Amikor az általános adatvédelmi rendelet (GDPR) 2018-ban hatályba lépett, az adatvédelem új korszakát nyitotta meg az EU-ban. Legalábbis papíron. A fogyasztók eszközöket kaptak ahhoz, hogy kiálljanak alapvető jogaikért, a hatóságok pedig komoly vizsgálati jogköröket kaptak, és lehetőséget arra, hogy a jogsértéseket súlyos bírságokkal szankcionálják. Közel 7 évvel később a valóság sokkal sötétebb. Az idei adatvédelmi nap alkalmából január 28-án, noyb elemezte az EDPB aktuális statisztikáit a nemzeti adatvédelmi hatóságok (nem)tevékenységéről. Az adatok azt mutatják, hogy az adatvédelmi hatóságok előtt folyamatban lévő ügyek átlagosan mindössze 1,3%-a vezet pénzbírsághoz. Ugyanakkor, az adatvédelmi szakemberek szerint hogy a bírságok a leghatékonyabb módja annak, hogy a vállalatok betartják a jogszabályokat.
Szigorú GDPR-érvényesítés csak papíron. Amikor az általános adatvédelmi rendelet (GDPR) 2018 májusában hatályba lépett, az adatvédelem komolyabb megközelítése felé való elmozdulást ígért. Az adatvédelmi jogsértések által érintett európai fogyasztók megkapták a szükséges eszközöket ahhoz, hogy panaszt tegyenek a nemzeti adatvédelmi hatóságaiknál (adatvédelmi hatóságok) - amelyek fel lettek szerelve a szükséges hatáskörökkel ahhoz, hogy mindenféle jogsértést kivizsgáljanak, és közigazgatási bírságot szabjanak ki a hasonló jogsértések jövőbeni megelőzése érdekében. Sajnos az elmúlt 7 év megmutatta, hogy ez többnyire csak vágyálom volt. Ezt erősíti meg egy új noyb elemzés EDPB statisztikái a hatóságok tevékenységéről 2018 és 2023 között: Átlagosan az adatvédelmi hatóságok elé kerülő ügyek mindössze 1,3%-a vezet ténylegesen pénzbírsághoz. Ez összhangban van saját gyakorlati tapasztalatainkkal: A legtöbb ügy több éven át húzódik, mielőtt egyezséggel zárul, vagy teljesen elvetik.
Max Schrems: "Az európai adatvédelmi hatóságoknak minden szükséges eszközük megvan ahhoz, hogy megfelelően szankcionálják a GDPR megsértését, és olyan bírságokat szabjanak ki, amelyek a jövőben megakadályozzák a hasonló jogsértéseket. Ehelyett gyakran évekig elhúzzák a tárgyalásokat - csakhogy túl gyakran a panaszos érdekei ellen döntsenek."
Nincs igazán pozitív példa. Bár úgy tűnik, hogy egyes adatvédelmi hatóságok jóval több bírságot szabnak ki, mint mások, a számok mind egyszámjegyű százalékos tartományban mozognak - vagy még ennél is alacsonyabbak. A szlovák adatvédelmi hatóság, amely 2018 és 2023 között az összes eset 6,84%-ában (a panaszokat és a saját kezdeményezésű vizsgálatokat is beleszámítva) bírságot szabott ki, vezeti a statisztikát. Ezt követi Bulgária (4,19%), Ciprus (3,12%), Görögország (2,65%) és Horvátország (2,54%). A spektrum másik végén a holland hatóság az összes eset 0,03%-ában (!) szabott ki bírságot, szorosan követi Franciaország (0,10%), Lengyelország (0,18%), Finnország (0,21%), Svédország (0,25%) és természetesen Írország (0,26%). A többi ország valahol a kettő között helyezkedik el.
Az alábbi térkép teljesen interaktív változatát ide kattintva tekintheti meg.
Kattintson ide a fenti térkép teljesen interaktív változatának megtekintéséhez.
Az adatvédelem sajátos jelensége. Úgy tűnik, hogy a törvénysértések súlyos következményeinek nyilvánvaló hiánya az adatvédelem sajátos jelensége. Vegyük példának Spanyolországot: A spanyol adatvédelmi hatóság 2022-ben 15 128 panasz érkezett, de kiadott csak 378 bírságot szabott ki. Ez azt jelenti, hogy statisztikailag az összes panasznak csak 2,5%-a végződött bírsággal. Ebbe beletartoznak az olyan nyilvánvaló jogsértések, mint a megválaszolatlan hozzáférési kérelmek vagy a jogellenes cookie-bannerek, amelyeket - elméletileg - gyorsan és szabványosított módon lehetne kezelni. Összehasonlításképpen: 3.spanyolországban 7 millió gyorshajtási bírságot állítottak ki 2022-ben (Baszkföld és Katalónia nélkül). Hasonló összehasonlítást lehet tenni gyakorlatilag bármelyik más EU-tagállamokra is.
