С влизането в сила на Общия регламент относно защитата на данните (ОРЗД) през 2018 г. започна нова ера в защитата на данните в ЕС. Поне на хартия. Потребителите получиха инструменти, с които да отстояват основните си права, а органите получиха сериозни правомощия за разследване и възможност да санкционират нарушенията с големи глоби. Почти 7 години по-късно реалността е много по-мрачна. По повод тазгодишния Ден на защитата на данните, който се отбелязва на 28 януари, noyb анализира актуалните статистически данни за ЕЗПД за (не)дейността на националните органи за защита на данните (ОЗД). Данните показват, че средно едва 1,3 % от делата пред ОЗД водят до налагане на глоба. Въпреки това, специалистите по защита на данните твърдят, че че глобите са най-ефективният начин да се гарантира, че дружествата спазват закона.
Стриктно прилагане на GDPR само на хартия. Когато Общият регламент относно защитата на данните (ОРЗД) влезе в сила през май 2018 г., той обеща промяна към сериозен подход към защитата на данните. Европейските потребители, засегнати от нарушения на защитата на личните данни, получиха необходимите инструменти за подаване на жалби до своите национални органи за защита на данните (ОЗД) - които бяха снабдени с необходимите правомощия да разследват всички видове нарушения и да налагат административни глоби, за да предотвратят подобни нарушения в бъдеще. За съжаление, последните 7 години показаха, че това в повечето случаи е било само пожелание. Това се потвърждава от нов noyb анализ на Статистическите данни на ЕДПБ относно дейността на органите между 2018 и 2023 г: Средно едва 1,3 % от делата, които се разглеждат от органите за защита на данните, действително водят до налагане на глоба. Това съответства на нашия собствен практически опит: Повечето дела се проточват в продължение на няколко години, преди да приключат със споразумение или да бъдат изцяло отхвърлени.
Макс Шремс: "Европейските органи за защита на данните разполагат с всички необходими средства за адекватно санкциониране на нарушенията на GDPR и за издаване на глоби, които биха предотвратили подобни нарушения в бъдеще. Вместо това те често протакат преговорите с години - само за да вземат твърде често решение против интересите на жалбоподателя."
Няма реален положителен пример. Макар че някои органи за защита на данните изглежда налагат много повече глоби от други, всички цифри са в едноцифрен процентен диапазон - или дори по-ниски. След като е наложил глоби в 6,84 % от всички случаи (като се отчитат както жалбите, така и разследванията по собствена инициатива) между 2018 г. и 2023 г., словашкият орган за защита на данните е начело на статистиката. Тя е следвана от България (4,19 %), Кипър (3,12 %), Гърция (2,65 %) и Хърватия (2,54 %). В другия край на спектъра нидерландският орган е издал глоби в 0,03 % (!) от всички случаи, плътно следван от Франция (0,10 %), Полша (0,18 %), Финландия (0,21 %), Швеция (0,25 %) и, разбира се, Ирландия (0,26 %). Останалите държави са някъде по средата.
Кликнете тук, за да видите напълно интерактивната версия на картата по-долу.
Кликнете тук, за да видите напълно интерактивната версия на горната карта.
Специфично явление в областта на защитата на данните. Тази очевидна липса на сериозни последици за нарушенията на закона изглежда е много характерна за защитата на данните. Нека вземем за пример Испания: През 2022 г. испанският орган за защита на данните е получил 15 128 жалби, но е издала само 378 глоби. Това означава, че статистически само 2,5% от всички жалби са завършили с глоба. Това включва очевидни нарушения, като например неотговорени искания за достъп или незаконни банери с бисквитки, които на теория биха могли да бъдат разгледани бързо и по стандартизиран начин. За сравнение: 3.в Испания са издадени 7 милиона фиша за превишена скорост през 2022 г. (без Страната на баските и Каталуния). Подобно сравнение може да се направи за всеки други държави членки на ЕС.
Макс Шремс: "По някакъв начин само органите за защита на данните не могат да бъдат мотивирани да прилагат действително закона, който им е поверен. Във всяка друга област нарушенията на закона редовно водят до парични глоби и санкции. В момента органите за защита на данните често изглежда действат в интерес на компаниите, а не на засегнатите лица."
Данните показват: повече глоби = повече спазване на законодателството. Въпреки че тези цифри едва ли са изненадващи, те все пак са тревожни. A нойб проучване сред специалисти по защита на данните показва, че именно паричните глоби мотивират дружествата да спазват закона. Запитани за най-ефективните мерки за правоприлагане, 67,4 % от анкетираните са отговорили, че решенията на ДЗД срещу собственото им дружество, които включват глоба, ще повлияят на лицата, вземащи решения, да изберат по-голямо съответствие. Интересно е, че 61,5 % от анкетираните са заявили, че дори глобите на ДЗД срещу други организации ще повлияят на спазването на GDPR от страна на собственото им дружество.
Кликнете тук, за да видите напълно интерактивната графика по-долу.
Кликнете тук, за да видите напълно интерактивната графика по-горе.
Наложените глоби са шега. Ако разгледаме по-отблизо размера на глобите, които националните органи налагат всяка година, проблемът става още по-ясен. Ирландия (475 902 000 евро среден размер на глобите/година) и Люксембург (124 395 729 евро среден размер на глобите/година) са водещи в статистиката за периода 2018-2023 г. На пръв поглед това може да звучи като много пари. Но всъщност не е така. Почти всички големи технологични компании като Apple, Google, Meta и Microsoft се намират в Ирландия, което прави ирландския ДПК водещ орган за някои от най-големите дела в историята. От друга страна, Люксембург отговаря за компании като Amazon. В действителност ДКП трябва да бъде принуден да се съобразява със собствения си късмет. noyb'с две най-големи дела срещу Мета трябваше да се отклонят от пътя до EDPB, преди DPC да наложи на компанията глоба в размер на почти 1,6 млрд. евро. Ако се извади тази сума, не остава много.
Повече бюджет, повече решения? Някои органи многократно твърдят, че ще им трябват само повече бюджет и ресурси, за да вземат по-навременни - и с голямо въздействие - решения. Ако погледнем статистиката на EDPB, бюджетът на органите се е увеличил с до 130 % между 2020 и 2024 г. Например нидерландският орган регистрира увеличение на бюджета с 62 % в рамките на четири години - без значително увеличение на наложените глоби. За да разгледаме това в перспектива: През 2023 г. нидерландският орган за защита на данните е имал бюджет от почти 37 млн. евро, но е наложил глоби на стойност само 1,98 млн. евро. Това е разлика от почти 35 млн. евро, която ще остави огромна дупка в държавния бюджет. Този недостиг обаче би могъл да бъде компенсиран чрез силно правоприлагане. Глобите по GDPR отиват в държавата на водещия орган.
Кликнете тук, за да видите напълно интерактивната графика по-долу.
Кликнете тук, за да видите напълно интерактивната графика по-горе.
Почти 40% от всички глоби благодарение на noyb. Този модел се наблюдава в целия ЕС: Между 2018 г. и 2023 г. всички органи за защита на данните в ЕС са наложили глоби на обща стойност 4,29 млрд. евро, от които 1,69 млрд. евро са резултат от noyb съдебни спорове. С други думи: Почти 40 % от всички глоби по GDPR се дължат на noyb. Това означава, че в действителност по-скоро изглежда, че липсва политическа воля за противопоставяне на технологичните гиганти, отколкото липса на възможности за действие.
