednoczonych. W 2015 roku TSUE obalił decyzję Komisji o adekwatności ram „Safe Harbor" (sprawa C-362/14, Schrems I). W 2020 roku obalił następcę Safe Harbor — ramę „Privacy Shield" — w wyroku C-311/18 (Schrems II). W obu przypadkach podstawą była ta sama analiza: amerykańskie prawo inwigilacyjne, zwłaszcza FISA 702 i Executive Order 12333, pozwala agencjom federalnym na dostęp do danych w sposób niemożliwy do pogodzenia z art. 7, art. 8 i art. 47 Karty Praw Podstawowych. Jedna osoba, austriacki prawnik, przez dwie dekady systematycznie obaliła dwie ramy transferu danych wiążące ponad 450 milionów obywateli z jedną z największych gospodarek świata.

Dla polskiej kancelarii, startupu, agencji PR, która używa GitHuba, AWS, OpenAI, Slacka, Zooma — czyli dla praktycznie każdej firmy świadczącej usługi intelektualne w 2026 roku — konsekwencje Schrems II są namacalne. Każdy taki transfer musi być oparty o standardowe klauzule umowne (SCC) uzupełnione o „dodatkowe środki" (Transfer Impact Assessment). W 2023 roku DPC, po interwencji EROD, nałożył na Meta Platforms Ireland karę 1,2 mld euro za kontynuowanie transferów po Schrems II bez adekwatnej podstawy (A07 w Matrycy). W lipcu 2023 Komisja przyjęła trzecią ramę — Data Privacy Framework, oparty o Executive Order 14086. Schrems już zapowiedział kolejną skargę, bo architektura FISA się nie zmieniła. Schrems III jest w toku.

Trzeci obszar to organy nadzorcze państw, które postanowiły pracować. Włoski Garante, francuski CNIL, grecki HDPA, brytyjski ICO, holenderski AP — łącznie ponad 98 mln euro kar nałożonych na Clearview AI w latach 2022–2024 za bezumowne scrapowanie 30 mld zdjęć z sieci (E05 w Matrycy). To jest orzecznictwo, które wytworzyło europejski konsensus: biometryczne bazy tworzone przez scrapowanie są nielegalne na gruncie art. 5, art. 6 i art. 9 RODO. I jednocześnie jest to orzecznictwo, którego skuteczność wobec firmy bez europejskich aktywów jest bliska zeru — Clearview nie zapłacił ani eurocenta.

Wąskie gardło Dublin

Konstrukcja europejska ma strukturalny problem. Mechanizm „jednego okienka" z art. 56 RODO jest logiczny: firma działająca transgranicznie powinna mieć jednego regulatora wiodącego — organ państwa, w którym ma „główną jednostkę organizacyjną". W przypadku Meta, Google, Apple, Microsoft, LinkedIn, TikTok, X — i praktycznie każdej dużej platformy — tym państwem jest Irlandia, ze względu na politykę podatkową Dublina.

Konsekwencja: irlandzki Data Protection Commission (DPC) stał się „single point of enforcement" dla całego Big Tech w UE. Pięć największych kar RODO nałożył DPC — Meta 1,2 mld, Meta 405 mln (Instagram 2022), Meta 390 mln, TikTok 345 mln (2023), LinkedIn 310 mln (2024). I pięć największych zostało wydanych po interwencji Europejskiej Rady Ochrony Danych, która — korzystając z art. 65 RODO — nakazała Irlandii podjąć decyzję, której DPC sam by nie podjął. Sam fakt, że jeden regulator krajowy musi być dyscyplinowany przez mechanizm kolegialny, żeby wykonać zadania statutowe, jest diagnozą systemu.

Skala czasowa: skarga noyb na Meta z 25 maja 2018 — złożona w pierwszym dniu obowiązywania RODO — doczekała się decyzji 4 stycznia 2023. Cztery lata, siedem miesięcy. Skarga Schremsa w sprawie transferów — dziesięć lat. Skarga w sprawie TCF — osiem. Clearview AI — saldo wyegzekwowane: zero.

