5 jaar GDPR: Nationale autoriteiten laten Europese wetgever in de steek

5 jaar GDPR: Nationale autoriteiten laten Europese wetgever in de steek. 85% van noyb zaken niet beslist.

Op 25 mei 2018 werd de GDPR van kracht. Terwijl de inhoud van de EU-regels voor gegevensbescherming grotendeels hetzelfde bleef, was de vermeende grote verandering de strikte handhaving van de GDPR. 5 jaar later laten nationale autoriteiten en rechtbanken de Europese wetgever grotendeels in de steek - ondanks een budget van meer dan €330 miljoen in 2022.

noyb biedt de volgende bronnen op de 5e verjaardag:

• Gedetailleerde gegevens over noybmeer dan 800 GDPR-zakenwaaruit blijkt dat meer dan 85% van alle noyb zaken niet wordt beslist - 470 klachten wachten al meer dan 1,5 jaar op een beslissing
• noyb's "GDPR Valkuil Kaart"met veel van de nationale procedurele kwesties om doorheen te klikken
• "Landenprofielen" met specifieke kwesties in Oostenrijk, België, Frankrijk, Duitsland, Griekenland (NL/ GR), Ierland, Italië, Luxemburgnederland (NL/ NL), Polen en Spanje
• Onze website met een voorstel voor een GDPR-procedureverordening die veel van de GDPR handhavingsproblemen zou kunnen oplossen

Meta € 1,2 miljard boete is een voorbeeld van handhaving niet werkt. Hoewel een boete van € 1,2 miljard (die strategisch werd uitgesteld tot de week van de "vijf jaar GDPR") de krantenkoppen kan halen, is het eigenlijk een weerspiegeling van handhaving niet niet werkt. Niet alleen duurde het meer dan tien jaar voordat de DPC een eerste beslissing nam (waartegen nu beroep zal worden aangetekend), de zaak vereiste ook dat Max Schrems drie rechtszaken aanspande tegen de Ierse DPC om deze te dwingen zijn werk te doen. Dit hield onder andere in dat het Hof van Justitie van de EU (HvJEU) en de EDPB de Ierse DPC drie keer moesten vertellen dat ze de zaak effectief moesten behandelen. De kosten van deze rechtszaak worden geschat op meer dan € 10 miljoen.

Botsing tussen EU-wetgeving en nationale praktijk. De GDPR werd in het Europees Parlement aangenomen met een meerderheid van 96% en op één lidstaat na steunde iedereen de wet. De nationale wetgevers en de nationale praktijk sloegen echter snel daarna toe. Bijna elke lidstaat heeft wel een procedurele truc of kwestie om de GDPR te ondermijnen. Dit varieert van het toevoegen van concepten als een "drempel" voor privacyschendingen, tot het standpunt dat het "behandelen" van een klacht ook kan betekenen dat de klacht gewoon in de prullenbak verdwijnt. Andere voorbeelden zijn dat de autoriteiten in Frankrijk of Zweden van mening zijn dat een klager geen partij is in hun eigen procedure, terwijl de autoriteit in Polen eist dat je naar Warschau reist om foto's van je dossier te maken met je mobiele telefoon. We hebben een overzicht gemaakt in onze "GDPR Valkuil Kaart"om een aantal van de valkuilen te laten zien waar de gemiddelde burger in terecht komt.

Max Schrems, voorzitter van noyb.eu: "De GDPR had een zeer sterke politieke steun. Nu de GDPR vijf jaar van kracht is, zien we veel weerstand bij autoriteiten en rechtbanken om de wet te handhaven. De wetgever heeft gesproken, maar de nationale rechtbanken en autoriteiten vinden steeds nieuwe manieren om niet te luisteren. Het lijkt er vaak op dat er meer energie wordt gestoken in het ondermijnen van de GDPR dan in het naleven ervan. Terwijl bedrijven weten dat Ierland de 'go to' jurisdictie is voor niet-handhaving, is er nauwelijks een 'go to' jurisdictie voor burgers, aangezien er handhavingsproblemen zijn in vrijwel alle lidstaten."

Systematische vertragingen. Terwijl een uitzonderlijke boete internationaal de krantenkoppen haalt, noyb's veel grotere database met zaken laat zien dat gegevensbeschermingsautoriteiten (DPA's) de GDPR grotendeels niet op tijd handhaven. Van de meer dan 800 zaken die noyb heeft ingediend in het afgelopen jaaris 85,9% niet beslist en wacht meer dan 58% langer dan 18 maanden op een beslissing. De GDPR vereist echter dat bedrijven binnen een maand gehoor geven aan verzoeken en nationale wetten vereisen vaak beslissingen binnen 3-6 maanden.

