Από τότε που η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρότασή της για το Digital Omnibus, οι συζητήσεις σχετικά με τον φόρτο εργασίας που δημιουργεί ο GDPR για τις επιχειρήσεις στην Ευρώπη έχουν ενταθεί. Μεταξύ άλλων, η Επιτροπή θέλει να περιορίσει το Δικαίωμα Πρόσβασης, υποτίθεται ότι για να μειώσει το κανονιστικό βάρος. Αλλά αντικατοπτρίζουν στην πραγματικότητα αυτές οι αλλαγές τις ανάγκες των επαγγελματιών απορρήτου που εργάζονται σε εταιρείες; Για να μάθει περισσότερα, η noyb διεξήγαγε μια έρευνα ρωτώντας τους Υπεύθυνους Προστασίας Δεδομένων (DPO) ποια στοιχεία του GDPR καταλαμβάνουν τον περισσότερο χρόνο τους - και πού είναι καλύτερο να δαπανηθεί για να διασφαλιστεί η προστασία των δεδομένων των ανθρώπων.
Αποδεικνύεται ότι οι περισσότεροι επαγγελματίες δεν θέλουν μείωση των προστασιών, αλλά μείωση των υποχρεώσεων τεκμηρίωσης και της γραφειοκρατίας. Σε πολλές περιπτώσεις, ζητούν ακόμη και σαφέστερους νόμους αντί για μεγαλύτερη «ευελιξία», κάτι που είναι δύσκολο να διαχειριστούν οι περισσότερες εταιρείες.
Εισαγωγή απευθείας από την πηγή. Το βασικό επιχείρημα της Ευρωπαϊκής Επιτροπής για την αλλαγή του GDPR είναι η μείωση του υποτιθέμενου « κανονιστικού φόρτου » για τις ευρωπαϊκές εταιρείες. Ωστόσο, η Επιτροπή δεν μειώνει τα διοικητικά βήματα, αλλά προχωρά με ακρίβεια στα «βασικά» στοιχεία του νόμου. Μεταξύ άλλων, προτείνει τον περιορισμό του ορισμού των προσωπικών δεδομένων, τον περιορισμό του δικαιώματος πρόσβασης και το άνοιγμα των πυλών πλημμύρας για εκπαίδευση στην Τεχνητή Νοημοσύνη. Αυτό εγείρει το ερώτημα: βοηθάει αυτό τη μέση εταιρεία της ΕΕ; Θα μειώσει τον φόρτο εργασίας των εσωτερικών Υπευθύνων Προστασίας Δεδομένων (ΥΠΔ) και άλλου προσωπικού συμμόρφωσης; Η noyb διεξήγαγε μια έρευνα μεταξύ ΥΠΔ και επαγγελματιών απορρήτου για να απαντήσει σε αυτά ακριβώς τα ερωτήματα - και να μάθει για τις ανάγκες των ατόμων που εργάζονται με τον GDPR κάθε μέρα. Οι απαντήσεις τους συχνά δείχνουν προς την αντίθετη κατεύθυνση από την προσέγγιση της Ευρωπαϊκής Επιτροπής.
Max Schrems, Πρόεδρος της noyb : « Αυτή η μελέτη δείχνει ένα τεράστιο χάσμα μεταξύ των αναγκών των πραγματικών ανθρώπων που εργάζονται καθημερινά για τη συμμόρφωση και των προβλημάτων που προκαλεί η «φούσκα των λόμπι των Βρυξελλών». Δεν βοηθάμε τις κανονικές επιχειρήσεις της ΕΕ εδώ - η πρόταση της Επιτροπής συχνά περιορίζεται ακόμη και σε αυτό που οι επαγγελματίες θεωρούν χρήσιμο » .
