Odkedy Európska komisia zverejnila svoj návrh Digital Omnibus, diskusie o pracovnej záťaži, ktorú GDPR vytvára pre podniky v Európe, sa zintenzívnili. Komisia chce okrem iného obmedziť právo na prístup, údajne s cieľom znížiť regulačnú záťaž. Odrážajú však tieto zmeny skutočne potreby odborníkov na ochranu osobných údajov pracujúcich v podnikoch? Ak sa chcete dozvedieť viac, noyb uskutočnila prieskum, v ktorom sa pýtala úradníkov pre ochranu údajov (DPO), ktoré prvky nariadenia GDPR im zaberajú najviac času - a kde ho najlepšie využiť na zabezpečenie ochrany údajov ľudí.
Ukázalo sa, že väčšina odborníkov nechce ochranu obmedziť, ale znížiť dokumentačné povinnosti a papierovanie. V mnohých prípadoch dokonca žiadajú namiesto väčšej "flexibility" jasnejšie zákony, čo je pre väčšinu spoločností ťažko zvládnuteľné.
Vstup priamo zo zdroja. Hlavným argumentom Európskej komisie na zmenu GDPR je zníženie údajnej "regulačnej záťaže" pre európske spoločnosti. Komisia všakneznižuje administratívne kroky, ale išla priamo po "základných" prvkoch zákona. Okrem iného navrhuje zúžiť definíciu osobných údajov, obmedziť právo na prístup a otvoriť brány pre školenia v oblasti umelej inteligencie. Natíska sa otázka: pomôže to priemernej spoločnosti v EÚ? Zníži to pracovné zaťaženie interných úradníkov pre ochranu údajov (DPO) a ďalších pracovníkov zodpovedných za dodržiavanie predpisov? noyb uskutočnil prieskum medzi DPO a odborníkmi na ochranu osobných údajov, aby odpovedal práve na tieto otázky - a zistil potreby ľudí, ktorí s GDPR pracujú každý deň. Ich odpovede často smerujú opačným smerom akoprístup Európskej komisie.
Max Schrems, predseda noyb: "Táto štúdia poukazuje na obrovskú priepasť medzi potrebami skutočných ľudí, ktorí denne pracujú na dodržiavaní predpisov, a problémami, ktoré presadzuje "bublina bruselskej lobby". Nepomáhame tu normálnym podnikom EÚ - návrh Komisie často dokonca zasahuje do toho, čo odborníci považujú za užitočné."
Práva dotknutej osoby: Nízka pracovná záťaž, veľký vplyv. Je zaujímavé, že väčšina respondentov uviedla, že dodržiavanie práv dotknutých osôb (články 15 až 21) nespôsobuje veľa práce. Najvýznamnejšie je, že viac ako 70 % respondentov uviedlo, že právo na prístup (článok 15) vytvára len "trochu", "málo" alebo dokonca žiadnu prácu. Zároveň ho považujú za užitočný nástroj na ochranu práv ľudí. To zodpovedá skutočným skúsenostiam spoločnosti noyb: väčšina spoločností takmer nikdy nedostáva žiadosti o prístup (SAR), zatiaľ čo konkrétne spoločnosti (Big Tech, sprostredkovatelia údajov alebo úverové agentúry) ich zvyčajne dostávajú veľa, ale majú aj automatizované odpovede SAR. Je preto prekvapujúce, že návrh Európskej komisie Digital Omnibus stále navrhuje obmedzenie článku 15 GDPR, čo by Európanom veľmi sťažilo presadzovanie ich práv na ochranu osobných údajov.
Základné pravidlá: relevantná pracovná záťaž, veľké výnosy. Ako sa očakávalo, základné pravidlá podľa článkov 5 až 11 GDPR (napr. zásady týkajúce sa zákonnosti spracúvania alebo podmienky súhlasu) vytvárajú relevantné pracovné zaťaženie. Respondenti však tieto pravidlá zároveň označili za druhé najužitočnejšie prvky zákona na ochranu práv dotknutých osôb. To isté platí pre povinnosti týkajúce sa transparentnosti podľa článkov 13 a 14, ktoré Európska komisia tiež navrhuje obmedziť.
