5 jaar GDPR: Nationale autoriteiten laten Europese wetgever in de steek. 85% van de noyb-zaken niet beslist.
Op 25 mei 2018 trad de GDPR in werking. Terwijl de inhoud van de EU-gegevensbeschermingsregels grotendeels hetzelfde bleef, was de vermeende grote verandering de strikte handhaving van de GDPR. 5 jaar later laten nationale autoriteiten en rechtbanken de Europese wetgever grotendeels in de steek - ondanks een budget van meer dan 330 miljoen euro in 2022.
noyb biedt de volgende middelen bij de 5-jarige verjaardag:
- Gedetailleerde gegevens over meer dan 800 GDPR-zaken van noybwaaruit blijkt dat meer dan 85% van alle noyb-zaken niet wordt beslist - 470 klachten wachten al meer dan 1,5 jaar op een beslissing
- noyb's "GDPR valstrikkaart" met veel van de nationale procedurele kwesties om door te klikken
- "Landenprofielen" met specifieke kwesties in Oostenrijk, België, Frankrijk, Duitsland, Griekenland (NL/ GR), Ierland, Italië, Luxemburg, Nederland (NL/ NL), Polen en Spanje
- Onze website met een voorstel voor een GDPR-procedureverordening die veel van de GDPR-handhavingsproblemen zou kunnen oplossen
Meta € 1,2 miljard boete is een voorbeeld van handhaving die niet werkt. Een boete van 1,2 miljard euro (die strategisch werd uitgesteld tot de week van de "vijf jaar GDPR") mag dan wel de krantenkoppen halen, het is eigenlijk een voorbeeld van handhaving die niet werkt. Niet alleen duurde het meer dan tien jaar voordat de DPC tot een eerste besluit kwam (waartegen nu beroep zal worden aangetekend), de zaak vereiste ook dat Max Schrems drie processen aanspande tegen de Ierse DPC om deze te dwingen zijn werk te doen. Zo hebben het Hof van Justitie van de EU (HvJEU) en de EDPB de Ierse DPC drie keer verzocht om de zaak effectief te behandelen. De kosten van deze rechtszaak worden geschat op meer dan 10 miljoen euro.
Botsing tussen EU-wetgeving en nationale praktijk. De GDPR werd in het Europees Parlement aangenomen met een meerderheid van 96% en op één na steunden alle lidstaten de wet. De nationale wetgevers en de nationale praktijk raakten echter snel daarna slaags. Bijna elke lidstaat heeft een of andere procedurele truc of kwestie om de GDPR te ondermijnen. Dit varieert van het toevoegen van concepten als een "drempel" voor privacyschendingen, tot het standpunt dat het "behandelen" van een klacht ook kan betekenen dat deze gewoon in de prullenbak verdwijnt. Andere voorbeelden zijn dat de autoriteiten in Frankrijk of Zweden van mening zijn dat een klager geen partij is in hun eigen procedure, terwijl de autoriteit in Polen eist dat je naar Warschau reist om foto's van je dossier te maken met je mobiele telefoon. Wij hebben een overzicht samengesteld in onze "GDPR-valstrikkaart" om enkele van de valkuilen te laten zien waar de gemiddelde burger in terecht komt.
Max Schrems, voorzitter van noyb.eu: "De GDPR had zeer sterke politieke steun. Na vijf jaar GDPR zien we veel weerstand bij autoriteiten en rechtbanken om de wet te handhaven. De wetgever heeft gesproken, maar de nationale rechtbanken en autoriteiten vinden voortdurend nieuwe manieren om niet te luisteren. Het lijkt er vaak op dat er meer energie wordt gestoken in het ondermijnen van de GDPR dan in de naleving ervan. Terwijl bedrijven weten dat Ierland de 'go to'-jurisdictie is voor niet-handhaving, is er nauwelijks een 'go to'-jurisdictie voor burgers, aangezien er in vrijwel alle lidstaten handhavingsproblemen zijn. "
Systematische vertragingen. Hoewel een uitzonderlijke boete internationaal de krantenkoppen haalt, blijkt uit de veel grotere database met zaken van dat gegevensbeschermingsautoriteiten (DPA's) de GDPR grotendeels niet tijdig handhaven. Van de meer dan 800 zaken die noyb het afgelopen jaar heeft aangespannen, wordt 85,9% niet beslist en meer dan 58% wacht langer dan 18 maanden op een beslissing.De GDPR vereist echter dat bedrijven binnen een maand aan verzoeken voldoen en nationale wetten die vaak binnen 3-6 maanden beslissingen vereisen.
