Kun yleinen tietosuoja-asetus tuli voimaan vuonna 2018, uutta ja kiiltävää tietosuojalainsäädäntöä kehuttiin siirtymäksi kohti tiukempaa täytäntöönpanoa - ja sen varmistamista, että EU:ssa tietosuojaa koskeva perusoikeus ei ole olemassa vain paperilla. Tämän vuoden tietosuojapäivän kunniaksi 28. tammikuuta, noyb toteutti kyselyn, johon osallistui yli 1000 eurooppalaisissa yrityksissä työskentelevää tietosuoja-alan ammattilaista. Tämä antoi ainutlaatuisen näkemyksen sisältäpäin: 70 prosenttia vastaajista uskoo, että viranomaisten on annettava selkeitä päätöksiä ja valvottava tietosuoja-asetuksen noudattamista sen varmistamiseksi, että asetusta noudatetaan, ja 74 prosenttia vastaajista sanoo, että viranomaiset löytäisivät "merkityksellisiä rikkomuksia", jos he kävelisivät keskivertoyrityksen ovesta sisään. Tutkimus osoittaa myös, että viranomaisten olisi muutettava perusteellisesti lähestymistapaansa täytäntöönpanoon, jotta yritykset saataisiin noudattamaan tietosuoja-asetusta, jotta ne pyrkisivät siirtymään "näyttöön perustuvaan täytäntöönpanoon".
Vakava täytäntöönpano ei ole tuottanut lupauksiaan. Kun yleinen tietosuoja-asetus (GDPR) tuli voimaan toukokuussa 2018, siinä luvattiin siirtyä nykyisestä "pehmeästä" lähestymistavasta tietosuojaan vakavaan täytäntöönpanoon. Tämän tavoitteen saavuttamiseksi EU:n politiikka antoi viranomaisille vakavat tutkintavaltuudet ja mahdollisuuden määrätä suuria sakkoja. Uuden noyb yli 1 000 tietosuoja-alan ammattilaisen keskuudessa tehdyn uuden tutkimuksen mukaan suurin osa osallistujista uskoo, että tietosuoja-asetuksen käyttöönotto on "parantanut merkittävästi" tapaa, jolla yritykset käsittelevät henkilötietoja, mutta 74 prosenttia vastaajista on edelleen sitä mieltä, että jos viranomaiset tekisivät paikan päällä tutkimuksen keskivertoyrityksessä, joka käsittelee käyttäjätietoja, he löytäisivät "merkittäviä rikkomuksia".
Max Schrems, puheenjohtaja Max Schrems noyb: "On erittäin hälyttävää, että 74 prosenttia yritysten sisäisen tietosuojan ammattilaisista sanoo, että viranomaiset löytäisivät merkittäviä rikkomuksia keskivertoyrityksessä. Tällaiset luvut olisivat käsittämättömiä, jos kyse olisi verolainsäädännön tai paloturvallisuusmääräysten noudattamisesta. Vaatimusten noudattamatta jättäminen näyttää olevan normi vain silloin, kun kyse on käyttäjien henkilötiedoista."
Objektiivista sisäpiiritietoa GDPR:n noudattamisesta. Jotta GDPR:n käytännön soveltamisesta saataisiin mahdollisimman paljon tietoa, noyb'n kysely sisälsi 65 kysymystä, jotka kattoivat erilaisia aiheita GDPR:n noudattamisen ja täytäntöönpanon alalla. Näin saimme luotettavaa ja objektiivista tietoa sisäisestä dynamiikasta, joka estää tietosuojavastaavia toteuttamasta toimenpiteitä GDPR:n noudattamisen vahvistamiseksi, sekä ulkoisista tekijöistä, jotka voivat saada yritykset noudattamaan GDPR:ää paremmin tulevaisuudessa. Tällaiset tiedot vaikuttavat ratkaisevan tärkeiltä, jotta täytäntöönpano- ja vaatimustenmukaisuustyö voidaan keskittää strategioihin, jotka todella toimivat ja tukevat sisäisten tietosuojavastaavien työtä.
Ristiriidassa markkinointiosastojen ja johdon kanssa. Yritykset toimivat usein ristiriidassa voiton tavoittelun, järjestelmiensä GDPR-yhteensopivaksi tekemisestä aiheutuvien kustannusten ja lain noudattamisvelvoitteen välillä. noybtutkimus osoittaa selvästi, että tietosuojavastaaviin kohdistuu paineita rajoittaa GDPR:n noudattamista liiketoiminnan edun vuoksi: vastaajista 46 prosenttia ilmoitti, että myynti ja markkinointi painostavat heitä aktiivisesti rajoittamaan vaatimustenmukaisuutta, ja 32 prosenttia vastaajista koki, että ylempi johto painostaa heitä. Ei ole yllättävää, että näiden sidosryhmien vakuuttaminen tarvittavista muutoksista vaatimustenmukaisuuden parantamiseksi on myös melko vaikeaa. Järkyttävät 56 prosenttia vastaajista sanoi, että markkinointiosaston vakuuttaminen oli vaikeaa, ja 38,5 prosentilla oli ongelmia ylimmän johdon kanssa. lisäksi 51 prosenttia ilmoitti, että EU:n ja ETA:n ulkopuolisten maiden toimittajia on vaikea saada toimittamaan vaatimustenmukaisia tuotteita EU:n yritysasiakkaille.
Max Schrems: "Tietosuojavastaavien on tarkoitus olla riippumattomia ja varmistaa vaatimustenmukaisuus yrityksen sisältä käsin." Todellisuudessa monet heistä raportoivat, että heitä painostetaan eri tahoilta asettamaan liiketoiminnan edut etusijalle."
