Když v roce 2018 vstoupilo v platnost nařízení GDPR, byl tento nový a zářivý zákon o ochraně osobních údajů vítán jako posun směrem k přísnějšímu vymáhání práva, aby základní právo na ochranu údajů neexistovalo v EU jen na papíře. U příležitosti letošního Dne ochrany osobních údajů, který připadá na 28. ledna, noyb provedla průzkum mezi více než 1 000 odborníky na ochranu údajů, kteří pracují v evropských společnostech. Ten poskytl jedinečný pohled zevnitř: 70 % respondentů se domnívá, že úřady musí vydávat jasná rozhodnutí a prosazovat GDPR, aby zajistily jeho dodržování, zatímco 74 % respondentů tvrdí, že úřady by našly "relevantní porušení", kdyby prošly dveřmi průměrné společnosti. Ve snaze přejít k "prosazování založenému na důkazech" tento průzkum rovněž ukazuje, že orgány by musely zásadně změnit svůj přístup k prosazování, aby přiměly podniky k dodržování předpisů.
Seriózní vymáhání práva nepřineslo slibované výsledky. Když v květnu 2018 vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), slibovalo posun od současného "měkkého" přístupu k ochraně údajů k serióznímu prosazování. K dosažení tohoto cíle poskytla politika EU orgánům závažné vyšetřovací pravomoci a možnost udělovat vysoké pokuty. Podle nového noyb průzkumu mezi více než 1 000 odborníky na ochranu údajů se většina účastníků domnívá, že zavedení GDPR "výrazně zlepšilo" způsob, jakým společnosti nakládají s osobními údaji, ale 74 % z nich stále tvrdí, že pokud by úřady skutečně provedly šetření na místě v průměrné společnosti nakládající s údaji uživatelů, zjistily by "relevantní porušení".
Max Schrems, čestný předseda společnosti noyb: "Je mimořádně znepokojující, když 74 % odborníků na vnitřní ochranu údajů ve firmách tvrdí, že by úřady v průměrné společnosti našly významná porušení. Taková čísla by byla nepředstavitelná, kdyby se jednalo o dodržování daňových zákonů nebo předpisů o požární bezpečnosti. Zdá se, že nedodržování předpisů je normou pouze v případě osobních údajů uživatelů."
Objektivní interní údaje o dodržování GDPR. Abychom získali co největší přehled o praktickém uplatňování GDPR, noyb'obsahoval průzkum 65 otázek pokrývajících řadu témat z oblasti dodržování a prosazování GDPR. To nám umožnilo získat spolehlivé a objektivní údaje o interní dynamice, která brání pověřencům pro ochranu osobních údajů (DPO) v zavádění opatření k posílení souladu s GDPR, a také o externích faktorech, které by mohly v budoucnu podniky tlačit k většímu dodržování předpisů. Takové údaje se zdají být zásadní pro zaměření práce na prosazování a dodržování předpisů na strategie, které skutečně fungují a podporují práci interních inspektorů ochrany údajů.
V konfliktu s marketingovými odděleními a vedením. Společnosti se často pohybují v konfliktním prostoru mezi snahou o dosažení zisku, náklady na zajištění souladu svých systémů s GDPR a povinností dodržovat zákon. noyb'průzkum jasně ukazuje, že DPO jsou pod tlakem, aby v zájmu podnikání omezili soulad s GDPR: 46 % respondentů uvedlo, že na ně obchod a marketing aktivně tlačí, aby omezovali dodržování předpisů, zatímco 32 % se cítí být pod tlakem členů vyššího vedení. Není překvapením, že přesvědčit tyto zúčastněné strany, aby provedly nezbytné změny ke zlepšení souladu s předpisy, se také ukazuje jako poměrně obtížné. Šokujících 56 % respondentů uvedlo, že bylo obtížné přesvědčit marketingové oddělení, zatímco 38,5 % mělo problémy s vyšším vedením. 51 % respondentů také uvedlo, že je obtížné přesvědčit dodavatele ze zemí mimo EU/EHP, aby dodávali vyhovující výrobky podnikovým zákazníkům z EU.
Max Schrems: "DPO mají být nezávislí a zajišťovat dodržování předpisů zevnitř podniku." Ve skutečnosti však mnozí z nich hlásí tlak z různých stran, aby upřednostňovali obchodní zájmy."
