Tuomiossa C-416/23 Itävallan tietosuojaviranomainen (DSB) sai EU:n tuomioistuimelta läimäyksen kasvoihin. Viranomainen on - mielivaltaisesti - asettanut valitusten määräksi, jonka rekisteröidyt voivat tehdä, enintään kaksi valitusta kuukaudessa, vaikka tietosuoja-asetuksen rikkomukset koskisivat heitä lähes päivittäin. EUT on nyt tehnyt asian selväksi: niin kauan kuin et tee valituksia väärin perustein, kaikilla käyttäjillä on oikeus saada kaikki GDPR:n rikkomukset korjatuksi DSB:ssä. Valitettavasti tietosuojaviranomaisten pyrkimys päästä eroon valituksista ei ole vain itävaltalainen ongelma. Luvut osoittavat, että tietosuojaviranomaisten toimimattomuus on EU:n laajuinen ongelma.
Hylkääminen ja lopettaminen massoittain. Riitojenratkaisuelin on vuosien ajan kehittänyt erilaisia "tekniikoita", joiden avulla se on pyrkinyt lopettamaan yrityksiä vastaan käytävät menettelyt mahdollisimman pitkälle. Rekisteröityjä esimerkiksi uhataan usein menettelyn lopettamisella jokaisen yrityksen antaman lausunnon jälkeen, jos he eivät vastusta sitä kahden viikon kuluessa. DSB myös keskeyttää menettelyt laajamittaisesti, jos yritys (vuosien kiistelyn jälkeen) noudattaa tietosuoja-asetusta viime hetkellä. Viimeisin "temppu" oli rajoittaa valitusten määrä kahteen valitukseen kuukaudessa - vaikka GDPR:n rikkomukset vaikuttavat käyttäjiin joskus joka tunti. EU:n tuomioistuin on nyt kumonnut tämän "tempun" sen jälkeen, kun eräs kansalainen oli nostanut DSB:tä vastaan kanteen, joka eteni aina EU:n tuomioistuimeen asti - mutta muita tapoja päästä eroon valituksista on edelleen käytössä.
Max Schrems: "Sinulla on aina perusoikeudet - ei vain kahdesti kuukaudessa. Jos riitojenratkaisuelin rankaisisi johdonmukaisesti rikkomuksista, myös valituksia tehtäisiin vähemmän. Sen sijaan viranomainen käyttää erilaisia tekniikoita päästäkseen eroon valittajista. Yritykset ovat oppineet, ettei seuraamuksia ole. Erilaisilla menettelytapatempuilla suuri osa valituksista vältetään - ja yritykset jatkavat mielellään lain rikkomista."
Vain 1,36 prosenttia kaikista menettelyistä johtaa sakkoon. DSB toteaa tällä hetkellä, että vuonna 2023 se suoritti 4 030 menettelyä (2 389 kansallista valitusta, 876 rajatylittävää valitusta ja 765 viran puolesta aloitettua menettelyä). Kuitenkin, vain 55 sakkoa määrättiin koko vuonna. Tämä tarkoittaa, että tilastollisesti vain 1,36 prosenttia kaikista menettelyistä päättyy sakkoon. Vertailun vuoksi: 8.34 miljoonaa liikennesakkoa sakkoja annettiin Itävallassa vuonna 2021. Huippuaikoina vuonna 2023, yli 7 000 sakkoa väärin pysäköidyistä e-skoottereista annettiin kuukaudessa wienissä. Tilastollisesti DSB:ltä kestäisi 127 vuotta antaa nämä 7 000 sakkoa. Monet GDPR:n rikkomukset ovat kuitenkin yhtä vähäpätöisiä kuin pysäköintirikkomukset. Käyttäjien pyyntöjä ei yksinkertaisesti käsitellä, suostumusta ei hankita tai tietoja ei poisteta.
