5 let GDPR: Vnitrostátní orgány zklamaly evropského zákonodárce. 85 % případů noyb nebylo rozhodnuto.
Dne 25. května 2018 vstoupilo v platnost nařízení GDPR. Zatímco obsah pravidel EU pro ochranu osobních údajů zůstal z velké části stejný, údajnou velkou změnou bylo přísné prosazování GDPR. o 5 let později nechávají vnitrostátní orgány a soudy evropského zákonodárce do značné míry na holičkách - navzdory rozpočtu ve výši více než 330 milionů EUR v roce 2022.
noyb poskytuje k 5letému výročí následující zdroje:
- Podrobné údaje o více než 800 případech GDPR, které společnost noybřeší, z nichž vyplývá, že o více než 85 % všech případů noyb není rozhodnuto - 470 stížností čeká na rozhodnutí již více než 1,5 roku
- noyb's "Mapa pastí GDPR" s mnoha vnitrostátními procesními otázkami, které si můžete rozkliknout
- "profily zemí" s konkrétními problémy v Rakousko, Belgie, Francie, Německo, Řecko (CS/ GR), Irsko, Itálie, Lucembursko, Nizozemsko (CS/ NL), Polsko a Španělsko
- Naše webové stránky s návrh nařízení o postupech GDPR který by mohl vyřešit mnoho problémů s prosazováním GDPR
Meta pokuty ve výši 1,2 miliardy eur je příkladem nefunkčního vymáhání. Pokuta ve výši 1,2 miliardy EUR (která byla strategicky odložena až na týden "pětiletky GDPR") sice může zaujmout na titulních stranách novin, ve skutečnosti však odráží nefunkčnost prosazování. Nejenže trvalo více než deset let, než DPC dospěla k prvnímu rozhodnutí (proti němuž se nyní odvolá), ale případ si také vyžádal, aby Max Schrems vedl tři sady soudních sporů proti irské DPC, aby ji donutil dělat svou práci. To zahrnovalo Soudní dvůr EU (SDEU) a EDPB, které irskému DPC třikrát sdělily, aby účinně řešila tento případ. Náklady na tyto soudní spory se odhadují na více než 10 milionů EUR.
Střet právních předpisů EU s vnitrostátní praxí. GDPR bylo v Evropském parlamentu schváleno 96% většinou, zákon podpořily všechny členské státy kromě jednoho. Brzy poté však narazili národní zákonodárci a národní praxe. Téměř každý členský stát má nějaký procesní trik nebo problém, jak GDPR zpochybnit. Od přidání pojmů, jako je "práh" pro porušení ochrany osobních údajů, až po názor, že "vyřízení" stížnosti může znamenat také její pouhé vyhození do koše. Mezi další příklady patří to, že úřady ve Francii nebo Švédsku zastávají názor, že stěžovatel není účastníkem jejich vlastního řízení, zatímco v Polsku úřad vyžaduje, abyste se dostavili do Varšavy a vyfotili si svůj spis mobilním telefonem. Přehled jsme shrnuli v našem "Mapě pastí GDPR", abychom ukázali některé pasti, do kterých se běžný občan dostává.
Max Schrems, předseda sdružení noyb.eu: "GDPR mělo velmi silnou politickou podporu. Po pěti letech od zavedení GDPR vidíme velký odpor úřadů a soudů při prosazování zákona. Zákonodárce promluvil, ale vnitrostátní soudy a úřady neustále nacházejí nové způsoby, jak ho neposlouchat. Často se zdá, že se více energie vynakládá na podkopávání GDPR než na jeho dodržování. Zatímco společnosti vědí, že Irsko je jurisdikcí, kam se "chodí" v případě nevymahatelnosti, pro občany sotva existuje jurisdikce, kam se "chodí", protože problémy s vymáháním jsou v podstatě ve všech členských státech. "
Systematická zpoždění. Zatímco výjimečná pokuta zaujme na titulních stranách mezinárodních novin, mnohem rozsáhlejší databáze případů noybukazuje, že orgány pro ochranu osobních údajů (DPA) většinou nevymáhají GDPR včas. Z více než 800 případů, které společnost noyb v uplynulém roce podala, 85,9 % není rozhodnuto a více než 58 % čeká na rozhodnutí déle než 18 měsíců. nařízení GDPR však vyžaduje, aby společnosti vyhověly žádostem do jednoho měsíce, a vnitrostátní právní předpisy, které často vyžadují rozhodnutí do 3-6 měsíců.
