Keď v roku 2018 vstúpilo do platnosti nariadenie GDPR, nový a žiarivý zákon o ochrane osobných údajov bol oslavovaný ako posun smerom k prísnejšiemu presadzovaniu práva, aby základné právo na ochranu údajov v EÚ neexistovalo len na papieri. Pri príležitosti tohtoročného Dňa ochrany údajov, ktorý pripadá na 28. januára, noyb uskutočnila prieskum medzi viac ako 1 000 odborníkmi na ochranu údajov pracujúcimi v európskych spoločnostiach. Ten poskytol jedinečný pohľad zvnútra: 70 % respondentov sa domnieva, že orgány musia vydávať jasné rozhodnutia a presadzovať GDPR, aby sa zabezpečil súlad, zatiaľ čo 74 % respondentov tvrdí, že orgány by našli "relevantné porušenia", ak by vstúpili do dverí priemernej spoločnosti. V snahe prejsť na "presadzovanie založené na dôkazoch" tento prieskum tiež ukazuje, že orgány by museli zásadne zmeniť svoj prístup k presadzovaniu, aby prinútili podniky dodržiavať nariadenie.
Závažné presadzovanie práva neprinieslo sľubované výsledky. Keď v máji 2018 vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), sľubovalo posun od súčasného "jemného" prístupu k ochrane údajov k serióznemu presadzovaniu. Na dosiahnutie tohto cieľa politika EÚ poskytla orgánom vážne vyšetrovacie právomoci a možnosť udeľovať vysoké pokuty. Podľa nového noyb prieskumu medzi viac ako 1 000 odborníkmi na ochranu údajov sa väčšina účastníkov domnieva, že zavedenie GDPR "výrazne zlepšilo" spôsob, akým spoločnosti zaobchádzajú s osobnými údajmi, ale 74 % z nich stále tvrdí, že ak by orgány skutočne vykonali vyšetrovanie na mieste v priemernej spoločnosti, ktorá zaobchádza s údajmi používateľov, našli by "relevantné porušenia".
Max Schrems, čestný predseda noyb: "Je mimoriadne znepokojujúce, keď 74 % odborníkov na vnútornú ochranu údajov v podnikoch tvrdí, že úrady by v priemernej spoločnosti našli významné porušenia. Takéto čísla by boli nepredstaviteľné, keby išlo o dodržiavanie daňových zákonov alebo predpisov o požiarnej bezpečnosti. Zdá sa, že nedodržiavanie predpisov je normou len vtedy, keď ide o osobné údaje používateľov."
Objektívne interné údaje o dodržiavaní nariadenia GDPR. S cieľom získať čo najviac informácií o praktickom uplatňovaní nariadenia GDPR, noyb'obsahoval prieskum 65 otázok pokrývajúcich celý rad tém z oblasti dodržiavania a presadzovania nariadenia GDPR. To nám umožnilo získať spoľahlivé a objektívne údaje o internej dynamike, ktorá bráni úradníkom pre ochranu údajov (DPO) v zavádzaní opatrení na posilnenie súladu s nariadením GDPR, ako aj o externých faktoroch, ktoré by mohli v budúcnosti posunúť spoločnosti k väčšiemu súladu s nariadením. Takéto údaje sa javia ako kľúčové pre zameranie práce v oblasti presadzovania a dodržiavania predpisov na stratégie, ktoré skutočne fungujú a podporujú prácu interných DPO.
V konflikte s marketingovými oddeleniami a manažmentom. Spoločnosti často pôsobia v konfliktnom priestore medzi snahou o dosiahnutie zisku, nákladmi na zabezpečenie súladu svojich systémov s GDPR a povinnosťou dodržiavať zákon. noyb'prieskum jasne ukazuje, že DPO sú pod tlakom, aby obmedzili dodržiavanie GDPR v záujme podnikania: 46 % respondentov uviedlo, že obchod a marketing na nich aktívne tlačia, aby obmedzili dodržiavanie predpisov, zatiaľ čo 32 % sa cíti byť pod tlakom členov vyššieho manažmentu. Nie je prekvapením, že presvedčiť tieto zainteresované strany, aby urobili potrebné zmeny na zlepšenie dodržiavania predpisov, sa tiež ukazuje ako pomerne ťažké. Šokujúcich 56 % respondentov uviedlo, že bolo ťažké presvedčiť marketingové oddelenie, zatiaľ čo 38,5 % malo problémy s vyšším manažmentom. 51 % respondentov tiež uviedlo, že je ťažké presvedčiť dodávateľov z krajín mimo EÚ/EHP, aby dodávali vyhovujúce výrobky podnikovým zákazníkom z EÚ.
Max Schrems: "V skutočnosti mnohí z nich uvádzajú, že na nich bol vyvíjaný tlak z rôznych strán, aby uprednostnili obchodné záujmy."
