a GDPR 5 éve: A nemzeti hatóságok cserbenhagyták az európai jogalkotót

a GDPR 5 éve: A nemzeti hatóságok cserbenhagyták az európai jogalkotót. a noyb-ügyek 85%-áról nem született döntés.

2018. május 25-én lépett hatályba a GDPR. Míg az uniós adatvédelmi szabályok tartalma nagyrészt változatlan maradt, az állítólagos nagy változás a GDPR szigorú végrehajtása volt. 5 évvel később a nemzeti hatóságok és bíróságok nagyrészt cserbenhagyták az európai jogalkotót - annak ellenére, hogy 2022-ben több mint 330 millió eurós költségvetés áll rendelkezésre.

noyb az alábbi forrásokat nyújtja az 5 éves évforduló alkalmából:

• Részletes adatok a noybtöbb mint 800 GDPR-ügyéről, amelyből kiderül, hogy a noyb ügyek több mint 85%-áról nem született döntés - 470 panasz már több mint 1,5 éve vár döntésre
• noyb's "GDPR-csapdatérkép" a nemzeti eljárásjogi kérdések közül sokszor átkattintva
• "Országprofilok" konkrét kérdésekkel Ausztria, Belgium, Franciaország, Németország, Görögország (HU/ GR), Írország, Olaszország, Luxemburg, Hollandia (HU/ NL), Lengyelország és Spanyolország
• Honlapunk a a GDPR eljárási szabályzatra vonatkozó javaslat amely számos GDPR végrehajtási problémát megoldhatna

A Meta 1,2 milliárd eurós bírság egy példa arra, hogy a végrehajtás nem működik. Bár az 1,2 milliárd eurós bírság (amelyet stratégiailag a "GDPR ötéves évfordulójának" hetére halasztottak) a címlapokra kerülhet, valójában azt tükrözi, hogy a végrehajtás nem működik. Nemcsak hogy több mint tíz évbe telt, amíg a DPC meghozta első határozatát (amely ellen most fellebbezni fognak), hanem az ügy miatt Max Schremsnek háromszor is pereskednie kellett az ír DPC-vel, hogy rákényszerítse azt, hogy elvégezze a munkáját. Ennek során az Európai Unió Bírósága (EUB) és az EDPB háromszor szólította fel az ír DPC-t, hogy hatékonyan kezelje az ügyet. A pereskedés költségeit több mint 10 millió euróra becsülik.

Az uniós jogszabályok és a nemzeti gyakorlat ütközése. A GDPR-t az Európai Parlament 96%-os többséggel fogadta el, egy kivételével minden tagállam támogatta a törvényt. A nemzeti jogalkotók és a nemzeti gyakorlat azonban hamarosan összeütközésbe került. Szinte minden tagállamnak van valamilyen eljárási trükkje vagy problémája a GDPR aláásására. Ez olyan fogalmak hozzáadásától kezdve, mint az adatvédelem megsértésének "küszöbértéke", egészen addig az álláspontig, hogy egy panasz "kezelése" azt is jelentheti, hogy egyszerűen csak szemétbe dobják azt. További példák közé tartozik, hogy a franciaországi vagy svédországi hatóságok azon az állásponton vannak, hogy a panaszos nem fél a saját eljárásukban, míg Lengyelországban a hatóság megköveteli, hogy Varsóba utazzon, hogy mobiltelefonos képeket készítsen az aktájáról. Áttekintést készítettünk a "GDPR-csapdatérkép", hogy megmutassunk néhány olyan csapdát, amelybe az átlagpolgár beleesik.

Max Schrems, a noyb.eu elnöke: "A GDPR nagyon erős politikai támogatást kapott. Öt évvel a GDPR bevezetése után a hatóságok és a bíróságok sok ellenállást tanúsítanak a jogszabály végrehajtása iránt. A jogalkotó megszólalt, de a nemzeti bíróságok és hatóságok folyamatosan újabb és újabb módokat találnak arra, hogy ne hallgassanak rájuk. Gyakran úgy tűnik, hogy több energiát fordítanak a GDPR aláásására, mint a rendelet betartására. Míg a vállalatok tudják, hogy Írország a "go to" joghatóság a végrehajtás elmulasztása miatt, addig a polgárok számára aligha létezik "go to" joghatóság, mivel lényegében minden tagállamban vannak végrehajtási problémák "

Rendszeres késedelmek. Miközben egy-egy kivételes bírság a nemzetközi címlapokra kerül, a noybsokkal nagyobb esetadatbázisából kiderül, hogy az adatvédelmi hatóságok (DPA-k) nagyrészt nem hajtják végre időben a GDPR-t. A noyb által az elmúlt évben benyújtott több mint 800 ügyből85,9%-áról nem született döntés, és több mint 58%-uk több mint 18 hónapig vár a döntésre.A GDPR azonban megköveteli a vállalatoktól, hogy egy hónapon belül teljesítsék a kéréseket, a nemzeti jogszabályok pedig gyakran 3-6 hónapon belüli döntést írnak elő.

