Kiedy ogólne rozporządzenie o ochronie danych (RODO) weszło w życie w 2018 r., zapoczątkowało nową erę ochrony danych w UE. Przynajmniej na papierze. Konsumenci otrzymali narzędzia do obrony swoich podstawowych praw, podczas gdy władze otrzymały poważne uprawnienia dochodzeniowe i możliwość karania naruszeń wysokimi grzywnami. Prawie 7 lat później rzeczywistość jest znacznie bardziej ponura. Z okazji tegorocznego Dnia Ochrony Danych obchodzonego 28 stycznia, noyb przeanalizował aktualne statystyki EDPB dotyczące (nie)aktywności krajowych organów ochrony danych. Dane pokazują, że średnio tylko 1,3% spraw przed organami ochrony danych kończy się grzywną. Jednakże, specjaliści ds. ochrony danych twierdzą że grzywny są najskuteczniejszym sposobem zapewnienia przestrzegania prawa przez firmy.
Ścisłe egzekwowanie RODO tylko na papierze. Kiedy ogólne rozporządzenie o ochronie danych (RODO) weszło w życie w maju 2018 r., zapowiadało zmianę w kierunku poważnego podejścia do ochrony danych. Europejscy konsumenci dotknięci naruszeniami prywatności otrzymali niezbędne narzędzia do składania skarg do krajowych organów ochrony danych (OOD) - które zostały wyposażone w niezbędne uprawnienia do badania wszelkiego rodzaju naruszeń i nakładania grzywien administracyjnych w celu zapobiegania podobnym przestępstwom w przyszłości. Niestety, ostatnie 7 lat pokazało, że było to głównie myślenie życzeniowe. Potwierdza to nowy noyb analiza EDPB na temat działalności władz w latach 2018-2023: Średnio tylko 1,3% spraw przed organami ochrony danych faktycznie skutkuje nałożeniem grzywny. Jest to zgodne z naszym własnym praktycznym doświadczeniem: Większość spraw ciągnie się przez wiele lat, zanim zostaną zamknięte ugodą lub całkowicie odrzucone.
Max Schrems: "Europejskie organy ochrony danych dysponują wszelkimi środkami niezbędnymi do odpowiedniego karania naruszeń RODO i nakładania grzywien, które zapobiegałyby podobnym naruszeniom w przyszłości. Zamiast tego często przeciągają negocjacje latami - tylko po to, by zbyt często podejmować decyzje wbrew interesom skarżącego"
Brak prawdziwego pozytywnego przykładu. Podczas gdy niektóre organy ochrony danych wydają się nakładać znacznie więcej grzywien niż inne, wszystkie liczby mieszczą się w jednocyfrowym przedziale procentowym - lub nawet niższym. Słowacki organ ochrony danych, który nałożył grzywny w 6,84% wszystkich spraw (licząc zarówno skargi, jak i dochodzenia z własnej inicjatywy) w latach 2018-2023, jest liderem statystyk. Kolejne miejsca zajmują Bułgaria (4,19%), Cypr (3,12%), Grecja (2,65%) i Chorwacja (2,54%). Na drugim końcu spektrum znajduje się holenderski organ, który nałożył grzywny w 0,03% (!) wszystkich spraw, a tuż za nim Francja (0,10%), Polska (0,18%), Finlandia (0,21%), Szwecja (0,25%) i oczywiście Irlandia (0,26%). Pozostałe kraje plasują się gdzieś pomiędzy.
Kliknij tutaj, aby zobaczyć w pełni interaktywną wersję poniższej mapy.
Kliknij tutaj, aby zobaczyć w pełni interaktywną wersję powyższej mapy.
Zjawisko charakterystyczne dla ochrony danych. Ten pozorny brak poważnych konsekwencji za naruszenia prawa wydaje się być bardzo specyficzny dla ochrony danych. Weźmy Hiszpanię jako przykład: W 2022 r. hiszpański organ ochrony danych otrzymał 15 128 skargale wydał tylko 378 grzywien. Oznacza to, że statystycznie tylko 2,5% wszystkich skarg zakończyło się nałożeniem grzywny. Obejmuje to oczywiste naruszenia, takie jak brak odpowiedzi na prośby o dostęp lub niezgodne z prawem banery plików cookie, które - teoretycznie - mogłyby być rozpatrywane szybko i w ustandaryzowany sposób. Dla porównania: 3.w Hiszpanii wystawiono 7 milionów mandatów za przekroczenie prędkości w 2022 r. (z wyłączeniem Kraju Basków i Katalonii). Podobne porównanie można przeprowadzić dla praktycznie każdego innych państw członkowskich UE.
