Manglende håndhævelse af GDPR?
På databeskyttelsesdagen den 28. januar 2024 offentliggjorde Noyb en undersøgelse, som rapporterede, at 74 % af eksperterne kunne fortælle, at databeskyttelsesmyndighederne fortsat vil finde “relevante overtrædelser” hos de fleste virksomheder vedrørende den generelle databeskyttelsesforordning (GDPR). Max Schrems, æresformand for noyb.eu, kaldte det “ekstremt alarmerende” og tilføjede, at
“sådanne tal ville være utænkelige, hvis det var et spørgsmål om at overholde skattelovgivningen eller brandsikkerhedsregler. Manglende overholdelse synes kun at være normen med hensyn til brugernes personlige data.”
Max Schrems, æresformand for noyb.eu
NOYB – European Center for Digital Rights er en non-profit organisation baseret i Wien, Østrig, etableret i 2017 med et paneuropæisk fokus.
Illustration: Dooffy_CZE, FreeImages
Den fulde rapport findes her:
https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance.pdf
Resumé
GDPR compliance gap. I maj 2018 fandt den generelle databeskyttelsesforordning (GDPR) første gang anvendelse ved behandling af personoplysninger i EU. Mens den dengang lovede at indlede en ny æra med strengere databeskyttelse gennem en streng håndhævelse og høje bøder, tyder den praktiske erfaring på, at der stadig mangler en daglig praksis bag de politiske løfter. Hvad manglede indtil i dag: en objektiv dokumentation for overholdelse og evidensbaserede håndhævelses- og overholdelsesstrategier.
Evidensbaseret compliance-indsats. På andre områder af loven blev der genereret omfattende sociologisk, psykologisk og praktisk dokumentation for at udvikle en effektiv håndhævelse og bringe lovgivning og praksis tættere på hinanden. Sådan dokumentation mangler stort set, når det kommer til GDPR-overholdelse. Af denne grund gennemførte NOYB en undersøgelse, der antages at kunne tjene som udgangspunkt for evidensbaserede compliance-tilgange. I vores undersøgelse målrettede vi professionelle databeskyttelses personer, der er på forkant med compliance-indsatsen og har unik viden om de interne beslutningsprocesser hos controllere og databehandlere. Formålet med spørgeskemaet var at få en dybere indsigt i de organisatoriske drivkræfter, der fører til større GDPR-overholdelse, at fremme viden om de vigtigste interne og eksterne faktorer og at udlede vigtige takeaways til fremtidigt effektivt internt compliance-arbejde og håndhævelsesindsats.
74,4 % antager, at der foregår relevante overtrædelser hos den gennemsnitlige virksomhed. Mere end 1.000 privatlivs professionelle, der stort set alle arbejder som databeskyttelsesansvarlige (DPO’er) eller i interne compliance-afdelinger i store virksomheder, besvarede spørgeskemaet. Mens undersøgelsen viser, at bevidstheden om privatlivs spørgsmål i det mindste er vokset i løbet af de sidste fem år, overholder de fleste virksomheder stadig ikke GDPR. 74,4 % af de adspurgte er enige i udsagnet om, at “hvis en databeskyttelsesmyndighed (DPA) ville komme ind ad døren hos en gennemsnitlig virksomhed i morgen, ville den helt sikkert finde relevante GDPR-overtrædelser”. Det er en ekstrem høj procentdel og indikerer, at privatlivs professionelle stadig i vid udstrækning opererer i en kultur med manglende overholdelse eller kun delvis overholdelse. Disse objektive tal matcher NOYB’s oplevelse samt de kontinuerlige anekdotiske indikationer.