Max Schrems: "V mnoha jurisdikcích dostanete rozhodnutí v nejlepším případě po dvou letech - tedy pokud vůbec nějaké rozhodnutí dostanete. Tato praxe je zkrátka na míle vzdálená záměru zákonodárce mít volný a snadný způsob podávání stížností. Většinu času ztrácíme honěním správců případů, spisů a úřadů."
Nedostatek správných postupů a právních rozhodnutí. Kromě dlouhých průtahů byly případy, které byly uzavřeny, z velké části urovnány nebo staženy stranami (zhruba 6 % v případě společnosti noyb) nebo došlo k jinému výsledku (3,4 %), například k odchodu společnosti z trhu EU. Pouze v 3,9 % všech případů došlo k právnímu rozhodnutí orgánu pro ochranu údajů.
Max Schrems: "Mnoho úřadů se snaží udělat vše pro to, aby se rozhodnutí vyhnuly. Často případy prostě 'uzavřou' bez rozhodnutí nebo se společnostmi vyjednávají a prosí je, aby byly tak hodné a dodržovaly zákon. Za přímočaré porušení zákona se jen stěží ukládá přímá sankce. "
Společnosti se naučily GDPR ignorovat. Zatímco zpočátku průmysl kvůli GDPR a jeho vysokým pokutám házel flintu do žita, uplynulé roky ukázaly, že tento odstrašující účinek se rychle smazal. Skutečnost ukazuje, že zákonodárce nebyl schopen jednoduše uzákonit kulturu vymáhání. GDPR se často stalo pouhým papírovým tygrem.
Max Schrems: "Realita ukázala, že EU nebyla schopna uzákonit "kulturu prosazování". Agresivnější společnosti rychle pochopily, že důsledky do značné míry existují pouze na papíře, a pokračovaly ve svých obchodních modelech. Za zavřenými dveřmi se společnosti velmi otevřeně hlásí k tomu, že se úřadů vůbec nebojí. Do dodržování předpisů investovaly především již rozumné společnosti."
Výzva k harmonizaci a prosazování. V době, kdy si připomínáme 5. výročí GDPR, je naléhavě nutné, aby orgány přeřadily na vyšší rychlostní stupeň a přešly na seriózní kulturu vymáhání. K tomu by mohl přispět i nápad Evropské komise přijmout procesní nařízení EU. Nicméně, taková legislativní úprava by musela být komplexní aby překonala řadu problémů v současných postupech. Mnohé členské státy mohou své postupy rovněž zlepšit. Uvedli jsme nejčastější problémy v konkrétních zemích: Rakousko, Belgie, Francie, Německo, Řecko (CS/ GR),Irsko, Itálie, Lucembursko, Nizozemsko (CS/ NL),Polsko a Španělsko.
Max Schrems: "Po pěti letech zjevně skončila doba poradenství a odkladů. Pokud nedojde k všeobecnému odstrašení, úřady pravděpodobně opět ztratí kontrolu nad situací. Evropská komise navrhla nové nařízení, které má napravit procesní problémy. Jasná procesní pravidla jsou dobrý nápad, ale musí být komplexní, aby se problém skutečně vyřešil."
Nutná občanskoprávní žaloba a kolektivní odškodnění. Jen v roce 2023 byly společnosti Meta uloženy pokuty ve výši téměř 2 miliard EUR v důsledku usilovného úsilí a právních kroků společnosti noyb, takže občanskoprávní žaloby jsou aktuálnější než kdy jindy. S blížícím se zavedením směrnice EU o kolektivním odškodnění budou mít uživatelé možnost seskupit své soudní úsilí prostřednictvím společných "hromadných žalob". Tento přístup nejenže obchází závislost na smlouvách o udělení ochrany údajů, ale má také potenciál pro účinnější odstrašující účinek než Pokuty podle GDPR, které jsou do značné míry teoretické.
