Когато GDPR влезе в сила през 2018 г., новият и блестящ закон за защита на данните беше приветстван като преход към по-строго прилагане, което гарантира, че основното право на защита на данните в ЕС не съществува само на хартия. За да отбележим тазгодишния Ден на защитата на данните, който се отбелязва на 28 януари, noyb проведе проучване сред повече от 1000 специалисти по защита на данните, работещи в европейски компании. Това предостави уникална гледна точка отвътре: 70 % от анкетираните смятат, че органите трябва да издават ясни решения и да прилагат GDPR, за да гарантират спазването му, а 74 % казват, че органите биха открили "съответни нарушения", ако влязат през вратата на средностатистическа компания. В опит да се премине към "прилагане, основано на доказателства", това проучване показва също, че органите ще трябва да променят из основи подхода си към прилагането, за да накарат предприятията да спазват изискванията.
Сериозното правоприлагане не е изпълнило обещаното. Когато влезе в сила през май 2018 г., Общият регламент относно защитата на данните (ОРЗД) обеща преминаване от сегашния подход на "меко докосване" към защита на данните към сериозно правоприлагане. За да постигне тази цел, политиката на ЕС предостави на органите сериозни правомощия за разследване и възможност за налагане на големи глоби. Според нов noyb проучване, проведено сред повече от 1000 специалисти по защита на данните, повечето от участниците смятат, че въвеждането на ОРЗД е "значително подобрило" начина, по който дружествата обработват лични данни, но 74% все още твърдят, че ако органите действително проведат разследване на място в средностатистическо дружество, обработващо данни на потребители, те биха открили "съответни нарушения".
Макс Шремс, почетен председател на noyb: "Изключително тревожно е, когато 74 % от специалистите по вътрешна защита на данните в компаниите казват, че органите биха открили значителни нарушения в средностатистическа компания. Такива цифри биха били немислими, ако ставаше въпрос за спазване на данъчното законодателство или наредбата за пожарна безопасност. Неспазването на изискванията изглежда е нормално само когато става въпрос за личните данни на потребителите."
Обективни вътрешни данни за спазването на GDPR. С цел да се придобие възможно най-голяма представа за практическото прилагане на GDPR, noyb' проучването включваше 65 въпроса, обхващащи редица теми в областта на спазването и прилагането на GDPR. Това ни позволи да получим надеждни и обективни данни за вътрешната динамика, която пречи на длъжностните лица по защита на данните (ДЛЗД) да прилагат мерки за засилване на съответствието с GDPR, както и за външните фактори, които биха могли да подтикнат компаниите към по-голямо съответствие в бъдеще. Подобни данни изглеждат от решаващо значение, за да се съсредоточи работата по правоприлагането и съответствието върху стратегии, които действително работят и подпомагат работата на вътрешните ДЛЗД.
В конфликт с маркетинговите отдели и ръководството. Дружествата често работят в противоречиво пространство между стремежа към печалба, разходите за привеждане на системите им в съответствие с GDPR и задължението да спазват закона. noyb'проучването ясно показва, че DPO са подложени на натиск да ограничат спазването на GDPR в интерес на бизнеса: 46 % от анкетираните са заявили, че продажбите и маркетингът активно ги притискат да ограничат съответствието, а 32 % се чувстват притиснати от членове на висшето ръководство. Не е изненадващо, че убеждаването на тези заинтересовани страни да направят необходимите промени за подобряване на съответствието също се оказва доста трудно. Шокиращите 56 % от анкетираните казват, че е трудно да се убеди маркетинговият отдел, а 38,5 % имат проблеми с висшето ръководство. 51 % също така твърдят, че е трудно да се убедят доставчиците извън ЕС/ЕИП да предоставят съвместими продукти на бизнес клиентите от ЕС.
Макс Шремс: "В действителност много от тях съобщават за натиск от различни страни, за да дадат приоритет на бизнес интересите."