Δικαιώματα των υποκειμένων των δεδομένων: Χαμηλός φόρτος εργασίας, μεγάλος αντίκτυπος. Είναι ενδιαφέρον ότι η πλειοψηφία των ερωτηθέντων δήλωσε ότι η συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων (Άρθρα 15 έως 21) δεν δημιουργεί πολλή εργασία. Το πιο σημαντικό είναι ότι περισσότερο από το 70% δήλωσε ότι το Δικαίωμα Πρόσβασης (Άρθρο 15) δημιουργεί μόνο «κάποια» , «λίγη» ή και καθόλου εργασία. Ταυτόχρονα, θεωρείται χρήσιμο εργαλείο για την προστασία των δικαιωμάτων των ανθρώπων. Αυτό ταιριάζει με την πραγματική εμπειρία της noyb : οι περισσότερες εταιρείες σπάνια λαμβάνουν αιτήματα πρόσβασης (SAR), ενώ συγκεκριμένες εταιρείες (Μεγάλες Τεχνολογίες, μεσίτες δεδομένων ή πιστωτικά γραφεία) συνήθως λαμβάνουν πολλά, αλλά έχουν και αυτοματοποιημένες απαντήσεις SAR. Επομένως, προκαλεί έκπληξη το γεγονός ότι η πρόταση της Ευρωπαϊκής Επιτροπής για το Digital Omnibus εξακολουθεί να προτείνει έναν περιορισμό του άρθρου 15 του ΓΚΠΔ, γεγονός που θα δυσκόλευε πολύ τους Ευρωπαίους να επιβάλουν τα δικαιώματά τους στην ιδιωτικότητα.
Βασικοί κανόνες: σχετικός φόρτος εργασίας, μεγάλα κέρδη. Όπως αναμενόταν, οι βασικοί κανόνες των άρθρων 5 έως 11 του ΓΚΠΔ (π.χ. αρχές σχετικά με τη νομιμότητα της επεξεργασίας ή όροι συγκατάθεσης) δημιουργούν σχετικό φόρτο εργασίας. Ωστόσο, οι ερωτηθέντες κατέταξαν επίσης αυτούς τους κανόνες ως τα δεύτερα πιο χρήσιμα στοιχεία του νόμου για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Το ίδιο ισχύει και για τις υποχρεώσεις διαφάνειας βάσει των άρθρων 13 και 14, τις οποίες η Ευρωπαϊκή Επιτροπή προτείνει επίσης να περιορίσει.
Πραγματική Απλούστευση: Απομακρυνθείτε από την προσέγγιση «ένα μέγεθος για όλους». Ενώ η «προσέγγιση που βασίζεται στον κίνδυνο» του GDPR θεωρήθηκε ως ένας τρόπος περιορισμού του βάρους στις μικρότερες εταιρείες σε έναν νόμο «ένα μέγεθος για όλους» , οι επαγγελματίες αναφέρουν ακριβώς το αντίθετο. Στην πράξη, είναι ένα κοινό παράπονο ότι οι μεγάλες εταιρείες μπορούν να διαχειρίζονται ασαφή κείμενα και αξιολογήσεις «κινδύνου» που είναι ανοιχτές σε ερμηνείες, ενώ οι μικρότεροι ελεγκτές δεν έχουν τους πόρους για να το κάνουν. Οι ερωτηθέντες τάσσονται σαφώς υπέρ ενός συστήματος με σαφή όρια για τα μεγέθη των εταιρειών που θα πρέπει να βασίζονται σε σχετικές μετρήσεις όπως ο αριθμός των χρηστών - όχι ο αριθμός των εργαζομένων. Παρά το γεγονός ότι πολλές από αυτές αντιπροσωπεύουν μεγαλύτερες εταιρείες (500+ εργαζόμενοι), το 70% των ερωτηθέντων δήλωσε ότι υπάρχει ανάγκη για αυστηρότερους κανόνες για τις μεγάλες εταιρείες.
