5 år med dataskyddsförordningen: Nationella myndigheter sviker den europeiska lagstiftaren. 85% av noyb-ärendena inte avgjorda.
Den 25 maj 2018 trädde den allmänna dataskyddsförordningen i kraft. Innehållet i EU:s dataskyddsregler var i stort sett detsamma, men den stora förändringen var GDPR:s strikta efterlevnad. 5 år senare lämnar nationella myndigheter och domstolar den europeiska lagstiftaren i stort sett i sticket - trots en budget på mer än 330 miljoner euro 2022.
noyb tillhandahåller följande resurser på 5-årsjubileet:
- Detaljerad data om noybs800+ GDPR-fallsom visar att mer än 85% av alla noyb-ärenden inte är avgjorda - 470 klagomål har väntat på ett beslut i mer än 1,5 år
- noyb's "GDPR-fällkarta" med många av de nationella procedurfrågorna att klicka sig igenom
- "Landsprofiler" med specifika frågor i Österrike, Belgien, Frankrike, Tyskland, Grekland (EN/ GR), Irland, Italien, Luxemburg, Nederländerna (EN/ NL), Polen och Spanien
- Vår webbplats med ett förslag till en förordning om GDPR-förfaranden som skulle kunna lösa många av problemen med efterlevnaden av GDPR
Meta-böterna på 1,2 miljarder euro är ett exempel på att tillämpningen inte fungerar. Även om ett bötesbelopp på 1,2 miljarder euro (som strategiskt försenades till veckan för "fem år med GDPR") kan få rubriker, återspeglar det faktiskt att verkställigheten inte fungerar. Inte nog med att det tog mer än tio år för DPC att fatta ett första beslut (som nu kommer att överklagas), Max Schrems var också tvungen att inleda tre rättsprocesser mot den irländska DPC för att tvinga den att göra sitt jobb. Detta inkluderade EU-domstolen och Europeiska dataskyddsstyrelsen som tre gånger uppmanade den irländska dataskyddsmyndigheten att hantera ärendet på ett effektivt sätt. Kostnaden för denna rättstvist uppskattas till mer än 10 miljoner euro.
Kollision mellan EU-lagstiftning och nationell praxis. GDPR antogs i Europaparlamentet med 96 procents majoritet och alla medlemsstater utom en stödde lagen. De nationella lagstiftarna och den nationella praxisen drabbades dock snart därefter. Nästan alla medlemsstater har något förfarandemässigt knep eller problem för att undergräva GDPR. Det handlar om allt från att lägga till begrepp som "tröskel" för integritetsöverträdelser till att anse att "hantera" ett klagomål också kan innebära att bara kasta det i papperskorgen. Andra exempel är att myndigheterna i Frankrike eller Sverige anser att en klagande inte är part i deras eget förfarande, medan myndigheten i Polen kräver att du reser till Warszawa för att ta mobilbilder av din fil. Vi har sammanställt en översikt i vår "GDPR-fällkarta" för att visa några av de fällor som vanliga medborgare hamnar i.
Max Schrems, ordförande för noyb.eu: "GDPR hade ett mycket starkt politiskt stöd. Fem år efter GDPR ser vi ett stort motstånd från myndigheter och domstolar när det gäller att tillämpa lagen. Lagstiftaren har talat, men de nationella domstolarna och myndigheterna hittar ständigt nya sätt att inte lyssna. Det känns ofta som om det läggs mer energi på att underminera GDPR än på att följa den. Även om företagen vet att Irland är den jurisdiktion som man ska vända sig till när det gäller bristande efterlevnad, finns det knappast någon jurisdiktion som man ska vända sig till för medborgarna, eftersom det finns efterlevnadsproblem i princip i alla medlemsstater. "
Systematiska förseningar. Även om ett exceptionellt bötesbelopp skapar internationella rubriker visar noybsmycket större databas med ärenden att dataskyddsmyndigheterna i stor utsträckning inte tillämpar GDPR i tid. Av de mer än 800 ärenden som noyb har lämnat in under det senaste åretär 85,9% inte avgjorda och mer än 58% har väntat på beslut i mer än 18 månader. GDPR kräver dock att företag ska uppfylla förfrågningar inom en månad och nationella lagar som ofta kräver beslut inom 3-6 månader.
