Όταν τέθηκε σε ισχύ ο ΓΚΠΔ το 2018, ο νέος και λαμπερός νόμος περί προστασίας δεδομένων χαιρετίστηκε ως μια στροφή προς αυστηρότερη εφαρμογή – διασφαλίζοντας ότι στην ΕΕ το θεμελιώδες δικαίωμα στην προστασία των δεδομένων δεν υπάρχει μόνο στα χαρτιά. Για να σηματοδοτήσει τη φετινή Ημέρα Προστασίας Δεδομένων στις 28 Ιανουαρίου, η noyb διεξήγαγε έρευνα σε περισσότερους από 1000 επαγγελματίες προστασίας δεδομένων που εργάζονται σε ευρωπαϊκές εταιρείες. Αυτή η έρευνα παρείχε μια μοναδική εικόνα από μέσα: το 70% των ερωτηθέντων πιστεύει ότι οι αρχές πρέπει να εκδίδουν σαφείς αποφάσεις και να επιβάλλουν τον ΓΚΠΔ για να διασφαλίσουν τη συμμόρφωση, ενώ το 74% λέει ότι οι αρχές θα έβρισκαν «σχετικές παραβιάσεις» εάν περνούσαν την πόρτα μιας μέσης εταιρείας. Σε μια προσπάθεια να προχωρήσουν προς την «επιβολή βάσει στοιχείων», η παρούσα έρευνα δείχνει επίσης ότι οι αρχές θα πρέπει να αλλάξουν ριζικά την προσέγγισή τους στην επιβολή για να πείσουν τις επιχειρήσεις να συμμορφωθούν.
Η αυστηρή εφαρμογή του κανονισμού δεν έχει αποδώσει τα αναμενόμενα. Όταν τέθηκε σε ισχύ τον Μάιο του 2018, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) υποσχέθηκε μια μετάβαση από την τρέχουσα «ήπια» προσέγγιση στην προστασία των δεδομένων στη σοβαρή εφαρμογή του. Προκειμένου να επιτευχθεί αυτός ο στόχος, η πολιτική της ΕΕ παρείχε στις αρχές σοβαρές εξουσίες έρευνας και την επιλογή επιβολής μεγάλων προστίμων. Σύμφωνα με μια νέα έρευνα της noyb σε περισσότερους από 1.000 επαγγελματίες προστασίας δεδομένων, οι περισσότεροι συμμετέχοντες πιστεύουν ότι η εισαγωγή του GDPR έχει «βελτιώσει σημαντικά» τον τρόπο με τον οποίο οι εταιρείες χειρίζονται τα προσωπικά δεδομένα, αλλά το 74% εξακολουθεί να λέει ότι εάν οι αρχές διεξήγαγαν πράγματι μια επιτόπια έρευνα σε μια μέση εταιρεία που χειρίζεται δεδομένα χρηστών, θα έβρισκαν «σχετικές παραβιάσεις».
Max Schrems, Επίτιμος Πρόεδρος της noyb : «Είναι εξαιρετικά ανησυχητικό όταν το 74% των επαγγελματιών προστασίας δεδομένων εντός της εταιρείας λένε ότι οι αρχές θα έβρισκαν σημαντικές παραβιάσεις σε μια μέση εταιρεία. Τέτοια στοιχεία θα ήταν αδιανόητα αν επρόκειτο για θέμα συμμόρφωσης με τη φορολογική νομοθεσία ή τον κανονισμό πυρασφάλειας. Η μη συμμόρφωση φαίνεται να είναι ο κανόνας μόνο όταν πρόκειται για τα προσωπικά δεδομένα των χρηστών».
Αντικειμενικά εμπιστευτικά δεδομένα σχετικά με τη συμμόρφωση με τον GDPR. Προκειμένου να αποκτήσουμε όσο το δυνατόν περισσότερες πληροφορίες σχετικά με την πρακτική εφαρμογή του GDPR, η έρευνα της noyb περιελάμβανε 65 ερωτήσεις που κάλυπταν μια σειρά θεμάτων στον τομέα της συμμόρφωσης και της επιβολής του GDPR. Αυτό μας επέτρεψε να αποκτήσουμε αξιόπιστα και αντικειμενικά δεδομένα σχετικά με την εσωτερική δυναμική που εμποδίζει τους υπεύθυνους προστασίας δεδομένων (DPO) να εφαρμόσουν μέτρα για την ενίσχυση της συμμόρφωσης με τον GDPR, καθώς και εξωτερικούς παράγοντες που θα μπορούσαν να ωθήσουν τις εταιρείες προς μεγαλύτερη συμμόρφωση στο μέλλον. Τέτοια δεδομένα φαίνονται κρίσιμα για την εστίαση του έργου επιβολής και συμμόρφωσης σε στρατηγικές που πραγματικά λειτουργούν και υποστηρίζουν το έργο των εσωτερικών DPO.
