Όταν ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) τέθηκε σε ισχύ το 2018, εγκαινίασε μια νέα εποχή προστασίας δεδομένων στην ΕΕ. Τουλάχιστον στα χαρτιά. Στους καταναλωτές δόθηκαν τα εργαλεία για να υπερασπιστούν τα θεμελιώδη δικαιώματά τους, ενώ οι αρχές έλαβαν σοβαρές εξουσίες έρευνας και τη δυνατότητα να επιβάλλουν κυρώσεις για παραβιάσεις με βαριά πρόστιμα. Σχεδόν 7 χρόνια μετά, η πραγματικότητα είναι πολύ πιο ζοφερή. Με αφορμή τη φετινή Ημέρα Προστασίας Δεδομένων, στις 28 Ιανουαρίου, το noyb ανέλυσε τα τρέχοντα στατιστικά στοιχεία του EDPB σχετικά με την (α)δραστηριότητα των εθνικών αρχών προστασίας δεδομένων (ΑΠΔ). Τα στοιχεία δείχνουν ότι, κατά μέσο όρο, μόνο το 1,3% των υποθέσεων πριν από τις ΑΠΔ καταλήγουν σε πρόστιμο. Ωστόσο, οι επαγγελματίες προστασίας δεδομένων λένε ότι τα πρόστιμα είναι ο πιο αποτελεσματικός τρόπος για να διασφαλιστεί ότι οι εταιρείες συμμορφώνονται με τη νομοθεσία.
Αυστηρή επιβολή GDPR μόνο στα χαρτιά. Όταν ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) τέθηκε σε ισχύ τον Μάιο του 2018, υποσχέθηκε μια στροφή προς μια σοβαρή προσέγγιση για την προστασία των δεδομένων. Οι ευρωπαίοι καταναλωτές που πλήττονται από παραβιάσεις της ιδιωτικής ζωής έλαβαν τα απαραίτητα εργαλεία για να παραπονεθούν στις εθνικές αρχές προστασίας δεδομένων (DPA) – οι οποίες ήταν εξοπλισμένες με τις απαραίτητες εξουσίες για τη διερεύνηση κάθε είδους παραβιάσεων και την έκδοση διοικητικών προστίμων για την αποτροπή παρόμοιων αδικημάτων στο μέλλον. Δυστυχώς, τα τελευταία 7 χρόνια έδειξαν ότι αυτό ήταν ως επί το πλείστον ευχολόγια. Αυτό επιβεβαιώνεται από μια νέα ανάλυση των στατιστικών του EDPB σχετικά με τη δραστηριότητα των αρχών μεταξύ 2018 και 2023: Κατά μέσο όρο, μόνο το 1,3% των υποθέσεων ενώπιον των ΑΠΔ καταλήγουν στην πραγματικότητα σε πρόστιμο. Αυτό είναι σύμφωνο με τη δική μας πρακτική εμπειρία: Οι περισσότερες υποθέσεις ανασύρονται για πολλά χρόνια, προτού κλείσουν με διακανονισμό ή απορριφθούν εντελώς.
Max Schrems: «Οι ευρωπαϊκές αρχές προστασίας δεδομένων διαθέτουν όλα τα απαραίτητα μέσα για να επιβάλλουν επαρκείς κυρώσεις για παραβιάσεις του GDPR και να επιβάλλουν πρόστιμα που θα αποτρέψουν παρόμοιες παραβιάσεις στο μέλλον. Αντίθετα, συχνά καθυστερούν τις διαπραγματεύσεις για χρόνια – μόνο και μόνο για να αποφασίσουν ενάντια στα συμφέροντα του καταγγέλλοντα πολύ συχνά».
Κανένα πραγματικό θετικό παράδειγμα. Ενώ ορισμένες αρχές προστασίας δεδομένων φαίνεται να επιβάλλουν πολύ περισσότερα πρόστιμα από άλλες, τα νούμερα είναι όλα σε μονοψήφιο ποσοστό – ή ακόμη χαμηλότερα. Έχοντας επιβάλει πρόστιμα στο 6,84% όλων των υποθέσεων (υπολογίζοντας τόσο τις καταγγελίες όσο και τις έρευνες αυτεπάγγελτης) μεταξύ 2018 και 2023, η Σλοβακική DPA ηγείται των στατιστικών. Ακολουθούν η Βουλγαρία (4,19%), η Κύπρος (3,12%), η Ελλάδα (2,65%) και η Κροατία (2,54%). Στο άλλο άκρο του φάσματος, η ολλανδική αρχή έχει εκδώσει πρόστιμα στο 0,03% (!) όλων των περιπτώσεων, ακολουθούμενη από τη Γαλλία (0,10%), την Πολωνία (0,18%), τη Φινλανδία (0,21%), τη Σουηδία (0,25%). και φυσικά την Ιρλανδία (0,26%). Οι υπόλοιπες χώρες βρίσκονται κάπου στο ενδιάμεσο.