Architektura jest spójna i dysfunkcjonalna jednocześnie. Irlandia ma strukturalną zachętę, żeby chronić reputację jurysdykcji, z której czerpie wpływy podatkowe. Meta ma zachętę, żeby przeciągać każde postępowanie. Jedyne, co to rusza, to art. 65 — procedura EROD — i DSA oraz DMA, które przenoszą egzekwowanie bezpośrednio do Komisji Europejskiej w DG CNECT.

Dark patterns jako kategoria prawna

Rok 2019: CNIL używa pojęcia „dark pattern" do opisania banera cookies, który sztucznie utrudnia odrzucenie śledzenia. Rok 2022: EROD wydaje „Guidelines 03/2022 on deceptive design patterns", definiując sześć kategorii manipulacji. Rok 2023: DPC, po interwencji EROD, nakłada na Meta karę 390 mln euro. Podstawa: art. 6 ust. 1 lit. b RODO — Meta nie miała prawa oprzeć reklamy behawioralnej na „niezbędności do wykonania umowy", bo dostarczenie personalizowanej reklamy nie jest tym, do czego użytkownik zawarł umowę o usługę społecznościową. Dodatkowo art. 5 ust. 1 lit. a i art. 12–13 (A09 w Matrycy).

Rok 2024: w DSA art. 25 — już wprost — zakaz interfejsów, które „zwodzą lub manipulują odbiorcą usługi". Komisja wszczyna postępowanie wobec Meta w zakresie „consent or pay" (A10). EROD w opinii 08/2024 stwierdza, że taki model zasadniczo nie spełnia wymogu „dobrowolności" zgody z art. 4 pkt 11 RODO w przypadku dużych platform. Dark pattern jest już pełnoprawną kategorią prawną — z definicją, z orzecznictwem, z karą. Czas, jaki zajął mu droga od marketingowego żargonu do sygnatury w rejestrze DPC, to siedem lat.

Panoptykon v. IAB Europe, albo precedens o infrastrukturze

Spośród polskich spraw, które zmieniły europejskie orzecznictwo, największą wagę ma dziś postępowanie Panoptykon v. IAB Europe, prowadzone we współpracy z belgijską Ligue des Droits Humains i z irlandzkim ICCL. Przedmiotem jest Transparency and Consent Framework (TCF) — standard IAB Europe, europejskiego zrzeszenia branży reklamowej online, stanowiący infrastrukturę prawno-techniczną każdego okna „zgody na cookies" w Europie. Jeśli widzieli państwo w ostatnich pięciu latach baner z listą „vendorów", „interesów uzasadnionych" i „celów przetwarzania" — widzieli produkt TCF.

Skarga z 2019 roku: TCF nie spełnia wymagań RODO, ponieważ „TC String" — zapis preferencji użytkownika — sam stanowi dane osobowe, a IAB Europe jest współadministratorem bez wypełnienia obowiązków z art. 5, 6, 12, 13, 14 i 30 RODO. Belgijski APD w lutym 2022 wydał decyzję przyznającą skarżącym rację — kara 250 tys. euro, symboliczna wobec skali, ale strukturalnie przełomowa. Belgijski Marktenhof w marcu 2023 zawiesił postępowanie i skierował pytania prejudycjalne do TSUE (C-604/22, IAB Europe v. Gegevensbeschermingsautoriteit).

7 marca 2024 TSUE wydał wyrok. Teza zasadnicza: TC String, jako ciąg odzwierciedlający preferencje konkretnego użytkownika, jest „daną osobową" w rozumieniu art. 4 pkt 1 RODO. IAB Europe, jako podmiot ustalający cele i sposoby przetwarzania tego parametru w ramach TCF, jest „współadministratorem" w rozumieniu art. 26 RODO. Od tego wyroku każdy baner cookies w Europie oparty o TCF jest potencjalnie wadliwy.

Znaczenie tej sprawy jest precedensowe: po raz pierwszy organizacja obywatelska zaatakowała nie pojedynczą firmę, lecz infrastrukturę techniczno-prawną całej branży. Po raz pierwszy TSUE potraktował „standard" jako źródło współadministrowania. I po raz pierwszy w polskiej praktyce prawnik kampanier pokazał, że strategiczne pytanie — „co chronimy" — może zostać zastąpione technicznym: „jak to jest zbudowane".

