Lausunto GDPR:n 4-vuotispäivästä
GDPR ei muuttanut noudattamatta jättämisen kulttuuria. Kun tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018, sitä pidettiin käännekohtana. Kommentit olivat jossain sen välillä, että EU suhtautuu vakavasti yksityisyyden suojaan ja että internet hajoaa keskiyöllä. Kuluneet neljä vuotta ovat osoittaneet, että laki ei yksinään muuta liiketoimintamalleja, jotka perustuvat henkilötietojen väärinkäyttöön, eikä yksityisyyden suojan ammattilaisten kulttuuria, joka usein keskittyy noudattamatta jättämisen peittelyyn. Ensimmäisen shokkihetken jälkeen suuri osa datateollisuudesta on oppinut elämään GDPR:n kanssa muuttamatta käytäntöjä. Tämä tapahtuu pääasiassa yksinkertaisesti jättämällä käyttäjien oikeudet huomiotta ja pääsemällä pälkähästä.
GDPR-kulttuuri: avoin pilkka ja vihamielisyys. Tämä näkyy usein perusoikeuksien vähättelynä. Tietosuojaa koskevaa perusoikeutta ei kunnioiteta eikä sitä pidetä pitkän demokraattisen prosessin tuloksena, vaan sitä pilkataan hulluna tai "mahdottomana noudattaa". Viranomaiset ja voittoa tavoittelemattomat järjestöt, jotka yrittävät panna lakia täytäntöön sellaisenaan, kohtaavat avointa vihamielisyyttä ja syytöksiä, kuten että lain täytäntöönpano "tappaisi innovaation". Tuskin mitään muuta oikeudenalaa politisoidaan näin paljon - en ainakaan ole koskaan kuullut, että rakennus- tai verolakeja olisi avoimesti sivuutettu sillä perusteella, että niiden noudattaminen "heikentäisi yrityksen liiketoimintamallia". Yksityisyyden suojan kupla hyväksyy tällaiset kertomukset oikeutettuna perusteluna.
GDPR:n noudattamisen dynamiikka. Yleinen tietosuoja-asetus ei ole (vielä) onnistunut pääsemään pois jo olemassa olevasta tilasta: alaspäin suuntautuvasta kierteestä, jossa noudattamatta jättäminen ja noudattamisen valvomatta jättäminen lisääntyvät jatkuvasti. Aivan kuten silloin, kun kaupungin osista tulee rikollisille kiellettyjä alueita, jotka poliisi hylkää, näyttää siltä, että monet tietosuojaviranomaiset ovat menettäneet yliotteen monilla digitaalisen alueen alueilla. Yritykset huomaavat, että kilpailijat eivät noudata sääntöjä ja että laillinen toiminta ei kannata. Mitä laajemmalle säännösten noudattamatta jättäminen leviää, sitä vaikeammaksi viranomaisten on vaikea saada rajallisin resurssein takaisin hallintaansa
Viranomaisten puutteellinen valvonta. Todellisen täytäntöönpanon puute ja siten muihin yrityksiin kohdistuvan pelotevaikutuksen puuttuminen lisäävät öljyä tähän liekkiin. Noin 50:stä maata koskevasta tapauksesta, jotka noyb on nostanut neljän viime vuoden aikana, yksikään ei ole vielä saanut lopullista päätöstä. Kuukausi kuukaudelta ilman kunnollista täytäntöönpanoa on vaikeampaa saada tilanne takaisin raiteilleen. Vaikka jotkut viranomaiset näyttävät olevan enemmän huolissaan julkisuudesta, jos he todella panisivat lain täytäntöön, toiset näyttävät ymmärtäneen tilanteen ja tekevät parhaansa päästäkseen liikkeelle. Aika on kuitenkin kiireinen, ja näyttää siltä, että lähestymme tilannetta, jossa tietosuoja-asetus jätetään täysin huomiotta - aivan kuten edellinen, vuonna 1995 annettu EU:n tietosuojadirektiivi.
Tekniset ongelmat. Viranomaiset (ja rekisteröidyt) kärsivät usein hyvin teknisistä ongelmista, jotka johtuvat erilaisista kansallisista menettelyistä, rajallisista resursseista, koulutetun henkilöstön puutteesta tai tuomioistuimista, jotka kumoavat päätökset nopeasti. Nämä ongelmat eivät nouse otsikoihin, mutta ne ovat syynä siihen, että noyb joutuu nykyään käsittelemään menettelyllisiä kysymyksiä enemmän kuin yksityisyyden suojaan liittyviä kysymyksiä.
noyb: Ensin he jättävät sinut huomiotta, sitten he taistelevat sinua vastaan, sitten sinä voitat. Tässä laajemmassa kontekstissa noybin rooli on kokenut hyvin mielenkiintoisen muutoksen vuonna 2022. Monet alan toimijat pitävät loukkauksena sitä, että käyttäjät voivat todella vaatia GDPR:n noudattamista ja uskaltautua oikeuteen oikeuksiensa vuoksi. Vaikka tuomioistuimet ovat yleensä jokaisen lakimiehen luonnollinen elinympäristö, näemme, että lakimiehet ovat yhä enemmän närkästyneitä työstämme. Itse pidän tätä merkkinä erinomaisesta menestyksestämme pienenä organisaationa, joka vielä pari vuotta sitten jätettiin huomiotta.
Tie eteenpäin. Monien perusoikeuksien luominen, puolustaminen ja toteuttaminen vei vuosisatoja. Kaikkia niitä vastaan hyökätään jatkuvasti, ja niiden eteen on tehtävä työtä joka päivä. Ei liene yllätys, että sama pätee myös oikeuteen tietosuojaan. Viranomaisten on opittava, että kukaan ei pidä lainvalvontaviranomaisista, mutta että niiden rooli on ratkaisevan tärkeä digitaalisissa yhteiskunnissamme. Yritysten on opittava, että tästä on seurauksia. Alan lakimiesten on opittava, että heidän näkemyksensä kyseenalaistetaan tietosuojaviranomaisissa ja tuomioistuimissa. Tietosuoja-aktivistien on opittava, että pelkkä lain säätäminen ei riitä, vaan sitä on myös valvottava. Odotamme innolla, että pääsemme työskentelemään tämän asian parissa tulevina vuosina.