När GDPR trädde i kraft 2018 hyllades den nya och glänsande dataskyddslagen som en övergång till strängare efterlevnad - vilket säkerställer att den grundläggande rätten till dataskydd i EU inte bara finns på papperet. För att markera årets dataskyddsdag den 28 januari, noyb en undersökning bland mer än 1000 dataskyddsexperter som arbetar på europeiska företag. Detta gav en unik bild från insidan: 70% av de tillfrågade anser att myndigheterna måste fatta tydliga beslut och genomdriva GDPR för att säkerställa efterlevnad, medan 74% säger att myndigheterna skulle hitta "relevanta överträdelser" om de gick in genom dörren till ett genomsnittligt företag. I ett försök att gå mot "evidensbaserad tillämpning" visar denna undersökning också att myndigheterna i grunden skulle behöva ändra sitt tillvägagångssätt för att få företagen att följa reglerna.
Den seriösa tillämpningen har inte levererat som utlovat. När den allmänna dataskyddsförordningen (GDPR) trädde i kraft i maj 2018 utlovades en övergång från den nuvarande "mjuka" strategin för dataskydd till en seriös tillämpning. För att uppnå detta mål gav EU:s politik myndigheterna omfattande utredningsbefogenheter och möjlighet att utfärda höga böter. Enligt en ny noyb undersökning bland mer än 1.000 dataskyddsexperter anser de flesta av deltagarna att införandet av GDPR har "avsevärt förbättrat" hur företag hanterar personuppgifter, men 74% säger fortfarande att om myndigheterna faktiskt skulle genomföra en undersökning på plats hos ett genomsnittligt företag som hanterar användardata skulle de hitta "relevanta överträdelser".
Max Schrems, hedersordförande för noyb: "Det är extremt alarmerande när 74% av de som arbetar med företagsinternt dataskydd säger att myndigheterna skulle hitta betydande överträdelser hos ett genomsnittligt företag. Sådana siffror skulle vara otänkbara om det handlade om att följa skattelagstiftning eller brandsäkerhetsregler. Bristande efterlevnad verkar bara vara normen när det gäller användarnas personuppgifter."
Objektiv insiderinformation om efterlevnad av GDPR. För att få så mycket insikt som möjligt i den praktiska tillämpningen av GDPR, noybs undersökning 65 frågor som täcker en rad olika ämnen inom området efterlevnad och tillämpning av GDPR. Detta gjorde det möjligt för oss att få tillförlitliga och objektiva uppgifter om den interna dynamik som hindrar dataskyddsombud från att genomföra åtgärder för att stärka efterlevnaden av GDPR, samt externa faktorer som kan driva företag mot ökad efterlevnad i framtiden. Sådana uppgifter verkar vara avgörande för att fokusera arbetet med efterlevnad och efterlevnad på strategier som faktiskt fungerar och som stöder de interna dataskyddsombudens arbete.
I konflikt med marknadsavdelningar och ledning. Företag verkar ofta i ett konfliktområde mellan strävan efter vinst, kostnaderna för att göra sina system GDPR-kompatibla och skyldigheten att följa lagen. noybs undersökning visar tydligt att dataskyddsombuden är under press att begränsa efterlevnaden av GDPR i affärens intresse: 46% av de svarande uppgav att försäljning och marknadsföring aktivt pressade dem att begränsa efterlevnaden, medan 32% kände sig pressade av medlemmar i den högsta ledningen. Föga förvånande är det också svårt att övertyga dessa intressenter om att göra de förändringar som krävs för att förbättra efterlevnaden. Hela 56% av de svarande uppgav att det var svårt att övertyga marknadsavdelningen, medan 38,5% hade problem med den högsta ledningen. 51% uppgav också att det är svårt att övertyga leverantörer utanför EU/EES att tillhandahålla produkter som uppfyller kraven till företagskunder inom EU.
Max Schrems: "Dataskyddsombuden ska vara oberoende och se till att reglerna följs inom företaget, men i verkligheten rapporterar många av dem att de utsätts för påtryckningar från olika håll för att prioritera affärsintressen."