Prawo, które się nie egzekwuje

Przechodzę do ciemnej strony diagnozy. Egzekwowanie w RODO ma dziurę wielkości Atlantyku i mniejsze dziury wielkości kilkuset polskich kancelarii.

Clearview AI. Pięć decyzji organów krajowych, łączna suma kar ponad 98 mln euro. Zapłacone: zero. Firma jest amerykańska, aktywów europejskich nie ma, współpracy z organami odmówiła. Art. 27 wymaga wyznaczenia przedstawiciela w UE, ale nie przewiduje sankcji za niewyznaczenie, a firma, która nie chce być w Europie widoczna, nie musi być. To jest pusta legitymacja i każdy kolega, kto próbował egzekwować karę wobec podmiotu z Delaware bez aktywów w Niemczech, wie, o czym mówię.

Retencja w Polsce. Wyrok Digital Rights Ireland zapadł 8 kwietnia 2014. 24 kwietnia 2026, kiedy piszę ten tekst, polska ustawa w zakresie retencji ogólnej nie została w pełni dostosowana, a służby sięgają po dane na skalę niemającą porównania w większości państw Unii. Trybunał Konstytucyjny wypowiedział się w 2014 (K 54/07), RPO kierował wnioski, Panoptykon kampaniuje od piętnastu lat. Dwa miliony zapytań rocznie. Polityka stawia na zmęczenie; prawnik — na cierpliwość. Ale cierpliwość jest zasobem kończącym się.

Pozew zbiorowy. Dyrektywa 2020/1828 o powództwach przedstawicielskich, transponowana w Polsce ustawą z 24 lipca 2023, ogranicza prawo wytaczania takich powództw do wąskiego kręgu organizacji wpisanych do rejestru UOKiK. Nie ma możliwości wytoczenia amerykańskiego class action w polskim sądzie. W USA ugoda Cambridge Analytica — 725 mln dolarów, ugoda BIPA za rozpoznawanie twarzy — 650 mln, ugoda TikTok za dane nieletnich — 85 mln. W Polsce dziś nie ma drogi, którą użytkownik, którego dane wyciekły w jednym z opisanych w Matrycy skandali, mógłby dostać się do odszkodowania przystępnego ekonomicznie. Naruszenie jest, prawo materialne jest, drogi dochodzenia roszczenia w praktyce nie ma.

Pegasus. W raporcie komisji PEGA Parlamentu Europejskiego (maj 2023), w orzecznictwie ETPCz (Klass v. Niemcy, 1978; Zakharov v. Rosja, 2015; Centrum för rättvisa v. Szwecja, 2021) oraz w raporcie polskiej komisji nadzwyczajnej (2024) udokumentowano, że polskie służby stosowały oprogramowanie NSO Group wobec adwokatów, prokuratorów, polityków opozycji i dziennikarzy. Ani jednej kary administracyjnej, ani jednego wyroku karnego wobec osoby odpowiedzialnej. Prawo istnieje — kodeks karny, ustawa o CBA, ustawa o Policji, art. 49 Konstytucji, art. 8 EKPCz. Nadzór nad nadzorem nie działa. To nie jest problem prawny — to jest problem polityczny ubrany w ramy prawne.

Polska linia orzecznictwa

Kilka polskich spraw tej dekady ma dla prawnika ochrony danych znaczenie orzeczone.

Sprawa BIK (2019). Polskie banki, opierając się o BIK-owe scoringi, odmawiały klientom kredytów bez realnej możliwości zrozumienia decyzji. Art. 22 RODO daje prawo do „interwencji ludzkiej", „wyrażenia stanowiska", „zakwestionowania". Po interwencji Panoptykonu i stanowisku ówczesnego PUODO wypracowano praktykę: banki muszą uzasadniać negatywne decyzje kredytowe w sposób umożliwiający zrozumienie roli profilowania. Niewielka sprawa, która otworzyła polski standard dla art. 22.