Max Schrems: "Valahogy csak az adatvédelmi hatóságokat nem lehet motiválni arra, hogy ténylegesen betartassák a rájuk bízott törvényt. Minden más területen a törvénysértések rendszeresen pénzbírságokat és szankciókat vonnak maguk után. Jelenleg úgy tűnik, hogy az adatvédelmi hatóságok gyakran inkább a vállalatok, mint az érintettek érdekében járnak el."
Az adatok azt mutatják: több bírság = több megfelelés. Bár ezek a számok aligha meglepőek, mégis riasztóak. A noyb adatvédelmi szakemberek körében végzett felmérés azt mutatja, hogy a vállalatokat éppen a pénzbírságok ösztönzik a jogszabályoknak való megfelelésre. Amikor a leghatékonyabb végrehajtási intézkedésekről kérdezték őket, a válaszadók 67,4%-a azt mondta, hogy a saját vállalatukkal szemben hozott, pénzbírsággal járó adatvédelmi hatósági határozatok befolyásolják a döntéshozókat, hogy a nagyobb megfelelés mellett döntsenek. Érdekes módon a válaszadók 61,5%-a azt mondta, hogy még a más szervezetekkel szemben kiszabott adatvédelmi hatósági bírságok is befolyásolnák a saját vállalatuk GDPR-megfelelését.
Az alábbi, teljesen interaktív grafikon megtekintéséhez kattintson ide.
A fenti, teljesen interaktív grafikon megtekintéséhez kattintson ide.
A kiszabott bírságok egy vicc. Ha közelebbről megvizsgáljuk a nemzeti hatóságok által évente kiszabott bírságok összegét, még világosabbá válik a probléma. Írország (475 902 000 EUR átlagos bírságösszeg/év) és Luxemburg (124 395 729 EUR átlagos bírságösszeg/év) messze vezetik a 2018 és 2023 közötti statisztikákat. Ez első pillantásra sok pénznek tűnhet. De valójában nem az. Szinte az összes nagy technológiai vállalat, például az Apple, a Google, a Meta és a Microsoft Írországban található, így az ír DPC a vezető hatóság az eddigi legnagyobb ügyek közül néhányban. Luxemburg viszont olyan cégekért felelős, mint az Amazon. A valóságban a DPC-t a saját szerencséjére kell kényszeríteni. noyb's két legnagyobb ügyek a ellen Meta az EDPB előtt kellett megkerülni, mielőtt a DPC végül összesen csaknem 1,6 milliárd euróra bírságolta a vállalatot. Ha ezt az összeget levonjuk, nem sok minden marad.
Több költségvetés, több döntés? Egyes hatóságok ismételten azzal érvelnek, hogy csak több költségvetésre és erőforrásra lenne szükségük ahhoz, hogy több időszerű - és nagy hatású - döntést hozhassanak. Ha megnézzük az EDPB statisztikáit, a hatóságok költségvetése 2020 és 2024 között akár 130%-kal is növekedhet. A holland hatóság például négy év alatt 62%-os költségvetési növekedést könyvelhetett el - a kiszabott bírságok jelentős növekedése nélkül. Hogy ezt perspektívába helyezzük: A holland DPA 2023-ban közel 37 millió eurós költségvetéssel rendelkezett, de csak 1,98 millió eurós bírságot szabott ki. Ez közel 35 millió eurós különbség, ami hatalmas lyukat hagy az állami költségvetésben. Ezt a hiányt azonban erős jogérvényesítéssel ellensúlyozni lehetne. A GDPR-bírságok a vezető hatóság államát illetik.
Az alábbi, teljesen interaktív grafikon megtekintéséhez kattintson ide.
A fenti, teljesen interaktív grafikon megtekintéséhez kattintson ide.
A bírságok közel 40%-a a noyb. Ez a minta az egész EU-ban megfigyelhető: 2018 és 2023 között az összes uniós adatvédelmi hatóság összesen 4,29 milliárd eurónyi bírságot szabott ki - ebből 1,69 milliárd eurónyi bírságot a noyb peres eljárásokból. Más szavakkal: Az összes GDPR-bírság csaknem 40%-a a következőkre vezethető vissza noyb. Ez azt jelenti, hogy a valóságban úgy tűnik, hogy inkább a politikai akarat hiánya hiányzik a technológiai óriásokkal szembeni fellépéshez, mint a cselekvési lehetőségek hiánya.
