Kun yleinen tietosuoja-asetus (GDPR) tuli voimaan vuonna 2018, se aloitti uuden tietosuoja-aikakauden EU:ssa. Ainakin paperilla. Kuluttajat saivat välineet puolustaa perusoikeuksiaan, kun taas viranomaiset saivat vakavat tutkintavaltuudet ja mahdollisuuden rangaista rikkomuksista tuntuvilla sakoilla. Lähes 7 vuotta myöhemmin todellisuus on paljon synkempi. Tänä vuonna 28. tammikuuta vietettävän tietosuojapäivän yhteydessä, noyb analysoi EDPB:n nykyisiä tilastoja kansallisten tietosuojaviranomaisten (epä)aktiivisuudesta. Tiedot osoittavat, että keskimäärin vain 1,3 prosenttia tietosuojaviranomaisten käsittelemistä tapauksista johtaa sakkoihin. Kuitenkin, tietosuoja-alan ammattilaisten mukaan että sakot ovat tehokkain tapa varmistaa, että yritykset noudattavat lakia.
GDPR:n tiukka täytäntöönpano vain paperilla. Kun yleinen tietosuoja-asetus (GDPR) tuli voimaan toukokuussa 2018, siinä luvattiin siirtyminen kohti vakavaa lähestymistapaa tietosuojaan. Eurooppalaiset kuluttajat, joita yksityisyyden suojan loukkaukset koskettavat, saivat tarvittavat välineet valittaa kansallisille tietosuojaviranomaisilleen - jotka saivat tarvittavat valtuudet tutkia kaikenlaisia rikkomuksia ja määrätä hallinnollisia sakkoja vastaavien rikkomusten estämiseksi tulevaisuudessa. Valitettavasti viimeiset seitsemän vuotta ovat osoittaneet, että tämä on ollut lähinnä toiveajattelua. Tämän vahvistaa uusi noyb analyysi EDPB:n tilastot viranomaisten toiminnasta vuosina 2018-2023: Keskimäärin vain 1,3 prosenttia tapauksista, jotka käsitellään tietosuojasopimuksissa, johtaa sakkoihin. Tämä vastaa omaa käytännön kokemustamme: Useimmat tapaukset venyvät useiden vuosien ajan, ennen kuin ne päätetään sovintoon tai hylätään kokonaan.
Max Schrems: "Euroopan tietosuojaviranomaisilla on kaikki tarvittavat keinot, jotta ne voivat määrätä asianmukaisia seuraamuksia tietosuoja-asetuksen rikkomisesta ja antaa sakkoja, joilla estetään vastaavat rikkomukset tulevaisuudessa. Sen sijaan ne usein pitkittävät neuvotteluja vuosia - vain päättääkseen aivan liian usein kantelijan etujen vastaisesti."
Ei todellista positiivista esimerkkiä. Vaikka jotkin tietosuojaviranomaiset näyttävät määräävän paljon enemmän sakkoja kuin toiset, luvut ovat kaikki yksinumeroisia prosenttilukuja - tai jopa pienempiä. Slovakian tietosuojaviranomainen on tilastojen kärjessä, sillä se on määrännyt sakkoja 6,84 prosentissa kaikista tapauksista (mukaan lukien sekä kantelut että oma-aloitteiset tutkimukset) vuosina 2018-2023. Sen jälkeen tulevat Bulgaria (4,19 %), Kypros (3,12 %), Kreikka (2,65 %) ja Kroatia (2,54 %). Toisessa ääripäässä Alankomaiden viranomainen on määrännyt sakkoja 0,03 prosentissa (!) kaikista tapauksista, ja sen jälkeen tulevat Ranska (0,10 %), Puola (0,18 %), Suomi (0,21 %), Ruotsi (0,25 %) ja tietenkin Irlanti (0,26 %). Loput maat ovat jossain näiden välissä.
Klikkaa tästä nähdäksesi täysin interaktiivisen version alla olevasta kartasta.
Klikkaa tästä nähdäksesi täysin interaktiivisen version yllä olevasta kartasta.
Tietosuojaan liittyvä ilmiö. Lainsäädännön rikkomisesta aiheutuvien vakavien seuraamusten ilmeinen puuttuminen näyttää olevan hyvin tietosuojakohtainen ilmiö. Otetaan esimerkiksi Espanja: Vuonna 2022 Espanjan tietosuojavaltuutettu vastaanotti 15 128 valitusta, mutta antoi vain 378 sakkoa. Tämä tarkoittaa, että tilastollisesti vain 2,5 prosenttia kaikista valituksista johti sakkoihin. Tähän sisältyvät ilmeiset rikkomukset, kuten vastaamatta jätetyt käyttöoikeuspyynnöt tai laittomat evästebannerit, jotka voitaisiin teoriassa käsitellä nopeasti ja standardoidusti. Vertailun vuoksi: 3.espanjassa annettiin 7 miljoonaa ylinopeussakkoa vuonna 2022 (lukuun ottamatta Baskimaata ja Kataloniaa). Samanlainen vertailu voidaan tehdä periaatteessa minkä tahansa muut EU:n jäsenvaltiot.
