Откакто Европейската комисия публикува предложението си за Digital Omnibus, дискусиите за работното натоварване, което GDPR създава за предприятията в Европа, се засилват. Наред с други неща, Комисията иска да ограничи правото на достъп, уж за да намали регулаторната тежест. Но дали тези промени действително отразяват нуждите на специалистите по защита на личните данни, работещи в предприятията? За да научите повече, noyb проведе проучване, в което попита длъжностните лица по защита на данните (ДЛЗД) кои елементи на GDPR отнемат най-много от времето им - и къде е най-добре да го изразходват, за да гарантират защитата на данните на хората.
Оказва се, че повечето специалисти не искат да се намалят защитите, а да се намалят задълженията за документиране и бумащината. В много случаи те дори искат по-ясни закони вместо повече "гъвкавост", която е трудна за управление за повечето компании.
Вход директно от източника. Основният аргумент на Европейската комисия за промяна на GDPR е намаляването на предполагаемата "регулаторна тежест" за европейските дружества. Комисията обачене намалява административните стъпки, а се насочва направо към "основните" елементи на закона. Наред с други неща, те предлагат стесняване на определението за лични данни, ограничаване на правото на достъп и отваряне на портите за обучение с изкуствен интелект. Това поражда въпроса: помага ли това на средното предприятие в ЕС? Ще намали ли работното натоварване на вътрешните длъжностни лица по защита на данните (ДЛЗД) и други служители по съответствието? noyb проведе проучване сред ДЛЗД и специалисти по защита на личните данни, за да отговори на точно тези въпроси - и да научи за нуждите на хората, които работят с GDPR всеки ден. Техните отговори често сочат в посока, противоположна наподхода на Европейската комисия.
Макс Шремс, председател на noyb: "Това проучване показва огромната пропаст между нуждите на реалните хора, които ежедневно работят в областта на спазването на законодателството, и проблемите, прокарвани от "балона на брюкселското лоби". Тук не помагаме на нормалния бизнес в ЕС - предложението на Комисията често дори орязва това, което професионалистите смятат за полезно."
Права на субекта на данни: Малко натоварване, голямо въздействие. Интересно е, че мнозинството от анкетираните заявиха, че спазването на правата на субектите на данни (членове 15-21) не създава много работа. Най-значимо е, че над 70 % са заявили, че правото на достъп (член 15) създава само "малко", "малко" или дори никаква работа. В същото време то се разглежда като полезен инструмент за защита на правата на хората. Това съвпада с реалния опит на noyb: повечето компании почти никога не получават искания за достъп (SAR), докато определени компании (Big Tech, брокери на данни или кредитни агенции) обикновено получават много, но също така имат автоматизирани отговори на SAR. Ето защо е изненадващо, че в предложението на Европейската комисия за Digital Omnibus все още се предлага ограничаване на член 15 от ОРЗД, което би направило много трудно за европейците да упражняват правата си за защита на личните данни.
Основни правила: съответна натовареност, голяма възвръщаемост. Както се очакваше, основните правила по членове 5-11 от ОРЗД (напр. принципите относно законосъобразността на обработването или условията за съгласие) генерират съответното работно натоварване. Респондентите обаче също така класират тези правила като вторите най-полезни елементи на закона за защита на правата на субектите на данни. Същото се отнася и за задълженията за прозрачност по членове 13 и 14, които Европейската комисия също предлага да се ограничат.
Истинско опростяване: Преминаване от подхода "един размер за всички". Въпреки че "подходът, основан на риска" на GDPR, се разглеждаше като начин да се ограничи тежестта върху по-малките дружества в един закон, който е "универсален", специалистите съобщават за точно обратното. На практика често срещано оплакване е, че големите компании могат да се справят с неясни текстове и оценки на "риска", които подлежат на тълкуване, докато по-малките администратори не разполагат с необходимите ресурси за това. Респондентите ясно предпочитат система с ясни прагове за големината на дружествата, които следва да се основават на подходящи показатели като брой потребители - а не брой служители. Въпреки факта, че голяма част от тях представляват по-големи компании (над 500 служители), 70 % от анкетираните заявиха, че има нужда от по-строги правила за големите компании.
Макс Шремс: "В продължение на много години се води дебат за "подреждането" на GDPR по нива, с компании от клас А, В или С. В момента една малка организация с нестопанска цел като noyb по принцип попада под същите правила като Google. Вместо това Комисията иска да добави гъвкави "рискови" елементи към закона, което означава, че повечето дружества ще се нуждаят от адвокат, за да разберат дали даден член се отнася за тях."
По-малко "риск", повече яснота чрез бели и черни списъци. 83.3% от участниците заявиха, че подкрепят бял списък за дейностите по обработване, а 91,1% - че подкрепят черен списък за дейностите по обработване. Голямо мнозинство е на мнение, че такива списъци биха спестили на дружествата "много работа" и биха създали по-голяма правна сигурност. Изненадващо е, че специалистите по защита на личните данни, работещи за администратори, не смятат, че "черният списък" (подобен на член 5 от Закона за ИИ) би ограничил твърде много администраторите. Изглежда, че правната сигурност е за предпочитане пред гъвкавите закони.
Намаляване на разходите за спазване на изискванията на B2B: Изненадващо, GDPR генерира голям брой разходи за съответствие между предприятия ("B2B"),които не са насочени към потребителите. Между предприятията се изготвят и управляват милиони договори. Само ако законът се прилага пряко за доставчици като Cloud Hyperscalers, това може да намали милиони работни часове - и всъщност да подобри защитата на личните данни. ДЛЗД биха подкрепили такова опростяване.
Макс Шремс: "Законът "Омнибус" е на грешен път не само за потребителите, но и за повечето предприятия. В много отношения имаме предложение, което е "разхлабено"."
Начало на по-широк дебат. Въпросите, повдигнати в това проучване, само поставят началото на по-широк дебат, предизвикан от предложението за Digital Omnibus. Вярваме обаче, че основаните на доказателства промени в ОРЗД могат да бъдат от полза за всички: администратори, обработващи лични данни, субекти на данни и органи. Надяваме се, че тези първи резултати биха могли да ни насочат към полезни решения на действителни проблеми, вместо да преследваме гръмки думи.