Skutočné zjednodušenie: Odklon od prístupu "jedna veľkosť pre všetkých". Zatiaľ čo "prístup založený na rizikách " GDPR bol vnímaný ako spôsob, ako obmedziť záťaž menších spoločností v rámci zákona "jednej veľkosti pre všetkých", odborníci uvádzajú presný opak. V praxi sa často sťažujú, že veľké spoločnosti dokážu zvládnuť nejasné texty a hodnotenia "rizík", ktoré sa dajú interpretovať, zatiaľ čo menší správcovia na to nemajú zdroje. Respondenti jednoznačne uprednostňujú systém s jasnými prahovými hodnotami pre veľkosť spoločnosti, ktoré by mali vychádzať z relevantných ukazovateľov, ako je počet používateľov - nie počet zamestnancov. Napriek tomu, že mnohí z nich zastupujú väčšie spoločnosti (nad 500 zamestnancov), 70 % respondentov uviedlo, že pre veľké spoločnosti sú potrebné prísnejšie pravidlá.
Max Schrems: "Už mnoho rokov sa diskutuje o "stupňovitosti" GDPR, pričom spoločnosti patria do tried A, B alebo C. Momentálne sa na malú neziskovú organizáciu, ako je noyb, vo všeobecnosti vzťahujú rovnaké pravidlá ako na spoločnosť Google. Namiesto toho chce Komisia do zákona pridať flexibilné "rizikové" prvky, čo znamená, že väčšina spoločností by potrebovala právnika, aby vedela, či sa na ne daný článok vzťahuje."
Menej "riziko", viac prehľadnosť prostredníctvom whitelistov a blacklistov. 83.3 % účastníkov uviedlo, že uprednostňuje bielu listinu pre činnosti spracovania a 91,1 % uviedlo, že uprednostňuje čiernu listinu pre činnosti spracovania. Veľká väčšina zastáva názor, že takéto zoznamy by spoločnostiam ušetrili "veľa práce" a vytvorili by väčšiu právnu istotu. Prekvapivo, odborníci na ochranu osobných údajov pracujúci pre prevádzkovateľov sa nedomnievajú, že "čierna listina" (podobná článku 5 zákona o umelej inteligencii) by prevádzkovateľov príliš obmedzila. Zdá sa, že právna istota sa uprednostňuje pred flexibilnými zákonmi.
Zníženie nákladov na dodržiavanie súladu B2B: Je prekvapujúce, že nariadenie GDPR vytvára veľké množstvo nákladov na dodržiavanie súladu medzi podnikmi ("B2B"),ktoré nie sú zamerané na používateľov. Medzi podnikmi sa vypracúvajú a spravujú milióny zmlúv. Len to, že sa zákon vzťahuje priamo na poskytovateľov, ako je Cloud Hyperscalers, by mohlo znížiť milióny pracovných hodín - a skutočne zlepšiť ochranu osobných údajov. DPO by takéto zjednodušenie veľmi podporili.
Max Schrems: "Omnibus nie je na zlej ceste len pre používateľov, ale aj pre väčšinu podnikov. V mnohých ohľadoch máme "voľný" návrh."
Začiatok širšej diskusie. Body uvedené v tomto prieskume sú len začiatkom širšej diskusie, ktorú vyvolal návrh Digital Omnibus. Sme však presvedčení, že zmeny nariadenia GDPR založené na dôkazoch by mohli byť prospešné pre všetkých: prevádzkovateľov, sprostredkovateľov, dotknuté osoby a orgány. Dúfame, že tieto prvé výsledky by nás mohli nasmerovať k užitočným riešeniam skutočných problémov namiesto naháňania sa za módnymi slovami.