Etodisteisiin perustuva täytäntöönpano: sakot ja mainehaitat. Viranomaisten toteuttamien selkeiden täytäntöönpanotoimien vakava puute ei auta tietosuojavastaavia tekemään työtään. Tutkimustulosten mukaan yritys parantaa vaatimustenmukaisuuttaan todennäköisimmin silloin, kun se - tai jopa muut yritykset - joutuvat maksamaan huomattavia sakkoja. 67.neljä prosenttia vastaajista sanoi, että heidän omaa yritystään vastaan tehdyt tietosuojaviranomaisen päätökset, joihin sisältyy sakko, vaikuttavat päättäjiin, jotta he päättäisivät noudattaa sääntöjä paremmin. Mielenkiintoista on, että 61,5 prosenttia vastaajista sanoi, että jopa muille organisaatioille langetetut tietosuojaviranomaisen sakot vaikuttaisivat heidän oman yrityksensä GDPR-vaatimustenmukaisuuteen. Tämä vaikutus ("pelotevaikutus") on hyvin tunnettu ja tutkittu, mutta viranomaiset eivät ole käyttäneet sitä. Seuraavaksi paras väline näyttää olevan päätösten julkaiseminen. 52 prosenttia vastaajista sanoi, että toisen yrityksen maineen menetyksellä on jo myönteinen vaikutus heidän oman yrityksensä vaatimustenmukaisuuteen. Monet viranomaiset eivät kuitenkaan tällä hetkellä julkaise päätöksiään (esim. Saksa) tai julkaisevat niitä vain valikoivasti.
Max Schrems: "Yritysten tietosuoja-asiantuntijoiden neuvo näyttää olevan: 'määrää korkeat sakot ja julkaise ne'. Yleinen lähestymistapa, jossa luotetaan viranomaisten ja yritysten välisiin "epävirallisiin" neuvotteluihin ja salaisiin menettelyihin, näyttää yritysten sisäpiiriläisten mukaan olevan vähiten tehokas."
Tietosuojaneuvoston suuntaviivat tai tapausten lopettamiset eivät vaikuta. Vaikka viranomaiset panostavat paljon vaivaa, aikaa ja resursseja ohjeiden antamiseen yrityksille, yritykset näyttävät jättävän ne suurelta osin huomiotta. vastaajista 46 prosenttia sanoi, että EDPB:n ohjeilla ei ole vaikutusta, ja vain 23 prosenttia piti niitä jokseenkin vaikuttavina. Vastaavasti sisäpiiriläiset arvioivat, että suorat valitukset yrityksille eivät vaikuta kovinkaan paljon. Tämä on ristiriidassa tietosuojaviranomaisille tehtyjen kantelujen ja tapausten epävirallisen päättämisen (tällä hetkellä yleisin päätöksentekomuoto) kanssa. Vaikka kaikki viittaa siihen, että tiukkaa valvontaa tarvitaan kiireellisesti, käytännössä tietosuojaviranomaisten toimet ovat poikkeus. Tämä on helppo havainnollistaa seuraavilla esimerkkeillä noybomaa työtä: Suurin osa yli 800 tapauksesta on ollut vireillä yli kaksi vuotta. Mutta vaikka poimittaisiin vain tapaukset, jotka noyb on voittanut, on vain kourallinen päätöksiä, joihin sisältyy sakko. Yli 800 tapauksen aikana emme ole nähneet yhdenkään viranomaisen tekevän tarkastusta yrityksessä paikan päällä.
Max Schrems: "Viime vuosina Euroopan viranomaiset ovat laatineet lukuisia suuntaviivoja ja käyneet pitkiä 'epävirallisia' keskusteluja yritysten kanssa ja sitten 'lopettaneet' tapaukset ilman jatkotoimia. Sääntöjen noudattamisesta vastaavien virkamiesten palautteen perusteella tämä ei valitettavasti ole veronmaksajien rahojen parasta mahdollista käyttöä."
Sisäpiiriläisten näkemys edelleen myönteisempi kuin käyttäjien kokemus. Vaikka sisäpiirin näkemys on jo hälyttävä, se on edelleen optimistisempi kuin rekisteröityjen keskimääräinen kokemus antaisi myöten. Esimerkiksi kun noyb käytti oikeuttaan tutustua henkilötietoihin, yli 90 prosenttiin pyynnöistä ei vastattu täysin ajoissa. Useimmat pyynnöt yksinkertaisesti jätetään huomiotta. Vertailun vuoksi 59 prosenttia vastaajista uskoo, että useimmat yritykset noudattaisivat "enimmäkseen" GDPR:n "ydinsääntöjä". Käytännön kokemukset viittaavat siihen, että ulkopuolisten näkemys voi olla jopa huonompi kuin sisäpiirin näkemys.
Ainoa tie ulos: "näyttöön perustuva täytäntöönpano". Jos vastaajia on uskominen, ainoa realistinen ratkaisu tähän ongelmaan on selvä: tiukempi täytäntöönpano ja selkeämmät tietosuojaviranomais- ja tuomioistuinpäätökset, jotka pakottavat yritykset saattamaan tietojenkäsittelynsä vaatimusten mukaiseksi. Täydellinen ja yksityiskohtainen luettelo ehdotetuista toimista löytyy tutkimuksesta. Tulokset osoittavat myös, että on kiireellisesti kerättävä lisää objektiivista näyttöä, jotta voidaan varmistaa, että viranomaiset (voivat) ryhtyä tehokkaaseen täytäntöönpanotyöhön rajallisten resurssien puitteissa. Toimimattomien lähestymistapojen toistaminen ei johda käytännön muutoksiin eurooppalaisten puhelimissa ja tietokoneissa. Tutkimuksessamme kerätyt tiedot tarjoavat erinomaisen lähtökohdan jatkotutkimuksille. noyb osallistuu myös jatkotutkimukseen.
