Oświadczenie w sprawie czterech lat obowiązywania GDPR

Maj 24, 2022

Oświadczenie w sprawie czterech lat obowiązywania GDPR

GDPR nie zmieniło kultury nieprzestrzegania przepisów. Kiedy GDPR zaczęło obowiązywać 25 maja 2018 r., było to postrzegane jako moment przełomowy. Komentarze plasowały się gdzieś pomiędzy tym, że UE zaczyna poważnie podchodzić do kwestii prywatności, a tym, że internet zepsuje się o północy. Ostatnie cztery lata pokazały, że samo prawo nie zmieni modeli biznesowych, które opierają się na nadużywaniu danych osobowych, oraz kultury w ramach zawodu związanego z ochroną prywatności, która często koncentruje się na ukrywaniu niezgodności z przepisami. Po pierwszym szoku duża część branży danych nauczyła się żyć w zgodzie z GDPR bez faktycznej zmiany praktyk. Odbywa się to głównie poprzez zwykłe ignorowanie praw użytkowników i uciekanie od tego.

Kultura GDPR: otwarte szyderstwo i wrogość. Często przekłada się to na lekceważenie praw podstawowych. Podstawowe prawo do ochrony danych nie jest respektowane i postrzegane jako wynik długiego procesu demokratycznego, ale wyśmiewane jako szalone lub "niemożliwe do spełnienia". Władze i organizacje pozarządowe, które próbują egzekwować prawo w jego obecnym kształcie, spotykają się z otwartą wrogością i oskarżeniami, że jego egzekwowanie "zabije innowacyjność". Prawie żadna inna dziedzina prawa nie jest upolityczniona w takim stopniu - ja przynajmniej nigdy nie słyszałem, żeby kodeksy budowlane czy podatkowe były otwarcie ignorowane z argumentem, że ich przestrzeganie "podważy model biznesowy" danej firmy. Bańka prywatności akceptuje takie narracje jako uzasadniony argument.

Dynamika zgodności z GDPR. GDPR nie zdołało (jeszcze) wydostać się z istniejącego wcześniej stanu: spirali coraz większego nieprzestrzegania i nieegzekwowania przepisów. Podobnie jak w przypadku części miasta, które stają się strefami "no go" dla przestępców i są opuszczane przez policję, wydaje się, że wiele organów ochrony danych straciło przewagę w wielu obszarach sfery cyfrowej. Firmy zdają sobie sprawę, że konkurenci nie przestrzegają przepisów, a działanie zgodne z prawem nie jest opłacalne. Im szerzej będzie się rozprzestrzeniać zjawisko nieprzestrzegania przepisów, tym trudniej będzie organom odzyskać kontrolę przy ograniczonych zasobach

Brak egzekwowania prawa przez organy ochrony danych. Brak rzeczywistego egzekwowania prawa, a tym samym brak efektu odstraszającego dla innych firm, jeszcze bardziej dolewa oliwy do ognia. Z około 50 spraw ogólnokrajowych, które Noyb wniósł w ciągu ostatnich czterech lat, żadna nie doczekała się jeszcze ostatecznej decyzji. Z miesiąca na miesiąc, bez odpowiedniego egzekwowania prawa, coraz trudniej będzie przywrócić sytuację na właściwe tory. Podczas gdy niektóre władze wydają się bardziej martwić o odbiór społeczny, niż o faktyczne egzekwowanie prawa, inne zdają się zdawać sobie sprawę z sytuacji i robią wszystko, co w ich mocy, by zacząć działać. Niemniej jednak czas nagli i wygląda na to, że zbliżamy się do sytuacji, w której GDPR będzie całkowicie ignorowane - tak jak poprzednia dyrektywa UE o ochronie danych z 1995 r.

Problemy techniczne. W praktyce organy (i osoby, których dane dotyczą) często borykają się z problemami technicznymi wynikającymi z różnych procedur krajowych, ograniczonych zasobów, braku wyszkolonych pracowników lub sądów, które szybko uchylają decyzje. Kwestie te nie trafiają na pierwsze strony gazet, ale są powodem, dla którego do tej pory organizacja noyb musi zajmować się bardziej sprawami proceduralnymi niż kwestiami prywatności.

noyb: Najpierw cię ignorują, potem z tobą walczą, a potem wygrywasz". W tym szerszym kontekście rola noyb w 2022 roku uległa bardzo interesującej zmianie. Wielu graczy w branży postrzega to jako zniewagę, że użytkownicy mogą faktycznie domagać się przestrzegania GDPR i mogą rzeczywiście odważyć się pójść do sądu w sprawie swoich praw. Choć sądy są zazwyczaj naturalnym środowiskiem każdego prawnika, widzimy, że prawnicy są coraz bardziej oburzeni naszą pracą. Osobiście uważam to za oznakę naszego niezwykłego sukcesu jako małej organizacji, która jeszcze rok czy dwa lata temu była ignorowana.

Droga naprzód. W przypadku wielu praw podstawowych potrzeba było wieków, aby je ustanowić, obronić i wprowadzić w życie. Wszystkie one są nieustannie atakowane i trzeba nad nimi pracować każdego dnia. Nie powinno dziwić, że to samo dotyczy prawa do ochrony danych. Organy władzy będą musiały nauczyć się, że nikt nie lubi organów wykonawczych, ale ich rola jest kluczowa dla naszych cyfrowych społeczeństw. Przedsiębiorstwa muszą nauczyć się, że takie postępowanie wiąże się z konsekwencjami. Prawnicy branżowi będą musieli nauczyć się, że ich poglądy będą kwestionowane przed organami ochrony danych i sądami. Obrońcy prywatności będą musieli nauczyć się, że samo uchwalenie prawa nie wystarczy - trzeba je także egzekwować. Z niecierpliwością czekamy na kolejne lata pracy nad tym zagadnieniem.