Siitä lähtien, kun Euroopan komissio on julkaissut digitaalista kokonaisuutta koskevan ehdotuksensa, keskustelut GDPR:n yrityksille Euroopassa aiheuttamasta työtaakasta ovat kiihtyneet. Komissio haluaa muun muassa rajoittaa tiedonsaantioikeutta, väitetysti sääntelytaakan vähentämiseksi. Mutta heijastavatko nämä muutokset todella yrityksissä työskentelevien tietosuoja-ammattilaisten tarpeita? Lue lisää, noyb toteutti kyselyn, jossa kysyttiin tietosuojavastaavilta, mitkä GDPR:n osat vievät eniten heidän aikaansa - ja mihin se on parasta käyttää ihmisten tietosuojan varmistamiseksi.
Kävi ilmi, että suurin osa ammattilaisista ei halua, että suojauksia leikataan, vaan että dokumentointivelvoitteita ja paperityötä vähennetään. Monissa tapauksissa he pyytävät jopa selkeämpiä lakeja "joustavuuden" lisäämisen sijaan, mikä on useimmille yrityksille vaikeaa.
Tulo suoraan lähteestä. Euroopan komission tärkein peruste tietosuoja-asetuksen muuttamiselle on eurooppalaisten yritysten väitetynsääntelytaakan vähentäminen. Komissioei kuitenkaan ole vähentämässä hallinnollisia toimenpiteitä, vaan se on siirtynyt suoraan lain "ydintekijöihin " . Se ehdottaa muun muassa henkilötietojen määritelmän kaventamista, tiedonsaantioikeuden rajoittamista ja tulvaporttien avaamista tekoälykoulutukselle. Tästä herää kysymys: auttaako tämä keskimääräistä EU:n yritystä? Vähentääkö se sisäisten tietosuojavastaavien ja muun compliance-henkilöstön työtaakkaa? noyb toteutti kyselytutkimuksen tietosuojavastaavien ja tietosuoja-alan ammattilaisten keskuudessa vastatakseen juuri näihin kysymyksiin - ja saadakseen tietoa niiden ihmisten tarpeista, jotka työskentelevät GDPR:n parissa joka ikinen päivä. Heidän vastauksensa osoittavat usein päinvastaiseen suuntaan kuin Euroopankomission lähestymistapa.
Max Schrems, puheenjohtaja noyb: "Tämä tutkimus osoittaa, että vaatimustenmukaisuuden parissa päivittäin työskentelevien todellisten ihmisten tarpeiden ja "Brysselin lobbaajakuplan" tyrkyttämien ongelmien välillä on valtava kuilu. Emme auta tavallista EU:n yritystoimintaa - komission ehdotus usein jopa leikkaa sitä, mitä ammattilaiset pitävät hyödyllisenä."
Rekisteröidyn oikeudet: Pieni työmäärä, suuri vaikutus. Mielenkiintoista on, että suurin osa vastaajista totesi, että rekisteröityjen oikeuksien (15-21 artikla) noudattaminen ei aiheuta paljon työtä. Merkittävintä on, että yli 70 prosenttia vastaajista sanoi, että tiedonsaantioikeus (15 artikla) aiheuttaa vain "jonkin verran", "vähän" tai ei lainkaan työtä. Samalla sitä pidetään hyödyllisenä välineenä ihmisten oikeuksien suojelussa. Tämä vastaa noybin tosielämän kokemusta: useimmat yritykset eivät juuri koskaan saa käyttöoikeuspyyntöjä (SAR), kun taas tietyt yritykset (Big Tech, datan välittäjät tai luottolaitokset) saavat yleensä paljon, mutta niillä on myös automaattisia SAR-vastauksia. Siksi on yllättävää, että Euroopan komission Digital Omnibus -ehdotuksessa ehdotetaan edelleen yleisen tietosuoja-asetuksen 15 artiklan rajoittamista, mikä vaikeuttaisi suuresti eurooppalaisten mahdollisuuksia valvoa yksityisyyden suojaa koskevia oikeuksiaan.
Ydinsäännöt: merkityksellinen työmäärä, suuret tuotot. Odotetusti yleisen tietosuoja-asetuksen 5-11 artiklan ydinsäännöt (esimerkiksi käsittelyn lainmukaisuutta koskevat periaatteet tai suostumuksen antamista koskevat ehdot) aiheuttavat merkittävän työmäärän. Vastaajat pitivät näitä sääntöjä kuitenkin myös toiseksi hyödyllisimpinä lain osatekijöinä rekisteröityjen oikeuksien suojaamisessa. Sama koskee 13 ja 14 artiklan mukaisia avoimuusvelvoitteita, joita Euroopan komissio ehdottaa myös rajoitettavaksi.
