Den ochrany údajů: 41 let "dodržování předpisů na papíře"?!
Dnešní Den ochrany údajů připomíná podpis prvního celoevropského rámce ochrany údajů (Úmluva 108) v roce 1981. O 41 let později se GDPR stalo hlavním pilířem evropské ochrany údajů. Nařízení GDPR, které bylo přijato v roce 2016 s velkými nadějemi, je nyní na pokraji smrti podobně jako mnoho předchozích předpisů o ochraně údajů. Existovala na papíře, ale ve skutečnosti se téměř neprosazovala.
Teorie evropského prosazování. Podle GDPR má každý v Evropě právo podat stížnost u svého úřadu pro ochranu osobních údajů (DPA), který by měl následně vymáhat základní právo občanů na soukromí. Na adrese "jednotné kontaktní místo" - mechanismus spolupráce pro případy mezi jednotlivými zeměmi by měl zajistit, aby zákazníci svá práva stejně účinně vymáhali i v případě, že jejich údaje zpracovává společnost v jiném členském státě.
Prázdné místo v oblasti prosazování GDPR. Mnoho občanů, kteří se pokusili uplatnit svá práva podle GDPR, je zklamáno. Některé orgány pro ochranu údajů stížnosti vůbec nevyřizují. Postupy se "zapomínají" nebo se ztrácejí v systému spojujícím vnitrostátní orgány pro ochranu údajů. V mnoha případech je po celé roky jen rádiové ticho. I když se výkonnost jednotlivých orgánů pro ochranu údajů velmi liší, noyb dostává podobné zprávy od frustrovaných občanů z celé EU. Koneckonců systém je tak silný, jak silný je jeho nejslabší článek.
Pouze 15 % případů, které noybřeší do jednoho roku - žádné celoevropské případy. Společnost noyb dosud podala 51 individuálních případů u orgánů pro ochranu údajů v Evropě. Pouze šest z těchto stížností bylo rozhodnuto, další tři byly rozhodnuty částečně. Ve všech případech se jednalo o čistě vnitrostátní případy, kde nebyla potřeba evropské spolupráce. Do dnešního dne nebyl v rámci mechanismu "jednoho správního místa" rozhodnut ani jeden celoevropský případ. Zatímco některé případy byly podány teprve nedávno a mohou potřebovat více času, jiné byly podány před více než rokem. Z těchto 34 déle trvajících případů je zatím plně rozhodnuto pouze o pěti. To znamená, že 85 % všech případů starších než jeden rok stále čeká na rozhodnutí. Některé případy se mezi úřady ztratily. V jiných případech úřady ani nereagovaly na e-maily nebo telefonáty. Neslavnými vítězi za nejdelší dobu trvání jsou čtyři případy, které byly podány 25.5.2018 na "nucený souhlas". Po 3 letech a 8 měsících irský "vedoucí" orgán stále nevydal konečné rozhodnutí.
"Je jasně vidět, že většinou zůstáváme bez odpovědi. Některé orgány jsou černé skříňky. Není možné pochopit, co se s našimi stížnostmi děje. Vnitrostátní případy sice vykazují určité výsledky, ale jakmile musely různé členské státy spolupracovat v rámci mechanismu "jednoho správního místa", nedočkali jsme se jediného rozhodnutí. Přehled ukazuje, jak frustrující, neefektivní a komplikované může být prosazování evropských základních práv." - Romain Robert, programový ředitel noyb.
U příležitosti dnešního "Dne ochrany osobních údajů" zveřejnila organizace noyb seznam všech 51 "individuálních" stížností, které podala od vstupu GDPR v platnost:
>>> Kliknutím na obrázek se na nové kartě otevře celá tabulka
Dvě vlny, 523 stížností, jedno rozhodnutí. noyb podal dvě kola "paralelních stížností", které mohou být pro orgány pro ochranu údajů náročnější, ale také jim umožňují zefektivnit rozhodovací proces. Ze 101 stížností ze srpna 2020 týkajících se předávání údajů mezi EU a USA bylo po 1,5 roce částečně rozhodnuto v jednom případě týkajícím se služby Google Analytics (1 %). Dalších 422 stížností ze srpna 2021 týkajících se bannerů cookies se zatím nedočkalo jediného rozhodnutí. Zdá se, že v mnoha případech nejde o nic víc než o potvrzení přijetí stížnosti.
Evropské instituce vyjadřují podobné obavy. Evropský parlament vyjádřil své obavy z nedostatečné úrovně prosazování GDPR a Komise dokonce varovala, že pokud nedojde ke zlepšení, bude prosazovat centralizovanější přístup. Konference EDPS k této problematice jmenovaná na červen nenechává nikoho na pochybách, že se v roce 2022 zaměří na prosazování GDPR.
"Doufáme, že tento přehled našich stížností podpoří diskuse, které se očekávají v tomto roce. Domníváme se, že zahrnutí konkrétních případů do analýzy může doplnit seznam již zjištěných problémů s prosazováním." - Romain Robert, programový ředitel společnosti noyb
Zaměření na prosazování a procesní práva. Zkušenosti z posledních 3,5 roku znamenají, že role noyb jako organizace pro prosazování GDPR se stala ještě aktuálnější. Kromě zaměření na žaloby proti regulačním orgánům, které nevyřizují stížnosti v přiměřené lhůtě, noyb zapojí také do přímých žalob proti společnostem, a to i prostřednictvím kolektivních žalob - i když to je obvykle mnohem nákladnější. Zatímco směrnice o kolektivním odškodnění bude ve všech členských státech implementována do konce roku 2022, noyb je již oficiálně způsobilý zahájit činnost reprezentativní žaloby v Belgii. Společně s organizací PrivacyFirst jsme také v Nizozemsku založili nadaci "CUIC" (Consumers United In Court), která podává podobné žaloby.
"Navzdory naší nespokojenosti s vymáháním práva zůstává společnost noyb odhodlána podporovat orgány pro ochranu údajů a stěžovatele, kteří mají zájem na lepším vymáhání práva. i 41 let po přijetí úmluvy musíme všichni společně pracovat na tom, aby se ochrana soukromí stala skutečností." - Romain Robert, programový ředitel společnosti noyb.
S tímto vědomím, noyb vám všem přeje šťastný Den ochrany osobních údajů!
