Dataskyddsdagen: 41 år av "efterlevnad på papper"!
Dagens dataskyddsdag markerar undertecknandet av det första alleuropeiska ramverket för dataskydd (konvention 108) 1981. Snabbspolning framåt 41 år senare har GDPR blivit den viktigaste pelaren i det europeiska dataskyddet. GDPR antogs 2016 med stora förhoppningar, men är nu på väg att gå en liknande död till mötes som många andra dataskyddsregler tidigare. De fanns på papperet, men tillämpades knappast i verkligheten.
Teorin om europeisk tillämpning. Enligt GDPR har alla i Europa rätt att lämna in ett klagomål till sin dataskyddsmyndighet (DPA), som i sin tur ska se till att medborgarnas grundläggande rätt till integritet efterlevs. Samarbetet samarbetsmekanismen "one-stop-shop" för för gränsöverskridande ärenden bör säkerställa att kunderna ser till att deras rättigheter upprätthålls lika effektivt när deras uppgifter behandlas av ett företag i en annan medlemsstat.
GDPR:s vakuum i fråga om verkställighet. Många medborgare som har försökt utöva sina rättigheter enligt dataskyddsförordningen är besvikna. Vissa dataskyddsmyndigheter behandlar inte klagomål överhuvudtaget. Förfaranden "glöms bort" eller försvinner i systemet som kopplar samman de nationella dataskyddsmyndigheterna. I många fall är det helt enkelt radiotystnad i flera år. Även om prestandan skiljer sig mycket åt mellan de olika dataskyddsmyndigheterna får noyb liknande meddelanden från frustrerade medborgare i hela EU. När allt kommer omkring är systemet bara så starkt som dess svagaste länk.
Endast 15 % av noybsärenden avgjordes inom ett år - inga paneuropeiska ärenden. Hittills har noyb lämnat in 51 enskilda ärenden till dataskyddsmyndigheter i Europa. Endast sex av dessa klagomål har avgjorts, ytterligare tre har delvis avgjorts. Samtliga var rent nationella ärenden, där det inte fanns något behov av europeiskt samarbete. Inte ett enda paneuropeiskt ärende har avgjorts inom ramen för "one-stop-shop"-mekanismen fram till i dag. Vissa ärenden har nyligen lämnats in och kan behöva mer tid, medan andra lämnades in för mer än ett år sedan. Än så länge är endast fem av dessa 34 äldre ärenden helt avgjorda. Det innebär att 85 procent av alla ärenden som är äldre än ett år fortfarande väntar på ett beslut. En del ärenden har tappats bort mellan myndigheterna. I andra fall har myndigheterna inte ens svarat på e-post eller telefonsamtal. De oklädsamma vinnarna för den längsta väntetiden är fyra ärenden som lämnades in den 25.5.2018 om "påtvingat samtycke". Efter 3 år och 8 månader har den irländska "ledande" myndigheten fortfarande inte fattat något slutligt beslut.
"Man kan tydligt se att vi oftast lämnas utan något svar. Vissa myndigheter är som svarta lådor. Det är omöjligt att förstå vad som händer med våra klagomål. Medan nationella fall visar på vissa resultat har vi inte sett ett enda beslut när olika medlemsstater har varit tvungna att samarbeta inom ramen för "one-stop-shop"-mekanismen. Översikten visar hur frustrerande, ineffektivt och komplicerat det kan vara att hävda de grundläggande rättigheterna i EU." - Romain Robert, programdirektör på noyb.
På dagens "Dataskyddsdag" har noyb publicerat en lista över alla 51 "enskilda" klagomål som har lämnats in sedan GDPR trädde i kraft:
>>> Om du klickar på bilden öppnas hela tabellen i en ny flik
Två omgångar, 523 klagomål, ett beslut. noyb lämnade in två omgångar med "parallella klagomål" som kan vara mer utmanande för dataskyddsmyndigheterna, men som också gör det möjligt för dem att effektivisera beslutsprocessen. Av de 101 klagomålen från augusti 2020 om dataöverföringar mellan EU och USA, efter 1,5 år, var ett ärende om Google Analytics delvis avgjort (1 %). Ytterligare 422 klagomål från augusti 2021 om cookies-banners har hittills inte lett till ett enda beslut. I många fall verkar det inte vara mycket mer än en bekräftelse på att klagomålet har mottagits.
Europeiska institutioner uttrycker liknande oro. Europaparlamentet uttryckte sin oro över den otillräckliga nivån av GDPR-verkställighet och kommissionen varnade till och med för att driva på för en mer centraliserad strategi om förbättringar inte gjordes. En EDPS-konferens om frågan som utsetts till juni lämnar ingen tvekan om att 2022 kommer att ha fokus på GDPR-verkställighet.
"Vi hoppas att denna översikt över våra klagomål kommer att främja de diskussioner som förväntas äga rum i år. Vi tror att om man inkluderar konkreta fall i analysen kan det lägga till listan över redan identifierade problem med verkställigheten" - Romain Robert, programdirektör på noyb
Fokus på verkställighet och processuella rättigheter. Erfarenheterna från de senaste 3,5 åren innebär att noybs roll som en organisation för GDPR-tillämpning blev ännu mer relevant. Förutom att fokusera på stämningar mot tillsynsmyndigheter som inte hanterar klagomål inom rimlig tid, noyb även vidta direkta åtgärder mot företag, inklusive genom kollektiva åtgärder - även om detta vanligtvis är mycket dyrare. Direktivet om kollektiv prövning kommer att vara implementerat i alla medlemsstater i slutet av 2022, men noyb är redan officiellt kvalificerat att inleda representativa åtgärder i Belgien. Tillsammans med PrivacyFirst har vi också grundat stiftelsen "CUIC" (Consumers United In Court) i Nederländerna för att väcka liknande talan.
"Trots vårt missnöje med tillämpningen av lagen är noyb fortsatt engagerade i att stödja dataskyddsmyndigheter och klagande som är intresserade av en bättre tillämpning av lagen. 41 år efter konventionen måste vi alla arbeta tillsammans för att göra integritetsskyddet till verklighet." - Romain Robert, programdirektör på noyb.
Med detta i åtanke, noyb er alla en glad dataskyddsdag!