Max Schrems: "W jakiś sposób tylko organy ochrony danych nie mogą być zmotywowane do faktycznego egzekwowania prawa, które im powierzono. W każdym innym obszarze naruszenia prawa regularnie skutkują grzywnami i sankcjami pieniężnymi. W tej chwili organy ochrony danych często wydają się działać w interesie firm, a nie zainteresowanych osób"
Dane pokazują: więcej grzywien = większa zgodność. Chociaż liczby te nie są zaskakujące, są jednak alarmujące. A noyb wśród specjalistów ds. ochrony danych pokazuje, że to właśnie grzywny pieniężne motywują firmy do przestrzegania prawa. Zapytani o najskuteczniejsze środki egzekwowania prawa, 67,4% respondentów stwierdziło, że decyzje organu ochrony danych przeciwko ich własnej firmie, które obejmują grzywnę, wpłyną na decydentów, aby zdecydowali się na większą zgodność z przepisami. Co ciekawe, 61,5% respondentów stwierdziło, że nawet grzywny nałożone przez DPA na inne organizacje wpłynęłyby na zgodność ich własnej firmy z RODO.
Kliknij tutaj, aby zobaczyć w pełni interaktywny wykres poniżej.
Kliknij tutaj, aby zobaczyć w pełni interaktywny wykres powyżej.
Nakładane grzywny to żart. Bliższe przyjrzenie się wysokości grzywien nakładanych każdego roku przez władze krajowe sprawia, że kwestia ta staje się jeszcze bardziej oczywista. Irlandia (średnia kwota grzywny w wysokości 475 902 000 EUR rocznie) i Luksemburg (średnia kwota grzywny w wysokości 124 395 729 EUR rocznie) zdecydowanie prowadzą w statystykach w latach 2018-2023. Na pierwszy rzut oka może się wydawać, że to dużo pieniędzy. Ale tak naprawdę nie jest. Prawie wszystkie największe firmy technologiczne, takie jak Apple, Google, Meta i Microsoft, mają siedzibę w Irlandii, co sprawia, że irlandzki DPC jest głównym organem w niektórych z największych spraw w historii. Z drugiej strony Luksemburg jest odpowiedzialny za firmy takie jak Amazon. W rzeczywistości DPC musi być zmuszony do własnego szczęścia. noybdwie największe sprawy przeciwko Meta musiały trafić do EDPB, zanim DPC ostatecznie ukarał firmę grzywną w łącznej wysokości prawie 1,6 miliarda euro. Jeśli odjąć tę sumę, nie pozostaje wiele.
Większy budżet, więcej decyzji? Niektóre władze wielokrotnie twierdzą, że potrzebowałyby jedynie większego budżetu i zasobów, aby podejmować bardziej terminowe - i mające duży wpływ - decyzje. Patrząc na statystyki EDPBbudżet władz wzrósł nawet o 130% w latach 2020-2024. Na przykład holenderski organ odnotował wzrost budżetu o 62% w ciągu czterech lat - bez znacznego wzrostu nałożonych grzywien. Aby spojrzeć na to z odpowiedniej perspektywy: W 2023 r. holenderski organ ochrony danych dysponował budżetem w wysokości prawie 37 mln euro, ale nałożył tylko 1,98 mln euro grzywien. Jest to różnica prawie 35 milionów euro, co pozostawi ogromną dziurę w budżecie państwa. Niedobór ten można jednak zrekompensować poprzez zdecydowane egzekwowanie przepisów. Grzywny nałożone przez RODO trafiają do państwa organu prowadzącego.
Kliknij tutaj, aby zobaczyć w pełni interaktywny wykres poniżej.
Kliknij tutaj, aby zobaczyć w pełni interaktywny wykres powyżej.
Prawie 40% wszystkich grzywien dzięki noyb. Wzorzec ten można zaobserwować w całej UE: W latach 2018-2023 wszystkie unijne organy ochrony danych nałożyły łącznie 4,29 mld euro grzywien - z czego 1,69 mld euro wynikało z noyb sporów sądowych. Innymi słowy: Prawie 40% wszystkich grzywien związanych z RODO wynika z noyb. Oznacza to, że w rzeczywistości wydaje się, że raczej brakuje politycznej siły woli, aby przeciwstawić się gigantom technologicznym, niż brakuje możliwości działania.
