Amikor a GDPR 2018-ban hatályba lépett, az új és fényes adatvédelmi törvényt a szigorúbb végrehajtás irányába történő elmozdulásként üdvözölték - biztosítva, hogy az EU-ban az adatvédelemhez való alapvető jog ne csak papíron létezzen. Az idei adatvédelmi nap alkalmából január 28-án, noyb felmérést végzett több mint 1000 európai vállalatnál dolgozó adatvédelmi szakember körében. Ez egyedülálló belső nézőpontot nyújtott: a válaszadók 70%-a úgy véli, hogy a hatóságoknak egyértelmű határozatokat kell kiadniuk és érvényre juttatniuk a GDPR-t a megfelelés biztosítása érdekében, míg 74% szerint a hatóságok "releváns jogsértéseket" találnának, ha besétálnának egy átlagos vállalat ajtaján. A "bizonyítékokon alapuló végrehajtás" irányába való elmozdulás érdekében ez a kutatás azt is mutatja, hogy a hatóságoknak alapvetően meg kellene változtatniuk a végrehajtáshoz való hozzáállásukat ahhoz, hogy rávegyék a vállalkozásokat a megfelelésre.
A komoly jogérvényesítés nem hozta meg az ígéreteket. Amikor 2018 májusában hatályba lépett, az általános adatvédelmi rendelet (GDPR) azt ígérte, hogy az adatvédelem jelenlegi "puha" megközelítéséről a komoly végrehajtás felé mozdul el. E cél elérése érdekében az uniós politika komoly vizsgálati hatáskörökkel és nagy összegű bírságok kiszabásának lehetőségével ruházta fel a hatóságokat. Egy új noyb több mint 1000 adatvédelmi szakember körében végzett felmérés szerint a résztvevők többsége úgy véli, hogy a GDPR bevezetése "jelentősen javította" a vállalatok személyes adatok kezelésének módját, de 74%-uk még mindig úgy véli, hogy ha a hatóságok ténylegesen helyszíni vizsgálatot tartanának egy átlagos, felhasználói adatokat kezelő vállalatnál, akkor "releváns jogsértéseket" találnának.
Max Schrems, a noyb: "Rendkívül riasztó, amikor a vállalati belső adatvédelmi szakemberek 74%-a azt állítja, hogy a hatóságok egy átlagos vállalatnál jelentős jogsértéseket találnának. Ilyen számok elképzelhetetlenek lennének, ha az adótörvények vagy a tűzvédelmi előírások betartásáról lenne szó. Úgy tűnik, hogy a szabályok be nem tartása csak a felhasználók személyes adatai esetében a norma."
Objektív bennfentes adatok a GDPR-megfelelésről. Annak érdekében, hogy minél több betekintést nyerjünk a GDPR gyakorlati alkalmazásába, noybfelmérése 65 kérdést tartalmazott, amelyek a GDPR-megfelelés és -érvényesítés területének számos témakörét érintették. Ez lehetővé tette számunkra, hogy megbízható és objektív adatokat szerezzünk azokról a belső dinamikákról, amelyek megakadályozzák az adatvédelmi tisztviselőket (DPO-k) abban, hogy a GDPR-megfelelőséget erősítő intézkedéseket hajtsanak végre, valamint azokról a külső tényezőkről, amelyek a jövőben a vállalatokat a nagyobb megfelelés felé terelhetik. Az ilyen adatok kulcsfontosságúnak tűnnek ahhoz, hogy a végrehajtási és megfelelési munkát a ténylegesen működő stratégiákra összpontosíthassuk, és támogassuk a belső adatvédelmi tisztviselők munkáját.
A marketingosztályokkal és a menedzsmenttel való konfliktusban. A vállalatok gyakran a nyereségre való törekvés, a rendszereik GDPR-konformá tételének költségei és a jogszabályi megfelelési kötelezettség közötti ellentmondásos térben működnek. noybfelméréséből egyértelműen kiderül, hogy az adatvédelmi tisztviselőkre nyomás nehezedik, hogy az üzleti érdekek miatt korlátozzák a GDPR-nak való megfelelést: a válaszadók 46%-a mondta, hogy az értékesítés és a marketing aktívan nyomást gyakorol rájuk a megfelelés korlátozására, míg 32%-uk a felsővezetés tagjai részéről érzett nyomást. Nem meglepő, hogy ezeket az érdekelt feleket is meglehetősen nehéz meggyőzni arról, hogy hajtsák végre a megfelelőség javításához szükséges változtatásokat. A válaszadók megdöbbentő 56%-a mondta, hogy nehéz meggyőzni a marketingosztályt, míg 38,5%-nak a felső vezetéssel volt problémája. 51%-uk azt is elmondta, hogy nehéz meggyőzni a nem EU/EGT-beli beszállítókat arról, hogy az uniós üzleti ügyfeleknek megfelelő termékeket szállítsanak.
Max Schrems: "Az adatvédelmi tisztviselőknek függetleneknek kellene lenniük, és a vállalaton belülről kellene biztosítaniuk a megfelelőséget." A valóságban sokan közülük arról számolnak be, hogy különböző oldalról nyomás nehezedik rájuk, hogy az üzleti érdekeket helyezzék előtérbe."
