Od roku 2018 má GDPR zajistit, aby Evropané měli práva na ochranu osobních údajů v celé EU. Pokud však práva lidí porušují společnosti se sídlem v jiném členském státě EU/EHP, stížnosti se řeší prostřednictvím složitého "mechanismu spolupráce" mezi úřadem pro ochranu osobních údajů (DPA) v členském státě uživatele a úřadem pro ochranu osobních údajů v členském státě společnosti. Tento mechanismus prosazování je jádrem obecně uznávaného selhání prosazování GDPR. Stížnosti se ztrácejí, rozhodování trvá roky a prakticky neexistuje možnost zasáhnout proti nečinným orgánům pro ochranu údajů. EU se odhodlala tento problém vyřešit prostřednictvím "procesního nařízení o GDPR". Nyní je však zřejmé, že se chystá žalostně selhat. Závěrečná takzvaná "trialogová" jednání mezi Evropským parlamentem, členskými státy a Evropskou komisí vedla k legislativnímu zmatku, který pravděpodobně učiní postupy složitějšími, pomalejšími a náchylnějšími k právním námitkám. noyb pečlivě sleduje tento spis a nyní vydává veřejné varování. Na spisu je třeba intenzivně pracovat dál. Zdá se, že současný přístup situaci celkově zhoršuje.
- Legislativní observatoř EU s veškerými informacemi o legislativním postupu
- Seznam klíčových aktérů (PDF)
- Přehled plánovaného postupu (PDF)
z "jednoduššího a rychlejšího" se stalo "složité a nestabilní". GDPR zatím předpokládá, že orgány pro ochranu osobních údajů (OOÚ) ve 30 zemích EU/EHP by měly "spolupracovat", ale neobjasňuje, jak by tato spolupráce měla podrobně probíhat. Postupy jednotlivých států se značně liší. Požadavky na slyšení stran, sdílení důkazů nebo formální vydání platného rozhodnutí se v jednotlivých členských státech liší. Základy, jako je sdílení informací o případu se všemi orgány, v praxi nefungují. Celkově to vede k extrémně pomalým postupům podle GDPR, ztraceným dokumentům a neúspěšným žalobám na vymáhání práva. I jednoduché případy, jako je žádost subjektu údajů o přístup k informacím, mohou trvat 5 i více let. Když Evropská komise oznámila, že tento nepořádek napraví prostřednictvím "procesního nařízení o GDPR", bylo hlavním příslibem konečně dosáhnout účinného prosazování prostřednictvím rychlejších, racionálnějších a jednodušších postupů.
V současné podobě se však orgány EU chystají vytvořit přesný opak: ještě složitější, nepružnější a nekonzistentnější procesní noční můru, která prosazování GDPR nezlepší, ale naopak sníží.
Evropská komise před předložením svého návrhu nikdy neprovedla řádné posouzení dopadů a nezapojila zúčastněné strany, zjevně jí chybí základní procesní know-how. V návaznosti na nefunkční návrh Komise předložila Rada polovičatý postoj, protože belgické předsednictví EU chtělo spis rychle "uzavřít" do léta 2024. Zdá se, že Evropský parlament, na rozdíl od prvních slibných kroků, které podnikl k zásadní reformě návrhu Komise v předchozím funkčním období, se pod svým novým vedením vzdal téměř všech ambicí.
Celkově vzato se tato legislativní iniciativa pro EU jistě stane ostudou - zejména po nedávných slibech, že konečně vezme základní práva Evropanů na ochranu údajů a soukromí vážně a dokáže světu, že GDPR je zlatým standardem - nejen na papíře. Očekávaný výsledek by byl také v rozporu se snahou EU omezit složitá pravidla a zlepšit právní kvalitu právních předpisů EU. Namísto pouhého zjednodušení základního postupu by projednávané návrhy textů vedly ke zhruba deseti typům možných postupů GDPR - s různými dílčími variantami, odbočkami a zákrutami.
Max Schrems, předseda sdružení noyb.eu: "Zpočátku jsme velmi podporovali, aby byla stanovena jasná procesní pravidla. U tohoto návrhu však hrozí, že se stane největším legislativním zmatkem, jaký jsem za dlouhou dobu viděl. Ačkoli se zdá, že Rada a Evropský parlament se obecně shodují na tom, že návrh Komise potřebuje podstatné změny, zdá se, že se jim nepodařilo vyléčit strukturální problémy, ale spíše přidat ještě více a složitějších prvků. Evropský parlament zcela rezignoval na zavádění osvědčených procedurálních přístupů. Výsledkem je přetížený systém, který postupy ještě více zkomplikuje a zpomalí. Řada prvků má tak nízkou právní kvalitu, že tento zákon problémy nevyřeší - ale vyvolá další spory."
Šťastný, když jsou všichni nešťastní? Zatímco mnohé evropské politické bitvy se odehrávají mezi dvěma zájmovými skupinami, v tomto případě se zdá, že šlo o boj mezi kvalitní tvorbou práva a přístupem, který není ani funkční, ani v souladu s nejzákladnějšími procesními principy. Navzdory varováním odborníků se dokumentace prostě stále dokola protlačuje procesem. Mnozí se za zavřenými dveřmi vyjádřili, že text je "shit show" nebo že jednání v rámci trialogu bohužel dospěla do bodu, kdy je tvorba právních předpisů "továrna na klobásy, která vyrábí klobásy - bez ohledu na obsah". Přestože se zdálo, že si mnozí aktéři tento problém uvědomili, bylo podniknuto jen málo kroků. Společným tématem se zdá být "schválit to tak či onak - hlavně, že je to mimo můj stůl."