Κάντε κλικ εδώ για να δείτε την πλήρως διαδραστική έκδοση του χάρτη παρακάτω.
Κάντε κλικ εδώ για να δείτε την πλήρως διαδραστική έκδοση του παραπάνω χάρτη.
Ένα φαινόμενο ειδικό για την προστασία δεδομένων. Αυτή η προφανής έλλειψη σοβαρών συνεπειών για παραβιάσεις του νόμου φαίνεται να είναι πολύ συγκεκριμένη για την προστασία δεδομένων. Ας πάρουμε ως παράδειγμα την Ισπανία: Το 2022, η ισπανική DPA έλαβε 15.128 καταγγελίες , αλλά εξέδωσε μόνο 378 πρόστιμα . Αυτό σημαίνει ότι, στατιστικά, μόνο το 2,5% όλων των καταγγελιών κατέληξαν σε πρόστιμο. Αυτό περιλαμβάνει προφανείς παραβιάσεις, όπως αναπάντητα αιτήματα πρόσβασης ή παράνομα banner cookie, τα οποία θα μπορούσαν - θεωρητικά - να αντιμετωπιστούν γρήγορα και με τυποποιημένο τρόπο. Συγκριτικά: 3,7 εκατομμύρια εισιτήρια υπέρβασης ταχύτητας εκδόθηκαν στην Ισπανία το 2022 (εξαιρουμένης της Χώρας των Βάσκων και της Καταλονίας). Παρόμοια σύγκριση μπορεί να γίνει βασικά για οποιοδήποτε άλλο κράτος μέλος της ΕΕ .
Max Schrems: «Κατά κάποιον τρόπο, μόνο οι αρχές προστασίας δεδομένων δεν μπορούν να παρακινηθούν να επιβάλουν πραγματικά τον νόμο που τους έχουν ανατεθεί. Σε κάθε άλλο τομέα, οι παραβάσεις του νόμου επιφέρουν τακτικά χρηματικά πρόστιμα και κυρώσεις. Αυτή τη στιγμή, οι ΑΠΔ συχνά φαίνεται να ενεργούν προς το συμφέρον των εταιρειών και όχι των ενδιαφερομένων ανθρώπων».
Τα δεδομένα δείχνουν: περισσότερα πρόστιμα = περισσότερη συμμόρφωση. Αν και αυτοί οι αριθμοί δεν προκαλούν έκπληξη, είναι ωστόσο ανησυχητικοί. Μια δημοσκοπική έρευνα μεταξύ επαγγελματιών προστασίας δεδομένων δείχνει ότι είναι ακριβώς τα χρηματικά πρόστιμα που παρακινούν τις εταιρείες να συμμορφωθούν με τη νομοθεσία. Όταν ρωτήθηκαν για τα πιο αποτελεσματικά μέτρα επιβολής, το 67,4% των ερωτηθέντων απάντησαν ότι οι αποφάσεις της DPA κατά της δικής τους εταιρείας που περιλαμβάνουν πρόστιμο θα επηρεάσουν τους υπεύθυνους λήψης αποφάσεων να επιλέξουν μεγαλύτερη συμμόρφωση. Είναι ενδιαφέρον ότι το 61,5% των ερωτηθέντων είπε ότι ακόμη και τα πρόστιμα της DPA εναντίον άλλων οργανισμών θα επηρέαζαν τη συμμόρφωση της εταιρείας τους με τον GDPR.
Κάντε κλικ εδώ για να δείτε το πλήρως διαδραστικό γράφημα παρακάτω.
Κάντε κλικ εδώ για να δείτε το πλήρως διαδραστικό γράφημα παραπάνω.
