Όταν ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) τέθηκε σε ισχύ το 2018, εγκαινίασε μια νέα εποχή προστασίας δεδομένων στην ΕΕ. Τουλάχιστον τυπικά. Στους καταναλωτές δόθηκαν τα εργαλεία για να υπερασπιστούν τα θεμελιώδη δικαιώματά τους, ενώ οι αρχές έλαβαν σοβαρές εξουσίες έρευνας και τη δυνατότητα να επιβάλλουν κυρώσεις για παραβιάσεις με βαριά πρόστιμα. Σχεδόν 7 χρόνια μετά, η πραγματικότητα δεν είναι τόσο αισιόδοξη. Με αφορμή τη φετινή Ημέρα Προστασίας Δεδομένων, στις 28 Ιανουαρίου, Η οργάνωση Noyb ανέλυσε τα τρέχοντα στατιστικά στοιχεία του EDPB σχετικά με την δραστηριότητα των εθνικών αρχών προστασίας δεδομένων (ΑΠΔ). Τα στοιχεία δείχνουν ότι, κατά μέσο όρο, μόνο το 1,3% των υποθέσεων που υποβάλλονται στις Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καταλήγουν σε πρόστιμο. Ωστόσο, οι επαγγελματίες προστασίας δεδομένων λένε ότι τα πρόστιμα είναι ο πιο αποτελεσματικός τρόπος για να διασφαλιστεί ότι οι εταιρείες συμμορφώνονται με τη νομοθεσία.
Αυστηρή επιβολή GDPR μόνο στα χαρτιά
Όταν ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) τέθηκε σε ισχύ τον Μάιο του 2018, υποσχέθηκε μια στροφή προς μια σοβαρή προσέγγιση για την προστασία των δεδομένων. Οι ευρωπαίοι καταναλωτές που πλήττονται από παραβιάσεις της ιδιωτικής ζωής έλαβαν τα απαραίτητα εργαλεία για να παραπονεθούν στις εθνικές αρχές προστασίας δεδομένων (DPA) – οι οποίες ήταν εξοπλισμένες με τις απαραίτητες εξουσίες για τη διερεύνηση κάθε είδους παραβιάσεων και την έκδοση διοικητικών προστίμων για την αποτροπή παρόμοιων αδικημάτων στο μέλλον. Δυστυχώς, τα τελευταία 7 χρόνια έδειξαν ότι αυτό ήταν ως επί το πλείστον ευχολόγια. Αυτό επιβεβαιώνεται από μια νέα ανάλυση των στατιστικών του EDPB σχετικά με τη δραστηριότητα των αρχών μεταξύ 2018 και 2023: Κατά μέσο όρο, μόνο το 1,3% των υποθέσεων ενώπιον των ΑΠΔ καταλήγουν στην πραγματικότητα σε πρόστιμο. Αυτό είναι σύμφωνο με τη δική μας πρακτική εμπειρία: Οι περισσότερες υποθέσεις ανασύρονται για πολλά χρόνια, προτού κλείσουν με διακανονισμό ή απορριφθούν εντελώς.
Max Schrems: «Οι ευρωπαϊκές αρχές προστασίας δεδομένων διαθέτουν όλα τα απαραίτητα μέσα για να επιβάλλουν επαρκείς κυρώσεις για παραβιάσεις του GDPR και να επιβάλλουν πρόστιμα που θα αποτρέψουν παρόμοιες παραβιάσεις στο μέλλον. Αντίθετα, συχνά καθυστερούν τις διαπραγματεύσεις για χρόνια – μόνο και μόνο για να αποφασίσουν ενάντια στα συμφέροντα του καταγγέλλοντα πολύ συχνά».
Κανένα θετικό παράδειγμα στην πράξη
Ενώ ορισμένες αρχές προστασίας δεδομένων φαίνεται να επιβάλλουν πολύ περισσότερα πρόστιμα από άλλες, τα νούμερα είναι όλα σε μονοψήφιο ποσοστό – ή ακόμη χαμηλότερα. Έχοντας επιβάλει πρόστιμα στο 6,84% όλων των υποθέσεων (υπολογίζοντας τόσο τις καταγγελίες όσο και τις έρευνες αυτεπάγγελτης) μεταξύ 2018 και 2023, η Σλοβακική DPA ηγείται των στατιστικών.
Ακολουθούν η Βουλγαρία (4,19%), η Κύπρος (3,12%), η Ελλάδα (2,65%) και η Κροατία (2,54%).
Στο άλλο άκρο του φάσματος, η ολλανδική αρχή έχει εκδώσει πρόστιμα στο 0,03% (!) όλων των περιπτώσεων, ακολουθούμενη από τη Γαλλία (0,10%), την Πολωνία (0,18%), τη Φινλανδία (0,21%), τη Σουηδία (0,25%). και φυσικά την Ιρλανδία (0,26%). Οι υπόλοιπες χώρες βρίσκονται κάπου στο ενδιάμεσο.
Ένα ιδιαίτερο φαινόμενο
Αυτή η προφανής έλλειψη σοβαρών συνεπειών για παραβιάσεις του νόμου φαίνεται να είναι πολύ συγκεκριμένη για την προστασία δεδομένων. Ας πάρουμε ως παράδειγμα την Ισπανία: Το 2022, η ισπανική DPA έλαβε 15.128 καταγγελίες , αλλά εξέδωσε μόνο 378 πρόστιμα . Αυτό σημαίνει ότι, στατιστικά, μόνο το 2,5% όλων των καταγγελιών κατέληξαν σε πρόστιμο. Αυτό περιλαμβάνει προφανείς παραβιάσεις, όπως αναπάντητα αιτήματα πρόσβασης ή παράνομα banner cookie, τα οποία θα μπορούσαν – θεωρητικά – να αντιμετωπιστούν γρήγορα και με τυποποιημένο τρόπο. Συγκριτικά, 3,7 εκατομμύρια πρόστιμα για υπερβολική ταχύτητα στους δρόμους εκδόθηκαν στην Ισπανία το 2022 (εξαιρουμένης της Χώρας των Βάσκων και της Καταλονίας).
