Splošna uredba o varstvu podatkov (GDPR), ki je v Bruslju dolgo veljala za nedotakljivo, je naslednja na seznamu križarskega pohoda EU proti čezmerni zakonodaji. Po sedmih letih zatiranja evropskih inovacij in startupov, krepitve ameriških tehnoloških velikanov Bruselj končno priznava, da je bila uvedba GDPR gospodarska katastrofa.
GDPR je bila prelomni del zakonodaje, ko je začela veljati leta 2018. Razglašena kot najstrožja zakonodaja o zasebnosti podatkov na svetu, njeni predpisi pa so od takrat eksplodirali po vsem svetu. Od neskončnih e-poštnih sporočil o posodobitvah pravilnika o zasebnosti do pojavnih oken za piškotke – ogromno sprememb s precej negativnimi rezultati.
Uredba GDPR, uvedena leta 2018, se je izkazala za uničujočo, zlasti za mala in srednja podjetja v Evropski uniji. Vse od nesorazmernih stroškov (mala in srednja podjetja so se soočala z visokimi stroški, povezanimi s skladnostjo, kar je zmanjšalo njihov dobiček – tudi do osem odstotkov), padca inovacij (zmanjšal se je delež novoustanovljenih podjetij, s 47 odstotkov manj zagonov aplikacij in približno 1000 startupov, ki so preselili svoje poslovanje v ZDA) in krepitve velikih tehnoloških podjetij (medtem ko velike korporacije, kot sta Google in Facebook, zlahka absorbirajo te stroške, jih mala podjetja ne morejo; namesto da bi ustvarila pošteno konkurenco, je GDPR krepil prevlado tehnoloških velikanov), poroča Vox EU.
Uničevanje malih in srednjih podjetij, krepitev velikanov
Raziskava Nacionalnega urada za ekonomske raziskave (NBER) je ugotovila, da je zakonodaja znatno zadušila inovacije aplikacij in potrošnike s tem potencialno prikrajšala za uporabne izdelke. Predpisi GDPR podjetja spodbujajo k previdnejšemu nabavnemu zbiranju in deljenju podatkov, kar je povzročilo težave medijskim hišam, spletnim ponudnikom in proizvajalcem aplikacij. Visoki stroški usklajevanja in globe za neizpolnjevanje pravil (več kot 1,6 milijarde evrov od aprila 2022) so dodatno obremenili trg.
S tem se je krepila prevlada velikih tehnoloških podjetij, ki si lahko privoščijo te stroške, medtem ko mala podjetja trpijo. Avtorji dokumenta so analizirali trg aplikacij v trgovini Google Play in ugotovili, da je GDPR povzročil izhod tretjine razpoložljivih aplikacij ter zmanjšal število novih predstavitev aplikacij za polovico, kar potrjuje, da ima GDPR znatne stroške v smislu zamujenih inovacij.
Visoki stroški, visoke in številčne kazni
GDPR je ustvaril celotno industrijo svetovalcev za skladnost, odvetniških pisarn in “strokovnjakov”, ki imajo dobiček iz tega regulativnega labirinta, a so tukaj tudi ostali stroški. Zakon je od uvedbe izvršljiv v 28 državah članicah EU, kar pomeni, da morajo podjetja izpolnjevati enoten podatkovni standard, kar pomeni, da je bila potrebna tudi Pridobitev certifikata GDPR, ki vključuje različne stroške, vključno s honorarji svetovalca, honorarji za certificiranje in notranjimi stroški.
Pristojbine za implementacijo certifikata GDPR se gibljejo med 10.000 (9.000 eur) in 25.000 USD (22.586 eur), medtem ko stroški spremljanja znašajo od 5.000 (4.500 eur) do 30.000 USD (27.100 eur). Poleg tega imata certifikata ISO 27001 in ISO 27701 dodatne stroške.
