5 lat RODO: Organy krajowe zawiodły prawodawcę europejskiego

5 lat RODO: Organy krajowe zawiodły prawodawcę europejskiego. 85% spraw dotyczących RODO nie zostało rozstrzygniętych.

W dniu 25 maja 2018 r. weszło w życie RODO. Podczas gdy treść unijnych przepisów o ochronie danych pozostała w dużej mierze taka sama, rzekomą dużą zmianą było ścisłe egzekwowanie RODO. 5 lat później organy krajowe i sądy w dużej mierze pozostawiają europejskiego prawodawcę na lodzie - pomimo budżetu w wysokości ponad 330 milionów euro w 2022 roku.

noyb udostępnia następujące zasoby w 5. rocznicę:

• Szczegółowe dane dotyczące ponad 800 spraw GDPR noybpokazujące, że ponad 85% wszystkich spraw noyb nie zostało rozstrzygniętych - 470 skarg oczekuje na decyzję od ponad 1,5 roku
• noyb's "Mapa pułapek GDPR" z wieloma krajowymi kwestiami proceduralnymi do kliknięcia
• "Profile krajowe" z konkretnymi kwestiami w Austria, Belgia, Francja, Niemcy, Grecja (PL/ GR), Irlandia, Włochy, Luksemburg, Niderlandy (PL/ NL), Polska i Hiszpania
• Nasza strona internetowa z propozycją rozporządzenia w sprawie procedur RODO które mogłoby rozwiązać wiele problemów związanych z egzekwowaniem RODO

Grzywna w wysokości 1,2 mld euro jest przykładem nieskutecznego egzekwowania przepisów. Chociaż grzywna w wysokości 1,2 miliarda euro (która została strategicznie opóźniona do tygodnia "pięciu lat RODO") może przyciągnąć nagłówki gazet, w rzeczywistości odzwierciedla ona nieskuteczne egzekwowanie przepisów. Nie tylko minęło ponad dziesięć lat, zanim DPC podjęło pierwszą decyzję (która zostanie teraz zaskarżona), ale sprawa wymagała również od Maxa Schremsa zaangażowania się w trzy zestawy sporów sądowych przeciwko irlandzkiemu DPC, aby zmusić go do wykonania swojej pracy. Obejmowało to trzykrotne wezwanie irlandzkiego DPC przez Trybunał Sprawiedliwości UE (TSUE) i EROD do skutecznie zająć się sprawą. Koszt tego sporu szacuje się na ponad 10 milionów euro.

Zderzenie prawodawstwa UE z praktyką krajową. RODO zostało przyjęte w Parlamencie Europejskim większością 96% głosów, a wszystkie państwa członkowskie z wyjątkiem jednego poparły ustawę. Jednak wkrótce potem nastąpiło zderzenie ustawodawców krajowych i praktyki krajowej. Niemal każde państwo członkowskie znalazło jakąś proceduralną sztuczkę lub kwestię, aby podważyć RODO. Począwszy od dodawania pojęć takich jak "próg" naruszenia prywatności, a skończywszy na uznaniu, że "rozpatrzenie" skargi może również oznaczać po prostu wyrzucenie jej do kosza. Inne przykłady obejmują to, że władze we Francji lub Szwecji uważają, że skarżący nie jest stroną w ich własnej procedurze, podczas gdy w Polsce władze wymagają, abyś udał się do Warszawy, aby zrobić zdjęcia swoich akt telefonem komórkowym. Przygotowaliśmy przegląd w naszym "Mapa pułapek RODO", aby pokazać niektóre z pułapek, w które wpadają przeciętni obywatele.

Max Schrems, przewodniczący noyb.eu: "GDPR miał bardzo silne poparcie polityczne. Pięć lat po wejściu w życie PKBR widzimy duży opór ze strony władz i sądów w egzekwowaniu prawa. Ustawodawca przemówił, ale sądy krajowe i władze nieustannie znajdują nowe sposoby, aby go nie słuchać. Często wydaje się, że więcej energii poświęca się na podważanie RODO niż na jego przestrzeganie. Podczas gdy firmy wiedzą, że Irlandia jest jurysdykcją, do której można się udać w przypadku braku egzekwowania prawa, nie ma jurysdykcji, do której mogliby się udać obywatele, ponieważ kwestie egzekwowania prawa występują w zasadzie we wszystkich państwach członkowskich "

Systematyczne opóźnienia. Podczas gdy wyjątkowa grzywna trafia na międzynarodowe nagłówki, znacznie większa baza danych spraw noybpokazuje, że organy ochrony danych (OOD) w dużej mierze nie egzekwują GDPR w odpowiednim czasie. Z ponad 800 spraw, które noyb złożył w ubiegłym roku85,9% z nich nie zostało rozstrzygniętych, a ponad 58% czeka na decyzję od ponad 18 miesięcy. RODO wymaga jednak od firm spełnienia żądań w ciągu jednego miesiąca, a przepisy krajowe często wymagają podjęcia decyzji w ciągu 3-6 miesięcy.

