Tietosuojapäivä: Ovatko eurooppalaiset todella suojattuja?
Euroopan tietosuojapäivä 28. tammikuuta vietettävällä Euroopan tietosuojapäivällä muistetaan ensimmäisen yleiseurooppalaisen tietosuojakehyksen (yleissopimus 108) allekirjoittamista vuonna 1981. Nyt, 42 vuotta myöhemmin, tietosuoja-asetusta pidetään keskeisenä eurooppalaisena tietosuojalakina, ja sen tarkoituksena on antaa kansalaisille mahdollisuus käyttää perusoikeuttaan yksityisyyteen. Alun perin tietosuoja-asetusta pidettiin - ja pelättiin - täytäntöönpanovälineenä, mutta nyt se on vaarassa kokea saman kohtalon kuin edeltäjänsä, sillä se jätetään yksinkertaisesti huomiotta.
GDPR:n täytäntöönpano vain teoriassa. GDPR:n tavoitteena on antaa kaikille eurooppalaisille käyttäjille mahdollisuus hallita henkilötietojaan. Jokaisella on oikeus saada tietää, mitä tietoja yrityksellä on heistä, miten niitä käsitellään ja oikeus lopettaa lainvastainen käsittely. Käytännössä käyttäjiä on kuitenkin kiusattu lähinnä eväste-bannereilla ja ponnahdusikkunoilla, jotka eivät jätä muuta vaihtoehtoa kuin suostua. Eurooppalaiset, jotka ovat yrittäneet käyttää oikeuttaan tietosuojaan, ovat usein joutuneet katkeraan pettymykseen. noyb saa säännöllisesti viestejä turhautuneilta käyttäjiltä eri puolilta EU:ta: menettelyt viivästyvät, valitukset hylätään ilman, että viranomaiset tutkivat niitä tarkemmin, tai niistä luovutaan kokonaan. Käyttäjien oikeudet päätyvät lopulta roskakoriin.
Ristiriita lain ja sääntelyviranomaisten välillä. Yleinen tietosuoja-asetus on joutunut 4,5 viime vuoden aikana suurten teknologiayritysten puutteellisen täytäntöönpanon ja viivytystaktiikan uhriksi. Vaikka viranomaiset tekevät päätöksiä ja sakottavat yrityksiä, tapaukset voivat pitkittyä vuosia teknologiayritysten valitusten ja viivytysten vuoksi. Jopa silloin tällöin korkeista rangaistuksista huolimatta, lain rikkominen kannattaa "suurille teknologiayrityksille". Vaikka tietosuoja-asetuksen täytäntöönpano vaihtelee suuresti eri puolilla Eurooppaa, jopa aktiivisimmilla tietosuojaviranomaisilla on suuria haasteita, sillä rajatylittävät tapaukset edellyttävät viranomaisten välistä yhteistyötä (yhden luukun järjestelmä).
Max Schrems, puheenjohtaja noyb:"Jopa aktiiviset viranomaiset ovat usein neuvottomia, sillä tietosuoja-asetuksen täytäntöönpano on vain niin vahvaa kuin sen heikoin lenkki."
Täytäntöönpanon esteet. Irlannin tietosuojaviranomaisen (DPC) kaltaiset viranomaiset ovat kriittinen tekijä tietosuoja-asetuksen täytäntöönpanon kannalta, sillä suurimmalla osalla amerikkalaisista teknologiayrityksistä on Euroopan pääkonttori siellä. Irlantia on jo pitkään pidetty pullonkaulana tietosuoja-asetuksen EU:n laajuisessa täytäntöönpanossa; toisaalta siksi, että tapaukset käsitellään erittäin hitaasti, ja toisaalta siksi, että viranomainen pyrkii usein tulkitsemaan lakia "yritysystävällisesti":
Vasta sen jälkeen, kun Euroopan tietosuojaneuvosto (EDPB) oli julkaissut sitovan päätöksennoybin 4 ,5 vuotta vanhassa tapauksessa, joka koski sitä, että Facebook oli kiertänyt tietosuoja-asetusta, Irlannin tietosuojaviranomainen ryhtyi toimiin. Se ilmoitti 390 miljoonan euron sakosta ja määräsi Metan hankkimaan voimassa olevan suostumuksen henkilökohtaista mainontaa varten. Näiden 4,5 vuoden aikana DPC on usein asettunut Metan puolelle, ja nyt se on myös antanut huomattavasti pienemmän rangaistuksen. Muiden viranomaisten oli toistuvasti (yksimielisesti) kumottava DPC.
