5 vuotta GDPR:ää: Kansalliset viranomaiset pettivät Euroopan lainsäätäjän

5 vuotta GDPR:ää: Kansalliset viranomaiset pettivät Euroopan lainsäätäjän. 85 prosenttia noyb-tapauksista jää ratkaisematta.

Yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta 2018. Vaikka EU:n tietosuojasääntöjen sisältö pysyi pitkälti samana, väitetyn suuri muutos oli GDPR:n tiukka täytäntöönpano. viisi vuotta myöhemmin kansalliset viranomaiset ja tuomioistuimet jättävät EU:n lainsäätäjän suurelta osin pulaan - huolimatta yli 330 miljoonan euron budjetista vuonna 2022.

noyb tarjoaa seuraavat resurssit viiden vuoden vuosipäivänä:

• Yksityiskohtainen tiedot noybinyli 800 GDPR-tapauksesta, josta käy ilmi, että yli 85 prosenttia kaikista noybin tapauksista on ratkaisematta - 470 valitusta on odottanut päätöstä yli 1,5 vuotta
• noyb's "GDPR-loukkukartta", jossa on monia kansallisia menettelytapakysymyksiä, joita voi klikata läpi
• "Maaprofiilit" erityiskysymyksistä Itävalta, Belgia, Ranska, Saksa, Kreikka (FI/ GR), Irlanti, Italia, Luxemburg, Alankomaat (FI/ NL), Puola ja Espanja
• Verkkosivustomme kanssa ehdotus GDPR-menettelyjä koskevaksi asetukseksi jolla voitaisiin ratkaista monet GDPR:n täytäntöönpanoon liittyvät ongelmat

Meta 1,2 miljardin euron sakko on esimerkki siitä, että täytäntöönpano ei toimi. Vaikka 1,2 miljardin euron sakko (jota lykättiin strategisesti "GDPR:n viisivuotisjuhlaviikolle") saattaa nousta otsikoihin, se on itse asiassa osoitus siitä, että täytäntöönpano ei toimi. Sen lisäksi, että tietosuojaviranomaiselta kesti yli kymmenen vuotta tehdä ensimmäinen päätös (josta nyt valitetaan), Max Schremsin oli myös käytävä kolme kertaa oikeudenkäyntiä Irlannin tietosuojaviranomaista vastaan pakottaakseen sen tekemään työnsä. EU:n tuomioistuin (CJEU) ja EDPB käskivät Irlannin kuluttajansuojaneuvostoa kolme kertaa tekemään päätöksensä käsittelemään asian tehokkaasti. Oikeudenkäyntien kustannusten arvioidaan olevan yli 10 miljoonaa euroa.

EU:n lainsäädännön ja kansallisen käytännön törmäys. Yleinen tietosuoja-asetus hyväksyttiin Euroopan parlamentissa 96 prosentin enemmistöllä, ja yhtä lukuun ottamatta kaikki jäsenvaltiot kannattivat lakia. Kansalliset lainsäätäjät ja kansalliset käytännöt iskivät kuitenkin pian sen jälkeen yhteen. Lähes jokaisella jäsenvaltiolla on jokin menettelyllinen temppu tai asia, jolla se pyrkii heikentämään GDPR:ää. Tämä vaihtelee yksityisyyden suojan rikkomisen "kynnysarvon" kaltaisten käsitteiden lisäämisestä siihen, että valituksen "käsitteleminen" voi tarkoittaa myös sen roskakoriin heittämistä. Esimerkkeinä voidaan mainita myös, että Ranskan ja Ruotsin viranomaiset katsovat, että kantelija ei ole asianosainen omassa menettelyssään, kun taas Puolassa viranomaiset vaativat, että matkustat Varsovaan ottaaksesi kännykkäkuvia tiedostoistasi. Olemme kuratoineet yleiskatsauksen "GDPR-loukkukartta" osoittaaksemme joitakin ansoja, joihin tavalliset kansalaiset joutuvat.

Max Schrems, noyb.eu:n puheenjohtaja: "Yleisellä tietosuoja-asetuksella oli erittäin vahva poliittinen tuki. Viisi vuotta yleisen tietosuoja-asetuksen voimaantulon jälkeen viranomaiset ja tuomioistuimet vastustavat yhä paljon lain täytäntöönpanoa. Lainsäätäjä on puhunut, mutta kansalliset tuomioistuimet ja viranomaiset löytävät jatkuvasti uusia tapoja olla kuuntelematta. Usein tuntuu siltä, että GDPR:n heikentämiseen käytetään enemmän energiaa kuin sen noudattamiseen. Vaikka yritykset tietävät, että Irlanti on "go to" -oikeuspaikka, jos tietosuoja-asetusta ei panna täytäntöön, kansalaisille tuskin on "go to" -oikeuspaikkaa, sillä periaatteessa kaikissa jäsenvaltioissa on täytäntöönpanokysymyksiä."