Stroški svetovalcev za certificiranje GDPR se gibljejo od 5.000 do 15.000 USD (13.500 eur), odvisno od zahtevnosti obdelave podatkov in izkušenj svetovalca. Notranji stroški vključujejo dokumentacijo zaposlenih, usposabljanje in pripravljenost na revizijo, skupni stroški za skladnost z GDPR tako lahko dosežejo od 20.500 (18.500 eur) do 102.500 USD (92.600 eur), odvisno od velikosti in kompleksnosti organizacije, ter vključujejo tudi certifikata ISO 27701 in ISO 27001.
Data Grail je v poročilu iz leta 2020 opozoril, da “stroškov skladnosti ni mogoče meriti samo v dolarjih: vključevati morajo tudi operativne stroške človeških virov in časa”. Glede na poročilo je 74 odstotkov podjetij porabilo več kot 100.000 USD (90.354 eur) za storitve svetovanja o skladnosti in tehnoloških rešitvah, 20 odstotkov pa več kot 1 milijon USD (903.400 eur). Poročilo tudi omenja, da je podjetje v povprečju porabilo 2.100 ur samo za sestanke o GDPR, medtem ko so podjetja po ocenah porabila več kot 9.000 ur za sestanke in na tisoče dodatnih ur za priprave na GDPR.
Od uvedbe GDPR je bilo v Evropi naloženih 293 milijonov evrov kazni, do danes je bilo prijavljenih več kot 281.000 obvestil o kršitvah podatkov, Google je prejel globo v višini 50 milijonov evrov – najvišjo kazen GDPR, ki jo je izdal francoski regulator CNIL, 7,8 milijarde dolarjev, pa so podjetja s seznama Fortune 500 porabila za skladnost z GDPR, navaja blog Cookiees.
Prihaja konec GDPR?
Evropska unija namerava v naslednjih tednih predstaviti predlog za poenostavitev splošne uredbe o varstvu podatkov (GDPR) kot del prizadevanj za povečanje konkurenčnosti evropskih podjetij v primerjavi z ameriškimi in kitajskimi tekmeci. Predsednica Komisije Ursula von der Leyen poudarja potrebo po zmanjšanju zapletenosti regulativ in stroškov, ki jih prinaša GDPR, kar je pomembno za mala in srednje velika podjetja, poroča Politico.
Danska ministrica za digitalne zadeve Caroline Stage Olsen je izpostavila potrebo po bolj razumni regulaciji, kritika GDPR pa odraža stališča nekdanjega italijanskega premierja Maria Draghija, ki je septembra lani izdal pomembno gospodarsko poročilo, v katerem je opozoril, da zapleteni zakoni Evrope preprečujejo njenemu gospodarstvu, da bi dohitelo Združene države in Kitajsko. “Regulativni odnos EU do tehnoloških podjetij ovira inovacije,” je zapisal Draghi, pri čemer je izpostavil zakon o umetni inteligenci in GDPR.
Revizija GDPR iz leta 2022 je pokazala potrebo po večji podpori za podjetja pri skladnosti, pred pozivom za poenostavitev pravil pa je bil predlagan datum dogovora 21. maj 2024. Čeprav se nameravajo omejiti zahteve za podjetja z manj kot 500 zaposlenimi, ostaja cilj zaščite zasebnosti nespremenjen.
Evropska komisija zdaj zaključuje načrt za poenostavitev in morebitno odstranitev številnih regulativnih zahtev, ki jih nalaga zapletena in daljnosežna splošna uredba o varstvu podatkov na celini, zlasti tistih, ki vplivajo na mala in srednje velika podjetja. Komisija dela na načrtu za poenostavitev zakonodaje, da bi “razbremenila” manjše organizacije in hkrati “ohranila osnovni cilj našega režima GDPR”, je v nedavnih pripombah v intervjuju v Centru za strateške in mednarodne študije (CSIS) dejal Michael McGrath, evropski komisar, ki nadzoruje zakone o zasebnosti podatkov.
T. B.