Ända sedan EU-kommissionen publicerade sitt Digital Omnibus-förslag har diskussionerna om den arbetsbörda som GDPR skapar för företag i Europa intensifierats. Kommissionen vill bland annat begränsa rätten till tillgång, enligt uppgift för att minska regelbördan. Men återspeglar dessa förändringar verkligen behoven hos de integritetsansvariga som arbetar på företag? För att ta reda på mer, noyb en undersökning där dataskyddsombud (DPO) tillfrågades om vilka delar av GDPR som tar mest tid i anspråk - och var de bäst kan lägga sin tid för att säkerställa människors dataskydd.
Det visade sig att de flesta yrkesverksamma inte vill att skyddet ska skäras ned, utan att dokumentationsskyldigheter och pappersarbete ska minskas. I många fall efterfrågar de till och med tydligare lagar i stället för mer "flexibilitet", vilket är svårt att hantera för de flesta företag.
Input direkt från källan. EU-kommissionens huvudargument för att ändra GDPR är att minska den påstådda "regelbördan" för europeiska företag. Kommissionen minskar dockinte på de administrativa stegen, utan går direkt på lagens "kärnelement ". De föreslår bland annat att definitionen av personuppgifter ska begränsas, att rätten till tillgång ska inskränkas och att AI-träning ska tillåtas. Detta väcker frågan: hjälper detta det genomsnittliga EU-företaget? Kommer det att minska arbetsbelastningen för interna dataskyddsombud (DPO) och annan personal som arbetar med efterlevnad? noyb genomförde en undersökning bland dataskyddsombud och integritetsansvariga för att svara på just dessa frågor - och lära sig mer om behoven hos personer som arbetar med GDPR varje dag. Deras svar pekar ofta i motsatt riktning mot EU-kommissionensstrategi.
Max Schrems, ordförande för noyb: "Den här studien visar att det finns en enorm klyfta mellan de behov som finns hos människor som arbetar med efterlevnad varje dag och de problem som drivs av "lobbybubblan i Bryssel". Vi hjälper inte normal EU-verksamhet här - kommissionens förslag skär ofta till och med i vad yrkesverksamma ser som användbart."
Rättigheter för registrerade: Låg arbetsbelastning, stor inverkan. Det är intressant att notera att majoriteten av de svarande ansåg att efterlevnaden av de registrerades rättigheter (artikel 15-21) inte skapar mycket arbete. Mest anmärkningsvärt är att mer än 70 % svarade att rätten till tillgång (artikel 15) endast skapar " lite ", "lite" eller inget arbete alls. Samtidigt ses den som ett användbart verktyg för att skydda människors rättigheter. Detta stämmer överens med noybs verkliga erfarenhet: de flesta företag får nästan aldrig tillgångsförfrågningar (SAR), medan specifika företag (Big Tech, datamäklare eller kreditinstitut) vanligtvis får mycket, men också har automatiserade SAR-svar. Det är därför förvånande att EU-kommissionens Digital Omnibus-förslag fortfarande föreslår en begränsning av artikel 15 i GDPR, vilket skulle göra det mycket svårt för européer att hävda sina integritetsrättigheter.
Grundläggande regler: relevant arbetsbelastning, stor avkastning. Som väntat genererar de centrala reglerna i artiklarna 5-11 i GDPR (t.ex. principerna om behandlingens laglighet eller villkoren för samtycke) en relevant arbetsbörda. Men respondenterna rankade också dessa regler som de näst mest användbara delarna av lagen för att skydda de registrerades rättigheter. Detsamma gäller för insynskraven i artiklarna 13 och 14, som Europeiska kommissionen också föreslår att man ska begränsa.
Verklig förenkling: Bort från "en storlek passar alla"-strategin. Det "riskbaserade tillvägagångssättet" i GDPR sågs som ett sätt att begränsa bördan för mindre företag i en " en storlek passar alla" -lag, men yrkesverksamma vittnar om raka motsatsen. I praktiken är det ett vanligt klagomål att stora företag kan hantera otydliga texter och "riskbedömningar" som är öppna för tolkning, medan mindre personuppgiftsansvariga inte har resurserna att göra det. Respondenterna föredrar helt klart ett system med tydliga tröskelvärden för företagsstorlekar som bör baseras på relevanta mått som användarantal - inte antal anställda. Trots att många av dem representerar större företag (500+ anställda) anser 70% av respondenterna att det finns ett behov av strängare regler för stora företag.
Max Schrems: "I många år har det pågått en debatt om att "nivåindela" GDPR, med A-, B- eller C-företag. Just nu omfattas en liten ideell organisation som noyb i allmänhet av samma regler som Google. I stället vill kommissionen lägga till flexibla "riskelement" i lagen, vilket innebär att de flesta företag skulle behöva en advokat för att veta om en artikel är tillämplig på dem."
Mindre "risk", mer tydlighet via vit- och svartlistor. 83.3% av deltagarna sade sig vara för en vitlista för behandlingar och 91,1% sade sig vara för en svartlista för behandlingar. En stor majoritet anser att sådana listor skulle spara företagen "en hel del arbete" och skapa större rättssäkerhet. Förvånansvärt nog anser inte de som arbetar för personuppgiftsansvariga att en "svart lista" (liknande artikel 5 i AI-lagen) skulle begränsa de personuppgiftsansvariga alltför mycket. Det verkar som om rättssäkerhet är att föredra framför flexibla lagar.
Minskade efterlevnadskostnader för B2B: Förvånansvärt nog genererar GDPR en stor mängd efterlevnadskostnader mellan företag ("B2B")som inte är användarorienterade. Miljontals avtal upprättas och hanteras mellan företag. Bara genom att låta lagen gälla direkt för leverantörer som Cloud Hyperscalers skulle man kunna minska miljontals arbetstimmar - och faktiskt förbättra integritetsskyddet. Dataskyddsombuden skulle i högsta grad stödja en sådan förenkling.
Max Schrems: "Omnibus är inte bara på fel spår för användarna, utan även för de flesta företag. På många sätt har vi ett förslag som är 'löst och löst'."
Startskottet för en bredare debatt. De frågor som tas upp i den här undersökningen är bara början på en större debatt som väckts av förslaget om Digital Omnibus. Vi tror dock att evidensbaserade ändringar av GDPR kan vara till nytta för alla: personuppgiftsansvariga, personuppgiftsbiträden, registrerade och myndigheter. Vi hoppas att dessa första resultat kan vägleda oss mot användbara lösningar på faktiska problem, i stället för att jaga modeord.
