Dag van de gegevensbescherming: Zijn Europeanen echt beschermd?
De Europese dag van de gegevensbescherming op 28 januari herdenkt de ondertekening van het eerste pan-Europese kader voor gegevensbescherming (Verdrag108) in 1981. Vandaag, 42 jaar later, wordt de GDPR gezien als de centrale wet inzake Europese gegevensbescherming, die burgers in staat moet stellen hun fundamentele recht op privacy uit te oefenen. Aanvankelijk bejubeld - en gevreesd - als handhavingswapen, staat de GDPR op het punt hetzelfde lot te ondergaan als zijn voorgangers door simpelweg genegeerd te worden.
GDPR-handhaving alleen in theorie. De GDPR wil alle gebruikers in Europa controle geven over hun persoonsgegevens. Iedereen heeft het recht om te weten welke gegevens een bedrijf over hem heeft, hoe deze worden verwerkt en het recht om onrechtmatige verwerking te stoppen. In de praktijk worden gebruikers echter vooral lastiggevallen met cookie-banners en pop-ups die geen andere keuze laten dan "ja" te zeggen. Deze Europeanen die hebben geprobeerd hun recht op gegevensbescherming uit te oefenen, zijn vaak bitter teleurgesteld. noyb ontvangt regelmatig berichten van gefrustreerde gebruikers uit de hele EU: procedures lopen vertraging op, klachten worden zonder verder onderzoek door de autoriteiten afgewezen of er wordt helemaal van afgezien. De rechten van gebruikers belanden uiteindelijk in de prullenbak.
Conflict tussen wet en regelgevers. De GDPR is de afgelopen 4,5 jaar het slachtoffer geweest van een gebrek aan handhaving en vertragingstactieken door grote techbedrijven. Zelfs wanneer de autoriteiten besluiten nemen en bedrijven boetes opleggen, kunnen zaken jaren aanslepen als gevolg van beroepen en filibusters door techbedrijven. Zelfs met af en toe een hoge boete, loont het overtreden van de wet voor "big tech". Hoewel de handhaving van de GDPR in Europa sterk verschilt, staan zelfs de meer actieve gegevensbeschermingsautoriteiten voor grote uitdagingen, aangezien grensoverschrijdende zaken samenwerking tussen de autoriteiten vereisen (one-stop-shop).
Max Schrems, voorzitter noyb:"Zelfs de actieve autoriteiten zijn vaak ten einde raad, want de handhaving van de GDPR is slechts zo sterk als de zwakste schakel."
Belemmering van de handhaving. Autoriteiten zoals de Ierse Data Protection Authority (DPC) zijn een kritische factor als het gaat om de implementatie van de GDPR, aangezien de meeste Amerikaanse techbedrijven daar hun Europese hoofdkantoor hebben. Ierland is lang beschouwd als een "knelpunt" in de EU-brede handhaving van de GDPR; enerzijds vanwege de extreem trage snelheid waarmee zaken worden verwerkt en anderzijds omdat de autoriteit vaak een "bedrijfsvriendelijke" interpretatie van de wet nastreeft:
Pas nadat het Europees Comité voor gegevensbescherming (EDPB) een bindende uitspraak in de 4 ,5 jaar oude zaak van noyb over de omzeiling van de GDPR door Facebook, kwam de Ierse DPC in actie. Het kondigde een boete aan van 390 miljoen euro en beval Meta om geldige toestemming te verkrijgen toestemming voor gepersonaliseerde reclame. In deze 4,5 jaar heeft de DPC vaak de kant van Meta gekozen en heeft nu ook een aanzienlijk verlaagde boete. De andere autoriteiten hebben de DPC herhaaldelijk (unaniem) moeten overrulen.
Naast Ierland staat Luxemburg bekend om de hoofdkantoren van grote bedrijven als Amazon, eBay en Paypal, waardoor de Luxemburgse autoriteit een cruciale rol speelt als regulerende macht. Net als Ierland wacht noyb sinds 2019 op een beslissing in een klacht over Amazon's schending van het recht op toegang, waardoor noyb nu juridische stappen moet ondernemen tegen de autoriteit.
Naast de 'grote' tech hubs in de EU zijn er ook veel nationale rariteiten. Zo ontkennen de Franse en Zweedse autoriteiten dat gebruikers partij zijn in een procedure. De Beierse autoriteit geeft geen toegang tot dossiers. De Poolse autoriteit eist dat klachten digitaal worden ingediend, maar staat alleen toe dat dossiers fysiek worden gekopieerd in Warschau. De Oostenrijkse autoriteit gebruikt een nationale clausule om massaal procedures te sluiten omdat het bedrijf het probleem zogenaamd heeft opgelost. De Bulgaarse autoriteit negeert al jaren elke communicatie per e-mail, telefoon of post. Duitse rechtbanken maken beslissingen van de autoriteiten ongedaan, terwijl een rechtszaak tegen de autoriteit in Ierland al snel 100.000 euro kost.
764 klachten niet afgehandeld. Sinds de GDPR in mei 2018 van kracht werd, heeft noyb 848 individuele klachten ingediend bij verschillende gegevensbeschermingsautoriteiten in heel Europa. Slechts 10% (84 klachten) van de zaken werd door de bevoegde autoriteiten beslist, waarvan de meeste werden gesloten of een schikking werd getroffen met het bedrijf omdat het de inbreuk had hersteld. Over sommige zaken is slechts gedeeltelijk beslist. Ongeveer 15 zaken zijn momenteel in behandeling bij de nationale rechtbanken omdat de autoriteiten niet binnen de wettelijke termijn een besluit hebben genomen of omdat noyb tegen het besluit in beroep is gegaan.
Door de inactiviteit van de autoriteiten en het gebrek aan procesrecht worden veel procedures doorgeschoven naar de nationale rechtbanken, die vaak niet over de nodige kennis van de GDPR beschikken. Beslissingen worden vaak vernietigd wegens vermijdbare procedurefouten. Voor veel gebruikers is een gang naar de rechter financieel niet mogelijk. Advocatenkantoren weten dit en overstelpen autoriteiten en rechtbanken bewust met eindeloze klachten en honderden pagina's aan stukken.
Max Schrems:"Dit jaar geldt de GDPR voor vijf jaar. Tot nu toe bedriegen veel bedrijven zich er met succes onderuit, omdat er maar weinig handhaving is. De beloften van de GDPR om gegevensbescherming effectief en eenvoudig te maken, mislukken door de nationale autoriteiten in de lidstaten, die er tot nu toe niet in zijn geslaagd effectieve handhaving tot stand te brengen."