Max Schrems: "In veel rechtsgebieden krijg je in het beste geval na twee jaar een beslissing - dat is als je ooit een beslissing krijgt. De praktijk staat gewoon mijlenver af van de bedoeling van de wetgever om een vrije en gemakkelijke manier van klagen te hebben. Wij verspillen het grootste deel van onze tijd aan het achtervolgen van casemanagers, dossiers en instanties."
Gebrek aan goede procedures en juridische beslissingen. Naast de lange vertragingen werden zaken die werden afgesloten grotendeels geschikt of ingetrokken door de partijen (ongeveer 6% in het geval van noyb) of was er een andere uitkomst (3,4%), zoals het bedrijf dat de EU-markt verliet. In slechts 3,9% van alle gevallen kwam het tot een juridische vaststelling door de gegevensbeschermingsautoriteit.
Max Schrems: "Veel autoriteiten proberen alles om een beslissing te vermijden. Vaak 'sluiten' ze zaken gewoon zonder beslissing of onderhandelen ze met de bedrijven en smeken ze hen zo vriendelijk te zijn de wet na te leven. Voor een regelrechte overtreding van de wet staat nauwelijks een sanctie. "
Bedrijven leerden de GDPR te negeren. Terwijl de industrie aanvankelijk een driftbui had geworpen over de GDPR en de hoge boetes, is de afgelopen jaren gebleken dat dit afschrikwekkende effect snel is weggespoeld. De realiteit laat zien dat de wetgever niet in staat was om simpelweg een handhavingscultuur in te voeren. De GDPR is vaak slechts een papieren tijger geworden.
Max Schrems: "De realiteit laat zien dat de EU niet in staat was een 'handhavingscultuur' wettelijk vast te leggen. De meer agressieve bedrijven hebben snel begrepen dat consequenties grotendeels alleen op papier bestaan en zijn doorgegaan met hun bedrijfsmodellen. Achter gesloten deuren zijn bedrijven heel open over het feit dat ze helemaal niet bang zijn voor de autoriteiten. Het zijn vooral de al redelijke bedrijven die in compliance hebben geïnvesteerd."
Oproep tot harmonisatie en handhaving. Nu we de 5e verjaardag van de GDPR vieren, moeten de autoriteiten dringend schakelen en overgaan op een serieuze handhavingscultuur. Het idee van de Europese Commissie om een EU-procedureverordening aan te nemen, kan daarbij helpen. Maar, een dergelijke wettelijke regeling moet alomvattend zijn om de vele problemen in de huidige procedures op te lossen. Ook veel lidstaten kunnen hun procedures verbeteren. Wij hebben de meest voorkomende problemen in specifieke landen opgesomd: Oostenrijk, België, Frankrijk, Duitsland, Griekenland (NL/ GR), Ierland, Italië, Luxemburg, Nederland (NL/ NL), Polen en Spanje.
Max Schrems: "Na vijf jaar is de tijd van begeleiding en uitstel duidelijk voorbij. Als er geen algemene afschrikking is, verliezen de autoriteiten waarschijnlijk weer de controle over de situatie. De Europese Commissie heeft een nieuwe verordening voorgesteld om procedurele problemen op te lossen. Duidelijke procedureregels zijn een goed idee, maar moeten allesomvattend zijn om het probleem daadwerkelijk op te lossen."
Civiele actie vereist en collectief verhaal. Alleen al in 2023 werd bijna 2 miljard euro aan boetes opgelegd aan Meta als gevolg van noyb's ijverige inspanningen en juridische acties, waardoor civiele actie relevanter is dan ooit. Met de op handen zijnde invoering van de EU-richtlijn inzake collectief verhaal krijgen gebruikers de mogelijkheid om hun procesinspanningen te bundelen via gezamenlijke 'class action'-processen. Deze aanpak omzeilt niet alleen de afhankelijkheid van DPA's, maar kan ook een afschrikwekkender effect hebben dan de GDPR-boetes, die grotendeels theoretisch zijn GDPR-boetes die grotendeels theoretisch zijn.