Järjestelmälliset viivästykset. Vaikka poikkeuksellinen sakko nousee kansainvälisiin otsikoihin, noybinpaljon laajempi tapaustietokanta osoittaa, että tietosuojaviranomaiset eivät suurelta osin pane tietosuoja-asetusta täytäntöön ajoissa. Noybin viime vuoden aikana vireille panemista yli 800 tapauksesta85,9 %:a ei ole ratkaistu ja yli 58 %:ssa päätöstä on odotettu yli 18 kuukautta. tietosuoja-asetus edellyttää kuitenkin, että yritysten on vastattava pyyntöihin kuukauden kuluessa, kun taas kansalliset lait edellyttävät usein päätöksiä 3-6 kuukauden kuluessa.

Max Schrems: "Monilla lainkäyttöalueilla päätös saadaan parhaimmillaan kahden vuoden kuluttua - jos päätös ylipäätään saadaan. Käytäntö on yksinkertaisesti kaukana lainsäätäjän aikomuksesta, jonka mukaan valitusten tekeminen olisi ilmaista ja helppoa. Tuhlaamme suurimman osan ajastamme asianhoitajien, tiedostojen ja viranomaisten jahtaamiseen."

Asianmukaisten menettelyjen ja oikeudellisten päätösten puuttuminen. Pitkien viivytysten lisäksi päättyneissä tapauksissa osapuolet olivat suurelta osin sopineet asian tai vetäytyneet siitä (noin 6 % noybintapauksessa) tai päädyttiin johonkin muuhun lopputulokseen (3,4 %), kuten yrityksen poistumiseen EU:n markkinoilta. Vain 3,9 prosentissa kaikista tapauksista tietosuojaviranomainen teki oikeudellisen päätöksen.

Max Schrems: "Monet viranomaiset tekevät kaikkensa välttääkseen päätöksen tekemisen. Usein ne vain "lopettavat" tapaukset ilman päätöstä tai neuvottelevat yritysten kanssa ja pyytävät niitä olemaan niin kilttejä, että ne noudattavat lakia. Suoraviivaisestalainrikkomuksesta ei juurikaan saa suoraa rangaistusta."

Yritykset oppivat sivuuttamaan GDPR:n. Vaikka ala oli aluksi heittänyt raivokohtauksen GDPR:stä ja sen korkeista sakoista, viime vuodet ovat osoittaneet, että tämä pelotevaikutus on pyyhkiytynyt nopeasti pois. Todellisuus osoittaa, että lainsäätäjä ei pystynyt yksinkertaisesti säätämään täytäntöönpanokulttuuria. GDPR:stä on usein tullut pelkkä paperitiikeri.

Max Schrems: "Todellisuus on osoittanut, että EU ei kyennyt säätämään 'täytäntöönpanokulttuuria'. Aggressiivisemmat yritykset ovat nopeasti ymmärtäneet, että seuraukset ovat suurelta osin vain paperilla, ja jatkaneet liiketoimintamallejaan. Suljettujen ovien takana yritykset kertovat hyvin avoimesti, etteivät ne pelkää viranomaisia lainkaan. Lähinnä jo ennestään järkevät yritykset ovat panostaneet säännösten noudattamiseen."

Vaatimus yhdenmukaistamisesta ja täytäntöönpanon valvonnasta. GDPR:n viidentenä vuosipäivänä tarvitsemme kipeästi viranomaisia vaihtamaan vaihteita ja siirtymään vakavasti otettavaan täytäntöönpanokulttuuriin. Tässä voisi auttaa myös Euroopan komission ajatus EU:n menettelysäännöstön hyväksymisestä. Kuitenkin, tällaisen lainsäädännöllisen korjauksen olisi oltava kattava jotta nykyisten menettelyjen monet ongelmat voitaisiin ratkaista. Myös monet jäsenvaltiot voivat parantaa menettelyjään. Listasimme yleisimmät ongelmat tietyissä maissa: Itävalta, Belgia, Ranska, Saksa, Kreikka (FI/ GR), Irlanti, Italia, Luxemburg, Alankomaat (FI/ NL), Puola ja Espanja.

Max Schrems: "Viiden vuoden jälkeen ohjauksen ja armonaikojen aika on selvästi ohi. Jos yleistä pelotetta ei ole, viranomaiset menettävät todennäköisesti jälleen tilanteen hallinnan. Euroopan komissio on ehdottanut uutta asetusta, jolla korjattaisiin menettelyyn liittyviä ongelmia. Selkeät menettelysäännöt ovat hyvä ajatus, mutta niiden on oltava kattavat, jotta ongelma voidaan todella korjata."

Vaaditaan siviilikanteita ja kollektiivisia oikeussuojakeinoja. Pelkästään vuonna 2023 Meta sai lähes 2 miljardin euron sakot noybin ahkeran toiminnan ja oikeustoimien tuloksena, joten siviilikanteet ovat tärkeämpiä kuin koskaan. Kun EU:n kollektiivisia oikeussuojakeinoja koskeva direktiivi otetaan lähiaikoina käyttöön, käyttäjillä on mahdollisuus ryhmittää oikeustoimensa yhteisten "ryhmäkanteiden" avulla. Tällä lähestymistavalla ei ainoastaan vältetä riippuvuutta tietosuojasopimuksista, vaan sillä on myös mahdollisuus saada aikaan tehokkaampi pelotevaikutus kuin oikeussuojakeinoilla GDPR:n sakot, jotka ovat pitkälti teoreettisia.