Nariadenie GDPR je v platnosti od mája 2018 a tento rok to bude presne 6 rokov. Nezisková organizácia NOYB (Európske centrum pre digitálne práva so sídlom vo Viedni) sa preto rozhodla uskutočniť rozsiahli výskum v oblasti GDPR a to ešte v novembri 2023. Výskum zamerali najmä na dodržiavanie nariadenia v podnikov, jeho prijatie a zavedenie potrebných zmien. Formou dotazníku sa pýtali respondentov (najmä teda zodpovedných osôb či právnikov z oblasti GDPR) o ich skúsenostiach z praxe, ukázalo sa, že až takmer 75% očakáva relevantné porušenie v priemernej spoločnosti. Toto číslo je rozhodne alarmujúce, nakoľko nariadenie je v platnosti už 6 rokov.
Pred uskutočnením samotného výskumu, ktorý prebiehal online dotazníkovou formou, bolo dôležité vybrať vhodných respondentov. Snahou bolo zamerať sa na osoby, ktoré odpovedia nezaujato a pravdivo, aby výsledky boli skutočne relevantné. Výskumu sa zúčastnilo 1048 respondentov prevažne zodpovedné osoby (interné aj externé), konzultanti a právnici so zameraním na GDPR. Po geografickej stránke je ich rozloženie nerovnomerné, z Nemecka odpovedalo až 203 osôb, zatiaľ čo Slovensko zastupovalo len 5. Napriek tomu môžeme konštatovať, že sa zapojilo až cca 30 krajín. Respondenti prevažne pracovali v podnikoch nad 500 ľudí, následne pokračovali stredné a malá podniky. Práve veľké podniky majú v rámci GDPR veľký význam, nakoľko sa týkajú veľkého počtu osôb a teda aj veľkého množstva údajov.
Prvá séria otázok v rámci dotazníku sa týkala najmä jednotlivých článkov GDPR a ich dodržiavania v rámci podnikov. Najväčším problémom sa ukázali pravidlá prenosu údajov (články 44-50), kde 68,5% podnikov má stále značné problémy s dodržiavaním. Ako druhým najväčším problémom sa ukázala dokumentácia a organizácia (články 24-43), kde malo väčšie problémy až 65,8% podnikov. Základné princípy GDPR (články 5-11) sú zvládnuté na 50%, teda respondenti si myslia, že len polovica podnikov s týmto nemá žiadny problém. Informačná povinnosť a práva dotknutých osôb (články 13-22) dopadli veľmi podobne, kedy okolo 40% podnikov má stále problémy s ich dodržiavaním.
Manažér interného súladu sa k týmto výsledkom vyjadril tak, že napriek tomu, že vníma zlepšenie v tejto oblasti, väčšina podnikateľov vníma GDPR ako niečo, čo im komplikuje podnikanie.
Ďalšie otázky boli zamerané najmä na zodpovedné osoby (DPO – Data Protection Officer) a ich činnosti priamo vo podnikoch. V zásade ich prvou úlohou je oboznámiť podniky o povinnostiach v rámci GDPR a „presvedčiť“ ich o zavádzaní zmien. Tu nastáva prvý problém, nie každý je ochotný tieto zmeny prijať. Najväčší problém sa ukazuje v oblasti obchodu a marketingu, kde až 56% respondentov uviedlo, že je ťažké ich presvedčiť o potrebných zmenách. Následne sú externí dodávatelia mimo EÚ/EHP 51,3%. Na druhú stranu sa ukazujú pozitívne výsledky pri externých dodávateľoch z EÚ/EHP, kedy 38,5% respondentov uviedlo, že je pomerne jednoduché ich presvedčiť a len 22,4% uviedlo že je ťažké ich presvedčiť. Otázky, ktoré boli v dotazníku sa týkali aj tlaku, ktorý bol na DPO vyvíjaný, aby požiadavky GDPR znížili. Tu bol zaznamenaný najväčší tlak zo strany marketingového a obchodného oddelenia, až 46,9%.
Podľa DPO z Holandska sa manažéri venujú najmä dosahovaniu ziskov a dodržiavajú len nevyhnutné minimum, aby splnili zákony a predpisy. Marketingové a IT oddelenia majú snahu vykonávať len svoju prácu a vyhýbať sa radám ohľadom ochrany osobných údajov. Aj po 5 rokoch školení o GDPR nerozumejú a nevedia ako funguje zákon.
Veľmi zaujímavé výsledky priniesla séria otázok ohľadom interných faktoroch, ktoré dokážu ovplyvniť spoločnosť tak, aby uskutočnila opatrenia k zlepšeniu. Respondenti mali ohodnotiť 14 faktorov. Faktory, ktoré dosiahli najväčší vplyv sú najmä: možná strata reputácie s takmer 66%, ďalej nesledovali pokuty a iné penále až 63,4% a požiadavky na súlad od iných podnikov (dodávatelia alebo zákazníci) 57,9%. Najnižší vplyv mali veľmi prekvapivo usmernenia EDPB (Európsky výbor pre ochranu údajov) s 46,8%. Odôvodnili to tak, že usmernenia sú príliš všeobecné a v praxi sú takpovediac nepoužiteľné. Ďalšie kategórie, ktoré majú veľmi nízky vplyv sú rozhodnutia súdov a rozhodnutia orgánov v iných jurisdikciách. Odpovede respondentov dosiahli až okolo 46% v oboch kategóriách, čo odôvodnili najmä z pohľadu rozdielov vo výklade, uplatňovaní a presadzovaní GDPR medzi členskými štátmi EÚ.
Ak by sme zobrali celkový stav GDPR, tak až 74,4% respondentov odpovedalo, že pokiaľ by DPA (dozorný orgán) prišla na kontrolu k prevádzkovateľovi, našla by relevantné pochybenia v tejto oblasti. Len necelých 8% si myslí opak. Tieto čísla sú skutočne alarmujúce.
Po 6 rokoch, čo je nariadenie GDPR účinné sa minimálne v spoločnosti zlepšila informovanosť a pohľad na osobné údaje, však stále sa nedarí nariadenie GDPR dôsledne dodržiavať. Na čo by sa mali teda krajiny podľa výskumu zamerať? Výskum poukázal na niektoré faktory, ktoré majú skutočne pozitívny a značný vplyv. Zamerať sa na vysoké pokuty a zverejňovanie zistení a rozhodnutí, ktoré predstavujú takzvanú dvojsečnú zbraň. Na jednej strane takéto rozhodnutie je odstrašujúcim príkladom pre iné spoločnostia a možnosťou poučiť sa na konkrétnych chybách niekoho iného a vyhýbať sa im. Na strane druhej spoločnosť, ktorá sa porušenia dopustila bude spájaná s daným rozhodnutím, čo môže ohroziť jej dobré meno, tým aj vzťahy so zákazníkmi a partnermi a v konečnom dôsledku výkon podnikateľskej činnosti.
Zdroj: NOYB, GDPR: a culture of non-compliace?
