Uttalande om 4 år med GDPR
GDPR förändrade inte en kultur av bristande efterlevnad. När dataskyddsförordningen började tillämpas den 25 maj 2018 uppfattades det som en vattendelare. Kommentarerna låg någonstans mellan att EU började ta integritetsfrågorna på allvar och att internet bröt samman vid midnatt. De senaste fyra åren har visat att en lag i sig inte förändrar affärsmodeller som bygger på missbruk av personuppgifter och en kultur inom integritetsbranschen som ofta fokuserar på att dölja bristande efterlevnad. Efter den första chocken har en stor del av dataindustrin lärt sig att leva med GDPR utan att egentligen ändra sina rutiner. Detta görs främst genom att helt enkelt ignorera användarnas rättigheter och komma undan med det.
GDPR-kulturen: öppet hån och fientlighet. Detta översätts ofta till att grundläggande rättigheter förringas. Den grundläggande rätten till dataskydd respekteras inte och uppfattas inte som ett resultat av en lång demokratisk process, utan hånas som galen eller "omöjlig att efterleva". Myndigheter och ideella organisationer som försöker upprätthålla gällande rätt möts av öppen fientlighet och anklagelser som att upprätthållandet av lagen skulle "döda innovation". Knappast något annat rättsområde politiseras i samma utsträckning - jag har åtminstone aldrig hört talas om att bygg- eller skatteregler öppet ignoreras med argumentet att efterlevnad skulle "underminera affärsmodellen" för ett företag. I integritetsbubblan accepteras sådana berättelser som ett legitimt argument.
Dynamiken i efterlevnaden av GDPR. GDPR har (ännu) inte lyckats ta sig ur ett redan befintligt tillstånd: en nedåtgående spiral med allt fler fall av bristande efterlevnad och bristande verkställighet. Precis som när delar av en stad blir en kriminell "no go"-zon som överges av polisen, verkar det som om många dataskyddsmyndigheter har förlorat övertaget på många områden i den digitala sfären. Företagen inser att konkurrenterna inte följer reglerna och att det inte lönar sig att agera lagligt. Ju mer bristande efterlevnad sprider sig, desto svårare blir det för myndigheterna att återta kontrollen med begränsade resurser.
Avsaknad av verkställighet från dataskyddsmyndigheternas sida. Bristen på verklig tillämpning och därmed avsaknaden av en avskräckande effekt på andra företag ger mer olja på denna eld. Av de cirka 50 gränsöverskridande ärenden som noyb har lämnat in under de senaste fyra åren har ännu inget lett till ett slutligt beslut. Månad för månad utan ordentlig tillsyn kommer det att bli svårare att få situationen på rätt spår igen. Medan vissa myndigheter verkar oroa sig mer för allmänhetens uppfattning om de faktiskt skulle tillämpa lagen, verkar andra ha insett situationen och gör sitt bästa för att komma igång. Men tiden är knapp och det verkar som om vi närmar oss en situation där GDPR kommer att ignoreras helt och hållet - precis som EU:s tidigare dataskyddsdirektiv från 1995.
Tekniska problem. På fältet drabbas myndigheter (och registrerade) ofta av mycket tekniska problem som skapas av olika nationella förfaranden, begränsade resurser, brist på utbildad personal eller domstolar som är snabba på att upphäva beslut. Dessa frågor skapar inga rubriker, men är skälen till att noyb nu måste hantera procedurfrågor mer än integritetsfrågor.
noyb: Först ignorerar de dig, sedan kämpar de mot dig, sedan vinner du. I detta större sammanhang har noybs roll förändrats på ett mycket intressant sätt under 2022. Många aktörer i branschen ser det som en förolämpning att användare faktiskt kan kräva efterlevnad av GDPR och faktiskt vågar gå till domstol för att få sina rättigheter tillgodosedda. Även om domstolarna vanligtvis är en advokats naturliga hemvist, ser vi att advokater blir alltmer upprörda över vårt arbete. Personligen ser jag detta som ett tecken på vår enastående framgång som en liten organisation som fortfarande ignorerades för ett eller två år sedan.
Vägen framåt. För många grundläggande rättigheter tog det århundraden att etablera, försvara och implementera dem. Alla dessa rättigheter utsätts för ständiga angrepp och vi måste arbeta med dem varje dag. Det borde inte komma som en överraskning att detsamma gäller för rätten till dataskydd. Myndigheterna måste lära sig att ingen gillar tillsynsorgan - men att deras roll är avgörande för våra digitala samhällen. Företagen måste lära sig att det får konsekvenser. Advokater inom branschen måste lära sig att deras åsikter kommer att ifrågasättas inför dataskyddsmyndigheter och domstolar. Integritetsaktivister måste lära sig att det inte räcker med att stifta en lag, utan att vi också måste se till att den efterlevs. Vi ser mycket fram emot att arbeta med detta under de kommande åren.
