V rozsudku C-416/23 dostal rakúsky úrad na ochranu údajov (DSB) od SDEÚ facku. Orgán - svojvoľne - stanovil počet sťažností, ktoré môžu dotknuté osoby podať, na maximálne dve mesačne, aj keď je človek postihnutý porušením GDPR takmer denne. SDEÚ teraz jasne povedal: pokiaľ nepodávate zneužívajúce sťažnosti, všetci používatelia majú právo na to, aby DSB odstránil akékoľvek porušenie GDPR. Bohužiaľ, snaha orgánov na ochranu údajov zbaviť sa sťažností nie je len rakúskym problémom. Naše údaje ukazujú celoeurópsky problém s nečinnosťou orgánov na ochranu údajov.
Zamietnutie a zastavenie konania en masse. Orgán pre riešenie sporov už roky vyvíja rôzne "techniky" na čo najväčšie zastavenie konaní proti spoločnostiam. Napríklad dotknutým osobám sa často vyhráža zastavením konania po každom vyhlásení spoločnosti, ak do dvoch týždňov nepodajú námietku. Orgán DSB tiež vo veľkom rozsahu zastavuje konania, ak spoločnosť (po rokoch sporov) na poslednú chvíľu splní požiadavky GDPR. Najnovším "trikom" bolo obmedzenie počtu sťažností na dve mesačne - hoci používatelia sú niekedy porušením GDPR postihnutí každú hodinu. Tento "trik" teraz Súdny dvor EÚ zrušil po tom, ako jeden občan podal žalobu proti DSB, ktorá sa dostala až na Súdny dvor EÚ - ale ostatné spôsoby, ako sa zbaviť sťažností, sa stále používajú.
Max Schrems: "Základné práva máte vždy - nielen dvakrát do mesiaca. Ak by DSB dôsledne trestala porušenia, bolo by aj menej sťažností. Namiesto toho orgán používa rôzne techniky, aby sa sťažovateľov zbavil. Spoločnosti sa naučili, že to nemá žiadne následky. Rôznymi procesnými trikmi sa podarí odvrátiť veľkú časť sťažností - a spoločnosti spokojne pokračujú v porušovaní zákona."
Iba 1,36 % všetkých konaní vedie k uloženiu pokuty. DSB v súčasnosti uvádza, že v roku 2023 viedla 4 030 konaní (2 389 vnútroštátnych sťažností, 876 cezhraničných sťažností a 765 konaní z úradnej moci). V súčasnosti je však na Slovensku v prevádzke viac ako 1,5 mil, bolo uložených len 55 pokút za celý rok. To znamená, že štatisticky len 1,36 % všetkých konaní končí uložením pokuty. Pre porovnanie: 8.34 miliónov pokút za dopravné priestupky pokút bolo v Rakúsku udelených v roku 2021. V čase najväčšej špičky v roku 2023, bolo mesačne udelených viac ako 7 000 pokút za nesprávne zaparkované e-kolobežky vo Viedni. Štatisticky by DSB na udelenie týchto 7 000 pokút potreboval 127 rokov. Mnohé porušenia GDPR sú však rovnako banálne ako priestupky pri parkovaní. Žiadosti používateľov sa jednoducho nespracujú, nezíska sa súhlas alebo sa údaje nevymažú.
Max Schrems: "V čase špičky bolo len vo Viedni udelených až 7 000 pokút mesačne za nelegálne zaparkované e-kolobežky. Naproti tomu úrad na ochranu osobných údajov uložil v roku 2023 len 55 pokút. Priemerný porušovateľ parkovacieho poriadku sa má viac báť ako korporácie, ktoré zneužívajú osobné údaje po miliónoch. Vo viac ako 98 % všetkých prípadov, ktoré rieši úrad pre ochranu osobných údajov, nie sú uložené žiadne sankcie. Spoločnosti, ktoré dodržiavajú zákon, zostávajú vyzerať ako hlupáci."
Nie je to len rakúsky problém. Tento problém nie je jedinečný pre Rakúsko, ale týka sa orgánov na ochranu údajov v celej Európe. V roku 2022 (posledný rok s celoeurópskymi číslami) viedli všetky európske orgány na ochranu údajov spolu 140 106 konaní - ale udelili len 1819 pokút spoločnostiam. To znamená, že len v 1,3 % prípadov bol vyvodený závažný dôsledok. Z toho jasne vyplýva, že v celej EÚ existuje problém s nečinnosťou orgánov na ochranu údajov a s tým, že orgány konania preťahujú.
Max Schrems: "Vidíme, že orgány na ochranu údajov v celej EÚ v skutočnosti nekonajú. Súdny dvor im teraz opakovane povedal, že musia začať konať, ale štatistiky to neodrážajú."
Konania trvajú roky - namiesto mesiacov. Podľa § 73 AVG musí DSB rozhodnúť do 6 mesiacov. V skutočnosti konania takmer vždy trvajú podstatne dlhšie. Napríklad, 3 roky na rozhodnutie o nezákonnom cookie banner nie je výnimkou. Na stránke štatistiky noyb pre Rakúsko ukazujú mnoho prípadov, ktoré čakajú na rozhodnutie oveľa dlhšie ako 6 mesiacov. Ďalšie odvolania na Spolkovom správnom súde trvajú tiež niekoľko rokov namiesto zákonom stanovených 6 mesiacov. V dôsledku toho nie je vymožiteľnosť práva v Rakúsku v žiadnom prípade v súlade s právom EÚ.
Max Schrems: "Nikdy som nevidel konanie DSB, ktoré by bolo rozhodnuté v zákonnej lehote. Namiesto plánovaných šiestich mesiacov často hovoríme o troch rokoch alebo viac, a to aj v prípade úplne banálnych prípadov, ako je napríklad nezákonný banner na cookies. DSB nie je štrukturálne schopný účinne presadzovať zákon."
Problémy s rozpočtom? Pokuta spoločnosti Google by zaplatila tunel Brenner Base. Rakúsky úrad na ochranu údajov (DSB) už roky žiada o vyšší rozpočet. Od roku 2020 sa počet zamestnancov zvýšil zo 43 na 60. Bolo by vhodné, aby štát poskytol potrebné zdroje: DSB nie je priamo zodpovedný len za spoločnosti v Rakúsku, ale aj za mnohé medzinárodné korporácie vrátane spoločnosti Google USA. Jediná pokuta uložená spoločnosti Google by mohla dosiahnuť až 6 miliárd EUR - eUR, čo je viac ako podiel Rakúska na Brennerovej základni Alebo značnú časť súčasného rozpočtového deficitu vo výške 15 až 23 miliárd EUR.
Max Schrems: "Ak by sa DSB konečne prebudila zo spánku a dostala na to slušný rozpočet, mohlo by sa to rýchlo vyplatiť. Napríklad pokuta GDPR voči spoločnosti Google je väčšia ako náš podiel na Brennerskom základnom tuneli - to len pre predstavu rozsahu. DSB však musí byť aj efektívnejšia. Nemôžete len žiadať o väčší rozpočet a potom naďalej štrukturálne nespracovávať prípady."
