Dzień Ochrony Danych Osobowych: 41 lat "zgodności na papierze"?!
Dzisiejszy Dzień Ochrony D anych upamiętnia podpisanie pierwszych paneuropejskich ram ochrony danych (konwencja nr 108) w 1981 roku. Po upływie 41 lat GDPR stało się głównym filarem europejskiej ochrony danych. Przyjęte w 2016 r. z dużymi nadziejami, GDPR jest obecnie na skraju śmierci podobnej do wielu wcześniejszych zasad ochrony danych. Istniały na papierze, ale praktycznie nie były egzekwowane w rzeczywistości.
Teoria europejskiego egzekwowania. Zgodnie z GDPR każdy w Europie ma prawo złożyć skargę do swojego organu ochrony danych (DPA), który z kolei powinien egzekwować podstawowe prawo obywateli do prywatności. Strona mechanizm współpracy "one-stop-shop" w przypadku spraw transgranicznych powinno zagwarantować, że klienci będą równie skutecznie egzekwować swoje prawa, gdy ich dane będą przetwarzane przez firmę w innym państwie członkowskim.
Próżnia w egzekwowaniu GDPR. Wielu obywateli, którzy próbowali skorzystać z praw przysługujących im na mocy GDPR, jest rozczarowanych. Niektóre organy ochrony danych w ogóle nie rozpatrują skarg. Procedury są "zapominane" lub gubią się w systemie łączącym krajowe organy ochrony danych. W wielu przypadkach przez lata panuje po prostu cisza radiowa. Mimo że skuteczność działania poszczególnych organów ochrony danych jest bardzo różna, noyb otrzymuje podobne wiadomości od sfrustrowanych obywateli z całej UE. W końcu system jest tylko tak silny, jak jego najsłabsze ogniwo.
Tylko 15% spraw prowadzonych przez noyb zostało rozstrzygniętych w ciągu jednego roku - nie ma spraw ogólnoeuropejskich. Do tej pory organizacja noyb wniosła 51 indywidualnych spraw do organów ochrony danych w Europie. Tylko sześć z tych skarg zostało rozstrzygniętych, kolejne trzy zostały rozstrzygnięte częściowo. Wszystkie były sprawami krajowymi, w których nie było potrzeby współpracy europejskiej. Do dnia dzisiejszego w ramach mechanizmu "pojedynczej instytucji" nie rozstrzygnięto ani jednej sprawy ogólnoeuropejskiej. Podczas gdy niektóre sprawy zostały wniesione niedawno i mogą potrzebować więcej czasu, inne zostały wniesione ponad rok temu. Jak dotąd jedynie pięć z tych 34 dłużej trwających spraw zostało w pełni rozstrzygniętych. Oznacza to, że 85% wszystkich spraw starszych niż rok nadal czeka na decyzję. Niektóre sprawy przepadły między organami. W innych przypadkach władze nie odpowiadały nawet na e-maile czy telefony. Niechlubnymi zwycięzcami za najdłuższy czas trwania są cztery sprawy, które zostały wniesione 25.5.2018 r. w sprawie "wymuszonej zgody". Po 3 latach i 8 miesiącach irlandzki organ "prowadzący" nadal nie wydał ostatecznej decyzji.
"Widać wyraźnie, że zazwyczaj jesteśmy pozostawieni bez żadnej odpowiedzi. Niektóre urzędy to czarne skrzynki. Nie sposób zrozumieć, co dzieje się z naszymi skargami. Podczas gdy sprawy krajowe przynoszą pewne rezultaty, nie doczekaliśmy się ani jednej decyzji, gdy różne państwa członkowskie musiały współpracować w ramach mechanizmu "jednego okienka". Ten przegląd pokazuje, jak frustrujące, nieskuteczne i skomplikowane może być egzekwowanie europejskich praw podstawowych."- romain Robert, dyrektor programowy w noyb.
W dzisiejszym "dniu prywatności danych" noyb opublikował listę wszystkich 51 skarg "indywidualnych", które złożył od czasu wejścia w życie GDPR:
>>> Kliknięcie obrazka spowoduje otwarcie pełnej tabeli w nowej karcie
Dwie fale, 523 skargi, jedna decyzja. noyb złożył dwie rundy "skarg równoległych", które mogą stanowić większe wyzwanie dla organów ochrony danych, ale również pozwalają im usprawnić proces decyzyjny. Ze 101 skarg z sierpnia 2020 r. dotyczących przekazywania danych UE-USA, po 1,5 roku, jedna sprawa dotycząca Google Analytics została częściowo rozstrzygnięta (1%). Dodatkowe 422 skargi z sierpnia 2021 r. dotyczące cookies bannerów nie doczekały się jak dotąd ani jednej decyzji. W wielu przypadkach wydaje się, że niewiele więcej niż potwierdzenie wpłynięcia skargi.
Instytucje europejskie wyrażają podobne obawy. Parlament Europejski wyraził swoje obawy dotyczące niewystarczającego poziomu egzekwowania GDPR, a Komisja ostrzegła nawet, że będzie naciskać na bardziej scentralizowane podejście, jeśli nie zostaną wprowadzone ulepszenia. Konferencja EIOD poświęcona temu zagadnieniu, zaplanowana na czerwiec, nie pozostawia wątpliwości, że w 2022 r. główny nacisk zostanie położony na egzekwowanie GDPR
"Mamy nadzieję, że ten przegląd naszych skarg będzie sprzyjał dyskusjom, które mają się odbyć w tym roku. Uważamy, że włączenie konkretnych przypadków do analizy może uzupełnić listę już zidentyfikowanych problemów z egzekwowaniem" - Romain Robert, dyrektor programowy w noyb
Skupienie się na egzekwowaniu prawa i prawach proceduralnych Doświadczenia ostatnich 3,5 roku oznaczają, że rola noyb jako organizacji zajmującej się egzekwowaniem GDPR stała się jeszcze bardziej istotna. Oprócz skupiania się na pozwach przeciwko organom regulacyjnym, które nie rozpatrują skarg w rozsądnym czasie, noyb będzie również angażować się w bezpośrednie działania przeciwko firmom, w tym poprzez pozwy zbiorowe - nawet jeśli jest to zazwyczaj znacznie droższe. Podczas gdy dyrektywa w sprawie zbiorowego dochodzenia roszczeń zostanie wdrożona we wszystkich państwach członkowskich do końca 2022 roku, noyb jest już oficjalnie uprawniony do rozpoczęcia powództwa reprezentacyjne w Belgii. Wraz z PrivacyFirst sfinansowaliśmy również fundację "CUIC" (Consumers United In Court) w Holandii, aby złożyć podobne pozwy.
"Pomimo naszego niezadowolenia z egzekwowania prawa, noyb pozostaje zaangażowany we wspieranie organów ochrony danych i skarżących zainteresowanych lepszym egzekwowaniem prawa. 41 lat po konwencji, wszyscy musimy pracować razem, aby prywatność stała się rzeczywistością." - Romain Robert, dyrektor programowy w noyb.
Mając to na uwadze,noyb życzymy wszystkim Państwu udanego Dnia Ochrony Danych Osobowych!