Eосновано на доказателства правоприлагане: глоби и увреждане на репутацията. Острата липса на ясни действия за прилагане на законодателството от страна на органите не помага на ДЗД да си вършат работата. Според резултатите от проучването е най-вероятно дадено дружество да подобри спазването на изискванията, когато то - или дори други дружества - са изправени пред значителни глоби. 67.4 % от респондентите са заявили, че решенията на ДЗД срещу собственото им дружество, които включват глоба, ще повлияят на лицата, вземащи решения, да изберат по-голямо съответствие. Интересно е, че 61,5 % от анкетираните са заявили, че дори глобите на ДЗД срещу други организации ще повлияят на съответствието на собственото им дружество с GDPR. Този ефект ("възпиращ ефект") е добре известен и проучен, но не се използва реално от органите. Следващият най-добър инструмент изглежда е публикуването на решенията. 52 % заявяват, че загубата на репутация на друго дружество вече има положителен ефект върху спазването на законодателството от страна на собственото им дружество. Въпреки това много органи понастоящем не публикуват решенията си (напр. Германия) или ги публикуват само избирателно.
Макс Шремс: "Съветът на специалистите по защита на данните в компаниите изглежда е: "налагайте високи глоби и ги публикувайте". Общият подход, при който се разчита на "неформални" преговори между органите и дружествата и на тайни процедури, изглежда най-малко ефективен според вътрешни за дружествата лица."
Насоките на ЕНОЗД или приключването на делата не оказват влияние. Въпреки че органите влагат значителни усилия, време и ресурси в предоставянето на насоки на дружествата, те изглежда до голяма степен се игнорират от предприятията. 46 % от анкетираните са заявили, че насоките на EDPB не оказват влияние, а само 23 % ги намират за донякъде влиятелни. По подобен начин вътрешните лица оценяват преките жалби до дружествата като не много влиятелни. Това е в противовес на жалбите до ОЗД и неформалното приключване на делата (понастоящем най-често срещаната форма на решение). Въпреки всички признаци, че е налице спешна необходимост от стриктно прилагане на законодателството, на практика подобни действия от страна на органите за защита на данните са изключение. Това лесно може да се илюстрира с помощта на noybна собствената си работа: Повечето от нашите повече от 800 дела са висящи повече от две години. Но дори ако изберете само дела, които noyb е спечелила, има само няколко решения, които включват глоба. При повече от 800 дела не сме видели нито един орган, който действително да извърши проверка на място в дадено дружество.
Макс Шремс: "През последните години европейските органи изготвиха многобройни насоки и участваха в продължителни "неформални" дискусии с дружествата, след което "приключваха" случаите без по-нататъшни действия. Съдейки по отзивите на служителите, отговарящи за спазването на законодателството, това за съжаление не е най-доброто използване на парите на данъкоплатците."
Мнението на вътрешните лица все още е по-положително от опита на потребителите. Въпреки че мнението на вътрешните лица вече е тревожно, то все пак е по-оптимистично, отколкото би позволил средният опит на субектите на данни. Например, когато noyb упражняваше правото на достъп до лични данни, повече от 90 % от исканията не получаваха пълен отговор навреме. Повечето искания просто са игнорирани. За сравнение, 59 % от анкетираните смятат, че повечето дружества "в повечето случаи" ще спазват "основните правила" на GDPR. Практическият опит показва, че мнението на външните лица може да е дори по-лошо от мнението на вътрешните лица.
Единственият изход: "прилагане, основано на доказателства". Ако се вярва на респондентите, единственото реалистично решение на този проблем е ясно: по-строго прилагане и по-ясни решения на ОЗД и съдилищата, които принуждават дружествата да приведат обработката на данни в съответствие с изискванията. Пълен и подробен списък на предложените действия може да бъде намерен в проучването. Резултатите показват също така спешната необходимост от събиране на допълнителни обективни доказателства, за да се гарантира, че органите (могат) да се ангажират с ефективна работа по правоприлагането предвид ограничените ресурси. Повтарянето на подходи, които не работят, няма да доведе до практически промени в телефоните и компютрите на европейците. Данните, събрани в нашето проучване, осигуряват отлична отправна точка за по-нататъшни изследвания. noyb ще се ангажира и с по-нататъшни изследвания.