Evidence-based enforcement: böter och skadat anseende. Den stora bristen på tydliga åtgärder från myndigheternas sida gör det inte lättare för dataskyddsombuden att utföra sitt jobb. Enligt undersökningsresultaten är det mest sannolikt att ett företag förbättrar sin efterlevnad när det - eller till och med andra företag - drabbas av betydande böter. 67.4% av de svarande uppgav att dataskyddsmyndighetens beslut mot deras eget företag som inkluderar böter kommer att påverka beslutsfattarna att välja ökad efterlevnad. Intressant nog uppgav 61,5% av de svarande att även böter från Datainspektionen mot andra organisationer skulle påverka det egna företagets efterlevnad av GDPR. Denna effekt ("avskräckning") är välkänd och studerad, men används inte riktigt av myndigheterna. Det näst bästa verktyget verkar vara att offentliggöra beslut. 52% uppgav att ett annat företags förlust av anseende redan har en positiv effekt på det egna företagets efterlevnad. Många myndigheter publicerar dock för närvarande inte sina beslut (t.ex. Tyskland) eller publicerar dem endast selektivt.
Max Schrems: "Rådet från dataskyddspersonal inom företag verkar vara: "utdöm höga böter och offentliggör dem". Det vanliga tillvägagångssättet att förlita sig på "informella" förhandlingar mellan myndigheter och företag och hemliga förfaranden verkar vara det minst effektiva enligt insiders på företagen."
EDPB:s riktlinjer eller avslutade ärenden är inte inflytelserika. Även om myndigheterna lägger ner avsevärda ansträngningar, tid och resurser på att tillhandahålla riktlinjer till företagen verkar de i stor utsträckning ignoreras av företagen. 46% av de svarande uppgav att EDPB:s riktlinjer inte har något inflytande, medan endast 23% ansåg att de hade ett visst inflytande. På samma sätt anser insiders att direkta klagomål till företag inte har särskilt stort inflytande. Detta står i kontrast till klagomål till dataskyddsmyndigheter och informell nedläggning av ärenden (för närvarande den vanligaste formen av beslut). Trots alla indikationer på att det finns ett akut behov av strikt efterlevnad är sådana åtgärder från dataskyddsmyndigheternas sida i praktiken undantag. Detta illustreras enkelt med hjälp av noyb's eget arbete: De flesta av våra mer än 800 ärenden har varit pågående i mer än två år. Men även om man bara plockar ut ärenden som noyb har vunnit, är det bara en handfull beslut som innehåller böter. I mer än 800 fall har vi inte sett en enda myndighet som faktiskt genomfört en inspektion på plats hos ett företag.
Max Schrems: "Under de senaste åren har de europeiska myndigheterna tagit fram ett stort antal riktlinjer och fört långa "informella" diskussioner med företagen för att sedan "avsluta" ärendena utan vidare åtgärder. Att döma av återkopplingen från compliance officers är detta tyvärr inte den bästa användningen av skattebetalarnas pengar."
Insidernas syn är fortfarande mer positiv än användarnas erfarenheter. Även om insidernas syn redan är alarmerande är den fortfarande mer optimistisk än vad de registrerades genomsnittliga erfarenhet skulle tillåta. Till exempel när noyb utövade rätten till tillgång till personuppgifter, besvarades mer än 90% av förfrågningarna inte helt i tid. De flesta förfrågningar ignoreras helt enkelt. Som jämförelse tror 59% av respondenterna att de flesta företag "för det mesta" skulle följa GDPR:s "kärnregler". Praktisk erfarenhet tyder på att utomstående kan ha en ännu sämre uppfattning än de som är insatta.
Den enda utvägen: "evidensbaserad tillämpning". Om man ska tro respondenterna är den enda realistiska lösningen på detta problem tydlig: hårdare kontroll av efterlevnaden och tydligare beslut från dataskyddsmyndigheter och domstolar som tvingar företagen att se till att deras databehandling uppfyller kraven. En fullständig och detaljerad lista över föreslagna åtgärder finns i studien. Resultaten visar också att det finns ett akut behov av att samla in ytterligare objektiva bevis för att säkerställa att myndigheterna (kan) bedriva ett effektivt tillsynsarbete med begränsade resurser. Att upprepa metoder som inte fungerar kommer inte att leda till praktiska förändringar i européernas telefoner och datorer. De uppgifter som samlats in i vår undersökning utgör en utmärkt utgångspunkt för vidare forskning. noyb kommer också att ägna sig åt ytterligare forskning.
