Oświadczenie: 3. rocznica wprowadzenia GDPR

Maj 25, 2021

Oświadczenie: 3. rocznica wejścia w życie GDPR

Trzy lata temu, 25 maja 2018 roku, zaczęło obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych. GDPR miało dać prawa codziennym ludziom, którzy podlegają przetwarzaniu danych ("osoby, których dane dotyczą"). W noyb każdego dnia stosujemy GDPR z tej perspektywy użytkownika.

Po trzech latach nasze pierwsze wnioski są mieszane: GDPR wyraźnie zwróciło uwagę wszystkich na tę kwestię, sprawiło, że firmy zrewidowały swoje praktyki (często po raz pierwszy), a użytkownicy stali się bardziej świadomi, że mają prawa w sferze cyfrowej.

Prywatność na papierze?

Posiadanie praw a uzyskanie sprawiedliwości to dwie odrębne sprawy: Podobnie jak w przypadku poprzednich przepisów zawartych w dyrektywie o ochronie danych z 1995 r. (dyrektywa 95/46), mamy do czynienia z sytuacją, w której UE udało się wydać postępowe prawo (jeśli porównać je w skali globalnej). Jednak państwa członkowskie w dużej mierze nie egzekwują tego nowego europejskiego prawodawstwa. Prowadzi to do "prywatności na papierze", ale niekoniecznie na telefonach czy komputerach użytkowników.

Jako organizacja specjalizująca się w ochronie danych i prywatności, dziesięciu naszych prawników stosuje GDPR na co dzień. Mimo to regularnie spotykamy się z przypadkami, których rozwiązanie zajmuje lata, zwłaszcza gdy użytkownicy chcą dochodzić swoich praw ponad granicami państw. Podczas gdy niektóre organy ochrony danych (DPA) wykonują świetną pracę, inne nie akceptują nawet prawa użytkowników do zbadania skargi, nie mówiąc już o egzekwowaniu ich praw. Ponieważ przedsiębiorstwa deklarują swoje siedziby w najbardziej dogodnym państwie członkowskim ("forum shopping"), użytkownicy w całej UE cierpią z powodu słabych powiązań między organami ochrony danych.

W niektórych państwach członkowskich sądy były równie niechętne egzekwowaniu praw użytkowników. Często wydaje się, że sędziowie nie przeszli żadnego szkolenia na temat GDPR, co prowadzi do decyzji, które ponownie wywołują debaty prawne, które powinny być dawno zażegnane - na przykład prawo do uzyskania odszkodowania pieniężnego za szkody emocjonalne. Podobnie sądy stosują lokalne prawo procesowe w sposób, który niemal uniemożliwia egzekwowanie GDPR.

Sytuacja ta prowadzi nie tylko do rażącego naruszania praw obywateli, ale także do nieuczciwej konkurencji, ponieważ niektórzy gracze na rynku europejskim mogą nie odczuwać potrzeby przestrzegania przepisów, podczas gdy inni obawiają się możliwości nałożenia grzywny

Małe i średnie przedsiębiorstwa

Kolejnym elementem, który staje się teraz jaśniejszy, jest to, że podejście "jeden rozmiar dla wszystkich" GDPR jest nieodpowiednie. Duże firmy naciskały na ujednolicenie prawa, aby zapewnić, że będą musiały spełnić tylko średnie wymagania. Szczególnie partie polityczne, które szczycą się tym, że są "pro-biznesowe", podążyły za tym pomysłem. Te średnie wymagania przytłaczają teraz wiele małych firm, które tak naprawdę nie przetwarzają danych na odpowiednią skalę, a jednocześnie są zbyt słabe, by walczyć z wielką technologią.

W przeciwieństwie do innych regulacji, gdzie istnieją klasy firm, GDPR często wymaga tych samych procedur od małego sklepu i od gigantów technologicznych, takich jak Google, Amazon czy Facebook. Prowadzi to do wysokich obciążeń dla zdecydowanej większości firm, a jednocześnie nie reguluje w odpowiedni sposób istotnych graczy. Wydaje się, że głównymi beneficjentami są duże konglomeraty przetwarzające dane i być może branża konsultingowa. Mimo to, nie ma (z dobrych powodów) apetytu na ponowne otwarcie GDPR, gdyż istnieje obawa, że big tech wykorzysta każdą taką okazję do załatania kolejnych dziur w prawie

Podsumowanie

Europa może szczycić się tym, że przyjęła najbardziej postępowe przepisy dotyczące prywatności na świecie, ale drobne błędy w prawie i brak egzekwowania przepisów prowadzą do uzasadnionej frustracji użytkowników i małych firm. Zadaniem organów ochrony danych i sądów będzie przezwyciężenie tych problemów w ramach istniejących ram prawnych, aby GDPR stało się prawdziwym sukcesem. Cieszymy się, że możemy pracować nad wywołaniem takich zmian w naszej codziennej pracy w noyb.