SIN v. Facebook. Społeczna Inicjatywa Narkopolityki od 2018 roku miała cyklicznie blokowane konta za „promowanie narkotyków", mimo że publikowała materiały edukacyjne. Sprawa prowadzona przez Dorotę Głowacką doprowadziła do pierwszego polskiego wyroku zobowiązującego platformę do przywrócenia treści i ujawnienia podstawy decyzji moderacyjnej. Po wejściu DSA (art. 17, art. 20) — polska linia orzecznictwa z SIN stała się punktem odniesienia dla praktyki stosowania DSA w Polsce.

„Usługa za dane" (grudzień 2025). Precedens polskiego sądu: użytkownik wygrał z platformą oferującą mu „zapłać albo zgódź się na śledzenie". Sąd uznał, że model narusza art. 7 RODO (warunki wyrażenia zgody) w związku z art. 5 ust. 1 lit. a. Orzeczenie, które dla każdego prawnika pracującego z wydawcami internetowymi jest dziś punktem wyjścia, bo model „consent or pay" jest dominujący w polskich mediach online.

Linia UODO. W latach 2018–2025 polski UODO nałożył kary rzędu kilkudziesięciu milionów złotych — najbardziej znane: ID Finance Poland (1 mln zł, 2023), Santander Bank Polska (545 tys. zł, 2023). Dla porównania: sam dział prawny Mety w Dublinie zatrudnia więcej osób niż cały UODO w Warszawie. Budżet UODO w 2024 — ok. 60 mln zł. Asymetria zasobów jest strukturalna i nie zniknie bez decyzji politycznej.

Co jest teraz na stole

Na stole leży dziś kilka spraw, które rozstrzygną, czy następna dekada będzie dekadą egzekwowania, czy dalszej erozji.

AI Act. Rozporządzenie weszło w życie 1 sierpnia 2024, z rozłożonymi w czasie obowiązkami. Zakazy z art. 5 — systemy oceny społecznej, manipulacja podprogowa, wykorzystywanie słabości, biometryczne rozpoznawanie w czasie rzeczywistym w przestrzeni publicznej — obowiązują od 2 lutego 2025. Wyjątki dla organów ścigania są szerokie, ich zakres zależy od implementacji krajowej. W maju 2025 ukazał się materiał Panoptykonu pod znamiennym tytułem: „Wdrożenie aktu o sztucznej inteligencji. Czy polski rząd utrzyma zakazy?". Retoryka „Polska jako lider deregulacji" — pojawiająca się w wypowiedziach części polityków — oznacza w praktyce korzystanie z opcji pozostawionych państwom do rozszerzenia wyjątków. Pytanie na najbliższe miesiące.

Polskie wdrożenie DSA. Ustawa przygotowana w Ministerstwie Cyfryzacji w listopadzie 2025 została zawetowana przez prezydenta. 15 kwietnia 2026 odbył się trilog w Kancelarii Prezydenta. Ustawa znajduje się w Komitecie Stałym Rady Ministrów. Bez ustawy krajowy Koordynator Usług Cyfrowych — UKE — ma ograniczone kompetencje. Cytat Prezesa UKE z marca 2026: „Nie mam w tej chwili żadnych narzędzi jako urząd, żeby reagować". To nie jest retoryka; to jest diagnoza.

Chat Control. Propozycja rozporządzenia KE z 2022 roku (COM(2022) 209 final) wprowadzająca obowiązek skanowania wszystkich wiadomości prywatnych, w tym E2E, pod kątem materiałów CSAM. Propozycja, która technicznie oznacza zniesienie szyfrowania end-to-end dla wszystkich komunikatorów w UE. Panoptykon, EDRi, noyb, Signal, Mozilla sprzeciwiają się od trzech lat. To nie jest sprawa „tylko komunikatorów" — to precedens dla tego, czy E2E zostanie w Europie zakazane technicznie. Redefinicja granicy między komunikacją prywatną a tym, co TSUE w Digital Rights Ireland nazwał „szczególnie szkodliwym" poziomem ingerencji.

Digital Omnibus. Pakiet deregulacyjny Komisji Europejskiej z 2025 roku proponujący zmiany w definicjach RODO, DSA i AI Act. List otwarty stu dwudziestu sześciu organizacji obywatelskich z listopada 2025: „Unia Europejska musi utrzymać z trudem wywalczone gwarancje ochrony cyfrowych praw człowieka". Rok 2026 to rok obrony zdobyczy, nie zdobywania nowych. Każdy, kto pracował w prawie w latach 2013–2016, gdy RODO było negocjowane, wie, ile kosztuje wywalczenie jednego zdania w rozporządzeniu. I wie, jak łatwo można je stracić w „technicznej rewizji".

