Od roku 2018 má GDPR zabezpečiť, aby Európania mali práva na ochranu osobných údajov v celej EÚ. Ak však práva ľudí porušujú spoločnosti so sídlom v inom členskom štáte EÚ/EHP, sťažnosti sa riešia prostredníctvom zložitého "mechanizmu spolupráce" medzi orgánom na ochranu údajov (OOÚ) v členskom štáte používateľov a OOÚ v členskom štáte spoločnosti. Tento mechanizmus presadzovania je jadrom všeobecne uznávaného zlyhania presadzovania GDPR. Sťažnosti sa strácajú, rozhodnutia trvajú roky a prakticky neexistuje možnosť konať proti nečinným orgánom na ochranu údajov. EÚ sa to odhodlala vyriešiť prostredníctvom "procesného nariadenia o GDPR". Teraz je však zrejmé, že sa chystá zlyhať. Záverečné takzvané "trojstranné" rokovania medzi Európskym parlamentom, členskými štátmi a Európskou komisiou viedli k legislatívnemu zmätku, ktorý pravdepodobne skomplikuje postupy, spomalí ich a zvýši ich náchylnosť na právne námietky. noyb pozorne sledoval tento spis a teraz vydáva verejné varovanie. Na spise je potrebné intenzívne pracovať ďalej. Zdá sa, že súčasný prístup veci celkovo zhoršuje.
- Legislatívne observatórium EÚ so všetkými informáciami o legislatívnom postupe
- Zoznam kľúčových aktérov (PDF)
- Prehľad plánovaného postupu (PDF)
z "jednoduchšieho a rýchlejšieho" sa stalo "zložité a nestabilné". V GDPR sa zatiaľ predpokladá, že orgány na ochranu údajov (OOÚ) v 30 krajinách EÚ/EHP by mali "spolupracovať", ale podrobne sa neobjasňuje, ako by táto spolupráca mala prebiehať. Vnútroštátne postupy sa značne líšia. Požiadavky na vypočutie strán, výmenu dôkazov alebo formálne vydanie platného rozhodnutia sú v každom členskom štáte iné. Základy, ako je zdieľanie informácií o prípade so všetkými orgánmi, v praxi nefungujú. Celkovo to viedlo k mimoriadne pomalým postupom podľa GDPR, strateným dokumentom a neúspešným konaniam o presadzovaní práva. Dokonca aj jednoduché prípady, ako je žiadosť o prístup k informáciám od dotknutej osoby, môžu trvať 5 a viac rokov. Keď Európska komisia oznámila, že tento neporiadok napraví prostredníctvom "procesného nariadenia GDPR", hlavným prísľubom bolo konečne dosiahnuť účinné presadzovanie prostredníctvom rýchlejších, racionálnejších a jednoduchších postupov.
V súčasnej podobe sa však inštitúcie EÚ chystajú vytvoriť presný opak: ešte zložitejšiu, nepružnú a nekonzistentnú procedurálnu nočnú moru, ktorá nezlepší, ale zníži presadzovanie GDPR.
Európska komisia pred predložením svojho návrhu nikdy nevykonala riadne posúdenie vplyvu a nezapojila zainteresované strany, pričom jej zjavne chýba základné procesné know-how. V nadväznosti na nefunkčný návrh Komisie predložila Rada polovičatú pozíciu, pretože belgické predsedníctvo EÚ chcelo spis rýchlo "uzavrieť" do leta 2024. Zdá sa, že Európsky parlament, na rozdiel od prvých sľubných krokov, ktoré podnikol s cieľom zásadne reformovať návrh Komisie v predchádzajúcom volebnom období, sa pod svojím novým vedením vzdal takmer všetkých ambícií.
Celkovo sa táto legislatívna iniciatíva určite stane pre EÚ hanbou - najmä po nedávnych sľuboch, že konečne vezme vážne základné práva Európanov na ochranu údajov a súkromia a dokáže svetu, že GDPR je zlatým štandardom - nielen na papieri. Očakávaný výsledok by bol aj v rozpore so snahou EÚ obmedziť zložité pravidlá a zlepšiť právnu kvalitu právnych predpisov EÚ. Namiesto toho, aby sa zjednodušil len základný postup, by návrhy textov, o ktorých sa rokuje, viedli k zhruba desiatim typom možných postupov GDPR - s rôznymi podvariantami, odbočkami a zákrutami.
