
Den ochrany údajů: Jsou Evropané skutečně chráněni?
Evropský den ochrany údajů 28. ledna připomíná podpis prvního celoevropského rámce ochrany údajů (Úmluva108) v roce 1981. Dnes, o 42 let později, je GDPR považováno za ústřední zákon v oblasti evropské ochrany údajů a má občanům umožnit uplatnit jejich základní právo na soukromí. Nařízení GDPR, které bylo původně vítáno - a zároveň obáváno - jako nástroj k prosazování práva, je na pokraji stejného osudu jako jeho předchůdci, neboť je jednoduše ignorováno.
Prosazování GDPR pouze teoreticky. Cílem GDPR je poskytnout všem uživatelům v Evropě kontrolu nad jejich osobními údaji. Každý má právo zjistit, jaké údaje o něm společnost uchovává, jak je zpracovává, a právo zastavit nezákonné zpracování. V praxi jsou však uživatelé obtěžováni především cookie-bannery a vyskakovacími okny, která nedávají jinou možnost než souhlasit. Tito Evropané, kteří se pokusili uplatnit své právo na ochranu údajů, byli často trpce zklamáni. noyb pravidelně dostává zprávy od frustrovaných uživatelů z celé EU: řízení se zdržují, stížnosti jsou úřady zamítány bez dalšího šetření nebo jsou zcela opuštěny. Práva uživatelů nakonec končí v koši.
Konflikt mezi právem a regulačními orgány. Nařízení GDPR se v posledních 4,5 letech stalo obětí nedostatečného prosazování a zdržovací taktiky velkých technologických společností. I když úřady rozhodnou a uloží společnostem pokutu, případy se mohou táhnout roky kvůli odvoláním a zdržování ze strany technologických společností. A to i v případě občasných vysokých pokut, porušování zákona se "velkým technologickým firmám" vyplatí. I když se prosazování GDPR v Evropě značně liší, i aktivnější úřady pro ochranu údajů čelí velkým výzvám, protože přeshraniční případy vyžadují spolupráci mezi úřady (one-stop-shop).
Max Schrems, předseda noyb:"Dokonce i aktivní orgány jsou často v úzkých, protože prosazování GDPR je tak silné, jak silný je jeho nejslabší článek."
Překážka v prosazování. Orgány, jako je irský Úřad pro ochranu osobních údajů (DPC), jsou rozhodujícím faktorem, pokud jde o provádění GDPR, protože většina amerických technologických společností má své evropské sídlo právě tam. Irsko je dlouhodobě považováno za "úzké hrdlo" při prosazování GDPR v celé EU; jednak kvůli extrémně pomalé rychlosti, s jakou jsou případy zpracovávány, a jednak proto, že úřad často prosazuje "podnikatelsky vstřícný" výklad zákona:
Teprve poté, co Evropský sbor pro ochranu osobních údajů (EDPB) vydal závazné rozhodnutí ve 4,5 roku starém případu společnosti noyb týkajícím se obcházení GDPR ze strany Facebooku, irský úřad DPC začal jednat. Oznámil pokutu ve výši 390 milionů eur a nařídil společnosti Meta, aby si opatřila platné souhlas s personalizovanou reklamou. Během těchto 4,5 roku se DPC často stavěla na stranu společnosti Meta a nyní také vydala výrazně sníženou pokutu. Ostatní orgány musely opakovaně (jednomyslně) DPC přehlasovat.
Kromě Irska je Lucembursko známé tím, že zde sídlí velké společnosti, jako je Amazon, eBay a Paypal, což lucemburskému úřadu přisuzuje zásadní roli regulační autority. Podobně jako v Irsku čeká noyb od roku 2019 na rozhodnutí ve věci stížnosti týkající se Amazonamazonu ohledně porušení práva na přístup, a proto musí nyní noyb podniknout právní kroky proti úřadu.
Kromě "velkých" technologických center v EU existuje také mnoho národních kuriozit. Například francouzské a švédské úřady odmítají, že by uživatelé byli účastníky řízení. Bavorský úřad zase neumožňuje přístup ke spisům. Polský orgán vyžaduje, aby stížnosti byly podávány digitálně, ale fyzické kopírování spisů umožňuje pouze ve Varšavě. Rakouský orgán používá vnitrostátní doložku k uzavření obrovského množství řízení, protože společnost údajně problém vyřešila. Bulharský úřad již léta ignoruje jakoukoli komunikaci e-mailem, telefonicky nebo poštou. Německé soudy ruší rozhodnutí úřadů, zatímco žaloba proti úřadu v Irsku může rychle stát 100 000 eur.
o 764 stížnostech nebylo rozhodnuto. Od května 2018, kdy GDPR vstoupilo v platnost, podala společnost noyb 848 individuálních stížností k různým úřadům pro ochranu osobních údajů v celé Evropě. Příslušné úřady rozhodly pouze o 10 % (84 stížností) případů, přičemž většina z nich byla uzavřena nebo došlo k dohodě se společností, neboť ta porušení napravila. O některých případech bylo rozhodnuto pouze částečně. Přibližně 15 případů se v současné době nachází u vnitrostátních soudů, protože úřady nerozhodly v zákonné lhůtě nebo se noyb odvolaly proti rozhodnutí.
Kvůli nečinnosti úřadů a chybějícímu procesnímu právu se mnoho řízení přesouvá na vnitrostátní soudy, které často nemají potřebné znalosti GDPR. Rozhodnutí jsou často rušena kvůli procesním chybám, kterým se lze vyhnout. Pro mnoho uživatelů není obrátit se na soud finančně možné. Advokátní kanceláře to vědí a záměrně zahlcují úřady a soudy nekonečnými stížnostmi a stovkami stran podání.
Max Schrems:"Letos bude GDPR platit pět let. Zatím z něj mnoho firem úspěšně podvádí, protože vymáhání je jen malé. Sliby GDPR, že ochrana údajů bude účinná a jednoduchá, selhávají kvůli vnitrostátním orgánům v členských státech, které zatím nedokázaly přinést účinné prosazování."