Kiedy RODO weszło w życie w 2018 r., nowe i błyszczące prawo o ochronie danych zostało okrzyknięte zmianą w kierunku bardziej rygorystycznego egzekwowania - zapewniając, że w UE podstawowe prawo do ochrony danych istnieje nie tylko na papierze. Aby uczcić tegoroczny Dzień Ochrony Danych przypadający na 28 stycznia, noyb przeprowadził ankietę wśród ponad 1000 specjalistów ds. ochrony danych pracujących w europejskich przedsiębiorstwach. Zapewniło to unikalny widok od wewnątrz: 70% respondentów uważa, że władze muszą wydawać jasne decyzje i egzekwować GDPR, aby zapewnić zgodność, podczas gdy 74% twierdzi, że władze znalazłyby "istotne naruszenia", gdyby przeszły przez drzwi przeciętnej firmy. Próbując przejść w kierunku "egzekwowania opartego na dowodach", badanie to pokazuje również, że władze musiałyby zasadniczo zmienić swoje podejście do egzekwowania prawa, aby skłonić firmy do przestrzegania przepisów.
Poważne egzekwowanie przepisów nie przyniosło obiecanych rezultatów. Wchodząc w życie w maju 2018 r., ogólne rozporządzenie o ochronie danych (RODO) obiecywało przejście od obecnego "miękkiego" podejścia do ochrony danych do poważnego egzekwowania prawa. Aby osiągnąć ten cel, polityka UE zapewniła władzom poważne uprawnienia dochodzeniowe i możliwość nakładania wysokich grzywien. Według nowego noyb przeprowadzonego wśród ponad 1000 specjalistów ds. ochrony danych, większość uczestników uważa, że wprowadzenie RODO "znacznie poprawiło" sposób, w jaki firmy przetwarzają dane osobowe, ale 74% nadal twierdzi, że gdyby władze faktycznie przeprowadziły dochodzenie na miejscu w przeciętnej firmie przetwarzającej dane użytkowników, znalazłyby "istotne naruszenia".
Max Schrems, honorowy przewodniczący noyb: "Jest to niezwykle niepokojące, gdy 74% specjalistów ds. wewnętrznej ochrony danych w firmie twierdzi, że władze znalazłyby istotne naruszenia w przeciętnej firmie. Takie liczby byłyby niewyobrażalne, gdyby chodziło o przestrzeganie prawa podatkowego lub przepisów przeciwpożarowych. Brak zgodności wydaje się być normą tylko w przypadku danych osobowych użytkowników"
Obiektywne dane wewnętrzne dotyczące zgodności z RODO. W celu uzyskania jak największego wglądu w praktyczne zastosowanie RODO, noybzawierała 65 pytań obejmujących szereg tematów z zakresu zgodności i egzekwowania RODO. Pozwoliło nam to uzyskać wiarygodne i obiektywne dane na temat wewnętrznej dynamiki, która uniemożliwia inspektorom ochrony danych (DPO) wdrażanie środków mających na celu wzmocnienie zgodności z GDPR, a także czynników zewnętrznych, które mogą popchnąć firmy w kierunku większej zgodności w przyszłości. Takie dane wydają się kluczowe dla skoncentrowania działań w zakresie egzekwowania i zgodności na strategiach, które faktycznie działają i wspierają pracę wewnętrznych inspektorów ochrony danych.
W konflikcie z działami marketingu i kierownictwem. Firmy często działają w przestrzeni konfliktu między dążeniem do zysku, kosztami zapewnienia zgodności ich systemów z RODO a obowiązkiem przestrzegania prawa. badanie noybwyraźnie pokazuje, że inspektorzy ochrony danych są pod presją, aby ograniczyć zgodność z RODO w interesie biznesu: 46% respondentów stwierdziło, że sprzedaż i marketing aktywnie naciskały na nich, aby ograniczyli zgodność, podczas gdy 32% odczuwało presję ze strony członków kierownictwa wyższego szczebla. Nic dziwnego, że przekonanie tych interesariuszy do wprowadzenia niezbędnych zmian w celu poprawy zgodności również okazuje się dość trudne. Szokujące 56% respondentów stwierdziło, że trudno było przekonać dział marketingu, podczas gdy 38,5% miało problemy z kierownictwem wyższego szczebla. 51% respondentów stwierdziło również, że trudno jest przekonać dostawców spoza UE/EOG do dostarczania zgodnych z przepisami produktów klientom biznesowym z UE.
