V rozsudku C-416/23 dostal rakouský úřad pro ochranu údajů (DSB) od Soudního dvora EU políček. Úřad - svévolně - stanovil počet stížností, které mohou subjekty údajů podat, na maximálně dvě za měsíc, i když je člověk postižen porušením GDPR téměř denně. SDEU nyní jasně řekl: pokud nepodáváte zneužívající stížnosti, mají všichni uživatelé právo na to, aby DSB napravil jakékoli porušení GDPR. Bohužel snaha orgánů pro ochranu údajů zbavit se stížností není jen rakouským problémem. Naše údaje ukazují, že problém s nečinností orgánů pro ochranu údajů se týká celé EU.
Zamítnutí a zastavení řízení en masse. Orgán pro řešení sporů již léta vyvíjí různé "techniky", jak řízení proti společnostem v co největší míře zastavit. Například subjektům údajů je často vyhrožováno zastavením řízení po každém prohlášení společnosti, pokud do dvou týdnů nevznesou námitku. Orgán pro ochranu osobních údajů také ve velkém rozsahu zastavuje řízení, pokud společnost (po letech sporů) na poslední chvíli splní požadavky GDPR. Posledním "trikem" bylo omezení počtu stížností na dvě za měsíc - přestože uživatelé jsou někdy postiženi porušením GDPR každou hodinu. Tento "trik" nyní SDEU zrušil poté, co jeden občan podal na DSB žalobu, která se dostala až k SDEU - ale ostatní způsoby, jak se stížností zbavit, se stále používají.
Max Schrems: "Základní práva máte vždy - ne jen dvakrát do měsíce. Kdyby DSB důsledně trestala porušení, bylo by také méně stížností. Místo toho úřad používá různé techniky, jak se stěžovatelů zbavit. Společnosti se naučily, že to nemá žádné důsledky. Pomocí různých procesních triků se podaří odvrátit velkou část stížností - a společnosti vesele porušují zákony dál."
Pouze 1,36 % všech řízení končí pokutou. Orgán pro řešení sporů v současné době uvádí, že v roce 2023 vedl 4 030 řízení (2 389 vnitrostátních stížností, 876 přeshraničních stížností a 765 řízení z moci úřední). V roce 2015 však bylo v rámci tohoto řízení vydáno celkem 6 rozhodnutí o rozporu s právními předpisy, bylo uloženo pouze 55 pokut za celý rok. To znamená, že statisticky pouze 1,36 % všech řízení končí uložením pokuty. Pro srovnání: 8.34 milionů pokut v dopravě pokut bylo v Rakousku uděleno v roce 2021. Ve špičce v roce 2023, bylo měsíčně uděleno více než 7 000 pokut za nesprávně zaparkované e-koloběžky ve Vídni. Statisticky by DSB trvalo 127 let, než by těchto 7 000 pokut udělil. Mnohá porušení GDPR jsou však stejně banální jako přestupky při parkování. Žádosti uživatelů se jednoduše nezpracovávají, nezískává se souhlas nebo se údaje nevymažou.
Max Schrems: "Ve špičce bylo jen ve Vídni uděleno až 7 000 pokut měsíčně za nelegálně zaparkované e-koloběžky. Naproti tomu úřad pro ochranu osobních údajů uložil v roce 2023 pouze 55 pokut. Průměrný pachatel parkovacího přestupku se má bát víc než korporace, které zneužívají osobní údaje po milionech. Ve více než 98 % všech případů projednávaných úřadem pro ochranu osobních údajů nejsou ukládány žádné sankce. Společnosti, které dodržují zákon, zůstávají jako hlupáci."
Není to jen rakouský problém. Tento problém se netýká pouze Rakouska, ale úřadů pro ochranu osobních údajů v celé Evropě. V roce 2022 (poslední rok s čísly pro celou EU) vedly všechny evropské orgány pro ochranu údajů dohromady 140 106 řízení - ale udělily pouze 1819 pokut společnostem. To znamená, že pouze v 1,3 % případů byl vyvozen závažný důsledek. To jasně ukazuje, že v celé EU existuje problém s nečinností orgánů pro ochranu údajů a s tím, že orgány řízení protahují.
Max Schrems: "Vidíme, že orgány pro ochranu údajů v celé EU ve skutečnosti nekonají. Soudní dvůr jim nyní opakovaně sdělil, že musí začít jednat, ale statistiky to neodrážejí."
Řízení trvají roky - namísto měsíců. Podle § 73 AVG musí DSB rozhodnout do 6 měsíců. Ve skutečnosti řízení téměř vždy trvají podstatně déle. Např, 3 roky na rozhodnutí o nezákonném cookie banneru není výjimkou. Na stránkách statistiky noyb pro Rakousko ukazují mnoho případů, kdy se na rozhodnutí čeká déle než 6 měsíců. Další odvolání ke Spolkovému správnímu soudu také trvají několik let namísto zákonem stanovených 6 měsíců. V důsledku toho není vymáhání práva v Rakousku v žádném případě v souladu s právem EU.
Max Schrems: "Ještě nikdy jsem neviděl řízení před DSB, které by bylo rozhodnuto v zákonné lhůtě. Namísto plánovaných šesti měsíců se často jedná o tři roky nebo více, a to i v případě zcela banálních případů, jako je například nelegální banner na cookies. DSB není strukturálně schopen účinně vymáhat právo."
Problémy s rozpočtem? Pokuta pro Google by zaplatila tunel Brenner Base. Rakouský Úřad pro ochranu osobních údajů (DSB) již několik let žádá o vyšší rozpočet. Od roku 2020 byl počet zaměstnanců zvýšen ze 43 na 60. Státu by se vyplatilo poskytnout potřebné zdroje: DSB je zodpovědný nejen přímo za společnosti v Rakousku, ale také za mnoho mezinárodních korporací, včetně společnosti Google USA. Jediná pokuta uložená společnosti Google by mohla dosáhnout až 6 miliard eur - což je více než podíl Rakouska na Brennerově základně Tunelu nebo značnou část současného rozpočtového deficitu ve výši 15 až 23 miliard eur.
Max Schrems: "Pokud by se DSB konečně probudil ze svého spánku a dostal na to slušný rozpočet, mohlo by se mu to rychle vyplatit. Například pokuta za GDPR vůči Googlu je větší než náš podíl na Brennerském základním tunelu - to jen pro představu rozsahu. DSB však také musí být efektivnější. Nelze jen žádat o větší rozpočet a pak nadále strukturálně nezpracovávat případy."