Max Schrems: "Jotenkin vain tietosuojaviranomaisia ei voida motivoida panemaan täytäntöön lakia, jonka noudattaminen niille on uskottu. Kaikilla muilla aloilla lain rikkominen johtaa säännöllisesti sakkoihin ja seuraamuksiin. Tällä hetkellä tietosuojaviranomaiset näyttävät usein toimivan pikemminkin yritysten kuin asianosaisten etujen mukaisesti."
Tiedot osoittavat: enemmän sakkoja = enemmän sääntöjen noudattamista. Vaikka nämä luvut tuskin ovat yllättäviä, ne ovat kuitenkin hälyttäviä. A noyb tietosuoja-ammattilaisten keskuudessa tehty kyselytutkimus osoittaa, että juuri rahamääräiset sakot motivoivat yrityksiä noudattamaan lakia. Kysyttäessä tehokkaimmista täytäntöönpanotoimenpiteistä 67,4 prosenttia vastaajista sanoi, että heidän omaa yritystään vastaan tehdyt tietosuojaviranomaisen päätökset, joihin sisältyy sakko, vaikuttavat päättäjiin, jotta he valitsisivat sääntöjen noudattamisen lisäämisen. Mielenkiintoista on, että 61,5 prosenttia vastaajista sanoi, että jopa muita organisaatioita vastaan määrätyt tietosuojaviranomaisen sakot vaikuttaisivat heidän oman yrityksensä GDPR:n noudattamiseen.
Klikkaa tästä nähdäksesi alla olevan interaktiivisen graafin.
Klikkaa tästä nähdäksesi täysin interaktiivinen kaavio yllä.
Sakkomaksut ovat vitsi. Kun tarkastellaan lähemmin kansallisten viranomaisten vuosittain määräämien sakkojen määrää, asia käy vielä selvemmäksi. Irlanti (475 902 000 euron keskimääräinen sakkojen määrä/vuosi) ja Luxemburg (124 395 729 euron keskimääräinen sakkojen määrä/vuosi) johtavat tilastoja vuosina 2018-2023 ylivoimaisesti. Ensi silmäyksellä se saattaa kuulostaa suurelta summalta. Mutta sitä se ei todellakaan ole. Lähes kaikki suuret teknologiayritykset, kuten Apple, Google, Meta ja Microsoft, sijaitsevat Irlannissa, mikä tekee Irlannin DPC:stä johtavan viranomaisen joissakin kaikkien aikojen suurimmista tapauksista. Luxemburg puolestaan vastaa Amazonin kaltaisista yrityksistä. Todellisuudessa DPC on pakko pakottaa omaan onneensa. noybn kaksi suurinta tapaukset vastaan Meta joutuivat kiertämään EDPB:n kautta, ennen kuin kuluttajansuojaneuvosto lopulta määräsi yritykselle yhteensä lähes 1,6 miljardin euron sakot. Jos tämä summa otetaan pois, jäljelle ei jää paljoa.
Enemmän budjettia, enemmän päätöksiä? Jotkin viranomaiset väittävät toistuvasti, että ne tarvitsisivat vain lisää määrärahoja ja resursseja tehdäkseen oikea-aikaisempia - ja vaikuttavampia - päätöksiä. Tarkasteltaessa eDPB:n tilastoja, viranomaisten budjetti kasvoi jopa 130 prosenttia vuosina 2020-2024. Esimerkiksi Alankomaiden viranomaisen budjetti kasvoi 62 prosenttia neljässä vuodessa - ilman, että sakkojen määrä kasvoi merkittävästi. Tämä on suhteutettuna: Vuonna 2023 Alankomaiden tietosuojaviranomaisen budjetti oli lähes 37 miljoonaa euroa, mutta se määräsi sakkoja vain 1,98 miljoonaa euroa. Tämä on lähes 35 miljoonan euron ero, joka jättää valtavan aukon valtion talousarvioon. Tämä vaje voitaisiin kuitenkin korvata tehokkaalla valvonnalla. GDPR-sakot menevät valtiolle johtavan viranomaisen maksettaviksi.
Klikkaa tästä nähdäksesi alla olevan täysin interaktiivisen kuvaajan.
Klikkaa tästä nähdäksesi täysin interaktiivinen kaavio yllä.
Lähes 40 prosenttia kaikista sakoista noyb. Tämä kuvio on nähtävissä kaikkialla EU:ssa: Vuosina 2018-2023 kaikki EU:n tietosuojaviranomaiset määräsivät yhteensä 4,29 miljardin euron sakot - joista 1,69 miljardia euroa johtui siitä, että noyb oikeudenkäynneistä. Toisin sanoen: Lähes 40 prosenttia kaikista GDPR:n sakoista on seurausta noyb. Tämä tarkoittaa sitä, että todellisuudessa näyttää pikemminkin siltä, että poliittinen tahto ei riitä teknologiajättien vastustamiseen kuin siltä, että mahdollisuudet toimia puuttuvat.
