Adatvédelmi nap: Valóban védve vannak az európaiak?
Európai Adatvédelmi Nap január 28-án az első páneurópai adatvédelmi keretrendszer (108. egyezmény) 1981-es aláírására emlékezik. Ma, 42 évvel később, az általános adatvédelmi rendeletet az európai adatvédelem központi jogszabályának tekintik, és célja, hogy lehetővé tegye a polgárok számára a magánélethez való alapvető joguk gyakorlását. A kezdetben végrehajtási eszközként üdvözölt - és rettegett - GDPR-t az elődeihez hasonló sors fenyegeti, mivel egyszerűen figyelmen kívül hagyják.
A GDPR végrehajtása csak elméletben. A GDPR célja, hogy minden európai felhasználónak ellenőrzést biztosítson személyes adatai felett. Mindenkinek joga van megtudni, hogy egy vállalat milyen adatokat tárol róluk, hogyan dolgozza fel azokat, és joga van leállítani a jogellenes feldolgozást. A gyakorlatban azonban a felhasználókat elsősorban cookie-bannerekkel és felugró ablakokkal zaklatják, amelyek nem hagynak más választást, mint hogy igent mondjanak. Ezek az európaiak, akik megpróbáltak élni az adatvédelemhez való jogukkal, gyakran keserűen csalódtak. A noyb rendszeresen kap üzeneteket a címre csalódott felhasználóktól az EU egész területéről: az eljárások elhúzódnak, a panaszokat a hatóságok további vizsgálat nélkül elutasítják, vagy teljesen lemondanak róluk. A felhasználók jogai végül a szemétben végzik.
Konfliktus a jog és a szabályozó hatóságok között. A GDPR az elmúlt 4,5 évben a végrehajtás hiányának és a nagy technológiai vállalatok időhúzó taktikájának áldozatává vált. Még ha a hatóságok döntést is hoznak és bírságot szabnak ki a vállalatokra, az ügyek évekig elhúzódhatnak a technológiai cégek fellebbezései és akadályozó lépései miatt. Még az esetenként magas bírságok ellenére is, a törvényszegés kifizetődő a "nagy tech cégek" számára. Bár a GDPR végrehajtása Európa-szerte igen eltérő, még az aktívabb adatvédelmi hatóságok is komoly kihívásokkal néznek szembe, mivel a határokon átnyúló ügyek a hatóságok közötti együttműködést igényelnek (egyablakos ügyintézés).
Max Schrems, a noyb elnöke:"Még az aktív hatóságok is gyakran tanácstalanok, mivel a GDPR végrehajtása csak annyira erős, amennyire a leggyengébb láncszem."
>>> A képre kattintva a teljes táblázat egy új lapon nyílik meg
A végrehajtás akadálya. Az olyan hatóságok, mint az ír adatvédelmi hatóság (DPC) kritikus tényezőt jelentenek a GDPR végrehajtása szempontjából, mivel az amerikai technológiai cégek többsége ott tartja európai központját. Írországot régóta "szűk keresztmetszetnek" tekintik a GDPR uniós szintű végrehajtásában; egyrészt az ügyek rendkívül lassú feldolgozási sebessége miatt, másrészt pedig azért, mert a hatóság gyakran "vállalkozásbarát" jogértelmezést követ:
Csak miután az Európai Adatvédelmi Testület (EDPB) kiadott egy kötelező érvényű határozatot a noyb 4,5 éves ügyében a Facebook GDPR megkerülésével kapcsolatban, az ír adatvédelmi hatóság lépéseket tett. 390 millió eurós bírságot jelentett be, és kötelezte a Metát, hogy szerezzen be érvényes hozzájárulást a személyre szabott hirdetésekhez. Ebben a 4,5 évben a DPC gyakran állt a Meta oldalára, és most is kiadott egy jelentősen csökkentett büntetést. A többi hatóságnak többször (egyhangúlag) felül kellett bírálnia a DPC-t.
Írország mellett Luxemburg arról is ismert, hogy olyan nagyvállalatok székhelyének ad otthont, mint az Amazon, az eBay és a Paypal, ami a luxemburgi hatóságnak mint szabályozó hatóságnak döntő szerepet biztosít. Írországhoz hasonlóan a noyb is 2019 óta várja a döntést egy olyan panaszban, amely az alábbiakkal kapcsolatos Amazonhozzáférési jogának megsértése miatt benyújtott panaszára, ezért a noyb-nek most jogi lépéseket kell tennie a hatóság ellen.
Az EU "nagy" technológiai központjai mellett számos nemzeti érdekesség is van. A francia és a svéd hatóságok például tagadják, hogy a felhasználók az eljárásban felek lennének. A bajor hatóság nem ad hozzáférést az aktákhoz. A lengyel hatóság megköveteli, hogy a panaszokat digitálisan nyújtsák be, de a fájlok fizikai másolását csak Varsóban engedélyezi. Az osztrák hatóság egy nemzeti záradékot használ arra, hogy tömeges eljárásokat zárjon le, mert a vállalat állítólag megoldotta a problémát. A bolgár hatóság évek óta figyelmen kívül hagy minden e-mailben, telefonon vagy postai úton történő kommunikációt. A német bíróságok hatályon kívül helyezik a hatósági határozatokat, míg Írországban egy hatóság elleni per gyorsan 100 000 euróba kerülhet.
764 panaszról nem született döntés. A GDPR 2018. májusi hatálybalépése óta a noyb 848 egyéni panaszt nyújtott be a különböző adatvédelmi hatóságokhoz Európa-szerte. Az ügyek mindössze 10%-áról (84 panaszról) döntöttek az illetékes hatóságok, amelyek többségét lezárták, vagy egyezséget kötöttek a vállalattal, mivel az orvosolta a jogsértést. Néhány ügyben csak részben született döntés. Körülbelül 15 ügy jelenleg a nemzeti bíróságok előtt van, mert a hatóságok nem döntöttek a törvényes határidőn belül, vagy a noyb fellebbezett a határozat ellen.
A hatóságok tétlensége és az eljárási jog hiánya miatt számos eljárás a nemzeti bíróságokhoz kerül, amelyek gyakran nem rendelkeznek a GDPR-ról szóló szükséges ismeretekkel. A döntéseket gyakran elkerülhető eljárási hibák miatt helyezik hatályon kívül. Sok felhasználó számára a bírósághoz fordulás anyagilag nem megoldható. Az ügyvédi irodák tudják ezt, és szándékosan túlterhelik a hatóságokat és a bíróságokat végtelen számú panasszal és több száz oldalas beadványokkal.
Max Schrems: "A GDPR idén öt évig lesz alkalmazandó. Eddig sok vállalat sikeresen kicselezi magát, mivel csak kevés a jogérvényesítés. A GDPR ígéretei, miszerint az adatvédelmet hatékonnyá és egyszerűvé teszi, kudarcot vallanak a tagállamok nemzeti hatóságai miatt, amelyek eddig nem tudtak hatékony végrehajtást elérni."