Todellinen yksinkertaistaminen: Siirry pois "yksi koko sopii kaikille" -lähestymistavasta. Vaikka tietosuoja-asetuksen "riskiperusteista lähestymistapaa " pidettiin keinona rajoittaa pienempien yritysten taakkaa "yhden koon" lailla, ammattilaiset raportoivat täysin päinvastaisesta. Käytännössä valitetaan usein, että suuret yritykset pystyvät hallitsemaan epäselviä tekstejä ja tulkinnanvaraisia "riskinarviointeja", kun taas pienemmillä rekisterinpitäjillä ei ole siihen resursseja. Vastaajat kannattavat selvästi järjestelmää, jossa on selkeät yrityskokoa koskevat raja-arvot, joiden olisi perustuttava merkityksellisiin mittareihin, kuten käyttäjämääriin - ei työntekijämääriin. Huolimatta siitä, että monet heistä edustavat suurempia yrityksiä (yli 500 työntekijää), 70 prosenttia vastaajista totesi, että suurille yrityksille tarvitaan tiukempia sääntöjä.
Max Schrems: "Monien vuosien ajan on keskusteltu GDPR:n "porrastamisesta" A-, B- tai C-luokan yrityksiin. Tällä hetkellä noybin kaltainen pieni voittoa tavoittelematon yhteisö kuuluu yleensä samojen sääntöjen piiriin kuin Google. Sen sijaan komissio haluaa lisätä lakiin joustavia 'riski'-elementtejä, mikä tarkoittaa, että useimmat yritykset tarvitsisivat lakimiehen tietääkseen, sovelletaanko jotakin artiklaa niihin."
Vähemmän "riski", enemmän selkeyttä valkoisten ja mustien listojen avulla. 83.osallistujista 3 prosenttia ilmoitti kannattavansa valkoista listaa käsittelytoimia varten ja 91,1 prosenttia mustaa listaa käsittelytoimia varten. Suuri enemmistö on sitä mieltä, että tällaiset luettelot säästäisivät yrityksiltä "paljon työtä" ja lisäisivät oikeusvarmuutta. Yllättävää kyllä, rekisterinpitäjien palveluksessa työskentelevät tietosuoja-alan ammattilaiset eivät ole sitä mieltä, että "musta lista" (tekoälylain 5 artiklan kaltainen) rajoittaisi rekisterinpitäjiä liikaa. Vaikuttaa siltä, että oikeusvarmuus on parempi kuin joustavat lait.
Vähennetään B2B-vaatimusten noudattamisesta aiheutuvia kustannuksia: Yllättävää kyllä, tietosuoja-asetus aiheuttaa paljon vaatimusten noudattamisesta aiheutuvia kustannuksia sellaisten yritysten välillä ("B2B"), jotka eivät ole käyttäjäkohtaisia. Yritysten välillä laaditaan ja hallinnoidaan miljoonia sopimuksia. Pelkästään se, että lakia sovelletaan suoraan Cloud Hyperscalersin kaltaisiin palveluntarjoajiin, voisi vähentää miljoonia työtunteja - ja parantaa yksityisyyden suojaa. Tietosuojavastaavat tukisivat tällaista yksinkertaistamista.
Max Schrems: "Omnibus ei ole väärässä suunnassa vain käyttäjien, vaan myös useimpien yritysten kannalta. Ehdotus on monella tapaa "löysä ja löysä"."
Laajemman keskustelun alku. Tässä tutkimuksessa esiin tuodut seikat ovat vasta alkua laajemmalle keskustelulle, jonka digitaalista omnibusta koskeva ehdotus on herättänyt. Uskomme kuitenkin, että näyttöön perustuvat muutokset tietosuoja-asetukseen voisivat hyödyttää kaikkia: rekisterinpitäjiä, henkilötietojen käsittelijöitä, rekisteröityjä ja viranomaisia. Toivomme, että nämä ensimmäiset tulokset voivat ohjata meitä kohti hyödyllisiä ratkaisuja todellisiin ongelmiin sen sijaan, että jahtaamme iskusanoja.