Max Schrems: "In veel rechtsgebieden krijg je in het beste geval na twee jaar een beslissing - als je al ooit een beslissing krijgt. De praktijk staat gewoon mijlenver af van de bedoeling van de wetgever om een vrije en gemakkelijke manier te hebben om een klacht in te dienen. We verspillen het grootste deel van onze tijd aan het achtervolgen van casemanagers, dossiers en autoriteiten."

Gebrek aan goede procedures en juridische beslissingen. Naast de lange vertragingen werden zaken die werden afgesloten grotendeels geschikt of ingetrokken door de partijen (ongeveer 6% in het geval van noyb) of was er een andere uitkomst (3,4%), zoals het bedrijf dat de EU-markt verliet. In slechts 3,9% van alle gevallen kwam het tot een juridische uitspraak van de DPA.

Max Schrems: "Veel autoriteiten doen er alles aan om een beslissing te voorkomen. Ze 'sluiten' de zaken vaak gewoon zonder beslissing of onderhandelen met de bedrijven en smeken hen om zo vriendelijk te zijn zich aan de wet te houden. Er is nauwelijks een rechttoe rechtaan sanctie voor een rechtaan overtreding van de wet. "

Bedrijven leerden de GDPR te negeren. Hoewel de industrie aanvankelijk een woedeaanval had veroorzaakt over de GDPR en de hoge boetes, hebben de afgelopen jaren laten zien dat dit afschrikwekkende effect snel is weggespoeld. De realiteit laat zien dat de wetgever niet in staat was om simpelweg een handhavingscultuur in te voeren. De GDPR is vaak slechts een papieren tijger geworden.

Max Schrems: "De realiteit toont aan dat de EU niet in staat was om een 'handhavingscultuur' wettelijk vast te leggen. De agressievere bedrijven hebben snel begrepen dat de gevolgen grotendeels alleen op papier bestaan en zijn doorgegaan met hun bedrijfsmodellen. Achter gesloten deuren zijn bedrijven heel open over het feit dat ze helemaal niet bang zijn voor de autoriteiten. Het zijn vooral de al redelijke bedrijven die in compliance hebben geïnvesteerd."

Oproep tot harmonisatie en handhaving. Nu we de 5e verjaardag van de GDPR vieren, moeten de autoriteiten dringend schakelen naar een serieuze handhavingscultuur. Dit kan ook worden geholpen door het idee van de Europese Commissie om een EU-procedureverordening aan te nemen. Echter, zo'n wettelijke oplossing zou veelomvattend moeten zijn om de vele problemen in de huidige procedures op te lossen. Veel lidstaten kunnen hun procedures ook verbeteren. We hebben de meest voorkomende problemen in specifieke landen op een rijtje gezet: Oostenrijk, België, Frankrijk, Duitsland, Griekenland (NL/ GR), Ierland, Italië, Luxemburgnederland (NL/ NL), Polen en Spanje.

Max Schrems: "Na vijf jaar is de tijd van begeleiding en respijtperiodes duidelijk voorbij. Als er geen algemene afschrikking is, verliezen de autoriteiten waarschijnlijk weer de controle over de situatie. De Europese Commissie heeft een nieuwe verordening voorgesteld om procedurele problemen op te lossen. Duidelijke procedureregels zijn een goed idee, maar moeten veelomvattend zijn om het probleem echt op te lossen."

Civiele actie vereist & collectief verhaal. Alleen al in 2023 werd bijna 2 miljard euro aan boetes opgelegd aan Meta als gevolg van de noyb's ijverige inspanningen en juridische acties, waardoor civiele actie relevanter is dan ooit. Met de op handen zijnde invoering van de EU-richtlijn inzake collectief verhaal, krijgen gebruikers de mogelijkheid om hun procesinspanningen te bundelen via gezamenlijke 'class action'-rechtszaken. Deze aanpak omzeilt niet alleen de afhankelijkheid van DPA's, maar kan ook een afschrikwekkender effect hebben dan de GDPR-boetes die grotendeels theoretisch zijn GDPR-boetes die grotendeels theoretisch zijn.