Kto pisze prawo

Nie mogę zakończyć bez wzmianki o asymetrii lobbingowej. Raport Transparency International EU z 2023 roku: Big Tech wydał w 2022 w Brukseli ponad 100 mln euro na lobbing. Meta — 8 mln. Google — 6. Microsoft — 6. Łączny budżet dziesięciu największych europejskich organizacji obywatelskich praw cyfrowych (EDRi, noyb, Panoptykon, La Quadrature du Net, Bits of Freedom, AlgorithmWatch, Article 19, Access Now, Open Rights Group, CDT Europe) nie przekracza 10 mln euro rocznie. Proporcja dziesięć do jednego.

Nie oznacza to, że prawo automatycznie przegrywa. RODO zostało przyjęte. DSA, DMA, AI Act — tak samo. Ale każdy z tych aktów przetrwał proces legislacyjny w formie, w której widać ślady kompromisów. Art. 5 AI Act z czterdziestoma wyjątkami, art. 22 RODO z szeroką interpretacją „decyzji wyłącznie zautomatyzowanej" — to miejsca, gdzie lobbyści zostawili odciski palców. Zawartość lobbingowa prawa nie jest porażką. Jest ceną jego istnienia.

Prawo działa tam, gdzie ktoś pilnuje

Wniosek, do którego dochodzę po tych dwóch dekadach, nie jest ani optymistyczny, ani pesymistyczny — jest operacyjny. Prawo działa tam, gdzie ktoś pilnuje. Max Schrems pilnował przez dwadzieścia lat i obalił dwie ramy transferu danych. Panoptykon i ICCL pilnowali przez osiem lat i zmienili strukturę europejskiego rynku reklamy online przez sprawę TCF. Klicki i koledzy pilnują od siedemnastu lat polskiej retencji i pokazują, jak to wygląda, gdy polityka gra na wyczerpanie. Głowacka pilnowała SIN przez siedem lat i otworzyła polską linię orzecznictwa w sprawach moderacji. Clearview AI nikt systemowo nie pilnował — i ta firma działa do dziś, scrapując kolejne miliardy zdjęć.

To jest rzeczywistość regulacyjna Europy w 2026 roku. Akty prawne są dobre, w wielu obszarach — najlepsze na świecie. Architektura egzekwowania jest miejscami dysfunkcjonalna: w Dublinie zakorkowana, w Polsce wobec służb politycznie sparaliżowana. Asymetria zasobów między regulatorami a firmami jest strukturalna. Orzecznictwo TSUE jest przyjazne prawom człowieka, ale jego przekładanie na polską rzeczywistość zajmuje dekady.

I mimo to prawo działa. Nie wszędzie, nie zawsze, nie od razu. Ale działa tam, gdzie ktoś pilnuje. Każda z trzydziestu trzech spraw w Matrycy jest zapisem takiego pilnowania: przez regulatorów, przez dziennikarzy śledczych, przez sygnalistów, przez organizacje obywatelskie, przez kancelarie pracujące za budżet, który dla Mety jest kosztem posiłku roboczego. Każda z tych spraw jest też zapisem tego, gdzie pilnowania zabrakło.

Dla prawnika czytającego tę bazę — nie piszę niczego, czego nie wie. Dla dziennikarza, studenta, obywatela — piszę to, co wiem z praktyki. Egzekwowanie prawa ochrony danych w Europie nie jest ani sukcesem, ani porażką. Jest pracą, która trwa i wymaga więcej ludzi gotowych ją wykonywać. Następna część tej serii należy do organizacji obywatelskiej, która tę pracę w polskiej rzeczywistości próbuje prowadzić. Z pozycji praktyka mogę tylko powiedzieć: to, co robią, jest konieczne. Bo alternatywą nie jest prawo, które egzekwuje się samo. Alternatywą jest prawo, które stoi na papierze, dopóki nikt go nie przypomni.