Amióta az Európai Bizottság közzétette a digitális omnibusz-javaslatát, felerősödtek a viták arról, hogy a GDPR milyen munkaterhet ró az európai vállalkozásokra. A Bizottság többek között korlátozni kívánja a hozzáférési jogot, állítólag a szabályozási terhek csökkentése érdekében. De vajon ezek a változások valóban tükrözik-e a vállalatoknál dolgozó adatvédelmi szakemberek igényeit? Ha többet szeretne megtudni, noyb felmérést végzett az adatvédelmi tisztviselők (DPO-k) megkérdezésével, hogy a GDPR mely elemei veszik el a legtöbb idejüket - és hol lehet a legjobban felhasználni azt az emberek adatvédelmének biztosítása érdekében.
Kiderült, hogy a legtöbb szakember nem a védelem visszaszorítását, hanem a dokumentációs feladatok és a papírmunka csökkentését szeretné. Sok esetben még világosabb törvényeket is kérnek a több "rugalmasság" helyett, ami a legtöbb vállalat számára nehezen kezelhető.
Bemenet egyenesen a forrásból. Az Európai Bizottság fő érve a GDPR módosítása mellett az európai vállalatok állítólagos "szabályozási terheinek" csökkentése. A Bizottság azonbannem az adminisztratív lépéseketcsökkenti, hanem a törvény "központi" elemeit vette célba . Többek között javasolják a személyes adatok fogalmának szűkítését, a hozzáférési jog korlátozását és a mesterséges intelligencia-képzésre vonatkozó kapuk megnyitását. Felmerül a kérdés: segít ez az átlagos uniós vállalatnak? Csökkenti majd a belső adatvédelmi tisztviselők (DPO-k) és más megfelelőségi munkatársak munkaterhét? A noyb felmérést végzett az adatvédelmi tisztviselők és adatvédelmi szakemberek körében, hogy pontosan ezekre a kérdésekre válaszoljon - és megismerje a GDPR-ral nap mint nap dolgozó emberek igényeit. Válaszaik gyakran az Európai Bizottságmegközelítésével ellentétes irányba mutatnak.
Max Schrems, a noyb: "Ez a tanulmány óriási szakadékot mutat a megfelelésen nap mint nap dolgozó valódi emberek igényei és a "brüsszeli lobbibuborék" által erőltetett problémák között. Itt nem a normális uniós vállalkozásoknak segítünk - a Bizottság javaslata gyakran még azt is megnyirbálja, amit a szakemberek hasznosnak tartanak."
Az érintettek jogai: Alacsony munkaterhelés, nagy hatás. Érdekes módon a válaszadók többsége szerint az érintettek jogainak (15-21. cikk) való megfelelés nem okoz sok munkát. A legjelentősebb, hogy több mint 70% mondta azt, hogy a hozzáférési jog (15. cikk) csak "némi", "kevés" vagy egyáltalán nem okoz munkát. Ugyanakkor hasznos eszköznek tekintik az emberek jogainak védelmében. Ez megegyezik a noyb valós életbeli tapasztalataival: a legtöbb vállalat alig kap hozzáférési kérelmet (SAR), míg bizonyos vállalatok (Big Tech, adatközvetítők vagy hitelügynökségek) általában sokat kapnak, de vannak automatizált SAR-válaszaik is. Ezért meglepő, hogy az Európai Bizottság digitális omnibuszjavaslata még mindig a GDPR 15. cikkének korlátozását javasolja, ami nagyon megnehezítené az európaiak számára az adatvédelmi jogok érvényesítését.
Alapvető szabályok: releváns munkaterhelés, nagy megtérülés. A várakozásoknak megfelelően a GDPR 5-11. cikke szerinti alapvető szabályok (pl. az adatkezelés jogszerűségére vagy a hozzájárulás feltételeire vonatkozó elvek) jelentős munkaterhet jelentenek. A válaszadók ugyanakkor ezeket a szabályokat a jogszabály második leghasznosabb elemeként sorolták be az érintettek jogainak védelme szempontjából. Ugyanez vonatkozik a 13. és 14. cikk szerinti átláthatósági kötelezettségekre is, amelyek korlátozását az Európai Bizottság is javasolja.
