Датското председателство на ЕС настоява за реформа на GDPR, за да повиши конкурентоспособността, като предлага благоприятни промени, свързани с малкия и среден бизнес. Предвижда се ограничаване на правата за данни в случаи с нисък риск, опростяване на Оценката на възвействието върху защита на данните (DPIA) и изисква предварително ангажиране преди подаване на жалби. За хипермащабните компании може да са необходими по-широки реформи, изтъква статия на изданието EU Tech Loop.
Датското председателство на Съвета на ЕС домакинснва неформална среща на министрите на правосъдието и вътрешните работи в Копенхаген тази седмица. Наред с много други неща, пред министрите на правосъдието стои и обсъждане именно на предстоящия преглед на Общия регламент относно защитата на данните (GDPR).
Според уебсайта на председателството, тази инициатива е част от приоритетите на Дания, насочени към подкрепа на амбициите на Европа за конкурентоспособност:
Това е много благоприятна инициатива, но е важно предимството на конкурентоспособността да не се ограничава до козметични промени в изискванията и задълженията за докладване.
Три важни датски предложения
Неофициален документ за прегледа на GDPR, публикуван в началото на юли, включва (наред с други неща) три благоприятни промени, които потенциално биха могли да улеснят достъпа до данни за европейските компании от малкия и среден бизнес (МСБ), без да се правят промени по самия закон за GDPR:
- Определяне на минимален праг за това кога се прилагат правата на субекта на данните (членове 12-20 от GDPR). В идеалния случай това би дало на МСБ по-голяма гъвкавост в контексти с нисък или минимален риск при обработка на данни. Както отбелязахме по-рано, много европейски стартиращи компании разглеждат правата на субекта на данни като „твърде ограничаващи“, което възпрепятства дейността им и ограничава способността им за мащабиране.
- Да се изясни кога се изискват оценки на въздействието върху защитата на данните (DPIA) и да се обмислят изключения или опростявания за МСБ (член 35 от GDPR). Оценките на въздействието върху защитата на данните (DPIA) се изискват, когато обработката на данни представлява висок риск за поверителността и правата на европейците, но определението за „висок риск“ е неясно. По-рационализиран подход би свършил по-добра работа, като МСБ се изключи в определени случаи или поне се опрости процесът на DPIA за тях.
- Да се обвърже правото на субекта на данните да подаде жалба до надзорния орган с определени критерии (напр. предварителна ангажираност с администратора на данни) (член 77 от GDPR). Понастоящем всяко физическо лице или компания може да подаде жалба директно до национален орган за защита на данните (DPA), без първо да се свързва с отговорната компания. Предложените промени биха могли потенциално да помогнат за мирно решаване на проблемите с компаниите, да намалят натоварването на DPA и да предотвратят злонамерени, недобронамерени оплаквания, насочени към нараняване на компаниите.
Тези промени са много благоприятни, но те не решават предизвикателствата, пред които са изправени европейските хипермащабни компании с годишни приходи над 43–50 милиона евро (прагът, над който компаниите вече не се квалифицират като МСБ в Европа). За да се изгради истинско конкурентно предимство и да се стимулира европейската икономика на данните, ще са необходими по-амбициозни цели, но тези са добра отправна точка, коментира EU Tech Loop.
