Od chvíle, kdy Evropská komise zveřejnila návrh Digital Omnibus, se zintenzivnily diskuse o zátěži, kterou GDPR představuje pro evropské podniky. Komise chce mimo jiné omezit právo na přístup, údajně proto, aby snížila regulační zátěž. Odrážejí však tyto změny skutečně potřeby odborníků na ochranu osobních údajů pracujících ve firmách? Chcete-li se dozvědět více, noyb provedl průzkum, v němž se ptal pověřenců pro ochranu osobních údajů (DPO), které prvky GDPR jim zabírají nejvíce času - a kde ho nejlépe využít k zajištění ochrany osobních údajů lidí.
Ukázalo se, že většina odborníků nechce ochranu omezit, ale snížit dokumentační povinnosti a papírování. V mnoha případech dokonce požadují místo větší "flexibility" jasnější zákony, což je pro většinu firem těžko zvládnutelné.
Vstup přímo od zdroje. Hlavním argumentem Evropské komise pro změnu GDPR je snížení údajné "regulační zátěže" pro evropské společnosti. Komise všakneomezuje administrativní kroky, ale šla rovnou po "základních" prvcích zákona. Mimo jiné navrhuje zúžit definici osobních údajů, omezit právo na přístup a otevřít stavidla pro školení v oblasti umělé inteligence. Nabízí se otázka: pomůže to průměrné společnosti v EU? Sníží to pracovní zátěž interních pověřenců pro ochranu osobních údajů (DPO) a dalších pracovníků zajišťujících dodržování předpisů? noyb provedl průzkum mezi DPO a odborníky na ochranu osobních údajů, aby přesně tyto otázky zodpověděl - a zjistil potřeby lidí, kteří s GDPR pracují každý den. Jejich odpovědi často ukazují opačným směrem nežpřístup Evropské komise.
Max Schrems, předseda noyb: "Tato studie ukazuje obrovskou propast mezi potřebami skutečných lidí, kteří denně pracují na dodržování předpisů, a problémy, které prosazuje "bublina bruselské lobby". Nepomáháme zde normálnímu podnikání v EU - návrh Komise často dokonce zasahuje do toho, co profesionálové považují za užitečné."
Práva subjektu údajů: Nízká pracovní zátěž, velký dopad. Zajímavé je, že většina respondentů uvedla, že dodržování práv subjektů údajů (články 15 až 21) nepřináší mnoho práce. Nejvýznamnější je, že více než 70 % respondentů uvedlo, že právo na přístup k údajům (článek 15) vytváří pouze "trochu", "málo" nebo dokonce žádnou práci. Zároveň je vnímáno jako užitečný nástroj ochrany práv osob. To odpovídá reálným zkušenostem společnosti noyb: většina společností téměř nikdy nedostává žádosti o přístup (SAR), zatímco konkrétní společnosti (Big Tech, zprostředkovatelé údajů nebo úvěrové agentury) jich obvykle dostávají hodně, ale také mají automatizované odpovědi na SAR. Je proto překvapivé, že návrh Evropské komise Digital Omnibus stále navrhuje omezení článku 15 GDPR, což by Evropanům velmi ztížilo vymáhání jejich práv na ochranu osobních údajů.
Základní pravidla: relevantní pracovní zátěž, velké výnosy. Jak se dalo očekávat, základní pravidla podle článků 5 až 11 GDPR (např. zásady týkající se zákonnosti zpracování nebo podmínky souhlasu) vytvářejí relevantní pracovní zátěž. Respondenti však tato pravidla zároveň označili za druhé nejužitečnější prvky zákona na ochranu práv subjektů údajů. Totéž platí pro povinnosti transparentnosti podle článků 13 a 14, které Evropská komise rovněž navrhuje omezit.
Skutečné zjednodušení: Odklon od přístupu "jedna velikost pro všechny". Zatímco "přístup založený na riziku " GDPR byl vnímán jako způsob, jak omezit zátěž menších společností v rámci zákona "jedné velikosti pro všechny", odborníci hlásí přesný opak. V praxi si často stěžují na to, že velké společnosti dokáží zvládnout nejasné texty a hodnocení "rizik", které umožňují výklad, zatímco menší správci na to nemají prostředky. Respondenti jednoznačně upřednostňují systém s jasnými prahovými hodnotami pro velikost společnosti, které by měly být založeny na relevantních ukazatelích, jako je počet uživatelů - nikoli počet zaměstnanců. Přestože řada z nich zastupuje větší společnosti (500+ zaměstnanců), 70 % respondentů uvedlo, že pro velké společnosti jsou potřeba přísnější pravidla.
Max Schrems: "Již mnoho let se vede debata o "stupňovitosti" GDPR, kdy se společnosti řadí do tříd A, B nebo C. V tuto chvíli malá nezisková organizace, jako je noyb, obecně spadá pod stejná pravidla jako Google. Místo toho chce Komise do zákona přidat flexibilní 'rizikové' prvky, což znamená, že většina společností by potřebovala právníka, aby věděla, zda se na ně daný článek vztahuje."
Méně "riziko", více přehlednost prostřednictvím whitelistů a blacklistů. 83.3 % účastníků uvedla, že upřednostňují whitelist pro činnosti zpracování, a 91,1 % uvedlo, že upřednostňují blacklist pro činnosti zpracování. Velká většina zastává názor, že tyto seznamy by společnostem ušetřily "spoustu práce" a vytvořily větší právní jistotu. Překvapivě se odborníci na ochranu osobních údajů pracující pro správce nedomnívají, že by "černá listina" (podobná článku 5 zákona o UI) správce příliš omezovala. Zdá se, že právní jistota je upřednostňována před flexibilními zákony.
Snížení nákladů na dodržování předpisů B2B: Překvapivě GDPR vytváří velké množství nákladů na dodržování předpisů mezi podniky ("B2B"),které nejsou zaměřeny na uživatele. Mezi podniky jsou vypracovávány a spravovány miliony smluv. Jen to, že se zákon vztahuje přímo na poskytovatele, jako je Cloud Hyperscalers, by mohlo snížit miliony pracovních hodin - a skutečně zlepšit ochranu soukromí. Inspektoři ochrany údajů by takové zjednodušení velmi podpořili.
Max Schrems: "Omnibus je na špatné cestě nejen pro uživatele, ale také pro většinu podniků. V mnoha ohledech se jedná o návrh 'volně navazující'."
Začátek širší diskuse. Body vznesené v tomto průzkumu jsou jen začátkem širší debaty, kterou návrh Digital Omnibus vyvolal. Jsme však přesvědčeni, že změny nařízení GDPR založené na důkazech by mohly být prospěšné pro všechny: správce, zpracovatele, subjekty údajů i orgány. Doufáme, že tyto první výsledky by nás mohly nasměrovat k užitečným řešením skutečných problémů namísto honby za módními slovy.
