Στην απόφαση C-416/23, η Αυστριακή Αρχή Προστασίας Δεδομένων (DSB) δέχθηκε ένα χαστούκι στο πρόσωπο από το ΔΕΕ. Η αρχή έχει ορίσει – αυθαίρετα – τον αριθμό των καταγγελιών που μπορούν να υποβάλλουν τα υποκείμενα των δεδομένων σε δύο το πολύ το μήνα, ακόμα κι αν ένα επηρεάζεται σχεδόν καθημερινά από παραβιάσεις του GDPR. Το ΔΕΕ έχει πλέον ξεκαθαρίσει: εφόσον δεν υποβάλλετε καταγγελίες καταχρηστικής χρήσης, όλοι οι χρήστες έχουν το δικαίωμα να ζητήσουν από το DSB να διορθώσει οποιαδήποτε παραβίαση του GDPR. Δυστυχώς, οι ΑΠΔ που προσπαθούν να απαλλαγούν από παράπονα δεν είναι απλώς ένα αυστριακό πρόβλημα. Τα στοιχεία μας δείχνουν ένα πρόβλημα σε όλη την ΕΕ με την αδράνεια της ΑΠΔ.
Μαζική απόλυση και διακοπή. Για χρόνια, το DSB έχει αναπτύξει διάφορες «τεχνικές» για να σταματήσει όσο το δυνατόν περισσότερο τις διαδικασίες εναντίον εταιρειών. Για παράδειγμα, τα υποκείμενα των δεδομένων απειλούνται συχνά με διακοπή της διαδικασίας μετά από κάθε δήλωση μιας εταιρείας, εάν δεν προβάλουν αντίρρηση εντός δύο εβδομάδων. Το DSB διακόπτει επίσης τις διαδικασίες σε μεγάλη κλίμακα εάν μια εταιρεία (μετά από χρόνια διαφωνίας) συμμορφωθεί με τον GDPR την τελευταία στιγμή. Το πιο πρόσφατο «κόλπο» ήταν να περιοριστεί ο αριθμός των καταγγελιών σε δύο ανά μήνα – παρόλο που οι χρήστες επηρεάζονται μερικές φορές από παραβιάσεις του GDPR κάθε ώρα. Αυτό το «κόλπο» έχει πλέον ακυρωθεί από το ΔΕΕ αφού ένας πολίτης άσκησε μια υπόθεση εναντίον του DSB που κλιμακώθηκε μέχρι το ΔΕΕ – αλλά οι άλλοι τρόποι απαλλαγής από καταγγελίες εξακολουθούν να χρησιμοποιούνται.
Max Schrems: «Έχετε πάντα θεμελιώδη δικαιώματα – όχι μόνο δύο φορές το μήνα. Εάν το DSB τιμωρούσε με συνέπεια τις παραβιάσεις, θα υπήρχαν επίσης λιγότερες καταγγελίες. Αντίθετα, η αρχή χρησιμοποιεί διάφορες τεχνικές για να απαλλαγεί από τους καταγγέλλοντες. Οι εταιρείες έχουν μάθει ότι δεν υπάρχουν συνέπειες. Με διάφορα διαδικαστικά κόλπα, ένα μεγάλο ποσοστό καταγγελιών αποτρέπεται – και οι εταιρείες συνεχίζουν ευτυχώς να παραβιάζουν το νόμο».
Μόνο το 1,36% όλων των διαδικασιών καταλήγει σε πρόστιμο. Το DSB δηλώνει επί του παρόντος ότι το 2023 διεξήγαγε 4.030 διαδικασίες (2.389 εθνικές καταγγελίες, 876 διασυνοριακές καταγγελίες και 765 αυτεπάγγελτες διαδικασίες). Ωστόσο, σε ολόκληρο το έτος επιβλήθηκαν μόνο 55 πρόστιμα . Αυτό σημαίνει ότι στατιστικά μόνο το 1,36% όλων των διαδικασιών τελειώνει με πρόστιμο. Συγκριτικά: 8,34 εκατομμύρια πρόστιμα κυκλοφορίας επιβλήθηκαν στην Αυστρία το 2021. Σε περιόδους αιχμής το 2023, περισσότερα από 7.000 πρόστιμα για εσφαλμένα παρκαρισμένα ηλεκτρονικά σκούτερ εκδόθηκαν κάθε μήνα στη Βιέννη. Στατιστικά, θα χρειαζόταν το DSB 127 χρόνια για να εκδώσει αυτές τις 7.000 ποινές. Ωστόσο, πολλές παραβιάσεις του GDPR είναι τόσο ασήμαντες όσο και οι παραβάσεις στάθμευσης. Τα αιτήματα των χρηστών απλώς δεν υποβάλλονται σε επεξεργασία, δεν λαμβάνεται συναίνεση ή τα δεδομένα δεν διαγράφονται.
Max Schrems: «Στις ώρες αιχμής, επιβλήθηκαν έως και 7.000 μηνιαία πρόστιμα μόνο στη Βιέννη για παράνομα παρκαρισμένα ηλεκτρονικά σκούτερ. Αντίθετα, η αρχή προστασίας δεδομένων επέβαλε μόνο 55 κυρώσεις το 2023. Ο μέσος παραβάτης στάθμευσης έχει περισσότερα να φοβηθεί από εταιρείες που κάνουν κατάχρηση προσωπικών δεδομένων κατά εκατομμύρια. Σε περισσότερο από το 98% όλων των υποθέσεων ενώπιον του DSB, δεν υπάρχουν κυρώσεις. Οι εταιρείες που συμμορφώνονται με το νόμο φαίνονται ανόητες».