Svært at overbevise interne spillere. En væsentlig årsag til dette synes at være, at DPO’er har svært ved at overbevise beslutningstagere i deres virksomheder om at foretage de nødvendige ændringer for at opnå GDPR-overholdelse. Det er især tilfældet for salgs- og marketingafdelinger, hvor 56 % af de adspurgte rapporterede om vanskeligheder med at overbevise dem om at implementere højere compliance. Tværtimod presser disse afdelinger endda DPO’er til at begrænse overholdelse af GDPR. Derudover rapporterede 51,3 % af de adspurgte, at leverandører uden for EØS/EU er svære at overbevise om ændringer for at overholde GDPR – i modsætning til kun 22,3 % for EØS/EU-leverandører. 38,5 % rapporterer, at den øverste ledelse er svære at overbevise vedr. ændringer, mens 32,3 % endda rapporterer om pres fra den øverste ledelse for at begrænse overholdelsen af GDPR. Selvom der er et almindeligt argument for, at GDPR-kompatible produkter ikke er efterspurgte, rapporterer kun 12,6% pres fra erhvervskunder for at begrænse GDPR-overholdelse af hensyn til erhvervslivet.
Bøder, skade på omdømme og afskrækkelse. På spørgsmålet om faktorer, der bidrager til compliance, svarede deltagerne, at bøder – især høje bøder – er den største drivkraft for at opnå GDPR compliance i organisationer. 63,5 % rapporterer, at den blotte frygt for bøder er en drivkraft for overholdelse. Det gælder ikke kun for bøder mod organisationen selv. I stedet rapporterer DPO’er om en klar afsmittende effekt. 51,6 % siger, at hvis en anden virksomhed får en bøde for at overtræde databeskyttelsesloven, kan det påvirke deres egne virksomheders overholdelse. 61,5 % er enige i, at en sådan afskrækkende effekt eksisterer, når det kommer til “høje bøder”. Derudover er (risikoen for) omdømmeskader en meget indflydelsesrig faktor for overholdelse af GDPR.
Soft-law-instrumenter overraskende ineffektive. De mindst indflydelsesrige i praksis er derimod EDPB og lokale DPA-retningslinjer. Overraskende nok finder kun 15,7% EDPB-retningslinjerne “på en eller anden måde indflydelsesrige”, og kun 7,3% finder dem “meget indflydelsesrige”. Tallene for lokale DPA-retningslinjer er kun lidt bedre med 17,7 % og 7,9 %. Dette kan skyldes, at DPO’erne – i deres svar på åbne spørgsmål – anså disse retningslinjer for at være meget generelle.
Afskrækkelse forbliver national. Mere end syv år efter, at GDPR blev vedtaget, kigger privatlivsprofessionelle næsten ikke på tværs af landegrænser. Det til trods for, at loven skulle etablere en fælles europæisk retlig ramme. Mange respondenter udtalte, at der stadig er en del forskelle i, hvordan GDPR fortolkes, anvendes og håndhæves i hele EU. I betragtning af denne faktor virker det logisk, at kun 23,0 % og 22,8 % finder DPA- eller domstolsafgørelser i andre EU-jurisdiktioner indflydelsesrige, mod 48,5 % og 45,7 %, når det kommer til afgørelser i deres egen jurisdiktion. Kun Court of Justice (CJEU) rapporteres at have omtrent lige så stor indflydelse som nationale afgørelser med 43,4 %.
DPO’er kræver mere håndhævelse. Svarene giver også information om mulige løsninger. Omkring 70 % af de adspurgte er enige i, at “vi har brug for mere håndhævelse af DPA for rent faktisk at forbedre brugernes privatliv i praksis”, og at “vi har brug for flere klare afgørelser fra databeskyttelsesmyndigheder og domstole for at forbedre overholdelse”. Beslutninger om uformelt at afslutte klager – i øjeblikket den mest almindelige DPA-handling i mange EØS/EU-jurisdiktioner – ses som endnu mindre indflydelsesrige end opslag på sociale medier fra registrerede. Direkte klager fra registrerede ses ikke som meget indflydelsesrige, mens formelle klager fra registrerede for databeskyttelsesmyndigheder ses som indflydelsesrige af 60 % af fagfolk. De mest relevante handlinger er formelle afgørelser på 58 %, påbud om at overholde loven på 61 % og bøder på 67,4 %.