Keď v roku 2018 vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), otvorilo novú éru ochrany údajov v EÚ. Aspoň na papieri. Spotrebitelia dostali nástroje na obhajobu svojich základných práv, zatiaľ čo orgány získali vážne vyšetrovacie právomoci a možnosť sankcionovať porušenia vysokými pokutami. O takmer 7 rokov neskôr je realita oveľa pochmúrnejšia. Pri príležitosti tohtoročného Dňa ochrany údajov 28. januára, noyb analyzovala aktuálne štatistiky EDPB o (ne)činnosti vnútroštátnych orgánov na ochranu údajov. Z údajov vyplýva, že v priemere len 1,3 % prípadov, ktoré riešia orgány na ochranu údajov, vedie k uloženiu pokuty. Avšak, odborníci na ochranu údajov tvrdia, že že pokuty sú najúčinnejším spôsobom, ako zabezpečiť, aby spoločnosti dodržiavali zákony.
Prísne presadzovanie GDPR len na papieri. Keď v máji 2018 nadobudlo účinnosť všeobecné nariadenie o ochrane údajov (GDPR), sľubovalo posun k serióznemu prístupu k ochrane údajov. Európski spotrebitelia, ktorých sa dotklo porušenie ochrany osobných údajov, dostali potrebné nástroje na podávanie sťažností svojim vnútroštátnym orgánom na ochranu údajov (DPA) - tie boli vybavené potrebnými právomocami na vyšetrovanie všetkých druhov porušení a udeľovanie správnych pokút s cieľom zabrániť podobným priestupkom v budúcnosti. Žiaľ, posledných 7 rokov ukázalo, že to bolo väčšinou len zbožné želanie. Potvrdzuje to aj nová noyb analýza Štatistík EDPB o činnosti orgánov v rokoch 2018 až 2023: V priemere len 1,3 % prípadov, ktoré riešia orgány na ochranu údajov, skutočne vyústi do pokuty. To je v súlade s našimi vlastnými praktickými skúsenosťami: Väčšina prípadov sa ťahá niekoľko rokov, kým sa uzavrie dohodou alebo úplne zamietne.
Max Schrems: "Európske orgány na ochranu údajov majú všetky potrebné prostriedky na primerané sankcionovanie porušení GDPR a udeľovanie pokút, ktoré by zabránili podobným porušeniam v budúcnosti. Namiesto toho však rokovania často preťahujú na roky - až príliš často rozhodujú v rozpore so záujmami sťažovateľa."
Žiadny skutočný pozitívny príklad. Hoci sa zdá, že niektoré orgány na ochranu údajov ukladajú oveľa viac pokút ako iné, všetky čísla sa pohybujú v jednociferných percentách - alebo sú dokonca nižšie. Slovenský orgán na ochranu údajov, ktorý v rokoch 2018 až 2023 uložil pokuty v 6,84 % všetkých prípadov (počítajúc sťažnosti aj vyšetrovania z vlastného podnetu), vedie štatistiky. Za ním nasledujú Bulharsko (4,19 %), Cyprus (3,12 %), Grécko (2,65 %) a Chorvátsko (2,54 %). Na opačnom konci spektra sa nachádza holandský orgán, ktorý udelil pokuty v 0,03 % (!) všetkých prípadov, tesne za ním nasleduje Francúzsko (0,10 %), Poľsko (0,18 %), Fínsko (0,21 %), Švédsko (0,25 %) a samozrejme Írsko (0,26 %). Zvyšné krajiny sa nachádzajú niekde medzi nimi.
Kliknutím sem si môžete pozrieť plne interaktívnu verziu mapy uvedenú nižšie.
Kliknutím sem si môžete pozrieť plne interaktívnu verziu uvedenej mapy.
Fenomén špecifický pre ochranu údajov. Zdá sa, že tento zjavný nedostatok vážnych dôsledkov za porušenie zákona je veľmi špecifický pre ochranu údajov. Vezmime si ako príklad Španielsko: V roku 2022 španielsky úrad pre ochranu údajov dostal 15 128 sťažností, ale vydalo len 378 pokút. To znamená, že štatisticky len 2,5 % všetkých sťažností skončilo udelením pokuty. Patria sem zjavné porušenia, ako napríklad nezodpovedané žiadosti o prístup alebo nezákonné bannery s cookies, ktoré by sa teoreticky mohli riešiť rýchlo a štandardizovaným spôsobom. Pre porovnanie: 3.v Španielsku bolo udelených 7 miliónov pokút za prekročenie rýchlosti v roku 2022 (okrem Baskicka a Katalánska). Podobné porovnanie sa dá urobiť v podstate pre akýkoľvek iných členských štátov EÚ.
