Druga obletnica veljave GDPR
Konec maja sta minili dve leti od začetka veljave regulative GDPR (General Data Protection Regulation), ki jih je Evropska unija sprejela za večjo zaščito zasebnosti njenih prebivalcev. Ukrepi GDPR so zahtevali marsikje korenito preveritev postopkov in politike zbiranja, hrambe in obdelave podatkov, ki so vezane na posameznika in v primeru kršitev ogrožajo njegovo pravico do zasebnosti. Zaradi tega so ukrepi ustvarili vsaj toliko pristašev kot kritikov nove zakonodaje.
V strokovni in širši javnosti so po dveh letih menja okoli uspešnosti ukrepov še naprej kar precej deljena. Evropska komisija sicer ocenjuje, da je vpeljava GDPR zgodba o uspehu. V dokaz ponujajo statistične podatke, ki ponazarjajo število prijav, število ugotovljenih kršitev in nazadnje število izrečenih kaznih. Resnici na ljubo so bile te kazni doslej zelo blage, vsaj glede na koristi, ki so jih medtem kršitelji pridobili kljub veljavnosti uredb GDPR.
Kritiki odgovarjajo, da je GDPR preprosto neživljenjski, poskuša rešiti vse, v resnici pa rešuje zelo malo ali nič. V dokaz navajajo, da se je v obdobju od uveljavitve GDPR število zlorab povečalo, marsikje pa se kljub strogim kaznim še vedno požvižgajo na njene odločne. Kot običajno, je resnica najbrž nekje v sredini.
Morda je najbolje najprej pogledati izboljšave, ki jih je prinesla odredba GDPR. Zagotovo lahko na prvo mesto postavimo javno osveščenost nad vprašanjem pomembnosti varovanja zasebnosti. Uvajanje GDPR je bilo dovolj odmevno, da so morale nanj odzvati velika in mala podjetja. Raziskave prav tako kažejo, da se pravil za zagotavljanje zasebnosti zavedajo tudi državljani, torej tisti, ki jih zakonodaja varuje. V praksi se žal izkaže, da je zavedanje eno, ukrepanje pa nekaj povsem drugega, zato marsikdo še vedno noče ali ne zna uporabljati zaščitne ukrepe, ki so na voljo.
Uveljavitev GDPR je zagotovo spremenila odgovornost velikih družbe. Upamo si trditi, da skoraj nobeno veliko podjetje ni moglo »prespati« prihod novih pravil, marsikje pa so morali močno spremeniti poslovno strategijo, da bi zagotovili skladnost. Pri Gartnerju denimo navajajo, da bo do leta 2022 zaradi tega verjetno okoli milijon podjetij v svoji vodstveni strukturi imela direktorja za zasebnost in zaščito podatkov. Pred tem so tovrstna delovna mesta obstajala le v rekih javnih in državnih ustanovah, skoraj nikjer pa v privatnem sektorju.
Eden od zanimivih pozitivnih učinkov GDPR je njegov globalni vpliv, kar je nenavadno glede na dejstvo, da je zakon v veljavi le v Evropski uniji. Evropa kljub vsemu tu prednjači pred ostalimi deli sveta, zato ponekod razmišljajo ali uveljavljajo podobno regulativo. Lep primer je California Consumer Privacy Act (CCPA), ki meri v isto smer, a za zdaj nima posnemovalcev znotraj ZDA. Še najbolj zanimivo je, da tam, kjer niso koraka naprej naredile države, korak naprej delajo podjetja. Microsoft se je na primer odločil, da bo GDPR vzel kot interni standard za storitve po celem svetu, pač zato, ker bi bilo določbe za zasebnost upravljati za vsako državo ali regijo posebej.
Kot že rečeno, pa ima GDPR, vsaj v sedanji obliki, kopico pomanjkljivosti. Pogosto se zdi, da skuša regulirati vse težave s področja zasebnosti, a pri tem večkrat ne daje jasnih odgovorov ali celo povzroča težave za tiste, ki morajo zagotavljati skladnost. S strani regulatorjev je poleg tega problematično, da vsaka država GDPR interpretira nekoliko po svoje, s tem zmanjšuje učinkovitost in ustvarja nove vrzeli.
Pojavljajo se tudi dvomi o učinkovitosti nadzora in uveljavljanja GDPR, ki brez sankcioniranja kršitev utegne postati le mrtva določna na papirja. V Evropi so v letu 2020 pred začetkom pandemije izrekli za 115 milijonov evrov kazni, kar je v resnici zelo malo. Višino kazni sicer ne gre primerjati s prodajnimi rezultati podjetij, pa vendar podatki pričajo o nezmožnosti, pogosto tudi podhranjenosti pristojnih služb, da bi delovale bolj učinkovito.
Pandemija predstavlja velik izziv tudi za verodostojnost ukrepov GDPR. Marsikje so morala podjetja izdatno kršiti določbe GDPR, da so lahko sploh organizirala delo od doma. V Veliki Britaniji so tako naredili raziskavo, po kateri so vprašani potrdili, da je okoli 10 odstotkov vseh zaposlenih dobilo navodila od delodajalcev, ki so bila v nasprotju z določbami GDPR.
Dve leti obstoja so za regulativo, kot je GDPR najbrž še prekratko obdobje, da bi lahko naredili dokončno sodbo. Toda vse bolj se uveljavlja mnenja, da bo regulativo treba kmalu dopolniti, nadgraditi in popraviti, kjer ni življenjska ali ni neučinkovita. Vprašanje pa je, ali je smotrno regulativo obravnavati samo na nivoju skupnosti, kot je v Evropska unija, ko pa je večina ekonomije in s tem povezanih storitev globalizirana.