Ebizonyítékalapú végrehajtás: bírságok és hírnévkárosodás. A hatóságok egyértelmű végrehajtási intézkedéseinek súlyos hiánya nem segíti az adatvédelmi tisztviselőket munkájuk elvégzésében. A felmérés eredményei szerint egy vállalat akkor javítja leginkább a megfelelőségét, ha - akár más vállalatokkal együtt - jelentős bírságokkal kell szembenéznie. 67.a válaszadók 4%-a mondta azt, hogy a saját vállalatukkal szemben hozott, bírsággal járó adatvédelmi hatósági határozatok befolyásolják a döntéshozókat abban, hogy a nagyobb megfelelés mellett döntsenek. Érdekes módon a válaszadók 61,5%-a mondta azt, hogy még a más szervezetekkel szemben kiszabott DPA-bírságok is befolyásolnák a saját vállalatuk GDPR-megfelelését. Ez a hatás ("elrettentés") jól ismert és tanulmányozott, de a hatóságok nem igazán használják ki. A következő legjobb eszköznek a határozatok közzététele tűnik. 52% mondta, hogy egy másik vállalat hírnevének elvesztése már most is pozitív hatással van a saját vállalatuk megfelelésére. Sok hatóság azonban jelenleg nem teszi közzé a határozatait (pl. Németország), vagy csak szelektíven.
Max Schrems: "Úgy tűnik, hogy a vállalatok adatvédelmi szakemberei azt tanácsolják: "szabj ki magas bírságokat és hozd nyilvánosságra". Az általános megközelítés, miszerint a hatóságok és a vállalatok közötti "informális" tárgyalásokra és titkos eljárásokra támaszkodnak, a vállalati bennfentesek szerint a legkevésbé tűnik hatékonynak"."
Az EDPB iránymutatásai vagy az ügyek lezárása nem befolyásoló tényezők. Bár a hatóságok jelentős erőfeszítéseket, időt és erőforrásokat fektetnek abba, hogy iránymutatásokat adjanak a vállalatoknak, úgy tűnik, hogy a vállalkozások ezeket nagyrészt figyelmen kívül hagyják. a válaszadók 46%-a szerint az EDPB iránymutatásai nem befolyásolják az ügyeket, és csak 23%-uk találta őket valamelyest befolyásolónak. Hasonlóképpen, a bennfentesek a vállalatokkal szembeni közvetlen panaszokat nem tartják nagyon befolyásolónak. Ez ellentétben áll az adatvédelmi hatósághoz benyújtott panaszokkal és az ügyek informális lezárásával (amely jelenleg a leggyakoribb döntési forma). Annak ellenére, hogy minden jel arra utal, hogy sürgősen szükség van a szigorú jogérvényesítésre, a gyakorlatban az adatvédelmi hatóságok ilyen jellegű intézkedései a kivételek közé tartoznak. Ez könnyen szemléltethető a következőkkel noybsaját munkájából: A legtöbb több mint 800 ügyünk több mint két éve függőben van. De még akkor is, ha csak azokat az ügyeket választjuk ki, amelyek noyb nyert, csak egy maroknyi olyan határozat van, amely pénzbírságot tartalmaz. A több mint 800 ügy során egyetlen hatóságot sem láttunk, amely ténylegesen helyszíni ellenőrzést végzett volna egy vállalatnál.
Max Schrems: "Az elmúlt években az európai hatóságok számos iránymutatást készítettek, és hosszas "informális" megbeszéléseket folytattak a vállalatokkal, majd az ügyeket további intézkedés nélkül "lezárták". A megfelelésért felelős tisztviselők visszajelzéseiből ítélve ez sajnos nem a legjobb módja az adófizetők pénzének felhasználására."
A bennfentesek véleménye még mindig pozitívabb, mint a felhasználók tapasztalatai. Bár a bennfentesek véleménye már riasztó, még mindig optimistább, mint amit az érintettek átlagos tapasztalatai megengednének. Például amikor noyb élt a személyes adatokhoz való hozzáférés jogával, a kérelmek több mint 90%-át nem teljes mértékben és időben válaszolták meg. A legtöbb kérelmet egyszerűen figyelmen kívül hagyják. Ehhez képest a válaszadók 59%-a úgy véli, hogy a legtöbb vállalat "többnyire" betartja a GDPR "alapvető szabályait". A gyakorlati tapasztalatok azt mutatják, hogy a kívülállók véleménye még rosszabb lehet, mint a bennfenteseké.
Az egyetlen kiút: a "bizonyítékokon alapuló végrehajtás". Ha hihetünk a válaszadóknak, akkor az egyetlen reális megoldás erre a problémára egyértelmű: szigorúbb végrehajtás és egyértelműbb adatvédelmi hatósági és bírósági határozatok, amelyek rákényszerítik a vállalatokat, hogy összhangba hozzák az adatfeldolgozásukat. A javasolt intézkedések teljes és részletes listája megtalálható a tanulmányban. Az eredményekből az is kiderül, hogy sürgősen további objektív bizonyítékokat kell gyűjteni annak biztosítása érdekében, hogy a hatóságok a korlátozott erőforrások mellett hatékony végrehajtási munkát végezzenek (tudjanak). A nem működő megközelítések megismétlése nem fog gyakorlati változásokat eredményezni az európaiak telefonjain és számítógépein. A felmérésünkben gyűjtött adatok kiváló kiindulópontot nyújtanak a további kutatásokhoz. noyb is részt fog venni a további kutatásokban.
