Tietosuojapäivä: 41 vuotta "vaatimustenmukaisuutta paperilla"?!
Tänään vietettävänä tietosuojapäivänä juhlistetaan ensimmäisen yleiseurooppalaisen tietosuojakehyksen (yleissopimus nro 108) allekirjoittamista vuonna 1981. Siitä on kulunut 41 vuotta, ja tietosuoja-asetuksesta on tullut Euroopan tietosuojan peruspilari. Vuonna 2016 suurissa toiveissa hyväksytty tietosuoja-asetus on nyt lähellä kuolemaa, kuten monet tietosuojasäännöt ennenkin. Ne olivat olemassa paperilla, mutta niitä ei juurikaan pantu täytäntöön todellisuudessa.
Teoriaa eurooppalaisesta täytäntöönpanosta. GDPR:n mukaan jokaisella Euroopassa on oikeus tehdä valitus tietosuojaviranomaiselle, jonka pitäisi puolestaan valvoa kansalaisten perusoikeutta yksityisyyteen. "yhden luukun" yhteistyömekanismi yhteistyökanavan avulla on tarkoitus varmistaa, että asiakkaat voivat valvoa oikeuksiaan yhtä tehokkaasti, kun heidän tietojaan käsittelee toisessa jäsenvaltiossa sijaitseva yritys.
Yleisen tietosuoja-asetuksen täytäntöönpanotyhjiö. Monet kansalaiset, jotka ovat yrittäneet käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan, ovat pettyneet. Jotkin tietosuojaviranomaiset eivät käsittele valituksia lainkaan. Menettelyt "unohtuvat" tai katoavat kansallisten tietosuojaviranomaisten väliseen järjestelmään. Monissa tapauksissa on vallinnut vuosia vain radiohiljaisuus. Vaikka tietosuojaviranomaisten suorituskyky vaihtelee suuresti, noyb saa samanlaisia viestejä turhautuneilta kansalaisilta eri puolilta EU:ta. Loppujen lopuksi järjestelmä on vain niin vahva kuin sen heikoin lenkki.
Vain 15 prosenttia noybintapauksista ratkaistaan vuoden kuluessa - ei yhtään yleiseurooppalaista tapausta. Tähän mennessä noyb on vienyt 51 yksittäistä tapausta Euroopan tietosuojaviranomaisten käsiteltäväksi. Näistä kanteista vain kuusi on ratkaistu, kolme muuta on ratkaistu osittain. Kaikki olivat puhtaasti kansallisia tapauksia, joissa ei ollut tarvetta eurooppalaiseen yhteistyöhön. Yhtään yleiseurooppalaista tapausta ei ole tähän päivään mennessä ratkaistu keskitetyn asiointipisteen mekanismin puitteissa. Osa tapauksista on jätetty vasta äskettäin, ja ne saattavat tarvita lisää aikaa, kun taas osa on jätetty yli vuosi sitten. Näistä 34:stä pidempään vireillä olleesta tapauksesta vain viisi on jo ratkaistu. Tämä tarkoittaa, että 85 prosenttia kaikista yli vuoden vanhoista tapauksista odottaa yhä päätöstä. Osa tapauksista hävisi viranomaisten välillä. Toisissa tapauksissa viranomaiset eivät edes vastanneet sähköposteihin tai puheluihin. Pisimpään kestäneiden tapausten kunniattomat voittajat ovat neljä tapausta, jotka jätettiin 25.5.2018 "pakkosuostumuksesta". Kolmen vuoden ja kahdeksan kuukauden jälkeen Irlannin "johtava" viranomainen ei ole vieläkään antanut lopullista päätöstä.