Valódi egyszerűsítés: Távolodjunk el az "egy méret mindenre jó" megközelítéstől. Míg a GDPR "kockázatalapú megközelítését " úgy tekintették, mint egy "egy méretre szab ott" törvényben a kisebb vállalatok terheinek korlátozását, a szakemberek ennek épp az ellenkezőjéről számolnak be. A gyakorlatban gyakori panasz, hogy a nagyvállalatok képesek kezelni a nem egyértelmű szövegeket és az értelmezésre nyitott "kockázat" értékeléseket, míg a kisebb adatkezelőknek nincsenek meg az ehhez szükséges erőforrásaik. A válaszadók egyértelműen a vállalati méretre vonatkozó egyértelmű küszöbértékeket tartalmazó rendszert támogatják, amelynek olyan releváns mérőszámokon kellene alapulnia, mint a felhasználók száma - nem pedig az alkalmazottak száma. Annak ellenére, hogy sokan közülük nagyobb vállalatokat képviselnek (500+ alkalmazott), a válaszadók 70%-a szerint a nagyvállalatokra szigorúbb szabályokra van szükség.
Max Schrems: "Sok éve folyik a vita a GDPR "osztályozásáról", az A, B vagy C osztályú vállalatokkal. Jelenleg egy olyan apró nonprofit szervezet, mint a noyb, általában ugyanolyan szabályok alá tartozik, mint a Google. Ehelyett a Bizottság rugalmas "kockázati" elemeket akar a jogszabályba illeszteni, ami azt jelenti, hogy a legtöbb vállalatnak ügyvédre lenne szüksége ahhoz, hogy tudja, hogy egy cikk vonatkozik-e rá."
Kevesebb "kockázat", több egyértelműség a fehér- és feketelistákon keresztül. 83.a résztvevők 3%-a mondta azt, hogy a feldolgozási tevékenységek esetében a fehérlistát, 91,1%-a pedig a feketelistát részesíti előnyben. A nagy többség úgy véli, hogy az ilyen listák "sok munkát" spórolnának meg a vállalatoknak, és nagyobb jogbiztonságot teremtenének. Meglepő módon az adatkezelőknek dolgozó adatvédelmi szakemberek nem érzik úgy, hogy egy (a mesterséges intelligenciáról szóló törvény 5. cikkéhez hasonló) "feketelista" túlságosan korlátozná az adatkezelőket. Úgy tűnik, hogy a jogbiztonságot előnyben részesítik a rugalmas jogszabályokkal szemben.
A B2B megfelelési költségek csökkentése: Meglepő módon a GDPR nagymértékű megfelelési költséget generál anem felhasználóbarát vállalkozások ("B2B") között.A vállalkozások között több millió szerződést készítenek és kezelnek. Ha a törvény közvetlenül a szolgáltatókra, például a Cloud Hyperscalersre is vonatkozna, több millió munkaórát lehetne csökkenteni - és ténylegesen javíthatná az adatvédelem védelmét. Az adatvédelmi tisztviselők nagyon is támogatnák ezt az egyszerűsítést.
Max Schrems: "Az Omnibusz nem csak a felhasználók, hanem a legtöbb vállalkozás számára is rossz úton halad. Sok tekintetben egy "laza-laza" javaslatról van szó."
Egy szélesebb körű vita kezdete. A felmérésben felvetett kérdések csak a kezdetét jelentik egy szélesebb körű vitának, amelyet a digitális omnibuszjavaslat indított el. Úgy véljük azonban, hogy a GDPR tényeken alapuló módosításai mindenki számára előnyösek lehetnek: adatkezelők, adatfeldolgozók, érintettek és hatóságok számára. Reméljük, hogy ezek az első eredmények a tényleges problémákra vonatkozó hasznos megoldások felé terelhetnek bennünket, ahelyett, hogy a divatos szavakat kergetnénk.
