Adatvédelmi nap: megfelelőség papíron: 41 év "megfelelés papíron"?!
A mai adatvédelmi nap az első páneurópai adatvédelmi keretrendszer (108. egyezmény) 1981-es aláírását jelzi. Gyorsan előretekintve 41 évvel később a GDPR az európai adatvédelem fő pillérévé vált. A 2016-ban nagy reményekkel elfogadott GDPR most a halál küszöbén áll, hasonlóan számos korábbi adatvédelmi szabályhoz. Papíron léteztek, de a valóságban alig érvényesültek.
Az európai végrehajtás elmélete. A GDPR értelmében Európában mindenkinek joga van panaszt tenni a saját adatvédelmi hatóságánál (DPA), amelynek viszont a polgárok magánélethez való alapvető jogát kell érvényesítenie. A "egyablakos ügyintézési" együttműködési mechanizmus az országhatárokon átnyúló ügyekben biztosítja, hogy az ügyfelek jogaiknak ugyanolyan hatékonyan érvényt szerezzenek, ha adataikat egy másik tagállamban működő vállalat dolgozza fel.
A GDPR végrehajtási vákuum. Sok polgár, aki megpróbálta gyakorolni a GDPR szerinti jogait, csalódott. Egyes adatvédelmi hatóságok egyáltalán nem dolgoznak fel panaszokat. Az eljárásokat "elfelejtik", vagy elvesznek a nemzeti adatvédelmi hatóságokat összekötő rendszerben. Sok esetben évekig rádiócsend van. Bár az adatvédelmi hatóságok teljesítménye nagymértékben eltér egymástól, a noyb hasonló üzeneteket kap a csalódott polgároktól az egész EU-ban. Végül is a rendszer csak annyira erős, amennyire a leggyengébb láncszem.
A noybügyeinek mindössze 15%-áról született döntés egy éven belül - páneurópai ügyek nincsenek. A noyb eddig 51 egyedi ügyet nyújtott be az európai adatvédelmi hatóságokhoz. Ezek közül csak hat panaszról született döntés, további háromról részben született döntés. Ezek mindegyike tisztán nemzeti ügy volt, ahol nem volt szükség európai együttműködésre. A mai napig egyetlen páneurópai ügyet sem bíráltak el az "egyablakos ügyintézési mechanizmus" keretében. Míg néhány ügyet csak nemrégiben nyújtottak be, és több időre lehet szükségük, addig másokat több mint egy évvel ezelőtt nyújtottak be. A 34 hosszabb ideje húzódó ügyből eddig csak ötben született teljes körű döntés. Ez azt jelenti, hogy az egy évnél régebbi ügyek 85%-a még mindig döntésre vár. Néhány ügy elveszett a hatóságok között. Más esetekben a hatóságok még az e-mailekre vagy telefonhívásokra sem válaszoltak. A leghosszabb időtartam dicstelen győztesei négy olyan ügy, amelyet 2018.5.25-én nyújtottak be "kényszerített beleegyezéssel" kapcsolatban. Az ír "vezető" hatóság 3 év és 8 hónap elteltével még mindig nem hozott végleges határozatot.
"Jól látható, hogy általában válasz nélkül maradunk. Egyes hatóságok fekete dobozok. Lehetetlen megérteni, hogy mi történik a panaszainkkal. Míg a nemzeti ügyek némi eredményt mutatnak, egyetlen határozatot sem láttunk, miután a különböző tagállamoknak együtt kellett működniük az "egyablakos ügyintézési mechanizmus" keretében. Az áttekintés azt mutatja, hogy mennyire frusztráló, hatástalan és bonyolult lehet az európai alapvető jogok érvényesítése." - Romain Robert, a noyb programigazgatója.
A mai "Adatvédelmi napon" a noyb közzétette mind az 51 "egyéni" panasz listáját, amelyet a GDPR hatálybalépése óta nyújtott be:
>>> A képre kattintva a teljes táblázat egy új lapon nyílik meg
Két hullám, 523 panasz, egy határozat. A noyb két körben nyújtott be "párhuzamos panaszokat", amelyek nagyobb kihívást jelenthetnek az adatvédelmi hatóságok számára, de lehetővé teszik számukra a döntéshozatali folyamat egyszerűsítését is. Az EU-USA adattovábbítással kapcsolatos 101 panaszból 2020 augusztusától, 1,5 év elteltével egy, a Google Analyticsre vonatkozó ügyben született részleges döntés (1%). A 2021 augusztusából származó további 422, a cookie-bannerekkel kapcsolatos panaszról eddig még nem született egyetlen határozat sem. Sok esetben úgy tűnik, hogy alig többről van szó, mint a panasz beérkezésének megerősítéséről.
Az európai intézmények hasonló aggályokat vetnek fel. Az Európai Parlament aggodalmát fejezte ki a GDPR végrehajtásának elégtelen szintje miatt, a Bizottság pedig még arra is figyelmeztetett, hogy központosítottabb megközelítést fog szorgalmazni, ha nem történik javulás. Az európai adatvédelmi biztos júniusra kijelölt, a témával foglalkozó konferenciája nem hagy kétséget afelől, hogy 2022-ben a GDPR végrehajtása lesz a középpontban.
"Reméljük, hogy ez a panaszainkról szóló áttekintés elősegíti az idén várhatóan sorra kerülő megbeszéléseket. Úgy gondoljuk, hogy a konkrét esetek bevonása az elemzésbe kiegészítheti a végrehajtással kapcsolatban már azonosított problémák listáját" - Romain Robert, a noyb programigazgatója
Fókuszban a végrehajtás és az eljárási jogok. Az elmúlt 3,5 év tapasztalatai azt jelentik, hogy a noyb mint GDPR végrehajtó szervezet szerepe még relevánsabbá vált. Amellett, hogy a panaszokat ésszerű időn belül nem kezelő szabályozó hatóságok elleni perekre összpontosít, noyb közvetlen kereseteket is indít a vállalatok ellen, többek között kollektív keresetek útján - bár ez általában sokkal költségesebb. Míg a kollektív jogorvoslatról szóló irányelvet 2022 végéig minden tagállamban végre kell hajtani, a noyb már hivatalosan is jogosult arra, hogy megkezdje a reprezentatív keresetek indítására belgiumban. A PrivacyFirsttel együtt Hollandiában is megalapítottuk a "CUIC" (Consumers United In Court) alapítványt, hogy hasonló kereseteket indíthassunk.
"A jogérvényesítéssel kapcsolatos elégedetlenségünk ellenére a noyb továbbra is elkötelezett az adatvédelmi hatóságok és a jobb jogérvényesítésben érdekelt panaszosok támogatása mellett. 41 évvel az egyezmény után mindannyiunknak együtt kell dolgoznunk azért, hogy a magánélet védelme valósággá váljon." - Romain Robert, a noyb programigazgatója.
Ezt szem előtt tartva, noyb mindenkinek boldog adatvédelmi napot kíván!
