Deň ochrany údajov: 41 rokov "dodržiavania predpisov na papieri"?!
Dnešný Deň ochrany údajov pripomína podpísanie prvého celoeurópskeho rámca ochrany údajov (Dohovor 108) v roku 1981. O 41 rokov neskôr sa GDPR stalo hlavným pilierom európskej ochrany údajov. Nariadenie GDPR, ktoré bolo prijaté v roku 2016 s veľkými nádejami, je teraz na pokraji smrti podobne ako mnohé predchádzajúce pravidlá ochrany údajov. Existovali na papieri, ale v realite sa takmer neuplatňovali.
Teória európskeho presadzovania. Podľa GDPR má každý v Európe právo podať sťažnosť svojmu orgánu na ochranu údajov (DPA), ktorý by mal následne presadzovať základné právo občanov na súkromie. Na stránke "jednotné kontaktné miesto" - mechanizmus spolupráce pre prípady medzi jednotlivými krajinami by mal zabezpečiť, aby zákazníci mohli rovnako účinne presadzovať svoje práva, keď ich údaje spracúva spoločnosť v inom členskom štáte.
Vymáhanie GDPR je vákuum. Mnohí občania, ktorí sa pokúsili uplatniť svoje práva podľa GDPR, sú sklamaní. Niektoré orgány na ochranu údajov sťažnosti vôbec nespracúvajú. Postupy sa "zabúdajú" alebo sa strácajú v systéme spájajúcom vnútroštátne orgány DPA. V mnohých prípadoch je celé roky len rádiové ticho. Aj keď sa výkonnosť jednotlivých orgánov DPA veľmi líši, noyb dostáva podobné správy od frustrovaných občanov z celej EÚ. Koniec koncov, systém je len taký silný, ako jeho najslabší článok.
Iba 15 % prípadov noybrozhodol do jedného roka - žiadne celoeurópske prípady. Spoločnosť noyb doteraz podala 51 individuálnych prípadov na orgány na ochranu údajov v Európe. Len o šiestich z týchto sťažností bolo rozhodnuté, o ďalších troch bolo rozhodnuté čiastočne. Všetky boli čisto vnútroštátne prípady, v ktorých nebola potrebná európska spolupráca. V rámci mechanizmu "jednotného kontaktného miesta" sa do dnešného dňa nerozhodlo ani o jednom celoeurópskom prípade. Zatiaľ čo niektoré prípady boli podané len nedávno a môžu potrebovať viac času, iné boli podané pred viac ako rokom. Z týchto 34 dlhšie trvajúcich prípadov je zatiaľ úplne rozhodnutých len päť. To znamená, že 85 % všetkých prípadov starších ako jeden rok stále čaká na rozhodnutie. Niektoré prípady sa stratili medzi orgánmi. V iných prípadoch úrady ani nereagovali na e-maily alebo telefonáty. Neslávnymi víťazmi za najdlhšie trvanie sú štyri prípady, ktoré boli podané 25.5.2018 na "nútený súhlas". Po 3 rokoch a 8 mesiacoch írsky "vedúci" orgán stále nevydal konečné rozhodnutie.
"Jasne vidíte, že väčšinou zostávame bez odpovede. Niektoré orgány sú čierne skrinky. Nie je možné pochopiť, čo sa deje s našimi sťažnosťami. Hoci vnútroštátne prípady vykazujú určité výsledky, nevideli sme ani jedno rozhodnutie, keď už rôzne členské štáty museli spolupracovať v rámci mechanizmu "jednotného kontaktného miesta". Tento prehľad ukazuje, aké frustrujúce, neúčinné a komplikované môže byť presadzovanie európskych základných práv." - Romain Robert, programový riaditeľ spoločnosti noyb.
Pri príležitosti dnešného "Dňa ochrany údajov" zverejnila organizácia noyb zoznam všetkých 51 "individuálnych" sťažností, ktoré podala od nadobudnutia účinnosti nariadenia GDPR:
>>> Kliknutím na obrázok sa otvorí celá tabuľka v novej karte
Dve vlny, 523 sťažností, jedno rozhodnutie. noyb podal dve kolá "paralelných sťažností", ktoré môžu byť pre orgány na ochranu údajov náročnejšie, ale zároveň im umožňujú zefektívniť proces rozhodovania. Zo 101 sťažností z augusta 2020 týkajúcich sa prenosu údajov medzi EÚ a USA bolo po 1,5 roku čiastočne rozhodnuté v jednom prípade týkajúcom sa služby Google Analytics (1 %). V ďalších 422 sťažnostiach z augusta 2021 týkajúcich sa bannerov cookies zatiaľ nebolo prijaté ani jedno rozhodnutie. Zdá sa, že v mnohých prípadoch ide len o potvrdenie prijatia sťažnosti.
Európske inštitúcie vyjadrujú podobné obavy. Európsky parlament vyjadril svoje obavy z nedostatočnej úrovne presadzovania GDPR a Komisia dokonca varovala, že ak nedôjde k zlepšeniu, bude presadzovať centralizovanejší prístup. Konferencia EDPS o tejto problematike, ktorá bola vymenovaná na jún, nenecháva nikoho na pochybách, že v roku 2022 bude zameraná na presadzovanie GDPR.
"Dúfame, že tento prehľad našich sťažností podporí diskusie, ktoré sa očakávajú v tomto roku. Myslíme si, že zahrnutie konkrétnych prípadov do analýzy môže doplniť zoznam už identifikovaných problémov s presadzovaním práva." - Romain Robert, programový riaditeľ spoločnosti noyb
Zameranie na presadzovanie a procesné práva. Skúsenosti z posledných 3,5 roka znamenajú, že úloha noyb ako organizácie na presadzovanie GDPR sa stala ešte relevantnejšou. Okrem toho sa zameriava na žaloby proti regulačným orgánom, ktoré nevyriešia sťažnosti v primeranej lehote, noyb bude zapájať aj do priamych žalôb proti spoločnostiam, a to aj prostredníctvom kolektívnych žalôb - aj keď je to zvyčajne oveľa drahšie. Zatiaľ čo smernica o kolektívnom uplatňovaní nárokov na nápravu bude implementovaná vo všetkých členských štátoch do konca roka 2022, noyb je už oficiálne spôsobilý začať reprezentatívnych žalôb v Belgicku. Spolu s organizáciou PrivacyFirst sme založili aj nadáciu "CUIC" (Consumers United In Court) v Holandsku na podávanie podobných žalôb.
"Napriek našej nespokojnosti s presadzovaním práva sa spoločnosť noyb naďalej venuje podpore orgánov na ochranu údajov a sťažovateľov, ktorí majú záujem o lepšie presadzovanie práva. aj 41 rokov po prijatí dohovoru musíme všetci spoločne pracovať na tom, aby sa ochrana súkromia stala realitou." - Romain Robert, programový riaditeľ noyb.
S ohľadom na túto skutočnosť, noyb vám všetkým želá šťastný Deň ochrany osobných údajov!
