
Nyilatkozat a GDPR 4 évéről
A GDPR nem változtatott a meg nem felelés kultúráján. Amikor a GDPR 2018. május 25-én hatályba lépett, vízválasztó pillanatnak tekintették. A kommentárok valahol az adatvédelemmel kapcsolatos uniós komolyság és az internet éjfélkor történő összeomlása között voltak. Az elmúlt négy év megmutatta, hogy egy jogszabály önmagában nem változtatja meg a személyes adatokkal való visszaélésen alapuló üzleti modelleket és az adatvédelmi szakmán belüli kultúrát, amely gyakran a meg nem felelés elfedésére összpontosít. Az első sokkhatás után az adatfeldolgozó ipar nagy része megtanult együtt élni a GDPR-ral anélkül, hogy ténylegesen megváltoztatta volna a gyakorlatát. Ez főként úgy történik, hogy egyszerűen figyelmen kívül hagyják a felhasználók jogait, és megússzák a dolgot.
A GDPR-kultúra: nyílt gúnyolódás és ellenségeskedés. Ez gyakran az alapvető jogok lekicsinylésében nyilvánul meg. Az adatvédelemhez való alapvető jogot nem tartják tiszteletben, és nem egy hosszú demokratikus folyamat eredményeként érzékelik, hanem őrültségnek vagy "betarthatatlannak" gúnyolják. Azok a hatóságok és nonprofit szervezetek, amelyek megpróbálják érvényesíteni a hatályos törvényt, nyílt ellenségeskedéssel és vádakkal találkoznak, például azzal, hogy a végrehajtás "megöli az innovációt". Aligha van más jogterület, amelyet ilyen mértékben politizálnak - én legalábbis még soha nem hallottam, hogy az építési vagy adózási szabályokat nyíltan figyelmen kívül hagyták volna azzal az érvvel, hogy a betartás "aláásná egy vállalat üzleti modelljét". Az adatvédelmi buborék elfogadja az ilyen narratívákat legitim érvként.
GDPR-megfelelési dinamika. A GDPR-nak (még) nem sikerült kilábalnia egy már meglévő állapotból: a megfelelés és a végrehajtás elmulasztásának lefelé tartó spiráljából. Mint amikor egy város egyes részei bűnügyi "no go" zónává válnak, amelyeket a rendőrség elhagy, úgy tűnik, hogy sok adatvédelmi hatóság a digitális szféra számos területén elvesztette a felsőbbrendűséget. A vállalatok rájöttek, hogy a versenytársak nem tartják be a szabályokat, és hogy a törvényes fellépés nem kifizetődő. Minél szélesebb körben terjed a be nem tartás, annál nehezebb lesz a hatóságoknak korlátozott erőforrásokkal visszaszerezniük az ellenőrzést.
Az adatvédelmi hatóságok általi végrehajtás hiánya. A tényleges végrehajtás hiánya és ezáltal a többi vállalatra gyakorolt elrettentő hatás hiánya még több olajat önt a tűzre. A noyb által az elmúlt négy évben benyújtott mintegy 50 országon átnyúló ügy közül még egyikben sem született jogerős határozat. Megfelelő végrehajtás nélkül hónapról hónapra nehezebb lesz helyreállítani a helyzetet. Míg egyes hatóságok, úgy tűnik, inkább a közvélemény megítélése miatt aggódnak, ha valóban végrehajtják a törvényt, mások úgy tűnik, felismerték a helyzetet, és mindent megtesznek, hogy elinduljanak. Mindazonáltal az idő sürget, és úgy tűnik, hogy közeledünk ahhoz a helyzethez, amikor a GDPR-t teljesen figyelmen kívül hagyják majd - akárcsak az előző, 1995-ös uniós adatvédelmi irányelvet.
Technikai problémák. A gyakorlatban a hatóságok (és az érintettek) gyakran nagyon technikai problémákkal küzdenek, amelyeket az eltérő nemzeti eljárások, a korlátozott erőforrások, a képzett személyzet hiánya vagy a döntéseket gyorsan felülbíráló bíróságok okoznak. Ezek a problémák nem kerülnek a címlapokra, de ezek az okai annak, hogy mostanra a noyb-nak többet kell foglalkoznia eljárási kérdésekkel, mint adatvédelmi kérdésekkel.
noyb: Először nem vesznek tudomást rólad, aztán harcolnak ellened, aztán te nyersz. Ebben a tágabb összefüggésben a noyb szerepe 2022-ben nagyon érdekes változást szenvedett el. Az iparág számos szereplője sértésnek tekinti, hogy a felhasználók valóban követelhetik a GDPR betartását, és valóban bírósághoz mernek fordulni a jogaik miatt. Míg a bíróságok általában minden ügyvéd természetes élőhelye, mi azt látjuk, hogy az ügyvédek egyre inkább felháborodnak a munkánk miatt. Én személy szerint ezt a kiemelkedő sikerünk jelének tekintem, hiszen kis szervezetként egy-két évvel ezelőtt még figyelmen kívül hagytak minket.
A jövő útja. Sok alapvető jog megteremtése, védelme és érvényesítése évszázadokba telt. Mindegyikük folyamatosan támadás alatt áll, és minden nap dolgozni kell rajtuk. Nem meglepő, hogy ugyanez igaz az adatvédelemhez való jogra is. A hatóságoknak meg kell tanulniuk, hogy senki sem szereti a végrehajtó szerveket - de szerepük kulcsfontosságú digitális társadalmaink szempontjából. A vállalatoknak meg kell tanulniuk, hogy ennek következményei vannak. Az iparági jogászoknak meg kell tanulniuk, hogy nézeteiket az adatvédelmi hatóságok és bíróságok előtt meg fogják támadni. Az adatvédelmi aktivistáknak meg kell tanulniuk, hogy nem elég csak törvényt hozni, hanem azt végre is kell hajtani. Nagyon várjuk már, hogy az elkövetkező években ezen dolgozhassunk.