Σε σύγκρουση με τα τμήματα μάρκετινγκ και τη διοίκηση. Οι εταιρείες συχνά λειτουργούν σε ένα αντικρουόμενο χώρο μεταξύ της επιδίωξης του κέρδους, του κόστους συμμόρφωσης των συστημάτων τους με τον GDPR και της υποχρέωσης συμμόρφωσης με τον νόμο. Η έρευνα της noyb δείχνει σαφώς ότι οι ΥΠΔ δέχονται πιέσεις να περιορίσουν τη συμμόρφωση με τον GDPR προς το συμφέρον των επιχειρήσεων: το 46% των ερωτηθέντων δήλωσε ότι οι πωλήσεις και το μάρκετινγκ τους πίεζαν ενεργά να περιορίσουν τη συμμόρφωση, ενώ το 32% ένιωθε πιεσμένο από μέλη της ανώτερης διοίκησης. Όπως ήταν αναμενόμενο, το να πειστούν αυτά τα ενδιαφερόμενα μέρη να κάνουν τις απαραίτητες αλλαγές για τη βελτίωση της συμμόρφωσης αποδεικνύεται επίσης αρκετά δύσκολο. Ένα συγκλονιστικό 56% των ερωτηθέντων δήλωσε ότι ήταν δύσκολο να πειστεί το τμήμα μάρκετινγκ, ενώ το 38,5% είχε προβλήματα με την ανώτερη διοίκηση. Το 51% δήλωσε επίσης ότι είναι δύσκολο να πειστούν προμηθευτές εκτός ΕΕ/ΕΟΧ να παρέχουν προϊόντα που συμμορφώνονται με τους κανονισμούς σε επιχειρηματικούς πελάτες της ΕΕ.
Max Schrems: «Οι ΥΠΔ υποτίθεται ότι είναι ανεξάρτητοι και διασφαλίζουν τη συμμόρφωση εντός της εταιρείας. Στην πραγματικότητα, πολλοί από αυτούς αναφέρουν πιέσεις από διάφορες πλευρές για να δοθεί προτεραιότητα στα επιχειρηματικά συμφέροντα.»
Επιβολή βάσει αποδεικτικών στοιχείων: πρόστιμα και βλάβη στη φήμη. Η σοβαρή έλλειψη σαφών μέτρων επιβολής από τις αρχές δεν βοηθά τους ΥΠΔ να κάνουν τη δουλειά τους. Σύμφωνα με τα αποτελέσματα της έρευνας, μια εταιρεία είναι πιο πιθανό να βελτιώσει τη συμμόρφωσή της όταν η ίδια - ή ακόμα και άλλες εταιρείες - αντιμετωπίζουν σημαντικά πρόστιμα. Το 67,4% των ερωτηθέντων δήλωσε ότι οι αποφάσεις των ΥΠΔ κατά της δικής τους εταιρείας που περιλαμβάνουν πρόστιμο θα επηρεάσουν τους υπεύθυνους λήψης αποφάσεων να επιλέξουν μεγαλύτερη συμμόρφωση. Είναι ενδιαφέρον ότι το 61,5% των ερωτηθέντων δήλωσε ότι ακόμη και τα πρόστιμα των ΥΠΔ κατά άλλων οργανισμών θα επηρέαζαν τη συμμόρφωση της δικής τους εταιρείας με τον ΓΚΠΔ. Αυτό το φαινόμενο («αποτροπή») είναι γνωστό και μελετημένο, αλλά δεν χρησιμοποιείται πραγματικά από τις αρχές. Το επόμενο καλύτερο εργαλείο φαίνεται να είναι η δημοσίευση αποφάσεων. Το 52% δήλωσε ότι η απώλεια φήμης μιας άλλης εταιρείας έχει ήδη θετικό αντίκτυπο στη συμμόρφωση της δικής τους εταιρείας. Ωστόσο, πολλές αρχές επί του παρόντος δεν δημοσιεύουν τις αποφάσεις τους (π.χ., Γερμανία) ή τις δημοσιεύουν μόνο επιλεκτικά.
Max Schrems: «Η συμβουλή από τους επαγγελματίες προστασίας δεδομένων εντός των εταιρειών φαίνεται να είναι: «επιβάλλετε υψηλά πρόστιμα και δημοσιοποιήστε τα». Η συνήθης προσέγγιση της εξάρτησης από «άτυπες» διαπραγματεύσεις μεταξύ αρχών και εταιρειών και μυστικές διαδικασίες φαίνεται να είναι η λιγότερο αποτελεσματική, σύμφωνα με άτομα που βρίσκονται εντός των εταιρειών.»