Τα επιβληθέντα πρόστιμα είναι ένα αστείο. Εξετάζοντας προσεκτικότερα το ύψος των προστίμων που επιβάλλουν οι εθνικές αρχές κάθε χρόνο, καθιστά το θέμα ακόμη πιο ξεκάθαρο. Η Ιρλανδία (475.902.000 ευρώ μέσο ποσό προστίμου/έτος) και το Λουξεμβούργο (124.395.729 ευρώ μέσο ποσό προστίμου/έτος) προηγούνται στα στατιστικά στοιχεία μεταξύ 2018 και 2023 με μεγάλη διαφορά. Με την πρώτη ματιά, αυτό μπορεί να ακούγεται σαν πολλά χρήματα. Αλλά πραγματικά δεν είναι. Σχεδόν όλες οι μεγάλες εταιρείες τεχνολογίας όπως η Apple, η Google, η Meta και η Microsoft βρίσκονται στην Ιρλανδία, καθιστώντας την ιρλανδική DPC την κύρια αρχή για μερικές από τις μεγαλύτερες υποθέσεις που έγιναν ποτέ. Το Λουξεμβούργο, από την άλλη πλευρά, είναι υπεύθυνο για εταιρείες όπως η Amazon. Στην πραγματικότητα, το DPC πρέπει να αναγκαστεί στη δική του καλή τύχη. noyb 's δύο μεγαλύτερες υποθέσεις εναντίον Η Meta έπρεπε να κάνει μια παράκαμψη προς το EDPB προτού η DPC επιβάλει τελικά πρόστιμο στην εταιρεία συνολικά σχεδόν 1,6 δισεκατομμύρια ευρώ. Εάν αφαιρέσετε αυτό το ποσό, δεν μένουν πολλά.
Περισσότερος προϋπολογισμός, περισσότερες αποφάσεις; Ορισμένες αρχές υποστηρίζουν επανειλημμένα ότι θα χρειάζονταν μόνο περισσότερους προϋπολογισμούς και πόρους για να λάβουν πιο έγκαιρες – και με μεγάλο αντίκτυπο – αποφάσεις. Εξετάζοντας τα στατιστικά στοιχεία του EDPB , ο προϋπολογισμός των αρχών αυξήθηκε έως και 130% μεταξύ 2020 και 2024. Η ολλανδική αρχή, για παράδειγμα, κατέγραψε αύξηση προϋπολογισμού 62% μέσα σε τέσσερα χρόνια – χωρίς σημαντική αύξηση των προστίμων. Για να το θέσουμε σε προοπτική: Το 2023, η ολλανδική DPA είχε προϋπολογισμό σχεδόν 37 εκατ. ευρώ, αλλά επέβαλε μόνο πρόστιμα 1,98 εκατ. ευρώ. Πρόκειται για μια διαφορά σχεδόν 35 εκατ. ευρώ, που θα αφήσει τεράστια τρύπα στον κρατικό προϋπολογισμό. Ωστόσο, αυτό το έλλειμμα θα μπορούσε να αντισταθμιστεί με ισχυρή επιβολή. Τα πρόστιμα GDPR πηγαίνουν στην πολιτεία της ηγετικής αρχής.
Κάντε κλικ εδώ για να δείτε το πλήρως διαδραστικό γράφημα παρακάτω.
Κάντε κλικ εδώ για να δείτε το πλήρως διαδραστικό γράφημα παραπάνω.
Σχεδόν το 40% όλων των προστίμων χάρη στο noyb . Αυτό το μοτίβο μπορεί να παρατηρηθεί σε ολόκληρη την ΕΕ: Μεταξύ 2018 και 2023, όλες οι αρχές προστασίας δεδομένων της ΕΕ επέβαλαν συνολικά πρόστιμα ύψους 4,29 δισεκατομμυρίων ευρώ – εκ των οποίων τα 1,69 δισεκατομμύρια ευρώ προήλθαν από δικαστικές διαφορές. Με άλλα λόγια: Σχεδόν το 40% όλων των προστίμων GDPR ανάγονται στο noyb . Αυτό σημαίνει ότι, στην πραγματικότητα, φαίνεται μάλλον να υπάρχει έλλειψη πολιτικής βούλησης για να αντισταθούμε σε τεχνολογικούς γίγαντες παρά έλλειψη δυνατοτήτων δράσης.
