Όταν τέθηκε σε ισχύ ο GDPR το 2018, ο νέος και λαμπερός νόμος για την προστασία δεδομένων χαιρετίστηκε ως μια στροφή προς την αυστηρότερη επιβολή – διασφαλίζοντας ότι στην ΕΕ, το θεμελιώδες δικαίωμα στην προστασία δεδομένων δεν υπάρχει μόνο στα χαρτιά. Για να τιμήσει τη φετινή Ημέρα Προστασίας Δεδομένων, στις 28 Ιανουαρίου, η noyb διεξήγαγε μια έρευνα μεταξύ περισσότερων από 1000 επαγγελματιών προστασίας δεδομένων που εργάζονται σε ευρωπαϊκές εταιρείες. Αυτό παρείχε μια μοναδική άποψη εκ των έσω: το 70% των ερωτηθέντων πιστεύει ότι οι αρχές πρέπει να εκδίδουν σαφείς αποφάσεις και να επιβάλλουν τον GDPR για να εξασφαλίσουν τη συμμόρφωση, ενώ το 74% λέει ότι οι αρχές θα εντόπιζαν «σχετικές παραβιάσεις» εάν περνούσαν την πόρτα ενός μέση εταιρεία. Σε μια προσπάθεια να προχωρήσουμε προς την «επιβολή βάσει αποδεικτικών στοιχείων», αυτή η έρευνα δείχνει επίσης ότι οι αρχές θα πρέπει να αλλάξουν ριζικά την προσέγγισή τους όσον αφορά την επιβολή για να υποχρεώσουν τις επιχειρήσεις να συμμορφωθούν.
Η σοβαρή επιβολή δεν πραγματοποιήθηκε όπως είχε υποσχεθεί. Όταν τέθηκε σε ισχύ τον Μάιο του 2018, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) υποσχέθηκε μια μετατόπιση από την τρέχουσα προσέγγιση «soft-touch» για την προστασία δεδομένων σε σοβαρή επιβολή. Προκειμένου να επιτευχθεί αυτός ο στόχος, η πολιτική της ΕΕ παρείχε στις αρχές σοβαρές εξουσίες διερεύνησης και τη δυνατότητα έκδοσης μεγάλων προστίμων. Σύμφωνα με μια νέα έρευνα του noyb μεταξύ περισσότερων από 1.000 επαγγελματιών προστασίας δεδομένων, οι περισσότεροι από τους συμμετέχοντες πιστεύουν ότι η εισαγωγή του GDPR έχει «βελτιώσει σημαντικά» τον τρόπο με τον οποίο οι εταιρείες χειρίζονται προσωπικά δεδομένα, αλλά το 74% εξακολουθεί να λέει ότι εάν οι αρχές διενεργούσαν πραγματικά επιτόπια έρευνα σε μια μέση εταιρεία που χειρίζεται δεδομένα χρηστών, θα βρουν «σχετικές παραβιάσεις».
Max Schrems, Επίτιμος Πρόεδρος της noyb : «Είναι εξαιρετικά ανησυχητικό όταν το 74% των επαγγελματιών εσωτερικής προστασίας δεδομένων της εταιρείας λέει ότι οι αρχές θα εντόπιζαν σημαντικές παραβιάσεις σε μια μέση εταιρεία. Τέτοια στοιχεία θα ήταν αδιανόητα εάν επρόκειτο για συμμόρφωση με τη φορολογική νομοθεσία ή τον κανονισμό πυρασφάλειας. Η μη συμμόρφωση φαίνεται να είναι ο κανόνας μόνο όταν πρόκειται για προσωπικά δεδομένα των χρηστών».
Αντικειμενικά εμπιστευτικά δεδομένα σχετικά με τη συμμόρφωση με τον GDPR. Προκειμένου να αποκτήσει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με την πρακτική εφαρμογή του GDPR, η έρευνα του noyb περιλάμβανε 65 ερωτήσεις που κάλυπταν μια σειρά θεμάτων στον τομέα της συμμόρφωσης και της επιβολής του GDPR. Αυτό μας επέτρεψε να αποκτήσουμε αξιόπιστα και αντικειμενικά δεδομένα σχετικά με την εσωτερική δυναμική που εμποδίζουν τους υπεύθυνους προστασίας δεδομένων (DPO) να εφαρμόσουν μέτρα για την ενίσχυση της συμμόρφωσης με τον GDPR, καθώς και εξωτερικούς παράγοντες που θα μπορούσαν να ωθήσουν τις εταιρείες σε μεγαλύτερη συμμόρφωση στο μέλλον. Τέτοια δεδομένα φαίνονται ζωτικής σημασίας για την εστίαση των εργασιών επιβολής και συμμόρφωσης σε στρατηγικές που λειτουργούν πραγματικά και υποστηρίζουν το έργο των εσωτερικών ΥΠΔ.