Max Schrems: «Κατά κάποιον τρόπο, μόνο οι αρχές προστασίας δεδομένων δεν μπορούν να παρακινηθούν να επιβάλουν πραγματικά τον νόμο που τους έχουν ανατεθεί. Σε κάθε άλλο τομέα, οι παραβάσεις του νόμου επιφέρουν τακτικά χρηματικά πρόστιμα και κυρώσεις. Αυτή τη στιγμή, οι ΑΠΔ συχνά φαίνεται να ενεργούν προς το συμφέρον των εταιρειών και όχι των ενδιαφερομένων ανθρώπων».
Περισσότερα πρόστιμα επιφέρουν περισσότερη συμμόρφωση.
Αν και αυτοί οι αριθμοί δεν προκαλούν έκπληξη, είναι ωστόσο ανησυχητικοί. Μια δημοσκοπική έρευνα μεταξύ επαγγελματιών προστασίας δεδομένων δείχνει ότι τα χρηματικά πρόστιμα είναι αυτά που που παρακινούν τις εταιρείες να συμμορφωθούν με τη νομοθεσία. Όταν ρωτήθηκαν για τα πιο αποτελεσματικά μέτρα επιβολής, το 67,4% των ερωτηθέντων απάντησαν ότι οι αποφάσεις της εθνικής αρχής κατά της δικής τους εταιρείας που επιβάλλουν πρόστιμο θα επηρεάσουν τους υπεύθυνους λήψης αποφάσεων να επιλέξουν μεγαλύτερη συμμόρφωση. Είναι ενδιαφέρον ότι το 61,5% των ερωτηθέντων είπε ότι ακόμη και τα πρόστιμα της DPA εναντίον άλλων οργανισμών θα επηρέαζαν τη συμμόρφωση της εταιρείας τους με τον GDPR.
Ασήμαντα χρηματικά ποσά
Εξετάζοντας προσεκτικότερα το ύψος των προστίμων που επιβάλλουν οι εθνικές αρχές κάθε χρόνο, το πρόβλημα καθίσταται ξεκάθαρο. Η Ιρλανδία (475.902.000 ευρώ μέσο ποσό προστίμουα ανά έτος) και το Λουξεμβούργο (124.395.729 ευρώ μέσο ποσό προστίμου ανά έτος) προηγούνται στα στατιστικά στοιχεία μεταξύ 2018 και 2023 με μεγάλη διαφορά. Με την πρώτη ματιά, αυτό μπορεί να ακούγεται σαν πολλά χρήματα. Αλλά πραγματικά δεν είναι. Σχεδόν όλες οι μεγάλες εταιρείες τεχνολογίας όπως η Apple, η Google, η Meta και η Microsoft βρίσκονται στην Ιρλανδία, καθιστώντας την ιρλανδική DPC την κύρια αρχή για μερικές από τις μεγαλύτερες υποθέσεις που έγιναν ποτέ. Το Λουξεμβούργο, από την άλλη πλευρά, είναι υπεύθυνο για εταιρείες όπως η Amazon.
Περισσότερος προϋπολογισμός, περισσότερες αποφάσεις
Ορισμένες αρχές υποστηρίζουν επανειλημμένα ότι θα χρειάζονταν μόνο περισσότερους προϋπολογισμούς και πόρους για να λάβουν πιο έγκαιρες – και με μεγάλο αντίκτυπο – αποφάσεις. Εξετάζοντας τα στατιστικά στοιχεία του EDPB , ο προϋπολογισμός των αρχών αυξήθηκε έως και 130% μεταξύ 2020 και 2024. Η ολλανδική αρχή, για παράδειγμα, κατέγραψε αύξηση προϋπολογισμού 62% μέσα σε τέσσερα χρόνια – χωρίς σημαντική αύξηση των προστίμων. Για να το θέσουμε σε προοπτική: Το 2023, η ολλανδική DPA είχε προϋπολογισμό σχεδόν 37 εκατ. ευρώ, αλλά επέβαλε μόνο πρόστιμα 1,98 εκατ. ευρώ. Πρόκειται για μια διαφορά σχεδόν 35 εκατ. ευρώ, που θα αφήσει τεράστια τρύπα στον κρατικό προϋπολογισμό. Ωστόσο, αυτό το έλλειμμα θα μπορούσε να αντισταθμιστεί με ισχυρή επιβολή. Τα πρόστιμα GDPR πηγαίνουν στην πολιτεία της ηγετικής αρχής.
Αυτό το μοτίβο παρατηρείται σε όλη την ΕΕ: Μεταξύ 2018 και 2023, όλες οι αρχές προστασίας δεδομένων της ΕΕ επέβαλαν συνολικά πρόστιμα ύψους 4,29 δισεκατομμυρίων ευρώ – εκ των οποίων τα 1,69 δισεκατομμύρια προέκυψαν από δικαστικές υποθέσεις που εκίννησε η οργάνωση. Με άλλα λόγια, σχεδόν το 40% όλων των προστίμων του GDPR αποδίδεται στη Νoyb. Αυτό υποδηλώνει ότι, στην πραγματικότητα, φαίνεται να υπάρχει έλλειψη πολιτικής βούλησης για την αντιμετώπιση των τεχνολογικών κολοσσών, παρά έλλειψη δυνατοτήτων για δράση.