Prohlášení ke 4 letům GDPR
GDPR nezměnilo kulturu nedodržování předpisů. Když 25. května 2018 začalo GDPR platit, bylo vnímáno jako přelomový okamžik. Komentáře se pohybovaly někde mezi tím, že EU začala brát ochranu osobních údajů vážně, a tím, že se internet o půlnoci zhroutí. Uplynulé čtyři roky ukázaly, že samotný zákon nezmění obchodní modely, které jsou založeny na zneužívání osobních údajů, a kulturu v rámci profese ochrany osobních údajů, která se často zaměřuje na zakrývání nedodržování předpisů. Po prvním momentu šoku se velká část datového průmyslu naučila s GDPR žít, aniž by skutečně změnila praxi. Děje se tak především tím, že práva uživatelů jednoduše ignorují a prochází jim to.
Kultura GDPR: otevřený výsměch a nepřátelství. To se často projevuje tím, že jsou základní práva bagatelizována. Základní právo na ochranu údajů není respektováno a vnímáno jako výsledek dlouhého demokratického procesu, ale je zesměšňováno jako šílené nebo "nemožné dodržet". Orgány a neziskové organizace, které se snaží prosazovat právo v jeho současné podobě, se setkávají s otevřeným nepřátelstvím a obviněními, jako že prosazování práva by "zabilo inovace". Málokterá jiná oblast práva je v takové míře politizována - alespoň jsem nikdy neslyšel, že by stavební nebo daňové předpisy byly otevřeně ignorovány s argumentem, že jejich dodržování by "podkopalo obchodní model" firmy. Bublina soukromí takové narativy přijímá jako legitimní argument.
Dynamika dodržování GDPR. GDPR se (zatím) nepodařilo dostat z již existujícího stavu: sestupné spirály stále většího nedodržování a nevynucování. Stejně jako když se části města stanou kriminální "no go" zónou, kterou policie opustí, zdá se, že mnohé orgány pro ochranu údajů ztratily v mnoha oblastech digitální sféry navrch. Společnosti si uvědomují, že konkurence nedodržuje předpisy a že jednat legálně se nevyplácí. Čím více se nedodržování předpisů rozšíří, tím těžší bude pro orgány získat zpět kontrolu s omezenými zdroji.
Nedostatečné prosazování ze strany orgánů pro ochranu údajů. Absence skutečného vymáhání, a tedy i odstrašujícího účinku na ostatní společnosti přilévá olej do ohně. Z přibližně 50 případů napříč zeměmi, které noyb podal v posledních čtyřech letech, se zatím žádný nedočkal konečného rozhodnutí. Měsíc od měsíce bude bez řádného vymáhání stále těžší dostat tuto situaci zpět na správnou cestu. Zatímco některé úřady se zřejmě obávají spíše vnímání veřejnosti, pokud by zákon skutečně vymáhaly, jiné si zřejmě situaci uvědomily a dělají vše pro to, aby se daly do pohybu. Nicméně čas tlačí a zdá se, že se blížíme k situaci, kdy bude GDPR zcela ignorováno - stejně jako předchozí směrnice EU o ochraně osobních údajů z roku 1995.
Technické problémy. V praxi se orgány (a subjekty údajů) často potýkají s velmi technickými problémy, které vznikají v důsledku různých vnitrostátních postupů, omezených zdrojů, nedostatku vyškolených osob nebo soudů, které rychle ruší rozhodnutí. Tyto problémy nepřitahují titulky novin, ale jsou důvodem, proč se do dnešní doby noyb musí zabývat procesními záležitostmi více než otázkami ochrany osobních údajů.
noyb: Nejdříve vás ignorují, pak s vámi bojují, pak vyhrajete. V tomto širším kontextu zaznamenala role noyb v roce 2022 velmi zajímavý posun. Mnoho hráčů v oboru považuje za urážku, že uživatelé mohou skutečně požadovat dodržování GDPR a mohou se skutečně odvážit obrátit se na soud kvůli svým právům. Zatímco soudy jsou obvykle přirozeným prostředím každého právníka, u právníků vidíme stále větší rozhořčení nad naší prací. Osobně to vnímám jako známku našeho mimořádného úspěchu malé organizace, která byla ještě před rokem či dvěma ignorována.
Cesta vpřed. U mnoha základních práv trvalo celá staletí, než byla zavedena, obhájena a uplatněna. Všechna jsou neustále napadána a je třeba na nich pracovat každý den. Nemělo by nás překvapit, že totéž platí i pro právo na ochranu údajů. Úřady se budou muset naučit, že donucovací orgány nemá nikdo rád - ale že jejich úloha je pro naši digitální společnost klíčová. Společnosti se musí naučit, že to má své důsledky. Průmysloví právníci se budou muset naučit, že jejich názory budou zpochybňovány před orgány pro ochranu údajů a soudy. Aktivisté za ochranu soukromí se budou muset naučit, že nestačí pouze přijmout zákon - ale je třeba ho také vymáhat. Velmi se těšíme na práci v této oblasti v příštích letech.