Max Schrems: "W wielu jurysdykcjach decyzję otrzymuje się w najlepszym przypadku po dwóch latach - jeśli w ogóle się ją otrzyma. Praktyka ta jest po prostu daleka od intencji ustawodawcy, aby mieć swobodny i łatwy sposób składania skarg. Marnujemy większość naszego czasu na uganianie się za kierownikami spraw, aktami i organami"

Brak odpowiednich procedur i decyzji prawnych. Oprócz długich opóźnień, sprawy, które zostały zamknięte, zostały w dużej mierze rozstrzygnięte lub wycofane przez strony (około 6% w przypadku Noyb) lub miały inny wynik (3,4%), na przykład firma opuściła rynek UE. Tylko w 3,9% wszystkich przypadków organ ochrony danych podjął decyzję prawną.

Max Schrems: "Wiele organów próbuje wszystkiego, aby uniknąć decyzji. Często po prostu "zamykają" sprawy bez decyzji lub negocjują z firmami, błagając je, aby były tak miłe i przestrzegały prawa. Nie ma prawie żadnej bezpośredniej kary za bezpośrednie naruszenie prawa"

Firmy nauczyły się ignorować RODO. Podczas gdy branża początkowo złościła się na RODO i jego wysokie grzywny, ostatnie lata pokazały, że ten odstraszający efekt szybko zniknął. Rzeczywistość pokazuje, że ustawodawca nie był w stanie po prostu ustanowić kultury egzekwowania prawa. RODO często stawało się jedynie papierowym tygrysem.

Max Schrems: "Rzeczywistość pokazała, że UE nie była w stanie ustanowić "kultury egzekwowania prawa". Bardziej agresywne firmy szybko zrozumiały, że konsekwencje w dużej mierze istnieją tylko na papierze i kontynuowały swoje modele biznesowe. Za zamkniętymi drzwiami firmy bardzo otwarcie mówią o tym, że w ogóle nie obawiają się władz. To głównie rozsądne firmy zainwestowały w zgodność z przepisami"

Wezwanie do harmonizacji i egzekwowania przepisów. Ponieważ obchodzimy 5. rocznicę wprowadzenia RODO, pilnie potrzebujemy, aby władze zmieniły biegi i przeszły do poważnej kultury egzekwowania prawa. Pomóc w tym może również pomysł Komisji Europejskiej dotyczący przyjęcia unijnego rozporządzenia proceduralnego. Jednakże, takie rozwiązanie legislacyjne musiałoby być kompleksowe aby rozwiązać wiele problemów związanych z obecnymi procedurami. Wiele państw członkowskich może również poprawić swoje procedury. Wymieniliśmy najczęstsze problemy w poszczególnych krajach: Austria, Belgia, Francja, Niemcy, Grecja (PL/ GR), Irlandia, Włochy, Luksemburg, Niderlandy (PL/ NL), Polska i Hiszpania.

Max Schrems: "Po pięciu latach czas na wskazówki i okresy karencji wyraźniesię skończył.Jeśli nie będzie ogólnego środka odstraszającego, władze prawdopodobnie ponownie stracą kontrolę nad sytuacją. Komisja Europejska zaproponowała nowe rozporządzenie w celu rozwiązania kwestii proceduralnych. Jasne zasady proceduralne są dobrym pomysłem, ale muszą być kompleksowe, aby faktycznie rozwiązać problem"

Wymagane powództwo cywilne i zbiorowe dochodzenie roszczeń. Tylko w 2023 r. w wyniku starannych wysiłków i działań prawnych Noyb na Metę nałożono grzywny w wysokości prawie 2 mld euro, co sprawia, że powództwo cywilne jest bardziej istotne niż kiedykolwiek wcześniej. Wraz ze zbliżającym się wprowadzeniem unijnej dyrektywy w sprawie dochodzenia roszczeń zbiorowych, użytkownicy będą mieli możliwość zgrupowania swoich wysiłków procesowych w ramach wspólnych pozwów zbiorowych. Podejście to nie tylko omija zależność od umów o partnerstwie publiczno-prywatnym, ale ma również potencjał bardziej skutecznego odstraszania niż grzywny nakładane na mocy GDPR, które są w dużej mierze teoretyczne.