Max Schrems: " Toto nařízení mohlo změnit pravidla hry pro výkon základních práv lidí. Místo toho to vypadá, že promarní tisíce hodin na již tak přetížených úřadech předepisováním různých zbytečných a příliš složitých procesních kroků, což znamená miliony z peněz daňových poplatníků. Zároveň budou postupy pomalejší a také složitější jak pro podnikatele, tak pro občany. Vymáhání práv běžných lidí podle GDPR bude ještě obtížněji dosažitelné. Podniky se pravděpodobně dočkají větší právní nejistoty, nepřesných rozhodnutí a vyšších nákladů na dodatečné papírování a nutná odvolání."
Středověké procesní přístupy - místo práv stran. Původní návrh Evropské komise se nesl v autoritářském duchu. "Vedoucí" orgány pro ochranu údajů ve stejné zemi jako podnik (např. nechvalně proslulé irské DPC) byly co nejvíce chráněny před nutností spolupracovat s ostatními orgány pro ochranu údajů a před vyslechnutím dotčených stran. Tímto způsobem měly být schopny vést řízení samy, aniž by je kdokoli obtěžoval. Tento přístup je však pravým opakem moderní, efektivní a transparentní správy. Pro dosažení věcně správných a široce přijatelných rozhodnutí je zásadní zapojit účastníky řízení v rané fázi. Koneckonců podniky nejlépe vědí, jak jejich systémy fungují, a stěžovatelé nejlépe vědí, jaký je jejich problém s GDPR. Místo toho Komise postavila řízení na čistě "inkvizičním systému" - doslova středověký přístup z 12. století. Řada dokumentů a rozhodnutí v řízení je vydávána ještě předtím, než proběhlo jakékoli šetření nebo slyšení stran. Zdá se, že mnoho konceptů bylo převzato z praxe irského komisaře pro ochranu údajů - orgánu pro ochranu údajů, který vyvolal nejvíce sporů s ostatními orgány pro ochranu údajů a který je znám extrémně pomalými a chaotickými postupy. Není jasné, jak budou příslušné prvky navrhovaného zákona (zejména v článcích 9 až 17) spolupracovat s mnohem modernějšími vnitrostátními postupy. Nařízení řádně nedefinuje vzájemné působení práva EU a vnitrostátního práva.
Max Schrems: "Přístup Komise EU spočíval v tom, že předpokládala, že orgány pro ochranu údajů znají vše. Namísto vyslechnutí stran, jak je tomu téměř ve všech členských státech EU, Komise EU předpokládala, že strany budou vyslechnuty až na konci šetření prostřednictvím "předběžného rozhodnutí". Práva stran by tak byla velmi omezena. Tento přístup je náchylný k tomu, aby vedl k velkému počtu nepřesných rozhodnutí. Koneckonců společnosti nejlépe vědí, jak jejich systémy fungují, a stěžovatelé nejlépe vědí, v čem spočívá jejich problém. Je zcela nejasné, jak se tyto koncepce vzájemně ovlivňují s vnitrostátními procesními pravidly. Článek, který by to objasnil, byl rovněž vypuštěn."
"Rychlá" řízení: 3 nebo 33 měsíců? Zdá se, že jednou z posledních nevyřešených otázek současných jednání jsou lhůty pro řízení. Orgány pro ochranu údajů zatím uvádějí, že průměrná doba pro vydání rozhodnutí je přibližně 8 měsíců. V členských státech, které již takovou lhůtu zavedly, se průměr pohybuje na úrovni zhruba 4,5 měsíce. Proto nebylo iracionální, že Evropský parlament navrhl lhůtu 3 měsíce v jednoduchých případech a až 9 měsíců v ostatních případech. Rada však údajně navrhla lhůtu pro rozhodnutí až 33 měsíců. Zatím nedošlo k dohodě, zda uživatelé mohou podat žalobu ve své domovské zemi. Místo toho budou možná muset žalovat zahraniční orgán pro ochranu údajů v jiné jurisdikci EU kvůli průtahům. To by pro většinu lidí znamenalo prakticky nemožné řešení.
Max Schrems: "Úřady uvádějí, že řízení trvá v průměru asi 8 měsíců. Některé návrhy členských států uvádějí 33 měsíců. Bylo by to poprvé, kdy by bylo možné vznést námitku zpoždění i u Soudního dvora, který zase může o žalobě kvůli zpoždění rozhodovat roky. To je v podstatě volná ruka pro orgány pro ochranu údajů, aby mohly řízení protahovat donekonečna..."
Nedostatek procesního know-how. Jedním ze strukturálních důvodů pochybného výsledku tohoto procesu mohlo být to, že jak Evropská komise, tak Parlament a Rada se téměř nikdy nezabývaly právními předpisy v oblasti procesního práva. Procesní právo je v současné době doménou členských států. EU dosud nevydala žádné relevantní správní procesní právo napříč zeměmi. I v rámci členských států se procesním právem obvykle zabývají odborní právníci na samostatných katedrách na univerzitách a specializovaných útvarech na národních ministerstvech spravedlnosti. Celkově se zdá, že tento návrh by potřeboval mnohem větší přípravu a investice, aby se předešlo současné situaci, kdy se zdá, že zákonodárci EU pouze překopávají.
Max Schrems: "Existuje zvláštní druh právníků, kteří se zabývají procesním právem. Toto know-how v této dokumentaci zjevně chybělo. Je to, jako kdybych se zítra začal zabývat astrofyzikou - výsledek by pravděpodobně nebyl pro lidstvo nijak přínosný".
