Dataskyddsdagen: Är européerna verkligen skyddade?
Den europeiska dataskyddsdagen den 28 januari till minne av undertecknandet av det första alleuropeiska ramverket för dataskydd (konvention 108) 1981. I dag, 42 år senare, ses GDPR som den centrala lagen för europeiskt dataskydd och är tänkt att göra det möjligt för medborgarna att utöva sin grundläggande rätt till privatliv. GDPR, som ursprungligen hyllades - och fruktades - som ett verktyg för efterlevnad, är på väg att gå samma öde till mötes som sina föregångare genom att helt enkelt ignoreras.
GDPR-verkställighet endast i teorin. GDPR syftar till att ge alla användare i Europa kontroll över sina personuppgifter. Alla har rätt att få reda på vilka uppgifter ett företag har om dem, hur de behandlas och rätt att stoppa olaglig behandling. I praktiken har dock användarna främst trakasserats med cookie-banners och popup-fönster som inte lämnar något annat val än att säga "ja". De européer som har försökt att utöva sin rätt till dataskydd har ofta blivit bittert besvikna. noyb får regelbundet meddelanden från frustrerade användare från hela EU: förfaranden försenas, klagomål avvisas utan vidare utredning av myndigheterna eller överges helt och hållet. Användarnas rättigheter hamnar i slutändan i papperskorgen.
Konflikt mellan lagstiftning och tillsynsmyndigheter. GDPR har under de senaste 4,5 åren drabbats av bristande efterlevnad och förhalningstaktik från de stora teknikföretagens sida. Även när myndigheterna fattar beslut och bötfäller företag kan ärenden dra ut på tiden i åratal på grund av överklaganden och förhalningstaktik från teknikföretagens sida. Även med enstaka höga straff, lönar det sig för "big tech" att bryta mot lagen. Tillämpningen av GDPR varierar stort i Europa, men även de mer aktiva dataskyddsmyndigheterna står inför stora utmaningar, eftersom gränsöverskridande ärenden kräver samarbete mellan myndigheterna (one-stop-shop).
Max Schrems, ordförande noyb:"Även de aktiva myndigheterna står ofta handfallna, eftersom tillämpningen av GDPR inte är starkare än den svagaste länken."
>>> Om du klickar på bilden öppnas hela tabellen i en ny flik
Hinder för verkställighet. Myndigheter som den irländska dataskyddsmyndigheten (DPC) är en kritisk faktor när det gäller implementeringen av GDPR, eftersom majoriteten av de amerikanska teknikföretagen har sina europeiska huvudkontor där. Irland har länge ansetts vara en "flaskhals" i den EU-omfattande tillämpningen av GDPR, dels på grund av den extremt långsamma handläggningen av ärenden, dels på grund av att myndigheten ofta gör en "företagsvänlig" tolkning av lagen:
Det var först efter att Europeiska dataskyddsstyrelsen (EDPB) utfärdat ett bindande beslut i noybs 4,5 år gamla fall om Facebooks kringgående av GDPR vidtog den irländska dataskyddsmyndigheten åtgärder. Det tillkännagav ett böter på 390 miljoner euro och beordrade Meta att få giltigt samtycke för personlig annonsering. Under dessa 4,5 år har DPC ofta stått på Metas sida och har nu också utfärdat en betydligt reducerat straff. De andra myndigheterna var tvungna att upprepade gånger (enhälligt) upphäva DPC.
Förutom Irland är Luxemburg känt för att vara värd för huvudkontoret för stora företag som Amazon, eBay och Paypal, vilket ger den luxemburgska myndigheten en avgörande roll som en reglerande makt. I likhet med Irland har noyb sedan 2019 väntat på ett beslut i ett klagomål som rör Amazons kränkning av rätten till tillgång, varför noyb nu måste vidta rättsliga åtgärder mot myndigheten.
Förutom de "stora" teknikhubbarna i EU finns det också många nationella kuriositeter. Till exempel förnekar de franska och svenska myndigheterna att användare är parter i förfaranden. Den bayerska myndigheten ger inte tillgång till filer. Den polska myndigheten kräver att klagomål ska lämnas in digitalt, men tillåter endast att filer kopieras fysiskt i Warszawa. Den österrikiska myndigheten använder en nationell klausul för att avsluta enorma mängder förfaranden eftersom företaget påstås ha löst problemet. Den bulgariska myndigheten har ignorerat all kommunikation via e-post, telefon eller post i flera år. Tyska domstolar upphäver myndigheternas beslut, medan en stämning mot myndigheten i Irland snabbt kan kosta 100 000 euro.
764 klagomål har inte avgjorts. Sedan GDPR trädde i kraft i maj 2018 har noyb lämnat in 848 individuella klagomål till olika dataskyddsmyndigheter runt om i Europa. Endast 10% (84 klagomål) av ärendena avgjordes av de behöriga myndigheterna, varav de flesta avslutades eller en uppgörelse träffades med företaget eftersom det hade åtgärdat överträdelsen. Vissa ärenden har endast delvis avgjorts. Cirka 15 ärenden ligger för närvarande hos nationella domstolar eftersom myndigheterna inte fattade beslut inom den lagstadgade tidsfristen eller eftersom noyb överklagade beslutet.
På grund av myndigheternas inaktivitet och avsaknaden av processrätt flyttas många förfaranden till de nationella domstolarna, som ofta inte har den nödvändiga kunskapen om GDPR. Besluten upphävs ofta på grund av undvikbara procedurfel. För många användare är det inte ekonomiskt möjligt att gå till domstol. Advokatbyråerna vet detta och överbelastar medvetet myndigheter och domstolar med oändliga klagomål och hundratals sidor med inlagor.
Max Schrems:"I år kommer GDPR att vara tillämplig i fem år. Hittills har många företag lyckats fuska sig ur den, eftersom det bara finns ett fåtal kontrollinstanser. GDPR:s löften om att göra dataskyddet effektivt och enkelt misslyckas på grund av de nationella myndigheterna i medlemsländerna, som hittills inte har lyckats åstadkomma en effektiv tillämpning."
