Ierse DPC "behandelt" 99,93% van GDPR-klachten, zonder beslissing?

Apr 28, 2021

Het Ierse DPC erkent openlijk: Het neemt geen beslissing over GDPR-klachten. Ten minste 99,93% ziet geen beslissing, ondanks 19,1 miljoen euro financiering.

In een nogal verbijsterende hoorzitting voor de Gemengde Commissie Justitie van het Ierse parlement heeft de Ierse commissaris voor gegevensbescherming (DPC), Helen Dixon, voor het eerst publiekelijk toegegeven wat velen al vermoedden: De Ierse toezichthouder beslist niet over klachten van burgers - wat in strijd is met de EU-wetgeving. Bovendien beschuldigde de DPC critici van "volledige onjuistheden", grotendeels zonder de onjuistheden te specificeren. Ook beschuldigde zij andere gegevensbeschermingsautoriteiten van politieke redenen om haar bureau te bekritiseren.

De twee uur durende hoorzitting(volledige video 1, video 2 en video 3) voor het Gemengd Comité voor Justitie was verdeeld in twee sessies, met Max Schrems(noyb) en Fred Logue (FP Logue Solicitors) in de eerste sessie, en Helen Dixon (DPC) en Johnny Ryan (ICCL) in de tweede sessie. De getuigen tijdens de eerste zitting waren het grotendeels eens over de talloze problemen met het DPC en benadrukten dat over de meeste klachten bij het DPC nauwelijks een beslissing wordt genomen - vaak pas na jaren. Ondanks de melding van meer dan 10 000 klachten in 2020 plant het DPC slechts zes tot zeven formele beslissingen in 2021, wat betekent dat slechts 0,07% van alle GDPR-klachten mogelijk een formele beslissing zal zien. Deze "verdwijning" van klachten bracht de heer Schrems ertoe te speculeren over een "Bermudadriehoek" bij het DPC.

DPC: "behandelen" betekent niet "beslissen". Het aloude wonder van het "zelf oplossen" van GDPR-klachten werd vervolgens door Helen Dixon opgeheven: Het DPC interpreteert het woord "afhandelen" gewoon zo dat het DPC ook klachten over het grondrecht op privacy gewoon kan afhandelen. Zij betoogde openlijk: "In feite is er geen verplichting voor de DPC onder de wet van 2018 om een beslissing te produceren in het geval van een klacht."

Max Schrems, voorzitter van noyb:"Als je tegen je baas zou zeggen dat je 'te behandelen' interpreteerde als dat je werk in de prullenbak mocht dumpen, zou je waarschijnlijk ontslagen worden. In plaats daarvan vroeg de DPC om een verhoging van zijn bestaande budget van 19,1 miljoen euro."

Duidelijk recht op een besluit op grond van de GDPR. Het recht op gegevensbescherming wordt beschermd door artikel 8 van het Handvest van de grondrechten van de EU. De nationale gegevensbeschermingsautoriteiten (DPA's) zijn belast met de handhaving van dit recht voor elke gebruiker, kosteloos en binnen een redelijke termijn. De GDPR staat zelfs beroep bij het Hof toe wanneer de"autoriteit een klacht niet behandelt, een klacht geheel of gedeeltelijk afwijst of verwerpt, of niet optreedt wanneer zulks noodzakelijk is om de rechten van de betrokkene te beschermen" Dit werd ook benadrukt door het Hof van Justitie in een recente zaak waarbij de heer Schrems en de gegevensbeschermingsautoriteit betrokken waren, en waarbij de nadruk werd gelegd op haar plicht om op te treden.

Gerard Rudden, Irish Solicitor van noyb:"Het Hof van Justitie oordeelde dat de DPC een klacht met de nodige voortvarendheid moet behandelen. Wat is de definitie van het DPC van 'behandelen'? Kun je iets 'met de nodige zorgvuldigheid' negeren?"

Max Schrems:"Het EU-recht vereist een gemakkelijke en kostenloze manier om je rechten af te dwingen. De DPC ontzegt nu openlijk dit recht aan alle EU-burgers."

Beschuldigingen gericht aan het adres van het EU-parlement, getuigen en andere gegevensbeschermingsautoriteiten. De gegevensbeschermingsautoriteit viel het Europees Parlement aan omdat het onjuiste informatie had gebruikt toen het een inbreukprocedure tegen Ierland eiste wegens het gebrek aan GDPR-handhaving (zie video hieronder). Ze beschuldigde ook andere getuigen voor het Ierse parlement van "volledige onnauwkeurigheden", zonder verder te specificeren wat ze onnauwkeurig achtte. De heer Schrems stuurde onmiddellijk een open brief aan het DPC en het Gemengd Comité waarin hij opheldering eiste over deze niet nader gespecificeerde beschuldigingen.

Maar de gegevensbeschermingsautoriteit liet het daar niet bij: Zij beschuldigde ook andere gegevensbeschermingsautoriteiten ervan politieke redenen te hebben om de inefficiëntie van het gegevensbeschermingscentrum in twijfel te trekken: "...dezelfde gegevensbeschermingsautoriteiten die nu Ierland en het éénloketsysteem bekritiseren, zijn diegenen die officieel het concept van het éénloketsysteem hebben verworpen ... Het is geen verrassing dat er een politiek element in de kritiek zit" Het lijkt twijfelachtig of deze opmerkingen zullen bijdragen tot een betere Europese samenwerking in de toekomst. Naar verluidt vermijdt mevrouw Dixon inmiddels de meeste EU-vergaderingen.