Začiatkom tohto roka navrhla EURópska komisia balík zjednodušení GDPR ako súčasť rozsiahlejšej iniciatívy Omnibus IV, ktorá má uľahčiť dodržiavanie predpisov pre takzvané malé spoločnosti so strednou kapitalizáciou.
Podľa súčasných pravidiel môžu byť spoločnosti s menej ako 250 zamestnancami oslobodené od vedenia podrobných záznamov o činnostiach spracovania údajov – ale iba ak je ich spracovanie príležitostné, nezahŕňa žiadne špeciálne kategórie údajov a pravdepodobne nepredstavuje žiadne riziko pre práva jednotlivcov. V praxi je toto oslobodenie zriedka použiteľné.
Matt Cooper, riaditeľ pre riadenie, riziká a dodržiavanie predpisov v spoločnosti Vanta.
Nový návrh by rozšíril výnimku na spoločnosti s až 750 zamestnancami a súčasne zmiernil prahovú hodnotu rizika – uplatňoval by sa iba na spoločnosti zapojené do „vysoko rizikového“ spracovania údajov. Odhady uvádzajú, že táto zmena by znamenala, že 38 000 malých spoločností so strednou kapitalizáciou v EÚ by čelilo zjednodušeným povinnostiam GDPR.
Keďže politici EÚ zvažujú uľahčenie dodržiavania GDPR pre menšie podniky, podrobnosti navrhovaného zjednodušenia si zaslúžia dôkladnejšie preštudovanie. Použitie počtu zamestnancov ako kritéria pre oslobodenie alebo zjednodušenie je zásadne chybné a riskuje oslabenie zásadnej ochrany, ktorú GDPR poskytuje v digitálnom veku.
Nielen to, ale zúženie prahovej hodnoty rizika z „akéhokoľvek rizika“ na „vysoké riziko“ znamená, že spoločnosti môžu manipulovať s mierne rizikovými údajmi a stále byť oslobodené.
Hodnotenie súčasnej záťaže súvisiacej s dodržiavaním predpisov.
Skôr ako vôbec začneme uvažovať o oslabení GDPR, stojí za to zamyslieť sa nad jeho hodnotou. GDPR, ktoré bolo prvýkrát zavedené pred viac ako 7 rokmi, aj naďalej slúži ako zásadný globálny štandard pre ochranu súkromia, ktorá je obzvlášť dôležitá na udržanie neporušenosti s rastúcim prijatím a rizikom umelej inteligencie.
Nariadenie sa ukázalo ako účinné pri zabezpečovaní práv na súkromie na celom svete a pri pomoci odvrátiť rozsiahle straty z kybernetickej kriminality (podľa CNIL až 1,4 miliardy eur).
Prihláste sa na odber bulletinu TechRadar Pro a získajte všetky najdôležitejšie správy, názory, funkcie a rady, ktoré vaše podnikanie potrebuje na úspech!
Zámer navrhovaného zjednodušenia je pozitívny. Pre mnohé malé a stredné podniky môže byť orientácia v zložitých regulačných požiadavkách skľučujúca, najmä ak nemajú špecializované tímy pre dodržiavanie predpisov alebo zdroje.
V skutočnosti výskum odhaľuje, že 11 pracovných týždňov ročne sa trávi úlohami súvisiacimi s dodržiavaním predpisov, čo sa každoročne zvyšuje o jeden týždeň. To je v súlade so zisteniami zo štúdie PwC Global Compliance Study, že alarmujúcich 85 % organizácií tvrdí, že požiadavky na dodržiavanie predpisov sa za posledné tri roky stali zložitejšími.
Zjednodušenie povinností sa preto môže zdať ako účinný spôsob podpory inovácií a zníženia administratívnej záťaže, ale akékoľvek zmeny v GDPR musia vyvážiť potreby podnikov s imperatívom chrániť súkromie jednotlivcov.
Viazať požiadavky na dodržiavanie predpisov na počet zamestnancov sa nedarí dosiahnuť túto rovnováhu a neodráža ani skutočné riziká pre súkromie.
Inteligentnejšie metriky pre inteligentnejšiu politiku.
Jednoducho povedané, počet zamestnancov poskytuje minimálny údaj o skutočnom riziku, ktoré predstavuje činnosť spoločnosti pri spracovaní údajov. Podniky by mohli ľahko manipulovať s počtom svojich zamestnancov spoliehaním sa na externých dodávateľov, čím by sa vyhli kontrole GDPR.
Navyše, v dnešnej digitálnej ekonomike môžu malé tímy prevádzkovať globálne platformy, ktoré spracovávajú obrovské množstvo citlivých informácií. Rastúci vplyv umelej inteligencie v rôznych odvetviach – ktorý pomáha menším tímom robiť viac a ísť ďalej – robí z počtu zamestnancov ešte zastaranejšiu metriku.
Predpoklad, že menšie mzdové náklady znamenajú nižšie riziko pre súkromie, ignoruje, ako funguje mnoho moderných podnikov a ako pravdepodobne budú fungovať v budúcnosti.
Na vytvorenie primeranejšieho a účinnejšieho rámca pre dodržiavanie predpisov sa politici musia pozerať za hranice počtu zamestnancov. Aj keď návrh správne vylučuje spoločnosti zaoberajúce sa vysoko rizikovým spracovaním zo zjednodušených povinností, mnohé riziká v reálnom svete spadajú medzi „nízke“ a „vysoké“, a preto je potrebných viac odtieňov a účinných metrík.
Napríklad objem spracovaných údajov alebo príjem spoločnosti. Faktory ako tieto lepšie zachytávajú skutočné riziko pre súkromie a mali by hrať ústrednejšiu úlohu pri určovaní, kedy je zjednodušenie vhodné – bez vytvárania problematických medzier.
Ochrana súkromia je spoločná zodpovednosť.
Predpisy o ochrane súkromia by určite nemali trestať inovácie, ale nemali by ani poskytovať rozsiahle výnimky, ktoré ohrozujú práva jednotlivcov. V konečnom dôsledku návrhy na oslabenie šírky pásma GDPR riskujú narušenie ochrany súkromia v čase, keď sú najviac potrebné.
Rýchlo sa vyvíjajúce technológie umelej inteligencie majú potenciál ďalej ohroziť ochranu súkromia, a preto musíme dôkladne premyslieť všetky zmeny, ktoré oslabia takúto obranu. To zahŕňa prehodnotenie nielen toho, kto sa kvalifikuje na výnimky na základe veľkosti, ale aj toho, ako definujeme a hodnotíme riziko na prvom mieste.
Keďže sa údaje stávajú zraniteľnejšími, ochrana súkromia je čoraz viac spoločnou zodpovednosťou. Zameranie by sa malo naďalej zameriavať na posilňovanie ochrany a poskytovanie inteligentnej, primeranej podpory podnikom všetkých veľkostí. Budúcnosť ochrany súkromia na tom závisí.