Όχι μόνο αυστριακό πρόβλημα. Αυτό το πρόβλημα δεν είναι μοναδικό στην Αυστρία, αλλά αφορά τις αρχές προστασίας δεδομένων σε όλη την Ευρώπη. Το 2022 (το τελευταίο έτος με αριθμούς σε όλη την ΕΕ), όλες οι ευρωπαϊκές ΑΠΔ είχαν συνολικά 140.106 διαδικασίες – αλλά εξέδωσαν μόνο 1819 πρόστιμα σε εταιρείες. Αυτό σημαίνει ότι μόνο στο 1,3% των περιπτώσεων υπήρξε σοβαρή συνέπεια. Αυτό δείχνει ξεκάθαρα ότι υπάρχει πρόβλημα σε ολόκληρη την ΕΕ με την αδράνεια της ΑΠΔ και τις αρχές να καθυστερούν τις διαδικασίες.
Max Schrems: «Βλέπουμε ότι οι αρχές προστασίας δεδομένων δεν αναλαμβάνουν πραγματικά δράση σε ολόκληρη την ΕΕ. Το Δικαστήριο τους έχει πει επανειλημμένα ότι πρέπει να συνεννοηθούν, αλλά τα στατιστικά στοιχεία δεν αντικατοπτρίζουν αυτό».
Οι διαδικασίες διαρκούν χρόνια – αντί για μήνες. Σύμφωνα με την § 73 AVG, το DSB πρέπει να αποφασίσει εντός 6 μηνών. Στην πραγματικότητα, οι διαδικασίες σχεδόν πάντα διαρκούν πολύ περισσότερο. Για παράδειγμα, τα 3 χρόνια για μια απόφαση σχετικά με ένα παράνομο banner cookie δεν αποτελούν εξαίρεση. Τα στατιστικά στοιχεία για την Αυστρία δείχνουν πολλές περιπτώσεις που περιμένουν πάνω από 6 μήνες για μια απόφαση. Περαιτέρω προσφυγές στο Ομοσπονδιακό Διοικητικό Δικαστήριο χρειάζονται επίσης αρκετά χρόνια αντί των 6 μηνών που προβλέπει ο νόμος. Ως αποτέλεσμα, η επιβολή του νόμου στην Αυστρία δεν συμμορφώνεται σε καμία περίπτωση με τη νομοθεσία της ΕΕ.
Max Schrems: "Δεν έχω δει ποτέ μια διαδικασία DSB που αποφασίστηκε εντός της νόμιμης προθεσμίας. Αντί για τους προγραμματισμένους έξι μήνες, μιλάμε συχνά για τρία χρόνια ή περισσότερα, ακόμη και στην περίπτωση εντελώς ασήμαντων υποθέσεων όπως ένα παράνομο πανό cookie Το DSB είναι δομικά ανίκανο να επιβάλει αποτελεσματικά τον νόμο».
Προβλήματα προϋπολογισμού; Ένα πρόστιμο της Google θα πλήρωνε για τη σήραγγα βάσης του Μπρένερ. Η Αυστριακή Αρχή Προστασίας Δεδομένων (DSB) ζητούσε υψηλότερο προϋπολογισμό εδώ και χρόνια. Από το 2020, ο αριθμός του προσωπικού αυξήθηκε από 43 σε 60 . Θα άξιζε τον κόπο να παράσχει το κράτος τους απαραίτητους πόρους: το DSB δεν είναι μόνο άμεσα υπεύθυνο για εταιρείες στην Αυστρία, αλλά και για πολλές διεθνείς εταιρείες, συμπεριλαμβανομένης της Google USA. Μια ενιαία ποινή που θα επιβληθεί στην Google θα μπορούσε να ανέλθει σε έως και 6 δισεκατομμύρια ευρώ – δηλαδή περισσότερο από το μερίδιο της Αυστρίας στη βασική σήραγγα του Μπρένερ ή ένα μεγάλο μέρος του τρέχοντος δημοσιονομικού ελλείμματος των 15 έως 23 δισεκατομμυρίων ευρώ.
Max Schrems: «Εάν το DSB ξυπνήσει τελικά από τον λήθαργο και λάβει έναν αξιοπρεπή προϋπολογισμό για να το κάνει, θα μπορούσε γρήγορα να αποδώσει. Μια ποινή GDPR κατά της Google, για παράδειγμα, είναι μεγαλύτερη από το μερίδιό μας στη σήραγγα βάσης του Brenner – απλώς για να σας δώσουμε μια ιδέα της κλίμακας. Αλλά το DSB πρέπει επίσης να γίνει πιο αποτελεσματικό. Δεν μπορείς απλώς να ζητάς μεγαλύτερο προϋπολογισμό και μετά να συνεχίζεις να αποτυγχάνεις να διεκπεραιώνεις υποθέσεις διαρθρωτικά».