Evymáhanie práva na základe dôkazov: pokuty a poškodenie dobrého mena. Závažný nedostatok jasných opatrení na presadzovanie práva zo strany orgánov nepomáha úradníkom pre ochranu údajov vykonávať ich prácu. Podľa výsledkov prieskumu je najpravdepodobnejšie, že spoločnosť zlepší dodržiavanie predpisov, keď jej - alebo aj iným spoločnostiam - hrozia značné pokuty. 67.4 % respondentov uviedli, že rozhodnutia orgánov na ochranu údajov proti ich vlastnej spoločnosti, ktoré zahŕňajú pokutu, ovplyvnia rozhodovacie orgány, aby sa rozhodli pre väčšie dodržiavanie predpisov. Zaujímavé je, že 61,5 % respondentov uviedlo, že aj pokuty DPA voči iným organizáciám ovplyvnia dodržiavanie GDPR v ich vlastnej spoločnosti. Tento účinok ("odstrašujúci účinok") je dobre známy a preskúmaný, ale orgány ho v skutočnosti nevyužívajú. Ďalším najlepším nástrojom sa zdá byť zverejňovanie rozhodnutí. 52 % respondentov uviedlo, že strata dobrého mena inej spoločnosti už má pozitívny vplyv na dodržiavanie predpisov ich vlastnou spoločnosťou. Mnohé orgány však v súčasnosti svoje rozhodnutia nezverejňujú (napr. Nemecko) alebo ich zverejňujú len selektívne.
Max Schrems: zdá sa, že rada odborníkov na ochranu údajov v spoločnostiach znie: "uložiť vysoké pokuty a zverejniť ich". Bežný prístup, ktorý spočíva v "neformálnych" rokovaniach medzi orgánmi a spoločnosťami a v tajných postupoch, sa podľa zasvätených pracovníkov spoločností zdá byť najmenej účinný."
Usmernenia EDPB alebo uzatváranie prípadov nemajú vplyv. Hoci orgány investujú značné úsilie, čas a zdroje do poskytovania usmernení spoločnostiam, zdá sa, že podniky ich zväčša ignorujú. 46 % respondentov uviedlo, že usmernenia EDPB nemajú vplyv, zatiaľ čo len 23 % ich považuje za do určitej miery vplyvné. Podobne aj zasvätené osoby hodnotia priame sťažnosti v podnikoch ako málo vplyvné. Je to v protiklade so sťažnosťami adresovanými orgánom na ochranu údajov a neformálnym uzavretím prípadov (v súčasnosti najčastejšia forma rozhodnutia). Napriek všetkým náznakom, že je naliehavo potrebné prísne presadzovanie práva, v praxi sú takéto opatrenia orgánov na ochranu údajov skôr výnimkou. To sa dá ľahko ilustrovať na príklade noybvlastnej práce: Väčšina našich viac ako 800 prípadov prebieha už viac ako dva roky. Ale aj keď si vyberiete len prípady, ktoré noyb vyhrala, je len niekoľko rozhodnutí, ktoré obsahujú pokutu. Vo viac ako 800 prípadoch sme nezaznamenali ani jeden orgán, ktorý by skutočne vykonal kontrolu na mieste v spoločnosti.
Max Schrems: "V posledných rokoch európske orgány vypracovali množstvo usmernení a viedli dlhé "neformálne" diskusie so spoločnosťami a potom prípady "uzavreli" bez ďalších opatrení. Súdiac podľa spätnej väzby úradníkov zodpovedných za dodržiavanie predpisov to, žiaľ, nie je najlepšie využitie peňazí daňových poplatníkov."
Názor zasvätených osôb je stále pozitívnejší ako skúsenosti používateľov. Hoci pohľad zasvätených osôb je už alarmujúci, stále je optimistickejší, než by umožňovali priemerné skúsenosti dotknutých osôb. Napríklad, keď noyb uplatnil právo na prístup k osobným údajom, viac ako 90 % žiadostí nebolo v plnom rozsahu a včas zodpovedaných. Väčšina žiadostí sa jednoducho ignorovala. Pre porovnanie, 59 % respondentov sa domnieva, že väčšina spoločností bude "väčšinou" dodržiavať "základné pravidlá" GDPR. Praktické skúsenosti naznačujú, že pohľad outsiderov môže byť ešte horší ako pohľad insiderov.
Jediné východisko: "presadzovanie založené na dôkazoch". Ak máme veriť respondentom, jediné realistické riešenie tohto problému je jasné: prísnejšie presadzovanie a jasnejšie rozhodnutia orgánov na ochranu údajov a súdov, ktoré prinútia spoločnosti, aby svoje spracovanie údajov uviedli do súladu s predpismi. Úplný a podrobný zoznam navrhovaných opatrení nájdete v štúdii. Z výsledkov tiež vyplýva naliehavá potreba zhromažďovať ďalšie objektívne dôkazy, aby sa zabezpečilo, že orgány (môžu) vykonávať účinnú činnosť v oblasti presadzovania práva vzhľadom na obmedzené zdroje. Opakovanie prístupov, ktoré nefungujú, nepovedie k praktickým zmenám v telefónoch a počítačoch Európanov. Údaje získané v našom prieskume poskytujú vynikajúci východiskový bod pre ďalší výskum. noyb sa zapojí aj do ďalšieho výskumu.
