Verklaring: 3e verjaardag van de GDPR
Drie jaar geleden, op 25 mei 2018, werd de Algemene Verordening Gegevensbescherming van toepassing. De GDPR was bedoeld om rechten te geven aan alledaagse mensen die onderhevig zijn aan gegevensverwerking ("betrokkenen"). Bij noyb passen we de GDPR elke dag toe vanuit dat gebruikersperspectief.
Na drie jaar is onze eerste tussentijdse conclusie gemengd: de GDPR heeft de kwestie duidelijk onder de aandacht van iedereen gebracht, ervoor gezorgd dat bedrijven hun praktijken herzagen (vaak voor het eerst) en dat gebruikers zich er meer bewust van werden dat ze rechten hebben in de digitale sfeer.
Privacy op papier?
Rechtenhebben en gerechtigheid krijgen zijn twee verschillende dingen: Net als onder de vorige regels in de gegevensbeschermingsrichtlijn uit 1995 (de Richtlijn 95/46) zijn we in een staat waarin de EU erin geslaagd is een progressieve wet uit te vaardigen (als je die op wereldschaal vergelijkt). De lidstaten laten echter grotendeels na deze nieuwe Europese wetgeving te handhaven. Dit leidt tot "privacy op papier", maar niet noodzakelijk op de telefoons of computers van de gebruikers.
Als organisatie gespecialiseerd in gegevensbescherming en privacy, passen onze tien advocaten de GDPR dagelijks toe. Toch zien we regelmatig zaken die jaren in beslag nemen, vooral wanneer gebruikers hun rechten over de landsgrenzen heen willen afdwingen. Sommige gegevensbeschermingsautoriteiten doen hun werk goed, maar andere aanvaarden niet eens het recht van gebruikers om een klacht te laten onderzoeken, laat staan hun rechten te laten afdwingen. Aangezien bedrijven hun hoofdkantoor in de meest geschikte lidstaat vestigen ("forum shopping"), hebben gebruikers in de hele EU te lijden onder de zwakke banden tussen de gegevensbeschermingsautoriteiten.
In sommige lidstaten zijn de rechtbanken al even weigerachtig om de rechten van gebruikers af te dwingen. Het lijkt er vaak op dat rechters geen opleiding hebben gekregen over de GDPR, wat leidt tot beslissingen die juridische discussies doen oplaaien die allang achter de rug hadden moeten zijn - bijvoorbeeld het recht op een geldelijke vergoeding voor emotionele schade. Ook passen rechtbanken lokaal procesrecht toe op een manier die de handhaving van de GDPR bijna onmogelijk maakt.
Deze situatie leidt niet alleen tot grove schendingen van de rechten van burgers, maar ook tot oneerlijke concurrentie, aangezien sommige spelers op de Europese markt het misschien niet nodig vinden om zich aan de regels te houden, terwijl andere zich zorgen maken over de mogelijkheid van boetes
Kleine en middelgrote ondernemingen
Een ander element dat nu duidelijker wordt, is dat de "one size fits all"-aanpak van de GDPR ontoereikend is. Grote bedrijven drongen aan op een eengemaakte wet, om ervoor te zorgen dat ze alleen aan middelgrote eisen hoefden te voldoen. Vooral politieke partijen die er prat op gaan "pro-business" te zijn, volgden dat idee. Deze middelgrote eisen overweldigen nu veel kleine bedrijven die niet echt op een relevante schaal gegevens verwerken, terwijl ze te zwak zijn om big tech te bestrijden.
In tegenstelling tot andere regelgeving waarin er klassen van bedrijven zijn, eist de GDPR vaak dezelfde procedures van een kleine winkel en van techreuzen als Google, Amazon of Facebook. Dit leidt tot hoge lasten voor de overgrote meerderheid van de bedrijven, terwijl de relevante spelers niet adequaat worden gereguleerd. Het lijkt erop dat vooral grote gegevensverwerkende conglomeraten en misschien de consultancy-industrie hiervan profiteren. Desondanks is er (om goede redenen) geen animo om de GDPR te heropenen, omdat men vreest dat big tech elke gelegenheid zal aangrijpen om nog meer gaten in de wet te prikken
Samenvatting
Europa kan er prat op gaan de meest vooruitstrevende privacywetgeving ter wereld te hebben aangenomen, maar kleine fouten in de wet en het gebrek aan handhaving leiden tot terechte frustratie van gebruikers en kleine bedrijven. Het zal aan de gegevensbeschermingsautoriteiten en de rechtbanken zijn om deze problemen binnen het bestaande wettelijke kader op te lossen om van de GDPR een echt succes te maken. Wij zijn blij dat we in ons dagelijks werk bij noyb kunnen werken aan het in gang zetten van dergelijke veranderingen.