Max Schrems: "Inspektorzy ochrony danych powinni być niezależni i zapewniać zgodność z przepisami od wewnątrz firmy.W rzeczywistości wielu z nich zgłasza naciski z różnych stron, aby nadać priorytet interesom biznesowym"
Eezpieczeństwo oparte na dowodach: grzywny i uszczerbek na reputacji. Poważny brak wyraźnych działań egzekucyjnych ze strony władz nie pomaga inspektorom ochrony danych w wykonywaniu ich pracy. Zgodnie z wynikami ankiety, firma najprawdopodobniej poprawi swoją zgodność z przepisami, gdy ona sama - lub nawet inne firmy - zostaną ukarane znacznymi grzywnami. 67.4% respondentów stwierdziło, że decyzje DPA przeciwko ich własnej firmie, które obejmują grzywnę, wpłyną na decydentów, aby zdecydowali się na większą zgodność. Co ciekawe, 61,5% respondentów stwierdziło, że nawet grzywny nałożone przez DPA na inne organizacje wpłynęłyby na zgodność ich własnej firmy z RODO. Efekt ten ("odstraszanie") jest dobrze znany i zbadany, ale tak naprawdę nie jest wykorzystywany przez władze. Kolejnym najlepszym narzędziem wydaje się być publikacja decyzji. 52% respondentów stwierdziło, że utrata reputacji przez inną firmę ma już pozytywny wpływ na przestrzeganie przepisów przez ich własną firmę. Jednak obecnie wiele organów nie publikuje swoich decyzji (np. Niemcy) lub publikuje je tylko wybiórczo.
Max Schrems: "Wydaje się, że rada specjalistów ds. ochrony danych w firmach brzmi: 'nakładaj wysokie grzywny i podawaj je do wiadomości publicznej'. Powszechne podejście polegające na "nieformalnych" negocjacjach między władzami i firmami oraz tajnych procedurach wydaje się być najmniej skuteczne według osób z wewnątrz firmy"
Wytyczne EROD lub zamykanie spraw nie mają wpływu. Podczas gdy władze inwestują znaczny wysiłek, czas i zasoby w dostarczanie wytycznych firmom, wydają się one być w dużej mierze ignorowane przez przedsiębiorstwa. 46% respondentów stwierdziło, że wytyczne EROD nie mają wpływu, podczas gdy tylko 23% uznało je za mające pewien wpływ. Podobnie, osoby mające dostęp do informacji poufnych oceniają bezpośrednie skargi kierowane do firm jako mało wpływowe. Kontrastuje to ze skargami kierowanymi do organów ochrony danych i nieformalnym zamykaniem spraw (obecnie najczęstsza forma decyzji). Pomimo wszystkich wskazań, że istnieje pilna potrzeba ścisłego egzekwowania prawa, w praktyce takie działania organów ochrony danych stanowią wyjątek. Można to łatwo zilustrować za pomocą noybwłasnej pracy: Większość naszych ponad 800 spraw jest w toku od ponad dwóch lat. Ale nawet jeśli wybierzesz tylko sprawy, które noyb wygrał, istnieje tylko garstka decyzji, które zawierają grzywnę. W ponad 800 przypadkach nie widzieliśmy ani jednego organu, który faktycznie przeprowadziłby kontrolę na miejscu w firmie.
Max Schrems: "W ostatnich latach władze europejskie opracowały liczne wytyczne i zaangażowały się w długie "nieformalne" dyskusje z firmami, a następnie "zamknęły" sprawy bez podejmowania dalszych działań. Sądząc po opiniach urzędników ds. zgodności, nie jest to niestety najlepsze wykorzystanie pieniędzy podatników"
Opinia osób mających dostęp do informacji poufnych jest nadal bardziej pozytywna niż doświadczenia użytkowników. Chociaż opinia osób mających dostęp do informacji poufnych jest już alarmująca, jest ona nadal bardziej optymistyczna niż przeciętne doświadczenie osób, których dane dotyczą. Na przykład, gdy noyb skorzystał z prawa dostępu do danych osobowych, ponad 90% wniosków nie otrzymało pełnej odpowiedzi na czas. Większość wniosków jest po prostu ignorowana. Dla porównania, 59% respondentów uważa, że większość firm będzie "w większości" przestrzegać "podstawowych zasad" GDPR. Praktyczne doświadczenie sugeruje, że opinia osób postronnych może być nawet gorsza niż opinia osób wewnętrznych.
Jedyne wyjście: "egzekwowanie oparte na dowodach". Jeśli wierzyć respondentom, jedyne realistyczne rozwiązanie tego problemu jest jasne: bardziej rygorystyczne egzekwowanie przepisów i bardziej jednoznaczne decyzje organów ochrony danych i sądów, które zmuszają firmy do zapewnienia zgodności przetwarzania danych. Pełną i szczegółową listę sugerowanych działań można znaleźć w badaniu. Wyniki wskazują również na pilną potrzebę gromadzenia dalszych obiektywnych dowodów w celu zapewnienia, że organy (mogą) angażować się w skuteczne egzekwowanie przepisów przy ograniczonych zasobach. Powtarzanie podejścia, które nie działa, nie doprowadzi do praktycznych zmian w telefonach i komputerach Europejczyków. Dane zebrane w naszej ankiecie stanowią doskonały punkt wyjścia do dalszych badań. noyb również zaangażuje się w dalsze badania.