Max Schrems: "Ruuhka-aikoina pelkästään Wienissä annettiin jopa 7 000 kuukausittaista sakkoa laittomasti pysäköityjen e-skoottereiden vuoksi. Sen sijaan tietosuojaviranomainen määräsi vuonna 2023 vain 55 seuraamusta. Keskivertopysäköintirikkojalla on enemmän pelättävää kuin miljoonittain henkilötietoja väärinkäyttävillä yrityksillä. Yli 98 prosentissa kaikista DSB:n käsiteltävistä tapauksista ei määrätä seuraamuksia. Yritykset, jotka noudattavat lakia, jäävät näyttämään tyhmiltä."
Ei vain itävaltalainen ongelma. Ongelma ei ole vain Itävallassa, vaan se koskee tietosuojaviranomaisia kaikkialla Euroopassa. Vuonna 2022 (viimeinen vuosi, josta on saatavilla EU:n laajuiset luvut) kaikkien Euroopan tietosuojaviranomaisten yhteenlaskettu määrä oli 140 106 menettelyä - mutta ne antoivat yrityksille vain 1819 sakkoa. Tämä tarkoittaa, että vain 1,3 prosentissa tapauksista oli vakavia seuraamuksia. Tämä osoittaa selvästi, että EU:n laajuisena ongelmana on tietosuojaviranomaisten toimimattomuus ja se, että viranomaiset pitkittävät menettelyjä.
Max Schrems: "Näemme, että tietosuojaviranomaiset eivät todella ryhdy toimiin kaikkialla EU:ssa. Yhteisöjen tuomioistuin on nyt toistuvasti sanonut niille, että niiden on ryhdistäydyttävä, mutta tilastot eivät heijasta sitä."
Menettelyt kestävät kuukausien sijaan vuosia. AVG:n 73 §:n mukaan DSB:n on tehtävä päätös 6 kuukauden kuluessa. Todellisuudessa menettelyt kestävät lähes aina huomattavasti kauemmin. Esim, 3 vuotta päätöstä laittomasta evästeestä banneri ei ole poikkeus. noyb-tilastot Itävallan osalta osoittavat monia tapauksia, joissa päätöstä odotetaan reilusti yli 6 kuukautta. Myös valitukset liittovaltion hallinto-oikeuteen kestävät useita vuosia laissa säädetyn 6 kuukauden sijasta. Näin ollen Itävallan lainvalvonta ei ole millään tavoin EU:n lainsäädännön mukaista.
Max Schrems: "En ole koskaan nähnyt riitojenratkaisuelimen menettelyä, joka olisi ratkaistu laissa säädetyssä määräajassa. Suunnitellun kuuden kuukauden sijasta puhutaan usein kolmesta vuodesta tai enemmänkin, jopa täysin vähäpätöisissä tapauksissa, kuten laittoman evästebannerin tapauksessa. DSB on rakenteellisesti kykenemätön panemaan lakia tehokkaasti täytäntöön."
Budjettiongelmia? Googlen sakko maksaisi Brennerin perustunnelin. Itävallan tietosuojaviranomainen (DSB) on pyytänyt suurempaa budjettia jo vuosia. Vuodesta 2020 lähtien henkilöstön määrää on lisätty 43:sta 60:een. Valtion kannattaisi antaa tarvittavat resurssit: DSB ei ole suoraan vastuussa vain itävaltalaisista yrityksistä, vaan myös monista kansainvälisistä yrityksistä, kuten Google USA:sta. Yksittäinen Googlelle määrätty rangaistus voisi olla jopa 6 miljardia euroa - eli enemmän kuin Itävallan osuus Brennerin tukikohdasta Tunnelista tai suuri osa nykyisestä 15-23 miljardin euron budjettivajeesta.
Max Schrems: "Jos riitojenratkaisuelin vihdoin heräisi horroksestaan ja saisi siitä kunnon budjetin, se voisi tuottaa nopeasti tulosta. Esimerkiksi Googlen saama GDPR-sakko on enemmän kuin meidän osuutemme Brennerin tunnelin rakentamisesta - jotta saisitte käsityksen mittakaavasta. Mutta DSB:n on myös tehostettava toimintaansa. Ei voi vain pyytää suurempaa budjettia ja sitten edelleen epäonnistua tapausten rakenteellisessa käsittelyssä."