Max Schrems, predseda noyb.eu: "Spočiatku sme veľmi podporovali, aby sme mali jasné procesné pravidlá. Tento návrh však riskuje, že sa stane najväčším legislatívnym zmätkom, aký som za dlhý čas videl. Hoci sa zdá, že Rada a Európsky parlament vo všeobecnosti súhlasia s tým, že návrh Komisie potrebuje podstatné zmeny, zdá sa, že sa im nepodarilo odstrániť štrukturálne problémy, ale skôr pridať ešte viac a zložitejších prvkov. Európsky parlament úplne rezignoval na zavedenie osvedčených procedurálnych prístupov. Výsledkom je preťažený systém, ktorý ešte viac skomplikuje a spomalí postupy. Mnohé prvky majú takú nízku právnu kvalitu, že tento zákon problémy nevyrieši - ale vyvolá ďalšie spory."
Šťastný, ak sú všetci nešťastní? Zatiaľ čo mnohé európske politické bitky sa odohrávajú medzi dvoma záujmovými skupinami, tento spis sa zdá byť súbojom medzi kvalitnou tvorbou práva a prístupom, ktorý nie je ani funkčný, ani v súlade s najzákladnejšími procesnými zásadami. Napriek varovaniam odborníkov sa dokumentácia jednoducho posúva v procese stále dokola. Mnohí sa za zatvorenými dverami vyjadrili, že text je "sračky" alebo že rokovania v rámci trialógu bohužiaľ dospeli do bodu, keď je tvorba právnych predpisov "továreň na klobásy, ktorá produkuje klobásu - bez ohľadu na obsah". Napriek tomu, že mnohí aktéri si tento problém zrejme uvedomili, prijalo sa len málo opatrení. Zdá sa, že spoločnou témou je "prijmite to tak či onak - pokiaľ je to mimo môjho stola."
Max Schrems: " Toto nariadenie mohlo zmeniť situáciu v oblasti uplatňovania základných práv ľudí. Namiesto toho to vyzerá tak, že premrhá tisíce hodín na už aj tak prepracovaných úradoch predpisovaním rôznych zbytočných a príliš zložitých procesných krokov, čo sa prejaví v miliónoch z peňazí daňových poplatníkov. Zároveň budú postupy pomalšie a zložitejšie aj pre podniky a občanov. Vymáhanie práv bežných ľudí vyplývajúcich z GDPR bude ešte ťažšie dosiahnuteľné. Podniky sa pravdepodobne dočkajú väčšej právnej neistoty, nepresných rozhodnutí a vyšších právnych nákladov na dodatočné papierovanie a potrebné odvolania."
Stredoveké procesné prístupy - namiesto práv strán. Pôvodný návrh Európskej komisie sa niesol v autoritárskom duchu. "Vedúce" orgány na ochranu údajov v tej istej krajine ako podnik (napríklad povestné írske DPC) boli čo najviac chránené pred potrebou spolupracovať s ostatnými orgánmi na ochranu údajov a pred vypočutím dotknutých strán. Týmto spôsobom mali byť schopné viesť konanie samostatne, bez toho, aby ich niekto obťažoval. Tento prístup je však opakom modernej, efektívnej a transparentnej administratívy. Je nevyhnutné zapojiť strany v počiatočnom štádiu, aby sa dospelo k vecne správnym a všeobecne akceptovaným rozhodnutiam. Spoločnosti predsa najlepšie vedia, ako fungujú ich systémy, a sťažovatelia najlepšie vedia, v čom spočíva ich problém GDPR. Namiesto toho Komisia postavila postup na čisto "inkvizičnom systéme" - doslova stredoveký prístup z 12. storočia. Mnohé dokumenty a rozhodnutia v rámci konania sa vydávajú ešte pred vykonaním akéhokoľvek vyšetrovania alebo vypočutia strán. Zdá sa, že mnohé koncepcie boli prevzaté z praxe írskeho komisára pre ochranu údajov - orgánu na ochranu údajov, ktorý vyvolal najviac sporov s inými orgánmi na ochranu údajov a ktorý je známy mimoriadne pomalými a chaotickými postupmi. Nie je jasné, ako budú príslušné prvky navrhovaného zákona (najmä v článkoch 9 až 17) spolupracovať s oveľa modernejšími vnútroštátnymi postupmi. V nariadení nie je riadne vymedzené vzájomné pôsobenie práva EÚ a vnútroštátneho práva.
