Dag van de gegevensbescherming: 41 jaar "Naleving op papier"?!
De dag van de gegevensbescherming van vandaag markeert de ondertekening van het eerste pan-Europese kader voor gegevensbescherming (Verdrag 108) in 1981. Nu we 41 jaar verder zijn, is de GDPR de belangrijkste pijler van de Europese gegevensbescherming geworden. De GDPR, die in 2016 met hoge verwachtingen werd aangenomen, staat nu op het punt om aan een soortgelijke dood te bezwijken als vele gegevensbeschermingsregels daarvoor. Ze bestonden op papier, maar werden in werkelijkheid nauwelijks gehandhaafd.
De theorie van de Europese handhaving. Onder de GDPR heeft iedereen in Europa het recht om een klacht in te dienen bij hun gegevensbeschermingsautoriteit (DPA), die op haar beurt het fundamentele recht op privacy van burgers moet afdwingen. De "one-stop-shop" samenwerkingsmechanisme voor grensoverschrijdende zaken moet ervoor zorgen dat klanten hun rechten even doeltreffend gehandhaafd zien wanneer hun gegevens door een bedrijf in een andere lidstaat worden verwerkt.
Het handhavingsvacuüm van de GDPR. Veel burgers die hebben geprobeerd hun rechten op grond van de GDPR uit te oefenen, zijn teleurgesteld. Sommige gegevensbeschermingsautoriteiten behandelen klachten helemaal niet. Procedures worden "vergeten" of gaan verloren in het systeem dat de nationale gegevensbeschermingsautoriteiten met elkaar verbindt. In veel gevallen is er gewoon jarenlang radiostilte. Hoewel de prestaties van de gegevensbeschermingsautoriteiten sterk uiteenlopen, krijgt noyb vergelijkbare berichten van gefrustreerde burgers uit de hele EU. Het systeem is immers maar zo sterk als zijn zwakste schakel.
Slechts 15% van de noyb-zaken werd binnen een jaar afgehandeld - geen pan-Europese zaken. Tot dusver heeft noyb 51 individuele zaken aanhangig gemaakt bij gegevensbeschermingsautoriteiten in Europa. Slechts in zes van deze zaken werd een beslissing genomen, in drie andere werd een gedeeltelijke beslissing genomen. In alle gevallen ging het om zuiver nationale zaken, waarbij er geen behoefte was aan Europese samenwerking. Tot op heden is in geen enkele pan-Europese zaak een beslissing genomen in het kader van het "éénloketsysteem". Sommige zaken zijn pas onlangs aanhangig gemaakt en hebben wellicht meer tijd nodig, terwijl andere al meer dan een jaar geleden zijn ingediend. Tot nu toe zijn slechts vijf van die 34 langer lopende zaken volledig afgehandeld. Dit betekent dat 85% van alle zaken die meer dan een jaar oud zijn, nog steeds op een beslissing wacht. Sommige zaken zijn tussen de autoriteiten verloren gegaan. In andere gevallen reageerden de autoriteiten niet eens op e-mails of telefoontjes. De roemloze winnaars voor de langste duur zijn vier zaken die op 25.5.2018 werden ingediend over "gedwongen toestemming". Na 3 jaar en 8 maanden heeft de Ierse "leidende" autoriteit nog steeds geen definitief besluit genomen.
"Je kunt duidelijk zien dat we meestal zonder antwoord worden gelaten. Sommige autoriteiten zijn zwarte dozen. Het is onmogelijk te begrijpen wat er met onze klachten gebeurt. Hoewel nationale zaken enige resultaten opleveren, hebben we nog geen enkele beslissing gezien zodra verschillende lidstaten moesten samenwerken in het kader van het "éénloketsysteem". Het overzicht laat zien hoe frustrerend, ineffectief en ingewikkeld de handhaving van de Europese grondrechten kan zijn."- romain Robert, programmadirecteur bij noyb.
Op de "data privacy day" van vandaag heeft noyb een lijst gepubliceerd van alle 51 "individuele" klachten die het heeft ingediend sinds de GDPR in werking is getreden:
Twee ronden, 523 klachten, één besluit. noyb diende twee ronden van "parallelle klachten" in die voor gegevensbeschermingsautoriteiten een grotere uitdaging kunnen vormen, maar hen ook in staat stellen het besluitvormingsproces te stroomlijnen. Van de 101 klachten uit augustus 2020 over gegevensoverdrachten tussen de EU en de VS is na 1,5 jaar in één zaak over Google Analytics gedeeltelijk uitspraak gedaan (1%). Over nog eens 422 klachten uit augustus 2021 over cookies banners is tot nu toe nog geen enkele beslissing genomen. In veel gevallen lijkt er weinig meer te zijn dan een bevestiging van de ontvangst van de klacht.
Europese instellingen uiten soortgelijke zorgen. Het Europees Parlement heeft zijn bezorgdheid geuit over het ontoereikende niveau van GDPR-handhaving en de Commissie heeft zelfs gewaarschuwd aan te dringen op een meer gecentraliseerde aanpak als er geen verbeteringen worden aangebracht. Een voor juni geplande conferentie van de EDPS over dit onderwerp laat er geen twijfel over bestaan dat 2022 in het teken zal staan van de GDPR-handhaving
"We hopen dat dit overzicht van onze klachten de discussies die naar verwachting dit jaar zullen plaatsvinden, zal bevorderen. Wij denken dat het opnemen van concrete gevallen in de analyse een aanvulling kan zijn op de lijst van reeds gesignaleerde problemen met de handhaving" - Romain Robert, programmadirecteur bij noyb
Nadruk op handhaving en procedurele rechten De ervaring van de afgelopen 3,5 jaar betekent dat de rol van noyb als GDPR-handhavingsorganisatie nog relevanter is geworden. Naast de focus op rechtszaken tegen toezichthouders die klachten niet binnen een redelijke termijn afhandelen, noyb zal de noyb ook rechtstreekse acties ondernemen tegen bedrijven, onder meer via collectieve acties - ook al is dit meestal veel duurder. Terwijl de richtlijn inzake collectief verhaal tegen eind 2022 in alle lidstaten ten uitvoer zal zijn gelegd, is noyb nu al officieel bevoegd om te beginnen met acties door belangenbehartigers in België. Samen met PrivacyFirst hebben we ook de stichting "CUIC" (Consumers United In Court) in Nederland gefinancierd om soortgelijke acties in te stellen.
"Ondanks onze ontevredenheid over de handhaving, blijft noyb zich inzetten voor de ondersteuning van gegevensbeschermingsautoriteiten en klagers die geïnteresseerd zijn in een betere handhaving van de wet. 41 jaar na het verdrag moeten we allemaal samenwerken om privacy werkelijkheid te laten worden." - Romain Robert, programmadirecteur bij noyb.
Met dit in gedachten,noyb wensen wij u allen een prettige Dag van de gegevensbescherming!