"Näette selvästi, että meidät jätetään yleensä ilman vastausta. Jotkut viranomaiset ovat mustia laatikoita. On mahdotonta ymmärtää, mitä valituksillemme tapahtuu. Vaikka kansalliset tapaukset osoittavat joitakin tuloksia, emme ole nähneet yhtään päätöstä, kun eri jäsenvaltioiden oli tehtävä yhteistyötä keskitetyn palvelupisteen mekanismin puitteissa. Yleiskatsaus osoittaa, miten turhauttavaa, tehotonta ja monimutkaista eurooppalaisten perusoikeuksien täytäntöönpano voi olla." - Romain Robert, noybin ohjelmajohtaja.
Tänään vietettävänä "tietosuojapäivänä" noyb on julkaissut luettelon kaikista 51 "yksittäisestä" valituksesta, jotka se on tehnyt tietosuoja-asetuksen voimaantulon jälkeen:
Kaksi aaltoa, 523 valitusta, yksi päätös. noyb teki kaksi rinnakkaista valituskierrosta, jotka voivat olla haastavampia tietosuojaviranomaisille, mutta joiden avulla ne voivat myös tehostaa päätöksentekoprosessia. Elokuussa 2020 tehdyistä 101 kantelusta, jotka koskivat EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja, tehtiin 1,5 vuoden jälkeen yksi Google Analyticsia koskeva osittainen päätös (1 %). Elokuussa 2021 tehdyistä 422 valituksesta, jotka koskivat evästeiden bannereita, ei ole toistaiseksi tehty yhtään päätöstä. Monissa tapauksissa näyttää siltä, että valituksen vastaanottamisesta ei ole annettu muuta kuin vahvistus.
EU:n toimielimet esittävät samankaltaisia huolenaiheita. Euroopan parlamentti ilmaisi huolensa GDPR:n täytäntöönpanon riittämättömästä tasosta, ja komissio jopa varoitti ajavansa keskitetympää lähestymistapaa, jos parannuksia ei tehdä. Kesäkuuksi nimetty Euroopan tietosuojavaltuutetun konferenssi aiheesta ei jätä epäilystäkään siitä, että vuonna 2022 keskitytään GDPR:n täytäntöönpanoon.
"Toivomme, että tämä katsaus valituksiimme edistää keskusteluja, joita odotetaan käytävän tänä vuonna. Uskomme, että konkreettisten tapausten sisällyttäminen analyysiin voi lisätä luetteloa jo havaituista täytäntöönpanoon liittyvistä ongelmista" - Romain Robert, ohjelmajohtaja noyb:ssä
Keskitytään täytäntöönpanoon ja menettelyllisiin oikeuksiin. Viimeisten 3,5 vuoden kokemusten perusteella noybin rooli GDPR:n täytäntöönpanojärjestönä on tullut entistäkin merkityksellisemmäksi. Sen lisäksi, että keskitytään kanteisiin sääntelyviranomaisia vastaan, jotka eivät käsittele valituksia kohtuullisessa ajassa, noyb ryhtyy myös suoriin kanteisiin yrityksiä vastaan, myös ryhmäkanteiden avulla - vaikka tämä on yleensä paljon kalliimpaa. Vaikka kollektiivisia oikeussuojakeinoja koskeva direktiivi pannaan täytäntöön kaikissa jäsenvaltioissa vuoden 2022 loppuun mennessä, noyb on jo virallisesti pätevä aloittamaan edustukselliset kanteet belgiassa. Yhdessä PrivacyFirstin kanssa perustimme myös Alankomaihin CUIC-säätiön (Consumers United In Court) vastaavia kanteita varten.
"Huolimatta tyytymättömyydestämme lainvalvontaan noyb tukee edelleen tietosuojaviranomaisia ja kantelijoita, jotka ovat kiinnostuneita lainvalvonnan parantamisesta. 41 vuotta yleissopimuksen tekemisen jälkeen meidän kaikkien on tehtävä yhteistyötä, jotta yksityisyyden suoja toteutuu." - Romain Robert, noybin ohjelmajohtaja.
Tätä silmällä pitäen, noyb toivottaa kaikille hyvää tietosuojapäivää!