Wbrew prawu UE szwedzki organ ochrony danych (IMY) regularnie odmawia właściwego rozpatrywania skarg osób, których dane dotyczą. Nawet po wydaniu orzeczenia przez Naczelny Sąd Administracyjny Szwecji, IMY często po prostu przekazuje skargę firmie, która nielegalnie przetwarza dane osobowe - a następnie natychmiast zamyka sprawę bez przeprowadzenia dochodzenia. Tymczasem GDPR wyraźnie stanowi, że władze muszą nie tylko rozpatrzyć każdą skargę, ale także naprawić sytuację. noyb pozywa teraz IMY do sądu, aby zapewnić, że w końcu wywiąże się ze swoich zobowiązań.
IMY nie jest "rzecznikiem praw obywatelskich". Szwecja jest krajem, który dał światu słowo "ombudsman". Szwedzcy rzecznicy praw obywatelskich mają jednak pewne zastrzeżenie: to od nich zależy, w jaki sposób rozpatrzą skargę. Jeśli chcą wyrzucić skargę do kosza, mogą to zrobić. Jednak zgodnie z prawem UE organ ochrony danych (OOD) ma obowiązek aktywnie egzekwować podstawowe prawo do ochrony danych. Organ ochrony danych musi nie tylko rozpatrzyć każdą skargę, ale także naprawić sytuację. Niemniej jednak szwedzki organ ochrony danych (zwany "IMY") nadal zachowuje się tak, jakby był szwedzkim rzecznikiem praw obywatelskich.
Max Schrems: "6 lat po wprowadzeniu RODO nadal widzimy, że władze zachowują się tak, jakby mogły wybierać, czy obywatele mają egzekwować swoje prawa. Prawo UE wymaga zbadania każdej skargi i naprawienia każdego naruszenia RODO. IMY zdaje się zapominać, że jest organem wykonawczym."
IMY nadal ignoruje swoje obowiązki. W przeszłości IMY nie uznawała nawet, że skarżący ma prawo odwołać się od jej decyzji. Zmieniło się to w listopadzie 2023 r., kiedy Naczelny Sąd Administracyjny Szwecji (HFD) orzekł, że osoby składające skargę mają prawo do uzyskania decyzji, a skargi nie są tylko informacjami, z którymi IMY może zrobić, co mu się podoba, ale że każdy ma prawo do rozpatrzenia swojej skargi.
Praktyka IMY polegająca na zwykłym "przekazywaniu" skarg. Od czasu wyroku Naczelnego Sądu Administracyjnego IMY rozpatruje skargi, dołączając do swoich (nie)decyzji "formularz odwoławczy". Nadal jednak nie rozpatruje on skarg. Zamiast tego organ po prostu przekazuje skargę podmiotowi, który nielegalnie przetwarza dane osobowe, a następnie natychmiast zamyka sprawę. Stało się tak również w przypadku poprzedzającym noybprzeciwko IMY. Po tym, jak osoba, której dane dotyczą, złożyła skargę dotyczącą nagranej rozmowy telefonicznej, organ przekazał ją pozwanemu bez przeprowadzenia dochodzenia.
Max Schrems: "IMY zdaje się mylić swoją rolę z rolą poczty. Samo przekazywanie dokumentów nie wymagałoby kolejnego kosztownego i niezależnego organu. "
Wyraźne orzeczenia sądu najwyższego UE. W kilku sprawach (zob. C-311/18, C-26/22 i C-64/22) Europejski Trybunał Sprawiedliwości wyraźnie stwierdził, że każdy organ ochrony danych musi rozpatrzyć skargę z należytą starannością. W toczącej się sprawie (zob. C-768/21) Rzecznik Generalny dodatkowo wyjaśnił te obowiązki.
Max Schrems: "Trybunał Sprawiedliwości UE wyraźnie stwierdził, że każdy krajowy organ ochrony danych musi w pełni zbadać skargę i podjąć niezbędne kroki w celu powstrzymania naruszenia. Nie ma powodu, dla którego ludzie w Szwecji nie mieliby mieć takich samych praw jak wszyscy inni w UE"."
noyb apeluje. Co zaskakujące, szwedzki sąd pierwszej instancji (Förvaltningsrätten w Sztokholmie) zgodził się z podejściem IMY. Dlategonoyb złożył teraz odwołanie do sądu drugiej instancji (Kammarrätten i Stockholm), aby zapewnić, że prawo do właściwego rozpatrzenia każdej skargi jest również egzekwowane w Szwecji.
Max Schrems: "W razie potrzeby ponownie wniesiemy tę sprawę do Trybunału Sprawiedliwości, ale oczekujemy, że szwedzkie sądy będą przestrzegać prawa UE i zapewnią, że IMY wykona swoją pracę."