Max Schrems: "Sok joghatóságban a legjobb esetben is két év múlva kapunk határozatot - már ha egyáltalán kapunk határozatot. Ez a gyakorlat egyszerűen mérföldekre van a jogalkotó azon szándékától, hogy a panasztételnek legyen egy szabad és egyszerű módja. Az időnk nagy részét az ügyintézők, az akták és a hatóságok hajkurászására pazaroljuk."

A megfelelő eljárások és jogi határozatok hiánya. A hosszú késedelmek mellett a lezárt ügyek nagy részét a felek rendezték vagy visszavonták (a noybesetében nagyjából 6%), vagy valamilyen más eredmény született (3,4%), például a vállalat elhagyta az uniós piacot. Az ügyek mindössze 3,9%-ában hozott jogi döntést az adatvédelmi hatóság.

Max Schrems: "Sok hatóság mindent megtesz, hogy elkerülje a döntést. Gyakran egyszerűen "lezárják" az ügyeket határozat nélkül, vagy tárgyalnak a vállalatokkal, és könyörögnek nekik, hogy legyenek olyan kedvesek, és tartsák be a törvényt. Aligha létezik egyenes büntetés egy egyenes törvénysértésért."

A vállalatok megtanulták, hogy figyelmen kívül hagyják a GDPR-t. Bár az iparág kezdetben hisztit csapott a GDPR és a magas bírságok miatt, az elmúlt évek azt mutatták, hogy ez az elrettentő hatás gyorsan elmosódott. A valóság azt mutatja, hogy a jogalkotó képtelen volt egyszerűen törvénybe iktatni egy végrehajtási kultúrát. A GDPR gyakran csak papírtigris lett.

Max Schrems: "A valóság azt mutatja, hogy az EU képtelen volt törvénybe iktatni egy "végrehajtási kultúrát". Az agresszívabb vállalatok gyorsan megértették, hogy a következmények nagyrészt csak papíron léteznek, és folytatták üzleti modelljeiket. A zárt ajtók mögött a vállalatok nagyon nyíltan beszélnek arról, hogy egyáltalán nem félnek a hatóságoktól. Főleg a már ésszerű vállalatok fektettek be a megfelelésbe."

Felhívás a harmonizáció és a végrehajtás érdekében. A GDPR ötödik évfordulója alkalmából sürgősen szükségünk van arra, hogy a hatóságok sebességet kapcsoljanak, és komoly végrehajtási kultúra felé mozduljanak el. Ezt segíthetné az Európai Bizottság azon ötlete is, hogy egy uniós eljárási rendeletet fogadjanak el. Azonban, egy ilyen jogszabályi javításnak átfogónak kellene lennie a jelenlegi eljárások számos problémájának megoldásához. Számos tagállam is javíthat az eljárásain. Felsoroltuk az egyes országok leggyakoribb problémáit: Ausztria, Belgium, Franciaország, Németország, Görögország (HU/ GR), Írország, Olaszország, Luxemburg, Hollandia (HU/ NL), Lengyelország és Spanyolország.

Max Schrems: "Öt év után egyértelműen lejárt az útmutatás és a türelmi időszakok ideje. Ha nincs általános elrettentés, a hatóságok valószínűleg ismét elveszítik a helyzet feletti kontrollt. Az Európai Bizottság új rendeletet javasolt az eljárási kérdések rendezésére. Az egyértelmű eljárási szabályok jó ötletnek számítanak, de átfogónak kell lenniük ahhoz, hogy valóban megoldják a problémát."

Szükséges polgári peres eljárás és kollektív jogorvoslat. Csak 2023-ban közel 2 milliárd eurónyi bírságot szabtak ki a Meta-ra a noyb szorgalmas erőfeszítései és jogi lépései eredményeként, ami a polgári peres eljárást minden eddiginél aktuálisabbá teszi. Az EU kollektív jogorvoslatról szóló irányelvének közelgő bevezetésével a felhasználóknak lehetőségük lesz arra, hogy közös "csoportos keresetek" révén csoportosítsák peres erőfeszítéseiket. Ez a megközelítés nem csak az adatvédelmi megállapodásokra való támaszkodást kerüli meg, hanem a visszatartó hatásnál is nagyobb elrettentő erővel bírhat GDPR-bírságok, amelyek nagyrészt elméleti jellegűek.