Σε σύγκρουση με τα τμήματα μάρκετινγκ και τη διοίκηση. Οι εταιρείες συχνά λειτουργούν σε έναν αντικρουόμενο χώρο μεταξύ της επιδίωξης κέρδους, του κόστους που συνεπάγεται η συμμόρφωση των συστημάτων τους με τον GDPR και της υποχρέωσης συμμόρφωσης με τη νομοθεσία. Η έρευνα του noyb δείχνει ξεκάθαρα ότι οι ΥΠΔ υφίστανται πίεση να περιορίσουν τη συμμόρφωση με το GDPR προς όφελος των επιχειρήσεων: το 46% των ερωτηθέντων είπε ότι οι πωλήσεις και το μάρκετινγκ τους πίεζαν ενεργά να περιορίσουν τη συμμόρφωση, ενώ το 32% ένιωθε ότι πιέζεται από τα ανώτερα στελέχη. Δεν αποτελεί έκπληξη το γεγονός ότι το να πειστούν αυτά τα ενδιαφερόμενα μέρη να κάνουν τις απαραίτητες αλλαγές για τη βελτίωση της συμμόρφωσης αποδεικνύεται επίσης αρκετά δύσκολο. Ένα συγκλονιστικό 56% των ερωτηθέντων είπε ότι ήταν δύσκολο να πειστεί το τμήμα μάρκετινγκ ενώ το 38,5% είχε προβλήματα με τα ανώτερα στελέχη. Το 51% είπε επίσης ότι είναι δύσκολο να πειστούν προμηθευτές εκτός ΕΕ/ΕΟΧ να παρέχουν συμβατά προϊόντα σε επιχειρηματικούς πελάτες της ΕΕ.
Max Schrems: «Οι DPO υποτίθεται ότι είναι ανεξάρτητοι και διασφαλίζουν τη συμμόρφωση από το εσωτερικό της εταιρείας. Στην πραγματικότητα, πολλοί από αυτούς αναφέρουν πίεση από διάφορες πλευρές για να δώσουν προτεραιότητα στα επιχειρηματικά συμφέροντα».
Επιβολή βάσει αποδεικτικών στοιχείων: πρόστιμα και ζημιά στη φήμη. Η σοβαρή έλλειψη σαφών μέτρων επιβολής από τις αρχές δεν βοηθά τους ΥΠΔ να κάνουν τη δουλειά τους. Σύμφωνα με τα αποτελέσματα της έρευνας, μια εταιρεία είναι πιο πιθανό να βελτιώσει τη συμμόρφωσή της όταν -ή ακόμα και άλλες εταιρείες- αντιμετωπίζουν σημαντικά πρόστιμα. Το 67,4% των ερωτηθέντων είπε ότι οι αποφάσεις της DPA κατά της εταιρείας τους που περιλαμβάνουν πρόστιμο θα επηρεάσουν τους λήπτες αποφάσεων να επιλέξουν μεγαλύτερη συμμόρφωση. Είναι ενδιαφέρον ότι το 61,5% των ερωτηθέντων είπε ότι ακόμη και τα πρόστιμα της DPA εναντίον άλλων οργανισμών θα επηρέαζαν τη συμμόρφωση της εταιρείας τους με τον GDPR. Αυτό το αποτέλεσμα («αποτροπή») είναι πολύ γνωστό και μελετημένο, αλλά δεν χρησιμοποιείται πραγματικά από τις αρχές. Το επόμενο καλύτερο εργαλείο φαίνεται να είναι η δημοσίευση των αποφάσεων. Το 52% είπε ότι η απώλεια φήμης μιας άλλης εταιρείας έχει ήδη θετική επίδραση στη συμμόρφωση της δικής τους εταιρείας. Ωστόσο, πολλές αρχές επί του παρόντος δεν δημοσιεύουν τις αποφάσεις τους (π.χ. η Γερμανία) ή τις δημοσιεύουν μόνο επιλεκτικά.
Max Schrems: «Η συμβουλή από επαγγελματίες προστασίας δεδομένων εντός των εταιρειών φαίνεται να είναι: «επιβάλετε υψηλά πρόστιμα και δημοσιοποιήστε τα». Η κοινή προσέγγιση της βάσης σε «άτυπες» διαπραγματεύσεις μεταξύ αρχών και εταιρειών και μυστικών διαδικασιών φαίνεται να είναι η λιγότερο αποτελεσματική σύμφωνα με τα μέλη της εταιρείας».