Evymáhání práva na základě důkazů: pokuty a poškození dobré pověsti. Závažný nedostatek jasných donucovacích opatření ze strany úřadů nepomáhá inspektorům ochrany údajů v jejich práci. Podle výsledků průzkumu je nejpravděpodobnější, že společnost zlepší dodržování předpisů, když jí - nebo i jiným společnostem - hrozí značné pokuty. 67.čtyři procenta respondentů uvedla, že rozhodnutí orgánu pro ochranu údajů proti jejich vlastní společnosti, která zahrnují pokutu, ovlivní rozhodující osoby, aby se rozhodly pro větší dodržování předpisů. Zajímavé je, že 61,5 % respondentů uvedlo, že i pokuty DPA proti jiným organizacím ovlivní dodržování GDPR jejich vlastní společností. Tento účinek ("odstrašení") je dobře známý a studovaný, ale orgány jej příliš nevyužívají. Dalším nejlepším nástrojem se zdá být zveřejňování rozhodnutí. 52 % respondentů uvedlo, že ztráta pověsti jiné společnosti již má pozitivní vliv na dodržování předpisů jejich vlastní společností. Mnoho orgánů však v současné době svá rozhodnutí nezveřejňuje (např. Německo) nebo je zveřejňuje pouze výběrově.
Max Schrems: "Zdá se, že rada odborníků na ochranu údajů ve firmách zní: 'ukládejte vysoké pokuty a zveřejňujte je'. Běžný přístup spočívající ve spoléhání se na 'neformální' jednání mezi úřady a společnostmi a na tajné postupy se podle zasvěcených pracovníků společností jeví jako nejméně účinný."
Pokyny EDPB nebo uzavírání případů nemají vliv. Ačkoli orgány investují značné úsilí, čas a zdroje do poskytování pokynů společnostem, zdá se, že je podniky z velké části ignorují. 46 % respondentů uvedlo, že pokyny EDPB nemají vliv, zatímco pouze 23 % je považuje za do jisté míry vlivné. Podobně hodnotí zasvěcené osoby přímé stížnosti u podniků jako málo vlivné. To je v kontrastu se stížnostmi k orgánům pro ochranu údajů a neformálním uzavřením případů (v současnosti nejčastější forma rozhodnutí). Navzdory všem náznakům, že je naléhavě nutné přísné vymáhání, jsou v praxi taková opatření ze strany orgánů pro ochranu údajů spíše výjimkou. To lze snadno ilustrovat na příkladu noybvlastní práce: Většina našich více než 800 případů je nevyřízena déle než dva roky. Ale i když si vyberete pouze případy, které noyb vyhrála, je jen hrstka rozhodnutí, která zahrnují pokutu. Ve více než 800 případech jsme nezaznamenali ani jeden orgán, který by skutečně provedl kontrolu na místě v podniku.
Max Schrems: "V posledních letech evropské orgány vypracovaly řadu pokynů a vedly dlouhé "neformální" diskuse se společnostmi a poté případy "uzavřely" bez dalších opatření. Soudě podle zpětné vazby od pracovníků zajišťujících dodržování předpisů to bohužel není nejlepší využití peněz daňových poplatníků."
Pohled zasvěcených osob je stále pozitivnější než zkušenosti uživatelů. Přestože pohled insiderů je již alarmující, je stále optimističtější, než by dovolovaly průměrné zkušenosti subjektů údajů. Například když noyb uplatnil právo na přístup k osobním údajům, více než 90 % žádostí nebylo plně a včas zodpovězeno. Většina žádostí je jednoduše ignorována. Pro srovnání, 59 % respondentů se domnívá, že většina společností bude "většinou" dodržovat "základní pravidla" GDPR. Praktické zkušenosti naznačují, že pohled outsiderů může být ještě horší než pohled insiderů.
Jediné východisko: "prosazování založené na důkazech". Máme-li věřit respondentům, je jediné realistické řešení tohoto problému jasné: přísnější prosazování a jasnější rozhodnutí orgánů pro ochranu údajů a soudů, která donutí společnosti uvést zpracování údajů do souladu s předpisy. Úplný a podrobný seznam navrhovaných opatření naleznete ve studii. Z výsledků rovněž vyplývá naléhavá potřeba shromáždit další objektivní důkazy, aby bylo zajištěno, že se orgány (mohou) vzhledem k omezeným zdrojům zapojit do účinného prosazování. Opakování přístupů, které nefungují, nepovede k praktickým změnám v telefonech a počítačích Evropanů. Údaje shromážděné v našem průzkumu poskytují vynikající výchozí bod pro další výzkum. noyb se do dalšího výzkumu rovněž zapojí.
