В решението по дело C-416/23 австрийският орган за защита на данните (ОЗД) получи шамар от Съда на ЕС. Органът - произволно - е определил броя на жалбите, които субектите на данни могат да подават, на максимум две на месец, дори ако човек е засегнат от нарушения на GDPR почти ежедневно. Сега Съдът на ЕС даде ясно да се разбере: стига да не подавате жалби с цел злоупотреба, всички потребители имат право да поискат всяко нарушение на GDPR да бъде отстранено от ОРС. За съжаление опитите на органите за защита на данните да се отърват от жалбите не са само австрийски проблем. Нашите данни показват, че в целия ЕС съществува проблем с бездействието на ОЗД.
Масово уволнение и прекратяване на производството. В продължение на години ОРС разработва различни "техники" за прекратяване на производствата срещу дружествата във възможно най-голяма степен. Например субектите на данни често са заплашвани с прекратяване на производствата след всяко изявление, направено от дружеството, ако не възразят в рамките на две седмици. Освен това ОРС прекратява производствата в голям мащаб, ако дадено дружество (след години на спорове) се съобрази с ОРЗД в последния момент. Последният "трик" беше да се ограничи броят на жалбите до две на месец - въпреки че понякога потребителите са засегнати от нарушения на GDPR всеки час. Този "трик" вече е отменен от Съда на ЕС, след като гражданин заведе дело срещу ОРЗД, което беше ескалирало чак до Съда на ЕС - но другите начини да се отървем от жалбите все още се използват.
Макс Шремс: "Винаги имате основни права - не само два пъти месечно. Ако DSB последователно наказваше нарушенията, жалбите също щяха да са по-малко. Вместо това органът използва различни техники, за да се отърве от жалбоподателите. Дружествата са се научили, че няма никакви последствия. С различни процедурни трикове се предотвратява голяма част от жалбите - и компаниите с удоволствие продължават да нарушават закона."
Само 1,36 % от всички производства водят до налагане на глоба. Понастоящем ОРС заявява, че през 2023 г. е провел 4 030 производства (2 389 национални жалби, 876 трансгранични жалби и 765 производства по служебен път). Въпреки това, са наложени само 55 глоби през цялата година. Това означава, че статистически само 1,36 % от всички производства завършват с налагане на глоба. За сравнение: 8.34 милиона глоби за нарушения на правилата за движение по пътищата са били издадени в Австрия през 2021 г. В пиковите часове през 2023 г, повече от 7000 глоби за неправилно паркирани електронни скутери са били издавани на месец във Виена. Статистически погледнато, за издаването на тези 7000 глоби на DSB ще са необходими 127 години. Много от нарушенията на GDPR обаче са толкова тривиални, колкото и нарушенията при паркиране. Исканията на потребителите просто не се обработват, не се получава съгласие или данните не се изтриват.
Макс Шремс: "В пиковите моменти само във Виена са издадени до 7000 месечни глоби за незаконно паркирани електронни скутери. За разлика от това, през 2023 г. органът за защита на данните е наложил само 55 санкции. Средностатистическият нарушител на правилата за паркиране има от какво да се страхува повече от корпорациите, които злоупотребяват с лични данни в милиони. В повече от 98 % от всички случаи, разглеждани от Органа за защита на данните, не се налагат санкции. Дружествата, които спазват закона, остават да изглеждат глупаво"
Това не е само австрийски проблем. Този проблем не е уникален за Австрия, а засяга органите за защита на данните в цяла Европа. През 2022 г. (последната година с данни за целия ЕС) всички европейски органи за защита на данните са имали общо 140 106 производства - но са издали само 1819 глоби срещу дружества. Това означава, че само в 1,3 % от случаите е имало сериозни последици. Това ясно показва, че в целия ЕС съществува проблем с бездействието на органите за защита на данните и протакането на производствата.
Макс Шремс: "Виждаме, че органите за защита на данните не предприемат реални действия в целия ЕС. Съдът на Европейския съюз вече многократно им е казвал, че трябва да започнат да действат, но статистиката не отразява това."
Процедурите отнемат години - вместо месеци. Съгласно § 73 от AVG ОРС трябва да вземе решение в рамките на 6 месеца. В действителност процедурите почти винаги отнемат значително повече време. Например, 3 години за решение относно незаконна бисквитка банер не е изключение. На статистически данни на noyb за Австрия показва много случаи, при които решението се чака много повече от 6 месеца. По-нататъшното обжалване пред Федералния административен съд също отнема няколко години вместо предвидените в закона 6 месеца. В резултат на това правоприлагането в Австрия по никакъв начин не е в съответствие с правото на ЕС.
Макс Шремс: "Никога не съм виждал процедура на ОРС, по която да е взето решение в рамките на законовия срок. Вместо планираните шест месеца, често става дума за три или повече години, дори и в случай на напълно тривиални случаи като незаконен банер за бисквитки. В структурно отношение ОРС не е в състояние да прилага ефективно закона."
Бюджетни проблеми? Една глоба за Google би платила за тунела на базата Бреннер. Австрийският орган за защита на данните (DSB) от години иска по-голям бюджет. От 2020 г броят на служителите е увеличен от 43 на 60. Държавата би си заслужавало да осигури необходимите средства: DSB отговаря пряко не само за дружествата в Австрия, но и за много международни корпорации, включително Google САЩ. Една санкция, наложена на Google, може да достигне до 6 млрд. евро това е повече от дела на Австрия в базата Бренер Тунел или голяма част от настоящия бюджетен дефицит в размер на 15-23 млрд. евро.
Макс Шремс: "Ако ОРС най-накрая се събуди от дрямката си и получи приличен бюджет за това, той може бързо да се изплати. Една санкция по GDPR срещу Google например е по-голяма от нашия дял от базовия тунел Бренер - само за да ви дам представа за мащаба. Но ОРС трябва да стане и по-ефективна. Не можеш просто да поискаш по-голям бюджет, а след това да продължиш да не успяваш да обработваш делата в структурно отношение."
