W wyroku C-416/23 austriacki organ ochrony danych (DSB) otrzymał policzek od TSUE. Organ ten - arbitralnie - ustalił liczbę skarg, które osoby, których dane dotyczą, mogą złożyć na maksymalnie dwie miesięcznie, nawet jeśli naruszenia RODO dotyczą ich niemal codziennie. TSUE wyjaśnił teraz: tak długo, jak nie składasz skarg stanowiących nadużycie, wszyscy użytkownicy mają prawo do naprawienia wszelkich naruszeń RODO przez DSB. Niestety, organy ochrony danych próbujące pozbyć się skarg to nie tylko problem austriacki. Nasze dane pokazują ogólnoeuropejski problem z bezczynnością organów ochrony danych.
Odrzucanie i masowe umarzanie postępowań. Przez lata DSB opracowywało różne "techniki", aby w jak największym stopniu umarzać postępowania przeciwko firmom. Na przykład osobom, których dane dotyczą, często grozi się umorzeniem postępowania po każdym oświadczeniu złożonym przez firmę, jeśli nie wyrażą sprzeciwu w ciągu dwóch tygodni. DSB umarza również postępowania na dużą skalę, jeśli firma (po latach sporów) w ostatniej chwili zastosuje się do RODO. Ostatnią "sztuczką" było ograniczenie liczby skarg do dwóch miesięcznie - mimo że użytkownicy są czasami dotknięci naruszeniami RODO co godzinę. Ta "sztuczka" została obecnie anulowana przez TSUE po tym, jak obywatel wniósł sprawę przeciwko DSB, która została eskalowana aż do TSUE - ale inne sposoby pozbycia się skarg są nadal w użyciu.
Max Schrems: "Prawa podstawowe przysługują ci zawsze - nie tylko dwa razy w miesiącu. Gdyby DSB konsekwentnie karał naruszenia, byłoby również mniej skarg. Zamiast tego organ stosuje różne techniki, aby pozbyć się skarżących. Firmy nauczyły się, że nie ma żadnych konsekwencji. Dzięki różnym sztuczkom proceduralnym udaje się uniknąć dużej części skarg - a firmy z radością nadal łamią prawo"
Tylko 1,36% wszystkich postępowań kończy się nałożeniem grzywny. DSB stwierdza obecnie, że w 2023 r. przeprowadził 4 030 postępowań (2389 skarg krajowych, 876 skarg transgranicznych i 765 postępowań z urzędu). Jednak, nałożono tylko 55 grzywien w całym roku. Oznacza to, że statystycznie tylko 1,36% wszystkich postępowań kończy się nałożeniem grzywny. Dla porównania: 8.34 miliony mandatów drogowych zostały wystawione w Austrii w 2021 roku. W godzinach szczytu w 2023 r, miesięcznie wystawiano ponad 7 000 mandatów za nieprawidłowo zaparkowane hulajnogi elektryczne w Wiedniu. Statystycznie DSB zajęłoby 127 lat, aby wystawić te 7 000 kar. Jednak wiele naruszeń RODO jest tak trywialnych jak wykroczenia parkingowe. Żądania użytkowników po prostu nie są przetwarzane, nie uzyskuje się zgody lub dane nie są usuwane.
Max Schrems: "W godzinach szczytu w samym Wiedniu wystawiono do 7000 miesięcznych mandatów za nielegalnie zaparkowane e-skutery. Natomiast organ ochrony danych nałożył tylko 55 kar w 2023 roku. Przeciętny przestępca parkingowy ma więcej powodów do obaw niż korporacje, które nadużywają danych osobowych milionami. W ponad 98% wszystkich spraw rozpatrywanych przez DSB nie ma żadnych kar. Firmy, które przestrzegają prawa, wychodzą na głupków"
To nie tylko austriacki problem. Problem ten nie jest unikalny dla Austrii, ale dotyczy organów ochrony danych w całej Europie. W 2022 r. (ostatni rok z ogólnounijnymi danymi liczbowymi) wszystkie europejskie organy ochrony danych prowadziły łącznie 140 106 postępowań - ale nałożyły tylko 1819 grzywien na firmy. Oznacza to, że tylko w 1,3% przypadków wyciągnięto poważne konsekwencje. Wyraźnie pokazuje to, że w całej UE istnieje problem z bezczynnością organów ochrony danych i przeciąganiem postępowań przez władze.
Max Schrems: "Widzimy, że organy ochrony danych tak naprawdę nie podejmują działań w całej UE. Trybunał Sprawiedliwości wielokrotnie powtarzał im, że muszą wziąć się w garść, ale statystyki tego nie odzwierciedlają"
Procedury trwają lata - zamiast miesięcy. Zgodnie z § 73 AVG, DSB musi podjąć decyzję w ciągu 6 miesięcy. W rzeczywistości procedury prawie zawsze trwają znacznie dłużej. Na przykład, 3 lata na decyzję w sprawie nielegalnego nie jest wyjątkiem. Statystyki statystyki noyb dla Austrii pokazują wiele przypadków, w których na decyzję czeka się znacznie ponad 6 miesięcy. Dalsze odwołania do Federalnego Sądu Administracyjnego również trwają kilka lat zamiast 6 miesięcy przewidzianych przez prawo. W rezultacie egzekwowanie prawa w Austrii nie jest w żaden sposób zgodne z prawem UE.
Max Schrems: "Nigdy nie widziałem procedury DSB, która została rozstrzygnięta w ustawowym terminie. Zamiast planowanych sześciu miesięcy, często mówimy o trzech latach lub więcej, nawet w przypadku zupełnie błahych spraw, takich jak nielegalny baner cookie. DSB jest strukturalnie niezdolny do skutecznego egzekwowania prawa"
Problemy z budżetem? Grzywna nałożona przez Google wystarczyłaby na budowę tunelu Brenner Base Tunnel. Austriacki Urząd Ochrony Danych (DSB) od lat prosi o wyższy budżet. Od 2020 r. liczba pracowników liczba pracowników została zwiększona z 43 do 60. Warto byłoby, aby państwo zapewniło niezbędne zasoby: DSB jest nie tylko bezpośrednio odpowiedzialny za firmy w Austrii, ale także za wiele międzynarodowych korporacji, w tym Google USA. Pojedyncza kara nałożona na Google może wynieść nawet 6 miliardów euro - czyli więcej niż udział Austrii w rynku to więcej niż udział Austrii w budowie tunelu Brenner Base Brenner lub spora część obecnego deficytu budżetowego w wysokości od 15 do 23 miliardów euro.
Max Schrems: "Gdyby DSB w końcu obudziło się ze snu i otrzymało na to przyzwoity budżet, mogłoby się to szybko zwrócić. Na przykład kara RODO nałożona na Google to więcej niż nasz udział w budowie tunelu Brenner Base Tunnel - żeby dać wyobrażenie o skali. Ale DSB musi również stać się bardziej wydajne. Nie można po prostu poprosić o większy budżet, a następnie nadal nie przetwarzać spraw strukturalnie"
