Odkąd Komisja Europejska opublikowała swoją propozycję Digital Omnibus, nasiliły się dyskusje na temat obciążenia RODO dla przedsiębiorstw w Europie. Komisja chce między innymi ograniczyć prawo dostępu, rzekomo w celu zmniejszenia obciążenia regulacyjnego. Ale czy te zmiany faktycznie odzwierciedlają potrzeby specjalistów ds. prywatności pracujących w firmach? Aby dowiedzieć się więcej, noyb przeprowadził ankietę, w której zapytał inspektorów ochrony danych (IOD), które elementy RODO zajmują im najwięcej czasu - i gdzie najlepiej go spędzić, aby zapewnić ochronę danych osobowych.
Okazuje się, że większość specjalistów nie chce ograniczenia ochrony, ale ograniczenia obowiązków związanych z dokumentacją i papierkową robotą. W wielu przypadkach proszą nawet o jaśniejsze przepisy zamiast większej "elastyczności", która jest trudna do zarządzania dla większości firm.
Informacje prosto ze źródła. Kluczowym argumentem Komisji Europejskiej za zmianą RODO jest zmniejszenie rzekomego "obciążenia regulacyjnego" dla europejskich przedsiębiorstw. Jednak Komisjanie ogranicza kroków administracyjnych, ale przeszła od razu do "podstawowych" elementów prawa. Proponuje między innymi zawężenie definicji danych osobowych, ograniczenie prawa dostępu i otwarcie bram dla szkoleń AI. Nasuwa się pytanie: czy pomoże to przeciętnej firmie w UE? Czy zmniejszy to obciążenie pracą wewnętrznych inspektorów ochrony danych (DPO) i innych pracowników zajmujących się zgodnością z przepisami? noyb przeprowadził ankietę wśród inspektorów ochrony danych i specjalistów ds. prywatności, aby odpowiedzieć na te właśnie pytania - i poznać potrzeby osób pracujących z RODO każdego dnia. Ich odpowiedzi często wskazują na kierunek przeciwny dopodejścia Komisji Europejskiej.
Max Schrems, przewodniczący noyb: "Badanie to pokazuje ogromną przepaść między potrzebami prawdziwych ludzi pracujących na co dzień nad zgodnością a problemami forsowanymi przez "brukselską bańkę lobbystyczną". Nie pomagamy tutaj zwykłym przedsiębiorstwom w UE - wniosek Komisji często nawet ogranicza to, co profesjonaliści uważają za przydatne."
Prawa osób, których dane dotyczą: Niewielki nakład pracy, duży wpływ. Co ciekawe, większość respondentów stwierdziła, że przestrzeganie praw osób, których dane dotyczą (art. 15-21) nie wymaga dużego nakładu pracy. Co najważniejsze, ponad 70% stwierdziło, że prawo dostępu (art. 15) przysparza tylko "trochę", "niewiele" lub nawet nie przysparza żadnej pracy. Jednocześnie jest ono postrzegane jako przydatne narzędzie do ochrony praw człowieka. Odpowiada to rzeczywistemu doświadczeniu Noyb: większość firm prawie nigdy nie otrzymuje wniosków o dostęp (SAR), podczas gdy konkretne firmy (Big Tech, brokerzy danych lub agencje kredytowe) zazwyczaj otrzymują ich wiele, ale mają również zautomatyzowane odpowiedzi na SAR. Zaskakujące jest zatem, że propozycja Komisji Europejskiej dotycząca cyfrowego Omnibusa nadal sugeruje ograniczenie art. 15 RODO, co bardzo utrudniłoby Europejczykom egzekwowanie ich praw do prywatności.
Podstawowe zasady: duży nakład pracy, duże zyski. Zgodnie z oczekiwaniami, podstawowe zasady określone w art. 5-11 RODO (np. zasady dotyczące zgodności z prawem przetwarzania danych lub warunków wyrażenia zgody) generują znaczny nakład pracy. Respondenci uznali jednak te zasady za drugi najbardziej przydatny element prawa w zakresie ochrony praw osób, których dane dotyczą. To samo dotyczy obowiązków w zakresie przejrzystości wynikających z art. 13 i 14, które Komisja Europejska również sugeruje ograniczyć.
Prawdziwe uproszczenie: Odejście od podejścia "jeden rozmiar dla wszystkich". Podczas gdy "podejście oparte na ryzyku" RODO było postrzegane jako sposób na ograniczenie obciążenia mniejszych firm w ramach prawa "jednego rozmiaru dla wszystkich", specjaliści twierdzą, że jest dokładnie odwrotnie. W praktyce często narzeka się, że duże firmy mogą zarządzać niejasnymi tekstami i ocenami "ryzyka", które są otwarte na interpretację, podczas gdy mniejsi administratorzy nie mają na to zasobów. Respondenci wyraźnie opowiadają się za systemem z jasnymi progami dla wielkości firm, które powinny opierać się na odpowiednich wskaźnikach, takich jak liczba użytkowników, a nie liczba pracowników. Pomimo faktu, że wielu z nich reprezentuje większe firmy (ponad 500 pracowników), 70% respondentów stwierdziło, że istnieje potrzeba wprowadzenia bardziej rygorystycznych zasad dla dużych firm.
Max Schrems: "Od wielu lat toczy się debata na temat "poziomowania" RODO, z firmami klasy A, B lub C. W tej chwili niewielka organizacja non-profit, taka jak noyb, zasadniczo podlega tym samym zasadom co Google. Zamiast tego Komisja chce dodać do prawa elastyczne elementy "ryzyka", co oznacza, że większość firm potrzebowałaby prawnika, aby wiedzieć, czy dany artykuł ma do nich zastosowanie"
Mniej "ryzyka", więcej przejrzystość dzięki białym i czarnym listom. 83.3% uczestników stwierdziło, że popiera białą listę dla czynności przetwarzania, a 91,1% stwierdziło, że popiera czarną listę dla czynności przetwarzania. Zdecydowana większość jest zdania, że takie listy zaoszczędziłyby firmom "dużo pracy" i stworzyłyby większą pewność prawną. Co zaskakujące, specjaliści ds. prywatności pracujący dla administratorów nie uważają, że "czarna lista" (podobna do art. 5 ustawy o sztucznej inteligencji) zbytnio ograniczyłaby administratorów. Wygląda na to, że pewność prawa jest przedkładana nad elastyczne przepisy.
Zmniejszenie kosztów zgodności B2B: Zaskakujące jest to, że RODO generuje duże koszty zgodności między firmami ("B2B"), które nie są skierowane do użytkowników. Miliony umów są sporządzane i zarządzane między firmami. Samo zastosowanie prawa bezpośrednio do dostawców takich jak Cloud Hyperscalers mogłoby zredukować miliony godzin pracy - i faktycznie poprawić ochronę prywatności. Inspektorzy ochrony danych bardzo poparliby takie uproszczenie.
Max Schrems: "Omnibus jest na złej drodze nie tylko dla użytkowników, ale także dla większości firm. Pod wieloma względami mamy do czynienia z "luźną propozycją"."
Początek szerszej debaty. Kwestie poruszone w tej ankiecie stanowią jedynie początek szerszej debaty wywołanej propozycją Digital Omnibus. Wierzymy jednak, że oparte na dowodach zmiany w RODO mogą być korzystne dla wszystkich: administratorów, podmiotów przetwarzających, osób, których dane dotyczą i organów. Mamy nadzieję, że te pierwsze wyniki mogą poprowadzić nas w kierunku przydatnych rozwiązań rzeczywistych problemów, zamiast gonić za hasłami.