Irlannin lisäksi Luxemburg on tunnettu siitä, että siellä sijaitsevat Amazonin, eBayn ja Paypalin kaltaisten suuryritysten pääkonttorit, mikä antaa Luxemburgin viranomaiselle ratkaisevan aseman sääntelyviranomaisena. Irlannin tavoin noyb on odottanut vuodesta 2019 lähtien päätöstä valituksessa, joka koskee Amazonoikeuden loukkaamisesta, minkä vuoksi noybin on nyt ryhdyttävä oikeustoimiin viranomaista vastaan.
EU:n "suurten" teknologiakeskittymien lisäksi on myös monia kansallisia kuriositeetteja. Esimerkiksi Ranskan ja Ruotsin viranomaiset kiistävät, että käyttäjät ovat menettelyn osapuolia. Baijerin viranomainen ei anna oikeutta tutustua tiedostoihin. Puolan viranomainen vaatii, että valitukset on tehtävä digitaalisesti, mutta sallii tiedostojen fyysisen kopioinnin vain Varsovassa. Itävallan viranomainen käyttää kansallista lauseketta lopettaakseen massiivisen määrän menettelyjä, koska yrityksen väitetään ratkaisseen ongelman. Bulgarian viranomainen on jättänyt vuosia huomiotta kaikki yhteydenotot sähköpostitse, puhelimitse tai postitse. Saksalaiset tuomioistuimet kumoavat viranomaisten päätöksiä, ja oikeudenkäynti Irlannin viranomaista vastaan voi maksaa nopeasti 100 000 euroa.
764 valitusta, joita ei ole ratkaistu. GDPR:n tultua voimaan toukokuussa 2018 noyb on tehnyt 848 yksittäistä valitusta eri tietosuojaviranomaisille eri puolilla Eurooppaa. Toimivaltaiset viranomaiset ratkaisivat vain 10 prosenttia (84 kantelua) tapauksista, joista suurin osa päätettiin tai sovittiin yrityksen kanssa, koska se oli korjannut tietoturvaloukkauksen. Joistakin tapauksista on tehty vain osittainen päätös. Noin 15 tapausta on parhaillaan kansallisissa tuomioistuimissa, koska viranomaiset eivät tehneet päätöstä lainmukaisessa määräajassa tai koska noyb valitti päätöksestä.
Viranomaisten toimimattomuuden ja prosessioikeuden puuttumisen vuoksi monet menettelyt siirretään kansallisiin tuomioistuimiin, joilla ei useinkaan ole tarvittavaa tietämystä tietosuoja-asetuksesta. Päätökset kumotaan usein vältettävissä olevien menettelyvirheiden vuoksi. Monille käyttäjille tuomioistuimeen meneminen ei ole taloudellisesti mahdollista. Asianajotoimistot tietävät tämän ja kuormittavat tahallaan viranomaisia ja tuomioistuimia loputtomilla valituksilla ja satojen sivujen pituisilla kirjelmillä.
Max Schrems: "Tänä vuonna tietosuoja-asetusta sovelletaan viisi vuotta. Toistaiseksi monet yritykset ovat onnistuneet huijaamaan itsensä ulos siitä, koska täytäntöönpanoa valvotaan vain vähän. Yleisen tietosuoja-asetuksen lupaukset tehdä tietosuojasta tehokasta ja yksinkertaista epäonnistuvat jäsenvaltioiden kansallisten viranomaisten vuoksi, jotka eivät ole toistaiseksi onnistuneet saamaan aikaan tehokasta täytäntöönpanoa."