Max Schrems: « Για πολλά χρόνια, υπάρχει μια συζήτηση σχετικά με την «διαβάθμιση» του GDPR, με εταιρείες κατηγορίας Α, Β ή Γ. Αυτή τη στιγμή, ένας μικροσκοπικός μη κερδοσκοπικός οργανισμός όπως η noyb γενικά εμπίπτει στους ίδιους κανόνες με την Google. Αντί να το κάνει αυτό, η Επιτροπή θέλει να προσθέσει ευέλικτα στοιχεία «κινδύνου» στον νόμο, πράγμα που σημαίνει ότι οι περισσότερες εταιρείες θα χρειαστούν έναν δικηγόρο για να γνωρίζουν εάν ένα άρθρο ισχύει για αυτές.»
Λιγότερος «κίνδυνος», περισσότερη σαφήνεια μέσω λευκών και μαύρων λιστών. Το 83,3% των συμμετεχόντων δήλωσαν ότι τάσσονται υπέρ μιας λευκής λίστας για δραστηριότητες επεξεργασίας και το 91,1% δήλωσαν ότι τάσσονται υπέρ μιας μαύρης λίστας για δραστηριότητες επεξεργασίας. Η μεγάλη πλειοψηφία υποστηρίζει την άποψη ότι τέτοιες λίστες θα γλίτωναν «πολλή δουλειά» στις εταιρείες και θα δημιουργούσαν μεγαλύτερη ασφάλεια δικαίου. Παραδόξως, οι επαγγελματίες του τομέα της ιδιωτικής ζωής που εργάζονται για τους υπευθύνους επεξεργασίας δεν πιστεύουν ότι μια «μαύρη λίστα» (παρόμοια με το Άρθρο 5 του Νόμου περί Τεχνητής Νοημοσύνης) θα περιόριζε υπερβολικά τους υπευθύνους επεξεργασίας. Φαίνεται ότι η ασφάλεια δικαίου προτιμάται έναντι των ευέλικτων νόμων.
Μείωση του κόστους συμμόρφωσης B2B: Παραδόξως, ο GDPR δημιουργεί ένα μεγάλο ποσό κόστους συμμόρφωσης μεταξύ επιχειρήσεων ( « B2B ») που δεν είναι προσανατολισμένες στον χρήστη. Εκατομμύρια συμβάσεις συντάσσονται και διαχειρίζονται μεταξύ επιχειρήσεων. Η απλή εφαρμογή του νόμου απευθείας σε παρόχους όπως οι Cloud Hyperscalers θα μπορούσε να μειώσει εκατομμύρια ώρες εργασίας - και στην πραγματικότητα να βελτιώσει την προστασία της ιδιωτικής ζωής. Οι DPO θα υποστήριζαν σε μεγάλο βαθμό μια τέτοια απλοποίηση.
Max Schrems: « Το Omnibus δεν βρίσκεται σε λάθος δρόμο μόνο για τους χρήστες, αλλά και για τις περισσότερες επιχειρήσεις. Από πολλές απόψεις, έχουμε μια πρόταση «χαλαρή-χαλαρή» .»
Έναρξη μιας ευρύτερης συζήτησης. Τα σημεία που τέθηκαν σε αυτήν την έρευνα σηματοδοτούν απλώς την έναρξη μιας ευρύτερης συζήτησης που πυροδότησε η πρόταση για το Digital Omnibus. Πιστεύουμε, ωστόσο, ότι οι αλλαγές στον ΓΚΠΔ που βασίζονται σε τεκμηριωμένα στοιχεία θα μπορούσαν να είναι επωφελείς για όλους: τους υπεύθυνους επεξεργασίας, τους επεξεργαστές, τα υποκείμενα των δεδομένων και τις αρχές. Ελπίζουμε ότι αυτά τα πρώτα αποτελέσματα θα μπορούσαν να μας καθοδηγήσουν προς χρήσιμες λύσεις για πραγματικά προβλήματα, αντί να κυνηγάμε σοφιστικέ λέξεις.