Max Schrems: "I många jurisdiktioner får man i bästa fall ett beslut efter två år - om man nu någonsin får ett beslut. Praxis är helt enkelt milslångt ifrån lagstiftarens avsikt att det ska finnas ett fritt och enkelt sätt att klaga. Vi slösar bort det mesta av vår tid på att jaga handläggare, filer och myndigheter."
Brist på korrekta förfaranden och rättsliga beslut. Förutom långa förseningar hade de ärenden som avslutades i stor utsträckning förlikats eller dragits tillbaka av parterna (cirka 6 % i Noybsfall) eller fått något annat resultat (3,4 %), t.ex. att företaget lämnat EU-marknaden. I endast 3,9 % av alla fall fattade dataskyddsmyndigheten ett rättsligt beslut.
Max Schrems: "Många myndigheter gör allt för att undvika ett beslut. De "avslutar" ofta bara ärenden utan beslut eller förhandlar med företagen och ber dem vara så snälla att de följer lagen. Det finns knappast någon direkt påföljd för en direkt överträdelse av lagen. "
Företagen lärde sig att ignorera GDPR. Även om branschen inledningsvis fick ett raseriutbrott över GDPR och dess höga böter, har de senaste åren visat att denna avskräckande effekt snabbt har försvunnit. Verkligheten visar att lagstiftaren inte bara kunde lagstifta om en tillämpningskultur. GDPR har ofta blivit en ren papperstiger.
Max Schrems: "Verkligheten har visat att EU inte kunde lagstifta om en "verkställighetskultur". De mer aggressiva företagen har snabbt förstått att konsekvenserna i stort sett bara finns på papperet och har fortsatt med sina affärsmodeller. Bakom stängda dörrar är företagen mycket öppna med att de inte alls är rädda för myndigheterna. Det är främst de redan rimliga företagen som investerat i regelefterlevnad."
Uppmaning till harmonisering och efterlevnad. När vi nu firar femårsdagen av GDPR är det angeläget att myndigheterna växlar upp och börjar tillämpa en seriös tillsynskultur. Detta skulle också kunna underlättas av EU-kommissionens idé om att anta en EU-förordning om förfaranden. Men.., en sådan lagstiftning måste dock vara heltäckande för att lösa de många problem som finns i de nuvarande förfarandena. Många medlemsländer kan också förbättra sina förfaranden. Vi har listat de vanligaste problemen i specifika länder: Österrike, Belgien, Frankrike, Tyskland, Grekland (EN/ GR),Irland, Italien, Luxemburg, Nederländerna (EN/ NL),Polen och Spanien.
Max Schrems: "Efter fem år är det uppenbart att tiden för vägledning och respitperioder är över. Om det inte finns någon allmän avskräckning kommer myndigheterna sannolikt att förlora kontrollen över situationen igen. EU-kommissionen har föreslagit en ny förordning för att lösa procedurfrågor. Tydliga procedurregler är en bra idé, men de måste vara heltäckande för att faktiskt lösa problemet."
Civilrättsliga åtgärder krävs och kollektiv prövning. Bara under 2023 ålades Meta nästan 2 miljarder euro i böter till följd av noybs flitiga ansträngningar och rättsliga åtgärder, vilket gör civilrättsliga åtgärder mer relevanta än någonsin. Med det nära förestående införandet av EU-direktivet om kollektiv prövning kommer användarna att ha möjlighet att gruppera sina rättstvister genom gemensamma "grupptalan" -stämningar. Detta tillvägagångssätt kringgår inte bara beroendet av dataskyddsavtal, utan har också potential att ha en mer avskräckande effekt än GDPR-böter som till stor del är teoretiska.
