Deň ochrany údajov: Sú Európania skutočne chránení?
Európsky deň ochrany údajov 28. januára si pripomíname podpísanie prvého celoeurópskeho rámca na ochranu údajov (Dohovor108) v roku 1981. Dnes, o 42 rokov neskôr, sa GDPR považuje za ústredný zákon v oblasti európskej ochrany údajov a jeho cieľom je umožniť občanom uplatňovať ich základné právo na súkromie. GDPR, ktoré bolo pôvodne oslavované - a obávané - ako nástroj na presadzovanie práva, je na pokraji toho, že ho postihne rovnaký osud ako jeho predchodcov, pretože sa jednoducho ignoruje.
Vymáhanie GDPR len teoreticky. Cieľom nariadenia GDPR je poskytnúť všetkým používateľom v Európe kontrolu nad ich osobnými údajmi. Každý má právo zistiť, aké údaje o ňom spoločnosť má, ako ich spracúva a právo zastaviť nezákonné spracúvanie. V praxi sú však používatelia obťažovaní predovšetkým cookie-bannermi a vyskakovacími oknami, ktoré nedávajú inú možnosť, ako povedať "áno". Títo Európania, ktorí sa pokúsili uplatniť svoje právo na ochranu údajov, boli často trpko sklamaní. noyb pravidelne dostáva správy od frustrovaných používateľov z celej EÚ: postupy sa odďaľujú, orgány sťažnosti zamietajú bez ďalšieho vyšetrovania alebo od nich úplne upúšťajú. Práva používateľov nakoniec končia v koši.
Konflikt medzi právom a regulačnými orgánmi. Nariadenie GDPR sa za posledných 4,5 roka stalo obeťou nedostatočného presadzovania a zdržiavacej taktiky veľkých technologických spoločností. Dokonca aj keď orgány vydajú rozhodnutia a uložia spoločnostiam pokuty, prípady sa môžu ťahať roky kvôli odvolaniam a prieťahom zo strany technologických spoločností. A to aj v prípade občasných vysokých pokút, porušovanie zákona sa "veľkým technologickým firmám" oplatí. Hoci sa presadzovanie GDPR v Európe značne líši, aj aktívnejšie orgány na ochranu údajov čelia veľkým výzvam, keďže cezhraničné prípady si vyžadujú spoluprácu medzi orgánmi (jednotné kontaktné miesto).
Max Schrems, predseda noyb:"Dokonca aj aktívne orgány sú často v neistote, pretože presadzovanie GDPR je také silné, ako jeho najslabší článok."
>>> Kliknutím na obrázok sa otvorí celá tabuľka v novej karte
Prekážka pri presadzovaní. Orgány, ako je írsky úrad na ochranu údajov (DPC), sú rozhodujúcim faktorom, pokiaľ ide o implementáciu GDPR, keďže väčšina amerických technologických spoločností má svoje európske sídlo práve tam. Írsko je dlhodobo považované za "úzke hrdlo" pri presadzovaní nariadenia GDPR v celej EÚ; na jednej strane kvôli extrémne pomalej rýchlosti, akou sa prípady spracúvajú, a na druhej strane preto, že orgán často presadzuje "podnikateľsky ústretový" výklad zákona:
Až po tom, čo Európsky výbor pre ochranu údajov (EDPB) vydal záväzné rozhodnutie v 4,5 roka starom prípade noyb o obchádzaní GDPR spoločnosťou Facebook, írsky DPC začal konať. Oznámil pokutu vo výške 390 miliónov eur a nariadil spoločnosti Meta, aby získala platné súhlas na personalizovanú reklamu. Počas týchto 4,5 roka sa DPC často staval na stranu spoločnosti Meta a teraz vydal aj výrazne zníženú pokutu. Ostatné orgány museli opakovane (jednomyseľne) zrušiť rozhodnutie DPC.
Okrem Írska je Luxembursko známe aj tým, že v ňom sídlia veľké spoločnosti ako Amazon, eBay a Paypal, čo luxemburskému orgánu dáva kľúčovú úlohu regulačnej moci. Podobne ako Írsko, aj noyb čaká od roku 2019 na rozhodnutie v sťažnosti týkajúcej sa Amazonamazonu v súvislosti s porušením práva na prístup, a preto musí teraz noyb podniknúť právne kroky proti tomuto orgánu.
Okrem "veľkých" technologických centier v EÚ existuje aj mnoho národných kuriozít. Napríklad francúzske a švédske orgány odmietajú, že by používatelia boli účastníkmi konania. Bavorský orgán neumožňuje prístup k spisom. Poľský orgán vyžaduje, aby sa sťažnosti podávali v digitálnej podobe, ale fyzické kopírovanie spisov umožňuje len vo Varšave. Rakúsky orgán používa vnútroštátnu doložku na uzavretie obrovského množstva konaní, pretože spoločnosť údajne problém vyriešila. Bulharský orgán už roky ignoruje akúkoľvek komunikáciu prostredníctvom e-mailu, telefónu alebo pošty. Nemecké súdy rušia rozhodnutia úradov, zatiaľ čo žaloba proti úradu v Írsku môže rýchlo stáť 100 000 EUR.
o 764 sťažnostiach nebolo rozhodnuté. Od nadobudnutia účinnosti nariadenia GDPR v máji 2018 podala spoločnosť noyb 848 individuálnych sťažností na rôzne orgány na ochranu údajov v celej Európe. Príslušné orgány rozhodli len o 10 % (84 sťažností) prípadov, pričom väčšinu z nich uzavreli alebo sa so spoločnosťou dohodli na urovnaní, keďže porušenie napravila. O niektorých prípadoch bolo rozhodnuté len čiastočne. Približne 15 prípadov sa v súčasnosti nachádza na vnútroštátnych súdoch, pretože orgány nerozhodli v zákonnej lehote alebo sa noyb odvolali proti rozhodnutiu.
Z dôvodu nečinnosti orgánov a chýbajúceho procesného práva sa mnohé konania presúvajú na vnútroštátne súdy, ktoré často nemajú potrebné znalosti GDPR. Rozhodnutia sa často rušia z dôvodu procesných chýb, ktorým sa dalo vyhnúť. Pre mnohých používateľov nie je obrátiť sa na súd finančne možné. Advokátske kancelárie to vedia a zámerne zaťažujú orgány a súdy nekonečnými sťažnosťami a stovkami strán podaní.
Max Schrems:"Tento rok bude GDPR platiť päť rokov. Zatiaľ sa mnohým spoločnostiam darí úspešne podvádzať, pretože sa len málo presadzuje. Sľuby GDPR, že ochrana údajov bude účinná a jednoduchá, zlyhávajú kvôli vnútroštátnym orgánom v členských štátoch, ktoré doteraz nedokázali priniesť účinné presadzovanie."