Max Schrems: "Akosi sa nedarí motivovať iba orgány na ochranu údajov, aby skutočne presadzovali zákon, ktorý im bol zverený. V každej inej oblasti porušenie zákona pravidelne vedie k peňažným pokutám a sankciám. V súčasnosti sa zdá, že orgány na ochranu údajov často konajú skôr v záujme spoločností než dotknutých osôb."
Z údajov vyplýva: viac pokút = viac dodržiavania predpisov. Hoci tieto čísla nie sú prekvapujúce, napriek tomu sú alarmujúce. A noyb prieskum medzi odborníkmi na ochranu údajov ukazuje, že práve peňažné pokuty motivujú spoločnosti k dodržiavaniu zákona. Na otázku o najúčinnejších opatreniach na presadzovanie práva 67,4 % respondentov uviedlo, že rozhodnutia orgánu na ochranu údajov proti ich vlastnej spoločnosti, ktoré zahŕňajú pokutu, ovplyvnia rozhodovacie orgány, aby sa rozhodli pre väčšie dodržiavanie predpisov. Zaujímavé je, že 61,5 % respondentov uviedlo, že aj pokuty DPA voči iným organizáciám ovplyvnia dodržiavanie GDPR v ich vlastnej spoločnosti.
Kliknutím sem si môžete pozrieť plne interaktívny graf uvedený nižšie.
Kliknutím sem si môžete pozrieť plne interaktívny graf.
Uložené pokuty sú vtip. Ak sa bližšie pozrieme na výšku pokút, ktoré vnútroštátne orgány každoročne ukladajú, je tento problém ešte jasnejší. Írsko (475 902 000 EUR priemerná výška pokuty/rok) a Luxembursko (124 395 729 EUR priemerná výška pokuty/rok) sú na čele štatistík v rokoch 2018 až 2023 s veľkým odstupom. Na prvý pohľad to môže znieť ako veľa peňazí. Ale v skutočnosti to tak nie je. Takmer všetky veľké technologické spoločnosti ako Apple, Google, Meta a Microsoft sídlia v Írsku, vďaka čomu je írsky DPC vedúcim orgánom v niektorých z najväčších prípadov vôbec. Na druhej strane Luxembursko je zodpovedné za spoločnosti ako Amazon. V skutočnosti musí byť DPC nútený k vlastnému šťastiu. noyb'dva najväčšie prípady proti Meta museli prejsť okľukou k EDPB, kým DPC nakoniec udelil spoločnosti pokutu v celkovej výške takmer 1,6 miliardy eur. Ak túto sumu odrátate, veľa toho nezostane.
Viac rozpočtu, viac rozhodnutí? Niektoré orgány opakovane tvrdia, že by potrebovali len väčší rozpočet a zdroje, aby mohli prijímať viac včasných - a vysoko účinných - rozhodnutí. Pri pohľade na štatistiky EDPB, rozpočet orgánov sa v rokoch 2020 až 2024 zvýšil až o 130 %. Napríklad holandský orgán zaznamenal v priebehu štyroch rokov nárast rozpočtu o 62 % - bez výrazného zvýšenia uložených pokút. Aby sme to uviedli na pravú mieru: V roku 2023 mal holandský orgán na ochranu údajov rozpočet takmer 37 miliónov EUR, ale uložil len 1,98 milióna EUR pokút. Ide o rozdiel takmer 35 miliónov EUR, ktorý v štátnom rozpočte zanechá obrovskú dieru. Tento výpadok by sa však mohol vyrovnať silným presadzovaním práva. Pokuty podľa GDPR idú štátu vedúceho orgánu.
Kliknutím sem si môžete pozrieť plne interaktívny graf uvedený nižšie.
Kliknutím sem si môžete pozrieť plne interaktívny graf.
Takmer 40 % všetkých pokút vďaka noyb. Tento model možno pozorovať v celej EÚ: V rokoch 2018 až 2023 uložili všetky orgány na ochranu údajov v EÚ pokuty v celkovej výške 4,29 miliardy EUR - z toho 1,69 miliardy EUR bolo výsledkom noyb súdnych sporov. Inými slovami: Takmer 40 % všetkých pokút uložených na základe nariadenia GDPR pochádza z noyb. To znamená, že v skutočnosti sa skôr zdá, že chýba politická vôľa postaviť sa proti technologickým gigantom, ako nedostatok možností konať.