Οι κατευθυντήριες γραμμές του EDPB ή τα κλεισίματα υποθέσεων δεν έχουν επιρροή. Ενώ οι αρχές επενδύουν σημαντική προσπάθεια, χρόνο και πόρους στην παροχή κατευθυντήριων γραμμών στις εταιρείες, φαίνεται να αγνοούνται σε μεγάλο βαθμό από τις επιχειρήσεις. Το 46% των ερωτηθέντων δήλωσε ότι οι κατευθυντήριες γραμμές του EDPB δεν έχουν επιρροή, ενώ μόνο το 23% τις βρήκε κάπως επιδραστικές. Ομοίως, οι εμπιστευτικοί αξιολογούν τις άμεσες καταγγελίες σε εταιρείες ως όχι πολύ επιδραστικές. Αυτό έρχεται σε αντίθεση με τις καταγγελίες στις Αρχές Προστασίας Δεδομένων (DPA) και το άτυπο κλείσιμο υποθέσεων (η οποία είναι επί του παρόντος η πιο κοινή μορφή απόφασης). Παρά όλες τις ενδείξεις ότι υπάρχει επείγουσα ανάγκη για αυστηρή εφαρμογή, στην πράξη τέτοιες ενέργειες από τις Αρχές Προστασίας Δεδομένων αποτελούν την εξαίρεση. Αυτό καταδεικνύεται εύκολα από το έργο της ίδιας της noyb : Οι περισσότερες από τις 800 και πλέον υποθέσεις μας εκκρεμούν για περισσότερα από δύο χρόνια. Αλλά ακόμα κι αν επιλέξετε μόνο υποθέσεις που έχει κερδίσει η noyb , υπάρχουν μόνο λίγες αποφάσεις που περιλαμβάνουν πρόστιμο. Σε περισσότερες από 800 υποθέσεις, δεν έχουμε δει ούτε μία αρχή να διενεργεί στην πραγματικότητα επιτόπια επιθεώρηση μιας εταιρείας.
Max Schrems: «Τα τελευταία χρόνια, οι ευρωπαϊκές αρχές έχουν εκδώσει πολυάριθμες κατευθυντήριες γραμμές και έχουν συμμετάσχει σε μακροχρόνιες «άτυπες» συζητήσεις με εταιρείες και στη συνέχεια «κλείνουν» υποθέσεις χωρίς περαιτέρω ενέργειες. Κρίνοντας από τα σχόλια των υπαλλήλων συμμόρφωσης, δυστυχώς αυτή δεν είναι η καλύτερη χρήση των χρημάτων των φορολογουμένων.»
Η άποψη των εσωτερικών προσώπων εξακολουθεί να είναι πιο θετική από την εμπειρία των χρηστών. Παρόλο που η άποψη των εσωτερικών προσώπων είναι ήδη ανησυχητική, εξακολουθεί να είναι πιο αισιόδοξη από ό,τι θα επέτρεπε η μέση εμπειρία των υποκειμένων των δεδομένων. Για παράδειγμα, όταν η noyb άσκησε το δικαίωμα πρόσβασης σε προσωπικά δεδομένα, περισσότερο από το 90% των αιτημάτων δεν απαντήθηκαν πλήρως και εγκαίρως. Τα περισσότερα αιτήματα απλώς αγνοούνται. Συγκριτικά, το 59% των ερωτηθέντων πιστεύει ότι οι περισσότερες εταιρείες θα συμμορφώνονταν «ως επί το πλείστον» με τους «βασικούς κανόνες» του GDPR. Η πρακτική εμπειρία δείχνει ότι η άποψη των εξωτερικών προσώπων μπορεί να είναι ακόμη χειρότερη από την άποψη των εσωτερικών προσώπων.
Η μόνη διέξοδος: «επιβολή βάσει αποδεικτικών στοιχείων». Αν πρέπει να πιστέψουμε τους ερωτηθέντες, η μόνη ρεαλιστική λύση σε αυτό το πρόβλημα είναι σαφής: αυστηρότερη επιβολή και σαφέστερες αποφάσεις DPA και δικαστηρίων που αναγκάζουν τις εταιρείες να συμμορφωθούν με την επεξεργασία δεδομένων τους. Μια πλήρης και λεπτομερής λίστα προτεινόμενων ενεργειών μπορεί να βρεθεί στη μελέτη. Τα αποτελέσματα δείχνουν επίσης την επείγουσα ανάγκη συλλογής περαιτέρω αντικειμενικών αποδεικτικών στοιχείων για να διασφαλιστεί ότι οι αρχές (μπορούν) να συμμετάσχουν σε αποτελεσματικό έργο επιβολής, δεδομένων των περιορισμένων πόρων. Οι επαναλαμβανόμενες προσεγγίσεις που δεν λειτουργούν δεν θα οδηγήσουν σε πρακτικές αλλαγές στα τηλέφωνα και τους υπολογιστές των Ευρωπαίων. Τα δεδομένα που συλλέχθηκαν στην έρευνά μας παρέχουν ένα εξαιρετικό σημείο εκκίνησης για περαιτέρω έρευνα. Η noyb θα συμμετάσχει επίσης σε περαιτέρω έρευνα.