A C-416/23. számú ítéletben az osztrák adatvédelmi hatóság (DSB) pofont kapott az EUB-tól. A hatóság - önkényesen - havi maximum kettőben határozta meg az érintettek által benyújtható panaszok számát, még akkor is, ha szinte naponta érintik az embert a GDPR megsértése. Az EUB most egyértelművé tette: amíg nem nyújt be visszaélésszerű panaszokat, addig minden felhasználónak joga van ahhoz, hogy a DSB orvosolja a GDPR megsértését. Sajnos az, hogy az adatvédelmi hatóságok megpróbálnak megszabadulni a panaszoktól, nem csak osztrák probléma. Számadataink azt mutatják, hogy az adatvédelmi hatóságok tétlensége az egész EU-ban problémát jelent.
Elutasítás és megszüntetés tömegesen. A DSB évek óta különböző "technikákat" fejlesztett ki, hogy a lehető legnagyobb mértékben megszüntesse a vállalatok elleni eljárásokat. Például az érintetteket gyakran fenyegetik az eljárás megszüntetésével a vállalat minden egyes nyilatkozata után, ha két héten belül nem emelnek kifogást. A DSB nagymértékben megszünteti az eljárásokat akkor is, ha egy vállalat (többéves vita után) az utolsó pillanatban megfelel a GDPR-nak. A legutóbbi "trükk" az volt, hogy a panaszok számát havi kettőben korlátozták - holott a felhasználókat olykor óránként érintik a GDPR megsértései. Ezt a "trükköt" mostanra az EUB törölte, miután egy állampolgár pert indított a DSB ellen, amely egészen az EUB-ig jutott - de a panaszoktól való megszabadulás egyéb módjai továbbra is használatban vannak.
Max Schrems: "Mindig vannak alapvető jogaid - nem csak havonta kétszer. Ha a DSB következetesen büntetné a jogsértéseket, akkor kevesebb panasz is lenne. Ehelyett a hatóság különböző technikákat alkalmaz, hogy megszabaduljon a panaszosoktól. A vállalatok megtanulták, hogy nincsenek következmények. Különböző eljárási trükkökkel a panaszok nagy részét elhárítják - a cégek pedig boldogan folytatják a törvénysértést."
Az összes eljárásnak mindössze 1,36%-a végződik bírsággal. A DSB jelenleg a következőket állapítja meg 2023-ban 4030 eljárást folytatott le (2389 nemzeti panasz, 876 határokon átnyúló panasz és 765 hivatalból indított eljárás). Ugyanakkor, csak 55 bírságot szabtak ki bírságot szabtak ki az egész évben. Ez azt jelenti, hogy statisztikailag az összes eljárásnak csak 1,36%-a végződik bírsággal. Összehasonlításképpen: 8.34 millió közlekedési bírság bírságot szabtak ki Ausztriában 2021-ben. Csúcsidőben 2023-ban, havonta több mint 7000 bírságot szabtak ki a helytelenül parkoló e-rollerek miatt bécsben. Statisztikailag a DSB-nek 127 évre lenne szüksége ahhoz, hogy ezt a 7000 bírságot kiadja. Sok GDPR-szabálysértés azonban olyan triviális, mint a parkolási szabálysértések. A felhasználói kéréseket egyszerűen nem dolgozzák fel, nem kérik be a hozzájárulást, vagy nem törlik az adatokat.
Max Schrems: "Csúcsidőben csak Bécsben havonta akár 7000 bírságot is kiszabtak a szabálytalanul parkoló e-scooterek miatt. Ezzel szemben az adatvédelmi hatóság 2023-ban mindössze 55 bírságot szabott ki. Az átlagos parkolási szabálysértőnek több félnivalója van, mint a személyes adatokkal milliós nagyságrendben visszaélő vállalatoknak. A DSB elé kerülő ügyek több mint 98%-ában nem szabnak ki büntetést. A törvényt betartó vállalatok hülyének néznek."
Nem csak osztrák probléma. Ez a probléma nem csak Ausztriában jelentkezik, hanem Európa-szerte érinti az adatvédelmi hatóságokat. 2022-ben (az utolsó olyan évben, amelyről uniós szintű számok állnak rendelkezésre) az összes európai adatvédelmi hatóság együttesen 140 106 eljárást folytatott - de csak 1819 bírságot szabott ki a vállalatokra. Ez azt jelenti, hogy az esetek mindössze 1,3%-ában volt súlyos következmény. Ez világosan mutatja, hogy az adatvédelmi hatóságok tétlensége és az eljárások elhúzódása uniós szintű problémát jelent.
Max Schrems: "Azt látjuk, hogy az adatvédelmi hatóságok az egész EU-ban nem igazán lépnek fel. A Bíróság most már többször is közölte velük, hogy össze kell szedniük magukat, de a statisztikák ezt nem tükrözik."
Az eljárások évekig tartanak - hónapok helyett. Az AVG 73. §-a szerint a DSB-nek 6 hónapon belül kell döntenie. A valóságban az eljárások szinte mindig lényegesen tovább tartanak. Például, 3 év a jogellenes sütikről szóló határozathozatalig banner nem kivétel. A noyb statisztikák Ausztriára vonatkozóan számos olyan esetet mutat, amelyekben jóval több mint 6 hónapot kell várni a határozatra. A Szövetségi Közigazgatási Bírósághoz benyújtott további fellebbezések is több évet vesznek igénybe a törvényben előírt 6 hónap helyett. Ennek eredményeképpen az osztrák bűnüldözés semmiképpen sem felel meg az uniós jognak.
Max Schrems: "Még soha nem láttam olyan DSB-eljárást, amelyben a törvényes határidőn belül született volna döntés. A tervezett hat hónap helyett gyakran három évről vagy még annál is többről van szó, még olyan teljesen jelentéktelen ügyek esetében is, mint például egy illegális cookie-banner. A DSB strukturálisan képtelen a jog hatékony érvényesítésére"
Költségvetési problémák? A Google bírságából a Brenner bázis alagútját is ki lehetne fizetni. Az osztrák adatvédelmi hatóság (DSB) évek óta magasabb költségvetést kér. 2020 óta a a személyzet létszámát 43-ról 60-ra emelték. Megérné az államnak, ha biztosítaná a szükséges forrásokat: a DSB nem csak az osztrák vállalatokért felelős közvetlenül, hanem számos nemzetközi vállalatért is, köztük a Google USA-ért. A Google-ra kiszabott egyetlen büntetés akár 6 milliárd euróra is rúghatna ez több, mint Ausztria részesedése a Brenner-bázisból Alagútból, vagy a jelenlegi 15-23 milliárd eurós költségvetési hiány jó részét.
Max Schrems: "Ha a DSB végre felébredne álmából, és ehhez tisztességes költségvetést kapna, akkor ez gyorsan kifizetődhetne. A Google elleni GDPR-büntetés például több, mint a Brenner-bázisalagútra szánt részünk - csak hogy érzékeltessük a nagyságrendet. De a DSB-nek is hatékonyabbá kell válnia. Nem lehet csak úgy nagyobb költségvetést kérni, aztán továbbra sem lehet az ügyeket strukturáltan feldolgozni."