Max Schrems: "Prístup Komisie EÚ spočíval v tom, že predpokladala, že orgány na ochranu údajov vedia všetko. Namiesto vypočutia strán, ako je to takmer vo všetkých členských štátoch EÚ, Komisia EÚ predpokladala, že strany budú vypočuté až na konci vyšetrovania prostredníctvom "predbežného rozhodnutia". Práva strán by tak boli veľmi obmedzené. Tento prístup je náchylný na vznik obrovského počtu nepresných rozhodnutí. Koniec koncov, spoločnosti najlepšie vedia, ako ich systémy fungujú, a sťažovatelia najlepšie vedia, aký je ich problém. Je úplne nejasné, ako sa tieto koncepcie prelínajú s vnútroštátnymi procesnými pravidlami. Článok, ktorý by to objasnil, bol tiež vypustený."
"Rýchle" postupy: 3 alebo 33 mesiacov? Zdá sa, že jednou z posledných nevyriešených otázok v súčasných rokovaniach sú lehoty pre postupy. Orgány na ochranu údajov zatiaľ uvádzajú, že priemerná lehota na vydanie rozhodnutia je približne 8 mesiacov. V členských štátoch, ktoré už takúto lehotu zaviedli, je priemer približne 4,5 mesiaca. Preto nebolo iracionálne, že Európsky parlament navrhol lehotu 3 mesiace v jednoduchých prípadoch a až 9 mesiacov v ostatných prípadoch. Rada však údajne navrhla lehotu na rozhodnutie až 33 mesiacov. Zatiaľ nedošlo k dohode, či môžu používatelia podať žalobu vo svojej domovskej krajine. Namiesto toho budú možno musieť podať žalobu na zahraničný orgán na ochranu údajov v inej jurisdikcii EÚ v súvislosti s omeškaním. To by väčšine ľudí prakticky znemožnilo podať žalobu.
Max Schrems: "Orgány uvádzajú, že konania trvajú v priemere približne 8 mesiacov. Niektoré návrhy členských štátov uvádzajú 33 mesiacov. Bolo by to prvýkrát, čo by ste mohli na prieťahy vôbec upozorniť Súdny dvor, ktorý zasa môže o žalobe v súvislosti s omeškaním rozhodovať roky. Toto je v podstate voľná karta pre orgány na ochranu údajov, aby mohli konania naťahovať donekonečna..."
Nedostatok procesného know-how. Jedným zo štrukturálnych dôvodov pochybného výsledku tohto procesu mohlo byť to, že Európska komisia, Parlament aj Rada sa takmer nikdy nezaoberali právnymi predpismi v oblasti procesného práva. Procesné právo je v súčasnosti doménou členských štátov. EÚ doteraz nevydala žiadne relevantné administratívne procesné právo pre všetky krajiny. Dokonca aj v rámci členských štátov sa procesným právom zvyčajne zaoberajú odborní právnici na samostatných katedrách na univerzitách a špecializovaných oddeleniach na vnútroštátnych ministerstvách spravodlivosti. Celkovo sa zdá, že tento návrh by si vyžadoval oveľa viac príprav a investícií, aby sa predišlo súčasnej situácii, keď sa zdá, že zákonodarcovia EÚ len prekopávajú cestu.
Max Schrems: "Existuje osobitný druh právnikov, ktorí sa zaoberajú procesným právom. Toto know-how v tomto spise jednoznačne chýbalo. Je to, ako keby som sa zajtra začal venovať astrofyzike - výsledok by pravdepodobne nebol pre ľudstvo žiadnym prínosom".