Οι οδηγίες του EDPB ή το κλείσιμο υποθέσεων δεν επηρεάζουν. Ενώ οι αρχές επενδύουν σημαντική προσπάθεια, χρόνο και πόρους για την παροχή κατευθυντήριων γραμμών στις εταιρείες, φαίνεται να αγνοούνται σε μεγάλο βαθμό από τις επιχειρήσεις. Το 46% των ερωτηθέντων είπε ότι οι οδηγίες του EDPB δεν ασκούν επιρροή, ενώ μόνο το 23% τις θεώρησε κάπως επιρροές. Ομοίως, οι εμπιστευτικοί εκτιμούν ότι οι άμεσες καταγγελίες με εταιρείες δεν έχουν μεγάλη επιρροή. Αυτό έρχεται σε αντίθεση με τις καταγγελίες προς τις ΑΠΔ και το άτυπο κλείσιμο υποθέσεων (σήμερα η πιο κοινή μορφή απόφασης). Παρά όλες τις ενδείξεις ότι υπάρχει επείγουσα ανάγκη για αυστηρή επιβολή, στην πράξη τέτοιες ενέργειες από τις ΑΠΔ αποτελούν την εξαίρεση. Αυτό φαίνεται εύκολα χρησιμοποιώντας το έργο του ίδιου του noyb : Οι περισσότερες από τις περισσότερες από 800 υποθέσεις μας εκκρεμούν για περισσότερα από δύο χρόνια. Αλλά ακόμα κι αν διαλέξετε μόνο περιπτώσεις που κέρδισε η noyb , υπάρχουν μόνο μερικές αποφάσεις που περιλαμβάνουν πρόστιμο. Σε περισσότερες από 800 περιπτώσεις, δεν έχουμε δει ούτε μια αρχή να διενεργεί πραγματικά επιτόπιο έλεγχο μιας εταιρείας.
Max Schrems: «Τα τελευταία χρόνια, οι ευρωπαϊκές αρχές έχουν εκπονήσει πολλές κατευθυντήριες γραμμές και έχουν συμμετάσχει σε μακροχρόνιες «άτυπες» συζητήσεις με εταιρείες και στη συνέχεια «κλείνουν» υποθέσεις χωρίς περαιτέρω δράση. Κρίνοντας από τα σχόλια των υπαλλήλων συμμόρφωσης, δυστυχώς αυτή δεν είναι η καλύτερη χρήση των χρημάτων των φορολογουμένων».
Η άποψη των μυημένων είναι ακόμα πιο θετική από την εμπειρία των χρηστών. Αν και η άποψη των εμπιστευτικών πληροφοριών είναι ήδη ανησυχητική, εξακολουθεί να είναι πιο αισιόδοξη από ό,τι θα επέτρεπε η μέση εμπειρία των υποκειμένων των δεδομένων. Για παράδειγμα, όταν η noyb άσκησε το δικαίωμα πρόσβασης σε προσωπικά δεδομένα, πάνω από το 90% των αιτημάτων δεν απαντήθηκαν πλήρως εγκαίρως. Τα περισσότερα αιτήματα απλώς αγνοούνται. Συγκριτικά, το 59% των ερωτηθέντων πιστεύει ότι οι περισσότερες εταιρείες θα συμμορφώνονταν «ως επί το πλείστον» με τους «βασικούς κανόνες» του GDPR. Η πρακτική εμπειρία δείχνει ότι η άποψη των ξένων μπορεί να είναι ακόμη χειρότερη από την άποψη των εσωτερικών.
Η μόνη διέξοδος: «επιβολή βάσει αποδεικτικών στοιχείων». Εάν πρέπει να γίνουν πιστευτοί οι ερωτηθέντες, η μόνη ρεαλιστική λύση σε αυτό το πρόβλημα είναι σαφής: αυστηρότερη επιβολή και σαφέστερες αποφάσεις DPA και δικαστηρίων που αναγκάζουν τις εταιρείες να συμμορφώσουν την επεξεργασία των δεδομένων τους. Ένας πλήρης και λεπτομερής κατάλογος προτεινόμενων δράσεων μπορεί να βρεθεί στη μελέτη. Τα αποτελέσματα δείχνουν επίσης την επείγουσα ανάγκη συγκέντρωσης περαιτέρω αντικειμενικών αποδεικτικών στοιχείων για να διασφαλιστεί ότι οι αρχές (μπορούν) να συμμετάσχουν σε αποτελεσματικές εργασίες επιβολής δεδομένων περιορισμένων πόρων. Η επανάληψη προσεγγίσεων που δεν λειτουργούν δεν θα οδηγήσει σε πρακτικές αλλαγές στα τηλέφωνα και τους υπολογιστές των Ευρωπαίων. Τα δεδομένα που συλλέχθηκαν στην έρευνά μας αποτελούν ένα εξαιρετικό σημείο εκκίνησης για περαιτέρω έρευνα. Το noyb θα συμμετάσχει επίσης σε περαιτέρω έρευνα.